Verif Sil de Un Sistema Sis

UNIVERSIDAD SIMN BOLVAR
Decanato de Estudios Profesionales

Coordinacin de Ingeniera Electrnica
Verificacin del Nivel de Integridad de Seguridad (SIL) de un Sistema

Instrumentado de Seguridad (SIS)
Por
Mairyn Josefina Navarro Rincn
Sartenejas, Noviembre de 2004.


Por
Realizado con la Asesora de
Prof.: Omar Prez Lpez
Ing. Carlos E. Ramos Hernndez
PROYECTO DE GRADO
Presentado ante la Ilustre Universidad Simn Bolvar
como requisito parcial para optar al ttulo de Ingeniero Electrnico
Sartenejas, Noviembre de 2004


PROYECTO DE GRADO presentado por
REALIZADO CON LA ASESORIA DE Prof.: Omar Prez Lpez e Ing. Carlos E. Ramos
Hernndez
RESUMEN
Mediante el anlisis del Ciclo de Vida de Seguridad de un Sistema Instrumentado de
Seguridad, aplicado al SIS instalado en el Tren A de Produccin de la Estacin Principal
de SINCOR, se verific si el Nivel de Integridad de Seguridad cuantificado para cada una
de las Funciones Instrumentadas de Seguridad instaladas cumple con los requerimientos de
Nivel de Riesgo Tolerable, segn la normativa nacional e internacional aplicable.
Utilizando la tcnica del Anlisis de rbol de Fallas se cuantificaron las PFDavg de cada
uno de los lazos de control del Sistema de Control de Procesos, para determinar el riesgo
remanente a ser cubierto por cada una de las Funciones Instrumentadas de Seguridad
instaladas. El Nivel de Integridad de Seguridad de las mismas tambin fue calculado
utilizando la misma tcnica. A partir de los resultados obtenidos se determin necesario un
rediseo para algunas de las SIF estudiadas, se plantean tres escenarios capaces de mejorar
notablemente el desempeo de las mismas.
Adicionalmente se presenta el anlisis de casos realizado para determinar las causas de las
falsas alarmas registradas por los detectores de fuego instalados en la Estacin Principal.
Finalmente se detallan las soluciones propuestas para cada caso.
PALABRAS CLAVES
Sistema Instrumentado de Seguridad, Funcin Instrumentada de Seguridad, Nivel de
Integridad de Seguridad, Riesgo Tolerable, Probabilidad de Falla en Demanda, rbol de
Fallas.
Aprobado con mencin: _______
Postulado para el premio: _______
Sartenejas, Noviembre de 2004
DEDICATORIA
A mis padres,
Mis xitos les
pertenecen..
ii
AG R A D E C I M I E N T O S
A Dios, por haber sido infinitamente generoso conmigo...
A mis padres por todo el sacrificio y esfuerzo, por guiarme con sus palabras y
ejemplo, por sus oportunos regaos y por su admirable abnegacin y entrega...
A mi tutor industrial, Ing. Carlos Ramos, por soportar con paciencia mi inexperiencia
y mis ganas de aprender, por regalarme su tiempo y conocimientos, por su ejemplo de
voluntad incansable para el trabajo y por su gran profesionalismo.
A mi tutor acadmico, Prof. Omar Prez, por transmitirme sus conocimientos y

experiencia, por su enorme comprensin, confianza y apoyo.
A todos mis compaeros de SINCOR, especialmente a los Ingenieros Otto Ascanio,

Freddy Malpica, Angel Boado, Mara Stella Garca y
Alexander Ramrez por ser
incondicionales, por apoyarme y por compartir conmigo su espacio y tiempo.
Al Ing. Rubn Mijares, por su ayuda desinteresada en el desarrollo de este trabajo y

por compartir sus extensos conocimientos y experiencia en el rea.
A todas aquellas personas que confiaron en m, en especial el Ing. Jess Morillo por
brindarme esta grandiosa oportunidad en SINCOR.
A Juan Daniel, por recordarme que la vida es una sola, por regalarme su sonrisa en
los momentos ms difciles, por soportar todos mis ataques de histeria y por amarme tanto.
A mis amigos, compaeros de trabajo y todos los que de alguna u otra forma siempre
estuvieron ah, con su preocupacin y sus palabras de aliento.
A todos MIL GRACIAS!
iii
INDICE G ENERAL
DEDICATORIA .................................................................................................................................................... I
AGRADECIMIENTOS ......................................................................................................................................II
INDICE GENERAL..........................................................................................................................................III
INDICE DE FIGURAS Y TABLAS .............................................................................................................VI
LISTA DE SMBOLOS Y ABREVIATURAS...........................................................................................IX
CAPTULO 1 INTRODUCCIN ................................................................................................................... 1
CAPTULO 2 SINCRUDOS DE ORIENTE................................................................................................ 4
2.1 UBICACIN GEOGRFICA ...........................................................................................................................4
2.2 M ISIN Y VISIN..........................................................................................................................................5
2.3 PRODUCCIN, TRANSPORTE Y MEJORAMIENTO......................................................................................6
2.4 PRODUCCIN DE CRUDO EXTRA PESADO.................................................................................................6
2.4.1 Explotacin y Perforacin de Desarrollo....................................................................................... 7
2.4.2 Bombas de Cavidad Progresiva (PCP)........................................................................................... 8
2.4.3 Bombas Multifsicas.......................................................................................................................... 8
2.4.4 Estacin Principal (Main Station)................................................................................................... 8
CAPTULO 3 FUNDAMENTOS TERICOS..........................................................................................13
3.1 SISTEMA INSTRUMENTADO DE SEGURIDAD
(SIS).............................................................................13
3.2 FUNCIN INSTRUMENTADA DE SEGURIDAD (SIF) ................................................................................14

3.3 TASA DE FALLAS ().................................................................................................................................14
3.3.1 Determinacin de la Tasa de Fallas..............................................................................................15
3.3.2 Modos de Falla..................................................................................................................................16
3.3.3 Fuentes de Data de la Industria.....................................................................................................17
3.4 MTTF Y MTBF ..........................................................................................................................................18
3.5 PROBABILIDAD DE FALLA EN DEMANDA (PFD) ...................................................................................19
3.6 NIVEL DE RIESGO TOLERABLE.................................................................................................................21
3.7 NIVEL DE INTEGRIDAD DE SEGURIDAD (SIL) ........................................................................................24
3.8 A NLISIS DEL RBOL DE FALLAS............................................................................................................26
3.8.1 Componentes del Modelo del rbol de Fallas.............................................................................27
3.8.2 Desarrollo del rbol de Fallas.......................................................................................................29
CAPTULO 4 DESCRIPCIN DEL PROBLEMA Y OBJETIVOS ..................................................32
4.1 DESCRIPCIN DEL PROBLEMA..................................................................................................................32
4.2 OBJETIVOS...................................................................................................................................................33
4.2.1 Objetivo General...............................................................................................................................33
iv
4.2.2 Objetivos Especficos.......................................................................................................................33

CAPTULO 5 MARCO METODOLGICO ............................................................................................34
5.1 CICLO DE VIDA DE SEGURIDAD DE UN SISTEMA INSTRUMENTADO DE SEGURIDAD........................34
5.1.1 Identificacin de peligros y eventos peligrosos y valoracin del nivel de riesgo..................35
5.1.2 Definir el Nivel de Integridad de Seguridad (SIL) Objetivo .....................................................36
5.1.3 Verificacin del Nivel de Integridad de Seguridad (SIL)...........................................................43
CAPTULO 6 DESCRIPCIN DE LOS SISTEMAS EN ESTUDIO.................................................44
6.1 SISTEMA 1: RECEPCIN DEL CRUDO Y SEPARACIN DE GAS..............................................................44
6.2 SISTEMA 2: DESHIDRATACIN DEL CRUDO Y A LMACENAMIENTO DE A GUA DE PRODUCCIN .....46
CAPTULO 7 DESARROLLO DEL ESTUDIO: PRIMERA PARTE. IDENTIFICACIN DE
EVENTOS PELIGROSOS Y DETERMINACIN DEL S IL OBJETIVO ......................................49
7.1 IDENTIFICACIN DE LOS EVENTOS PELIGROSOS ...................................................................................49
7.1.1 Sistema 1: Recepcin del Crudo y Separacin de Gas..............................................................49
7.1.2 Sistema 2: Deshidratacin del Crudo y Almacenamiento de Agua de Produccin.............51
7.2 DETERMINACIN DEL SIL OBJETIVO.......................................................................................................52
7.2.1 Nivel de Riesgo Tolerable...............................................................................................................52
7.2.2 Desarrollo del Anlisis del rbol de Fallas...............................................................................54
7.2.3 Evaluacin Cuantitativa del rbol de Fallas..............................................................................63
CAPTULO 8 DESARROLLO DEL ESTUDIO. SEGUNDA PARTE. VERIFICACIN DEL
SIL DE LAS SIF INSTALADAS ...................................................................................................................71
8.1 DESCRIPCIN DE LAS SIF INSTALADAS ..................................................................................................71
8.1.1 Sistema 1: Recepcin del Crudo y Separacin de Gas..............................................................71
8.1.2 Sistema 2: Deshidratacin del Crudo y Almacenamiento de Agua de Produccin..............72
8.1.3 Sistema 3: ESD-1 del Tren de Produccin A...............................................................................74
8.2 DESARROLLO DEL ANLISIS DEL RBOL DE FALLAS..........................................................................76
8.2.1 SIF 1: Sistema 1 Evento 1: Dao al recipiente (Slug Catcher) por Sobrepresin...........76
8.2.2 SIF 2: Sistema 1. Evento 2: Fuego o dao al equipo y al personal debido a fuga no
detectada por el lazo de control de presin.........................................................................................77
8.2.3 SIF 3: Sistema 1. Evento 3: Envo de crudo a la lnea de gas combustible por alto nivel en
el Slug Catcher..........................................................................................................................................78
8.2.4 SIF 4: Sistema 2. Evento 1: Agua con alto contenido de crudo hacia planta de
tratamiento de agua debido a bajo nivel de interfaz..........................................................................79
8.2.5 SIF 5: Sistema 2. Evento 2: Alta temperatura en agua hacia planta de tratamiento......81
8.2.6 SIF 6: Sistema 2. Evento 3: Desbordamiento del Tanque de Agua de Produccin.........82
8.2.7 SIF 7: ESD-1 Tren de Produccin A.............................................................................................83
8.3 EVALUACIN CUANTITATIVA DEL RBOL DE FALLAS ........................................................................87
8.3.1 SIF 1: Sistema 1 Evento 1: Dao al recipiente (Slug Catcher) por Sobrepresin...........87
8.3.2 SIF 2: Sistema 1. Evento 2: Fuego o dao al equipo y al personal debido a fuga no
detectada por el lazo de control de presin.........................................................................................88
8.3.3 SIF 3: Sistema 1. Evento 3: Envo de crudo a la lnea de gas combustible por alto nivel en
el Slug Catcher..........................................................................................................................................89
8.3.4 SIF 4: Sistema 2. Evento 1: Agua con alto contenido de crudo hacia planta de
tratamiento de agua debido a bajo nivel de interfaz..........................................................................89
8.3.5 SIF 5: Sistema 2. Evento 2: Alta temperatura en agua hacia planta de tratamiento......90
8.3.6 SIF 6: Sistema 2. Evento 3: Desbordamiento del Tanque de Agua de Produccin.........91
8.3.7 SIF 7: ESD-1 Tren de Produccin A.............................................................................................92
CAPTULO 9 ANLISIS DE LOS RESULTADOS OBTENIDOS ....................................................96
9.1 RESUMEN DE RESULTADOS ......................................................................................................................96
9.2 REDISEO DEL SIS INSTALADO ...............................................................................................................97
9.2.1 Consideraciones de diseo del SIS ................................................................................................97
9.2.2 Escenarios de Rediseo Planteados............................................................................................102
9.2.3 Resultados obtenidos a partir del rediseo................................................................................105
CAPTULO 10 ESTUDIO DE LAS FALSAS ALARMAS REGISTRADAS POR LOS
DETECTORES DE FUEGO UBICADOS EN LA ESTACIN PRINCIPAL ...............................107
10.1 A NTECEDENTES..................................................................................................................................... 107
10.1.1 Tecnologa Utilizada....................................................................................................................108
10.1.2 Principio de Operacin ...............................................................................................................109
10.2 DESARROLLO DEL ESTUDIO ................................................................................................................ 110
10.2.1 Metodologa...................................................................................................................................110
10.2.2 Estudio de Casos...........................................................................................................................110
10.2.3 Soluciones Propuestas.................................................................................................................117
CAPTULO 11 CONCLUSIONES Y RECOMENDACIONES .........................................................122
BIBLIOGRAFA..............................................................................................................................................124
vi
INDICE
DE
FIGURAS
TABLAS
FIGURA 2.1 UBICACIN GEOGRFICA DEL COMPLEJO...................................................................................................5

FIGURA 2.2 TIPO DE POZO ESTNDAR CON PERFORACIN HORIZONTAL......................................................................7
FIGURA 2.3 DIAGRAMA GENERAL DEL FLUJO DE PROCESO EN LA OPERACIN CON DESHIDRATACIN...............11
FIGURA 3.1 DEFINICIN DE UN SISTEMA INSTRUMENTADO DE SEGURIDAD.............................................................13
FIGURA 3.2 CURVA DE LA BAERA .................................................................................................................................15
FIGURA 3.3 GRFICA DE MTTF, MTBF Y MTRH........................................................................................................19
FIGURA 3.4 DIAGRAMA DE RESPONSABILIDADES DE LA EMPRE SA PARA ASUMIR RIESGOS.....................................21
FIGURA 3.5 TRINGULO DE ZONAS DE RIESGO .............................................................................................................23
FIGURA 3.6 SIMBOLOGA UTILIZADA EN EL RBOL DE FALLAS..................................................................................29
FIGURA 5.1 CICLO DE VIDA DE SEGURIDAD DE UN SISTEMA INSTRUMENTADO DE SEGURIDAD...........................35
FIGURA 5.2: M ATRIZ DE CAPAS DE SEGURIDAD PARA LA DETERMINACIN DEL SIL .............................................37
FIGURA 5.3 GRFICA DE RIESGO .....................................................................................................................................40
FIGURA 6.1 DIAGRAMA DE LOS LAZOS DE CONTROL DE PRESIN Y NIVEL EN EL SLUG CATCHER ........................45
FIGURA 6.2 DIAGRAMA DEL SISTEMA DE CONTROL DE NIVEL Y TEMPERATURA EN EL PROCESO DE
PRODUCCIN DE A GUA......................................................................................................................................................47
FIGURA 7.1 RBOL DE FALLAS CORRESPONDIENTE AL EVENTO 1 DEL SISTEMA 1..................................................55
FIGURA 7.7 CUANTIFICACIN DEL RBOL DE FALLAS (SISTEMA 1, EVENTO 1) ......................................................64
FIGURA 7.10 CUANTIFICACIN DEL RBOL DE FALLAS (SISTEMA 2, EVENTO 1) ....................................................68
FIGURA 8.1: FUNCIONES INSTRUMENTADAS DE SEGURIDAD APLICADAS AL SISTEMA 1 ........................................72
FIGURA 8.2: FUNCIONES INSTRUMENTADAS DE SEGURIDAD APLICADAS AL SISTEMA 2 ........................................73
FIGURA 8.3 DIAGRAMA DEL ARREGLO DE VLVULAS DISPUESTAS PARA EL ESD-1 DEL TREN DE PRODUCCIN
A ...........................................................................................................................................................................................75
FIGURA 8.4 DESARROLLO DEL RBOL DE FALLAS APLICADO A LA SIF INSTALADA (SISTEMA 1, EVENTO 1).....76
FIGURA 8.7 DIAGRAMA DE LAS SIF APLICADAS AL SISTEMA 2, EVENTO 1...............................................................80
vii
FIGURA 8.10 DESARROLLO DEL RBOL DE FALLAS APLICADO A LA SIF INSTALADA (SISTEMA 2, EVENTO 3) ..83
FIGURA 8.11 DESARROLLO DEL RBOL DE FALLAS APLICADO A LA SIF INSTALADA (ESD-1) .............................84
FIGURA 8.12 RBOL DE FALLAS APLICADO A LA TRANSICIN 1.................................................................................85
FIGURA 8.13 RBOL DE FALLAS APLICADO A LA TRANSICIN 2................................................................................86
FIGURA 8.14 CUANTIFICACIN DEL RBOL DE FALLAS APLICADO A LA SIF INSTALADA (SISTEMA 1, EVENTO 1)
...............................................................................................................................................................................................87
...............................................................................................................................................................................................88
...............................................................................................................................................................................................89
FIGURA 8.17 CUANTIFICACIN DEL RBOL DE FALLAS APLICADO A LA SIF INSTALADA (SISTEMA 2, EVENTO
1) ...........................................................................................................................................................................................90
FIGURA 8.18 CUANTIFICACIN DEL RBOL DE FALLAS APLICADO A LA SIF INSTALADA (SISTEMA 2,...............91
FIGURA 8.19 CUANTIFICACIN DEL RBOL DE FALLAS APLICADO A
LA
SIF INSTALADA (SISTEMA
2, ...........................................................................................................................................................................................92
FIGURA 8.20 CUANTIFICACIN DEL RBOL DE FALLAS APLICADO A LA SIF INSTALADA (ESD-1,......................93
FIGURA 8.21 CUANTIFICACIN DEL RBOL DE FALLAS APLICADO A LA SIF INSTALADA (ESD-1, TRANSICIN
2) ...........................................................................................................................................................................................94
FIGURA 8.22 CUANTIFICACIN DEL RBOL DE FALLAS APLICADO A LA SIF INSTALADA (ESD-1) ......................95
FIGURA 9.1 CUANTIFICACIN DEL RBOL DE FALLAS DEL ESCENARIO 2 DE REDISEO DE LA SIF 1 ................ 104
FIGURA 9.2 CUANTIFICACIN DEL RBOL DE FALLAS DEL ESCENARIO 2 DE REDISEO DE LA SIF 2 ................ 104
FIGURA 10.1 GRFICA DE REGISTRO DE CORRIENTE DEL DETECTOR 29-BE-028 Y FLUJO DE GAS AL LP FLARE
............................................................................................................................................................................................ 111
FIGURA 10.2 GRFICA DE REGISTRO DE CORRIENTE DEL DETECTOR 29-BE-027 Y FLUJO DE GAS AL LP FLARE
............................................................................................................................................................................................ 112
FIGURA 10.3 VISTA LATERAL DE LOS DETECTORES HACIA EL OESTE. AL FONDO EL LP FLARE ......................... 112
FIGURA 10.4 : IZQUIERDA : VISTA POSTERIOR DEL DETECTOR 29-BE-028 HACIA EL H-3001A......................... 113
FIGURA 10.5 GRFICA DEL REGISTRO DE CORRIENTE DEL DETECTOR 29-BE-032 Y FLUJO DE GAS AL LP FLARE
............................................................................................................................................................................................ 114
FIGURA 10.6 VISTA LATERAL DEL DETECTOR 29-BE-032 HACIA EL FL-3501 (SUROESTE).............................. 115
FIGURA 10.7 GRFICA DE REGISTRO DE CORRIENTE DEL DETECTOR 29-BE-043................................................. 115
FIGURA 10.8 GRFICA DE REGISTRO DE CORRIENTE DEL DETECTOR 29-BE-046................................................. 116
FIGURA 10.9 VISTA LATERAL DEL DETECTOR 29-BE-045 EN DIRECCIN SURESTE. AL FONDO PERSONAL Y
MAQUINARIA EFECTUANDO TRABAJOS EN EL REA ................................................................................................... 117
viii
TABLA 3.1 NIVEL DE RIESGO A CEPTABLE......................................................................................................................24

TABLA 3.2: CORRESPONDENCIA ENTRE EL SIL, LA PFDAVG Y EL RRF ...................................................................25
TABLA 5.1: RANGOS CUALITATIVOS PARA EVALUAR LA FRECUENCIA DE OCURRENCIA DEL EVENTO PELIGROSO
...............................................................................................................................................................................................38
TABLA 5.2: RANGOS CUALITATIVOS PARA EVALUAR LA SEVERIDAD DE LAS CONSECUENCIAS DEL EVENTO
PELIGROSO ...........................................................................................................................................................................38
TABLA 5.3: EVALUACIN CUALITATIVA DEL PARMETRO C (SEVERIDAD DE LAS CONSECUENCIAS).................40

TABLA 5.4: EVALUACIN CUALITATIVA DEL PARMETRO F (FRECUENCIA DE EXPOSICIN AL PELIGRO).........41
TABLA 5.5: EVALUACIN CUALITATIVA DEL PARMETRO F (FRECUENCIA DE EXPOSICIN AL PELIGRO).........41
TABLA 5.6: EVALUACIN CUALITATIVA DEL PARMETRO W (PROBABILIDAD DE OCURRENCIA DEL EVENTO
PELIGROSO ) .........................................................................................................................................................................42
TABLA 10.1 RESUMEN DE RESULTADOS OBTENIDOS ....................................................................................................96
TABLA 10.2 RESULTADOS OBTENIDOS EN EL REDISEO DEL SIS ............................................................................ 105
ix
LI S T A
DE
S MBOLOS
AB R E V I A T U R A S
: Tasa de Fallas
BPCS: Basic Process Control System (Sistema de Control de Procesos)
BS&W: Basic Sediments and Water (Sedimentos Bsicos y Agua)
ESD: Emergency Shut Down (Parada de Emergencia)
ESDV: Emergency Shut Down Valve (Vlvula de Parada de Emergencia)
FC: Fail Closed (Falla Cerrada)
F&G: Fire and Gas (Fuego y Gas)
FTA: Fault Tree Analysys (Anlisis de rbol de Fallas)
HAZOP: Hazard and Operability (Riesgo y Operabilidad)
IR: Infrarrojo
ISH: Instrument Satellite House (Casa Satlite de Instrumentos)
OREDA: Offshore Reliability Data
MAC: Manual Call Point (Punto de Llamada Manual)
MPP: Multiphase Pump (Bomba Multifsica)
MSCR: Main Station Control Room (Sala de Control)
MTTF: Mean Time to Fail (Tiempo promedio para fallar)
MTBF: Mean Time Between Failure (Tiempo promedio entre fallas)
MTTR: Mean Time to Repair (Tiempo promedio de reparacin luego de una falla)
PFDavg: Probability of Failure Upon Dema nd (Probabilidad de Falla bajo Demanda)
RRF: Risk Reduction Factor (Factor de Reduccin de Riesgo)
RVP: Relation Vapor Pressure (Relacin Vapor Presin)
SIF: Safety Instrumented Function
SIL: Safety Integrity Level (Nivel de Integridad de Seguridad)
SIS: Safety Instrumented System (Sistema Instrumentado de Seguridad)
TI: Test Interval (Intervalo de Tiempo entre Pruebas)
UV: Ultravioleta
CAPTULO 1 INTRODUCCIN
Sincrudos de Oriente, SINCOR, es una empresa dedicada a la explotacin,
produccin y mejoramiento del crudo pesado localizado en la Faja del Orinoco. Como
parte de la Declaracin de Principios de Salud, Seguridad y Ambiente de SINCOR, se
establece lo siguiente:
En SINCOR, el respeto por la salud, el ambiente, la seguridad de las personas y de

las instalaciones, caracteriza el modo en que conducimos nuestros proyectos y
operaciones....
En el desarrollo de nuestras actividades, contemplamos en todo momento el

anlisis de los riesgos relacionados con las personas, el ambiente y los activos de la
empresa, y ponemos todo el esfuerzo necesario para eliminarlos o minimizarlos....
Comprometidos con estos principios, surge el requerimiento, por parte de SINCOR,

del desarrollo de un estudio que permitiera comprobar si los riesgos inherentes a ciertos
procesos de produccin de crudo , efectivamente cumplen con las exigencias planteadas
por las normativas nacionales e internacionales, especficamente en cuanto a los Sistemas
Instrumentados de
Seguridad y el Nivel de Integridad de Seguridad asociado a los
mismos.
Los Sistemas Instrumentados de Seguridad son muy importantes en la

administracin de riesgos debido a que reducen o evitan las consecuencias de los peligros
al personal, al ambiente e instalaciones. Los riesgos deben prevenirse como un objetivo
inicial del diseo y deben ser mitigados para reducir el riesgo al personal. Por lo tanto, los
Sistemas Instrumentados de Seguridad (SIS) cumplen una funcin primordial evitando los
eventos de riesgo o minimizando la severidad de las consecuencias al personal, medio
ambiente e instalaciones.
Es por ello que el estudio que se desarrolla en este trabajo tiene por objetivo
verificar si el Nivel de Integridad de Seguridad requerido de acuerdo al Nivel de Riesgo
Tolerable definido para cada proceso analizado, es alcanzado por el Sistema Instrumentado
de Seguridad (ESD System) instalado actualmente en la Estacin Principal.
Especficamente, y debido a la complejidad del anlisis, ste ha sido acotado y aplicado a
uno de los trenes de produccin, considerando que ambos trenes son bsicamente
idnticos, por lo que el modelo puede ser fcilmente adaptable al segundo tren de
produccin. Es en estos trenes donde se desarrollan los procesos principales y ms crticos
de la etapa de produccin de crudo, por lo que los resultados obtenidos en el presente
trabajo representan una buena muestra del escenario planteado para el resto de las
instalaciones, adems de funcionar como un modelo preliminar para estudios posteriores,
como producto de modificaciones a los sistemas y procesos existentes as como para el
desarrollo de nuevos proyectos.
En el Captulo 2 se establece un marco referencial de la empresa SINCOR, su

ubicacin geogrfica, su misin y visin y una breve descripcin del proceso de
produccin de crudo extrapesado y la filosofa de parada de emergencia, con esto se
pretende ubicar al lector en el contexto asociado al proyecto desarrollado.
En el Captulo 3 se incluyen los fundamentos tericos que sustentan el estudio

realizado, con la finalidad de facilitar la comprensin de la terminologa utilizada a lo largo
del desarrollo del trabajo, y fijar los criterios necesarios para llevar a cabo los anlisis
posteriores.
El planteamiento del problema as como los objetivos especficos del estudio

realizado se presentan en el Captulo 4.
En el Captulo 5 se definen las estrategias utilizadas para alcanzar los objetivos

propuestos en este trabajo, se trata del marco metodolgico del estudio realizado, donde se
describen bsicamente, las fases del Ciclo de Vida de Seguridad del SIS contempladas en
el desarrollo de este estudio.
Los procesos analizados se presentan en el Captulo 6, donde se muestran los lazos

de control a analizar y las condiciones seguras del proceso a garantizar por el sistema de
control.
La primera parte del desarrollo del estudio, conformada por la identificacin de

peligros, la determinacin del Nivel de Integridad de Seguridad objetivo est contenida en
el Captulo 7, en el cual se define el nivel de riesgo tolerable para cada uno de los eventos
peligrosos definidos y se muestran los rboles de falla correspondientes.
En el Captulo 8 se presenta la segunda parte del estudio, la cual se dedica a verificar

el Nivel de Integridad de Seguridad de cada una de las Funciones Instrumentadas de
Seguridad actualmente instaladas, a fin de compararlo con el SIL objetivo definido en la
primera parte para determinar su eficiencia en la reduccin de los niveles de riesgo del
proceso.
Los resultados obtenidos de los estudios desarrollados se muestran y se analizan en el

Captulo 9. Adems en este captulo se muestran las consideraciones a tener en cuenta,
segn la normativa aplicable para incrementar los niveles de reduccin de riesgo de las
Funciones Instrumentadas de Seguridad instaladas, finalmente se plantean los escenarios
posibles en el rediseo del SIS.
El Captulo 10 constituye un estudio complementario realizado con el objetivo de

resolver una falla importante experimentada por los elementos de deteccin de fuego
instalados en la Estacin Principal, como parte fundamental del Sistema Instrumentado de
Seguridad instalado actualmente. Se dedica este captulo a mostrar los casos ms
representativos, localizados en el Tren de Produccin A, y finalmente a describir las
soluciones propuestas a cada uno de ellos.
Finalmente, en el Captulo 11 se presentan las Conclusiones y las Recomendaciones

del estudio realizado, a fin de mostrar las aplicaciones de los resultados obtenidos y se
formulan las recomendaciones para futuros trabajos en base a la experiencia adquir ida a
partir de este trabajo.
CAPTULO 2 S INCRUDOS
DE
ORIENTE
Descubierta la Faja Petrolfera del Orinoco en los aos 30, es a partir de finales de
los 70 cuando se asigna a PDVSA y sus filiales la responsabilidad de adelantar una intensa
campaa de exploracin en la Faja que permitiera sentar las bases para su desarrollo
comercial.
Habiendo logrado su cometido la campaa de exploracin, a partir del ao 1991, se

aceleraron una serie de negociaciones con compaas internacionales, que aportaran
financiamiento y tecnologa, logrndose la formacin de cuatro Asociaciones Estratgicas
presentes en la actualidad.
Para el ao 2002, Sincrudos de Oriente SINCOR es el tercer proyecto de la Faja del

Orinoco que entra en produccin, despus de Petrozuata (Conoco/Phillips-PDVSA), y
Cerro Negro (Exxon/Mobil- VebaPDVSA), y antes de Ameriven (Conoco/PhillipsChevron/Texaco-PDVSA).
SINCOR surge de la alianza estratgica entre tres de las principales compaas

petroleras del mundo: TOTAL (Francia) con un 47%, PDVSA (Venezuela) con un 38% y
STATOIL (Noruega) con un 15%, con el propsito de producir y mejorar el crudo extra
pesado de la Faja del Orinoco y su posterior colocacin en mercados internacionales.
2 . 1 UBICACIN G EOGRFICA
SINCOR opera en el estado Anzotegui, ocupando una extensin de 504 kilmetros
cuadrados distribuidos entre la zona de produccin del crudo, en la parte sur-occidental del
estado, y las facilidades de mejoramiento ubicadas en el complejo industrial petroqumico
y petrolero "General de Divisin Jos Antonio Anzotegui", en Jose, al norte del mismo
estado. A su vez, Zuata y Jose estn interconectados por dos oleoductos, uno para el
transporte del crudo y otro para el diluente (ver Figura 2.1).
Figura 2.1 Ubicacin Geogrfica del Complejo
2.2 M ISIN Y V ISIN

Por medio de su participacin en el desarrollo de la Faja del Orinoco, la misin de
SINCOR es maximizar el valor de los Accionistas mediante la mejora continua en el
desempeo de sus operaciones, mientras genera beneficios para Venezuela y mejora el
desarrollo de las comunidades locales donde est presente.
La visin de SINCOR es ser reconocida como la compaa lder en la produccin y

mejoramiento de crudo pesado, y adems tener un desempeo superior al de otras
compaas (y Asociaciones) comparables de crudo pesado en indicadores especficos.
Tener una eficiente organizacin orientada al negocio, con la cual ser capaz de maximizar
el valor para sus Accionistas y para la sociedad.
Ser una compaa de mejoras continuas, donde se proveer a sus empleados un

ambiente retador dentro de una organizacin para el aprendizaje. El desarrollo de todas las
actividades con un gran sentido de responsabilidad por el ambiente y la seguridad con la
promocin de altos valores ticos.
2 . 3 PR O D U C C I N , TR A N S P O R T E Y M E J O R A M I E N T O
El propsito de SINCOR es producir 200 mil barriles diarios (MBD) de crudo extra
pesado (8,5 API), obtenidos en San Diego de Cabrutica, Edo. Anzotegui. Este crudo, una
vez mezclado y diluido a 17 API, es trasladado va oleoducto hacia el complejo industrial
de Jose con la finalidad de obtener cerca de 180 mil barriles diarios de crudo mejorado,
con 32 grados API y con menos de 0,1% de azufre, sin metales y listo para su
comercializacin en el exterior.
En el proceso de mejoramiento del crudo tambin se obtienen diariamente unas 860

toneladas de azufre, el cual se destina al sector farmacutico y 6.000 toneladas de coque
(un tipo de carbn derivado del proceso) de valor para aplicaciones en la industria
elctrica.
Tanto en el proceso de manejo y transporte de la produccin en Zuata, as como en el

complejo industrial en Jose, se aplican tecnologas probadas que garantizan el xito de las
operaciones, entre ellas las provenientes de Foster Wheeler (coquificacin retardada), TPA
(azufre, aminas, aguas cidas y gas de cola), Krupp Uhde (hidrgeno) y el Instituto
Francs de Petrleo (hidrocraqueo e hidrotratamiento).
2 . 4 PR O D U C C I N D E CR U D O EX TR A P E S A D O
De las reas que se desarrollan dentro de SINCOR, el presente trabajo se enfocar
principalmente en el rea de Produccin de Crudo Extra pesado.
Para un mejor entendimiento de las caractersticas y de las complejidades que

representa el proceso de produccin de los crudos extra pesados de la Faja Petrolfera del
Orinoco, se explicarn de manera secuencial los siguientes puntos:
Explotacin y Perforacin de desarrollo.
Bombas de Cavidad Progresiva (PCP).
Bombas Multifsicas (MPP).
Estacin Principal y Transporte del Crudo.
2.4.1 Explotacin y Perforacin de Desarrollo

Para producir con pozos verticales un yacimiento de crudo extra pesado y viscoso
como el del rea de SINCOR normalmente habra que inyectar vapor de agua a alta
temperatura en el yacimiento, para recalentar el crudo y reducir su viscosidad, logrando
su salida a la superficie. Este modo de produccin caliente dara una produccin del
orden de 500 a 1200 barriles diarios por pozo. Con la perforacin horizontal, cada pozo
atraviesa los yacimientos que contienen el crudo pesado en una dilatada extensin. Con la
inyeccin de un diluente (petrleo liviano o nafta), se logra producir una cantidad de
barriles igual al de 3 a 5 pozos verticales convencionales sin necesidad de inyectar vapor
(ver Figura 2.2)
Figura 2.2 Tipo de pozo estndar con perforacin horizontal
Este fue el sistema de produccin en fro seleccionado, ya que adems de los

rendimientos superiores en la produccin por pozo, este esquema de produccin es ms
econmico en cuanto a inversiones y costos de explotacin que la produccin caliente, ya
que no implica unidades de generacin, ni red de distribucin de vapor, con menos
problemas de corrosin y de manejo de agua. Adems, el tamao de las instalaciones en la
superficie es menor, minimizando el impacto sobre el ambiente.
Los pozos se perforaron en macollas (clusters), que consisten en emplazamientos en

superficie espaciados de 7 a 8 metros, dotados inicialmente de 4 a 12 pozos cada uno,
pudiendo alcanzar hasta un mximo de 24 pozos.
2.4.2 Bombas de Cavidad Progresiva (PCP)

Cada pozo productor est equipado con una Bomba de Cavidad Progresiva (PCP), la
cual est instalada en la curvatura del pozo y es accionada por un motor elctrico de
superficie mediante una varilla de una pulgada de dimetro.
Algunos pozos podran producir hasta 7000 barriles de petrleo por da si no

estuvieran limitados por la capacidad de las bombas de Cavidad Progresiva y las Bombas
Multifsicas que manejan el crudo en superficie.
A fin de reducir la viscosidad y las prdidas de carga en los pozos y en las tuberas
de transporte, se inyecta un diluente nafta de 47 API a nivel de cada pozo, ya sea en la
descarga de la bomba PCP o en el extremo del drenaje horizontal. Es importante destacar
que cuando el diluente se inyecta en el extremo del drenaje, la productividad puede
aumentar hasta en un 50 % debido a la disminucin de las prdidas de carga. La densidad
del crudo as diluido es de 17 API aproximadamente, para una mezcla de 100 barriles de
crudo extra pesado y 35 barriles de nafta de 47 API.
2.4.3 Bombas Multifsicas

En la mayora de las macollas se encuentra instalada una Bomba Multifsica (MPP)
de doble hlice que propulsa los efluentes a una red de tuberas superficiales y luego a un
oleoducto (poliducto) principal de 16 pulgadas, hacia el centro de procesamiento de la
Estacin Principal de produccin (Main Station). Un contador multifsico determina la
naturaleza de los efluentes producidos.
Las macollas estn equipadas con inyectores de inhibidores de corrosin, de

reguladores que controlan la inyeccin del diluente en cada pozo y vlvulas de paradas de
emergencia (ESDV).
2.4.4 Estacin Principal ( Main Station)

Situada cerca de la poblacin de San Diego de Cabrutica, la Estacin Principal es
hacia la cual converge la produccin de las diferentes macollas y es aqu donde el crudo
extra pesado diluido sufre sus primeras fases de procesamiento y adecuacin. Tambin es
aqu donde se opera el despacho del diluente utilizado para la recuperacin y transporte del
crudo.
Las unidades de proceso de la Estacin Principal se dividen en dos trenes (Tren A y

Tren B) , cada uno diseado para manejar el 50% de la produccin de los Clusters.
Ambos trenes pueden ser arrancados, parados y controlados de forma independiente como
unidades separadas. Las bombas de exportacin de crudo, el tanque de almacenamiento de
crudo fuera de especificacin y los servicios son comunes a ambos trenes.
El propsito de las unidades de proceso de la Estacin Principal es tratar el crudo

pesado para obtener crudo de exportacin con RVP menor a 0.76 bara (11psia) y contenido
de agua bajo el 2% vol. Esto se logra controlando el proceso a las condiciones de presin y
temperatura requeridas.
Para monitorear y controlar los parmetros del proceso se han provisto sistemas de
instrumentacin y control. Los sistemas de control de procesos (BPCS) y de parada (ESD)
instalados se describen ms adelante.
2.4.4.1 Descripcin del Proceso

Luego de separar la mayora del gas asociado a los fluidos entrantes, el crudo es
bombeado desde los Slug Catchers a los Precalentadores de Crudo/Agua (E-3001A/B),
donde es calentado a 43.7C. Luego, el crudo es nuevamente calentado a 93C en los
Prealentadores de Crudo/Crudo (E-3003A-H).
Posteriormente, en los serpentines de seccin radiante de los Hornos (H-3001A/B), el

crudo es llevado a una temperatura de 140C y fluye hacia los Separadores de Alta
Temperatura (D-3007A/B), donde la mayora del gas disuelto es separado. El agua de
operacin para los deshidratadores tambin se precalienta a 140C en los serpentines de
conveccin de los hornos. El crudo caliente que proviene de los Separadores de Alta
Temperatura
se bombea a los Deshidratadores de Crudo (D-3004A-D) mediante las
10
Bombas de Deshidratacin (P-3005A-F). El agua a 140C se aade al crudo para obtener

un corte de agua de 10% a la entrada de los Deshidratadores.
En los Deshidratadores, las sales en el crudo se disuelven en el agua, y el agua es

separada del crudo mediante una combinacin de qumicos demulsificantes y potencial
electrosttico. El crudo fluye fuera del tope del Deshidratador con menos de 2% de agua.
La interfaz crudo-agua es regulada con un controlador de nivel que libera agua del fondo
del Deshidratador. El
crudo caliente es enfriado mediante intercambio de calor con el
crudo proveniente del Slug Catcher en los Prealentadores de Crudo/Crudo (E-3003A-H) y

fluye hacia la succin de las Bombas de Exportacin de Crudo (P-3002A/B/S) a 89C.
stas envan el crudo a la tubera de exportacin a 21barg.
En la succin de las Bombas de Exportacin se aade Diluente Nafta al crudo para

ajustar la gravedad a 17API.
El agua del fondo de los Deshidratadores es enfriada a 70C por intercambio de calor
con crudo en los Precalentadores de Agua/ Crudo (E-3001A/B) y luego con agua de
operacin en los Intercambiadores de Calor de Agua/ Agua (E-3005A/B). Esta agua se
enva luego a la Planta de Tratamiento, para finalmente ser reinyectada en pozos. En la
Figura 2.3 se muestra el Diagrama General del Flujo del Proceso, el cual complementa
grficamente la descripcin realizada.
11
Estacin Principal
CLUSTERS
25
Km
Compresin de
Gas Combustible
Estacin PetroZuata
Jose
+
Horno
Slug Catcher
Pozos de
Produccin
Separador de Alta
Temperatura
Deshidratador
Pozos de Agua
Fresca
Almacenaje de
Crudo
Tratamiento de
Agua de
Produccin
Almacenaje
de Crudo
Medicin
Crudo
diludo al
Mejorador
Medicin
Diluente
del
Mejorador
Pozos de
Inyeccin de
Agua
Bombas de Diluente
Almacenaje
de Diluente
Figura 2.3 Diagrama general del Flujo de Proceso en la Operacin con Deshidratacin
2.4.4.2 Parada de Emergencia (ESD)

Una Parada de Emergencia est conformada por acciones de control tomadas para
detener los equipos o procesos en respuesta a una situacin de peligro. El propsito
principal del ESD (Emergency Shutdown System) es proteger a las personas, equipos y
ambiente de un escape accidental o incontrolado de hidrocarburos y sus consecuencias. En
SINCOR existen cuatro niveles diferentes de ESD:
ESD-1G, Black ShutDown: Aislamiento total y desactivacin de la instalacin.

Esto incluye las Unidades de Proceso de la Estacin Principal, las Utilidades de
la Estacin Principal y las macollas. Este nivel nunca debe apagar las bombas
de agua y la bomba de espuma del sistema contra incendio, el UPS de la Sala de
Control (MSCR) o el UPS de los Clusters. Esta funcin slo debe ser activada
desde la MSCR a travs de la matriz de la MSCR, una vez que el operador ha
detectado una alarma visible y audible.
ESD-1, Parada de Emergencia de Zona de Fuego: Se refiere a la parada de

todos los sistemas de procesos y servicios de una zona de fuego. Cuando este
12
ESD-1 es iniciado por el sistema de Fuego y Gas debido a una deteccin de

fuego, debe activarse el sistema de mitigacin asociado con esa zona de fuego.
En caso de deteccin de gas, una alarma debe ser levantada en la MSCR y bajo
decisin del operador, todas las fuentes de riesgo e ignicin en la zona de fuego
afectada deben ser apagadas (excepto las bombas de agua del sistema contra
incendio). Debe ser iniciado manualmente desde la MSCR Matriz y localmente
desde los puntos de llamada manual (MACs) as como automticamente desde
el sistema de F&G.
ESD-2, Parada de Unidad: Se refiere a la parada de una unidad, causada por

alteraciones en los procesos crticos. No hay entradas desde el sistema de F&G
en este nivel. La accin generada por este nivel consiste en cerrar todas las
vlvulas de parada (SDVs) y en el nivel inferior se inician las desconexiones
subsecuentes. Debe ser iniciado manualmente desde la Matriz de MSCR y
desde los botones locales en lugares estratgicos en cada zona de fuego. Un
ESD-2 puede ser iniciado tambin de forma automtica desde el sistema de
ESD.
ESD-3, Parada de proceso y equipo individual: Se refiere a la parada de

equipos. Debe ser iniciado automticamente por un estado anormal del proceso
a nivel de piezas individuales o equipos de proceso. Tambin puede iniciarse
manualmente a travs de la cnsola de ESD de la MSCR.
13
C A P T U L O 3 F U N D A M E N T O S TE R I C O S
En este captulo se incluyen las bases tericas que sustentan el estudio realizado. Se
pretende que el lector se familiarice con los trminos y procedimientos ms utilizados en el
desarrollo del presente trabajo, a fin de facilitar la comprensin de la metodologa aplicada
y de los resultados obtenidos.
3.1 SISTEMA INSTRUMENTADO DE S EGURIDAD
(SIS)
Un Sistema Instrumentado de Seguridad est diseado para responder a las

condiciones en la cual la planta puede ser peligrosa por si misma, o en las que si no se
toma ninguna accin, podra eventualmente alcanzar una condicin peligrosa. El SIS
tambin se conoce como Sistema de Parada de Emergencia (ESD System, o SSD System)
Un SIS est compuesto de sensores, uno o ms controladores (logic solvers) y

elementos finales. El propsito de un SIS es monitorear un proceso industrial por
condiciones potencialmente peligrosas y alertar o ejecutar acciones preprogramadas para
bien sea prevenir un evento peligroso, o mitigar las consecuencias del mismo luego que ha
ocurrido. Un SIS no aumenta la eficiencia del proceso ni mejora la produccin, pero puede
ahorrar dinero mediante la reduccin de las prdidas adems de reducir el costo del riesgo
mediante la disminucin de la probabilidad de ocurrencia de los eventos peligrosos.
La definicin de un Sistema Instrumentado de Seguridad se indica en la Figura 3.1.
SENSORES
PROCESADOR
LGICO
ELEMENTOS
FINALES
Figura 3.1 Definicin de un Sistema Instrumentado de Seguridad
Segn como se especifica en la definicin del SIS, las seales de control provienen
de elementos bsicos (Sensores, Transmisores de Presin, Transmisores de Nivel, etc...) de
14
diversos tipos y son transmitidas
a un procesador lgico que, de acuerdo a la
interpretacin de las seales de entrada, enva una seal de salida correspondiente, la cual
est conectada a los elementos finales.
3.2 F UNCIN INSTRUMENTADA DE S EGURIDAD ( S I F )

Una Funcin Instrumentada de Seguridad (Safety Instrumented Function, SIF) se
define como una funcin a ser implementada por un SIS, que pretende alcanzar o mantener
un estado seguro para el proceso respecto a un evento peligroso especfico. Un SIS est
constituido por una o ms SIF.
3 . 3 TA S A D E FA L L A S ( )
Una falla se define como una no conformidad a un criterio definido de operacin. La
tasa de fallas define la cantidad de fallas presentadas por un equipo o dispositivo en un
perodo de tiempo determinado (generalmente 106 horas). Las fallas ocurren cuando los
esfuerzos (stress) superan o exceden los niveles de fortaleza (strength) asociados. Los
esfuerzos son generalmente una combinacin de muchos esfuerzos. Los Equipos son
susceptibles a diferentes clases de esfuerzos: fallas de diseo, fallas de manufactura,
esfuerzos normales del medio ambiente y el uso normal. La tasa de fallas no es un factor
constante. Se dice que los dispositivos tienen tres etapas durante su vida til, en referencia
a la tasa de fallas. Al inicio de la vida del producto se espera una tasa de fallas muy alta y
decreciente, tambin llamada mortalidad infantil. Luego, comienza un perodo con una
tasa de fallas baja y constante . Por ltimo, existe el perodo de agotamiento en el que su
tasa de fallas empieza a incrementarse rpidamente, hasta cumplir con la vida til. Este
comportamiento se modela a partir de la curva de la baera, que se muestra en la Figura
3.2.
Mortalidad
Infantil
Mortalidad
Infantil
Vida Util
Vida
til
Desgaste del Equipo

Agotamiento
Tex
t
Fallas / hora
Fallas/Hora
15
Tiempo
Tiempo
Figura 3.2 Curva de la Baera
3.3.1 Determinacin de la Tasa de Fallas

Para cuantificar la tasa de fallas de los equipos se requiere la informacin histrica
de cmo los eventos que causan o propagan un accidente han ocurrido en el pasado. La
mejor fuente de esta data es el rcord de fallas previas y de mantenimiento de los equipos
de la planta. Esta informacin es mejor debido a que la tasa de fallas aplica a las
condiciones reales bajo las cuales operan los dispositivos. La informacin proveniente de
otras plantas o de bases de datos genricas de la industria podran no ser representativas
por cuanto los equipos son mantenidos de forma diferente o usados en condiciones de
proceso ms severas. Desafortunadamente, esta data histrica propia de la planta no est
disponible en la mayora de los casos de la forma como se quisiera, a pesar de que es
altamente recomendable debido a la valiosa informacin que brindan. Esto se debe
principalmente a que sta es una labor que requiere un recurso humano bien entrenado y
dedicado a este particular, sobretodo cuando la cantidad de equipos en una planta supera
las capacidades del personal de mantenimiento, que adems debe ocuparse de las rutinas
programadas y de las emergencias operacionales que sucedan.
Al no contar con data especfica de la planta, es posible hacer uso de bases de datos
genricas para realizar estudios aproximados que arrojen resultados que permitan predecir
el desempeo de los sistemas que se evalan. Por supuesto el buen juicio y las buenas
prcticas de ingeniera deben sustentar la escogencia de estos datos, para garantizar la
16
confiabilidad de los resultados que se obtengan, y de las decisiones que se tomen como
producto de estos anlisis.
Es posible calcular la tasa de fallas () de un equipo al cual se le ha llevado registro,

conociendo el nmero de veces que ha fallado y el tiempo total de operacin del mismo, y
haciendo ciertas suposiciones. Primero, se asume que la tasa de fallas es constante, por lo
que la falla tiene la misma probabilidad de ocurrir en cualquier momento. En ese caso, se
ignora la alta incidencia de fallas tpicamente encontrada cuando el equipo es instalado
inicialmente y cuando est cerca del final de su vida til. Es decir que nos situamos en el
tramo de la curva de la baera donde la tasa de fallas es constante y reducida. Segundo, se
asume que el nmero de fallas que han sido registradas constituye una muestra precisa.
Suponiendo que la tasa de fallas es constante y que existe suficiente data, entonces
es simplemente el nmero de fallas dividido entre el tiempo total de operacin del
equipo. Esto se expresa en la Ecuacin 3.1.
N deFallas
TiempoTotaldeOperaci n
Ecuacin 3.1
3.3.2 Modos de Falla

El modo de falla de un dispositivo es el sntoma, condicin o forma en la que ste
falla. Un modo de falla podra ser identificado como una prdida de funcin,
accionamiento prematuro (funcionamiento sin demanda presente), una condicin fuera de
tolerancia, o simplemente una caracterstica fsica (modo de falla incipiente) , por ejemplo
una fuga, que sea observada durante la inspeccin. En muchos casos, la tasa de fallas que
se lista en una base de datos se divide en cuatro tipos o modos de fallas:
Fallas Peligrosas Detectadas DD
Fallas Peligrosas Ocultas DU
Fallas Seguras Detectadas SD
Fallas Seguras Ocultas SU
17
Los modos de fallas peligrosas resultan en prdida de proteccin, sin embargo las
fallas peligrosas detectadas pueden ser rpidamente descubiertas y reparadas al contrario
de las fallas peligrosas ocultas, que se localizan cuando ocurre una demanda , por ello son
las ms importantes para el modelaje de los sistemas . Los otros dos modos de fallas
seguras: detectada y oculta resultan en una parada y luego en un arranque de la planta que
pudiera darse en condiciones menos seguras que en operacin normal. Los falsos disparos
tienen implicaciones de seguridad y/ o econmicas.
3.3.3 Fuentes de Data de la Industria

Como se mencion anteriormente, cuando la data especfica de la planta no est
disponible, se puede obtener informacin muy til de compilaciones genricas de data de
tasas de fallas. Las tasas de fallas presentadas en la mayora de las bases de datos
publicadas estn expresadas en trminos de fallas por milln de horas, por lo que el
analista deber convertir esta informacin a las unidades que se ajusten mejor al estudio
que se realice. Se requiere cierto juicio y algo de experticia cuando se utiliza data genrica
para una aplicacin especfica. El analista debe determinar cuando una situacin relevante
es ms o menos severa que el promedio y seleccionar la tasa de fallas apropiada de acuerdo
a su criterio. Algunas de las fuentes ms conocidas de tasas de fallas se mencionan a
continuacin. Esta lista representa slo una muestra de las bases de datos disponibles;
existen muchas otras tanto pblicas como privadas.
Guidelines for Process Equipment Reliability Data (Gua para la Data de

Confiabilidad de Equipos de Proceso): Publicada por el CCPS (Centro para la
Seguridad de Procesos Qumicos) del Instituto de Ingenieros Qumicos
(AIChE).
Offshore Reliability Data (OREDA): Publicado por Det Norske Veitas, es

una compilacin de data de muchas compaas operando en plataformas costa
afuera en el Mar del Norte. Usualmente se denomina OREDA seguido del
ao de publicacin (p.e. OREDA, 97). A pesar de que la data esta limitada a
aplicaciones costa afuera, es ampliamente utilizado en otras industrias debido
al vasto rango de dispositivos incluidos y a la gran cantidad de data.
Nonelectronic Parts Reliability Data (Data de Confiabilidad de Partes No

electrnicas): Publicada por el Centro de Anlisis de Confiabilidad del
18
Departamento de Defensa de los Estados Unidos (RAC). Tambin se

identifica por las siglas NPRD seguidas de su ao de publicacin (p.e. NPRD
95).
Reliability, Maintainability, and Risk (Confiabilidad, Mantenibilidad y

Riesgo): Escrita por David Smith y publicada por Butterworth-Heinemann, es
un libro de Ingeniera de Confiabilidad que contiene extensos apndices de
data de tasas de fallas para equipos que abarca desde grandes equipos de
procesos a pequeos dispositivos electrnicos.
Loss Prevention for the Process Industries (Prevencin de Prdidas para las
Industrias de Procesos): Compuesta por una coleccin de tres volmenes, es
la referencia definitiva en ingeniera de prevencin de prdidas. Contiene
muchas tablas de data de informacin de confiabilidad de equipos,
principalmente para equipos de plantas de procesos costa afuera y en tierra
firme.
Exida.com: Es una referencia electrnica disponible en Internet que rene

data de distintos fabricantes que contratan a estos especialistas para que
realicen estudios sobre los dispositivos que ofrecen a la industria, de manera
que estn disponibles para los clientes que soliciten esta valiosa informacin.
La desventaja que presenta es que no todos los fabricantes han adoptado este
recurso todava y los modelos de equipos incluidos en esta base de datos an
son escasos, debido a que es una alternativa reciente
Localmente se cuenta con data recopilada por PDVSA, la empresa petrolera del
Estado venezolano, que se presenta en el Manual de Ingeniera de Riesgo en la Norma
PDVSA IR-S-02 Criterios para el Anlisis Cuantitativo de Riesgos.
3.4 MTTF Y MTBF

El Tiempo Promedio para Fallar (Mean Time To Fail) se define como el inverso de
la tasa de fallas () si se asume que sta es constante. La Ecuacin 3.2 muestra esta
relacin.
MTTF =
Ecuacin 3.2
19
El Tiempo Promedio entre Fallas (Mean Time Between Failures) es igual al MTTF
pero slo se aplica para dispositivos o equipos reparables, mientras que el MTTF implica
que el equipo, al fallar, ser reemplazado por uno nuevo. El MTBF mide (usualmente en
miles de horas) el tiempo que transcurre desde que un equipo falla y es reparado hasta que
falla de nuevo. Esto introduce el concepto de Tiempo Promedio para Reparar (Mean Time
To Repair), que no es otra cosa que el tiempo que transcurre luego de una falla para que el
equipo vuelva a entrar en operacin de manera normal. En la Figura 3.3 se muestran
grficamente la relacin entre estos trminos.
MTBF
Operacin
Normal
Falla
Tiempo
MTTF
MTTR
Figura 3.3 Grfica de MTTF, MTBF y MTRH
3 . 5 PR O B A B I L I D A D D E F A L L A E N D EMANDA ( P F D )
Cuando se busca determinar la probabilidad de que la seguridad de un proceso falle,
nos interesa conocer su Probabilidad de Falla en Demanda (PFD). Esta probabilidad
depende de la tasa de fallas de los equipos. Adicionalmente, la PFD depende del Modo de
Falla de los mismos (falla segura o falla peligrosa) y el intervalo de tiempo entre pruebas
funcionales realizadas a los equipos. La PFD de un equipo que no es probado
frecuentemente (mnimo 1 vez al ao) se incrementa con el tiempo debido a que las fallas
tienden a no ser corregibles.
Para una tasa de fallas constante, la relacin entre la tasa de fallas y el intervalo de
tiempo entre pruebas es exponencial, como se describe en la Ecuacin 3.3.
20
PFDMax = 1 e t
Ecuacin 3.3
Donde:
PFDmax= Probabilidad mxima de Falla en Demanda, al final del intervalo de
tiempo en cuestin.
= Tasa de Fallas.
t= Tiempo Entre Pruebas.
Es importante notar que la Ecuacin 3.3 es la PFD mxima calculada sobre todo el
intervalo de tiempo entre pruebas, lo cual a pesar de ser una prctica segura y
conservadora, es ms correcto utilizar un promedio de la
probabilidad de falla. La
demanda para un sistema puede ocurrir en cualquier momento durante el intervalo de

tiempo entre pruebas con la misma probabilidad (asumiendo tasas de fallas constantes). La
Probabilidad de Falla en Demanda Promedio sobre un intervalo de pruebas puede
calcularse integrando la funcin de probabilidad de falla (Ecuacin 3.3) sobre el intervalo
de tiempo entre pruebas y dividiendo entre el mismo como se muestra en la Ecuacin 3.4.
(1 e )dt
PFDavg =
T
t= 0
Ecuacin 3.4
Usando la simplificacin de la funcin exponencial por Serie de Taylor:

e t 1 + ( t ) , la Ecuacin 3.3 queda: PFD max = 1 e t 1 (1 t ) t
Por lo que la Ecuacin 3.4 puede simplificarse como:

PFDavg =
T
2
Ecuacin 3.5
Esta aproximacin es vlida siempre y cuando el producto de la tasa de fallas y el

intervalo de tiempo entre pruebas sea pequeo, esta simplificacin ser suficientemente
precisa si la PFD calculada es menor a 0.1, con un error del 5%. Para valores entre 0.1 y
0.3 el error al aplicar la Ecuacin 3.5 puede alcanzar hasta un valor de 15%.
21
3 . 6 N IVEL DE R IESGO TO L E R A B L E
Los individuos y las sociedades toman decisiones importantes sobre qu riesgos
estn dispuestos a asumir y qu riesgos deciden rechazar. En todo proceso industrial y/ o
tecnolgico existe un riesgo asociado que las empresas deben manejar de forma tal que
sean compatibles con los patrones que dicta la sociedad al respecto. En este sentido existen
tres responsabilidades muy importantes a asumir por la industria, las cuales se muestran en
el diagrama de la Figura 3.4.
Hacer la Planta tan segura

como sea posible,
independiente de los costos
Moral
Cumplir con las
regulaciones y normas tal
como estn escritas,
independiente del costo y
nivel de Riesgo
Legal
Financiera
Construir la Planta al menor

costo posible, manteniendo el
presupuesto operacional tan
bajo como posible
Figura 3.4 Diagrama de responsabilidades de la empresa para asumir riesgos
Reconociendo las dificultades implcitas en juzgar la tolerabilidad de riesgos, se

decidi adoptar un enfoque de rango antes que valores limite estrictos, el cual sigue el
criterio de Tan bajo como razonablemente posible (As low As Reasonably Practicable
ALARP). Para ilustrar este enfoque se realiza un tringulo dividido en regiones o niveles.
El tringulo de la Figura 3.5 representa niveles crecientes de "riesgo" para una

actividad peligrosa determinada, a medida que nos movemos desde la parte inferior hacia
la parte superior. El tringulo se puede dividir en tres zonas:
La zona superior es la de nivel de riesgo inaceptable. En la prctica, un riesgo
que cae en esta zona se considera intolerable, cualesquiera que sean los beneficios que
proporcione la actividad. Toda actividad o prctica que contenga riesgos que caen en esta
zona superior debe prohibirse por principio, a menos que se pueda modificar para reducir
22
el riesgo, de modo que caiga en una de las zonas inferiores, o que haya razones
excepcionales para mantenerla.
La zona inferior es la de nivel de riesgo ampliamente aceptable. Los riesgos que
caen en esta zona se consideran, en general, insignificantes y adecuadamente controlados.

Los organismos reguladores no exigirn otras medidas para reducir el riesgo, a no ser que
haya medidas razonablemente practicables. Los niveles de riesgo que caracterizan esta
zona son comparables a los que la gente considera insignificantes o triviales en su vida
diaria. Son tpicos de las actividades que no son, de por s, muy peligrosas, o de actividades
peligrosas que estn controladas o se pueden controlar para reducir el riesgo hasta niveles
muy bajos. No obstante, se recomienda que los responsables reduzcan el riesgo, siempre
que sea razonablemente posible, o cuando la ley lo exija.
La zona intermedia es la de nivel de riesgo tolerable. Los riesgos de esta zona
son tpicos de las actividades que la gente est dispuesta a tolerar, a fin de asegurar sus
beneficios, confiando en que:
-La naturaleza y el nivel del riesgo se evalen convenientemente y los resultados
se utilicen para dictar medidas de control;
-Los riesgos residuales no sean excesivamente altos y se mantengan tan bajos
como sea razonablemente posible;
-Los riesgos se revisen peridicamente para garantizar que siguen cumpliendo
los criterios ALARP.
23
Figura 3.5 Tringulo de Zonas de Riesgo
El propsito de un Sistema Instrumentado de Seguridad (SIS) es el de reducir el

riesgo del proceso a un nivel tolerable, que se establece segn los criterios y
responsabilidades que la empresa est dispuesta a asumir. El Nivel de Integridad de
Seguridad (SIL) cuantifica la reduccin de riesgo que un SIS puede suministrar para llevar
el proceso a ese nivel de riesgo tolerable.
En este sentido, existen ciertos estndares que se utilizan para determinar

cuantitativamente en cada caso cul es el nivel de riesgo tolerable aplicable. Por ejemplo,
la norma PDVSA IR-P-02, se presenta una tabla que indica el nivel de riesgo aceptable, en
base a las ocurrencias al ao, de acuerdo a la potencia lidad de los daos segn el tipo de
instalacin que se estudie. Estos valores se muestran en la Tabla 3.1.
24
Tabla 3.1 Nivel de Riesgo Aceptable

Clasificacin de la Instalacin
Nivel de Riesgo Aceptable (ocurrencias/ao)

de acuerdo a la potencialidad de los daos
Normalmente atendida y no atendida con

potencial de afectar a terceros
Normalmente atendida con potencial de afectar
a personal propio y/o al ambiente
No atendida con potencial de producir prdidas
(costo reposicin, prdida de produccin) >
100M $
No atendida con potencial de daar equipos
mayores (principales de proceso)
10
10
10
10
No atendida con potencial de daar equipos

menores (auxiliares de proceso)
10
3 . 7 N IVEL DE INTEGRIDAD DE S EGURIDAD ( S I L )

Safety Integrity Level .Define el nivel de desempeo de seguridad para un SIS. Se
definen tres niveles discretos posibles (SIL 1, SIL 2 y SIL 3) segn la Probabilidad de
Falla en Demanda Promedio (PFDavg). Mientras ms alto, es mejor el desempeo de
seguridad del SIS. La Tabla 3.2 muestra la correspondencia entre el SIL y la Probabilidad
de Falla bajo Demanda del SIS y el Factor de Reduccin de Riesgo (RRF), segn la norma
ANSI/ISA-84.01-1996.
El Factor de Reduccin de Riesgo (RRF) no es ms que el inverso de la PFDavg,

RRF =
1
PFDavg
Ecuacin 3.6
25
Tabla 3.2: Correspondencia entre el SIL, la PFDavg y el RRF

Nivel de Integridad de
Probabilidad de Falla en
Factor de Reduccin de
Seguridad
Demanda Promedio
Riesgo
(SIL)
(PFDavg)
(RRF)
-1
-2
10 a 100
-2
-3
100 a 1000
-3
-4
1000 a 10000
10 a 10
10 a 10
10 a 10
En la Tabla 3.2, puede observarse que las asignaciones del SIL son esencialmente
categoras de orden de magnitud de la PFDavg. Adicionalmente, la categora SIL 1 tiene
un lmite superior de PFDavg=10-1 . Si se analiza con ms detalle, puede notarse que el
nmero de SIL es siempre el negativo del logaritmo del lmite superior del rango de la
PFDavg para cada categora . A pesar de que los estndares no definen el SIL de esa
forma, se puede calcular el nmero de SIL conociendo la PFDavg a partir de la definicin
que se muestra en la Ecuacin 3.7. Con esto puede tenerse una idea de que tanto se
aproxima el SIL obtenido, a la categora superior.
SIL = log 10 ( PFDavg )
Ecuacin 3.7
El objetivo del proceso de seleccin del Nivel de Integridad de Seguridad (SIL) es

reducir el riesgo del proceso bajo control a un nivel tolerable, que ya ha sido definido
definido. El SIL escogido implica un nivel real de reduccin de riesgo como parte de las
especificaciones de los requerimientos de seguridad, dado que define el rango de PFDavg
que la Funcin Instrumentada de Seguridad (SIF) debe proveer.
En el Captulo 5, seccin 5.2, se describen las metodologas para determinar el Nivel

de Integridad de Seguridad (SIL).
26
3 . 8 AN L I S I S D E L R B O L D E FA L L A S
El Anlisis del rbol de Fallas ha sido utilizado como herramienta para evaluar
escenarios de falla complejos, desde su desarrollo en los aos 60 para el Departamento de
Defensa de los Estados Unidos. H.A.Watson de los laboratorios Bell desarroll el Mtodo
del Anlisis de rbol de Fallas para el Proyecto Misil Polaris para evaluar el potencial
de un despegue inadvertido de un Misil Minuteman. Desde su origen en la industria
aeroespacial, este mtodo ha sido utilizado ampliamente por la industria de la energa
nuclear para evaluar cualitativa y cuantitativamente los peligros y riesgos asociados con la
operacin de las plantas nucleares. La aplicacin exitosa del FTA (Fault Tree Analysis) en
la industria aeroespacial y nuclear ha resultado en la subsiguiente adopcin por la industria
qumica y petroqumica.
El Anlisis del rbol de Fallas es un mtodo deductivo para identificar las

numerosas formas en las que las fallas de equipos, fallas de software, errores humanos,
factores ambientales y eventos externos, pueden ocasionar accidentes u otras condiciones
no deseadas. Un modelo de rbol de Fallas consiste en un evento tope y una estructura
lgica de interconexin de eventos que deben tener lugar para que el evento tope no
deseado ocurra. En la evaluacin de Sistemas Instrumentados de Seguridad existen dos
eventos topes de inters tpicamente: la falla en demanda del SIS y la falla segura del SIS.
Un modelo de la falla en demanda del SIS investiga el potencial del mismo de fallar
al ejecutar su funcin de seguridad diseada. En el evento de una falla en demanda, la
planta de procesos experimenta una condicin indeseada que el SIS ha debido detectar y,
bajo deteccin, automticamente llevar el proceso a un estado seguro, pero, debido a una
falla latente, el SIS no opera correctamente, permitiendo que la condicin indeseada y las
consecuencias subsiguientes se mantengan. En pocas palabras, el SIS falla en llevar a cabo
su funcin de diseo cuando es requerido.
El segundo evento tope que se considera al evaluar el SIS es la falla segura. En este
evento, el SIS ha tomado acciones cuando no est presente ninguna condicin del proceso
que lo requiera, este tipo de falla comnmente genera paradas injustificadas del proceso,
las cuales igualmente constituyen una condicin indeseada y en muchos casos, riesgosa,
27
debido al peligro que representa y a los inconvenientes que genera volver a entrar en
operacin.
Ambos eventos, la falla en demanda y la falla segura son caractersticas crticas del
desempeo del SIS.
3.8.1 Componentes del Modelo del rbol de Fallas

El modelo del rbol de Fallas consiste en un evento tope, en fallas simples llamadas
eventos bsicos y operadores lgicos que dictan cmo los eventos bsicos deben
combinarse para resultar en una falla, descrita por el evento tope definido. Los eventos
bsicos, son los bloques que construyen el modelo. Estos eventos pueden ser una falla de
hardware, un error humano, o una condicin adversa. Las fallas de hardware son
expresadas usualmente en trminos de un componente especfico y un modo de falla. Por
ejemplo: Falla de un transmisor de presin para responder a una condicin de alta presin.
Los errores humanos pueden ser una falla para desempear cierta labor ( falla al colocar el
controlador en automtico), falla al ejecutar una accin especfica de recobro (falla al
arrancar un sistema de respaldo), o la ejecucin de una accin incorrecta que tiene efectos
adversos sobre el evento tope del rbol de fallas (aislar un transmisor del proceso). Una
condicin adversa no es necesariamente una falla, pero en combinacin con otros eventos
puede llegar a serlo.
Se asume que los eventos bsicos son independientes entre ellos. Esto significa que
la ocurrencia de un evento bsico no afecta la probabilidad de ocurrencia de ningn otro
evento bsico. Por ejemplo, supongamos que tenemos dos generadores diesel, y la falla de
cualquiera de ellos para arrancar en demanda es un evento bsico. La independencia de
loes eventos bsicos dice que si un generador falla al arrancar en demanda, esto no altera la
probabilidad de que el segundo generador falle al arrancar. Un evento de causa comn,
como dos generadores diesel fallas al arrancar debido a condiciones climticas fras
inusuales, debe ser modelado como un evento bsico aparte, y se asignar su propia
probabilidad de falla o tasa de fallas. As este evento es visto como estadsticamente
separado de todos los dems eventos bsicos.
28
Las compuertas lgicas se usan para conectar los eventos bsicos y las condiciones
secundarias resultantes, para representar las formas de alcanzar el evento tope definido.
Existen dos tipos bsicos de compuertas: compuertas OR y compuertas AND.
Las compuertas OR se usan para relacionar los eventos suficientes, una combinacin
de eventos donde se requiere slo uno para crear la condicin secundaria. Las compuertas
AND se utilizan para representar la combinacin de eventos necesarios, un conjunto de
todos los eventos necesarios para crear la condicin secundaria. Por ejemplo , la falla de
una bomba elctrica de extincin de incendio y la falla de la bomba diesel de respaldo
creando la condicin secundaria ,falla del sistema de agua contra incendio .
En la construccin de un rbol de fallas se utilizan una cantidad de smbolos para

reflejar los distintos tipos de eventos y compuertas lgicas. Los smbolos ms comunes se
presentan en la Figura 3.6.
29
Compuerta
AND
Indica que el evento

ocurre si todos los
eventos entrada ocurren
simultneamente
Compuerta OR

ocurre si al menos uno
de los eventos entrada
ocurre
OR Exclusivo
El evento ocurre si uno

de los eventos entrada
ocurre pero no ambos
NOT

ocurre si el evento
entrada no ocurre
INHIBICIN
La entrada produce
salida cuando existe
un evento
condicional
VOTACIN
k de N
El evento ocurre si
al menos K de los n
eventos entrada
ocurren
Evento Tope/
Evento Intermedio
Elemento Bsico
Smbolo de
Transferencia
Figura 3.6 Simbologa utilizada en el rbol de Fallas
3.8.2 Desarrollo del rbol de Fallas

El Anlisis del rbol de Fallas de un Sistema Instrumentado de Seguridad se lleva a
cabo siguiendo los siguientes pasos:
1. Identificar la Funcin de Seguridad del SIS
2. Definir el Evento Tope
3. Construir el rbol de Fallas
30
4. Desarrollar el Anlisis Cualitativo

5. Desarrollar el Anlisis Cuantitativo
1. Identificar la Funcin de Seguridad del SIS

La Funcin de Seguridad del SIS es la funcin implementada por el SIS que pretende
alcanzar o mantener un estado seguro, a fin de evitar un evento peligroso especfico. La
Funcin de Seguridad del SIS puede ser simple o compleja, de acuerdo al proceso y el
evento peligroso al que est dirigido. Un ejemplo de una Funcin de Seguridad simple
sera la prevencin del sobrellenado de un tanque mediante el apagado de la bomba de
suministro cuando se detecta una condicin de alto nivel.
2. Definir el Evento Tope

Como se discuti anteriormente, los eventos tope ms relevantes en la evaluacin
del SIS son la falla en demanda y la falla segura.
3. Construir el rbol de Fallas

Los rboles de Falla se construyen comenzando con el evento tope, y deduciendo los
eventos ms relevantes que pueden conducir directamente al tope. Cuando se modela un
SIS, el nivel inmediato inferior al tope est compuesto tpicamente por los eventos
suficientes de Falla de los Dispositivos de Entrada, Falla del Procesador Lgico y
Falla de los Accionamientos Finales. Luego, cada uno de estos eventos intermedios es
considerado por separado. Los eventos que ocurren para contribuir a la ocurrencia de los
eventos intermedios se identifican y se interconectan con la compuerta lgica apropiada.
Este desarrollo del rbol de Fallas contina hasta que todas las ramas hayan sido
terminadas por eventos bsicos, no desarrollados o externos.
4. Evaluacin Cualitativa del rbol de Fallas

La evaluacin cualitativa de un rbol de Fallas permite identificar cuntos caminos
hacia el evento tope existen, cul es el menor nmero de eventos que forman un conjunto
de eventos suficientes, y cul es la importancia de cada evento bsico particular.
31
5. Evaluacin Cuantitativa del rbol de Fallas

El rbol de Fallas puede ser cuantificado a fin de determinar la probabilidad de falla
en demanda del SIS (PFD) o la probabilidad de falla segura (PFS), segn sea el caso que se
quiera analizar. El primer paso en la cuantificacin de un rbol de Fallas es la
identificacin de la tasa de fallas () para cada uno de los eventos bsicos. A travs del uso
de data genrica publicada o data recolectada en la propia planta, los datos requeridos
pueden ser localizados. En la determinacin de la PFD, el resultado obtenido es una
probabilidad. Por consiguiente, todos los eventos bsicos deben ser expresados como
probabilidades. La frecuencia de falla puede ser convertida en probabilidad mediante el
uso de una ecuacin que refleje el modo de operacin del dispositivo. Existen ecuaciones
para componentes en operacin contina sin reparacin, con reparacin y componentes en
modo stand-by con pruebas peridicas.
La probabilidad de ocurrencia del evento tope se calcula aplicando ciertas ecuaciones

a cada compuerta lgica, trabajando desde la base del rbol hacia el tope. La ecuacin de
probabilidad de una compuerta AND se calcula multiplicando las probabilidades de los
eventos de entrada de la compuerta utilizando la Ecuacin 3.8. La probabilidad resultante
de una compuerta OR se calcula mediante la Ecuacin 3.9.
P =
i =1
Pi
Ecuacin 3.8
P =1
(1 P )
i =1
Ecuacin 3.9
32
CAPTULO 4 DESCRIPCIN
DEL
PROBLEM A
OB J E T I V O S
4 . 1 D E S C R I P C I N D E L PR O B L E M A
Los Sistemas Instrumentados de Seguridad se disean e instalan con el propsito de
reducir el Nivel de Riesgo asociado a un proceso cuando la evaluacin del mismo indican
que ste no es tolerable bajo las condicione s en las que opera segn criterios
preestablecidos.
La complejidad y confiabilidad requerida para un Sistema Instrumentado de

Seguridad (SIS) viene dada en trminos del Nivel de Integridad de Seguridad (SIL), el cual
se mide a partir de la Probabilidad de Falla en Demanda o el Factor de Reduccin de
Riesgo del SIS. Mientras mayor sea el SIL determinado para el diseo del sistema, la
Probabilidad de Falla en Demanda del mismo deber ser menor y, a su vez, el Factor de
Reduccin de Riesgo ser mayor.
En ese sentido, este estudio surge como una primera aproximacin a la cuantificacin
de los requerimientos de reduccin de riesgo existentes para ciertos procesos que se
describirn y analizarn a lo largo de este trabajo. Todo esto para verificar que cada una de
las Funciones Instrumentadas de Seguridad (SIF) que conforman el Sistema Instrumentado
de Seguridad (SIS) instalado en la Estacin Principal, satisfacen el Nivel de Integridad de
Seguridad (SIL) que se asignar para lograr la reduccin de riesgo requerida.
Adems de esto, como parte del sistema de Fuego y Gas, los detectores pticos de
llama, tecnologa UV/IR, juegan un papel fundamental en la integridad del SIS instalado,
esto debido a que la deteccin de fuego en cualquier zona de la planta est programada
para iniciar una parada de nivel ESD-1 en la zona de fuego en cuestin y de la zona
adyacente. Por ello, las falsas alarmas registradas por estos dispositivos constituyen un
importante problema de seguridad, ya que ocasionan una degradacin considerable de la
confiabilidad del sistema. Es por ello que en el presente trabajo se analizan las posibles
causas de estas falsas alarmas y se proponen soluciones viables a este problema.
33
4.2 OBJETIVOS
4.2.1 Objetivo General

Determinar si cada una de las Funciones Instrumentadas de Seguridad pertenecientes
al Sistema de ESD, diseadas e instaladas para garantizar la reduccin del riesgo inherente
a cada uno de los procesos que se estudian, efectivamente cumplen con el Nivel de
Integridad de Seguridad que se asigna media nte el anlisis cuantitativo correspondiente
que se desarrolla en este trabajo.
4.2.2 Objetivos Especficos
Determinar, cuantitativamente, para cada uno de los lazos crticos de control
estudiados, el riesgo inherente al proceso ms el Sistema de Control Bsico de Procesos,

para compararlo con el Nivel de Riesgo Tolerable que se establece, a fin de cuantificar el
riesgo remanente a ser cubierto por el Sistema Instrumentado de Seguridad.
Asignar, de forma cuantitativa, para cada una de las Funciones Instrumentadas de
Seguridad requeridas, el Nivel de Integridad de Seguridad necesario para alcanzar el Nivel

de Riesgo Tolerable en cada uno de los lazos crticos de control estudiados.
Verificar cuantitativamente, si el Nivel de Integridad de Seguridad para cada una de
las Funciones Instrumentadas de Seguridad instaladas, cumple efectivamente con lo

asignado de acuerdo al punto anterior.
Establecer el origen de las falsas alarmas reportadas por algunos detectores de
fuego (UV/IR) ubicados en la Estacin Principal, y plantear un conjunto de

recomendaciones que puedan ser aplicadas para reducir al mnimo posible este tipo de
activaciones indeseadas.
34
CAPTULO 5 MARCO METODOLGICO

En este captulo se presenta la metodologa a utilizar para lograr cumplir con los
objetivos descritos en el Captulo 4. Se define el alcance del estudio segn las etapas del
Ciclo de Vida de Seguridad de un Sistema Instrumentado de Seguridad que se cubren en el
desarrollo de este trabajo.
5 . 1 CICLO
DE
V IDA
DE
S EGURIDAD
DE
UN
S ISTEMA
I N S T R U M E N T A D O D E S E G U R ID A D
El Ciclo de Vida de Seguridad debe comprender las actividades para la implantacin
de los Sistemas Instrumentados de Seguridad (SIS) desde la concepcin inicial hasta el
desmantelamiento. En la Figura 5.1 se presenta un diagrama de flujo que ilustra cada etapa
del ciclo de vida de seguridad de un SIS.
El alcance de este trabajo abarca las etapas del ciclo de vida de seguridad que han
sido resaltadas en el diagrama de la Figura 5.1, las cuales se detallan a continuacin.
35
Diseo
conceptual del
proceso
Identificacin de peligros
y eventos pelig rosos y
valoracin del nivel de
riesgo
Aplicar capas de
proteccin no SIS para
prevenir riesgos
identificados o reducir el
riesgo
Verificacin del Nivel

de Integridad de
Seguridad SIL
Figura 5.1 Ciclo de Vida de Seguridad de un Sistema Instrumentado de Seguridad
5.1.1 Identificacin
de
peligros
eventos
peligrosos
valoracin del nivel de riesgo

Durante esta etapa del ciclo de vida de seguridad, se deben identificar los peligros y
sus causas que pudiesen ocasionar liberacin incontrolada de energa y/ o productos
txicos, afectando a terceros, personal propio, ambiente y/ o equipos. La identificacin de
peligros pretende encontrar las condiciones de eventos peligrosos presentes en una planta o
proceso. Los mtodos y tcnicas recomendados por la norma PDVSA IR-P-02 para la
identificacin de peligros y las causas iniciadoras de los mismos, son:
36
Estudios de Riesgos y Operabilidad (HAZOP)

What If? (Que pasara si....?)
Modos de Fallas, Efectos y Anlisis de Criticidad (FMEA/FMECA)
Anlisis de rbol de Fallas (FTA)
rbol de Eventos (ETA)
El anlisis y evaluacin de riesgos se deben llevar a cabo tanto en los procesos de
instalaciones nuevas como existentes, que sufran modificaciones en su proceso o en los
que no cuenten con dichos anlisis. Se debe considerar el riesgo sobre el personal, medio
ambiente, produccin, equipo e imagen corporativa de la empresa. El objetivo de un
anlisis de riesgo es la identificacin de riesgos de proceso, una vez identificados los
mismos, se lleva a cabo su valoracin (frecuencia/ consecuencia) y posteriormente se debe
decidir si ese riesgo es tolerable o no basndose en los criterios de aceptacin del riesgo
especfico para el sistema y/ o instalacin.
5.1.2 Definir
el
Nivel
de
Integridad
de
Seguridad
(SIL)
Objetivo
En esta fase del Ciclo de Vida de Seguridad debe establecerse la metodologa a
utilizar segn las condiciones del proceso, las limitaciones en cuanto a recursos humanos,
data y/ o las herramientas con que se cuenta para llevar a cabo el estudio. A continuacin
se describen los mtodos ms comunes y se presentan las fortalezas y debilidades de cada
uno de ellos.
5.1.2.1 Mtodos Cualitativos
Los anlisis cualitativos pueden presentar cierto nivel de incertidumbre y tienden a
arrojar resultados conservadores, no obstante, la ventaja principal de esta metodologa es
su simplicidad, lo cual conlleva a un requerimiento menor de tiempo para el
establecimiento del SIL. En caso de obtener un SIL mayor o igual a 2 usando el mtodo
cualitativo, se debe validar este clculo aplicando la metodologa cuantitativa. A
continuacin se describen dos mtodos cualitativos utilizados para definir el SIL objetivo.
37
Mtodo General de Matriz de Capas de Seguridad
El mtodo matriz de capas de seguridad es un mtodo cualitativo que permite

determinar el SIL de un SIS por medio de una estimacin del riesgo, que requiere de una
evaluacin de la severidad de las consecuencias de los eventos peligrosos, y de la
probabilidad de ocurrencia de todos los eventos iniciadores que podran conllevar a
consecuencias. El tercer eje de la matriz requiere de una evaluacin cualitativa de la
efectividad de las capas de proteccin previstas (tales como sistemas de proteccin o capas
que tpicamente involucran diseo de procesos especiales, equipo del proceso,
procedimientos administrativos, planes de emergencias y/o contingencias). En la Figura
Moderado
Bajo
Severidad de
Consecuencias
Alto
5.2 se muestra la matriz descrita.
NA
NA
NA
NA
NA
NA
NA
Alta
Moderada
Efectividad de
Capas de
Proteccin
Baja
Bajo
Moderado
Alto
Probabilidad de
Ocurrencia de Eventos
Iniciadores
Figura 5.2: Matriz de Capas de Seguridad para la Determinacin del SIL
El resultado de la matriz ser el valor del SIL correspondiente al SIS a instalar para
el evento particular.
En la Tabla 5.1 y Tabla 5.2, se presentan unas guas cualitativas para ayudar a
determinar las frecuencias de ocurrencia de accidentes y severidad de las consecuencias de
los eventos peligrosos, respectivamente.
38
Tabla 5.1: Rangos Cualitativos para evaluar la Frecuencia de Ocurrencia del evento
peligroso
Frecuencia
Tipo de Evento
Veces/Ao
Eventos de muy baja frecuencia de

ocurrencia, tales como fallas
mltiples de instrumentos, errores
humanos mltiples fallas de
equipos.
F<104
Eventos de baja frecuencia de

ocurrencia, incluye la combinacin 104 < F < 102
de fallas de instrumentos con fallas
humanas.
Eventos de frecuencia mediana
alta, tales como fallas de vlvulas
F > 102
de instrumentacin.
Rango
Cualitativo
Bajo
Moderado
Alto
Tabla 5.2: Rangos Cualitativos para evaluar la Severidad de las Consecuencias del evento
peligroso
Consecuencias del Evento Peligroso
Severidad
Daos menores al equipo, no implica parada del

proceso, heridas y/o daos menores al personal
y al ambiente.
Baja
Daos al equipo, breve parada del proceso,

heridas y/o daos al personal y al ambiente.
Graves daos al equipo, parada del proceso por

un largo perodo de tiempo, consecuencias
catastrficas al personal, al ambiente y/o a
terceros.
Moderada
Alta
Mtodo General de Grfica de Riesgo
El mtodo Grfico de Riesgo simplificado est basado en la siguiente ecuacin:
R (Riesgo) = f (Frecuencia) x C (Consecuencia)
39
Donde:
R: Riesgo sin el sistema instrumentado de seguridad (SIS)
f: Frecuencia del evento peligroso sin el SIS
C: Consecuencia del evento peligroso (Las consecuencias pueden estar relacionadas
a daos asociados a personas, equipos y/ o ambiente).
La frecuencia (f) de cada evento peligroso se considera influenciada por tres factores:
1. Frecuencia y tiempo de exposicin en la zona peligrosa (F).
2. Probabilidad de evitar el evento peligroso (P).
3. Probabilidad de que el evento peligroso ocurra sin la adicin de un SIS (W).
Por lo tanto, el riesgo (R) a calcular depende de todos los parmetros mencionados.
La combinacin de los parmetros de riesgo descritos anteriormente, permite el

desarrollo de la grfica del riesgo.
El uso de los parmetros de riesgo C, F y P conllevan a un nmero de salidas X1, X2,

X3, ...XN. Cada una de estas salidas son direccionadas a uno de los tres niveles de
probabilidad de ocurrencia del evento peligroso (W1, W2 y W3). Cada punto en esta escala
es una indicacin del SIL requerido. En algunos casos particulares un SIS no es suficiente
para la reduccin del riesgo requerido.
La seleccin entre W1, W2 y W3 depender de la probabilidad de ocurrencia del
evento no deseado.
El resultado final de la Grfica de Riesgo puede conllevar a la obtencin de:
SIL (1, 2 3). Como medida de reduccin de riesgo requerida del sistema.
Al no requerimiento de un SIS (el cual es denotado por la letra a).
Casos particulares donde un SIS no es suficiente (identificado con la letra b).
La definicin de los parmetros indicados en la Figura 5.3 (C, F, P y W) son

representados en la Tabla 5.3, Tabla 5.4, Tabla 5.5 y Tabla 5.6.
40
Figura 5.3 Grfica de Riesgo
Tabla 5.3: Evaluacin Cualitativa del Parmetro C (Severidad de las Consecuencias)

Parmetro
Severidad
C1
Muy Baja
C2
Baja
Consecuencias del Evento

Heridas leves al personal, sin daos al ambiente o sin daos al
equipo.
Lesiones mayores al personal o daos menores al ambiente,

daos menores al equipo, no implica parada del proceso.
C3
Moderada
Una fatalidad o daos al ambiente recuperables al mediano plazo,

daos al equipo y breve parada del proceso.
C4
Alta
Varias fatalidades o dao permanente al ambiente, graves daos

al equipo y parada del proceso por un largo perodo de tiempo.
41
Tabla 5.4: Evaluacin Cualitativa del Parmetro F (Frecuencia de Exposicin al Peligro)

Parmetros
Clasificacin
F1
Menor
F2
Mayor
Descripcin
Muy baja a baja frecuencia de
exposicin al peligro.
Muy alta frecuencia de exposicin
al peligro.
Tabla 5.5: Evaluacin Cualitativa del Parmetro F (Frecuencia de Exposicin al Peligro)

Parmetros
Clasificacin
Descripcin
P1
Posible
*Posible bajo ciertas condiciones
P2
Poco Posible
*Casi imposible
(*) Este parmetro toma en consideracin lo siguiente:

Operacin del proceso [supervisado (operado por personal entrenado no
entrenado) no supervisada.]
Rapidez del desarrollo del evento peligroso (por ejemplo: rpido, inmediato o
lento).
Facilidad de identificacin del peligro: inmediatamente, detectado por medios
tcnicos o no detectado.
Rutas de escape (sealizacin, acceso, etc)
42
Tabla 5.6: Evaluacin Cualitativa del Parmetro W (Probabilidad de Ocurrencia del Evento
Peligroso)
Probabilidad de Ocurrencia
Eventos de muy baja probabilidad
de ocurrencia, tales como fallas
mltiples de instrumentos, errores
humanos mltiples fallas
espontneas de equipos.
Eventos de baja probabilidad de
ocurrencia, incluyen la
combinacin de fallas de
instrumentos con fallas humanas.
Eventos de probabilidad mediana
alta, tales como fallas de vlvulas o
de instrumentacin.
Frecuencia (Veces al ao)
Fr <104
Clasificacin
W1
Muy Baja
W2
104 < Fr < 102
Fr > 102
Baja
W3
Moderada a Alta
5.1.2.2 Mtodo Cuantitativo

Este mtodo se fundamenta en la estimacin de frecuencias y clculo de
consecuencias de los eventos peligrosos o no deseados. Para la estimacin de frecuencias,
se utiliza la tcnica del Anlisis del rbol de Fallas, que se describe en la Seccin 3.6 del
Captulo 3.
La determinacin del SIL realizada en este trabajo se basa en este mtodo, debido a
que proporciona resultados ms objetivos y auditables. Sin embargo requiere mayor
esfuerzo que las tcnicas cualitativas, sobretodo a la hora de localizar la data de tasas de
fallas de los elementos que conforman el rbol de fallas.
Los pasos para la determinacin del SIL mediante el mtodo cuantitativo son los
siguientes:
1. Identificar los eventos peligrosos para cada uno de los lazos de control estudiados.
2. Definir el Nivel de Riesgo Tolerable.
3. Desarrollar el rbol de Fallas para cada SIF.
4. Cuantificar el Riesgo del Proceso ms el Sistema de Control de Procesos (BPCS),
en trminos de la PFDavg como resultado del desarrollo del rbol de Fallas.
5. Comparar con el Nivel de Riesgo Tolerable definido en el paso 2.
43
6. Si en el paso 5 se determina que existe un riesgo remanente a ser cubierto por el

SIS, entonces es necesario determinar la Probabilidad de Falla en Demanda (PFDSIF) que
permita reducir el riesgo hasta la meta de nivel de Riesgo Aceptable por medio de la
Ecuacin 5.1:
PFDAVG =
Riesgo Aceptable
Rf
Ecuacin 5.1
Donde:
Rf: Frecuencia de ocurrencia final del riesgo
PFDavg: Probabilidad de falla en demanda promedio
Con el resultado obtenido, se determina el Nivel de Integridad de Seguridad de

acuerdo con la Tabla 3.2 y/ o la Ecuacin 3.6. A partir del SIL resultante se contina con
el Ciclo de Vida del SIS.
5.1.3 Verificacin del Nivel de Integridad de Seguridad (SIL)

Una vez que el SIS ha sido diseado en su totalidad, es necesario comprobar si el
Nivel de Integridad de Seguridad alcanzado por el mismo es suficiente para cubrir los
requerimientos de riesgo tolerable planteados en la etapa anterior, descrita en la seccin
5.1.2, donde se defini el SIL objetivo.
En el presente trabajo, dado que los sistemas bajo estudio se encuentran en la fase de
operacin, la verificacin se realizar a partir de lo existente en la planta, con ello se
determinar si el SIS instalado requiere modificaciones para cumplir con lo establecido en
las etapas anteriores del Ciclo de Vida de Seguridad ya descritas.
Para llevar a cabo esta verificacin se utilizar la misma metodologa cuantitativa,

basada en el Anlisis del rbol de Fallas, que se utiliza para determinar la PFDavg del
Sistema de Control de Procesos, partiendo de que se conoce el SIL objetivo, que tambin
se hallar en este estudio.
44
CAPTULO 6 D ESCRIPCIN
DE LOS
SI S T E M A S
EN
E STUDIO
6 . 1 S ISTEMA 1: R ECEPCIN DEL CRUDO Y S EPARACIN DE GAS

El crudo diluido proveniente de las macollas es transportado en lneas troncales a la
Estacin Principal, donde es recibido en los Slug Catchers. La mayora del gas asociado es
separado en estos recipientes y enviado
al Sistema de Gas Combustible (Fuel Gas
System).
El crudo diluido de los
Slug Catchers es bombeado bajo control de presin y
reseteado por control de nivel. A medida que el flujo de crudo se incrementa, el nivel en
el Slug Catcher aumenta y el controlador de nivel eleva el punto de ajuste del controlador
de presin, el cual cierra la vlvula de control de presin (PV) y el flujo reciclado se
reduce. Esto incrementa el flujo a los Precalentadores de Agua/Crudo. De forma similar,
cuando el flujo de crudo a los Slug Catchers disminuye, el nivel desciende y el controlador
de nivel reduce el punto de ajuste del controlador de presin, el cual abre la vlvula de
control de presin (PV). Esto incrementa el flujo reciclado y reduce el flujo a los
Precalentadores de Agua/Crudo.
El proceso en cuestin est regulado por el Sistema de Control de Procesos (BPCS),

el cual est conformado bsicamente por lazos de control de presin y nivel. La falla de
cualquiera de los componentes de estos lazos puede convertir al BPCS en iniciador de los
eventos para los que fue diseado a evitar. Por esta razn se evaluar el desempeo de este
sistema de control en trminos de la PFDavg de sus componentes, de esa forma se obtendr
el riesgo inherente al proceso que se estudia junto con el BPCS instalado.
El diagrama del sistema en que se describe se muestra en la Figura 6.1.
45
30
PV
007B
30
PIC
007B
GAS TO
FLARE
30
PI
007
30
PV
007A
30
PIC
007A
SP
FUEL GAS
30
PIT
007
30
LIT
002
30
LIC
002
Slug Catcher D-3001A

Crude Oil
P-3001
30
LV
002
Figura 6.1 Diagrama de los lazos de control de presin y nivel en el Slug Catcher
Como se muestra en la Figura 6.1, los lazos de control aplicados a este proceso se
componen de los siguientes elementos:
Sensores:
-30-LIT-002: Transmisor de Nivel del Slug Catcher.
-30-PIT-007: Transmisor de Presin del Slug Catcher.
Controladores Lgicos:
-BPCS PLCs. Ubicados en el ISH. Dispuestos en configuracin redundante HotStand By.
Elementos Finales:
-30-LV-002: Vlvula de Control de Recirculacin de Crudo.
-30-PV-007A: Vlvula de Control de Salida de Gas Combustible.
-30-PV-007B: Vlvula de Control de Salida de Gas al Flare.
46
6.2 SISTEMA
2:
D ESHIDRATACIN
DEL
CR UDO
AL M A C E N A M I E N T O D E A G U A D E PR O D U C C I N
El segundo sistema que se estudiar pertenece al proceso de deshidratacin del crudo
y almacenamiento del agua de produccin antes de ser enviada a la planta de tratamiento.
Los Deshidratadores remueven el agua en el crudo diluido a menos del 2% vol. Esto
se logra mediante la inyeccin de qumicos demulsificantes y la aplicacin de corriente
electrosttica a la mezcla de agua y crudo. El agua separada fluye desde el fondo a travs
del control de nivel de interfaz y el crudo fluye desde el tope. El flujo de agua fresca hacia
el Deshidratador se regula mediante un control de flujo, el cual se ajusta para mantener
alrededor de un 10% vol. de agua a la entrada del Deshidratador. El corte de agua en el
crudo de salida es medido por medidores de sedimentos bsicos y agua (BS&W) en lnea.
Este proceso se inicia en los Deshidratadores (D-3004A y D-3004B), donde se ubica

un lazo de control del nivel de interfaz, que regula la cantidad de crudo que contiene el
agua producida, para evitar niveles superiores a los manejables por la planta de
tratamiento. Este agua es enviada hacia el Precalentador Agua/Crudo (E-3001A) donde es
precalentada para luego fluir hacia el Intercambiador de Calor Agua/Agua (E-3005A), a
cuya salida se localiza un lazo de control de temperatura, que evita que la temperatura del
agua que se dirige hacia la planta de tratamiento sea superior al valor para el que fueron
diseados los equipos que la componen. Finalmente se ha incluido el lazo de control de
nivel en el Tanque de Agua (T-3802) donde se almacena el agua.
La falla de cualquiera de los lazos de control descritos ocasiona condiciones

irregulares del proceso que ameritan el aislamiento de la salida del agua de produccin que
proviene de los Deshidratadores (D-3004A y D-3004B).
Estas condiciones estn reflejadas en el Diagrama de Causa y Efecto y son las

siguientes:
-Bajo nivel de interfaz en los Deshidratadores
-Alta temperatura del agua de produccin a la salida del Intercambiador de Calor
Agua/Agua (E-3005A)
47
-Alto Nivel en el Tanque de Agua (T-3802)

Es por ello que se realizar la cuantificacin de la PFDavg de los elementos que
componen estos lazos de control, para determinar el riesgo del proceso ms el BPCS para
hallar el riesgo remane nte y establecer el requerimiento de protecciones adicionales. En la
Figura 6.2 se muestra un diagrama que contiene los lazos de control descritos.
30
LIT
182/
196
30
LIC
182/
196
30
LSV
182A/
196A
Oil Dehydrator D-3004A/B
E-3001A
38
LIT
049
38
LI
049
30
TE
262
30
TI
262
E-3005A
T-3802
Figura 6.2 Diagrama del Siste ma de Control de Nivel y Temperatura en el proceso de

Produccin de Agua
El Sistema de la Figura 6.2, como puede apreciarse, se compone de los siguientes

elementos:
Sensores:
-30-LIT-182: Transmisor de Nivel del Deshidratador D-3004A.
-30-LIT-196: Transmisor de Nivel del Deshidratador D-3004B.
-38-LIT-049: Transmisor de Nivel del Tanque de Agua T-3802.
-30-TE-262: Transmisor de Temperatura.
Procesadores Lgicos:
-BPCS PLCs. Ubicados en el ISH. Dispuestos en configuracin redundante Hot
Stand-By.
48
Elementos Finales:
-30-LV-182A: Vlvula de Control de Salida de Agua del Deshidratador
D-3004A.
-30-LV-196A: Vlvula de Control de Salida de Agua del Deshidratador
D-3004B.
-30-TI-262: Indicador de Temperatura. Mostrado en la MSCR.
-38-LAL-049/38-LAH-049: Alarma de Nivel Bajo/Alto del Tanque de Agua T-3802.
Mostrada en la MSCR.
49
CAPTULO 7 D ESARROLLO
DEL
E STUDIO: P RIMERA P ARTE.
I D E N T I F I C A C I N D E EV E N T O S P E L I G R O S O S Y D ETERMINACIN DEL
SIL OBJETIVO
El desarrollo de este estudio est dividido en dos partes, la primera de ellas, que se
incluye en este captulo abarca dos etapas del Ciclo de Vida de Seguridad del SIS descritas
en el Captulo 5, Secciones 5.1.1 y 5.1.2: La identificacin de eventos peligrosos y la
determinacin del SIL objetivo. En el presente captulo, se describirn en detalle estas dos
fases del Ciclo de Vida de Seguridad aplicadas a los procesos que se explicaron en el
Captulo 6.
7 . 1 I DENTIFICACIN DE LOS EV E N T O S P ELIGROSOS

Como paso inicial para el desarrollo del estudio se encuentra la identificacin de los
eventos peligrosos, la cual constituye una de las etapas iniciales del Ciclo de Vida de
Seguridad del Sistema Instrumentado de Seguridad, por ello es necesario definir con
exactitud para cada lazo de control cul es el evento a evitar mediante el Sistema de
Control (BPCS) para que sea posible cuantificar la efectividad del mismo.
Los sistemas a considerar son los descritos en el Captulo 6.
7.1.1 Sistema 1: Recepcin del Crudo y Separacin de Gas

Este sistema est compuesto por dos lazos de control: un lazo de control de nivel y
un lazo de control de presin, los cuales constituyen las Funciones Instrumentadas de
Seguridad del SIS, cuya disposicin y componentes ya fueron descritos en la Seccin 6.1
del Captulo 6. Segn la filosofa de control las condiciones irregulares del proceso para las
que el Sistema de Control (BPCS) fue diseado a evitar son las que se mencionan a
continuacin:
-Alta presin
-Baja presin
-Alto nivel
50
De acuerdo al HAZOP Review Report los eventos peligrosos asociados a estas

condiciones son:
Evento 1: Dao al recipiente (Slug Catcher) por Sobrepresin
Para este evento se ha considerado que la falla del lazo de control de presin (BPCS)
mostrado en la Figura 6.1, constituye la causa iniciadora de un aumento de presin en el
recipiente (D-3001A), lo que ocasionara el dao de este equipo principal del proceso.
Adems del lazo de control de presin, existe una capa de proteccin adicional, una
vlvula de alivio (30-PSV-013A), la cual falla al no abrir en demanda.
Evento 2: Fuego o dao al equipo y al personal debido a fuga no detectada

por el lazo de control de presin
La ocurrencia de una fuga es un evento que altera las condiciones normales del
proceso, entre stas, la presin en el recipiente registra un descenso, que al no ser detectada
por el BPCS, puede convertirse en un riesgo potencial de fuego y causar daos al equipo y/
o al personal debido a la liberacin de crudo y/ o gas.
En este caso, el Operador forma parte fundamental del lazo de control debido a que
no existe ningn otro accionamiento capaz de llevar el proceso a una condicin segura.
Esto hace que la PFDavg del lazo sea alta, ya que la PFDavg del Operador, como se ver
ms adelante, constituye el factor menos robusto a la hora de la cuantificacin.
Evento 3:Envo de crudo a la lnea de gas combustible por alto nivel en el

Slug Catcher
Para este evento se ha considerado que la falla del lazo de control de nivel (BPCS)
mostrado en la Figura 6.2, constituye una de las causas iniciadoras del aumento de nivel de
crudo en el recipiente (Slug Catcher), lo que, de no ser detectado y llevado a una condicin
segura, ocasionara un rebose hacia las lneas de gas, que podra causar daos a los
equipos del Sistema de Gas Combustible, que no han sido diseados para el manejo de
crudo, adems de las complicaciones inherentes que pudieran presentarse.
51
7.1.2 Sistema 2: Deshidratacin del Crudo y Almacenamiento

de Agua de Produccin
Compuesto por tres lazos de control, el sistema que se describe en la seccin 6.2 del
Captulo 6, est diseado para evitar las irregularidades del proceso capaces de generar los
eventos peligrosos o no deseados que se establecen en el HAZOP Review Report . Los
eventos identificados son los siguientes:
Evento 1: Agua con alto contenido de crudo hacia planta de tratamiento de

agua debido a bajo nivel de interfaz
Este evento es el resultado de una irregularidad en el sistema de control de nivel de

interfaz en los Deshidratadores, por lo cual el contenido de crudo en el agua de produccin
resultan mayores a lo estipulado para el proceso. La circulacin de este fluido fuera de
especificacin aguas abajo, hacia la planta de tratamiento, puede causar daos a los
equipos y al ambiente.
Evento 2: Alta temperatura en agua hacia planta de tratamiento
La causa posible de este evento es una falla en el sistema de control de temperatura

del agua de produccin que proviene de los intercambiadores de calor. Una temperatura
ms alta de lo establecido segn el diseo de la planta puede causar daos serios a los
equipos que no han sido especificados para cubrir este tipo de irregularidades, estos daos
a su vez pueden generar otras consecuencias no deseadas.
Evento 3: Desbordamiento del Tanque de Agua de Produccin
A pesar de que el Tanque de Agua de Produccin no se localiza dentro del Tren de

Produccin A, este evento ha sido considerado debido a que, como se ver ms adelante, el
elemento final del SIS instalado para cubrir este evento, una vlvula de parada de
emergencia, si est ubicado en este tren. Igualmente, el producto contenido en este tanque
proviene del Tren de Produccin A. Un evento de esta naturaleza es capaz de producir
daos al ambiente, debido a que el agua del proceso contiene hidrocarburo, y adems
existe el riesgo de causar daos al personal.
52
7.2 D ETERMINACIN DEL S I L OBJETIVO

Como etapa fundamental del Ciclo de Vida de un Sistema Instrumentado de
Seguridad (SIS), la determinacin del Nivel de Integridad de Seguridad (SIL) objetivo
forma parte del desarrollo de este estudio. Como fue descrito en el Captulo 5, debe
establecerse la metodologa mediante la cual se obtendr finalmente el SIL requerido,. En
este caso se ha seleccionado el mtodo cuantitativo, y a continuacin se detallar el anlisis
realizado paso a paso segn como se especific en la Seccin 5.1.2.2 del Captulo 5.
7.2.1 Nivel de Riesgo Tolerable

El Nivel de Riesgo Tolerable para cada uno de los eventos descritos en la Seccin
7.1 de este captulo se definir de acuerdo a lo que se explic en la Seccin 3.5 del
Captulo 3, donde se incluye la Tabla 3.1 (tomada de la norma PDVSA IR-P-02).
7.2.1.1 Sistema
1.
Evento
1:
Dao
al
recipiente
(S l u g
Catcher) por Sobrepresin

La Estacin Principal cumple con la clasificacin de instalacin atendida, por lo que
los eventos que suceden en esta rea son considerados de baja tolerancia al riesgo, debido a
las amplias posibilidades que existen de afectar al personal. Sin embargo es poco probable
que un evento generado en alguno de los trenes de produccin sea capaz de tener impacto
sobre terceros o de afectar a la comunidad. Por otra parte, dado que este evento implica una
probabilidad inherente de derrame de crudo, tambin se consideran los daos al ambiente,
como consecuencia del mismo.
De acuerdo a estos criterios, utilizando la Tabla 3.1, se obtiene:

Nivel de Riesgo Tolerable = 10-5 , el cual corresponde a la clasificacin de
instalacin: Normalmente atendida con potencial de afectar a personal propio y/o al
ambiente.
53
7.2.1.2 Sistema 1. Evento 2: Fuego o dao al equipo y al

personal debido a fuga no detectada por el lazo de control de
presin
Para la determinacin del Nivel de Riesgo Tolerable para este evento, se ha utilizado
el mismo criterio que para el evento anterior, esto debido a que se localiza en la misma
rea por lo cual tiene las mismas implicaciones. De modo que se obtiene:
Nivel de Riesgo Tolerable = 10-5 , el cual corresponde a la clasificacin de
instalacin: Normalmente atendida con potencial de afectar a personal propio y/o al
ambiente.
7.2.1.3 Sistema 1. Evento 3: Envo de crudo a la lnea de gas

combustible por alto nivel en el Slug Catcher
Para este evento, a pesar de que el rea de accin es la misma, se ha considerado que
el envo de crudo por la lnea de gas combustible no es capaz de ocasionar lesiones en el
personal, esto debido a que no se ha admitido como probable que ocurra un derrame que
pueda provocar un incendio o afectar al ambiente. Sin embargo, un evento de esta
naturaleza, s es capaz de producir daos severos a los equipos de proceso involucrados
(compresores, vlvulas, tuberas, etc). Es por ello que la clasificacin de la instalacin
que se aplicar ser: No atendida con potencial de daar equipos mayores (principales de
proceso). Con lo cual resulta:
Nivel de Riesgo Tolerable = 10-3 .
7.2.1.4 Sistema 2. Evento 1: Agua con alto contenido de

crudo hacia planta de tratamiento de agua debido a bajo nivel de
interfaz
Para este evento aplican las mismas consideraciones que para el evento anterior, esto
debido a que no se han encontrado posibilidades de afectar al personal como consecuencia
del mismo. Mientras que los equipos pertenecientes a este proceso si pudieran sufrir daos
e incluso dejar de operar debido a la ocurrencia de este incidente.
Por tanto: el Nivel de Riesgo Tolerable = 10-3 .
54
7.2.1.5 Sistema 2. Evento 2: Alta temperatura en agua hacia

planta de tratamiento
Aplicando un criterio idntico al del evento anterior, el resultado obtenido es:
7.2.1.6 Sistema 2. Evento 3: Desbordamiento del Tanque de

Agua de Produccin
Para este evento, se ha determinado que las consecuencias del mismo no implican
lesiones al personal, esto teniendo en cuenta que el fluido en el tanque est compuesto
bsicamente por agua, que, a pesar de contener cierto porcentaje de crudo no representa un
peligro potencial de fuego. Sin embargo, es posible que este evento ocasione daos a los
equipos asociados al mismo como producto del derrame, pero stos no se consideran
equipos principales del proceso. Es por ello que la instalacin en cuestin se denomina
segn la Tabla 3.1: No atendida con potencial de daar equipos menores (auxiliares de
proceso) lo que resulta:
7.2.2 Desarrollo del Anlisis del rbol de Fallas

En esta parte se mostrar el anlisis del rbol de fallas realizado, como parte
fundamental de la determinacin de la PFDavg de cada una de las Funciones
Instrumentadas de Seguridad descritas anteriormente, aplicados a cada uno de los eventos
que se definieron en la Seccin 7.1, para luego obtener el SIL objetivo requerido para
reducir el riesgo de cada proceso al nivel tolerable predefinido en la Seccin 7.2.1 de este
captulo.
7.2.2.1 Sistema
1.
Eve nto
1:
Dao
al
recipiente
(S l u g

La Figura 7.1 muestra el rbol de fallas desarrollado para este evento, aqu se han
incluido todos los elementos bsicos que forman parte del lazo de control del BPCS,
descrito en el Captulo 6, Seccin 6.1.
55
Dao al recipiente
(D-3001A) por
Sobrepresin
Falla Vlvula de
Alivio
Falla lazo de
control de presin
30
PSV
013A
Falla Transmisor
de Presin
Falla
Accionamientos
Falla BPCS PLC
30
PIT
007
Efecto Causa
Comn
Factor (10%)
Falla Vlvulas de
Control
Falla BPCS PLC
Falla Operador
Falla BPCS PLC

Redundante
OPERADOR
BPCS
PLC
BPCS
PLC
Redund
30
PV
007A
30
PV
007B
Figura 7.1 rbol de Fallas correspondiente al Evento 1 del Sistema 1
La falla del lazo de control de presin se ha diagramado como un evento intermedio,

a la salida de una compuerta OR que recibe en sus entradas a los tres elementos que
conforman el lazo: el sensor (transmisor de presin), el procesador lgico (BPCS PLC) y
los accionamientos. Esto se debe a que la falla de cualquiera de estos componentes es
condicin suficiente para originar el evento intermedio: Falla del lazo de control de
presin.
56
El transmisor de presin es un elemento dispuesto en arquitectura simple 1oo1, por

lo cual ha sido conectado directamente a una de las entradas de la compuerta OR.
Como puede notarse, el Procesador Lgico (BPCS PLC) se encuentra en

configuracin redundante, por lo que ambos procesadores entran en una compuerta AND,
ya que es necesario que ambos fallen para que el evento: Falla BPCS PLC ocurra.
Adicionalmente, la salida de esta compuerta se ha conectado a una compuerta OR en
conjunto con el Efecto de Causa Comn, fijado en un 10%, el cual se define como
probabilidad de que ambos PLCs fallen a la vez, y es el resultado de los puntos comunes
de fallas a ambos dispositivos (cableado, energa, programacin, fabricante, condiciones de
operacin y mantenimiento).
Por su parte, los accionamientos finales del lazo de control estn constituidos por dos
elementos: las vlvulas de control y el operador, este ltimo acta en caso de que
cualquiera de las vlvulas de control falle, las cuales se han diagramado a la entrada de una
compuerta OR, indicando que la falla de una de ellas es condicin suficiente para
ocasionar el evento no deseado (Falla Vlvulas de Control). El eleme nto operador, junto
al resultado de la operacin OR de las vlvulas, se ha conectado a una compuerta OR, ya
que slo si tanto una de las vlvulas como el operador fallan, el evento Falla de los
Accionamientos Finales habr ocurrido.
Fuera del lazo de control se ha considerado un elemento adicional, una vlvula de

alivio, diseado para proteger el recipiente ante un aumento irregular de presin. Este
elemento, no forma parte del sistema de control, pero se ha incluido en el rbol de fallas
debido a su accin fundamental para prevenir el evento tope: Dao al recipiente (Slug
Catcher) por Sobrepresin, en el caso de que el sistema de control falle en su actuacin.
57

presin
En la Figura 7.2 se muestra el rbol de fallas desarrollado para este evento.
Fuego y dao al equipo y al

personal debido a fuga no
detectada por el lazo de
control de presin
Falla Transmisor
de Presin
Falla Operador
Falla BPCS PLC
OPERADOR
30
PIT
007
Efecto Causa
Comn
Factor (10%)
Falla BPCS PLC
Falla BPCS PLC

Redundante
BPCS
PLC
BPCS
PLC
Redund
Como puede notarse, el evento tope es la salida de una compuerta OR que contiene
tres eventos intermedios a sus entradas, lo cuales corresponden a la falla de cada uno de los
componentes del lazo de control aplicado a este sistema: sensor, procesador lgico y
accionamientos finales, este ltimo es este caso representado por el operador nicamente.
58
Por su parte, el sensor (transmisor de presin) se encuentra en configuracin simple

(1oo1) y el procesador lgico, como en el rbol de fallas analizado anteriormente se
encuentra en configuracin redundante, por lo que aplican las mismas consideraciones.

combustible por alto nivel en el Slug Catcher
Para este evento, el desarrollo del rbol de fallas se presenta en la Figura 7.3.
Envo de Crudo a la lnea de

Fuel Gas por alto nivel en Slug
Catcher
Falla lazo de
control de nivel
Falla Transmisor
de Nivel
Falla BPCS PLC
30
LIT
002
Falla Bomba
P-3001
Falla
Accionamientos
P-3001A
Falla
Operando
P-3001B
Falla al
arrancar
P-3001A
P-3001B
Efecto Causa
Comn
Factor (10%)
Falla Vlvula de
Control
BPCS
PLC
Falla Operador
BPCS
PLC
Redund
30
LV
002
OPERADOR
59
Nuevamente en el desarrollo del rbol de fallas se han incluido los elementos del
lazo de control cuya falla es condicin suficiente para que el evento intermedio definido:
Falla lazo de control de nivel. En este caso el sensor est compuesto por un transmisor
de nivel en configuracin simple, el procesador lgico es idntico y nico para todos los
eventos que se analizan en esta parte, ya que forma parte del BPCS. Los accionamientos
finales que se analizan, incluyen una vlvula de control de nivel y el operador, ambos,
condiciones necesarias para ocasionar el evento Falla accionamientos, por lo cual han
sido conectados a las entradas de una compuerta AND.
En este caso, se ha aadido un elemento ajeno al lazo de control, la bomba de

recirculacin de crudo, cuya falla constituye tambin una de las causas iniciadoras del
evento Envo de crudo a la lnea de gas combustible por alto nivel en el Slug Catcher
Se han incluido las dos bombas con el modo de falla aplicable a cada una. La bomba
P-3001A puede fallar operando mientras que, la bomba P-3001B falla al arrancar, debido a
que es una bomba de respaldo que slo opera al fallar la bomba P-3001A, por ello ambas
bombas se han conectado a la entrada de una compuerta AND, ya que es necesaria la falla
de ambas, en el modo correspondiente para ocasionar el evento intermedio definido: Falla
bomba P-3001

interfaz
En este caso, se ha considerado dentro del desarrollo del rbol de fallas, la falla del
lazo de control de nivel de interfaz en cada uno de los deshidratadores, esto en vista de
que, el agua con alto contenido de crudo pudiera provenir de cualquiera de estos
recipientes. Por ello, se han introducido a un OR la falla de ambos lazos, uno por
deshidratador, ya que la fa lla de uno de ellos es condicin suficiente para ocasionar el
evento intermedio.
60
Ambos transmisores de nivel de interfaz, se encuentran en configuracin simple con

arquitectura 1oo1.
Por otra parte, la falla del procesador lgico es idntica a todos los casos que se han
descrito.
La falla de los accionamientos finales en ambos lazos, como puede verse en la Figura
7.4, est conectada a la salida de una compuerta AND, que tiene a sus entradas la falla del
operador y la falla de la vlvula de control.
Agua con alto contenido de crudo hacia

planta de tratamiento de agua debido a bajo
nivel de interfaz en Deshidratador

planta de tratamiento de agua debido a

planta de tratamiento de agua debido a
bajo nivel de interfaz en D-3004A.
Falla Transmisor de
Nivel de Interfaz
Falla BPCS
PLC
30
LIT
182
Efecto Causa
Comn
Factor (10%)
Falla BPCS
PLC
BPCS
PLC
bajo nivel de interfaz en D-3004B
Falla
Accionamientos
Falla Transmisor de
Nivel de Interfaz
30
LIT
196
Falla Vlvula
de Control
Efecto Causa
Comn
Factor (10%)
Falla
Operador
Falla
BPCS PLC
Falla BPCS PLC

Redundante
BPCS
PLC
Redund
Falla
BPCS PLC
30
LV
182A
OPERADOR
BPCS
PLC
Falla
Accionamientos
Falla Vlvula
de Control
Falla
Operador
Falla BPCS
PLC
Redundante
BPCS
PLC
Redund
30
LV
196A
OPERADOR
61

En la Figura 7.5 se muestra el rbol de fallas correspondiente a este evento, donde se
han incluido igualmente los elementos del lazo de control de temperatura: sensor
(transmisor de temperatura), procesador lgico (BPCS PLC) y accionamientos finales, este
ltimo representado nicamente por el operador. Las fallas de todos estos elementos se han
conectado a una compuerta OR, lo que significa que cualquiera de ellas es condicin
suficiente para ocasionar el evento tope: Alta temperatura en agua hacia planta de
tratamiento.
Alta temperatura en agua

de produccin hacia
Falla Transmisor
de Temperatura
Falla BPCS PLC
Falla Operador
30
TE
262
OPERADOR
Efecto Causa
Comn
Factor (10%)
Falla BPCS PLC
Falla BPCS PLC

Redundante
BPCS
PLC
BPCS
PLC
Redund
62

Agua de Produccin
Para este evento, el desarrollo del rbol de fallas que se muestra en la Figura 7.6,
incluye los elementos del sistema de control de nivel del tanque de agua de produccin. En
este caso, la falla del transmisor de nivel, la falla del BPCS PLC y la falla del operador han
sido conectadas a las entradas de una compuerta OR, dado que, como ya se ha explicado,
la falla de cualquiera de los componentes de este lazo, es condicin suficiente para generar
el evento tope: Desbordamiento del Tanque de Agua de Produccin.
Desbordamiento de
Tanque de Agua de
Produccin T-3802
Falla Transmisor
de Nivel
Falla Operador
Falla BPCS PLC
38
LIT
049
OPERADOR
Efecto Causa
Comn
Factor (10%)
Falla BPCS PLC
Falla BPCS PLC

Redundante
BPCS
PLC
BPCS
PLC
Redund
63
7.2.3 Evaluacin Cuantitativa del rbol de Fallas

De manera que sea posible el clculo de la probabilidad de ocurrencia de cada uno de
los eventos topes analizados mediante la tcnica del anlisis del rbol de fallas en la
Seccin 7.2.2, es necesario asignar a cada uno de los elementos bsicos de cada lazo de
control, una tasa de fallas, que permita calcular la probabilidad de falla en demanda de los
mismos y as, mediante el uso de las ecuaciones 3.8 y 3.9 calcular la probabilidad de
ocurrencia del evento tope para finalmente comparar con el nivel de riesgo tolerable
asignado y determinar el nivel de integridad de seguridad (SIL) objetivo.
7.2.3.1 Sistema
1.
Evento
1:
Dao
al
recipiente
(S l u g

Como se indica en la Figura 7.7, las probabilidades de falla en demanda de cada
elemento, han sido calculadas a partir de valores de tasa de fallas () obtenidos de bases de
datos genricas, entre ellas OREDA, PDVSA IR-S-02 y EXIDA.COM, las cuales fueron
descritas en la Seccin 3.3.3 del Captulo 3. Adicionalmente, para el procesador lgico,
este valor se ha obtenido directamente de los anlisis realizados por fabricante del equipo
(GEFanuc), lo cual tambin suele ser una valiosa fuente de informacin. Para calcular la
PFDavg de cada uno de los elementos se ha aplicado la Ecuacin 3.3, considerando un
intervalo de tiempo entre pruebas (TI) igual a 1 ao (8760 horas) para todos los elementos.
64
Dao al recipiente
(D-3001A) por Sobrepresin
1.81E-2
Falla Vlvula de
Alivio
Falla lazo de
control de presin
9.964E-1
30
PSV
013A
1.82 E-2
PDVSA IR-S-02
Falla Transmisor
de Presin
Falla
Accionamientos
Falla BPCS PLC
4.1434E-3
7.8915E-7
30
PIT
007
5.08E-4
EXIDA.COM
Efecto Causa
Comn
Factor (10%)
7.1741E-8
Falla BPCS PLC
Falla BPCS PLC

Redundante
BPCS
PLC
BPCS
PLC
Redund
Falla Vlvulas de
Control
Falla Operador
4.1434E-2
OPERADOR
8.47E-4
GEFANUC
8.47E-4
GEFANUC
0.1
30
PV
007A
30
PV
007B
PDVSA
2.0936E-2 2.0936E-2
OREDA 67 OREDA 67
Figura 7.7 Cuantificacin del rbol de Fallas (Sistema 1, Evento 1)
Finalmente, la probabilidad de ocurrencia del evento tope ha sido cuantificada en

1.81E-2 . Utilizando la Ecuacin 5.1, es posible determinar si se requiere un SIS para este
evento y el SIL del mismo. Sabiendo que el Nivel de Riesgo Tolerable, definido en la
Seccin 7.2.1.1 es igual a 10-5 , se tiene que:
PFDavg =
10 5
= 5.52 E 4
1.81E 2
El resultado de la ecuacin indica que la PFDavg del SIS a instalar para cubrir el
riesgo remanente es 5.52E-4 , lo que equivale a un factor de reduccin de riesgo (RRF)
igual a 1810. De la Tabla 3.2, se tiene que el SIL del SIS a instalar debe ser igual a 3.
65

presin
En la Figura 7.8 se incluye el anlisis del rbol de fallas para este evento luego de
realizar la cuantificacin de la probabilidad de ocurrencia del evento tope. Los clculos
realizados a partir de las ecuaciones 3.8 y 3.9, arrojan una probabilidad de ocurrencia del
evento tope igual a 0.1, la cual, como puede deducirse se debe fundamentalmente a la
contribucin del operador como accionamiento final del lazo de control, cuya probabilidad
de falla en demanda segn la base de datos de PDVSA es de 0.1, al menos tres rdenes de
magnitud mayor al elemento con el peor desempeo de este lazo. Esta PFDavg incluye
adems de la capacidad de respuesta del operador a las seales de alarma, la transmisin y
aparicin de las mismas ante el mismo, la alimentacin elctrica y otros aspectos que
pudieran redundar en una accin inoportuna o inapropiada del operador ante un evento no
deseado.
Para estimar el SIL del SIS requerido se emplea la ecuacin 5.1, donde el nivel de
riesgo tolerable definido para este evento es igual a 10-5 :
PFDavg =
10 5
= 1E 4
0.1
Este resultado equivale a un factor de reduccin de riesgo de 10000, lo cual implica

la aplicacin de un SIS que cumpla con SIL 3.
66

control de presin
0.1
Falla Transmisor
de Presin
Falla Operador
Falla BPCS PLC
7.8915E-7
OPERADOR
30
PIT
007
Efecto Causa
Comn
Factor (10%)
5.08E-4
EXIDA.COM
0.1
PDVSA
7.1741E-8
Falla BPCS PLC
Falla BPCS PLC

Redundante
BPCS
PLC
BPCS
PLC
Redund
8.47E-4
GEFANUC
8.47E-4
GEFANUC

c o m b u s t i b le p o r a l t o n i v e l e n e l S l u g C a t c h e r
La Figura 7.9 muestra el rbol de fallas para este evento con la correspondiente
cuantificacin de la PFDavg de los elementos bsicos, as como la fuente de la data
utilizada y el clculo de la probabilidad de ocurrencia del evento tope.
La probabilidad de ocurrencia del evento tope resultante luego de aplicar las

ecuaciones 3.8 y 3.9 es igual a 3.5E-3 , con este valor, y conociendo el nivel de riesgo
tolerable determinado en la Seccin 7.2.1.3 igual a 10-3 , se obtiene el riesgo remanente a
cubrir por el SIS a instalar y la PFDavg del mismo.
10 3
PFDavg =
= 0.286
3 .5 E 3
67
Con esto, el RRF es 3.5, lo cual es menor al lmite inferior del RRF mostrado en la
Tabla 3.2, es decir 10. A pesar de que esto no equivale ni siquiera a un SIL 1, puede
decirse que de aplicarse un SIS este slo deber cumplir con el mnimo SIL para cubrir el
riesgo remanente.

Catcher
3.5E-3
Falla lazo de
control de nivel
Falla Bomba
P-3001
3.5E-3
Falla Transmisor
de Nivel
Falla BPCS PLC
1.93E-9
Falla
Accionamientos
7.8915E-7
6.57E-4
30
LIT
002
2.85E-3
PDVSA
BPCS
PLC
P-3001B
Falla al
arrancar
P-3001A
P-3001B
1.04E-4
1.86E-5
PDVSA IR-S-02 PDVSA IR-S-02
Efecto Causa
Comn
Factor b (10%)
7.1741E-8
P-3001A
Falla
Operando
Falla Vlvula de
Control
Falla Operador
30
LV
002
OPERADOR
BPCS
PLC
Redund
8.47E-4
8.47E-4
GEFANUC GEFANUC
6.57E-3
OREDA 75
0.1
PDVSA

interfaz
Para este evento el desarrollo del rbol de fallas cuantificado se muestra en la Figura
7.10. Como puede observarse, la probabilidad de ocurrencia del evento tope resultante es
68
igual a 8.85E-3 , y dado que el nivel de riesgo tolerable definido para este evento es 10-3 , se
obtiene:
PFDavg =
10 3
= 0.113
8.85E 3
El valor del factor de reduccin de riesgo (RRF) resulta entonces igual a 8.85, por lo
cual el mnimo valor de SIL es suficiente para que el SIS aplicado logre cubrir el riesgo
remanente.
Agua con alto contenido de crudo

hacia planta de tratamiento de
en Deshidratador.
8.85E-3

en D-3004A.

en D-3004B.
4.44E-3
Falla Transmisor de
Nivel de Interfaz
4.44E-3
Falla BPCS
PLC
Falla
Accionamientos
7.8915E-7
30
LIT
182
Efecto Causa
Comn
Factor (10%)
2.85E-3
PDVSA
7.1741E-8
Falla BPCS
PLC
Falla BPCS
PLC
Redundante
BPCS
PLC
BPCS
PLC
Redund
8.47E-4 8.47E-4
GEFANUC GEFANUC
Falla Transmisor de
Nivel de Interfaz
Falla BPCS
PLC
7.8915E-7
1.59E-3
30
LIT
196
Falla
Vlvula de
Control
30
LV
182A
Falla
Operador
OPERADOR
1.59E-2 0.1
OREDA,59 PDVSA
Falla
Accionamientos
Efecto Causa
Comn
Factor (10%)
2.85E-3
PDVSA
7.1741E-8
Falla BPCS
PLC
Falla BPCS
PLC
Redundante
BPCS
PLC
BPCS
PLC
Redund
1.59E-3
Falla
Vlvula de
Control
30
LV
196A
Falla
Operador
OPERADOR
0.1
1.59E-2 PDVSA
OREDA,59
8.47E-4 8.47E-4
GEFANUC GEFANUC
69

La Figura 7.11 muestra el desarrollo del rbol de fallas cuantificado para este evento.
Luego de calcular la PFDavg de los elementos bsicos, y aplicar las ecuaciones de
las compuertas (Ecuacin 3.8 y 3.9), se obtuvo una probabilidad de ocurrencia del evento
tope igual a 1.0335E-1 . El nivel de riesgo tolerable obtenido es de 10-3 . Aplicando la
ecuacin 5.1 se obtiene la PFDavg del SIS requerido:
PFDavg =
10 3
= 9.676 E 3
1
1.0335E
Entonces, el RRF requerido es 103.35, es decir el SIS a disear debe cumplir con un
nivel de integridad de seguridad igual a SIL 2.
Alta temperatura en agua de

produccin hacia planta de
tratamiento
1.0335E-1
Falla Transmisor
de Temperatura
Falla BPCS PLC
Falla Operador
7.8915E-7
30
TE
262
OPERADOR
3.723E-3
PDVSA
Efecto Causa
Comn
Factor b (10%)
0.1
PDVSA
7.1741E-8
Falla BPCS PLC
Falla BPCS PLC

Redundante
BPCS
PLC
BPCS
PLC
Redund
8.47E-4
GEFANUC
8.47E-4
GEFANUC
70

Agua de Produccin
Como se muestra en la Figura 7.12, la cuantificacin del desarrollo del rbol de fallas
aplicado a este evento arroja una probabilidad de ocurrencia del evento tope igual a
1.0257E-1 , adems se defini un nivel de riesgo tolerable de 10-2 , con lo cual se obtiene:
PFDavg =
10 2
= 9.749 E 2
1
1.0257 E
El RRF requerido entonces es 10.26, por lo que el nivel de integridad de seguridad

(SIL) del SIS necesario para cubrir el riesgo remanente es SIL 1.
Desbordamiento de
Tanque de Agua de
Produccin T-3802
1.0257E-1
Falla Transmisor
de Nivel
Falla Operador
Falla BPCS PLC
7.8915E-7
38
LIT
049
OPERADOR
2.85E-3
PDVSA
Efecto Causa
Comn
Factor b (10%)
0.1
PDVSA
7.1741E-8
Falla BPCS PLC
Falla BPCS PLC

Redundante
BPCS
PLC
BPCS
PLC
Redund
8.47E-4
GEFANUC
8.47E-4
GEFANUC
71
CAPTULO 8 D ESARROLLO
VE R I F I C A C I N
DEL
DEL
SIL
E STUDIO. SEGUNDA P ARTE.
DE LAS
SIF
INSTALADAS
El presente captulo cubre la fase del ciclo de vida de seguridad del SIS que sigue
luego de que se ha determinado el SIL objetivo y se ha diseado el SIS para cumplir con
este requerimiento. Dado que el SIS bajo anlisis se encuentra actualmente instalado, se
realiza esta verificacin, que constituye la segunda parte del desarrollo estudio, y que
persigue comparar los resultados obtenidos para el requerimiento de SIL objetivo con el
SIL logrado por los sistemas existentes, para comprobar si efectivamente los niveles de
riesgo remanente han sido cubiertos por el sistema instalado.
8.1 D ESCRIPCIN DE LAS SIF INSTALADAS

Dado que los resultados arrojados por la cuantificacin del riesgo inherente a los
procesos ms el BPCS en los sistemas evaluados sugieren la aplicacin de un Sistema
Instrumentado de Seguridad (SIS) para alcanzar el nivel de riesgo tolerable, en esta seccin
se analiza el desempeo del SIS actualmente instalado para cada uno de los sistemas
descritos y estudiados en los captulos anteriores.
8.1.1 Sistema 1: Recepcin del Crudo y Separacin de Gas

Como puede observarse en la Figura 8.1, a los lazos de control de presin y nivel
(BPCS) en el Slug Catcher (D-3001A), se le han aadido ciertos componentes que
forman parte del SIS instalado y constituyen la Funcin Instrumentada de Seguridad
implementada. Estos componentes se listan a continuacin:
Sensores:
-30-LIT-004: Transmisor de Nivel del Slug Catcher D-3001A.
-30-PIT-552: Transmisor de Presin del Slug Catcher D-3001A.
-ESD PLCs. Ubicados en la ISH y dispuestos en configuracin redundante Hot
Stand By.
72
Elementos Finales:
-30-ESDV-001: Vlvula de seguridad.
-30-ESDV-009: Vlvula de seguridad.
30
PV
007B
30
PI
007
30
PIC
007B
30
PI
552
30
PV
007A
30
LI
004
30
LIT
004
30
PIT
552
30
PIC
007A
I-14
30
ESDV
009
30
PIT
007
GAS TO
FLARE
SP
FUEL GAS
30
LIT
002
I-12
30
LIC
002
I-13
30
ESDV
001
P-42
From Production
Manifold
Slug Catcher D-3001A
30
LV
002
Figura 8.1: Funciones Instrumentadas de Seguridad aplicadas al Sistema 1
8.1.2 Sistema 2: Deshidratacin del Crudo y Almacenamiento

En la Figura 8.2 se muestra el segundo sistema, representado en la Figura 6.2 , con la
Funcin Instrumentada de Seguridad aplicada.
En este caso se han incluido una serie de elementos, que conforman el SIS y que
proveen al sistema de protecciones adicionales para prevenir los eventos no deseados
descritos en la seccin 7.1.2.
La SIF instalada en este caso est compuesta por los siguientes elementos:
73
Sensores:
-30-LIT-183: Transmisor de Nivel del Deshidratador D-3004A.
-30-LIT-197: Transmisor de Nivel del Deshidratador D-3004B.
-38-LIT-050: Transmisor de Nivel del Tanque de Agua T-3802.
-30-TE-263: Transmisor de Temperatura.
-ESD PLCs. Ubicados en la ISH. Dispuestos en configuracin redundante Hot
StandBy.
Elementos Finales:
-30-SDV-582: Vlvula de seguridad.
-30-SDV-517: Vlvula de seguridad.
30
LI
183/
197
30
LIT
183/
197
30
LIT
182/
196
30
LIC
182/
196
30
LSV
182A/
196A
30
SDV
582
517
E-3001A
Oil Dehydrator D-3004A/B
30
TI
263
38
LI
049
38
LIT
049
38
LIT
050
38
LI
050
30
TE
263
30
TE
262
30
TI
262
E-3005A
T-3802
Figura 8.2: Funciones Instrumentadas de Seguridad aplicadas al Sistema 2
74
8.1.3 Sistema 3: ESD-1 del Tren de Produccin A

El Sistema Instrumentado de Seguridad (SIS) a evaluar en esta seccin, es el Sistema
de Parada de Emergencia (ESD System) instalado en el Tren de Produccin A, cuyo
propsito fundamental es el de aislar esta zona del resto de la planta (ESD-1) en el caso de
la ocurrencia de un evento no deseado.
Los eventos que generan ESD-1 en el Tren de Produccin A de la Estacin Principal,

segn el diagrama de causa y efecto, son los siguientes:
-
ESD-1G.
Deteccin de Fuego en el Tren de Produccin A.
Botn de ESD-1 ubicado en el Tren de Produccin A.
Falla del UPS de la Subestacin TS-01.
Falla del UPS del ISH.
Botn de ESD-1 por Fuego ubicado en la Matriz de Seguridad de MSCR.
Botn de ESD-1 por Deteccin de Gas ubicado en la Matriz de Seguridad de
MSCR.
En el caso de la ocurrencia de uno de estos eventos, ocurre el accionamiento de los

elementos finales del SIS, en este caso las vlvulas ESDV y SDV, dispuestas para aislar el
Tren de Produccin A y evitar el escalamiento de los incidentes. Estas vlvulas se listan a
continuacin:
-30-ESDV-001: Entrada de crudo al Slug Catcher D-3001A. Esta vlvula fue

considerada en la parte anterior como elemento final del SIS que se estudi, esto debido a
que pertenece al nivel ESD-3, o de aislamiento parcial, pero por su ubicacin en el lmite
de batera ser incluida tambin en esta parte.
-30-ESDV-009: Salida de Gas del Slug Catcher D-3001A. Esta vlvula fue
considerada en la parte anterior como elemento final del SIS que se estudio, esto debido a
que pertenece al nivel ESD-3, o de aislamiento parcial, pero por su ubicacin en el lmite
de batera ser incluida tambin en este anlisis.
75
-30-SDV-099: Entrada de crudo al Horno H-3001 A.

-30-ESDV-320: Descarga de la Bomba de Reprocesamiento de Crudo P3006 A/B/S.
-30-ESDV-382: Salida del Tren A.
-30-SDV-517: Salida de Agua del Deshidratador D-3004B.
-30-SDV-582: Salida de Agua del Deshidratador D-3004A.
-31-ESDV-085: Entrada de Combustible (Diluente) a los Hornos H-3001A/B.
Tanque Crudo
Fuera de
Especificacin
P-3006
30-ESDV- 320
-41-ESDV-086: Entrada Combustible (Diesel) a los Hornos H-3001 A/B.
From Production
Manifold
30- ESDV-009
Compresin de Gas
Combustible
30-ESDV-001
30-SDV-099
Horno
Slug Catcher
30-SDV-582
Diesel
Diluente
41-ESDV-086 31-ESDV-085
Separador de Alta
Temperatura
30-SDV-517
Deshidratador
D-3004A
Deshidratador
D-3004B
30-ESDV-382
P-3002
Bomba de Exportacin de Crudo
Tratamiento de
Agua de
Produccin
Figura 8.3 Diagrama del arreglo de vlvulas dispuestas para el ESD-1 del Tren de
Produccin A
76
8 . 2 D ESARROLLO D E L AN L I S I S D E L R B O L D E FA L L A S
A fin de determinar la relacin de fallas entre los elementos que conforman cada una
de las SIF descritas, se lleva a cabo el desarrollo del anlisis del rbol de fallas, el cual
luego de ser cuantificado arroja resultados concluyentes acerca del desempeo de la
Funcin Instrumentada de Seguridad instalada.
8 . 2 . 1 S I F 1 : S i s t e m a 1 E v e n t o 1 : D a o a l r e c i p i e n t e (S l u g
Para este evento, la Funcin Instrumentada de Seguridad instalada est conformada
por tres elementos, un sensor (transmisor de presin), un procesador lgico (ESD PLC) y
los accionamientos finales (vlvula ESDV y Operador).
Dao al recipiente
(D-3001A) por
Sobrepresin
Falla Transmisor
de Presin
Falla
Accionamientos
Falla ESD PLC
30
PIT
552
Efecto Causa
Comn
Factor (10%)
Falla ESD PLC
ESD
PLC
Falla ESD PLC

Redundante
Falla Vlvula
ESDV
Falla Operador
30
ESDV
001
OPERADOR
ESD
PLC
Redund
Figura 8.4 Desarrollo del rbol de Fallas aplicado a la SIF instalada (Sistema 1, Evento 1)
77
Como puede verse en la Figura 8.4, la configuracin del sensor (transmisor de

presin) es simple con arquitectura 1oo1, mientras que el ESD PLC se encuentra en
configuracin redundante, por lo que ambos procesadores han sido conectados a una
compuerta AND, y adicionalmente se ha agregado un factor de falla de causa comn ()
igual al 10%. Los accionamientos finales en este caso se han unido en una compuerta
AND, y como puede notarse, la principal diferencia entre este rbol de fallas y el
presentado en la Figura 7.1 es la existencia de una nica vlvula de parada de emergencia
que bloquea ambas lneas de gas, mientras que en el BPCS se utiliza una vlvula de control
por cada lnea. El operador sigue siendo un elemento importante dentro de la SIS en la
medida en que, respondiendo a las alarmas generadas en la sala de control, inicie las
acciones pertinentes para llevar el proceso a un estado seguro.
8.2.2 SIF 2: Sistema 1. Evento 2: Fuego o dao al equipo y al

presin
La Figura 8.5 muestra el desarrollo del anlisis del rbol de fallas para este evento.
Bsicamente, la descripcin es idntica a la Funcin Instrumentada de Seguridad (SIF 1),
ya explicada. La diferencia ms notable entre este anlisis y el realizado para el lazo de
control (Figura 7.2), es que dentro de los accionamientos finales se encuentra, adems del
operador, una vlvula de seguridad (ESDV) que funciona al detectarse un nivel de presin
en la lnea inferior a lo establecido para el proceso.
78

control de presin
Falla Transmisor
de Presin
Falla
Accionamientos
Falla ESD PLC
30
PIT
552
Efecto Causa
Comn
Factor (10%)
Falla ESD PLC
ESD
PLC
Falla Vlvulas
ESDVs
Falla ESD PLC

Redundante
ESD
PLC
Redund
Falla Operador
OPERADOR
30
ESDV
001
30
ESDV
009
8.2.3 SIF 3: Sistema 1. Evento 3: Envo de crudo a la lnea

de gas combustible por alto nivel en el Slug Catcher
La Funcin Instrumentada de Seguridad instalada para prevenir este evento posee la
misma estructura del resto de las SIF pertenecientes al Sistema 1, con la salvedad de que
dentro de los accionamientos finales, se cuentan dos vlvulas de seguridad (ESDV)
combinadas en una compuerta OR. Esto debido a que una deteccin de alto nivel en el
recipiente (Slug Catcher) implica el cierre de la vlvula en la lnea de entrada de crudo y
adicionalmente de la vlvula ubicada en la lnea de salida de gas del recipiente, a fin de
evitar el envo de crudo por la misma.
79

Catcher
Falla Transmisor
de Nivel
Falla
Accionamientos
Falla ESD PLC
30
LIT
004
Efecto Causa
Comn
Factor (10%)
ESD
PLC
Falla Vlvulas
ESDVs
Falla Operador
ESD
PLC
Redund
OPERADOR
30
ESDV
001
30
ESDV
009
8 . 2 . 4 S I F 4 : S i s t e m a 2 . E v e n t o 1 : A g u a c o n a l t o c o n t e ni d o d e
interfaz
Para este evento, las Funciones Instrumentadas de Seguridad instaladas son dos lazos
idnticos, uno para cada Deshidratador, cada uno compuesto de sensor, procesador lgico
y accionamientos finales, tal como se muestra en la Figura 8.7.
80
30
LI
183/
197
30
LIT
183
30
SDV
582
Oil Dehydrator D-3004A
30
LI
183/
197
E-3001A
30
LIT
183
30
SDV
517
Oil Dehydrator D-3004B
Figura 8.7 Diagrama de las SIF aplicadas al Sistema 2, Evento 1
El desarrollo del anlisis del rbol de fallas aplicado a esta Funcin Instrumentada de
Seguridad se muestra en la Figura 8.8, donde se destaca la participacin de los dos
deshidratadores situados en el tren de produccin A. Esto debido a que el agua con
contenido de crudo puede provenir de cualquiera de los recipientes en cuestin de ocurrir
una falla en cualquiera de los lazos o incluso en ambos.
Como puede verse, se han combinado en un OR las fallas de cada lazo por separado,
para obtener la ocurrencia del evento tope.
81


agua debido a bajo nivel de
interfaz en D-3004A.
Falla Transmisor
de Nivel de Interfaz
Falla ESD
PLC
30
LIT
183
Efecto Causa
Comn
Factor (10%)
Falla ESD
PLC
Falla ESD
PLC
Redundante
ESD
PLC
ESD
PLC
Redund

interfaz en D-3004B.
Falla
Accionamientos
Falla Transmisor
Falla ESD
PLC
30
LIT
197
Falla Vlvula
SDV
30
SDV
582
Efecto Causa
Comn
Factor (10%)
Falla
Operador
Falla ESD
PLC
Falla ESD
PLC
Redundante
ESD
PLC
ESD
PLC
Redund
OPERADOR
Falla
Accionamientos
Falla Vlvula
SDV
Falla
Operador
30
SDV
517
OPERADOR
8.2.5 SIF 5: Sistema 2. Evento 2: Alta temperatura en agua

hacia planta de tratamiento
El rbol de fallas desarrollado para evaluar el desempeo de esta Funcin
Instrumentada de Seguridad se muestra en la Figura 8.9.
82
Alta temperatura en agua

de produccin hacia
Falla Transmisor
de Temperatura
Falla
Accionamientos
Falla ESD PLC
30
TE
263
Efecto Causa
Comn
Factor (10%)
Falla ESD PLC
Falla ESD PLC

Redundante
ESD
PLC
ESD
PLC
Redund
Falla Vlvula SDV
Falla Operador
OPERADOR
30
SDV
582
30
SDV
517
Como puede observarse en la Figura 8.9, esta SIF posee un elemento sensor simple
(transmisor de temperatura), un procesador lgico redundante (ESD PLC) adems de los
elementos finales, compuestos adems del operador, por las vlvulas de parada de
emergencia ubicadas a la salida de agua de cada uno de los deshidratadores, las cuales se
combinan en una compuerta OR, esto debido a que el agua con alta temperatura pudiera
provenir de cualquiera de los recipientes, por lo que ambos deben aislarse.
8.2.6 SIF 6: Sistema 2. Evento 3: Desbordamiento del Tanque

La Figura 8.10 muestra el desarrollo del rbol de fallas para este evento luego de
aplicar la SIF. Cabe destacar que el mismo tiene una configuracin de elementos idntica
al mostrado en la Figura 8.9, con la diferencia que en este caso el elemento sensor del lazo
es un transmisor de presin.
83
Desbordamiento de
Tanque de Agua de
Produccin T-3802
Falla Transmisor
de Nivel
Falla
Accionamientos
Falla ESD PLC
38
LIT
050
Efecto Causa
Comn
Factor (10%)
Falla ESD PLC
Falla Vlvula SDV
Falla Operador
Falla ESD PLC

Redundante
OPERADOR
ESD
PLC
ESD
PLC
Redund
30
SDV
582
30
SDV
517
8.2.7 SIF 7: ESD-1 Tren de Produccin A

En la Figura 8.11 se puede observar la aplicacin del anlisis de rbol de fallas para
el evento: ESDVs /SDVs abiertas en un ESD-1 del Tren de Produccin A, lo cual
impedira lograr el aislamiento de esta zona en el caso de ocurrir cualquiera de los eventos
descritos en la seccin 8.1.3.
84
Vlvulas ESDVs (SDVs) abiertas

en un ESD-1 del Tren A
=
Tren A NO AISLADO
Falla Seal ESD
Fallan al cerrar
Vlvulas ESDVs
(SDVs)
Falla Deteccin de
Fuego en Tren A
1
2
Falla al cerrar
30-ESDV-001
30
ESDV
001
Falla al cerrar
30-ESDV-009
30
ESDV
009
Falla al cerrar
30-SDV-099
Falla al cerrar
30-ESDV-320
Falla al cerrar
30-ESDV-382
Falla al cerrar
30-SDV-517
Falla al cerrar
30-SDV-582
Falla al cerrar
31-ESDV-085
Falla al cerrar
41-ESDV-086
30
SDV
099
30
ESDV
320
30
ESDV
382
30
SDV
517
30
SDV
582
31
ESDV
085
41
ESDV
086
Figura 8.11 Desarrollo del rbol de Fallas aplicado a la SIF instalada (ESD-1)
En este rbol de fallas se han incluido dos smbolos de transicin, que indican la
continuacin del mismo en otros rboles de falla, esto debido a que los eventos Falla
Seal ESD y Falla deteccin de Fuego en Tren A se han desarrollado en rboles
separados.
Mientras que el evento Falla al cerrar vlvulas ESDVs (SDVs) se
represent mediante un OR de las vlvulas (elementos finales) que aislan el Tren de

Produccin A en el caso de la ocurrencia de un evento no deseado.
La Figura 8.12 muestra el rbol de fallas correspondiente al elemento de transicin 1.
85
Falla seal ESD-1
Falla ESD PLC
Efecto Causa
Comn
Factor (10%)
ESD
PLC
Falla Comunicacin
MSCR Matrix-ESD PLC
ESD
COM
ESD
PLC
Redund
Figura 8.12 rbol de Fallas aplicado a la transicin 1
El elemento ESDCOM representa a una falla en la comunicacin entre la Matriz de

Seguridad de la Sala de Control de la Estacin Principal y el PLC de ESD ubicado en la
ISH, al activarse las seales de ESD1-G o ESD-1 del Tren A mediante los botones
ubicados en la Matriz.
El rbol de fallas correspondiente a la transicin 2 se muestra en la Figura 8.13.
El elemento F&GCOM se refiere a la comunicacin de las seales generadas por el

operador en la Matriz de Seguridad de la Sala de Control mediante el botn de alerta de
fuego en el Tren A, que se transmite desde el panel de conexin (marshalling panel) de la
MSCR hasta el PLC de F&G localizado en la ISH, as como las generadas localmente en el
Tren A mediante estaciones locales y detectores de Fuego y Gas, las cuales se transmiten
desde el PLC de F&G hasta el PLC de ESD, quien inicia las acciones de cierre de vlvulas
ESDV, y al Marshalling Panel de la MSCR, para que este ltimo a su vez active las
sealizaciones correspondientes en la Matriz de Seguridad de la MSCR. Cabe destacar que
esta comunicacin es altamente confiable debido a que el medio de transmisin es fibra
86
ptica y se encuentra protegida debido a que su disposicin es subterrnea, y

adicionalmente se encuentra en una configuracin redundante. La ocurrencia de una falla
en la comunicacin entre el PLC de F&G y el PLC de ESD no es muy probable debido a
que sta tambin es muy confiable ya que ambos dispositivos se localizan en el mismo
edificio (ISH).
El elemento UV/IR representa las fallas de los 25 detectores de fuego (UV/IR)

localizados en el Tren A (29-BE-023 al 29-BE-047).
Falla deteccin de fuego

en Tren A
Falla Sistema
F&G
Falla Deteccin
de Fuego Local
x 25
UV/
IR
Falla
Comunicacin
Falla ESD PLC
Efecto Causa
Comn
Factor (10%)
Falla F & G
PLC
ESD
PLC
F&G
COM
ESD
PLC
Redund
Efecto Causa
Comn
Factor (10%)
F&G
PLC
F&G
PLC
Redund
Figura 8.13 rbol de Fallas aplicado a la Transicin 2
87
8 . 3 E V A L U A C I N C U A N T I T A T I V A D EL R B O L D E F A L L A S
8.3.1 SIF 1: Sistema 1 Evento 1: Dao al recipiente (Slug

Para este evento, la cuantificacin del rbol de Fallas desarrollado se muestra en la
Figura 8.14.
Dao al recipiente
2.098E-3
Falla Transmisor
de Presin
Falla
Accionamientos
Falla ESD PLC
1.59E-3
7.8915E-7
30
PIT
552
Efecto Causa
Comn
Factor (10%)
5.08E-4
EXIDA.COM
Falla Vlvula
ESDV
Falla Operador
7.174E-8
Falla ESD PLC
ESD
PLC
8.47E-4
GEFANUC
Falla ESD PLC

Redundante
ESD
PLC
Redund
30
ESDV
001
1.59E-2
OREDA 59
OPERADOR
0.1
PDVSA
8.47E-4
GEFANUC
Figura 8.14 Cuantificacin del rbol de Fallas aplicado a la SIF instalada (Sistema 1,
Evento 1)
La Probabilidad de Ocurrencia del evento tope luego de la aplicacin de la SIF

instalada es 2.098E-3 . Con eso, el Factor de Reduccin de Riesgo equivalente es de 476,64,
lo que representa un SIL 2.
88
8.3.2 SIF 2: Sistema 1. Evento 2: Fuego o dao al equipo y al

presin
La Figura 8.15 muestra la cuantificacin del rbol de Fallas correspondiente a este
evento aplicado a la Funcin Instrumentada de Seguridad instalada. El resultado obtenido,
tal y como se muestra, es de 3,79E-3 de Probabilidad de Falla en Demanda de la SIF, y por
consiguiente, el factor de reduccin de riesgo (RRF) alcanzado es de 263,85, lo que
equivale a un SIL 2.

control de presin
3.79E-3
Falla Transmisor
de Presin
Falla
Accionamientos
Falla ESD PLC
7.8915E-7
3.28E-3
30
PIT
552
Efecto Causa
Comn
Factor (10%)
5.08E-4
EXIDA.COM
Falla Vlvulas
ESDVs
7.174E-8
Falla ESD PLC
ESD
PLC
8.47E-4
GEFANUC
3.28E-2
Falla ESD PLC

Redundante
ESD
PLC
Redund
8.47E-4
GEFANUC
Falla Operador
OPERADOR
30
ESDV
001
30
ESDV
009
0.1
PDVSA
1.59E-2 1.72E-2
OREDA 59 OREDA 95
Evento 2)
89
8.3.3 SIF 3: Sistema 1. Evento 3: Envo de crudo a la lnea

de gas combustible por alto nivel en el Slug Catcher
La cuantificacin del rbol de fallas correspondiente a este evento se muestra en la
Figura 8.15.
Catcher
4.153E-3
Falla Transmisor
de Nivel
Falla
Accionamientos
Falla ESD PLC
7.8915E-7
3.28E-3
30
LIT
004
8.72E-4
EXIDA.COM
Efecto Causa
Comn
Factor (10%)
Falla Vlvulas
ESDVs
Falla Operador
7.174E-8
3.28E-2
ESD
PLC
ESD
PLC
Redund
OPERADOR
8.47E-4
8.47E-4
GEFANUC GEFANUC
30
ESDV
001
30
ESDV
009
0.1
PDVSA
1.59E-2
1.72E-2
OREDA 59 OREDA 95
Evento 3)
Para esta SIF, la PFDavg obtenida del rbol de fallas desarrollado es igual a 4.153E-3
con lo cual se obtiene un RRF igual a 240.79, lo que corresponde a un SIL 2.
8.3.4 SIF 4: Sistema 2. Evento 1: Agua con alto contenido de

interfaz
En la Figura 8.17 se presenta la cuantificacin del rbol de Fallas aplicado a esta
SIF.
90

8,85E-03


interfaz en D-3004A.
interfaz en D-3004B.
4,44E-03
Falla Transmisor
4,44E-03
Falla ESD
PLC
Falla
Accionamientos
7.8915E-7
30
LIT
183
Efecto Causa
Comn
Factor (10%)
2,85E-03
PDVSA
7.174E-8
Falla ESD
PLC
ESD
PLC
8.47E-4
GEFANUC
Falla Transmisor
30
LIT
197
Falla Vlvula
SDV
Falla
Operador
8.47E-4
GEFANUC
Efecto Causa
Comn
Factor (10%)
2,85E-03
PDVSA
7.174E-8
Falla ESD
PLC
30
SDV
582
Falla
Accionamientos
7.8915E-7
1,59E-03
Falla ESD
PLC
Redundante
ESD
PLC
Redund
Falla ESD
PLC
1,59E-03
Falla Vlvula
SDV
Falla ESD
PLC
Redundante
30
SDV
517
OPERADOR
1.59E-2
OREDA 59
0.1
PDVSA
ESD
PLC
8.47E-4
GEFANUC
Falla
Operador
ESD
PLC
Redund
8.47E-4
GEFANUC
1.59E-2
OREDA 59
Evento 1)
La PFDavg de esta Funcin Instrumentada de Seguridad es igual a 8,85E-3 , con lo

cual se obtiene un Factor de Reducci n de Riesgo igual a 112,99, lo cual equivale a un
SIL 2.
8.3.5 SIF 5: Sistema 2. Evento 2: Alta temperatura en agua

hacia planta de tratamiento
La Figura 8.18 muestra la cuantificacin del rbol de Fallas aplicado a esta SIF.
OPERADOR
0.1
PDVSA
91
Alta temperatura en agua de

produccin hacia planta de
tratamiento
6.864E-3
Falla Transmisor
de Temperatura
Falla
Accionamientos
Falla ESD PLC
7.8915E-7
3.155E-3
30
TE
263
Efecto Causa
Comn
Factor b (10%)
3.72E-3
PDVSA
Falla Vlvula SDV
Falla Operador
7.174E-8
Falla ESD PLC
Falla ESD PLC

Redundante
ESD
PLC
ESD
PLC
Redund
3.155E-2
OPERADOR
8.47E-4
GEFANUC
8.47E-4
GEFANUC
30
SDV
582
30
SDV
517
0.1
PDVSA
1.59E-2
1.59E-2
OREDA 59 OREDA 59
Evento 2)
Como puede observarse, la PFDavg obtenida de este anlisis cuantitativo es igual a

6.864E-3 , por lo que el RRF de esta SIF es 145.69, con lo que el Nivel de Integridad de
Seguridad resultante es SIL 2.
8.3.6 SIF 6: Sistema 2. Evento 3: Desbordamiento del Tanque

Para esta SIF, la cuantificacin del rbol de Fallas se presenta en la Figura 8.19. La
PFDavg resultante obtenida para la SIF en cuestin es igual a 5.997E-3 , y el Factor de
Reduccin de Riesgo (RRF) resultante es 166.75, lo que equivale a un SIL 2.
92
Desbordamiento de Tanque de
Agua de Produccin T-3802
5,997E-03
Falla Transmisor
de Nivel
Falla
Accionamientos
Falla ESD PLC
7.8915E-7
3,155E-03
38
LIT
050
Efecto Causa
Comn
Factor (10%)
2.85E-3
PDVSA
Falla Vlvula SDV
Falla Operador
7.174E-8
Falla ESD PLC
Falla ESD PLC

Redundante
OPERADOR
ESD
PLC
8.47E-4
GEFANUC
ESD
PLC
Redund
8.47E-4
GEFANUC
30
SDV
582
30
SDV
517
0.1
PDVSA
1.59E-2 1.59E-2
OREDA 59 OREDA 59
Evento 3)
8.3.7 SIF 7: ESD-1 Tren de Produccin A

Para la cuantificacin el desempeo de esta Funcin Instrumentada de Seguridad es
necesario evaluar todas las transiciones incluidas en el desarrollo del rbol de Fallas
correspondiente.
En la Figura 8.20 se muestra la cuantificacin del rbol de Fallas correspondiente a

la transicin 1, donde se ha despreciado la contribucin del elemento ESD COM, por lo
que slo se considera el aporte del PLC de ESD, por lo que la probabilidad de ocurrencia
del evento considerado en esta transicin es 7,892E-7 .
93
Falla seal ESD-1
7.8915E-7
Falla ESD PLC
Falla Comunicacin
MSCR Matrix-ESD PLC
7.8915E-7
Efecto Causa
Comn
Factor (10%)
ESD
COM
7.174E-8
ESD
PLC
8.47E-4
ESD
PLC
Redund
8.47E-4
GEFANUC GEFANUC
Figura 8.20 Cuantificacin del rbol de Fallas aplicado a la SIF instalada (ESD-1,
Transicin 1)
La cuantificacin del rbol de Fallas de la transicin 2 se presenta en la Figura 8.21.
Cabe destacar que en los clculos realizados, no han sido cuantificados los eventos
de F&GCOM y ESDCOM debido a que se han considerado despreciables, y se han
incluido en el rbol de fallas slo de forma ilustrativa.
Por otro lado, la PFDavg de los detectores de fuego UV/IR ubicados en el Tren A
(29-BE-023 al 29-BE-047), resulta un factor determinante en el desempeo del sistema
debido a que, a pesar de que estos dispositivos no pertenecen al sistema de ESD sino al
sistema de F&G, si estos no son confiables, la deteccin de fuego tampoco lo es, por lo que
las acciones de control ejecutadas por el sistema de ESD no resultarn las ms pertinentes
y/ u oportunas.
94
Falla deteccin de fuego

en Zona 7
0.122
Falla Sistema
F&G
Falla ESD PLC
0.122
Falla Deteccin
de Fuego Local
Falla
Comunicacin
7.8915E-7
Efecto Causa
Comn
Factor (10%)
Falla F & G
PLC
7.174E-8
7.8915E-7
x 25
UV/
IR
ESD
PLC
F&G
COM
General Monitors
8.47E-4
0.122
ESD
PLC
Redund
8.47E-4
GEFANUC GEFANUC
Efecto Causa
Comn
Factor (10%)
7.174E-8
F&G
PLC
8.47E-4
F&G
PLC
Redund
8.47E-4
GEFANUC GEFANUC
Figura 8.21 Cuantificacin del rbol de Fallas aplicado a la SIF instalada (ESD-1,
Transicin 2)
Finalmente, la cuantificacin del rbol de Fallas de la SIF 7: ESD-1 Tren de

Produccin A, incluyendo las dos transiciones se muestra en la Figura 8.22. Como se
puede observar, el resultado obtenido resulta notablemente influenciado, tanto por el
desempeo de las vlvulas de parada de emergencia, como por el de los detectores de
fuego UV/IR. Debido a la alta Probabilidad de Falla en Demanda de estos elementos, el
desempeo global de esta Funcin Instrumentada de Seguridad no corresponde ni siquiera
a un SIL 1.
95
Vlvulas ESDVs (SDVs) abiertas

en un ESD-1 del Tren A
=
Tren A NO AISLADO
0.241
Fallan al cerrar
Vlvulas ESDVs
(SDVs)
Falla Deteccin de
Fuego en Tren A
Falla Seal ESD
7.8915E-7
1,35E-01
0.122
Falla al cerrar
30-ESDV-001
30
ESDV
001
1.59E-2
OREDA 59
Falla al cerrar
30-ESDV-009
30
ESDV
009
1.717E-2
OREDA 95
Falla al cerrar
30-SDV-099
Falla al cerrar
30-ESDV-320
Falla al cerrar
30-ESDV-382
Falla al cerrar
30-SDV-517
Falla al cerrar
30-SDV-582
Falla al cerrar
31-ESDV-085
Falla al cerrar
41-ESDV-086
30
SDV
099
30
ESDV
320
30
ESDV
382
30
SDV
517
30
SDV
582
31
ESDV
085
41
ESDV
086
1.59E-2
OREDA 59
1.59E-2
OREDA 59
1.59E-2
OREDA 59
1.59E-2
OREDA 59
1.59E-2
1.59E-2
1.59E-2
OREDA 59
OREDA 59
OREDA 59
Figura 8.22 Cuantificacin del rbol de Fallas aplicado a la SIF instalada (ESD-1)
96
C A P T U L O 9 AN L I S I S
DE LOS
R E S U L T A D O S OB T E N I D O S
En el presente captulo se mostrarn los resultados obtenidos a manera de resumen, a

fin de facilitar la comprensin del panorama existente y presentar la efectividad de las
propuestas de rediseo, en cuanto al logro de los objetivos de integridad de seguridad que
se determinaron cuantitativamente a travs de los anlisis realizados en este estudio.
9 . 1 R E S U M E N D E R E S U L TA D O S
En la Tabla 9.1 se muestra un resumen de los resultados obtenidos, donde se han
incluido la cuantificacin correspondiente a la determinacin del SIL objetivo, en base al
riesgo inherente al proceso y al BPCS, y la verificacin del SIL del SIS instalado.
Tabla 9.1 Resumen de resultados obtenidos

Riesgo
Sistema/
Probabilidad de
Evento
Ocurrencia del
SIF
Evento Tope
RRF
SIL
SIL de la SIF
Remanente
requerido
objetivo
instalada
RRF requeridoRRF obtenido

con SIS
1/1
1,81E
-2
1810
1333,36
10000
9736,15
3,5
8,85
0,103
103,35
0,1026
10,26
N/A
N/A
N/
1
1/2
0,1
2
1/3
3
2/1
3,5E
-3
8,829E
-3
4
2/2
5
2/3
6
ESD-1
7
= 6 (mnimo
SIL 1)
97
De la Tabla 9.1 puede deducirse que para las SIF 3,4,5 y 6, el Factor de Reduccin
de Riesgo requerido para alcanzar el Nivel de Riesgo Tolerable definido es obtenido
actualmente con el SIS instalado. Sin embargo, para las SIF 1 y 2, los resultados arrojados
por el estudio indican que es necesario el rediseo del SIS instalado para lograr el RRF
requerido. Esto se debe principalmente al bajo Nivel de Riesgo Tolerable establecido para
los eventos peligrosos identificados a ser cubiertos por estas funciones, lo cual responde a
las caractersticas de la instalacin y a los riesgos que estos eventos representan, tanto para
el personal, como para los equipos principales del proceso. Es por ello que los esfuerzos
realizados para incrementar el RRF de estas SIF son considerados inminentes.
Por otra parte, debido a que el evento para el que ha sido instalada la SIF 7 no forma
parte del proceso sino que constituye un accionamiento de emergencia, no se determin el
SIL objetivo para esta funcin. Por consiguiente, no se conoce el RRF requerido a ser
alcanzado por esta SIF. Es por ello que en este estudio, nicamente se ha verificado el SIL
de la SIF instalada y se considera que como mnimo sta debe cumplir con SIL 1, lo cual
no se logra con las condiciones actuales de operacin. La determinacin del Nivel de
integridad de Seguridad requerido para la misma no pertenece al alcance de este estudio y
debe ser objeto de anlisis posteriores.
9.2 R EDISEO DEL SIS I NSTALADO

En esta seccin se presentarn los criterios de diseo del SIS a fin de lograr cumplir
con los requerimientos de SIL objetivo determinados en las primeras fases del ciclo de vida
de seguridad del SIS, luego de comprobar que el sistema instalado, en algunos casos, no se
ajusta a dichos requerimientos.
9.2.1 Consideraciones de diseo del SIS

Segn la Norma ANSI/ISA-S84.01-1996 en la Clusula 4 apartado 4.2.5 el
desempeo del SIS puede ser mejorado con la adicin de redundancia, pruebas ms
frecuentes, uso de falla de deteccin diagnstica y uso de diversos sensores y elementos
finales de control, etc. El desempeo tambin se mejora mediante mejor control de los
98
procedimientos de diseo, operacin y mantenimiento. A continuacin se describen

algunos de los requerimientos de diseo conceptual del SIS.
9.2.1.1 Separacin
La separacin del sistema de control bsico de proceso (BPCS) y las funciones del
Sistema Instrumentado de Seguridad SIS reducen la probabilidad de que el control y las
funciones de seguridad no estn disponibles al mismo tiempo, ya que cambios inadvertidos
afectaran la funcionalidad de seguridad del SIS. Debe existir una separacin total entre
estos dos sistemas, en casos donde no sea posible separar dichos sistemas en un proceso o
equipo especifico y contratista se debe fundamentar y demostrar que no se compromete la
integridad de las funciones de seguridad.
La Separacin Idntica, debe constar de dos o ms unidades o componentes

idnticos e independientes entre si.
La Separacin Diversa debe constar de dos o ms unidades o componentes

diferentes (con diferente tecnologa, configuracin, entre otros factores) e independientes
entre s, adems este tipo de separacin reduce la probabilidad de fallas sistemticas y las
fallas de causa comn.
La separacin debe considerarse y evaluarse para cumplir con la funcionalidad de
seguridad y los requisitos de integridad en las siguientes reas:
a) Aplicacin a sensores de campo.
b) Aplicacin a elementos finales de control.
c) Procesador lgico.
d) Comunicacin entre SIS y el sistema de control bsico de proceso (BPCS) u otro
equipo.
Sensores de campo : Para SIL 1 y SIL 2, es necesaria la separacin idntica entre el

sistema de control bsico de proceso (BPCS) y el SIS para alcanzar la integridad de
seguridad requerida.
99
Para SIL 3, la separacin puede ser idntica o diversa entre el sistema de control
bsico de proceso (BCPS) y el SIS para cumplir con la integridad de seguridad requerida.
Procesador lgico: Para SIL 1, la separacin entre el sistema de control bsico de

proceso BPCS y el SIS debe ser idntica o diversa para lograr la integridad de seguridad
requerida.
Para SIL 2, se requiere separacin diversa entre el sistema de control bsico de

proceso BPCS y el SIS para cumplir con la integridad de seguridad requerida.
Para SIL 3, la separacin debe ser idntica o diversa entre el BPCS y el SIS para
alcanzar la integridad de seguridad requerida
Vlvulas de cierre y control: Para SIL 1, puede usarse una sola vlvula para ambos
sistemas BPCS y el SIS, con la condici n de que la tasa de falla, cumpla los requisitos de
integridad de seguridad. El diseo debe asegurar que las acciones del SIS prevalezcan
sobre las acciones del BPCS.
Para SIL 2, se requiere la separacin idntica entre BPCS y el SIS, para cumplir el
nivel de integridad de seguridad requerida. El uso de una sola vlvula para BPCS y SIS
requiere un anlisis y revisin de seguridad, ya que de lo contrario puede no cumplirse la
integridad de seguridad requerida.
Para SIL 3, la separacin debe ser idntica o diversa entre el BPCS y el SIS para
alcanzar la integridad de seguridad requerida.
Para SIL 3, debe existir una separacin diversa entre el sistema de control bsico de
proceso BPCS y el SIS para cumplir con la integridad de seguridad requerida.
9 . 2 . 1 . 2 R e d u n d a nc i a
Entre las consideraciones de diseo para alcanzar el SIL deseado contempladas en la
Clusula 6, apartado 6.2.3, de la norma ISA-S84.01 y detallada en el Anexo B, clusula
100
B.2, se encuentra la Redundancia-Idntica o Diversa, la cual puede ser aplicada para

proveer mayor integridad de seguridad o mejorar la tolerancia a fallas. Los requerimientos
de redundancia para lograr un SIL y una confiabilidad dados, deben determinarse para
todos los componentes del SIS incluyendo los sensores, el procesador lgico y los
elementos finales de control.
9.2.1.3 Arquitectura
Otra de las consideraciones de diseo pertenecientes a la Clusula 6, apartado 6.2.3
de la norma ISA-S84.01-1996, es el diseo de la arquitectura. La arquitectura del sistema
indica el arreglo e interconexiones de los componentes o mdulos del SIS. La seleccin de
sta es una actividad que debe desarrollarse durante el diseo conceptual del sistema. La
arquitectura del SIS tiene un impacto directo en su integridad global de seguridad,
influenciando asimismo en su confiabilidad. La seleccin de la arquitectura del SIS se
detalla en el Anexo B, Clusula B.6 de la misma norma, all se establece la arquitectura
que tpicamente cubren los requerimientos de SIL:
SIL 1: Una arquitectura 1oo1 con un sensor simple, un procesador lgico simple y
un elemento de control final simple.
SIL 2: Requiere de mayor diagnstico y tpicamente incluye redundancia del

procesador lgico y de los sensores, con redundancia de los elementos de control final
segn sea necesario.
SIL 3: Tpicamente 2 arreglos 1oo1 separados y diversos, cada uno con su propio
sensor, procesador lgico y elemento de control final. Los arreglos 1oo1 se conectan en un
esquema de votacin 1oo2. Separacin diversa, redundancia y capacidades de diagnstico
exhaustivo son aspectos considerados significativos de un sistema SIL 3.
Cabe destacar que un SIS puede utilizar arquitecturas distintas para cada
componente, por ejemplo, sensor 2oo3, procesador lgico 1oo2, elemento final 1oo2, lo
cual depende en gran medida de los requerimientos de prueba y mantenimiento, la
101
confiabilidad de los equipos, los modos de falla y la interfaz con el usuario. Esto hace que
se logren distintos SILs en un mismo SIS.
9.2.1.4 Intervalo de Prueba Funcional

La ltima de las consideraciones de diseo a tomar en cuenta en este estudio para
aplicar los mtodos necesarios para alcanzar un SIL objetivo, es la que se refiere al
Intervalo de Prueba Funcional. Dado que el SIL cuantificado fue obtenido a partir de la
PFDavg (Ecuacin 3.5) la cual incluye el trmino de intervalo de pruebas, es recomendable
verificar las consideraciones que sobre este punto se hacen en la norma ISA-S84.01 en la
Clusula 9, apartados 9.5; 9.6; 9.7 y 9.8 y en el Anexo B Clusula B.15, y en la norma IEC
61511-1 en la Clusula 16, apartado 16.3, en las cuales se especifica, entre otras cosas, lo
siguiente:
La frecuencia de los intervalos de pruebas funcionales debe ser consistente con las
recomendaciones del fabricante aplicables y las prcticas de buena ingeniera, y ms
frecuentes si se determina necesario mediante experiencia operacional previa. Es
importante mencionar que algunas porciones del SIS pueden requerir intervalos distintos
de prueba, los cuales deben determinarse a fin de cumplir con los requerimientos de
integridad de seguridad. Las pruebas funcionales peridicas se realizarn usando un
procedimiento documentado para detectar las fallas ocultas. Debe probarse el SIS completo
incluyendo los sensores, el procesador lgico y los elementos finales. Adems, entre estos
intervalos de pruebas programadas deben realizarse inspecciones visuales peridicas del
SIS para asegurar que no ha habido modificaciones no autorizadas o deterioro observable.
Finalmente deben mantenerse los rcords que certifican que las pruebas e inspecciones
fueron completadas de la forma requerida. Estos registros deben incluir:
-La descripcin de las pruebas e inspecciones llevadas a cabo,
-Las fechas de las pruebas e inspecciones,
-El nombre de la persona que realiz las pruebas e inspecciones,
-La etiqueta (TAG) del sistema probado y
-Los resultados de las pruebas e inspecciones.
102
Respecto a la especificacin de las pruebas funcionales, se debe resaltar que, a pesar

de que la norma especifica que las pruebas funcionales deben realizarse en el sistema en su
totalidad, esta metodologa es poco factible en este caso debido a las cuantiosas prdidas
de produccin, gastos de operacin y requerimiento de personal que se requiere para su
aplicacin. Sin embargo, las pruebas aisladas de los componentes del SIS por separado
son requeridas y necesarias para garantizar un desempeo adecuado y confiable. De hecho,
la reduccin del intervalo de tiempo entre pruebas es un factor que mejora de forma
notable el desempeo del SIS.
9.2.2 Escenarios de Rediseo Planteados

A continuacin se presentan los posibles escenarios que resultan en mejoras
significativas en el desempeo de los diferentes SIS evaluados en este estudio. Estas
soluciones se basan en los requerimientos funcionales de diseo especificados en la
Norma ANSI/ISA S84.01-1996. De todos los escenarios posibles, han sido seleccionados
los que resultan ms representativos.
9.2.2.1 Escenario
1:
Reduccin
de
los
TI
de
las
vlvulas
ESDV, SDV
Una de las medidas ms eficaces y de menor impacto econmico es la reduccin de
los intervalos de prueba de los elementos de la Funcin Instrumentada de Seguridad,
especialmente los elementos finales, que en este caso de estudio estn representados por las
vlvulas de parada de emergencia (ESDV o SDV). Estos componentes generalmente
determinan el desempeo global de la SIF, esto debido a su alta PFDavg, en comparacin
con el resto de los dispositivos. Es por ello que, dado que la tasa de fallas es constante,
durante la vida til, el nico modo de variar la PFDavg es a travs de la reduccin de los
intervalos de pruebas funcionales.
En este caso se ha reducido el TI de las ESDVs y SDVs que forman parte de las
SIF que se redisean en esta parte a 2190 horas (3 meses), lo que representa una tercera
parte del intervalo de pruebas funcionales originales, 4380 horas (1 ao). Esto supone una
103
reduccin lineal de la PFDavg de los elementos en cuestin, lo que redunda en un aumento

del RRF y por consiguiente del Nivel de Integridad de Seguridad (SIL).
Esta medida ha sido aplicada a la SIF 1, 2 y 7, que son en efecto las funciones que
requieren un rediseo eficaz para alcanzar el nivel de riesgo tolerable definido para su
operacin segura. Los resultados obtenidos se muestran en la Tabla 9.2.
9 . 2 . 2 . 2 E s c e na r i o 2 : R e d u c c i n d e l o s T I d e l a s E S D V s y d e
los sensores y aplicacin de redundancia a los sensores
Debido a que con el escenario de rediseo anterior no se han obtenido resultados
suficientemente satisfactorios, se propone aplicar una medida adicional, que permita
alcanzar la meta de riesgo tolerable establecida. Para ello se requiere cambiar la
configuracin de los elementos sensores
de una arquitectura simple 1oo1 a una
arquitectura redundante 1oo2. Adicionalmente se mantendr el intervalo de pruebas

funcionales que se propuso en el escenario anterior. Slo se aplicar este rediseo a las SIF
1 y 2, dado que no es aplicable a la SIF 7.
En la Figura 9.1 y en la Figura 9.2 se muestra la cuantificacin del rbol de Fallas

con el rediseo aplicado a la SIF 1 y a la SIF 2 respectivamente.
Debe destacarse que a pesar de la aplicacin de redundancia en los sensores reduce

significativamente la PFDavg de la SIF, los resultados obtenidos reflejan en ambos casos
estn notablemente influenciados por el desempeo de los elementos finales, por lo que se
puede deducir que es en estos dispositivos, vlvulas especficamente, donde deben
concentrarse los esfuerzos en el rediseo si se quieren observar mejoras considerables en el
desempeo global del Sistema Instrumentado de Seguridad.
104
Dao al recipiente
5,3082E-04
Falla Transmisor
de Presin
5,30E-04
7.8915E-7
2,8674E-08
30
PIT
552
Falla
Accionamientos
Falla ESD PLC
Efecto Causa
Comn
Factor (10%)
30
PIT
552
Falla Vlvula
ESDV
Falla Operador
30
ESDV
001
OPERADOR
7.174E-8
Falla ESD PLC
1,6933E-04 1,6933E-04
Falla ESD PLC

Redundante
EXIDA.COM EXIDA.COM
5,30E-03
ESD
PLC
8.47E-4
GEFANUC
ESD
PLC
Redund
0.1
PDVSA
OREDA 59
8.47E-4
GEFANUC
Figura 9.1 Cuantificacin del rbol de Fallas del escenario 2 de rediseo de la SIF 1

control de presin
1,10E-03
Falla Transmisor
de Presin
2,8674E-08
30
PIT
552
7.8915E-7
Efecto Causa
Comn
Factor (10%)
30
PIT
552
1,6933E-04 1,6933E-04
EXIDA.COM EXIDA.COM
Falla
Accionamientos
Falla ESD PLC
1,10E-03
Falla Vlvulas
ESDVs
7.174E-8
Falla ESD PLC
Falla ESD PLC

Redundante
ESD
PLC
ESD
PLC
Redund
8.47E-4
GEFANUC
8.47E-4
GEFANUC
Falla Operador
1,10E-02
OPERADOR
30
ESDV
001
30
ESDV
009
0.1
PDVSA
5,30E-03 5,73E-03
OREDA 59 OREDA 95
Figura 9.2 Cuantificacin del rbol de Fallas del escenario 2 de rediseo de la SIF 2
105
9.2.2.3 Escenario 3: Reduccin del TI de las ESDVs y de los

detectores UV/IR
En este caso se plantea la posibilidad de reducir el TI de las vlvulas y de los
detectores UV/IR a 2190 horas (3 meses). Esta medida de rediseo slo ser aplicada a la
SIF 7, debido a que los detectores UV/IR pertenecen slo a esta funcin.
Los resultados obtenidos con la aplicacin de esta medida se muestran en la Tabla

9.2.
9.2.3 Resultados obtenidos a partir del rediseo

Como se ha analizado, mediante el rediseo del SIS se logra reducir
significativamente el riesgo y por consiguiente aumentar el Nivel de Integridad de
Seguridad, todo esto siguiendo las recomendaciones presentadas en las consideraciones de
diseo, cumpliendo con las normativas nacionales e internacionales aplicables al diseo
del Sistema Instrumentado de Seguridad. La Tabla 9.2 muestra los resultados obtenidos
luego del rediseo del SIS aplicado.
Tabla 9.2 Resultados obtenidos en el rediseo del SIS

Escenario 1
Escenario 2
Escenario 3
Riesgo
Sistema/
Evento
Riesgo
Remanente
SIL
obtenido
RRF
requerido-
Remanente
SIL
Riesgo
SIL
obtenido
Remanente
obtenido
RRF
requerido-
RRF obtenido
RRF obtenido
con rediseo
con rediseo
1/1
847,09
N/A
N/A
1/2
9378,31
9091,86
N/A
N/A
ESD-1
N/A
N/A
Como lo reflejan los resultados mostrados, la aplicacin del escenario 2 de

rediseo provee a la SIF 1 de un Factor de Reduccin de Riesgo superior al requerido, con
lo cual el sistema alcanza el Nivel de Riesgo Tolerable preestablecido.
106
Por otro lado, el desempeo logrado en el caso de la SIF 2, an no es suficiente para

alcanzar el Nivel de Riesgo Tolerable, sin embargo, incurrir en medidas ms eficaces
requiere un anlisis costo-beneficio ms detallado de las posibles soluciones. Cabe destacar
que el RRF logrado en este caso sita a esta SIF en un SIL igual a 2.958, aplicando la
Ecuacin 3.7 , lo cual se aproxima bastante a SIL 3, por lo que de realizarse un anlisis
posterior podra definirse si es aceptable el RRF logrado con esta medida, aunque el
resultado cuantitativo de este estudio indica lo contrario.
En cuanto al escenario 3, el anlisis de los resultados obtenidos demuestra que los

esfuerzos realizados para incrementar la frecuencia de pruebas funcionales actuales tanto
de las ESDVs como de los sensores UV/IR, producen ciertos cambios en el desempeo
del SIS. El SIL alcanzado por la SIF 7, apenas es igual a 1 lo cual podra implicar un factor
importante de riesgo no cubierto por el SIS, lo que debe ser solventado utilizando las
consideraciones de diseo establecidas por las normativas aplicables.
Adicionalmente, cabe sea lar que particularmente en el caso de los detectores UV/IR
la data suministrada por el fabricante refleja una tasa de fallas por encima de lo esperado
para este tipo de tecnologa, por lo que la PFDavg de todo el sistema resulta muy elevada.
Debido a esto sera conveniente realizar una evaluacin de estos dispositivos, de manera tal
que, de confirmarse la baja confiabilidad de los mismos, stos sean reemplazados por
elementos con un desempeo ms ptimo.
107
CAPTULO 10 E S T U D I O
R EGISTRADAS
POR LOS
LA
DE LAS
D ETECTORES
F A L S A S AL A R M A S
DE
FU E G O UB I C A D O S
EN
E STACIN P RINCIPAL
Este captulo presenta el estudio de las falsas alarmas reportadas por los detectores de
fuego instalados en la Estacin Principal, los cuales forman parte del sistema de Fuego y
Gas y cuya activacin es capaz de iniciar un ESD-1 en la zona donde se localice el mismo.
A continuacin se describir la tecnologa utilizada, los antecedentes del problema, as
como la metodologa utilizada para analizar las fallas y las alternativas propuestas para
reducir estas falsas alarmas y evitar sus efectos indeseados.
1 0 . 1 ANTECEDENTES
La tecnologa combinada UV/IR de deteccin de fuego tiene la fortaleza de reducir
los disparos por falsas alarmas debido a que es necesaria la deteccin simultnea de ambos
tipos de radiacione s (UV e IR) para producir una alarma. Sin embargo, desde la instalacin
de estos detectores, a comienzos de las operaciones de la planta (Diciembre 2000), se han
generado mltiples paradas por falsa seal de fuego en los detectores UV/IR.
A raz de las numerosas paradas de planta ocasionadas por falsas alarmas de fuego en
los detectores UV/IR, se tomaron algunas medidas para reducir la frecuencia de las
activaciones:
Sensibilidad:
La sensibilidad de los detectores UV/IR instalados en la Estacin Principal, se

encuentra ajustada a 75% debido a que manteniendo la configuracin original del
fabricante (100%) se reportan mltiples activaciones injustificadas. Ningn detector debe
encontrarse ajustado al 50% de sensibilidad dado que este valor puede resultar en una
operacin riesgosa segn algunas pruebas realizadas por personal en campo. Sin embargo,
en la actualidad, no existe ninguna especificacin que indique la condicin adecuada de
operacin en este respecto, por lo cual los ajustes realizados a este parmetro dependen del
criterio del personal tcnico.
108
Tiempo de Retardo:
Se mantuvo el tiempo de retardo de la alarma del detector UV/R en 1 seg, mientras

que el tiempo de activacin de ESD-1 en el PLC a causa de la alarma generada por estos
instrumentos est programada para 10 seg, con lo cual se requiere que la cantidad de
tiempo que una condicin de alarma debe mantenerse antes de iniciar un ESD-1.
Reorientacin:
Se reorientaron ciertos detectores cuyo cono de visin abarcaba alguno de los

Flares.
Monitoreo:
Se implement una rutina de monitoreo diario de las seales generadas por cada
uno de los detectores durante las 24 horas del da, con lo que se genera un informe que
permite observar el desempeo de los mismos y detectar los casos ms crticos.
10.1.1 Tecnologa Utilizada

Las tcnicas de deteccin ptica de fuego se basan en detectar las caractersticas
exclusivas de una radiacin de llama. El detector debe ser capaz de distinguir entre las
seales nicas de la llama y la radiacin del entorno, de otro modo ocurren falsas alarmas.
Debido a que diversos ambientes presentan diferentes radiaciones de entorno, y diversas
aplicaciones necesitan distintos tiempos de respuesta, sensibilidad, etc., debe seleccionarse
el detector ms apropiado para cada aplicacin en especfico.
Los detectores de fuego utilizados en la Estacin Principal, emplean la tecnologa de

deteccin combinada UV/IR (Ultravioleta /Infrarrojo),
manufacturada por General
Monitors bajo el modelo FL3100. Esta tecnologa ha sido seleccionada debido a que
presenta alta velocidad de respuesta, alta sensibilidad, baja tasa de falsas alarmas y puede
ser utilizada en exteriores. Adems es apropiada para deteccin de llama de hidrocarburos.
109
10.1.2
Principio de Operacin
El modelo de detector de llama UV/IR-FL3100 de General Monitors es un

detector discriminador de UV/IR el cual hace uso de un foto tubo sensible a la radiacin
ultravioleta junto con un detector infrarrojo.
La porcin UV del detector, responde a la radiacin en la regin de 185 a 260

nanmetros. Cuando la radiacin de una llama golpea la chapa del ctodo dentro del tubo
de UV del detector, los electrones son arrojados de la chapa del ctodo. Estos electrones
son acelerados hacia el nodo del tubo que est positivamente cargado y chocan con
molculas de un gas ionizable, del cual est lleno el tubo. Este emite ms electrones y
produce una condicin de avalancha. Ms electrones son liberados lo cual crea una
corriente momentnea de electrones del ctodo al nodo. Esta corriente momentnea
(pulso) ocurre a una tasa proporcional a la intensidad de radiacin UV.
El detector UV se combina con un detector infrarrojo,
el cual responde a los
cambios de intensidad de la radiacin infrarroja. Censando longitudes de onda especficas

en el espectro UV e IR y luego procesando estas seales con un microcomputador se
alcanza un grado muy alto de discriminacin.
Incorporado en la circuitera IR se encuentra un circuito de discriminacin de la

fluctuacin (flickering). Esto permite que el detector ignore fuentes estticas de IR tales
como objetos calientes. La fluctuacin inherente de una llama provee la modulacin
necesaria para activar el circuito IR. El tamao y la forma de una llama est cambiando
constantemente, este cambio causa una variacin en la potencia radiada. La potencia
radiada por una llama tpicamente flucta en frecuencias de 1 a 10 Hz. Esta es la
frecuencia a la que el detector infrarrojo es sensible.
Debido a que la llama es una fuente copiosa de radiacin ultravioleta e infrarroja, el

detector est provisto de discriminacin cuando ambas emisiones de UV e IR son
detectadas. Si slo se detecta UV, como en el caso de arco de soldadura, no se da alarma.
Igualmente si slo se detecta IR, por ejemplo desde un objeto caliente, no se da ninguna
110
alarma. Si por el contrario, ambas condiciones se cumplen en la combinacin e intensidad

correcta, se identifica una seal de fuego y se produce una alarma.
1 0 . 2 D ESARROLLO DEL ESTUDIO
10.2.1 Metodologa
El presente trabajo se sustenta en el anlisis del comportamiento de los detectores,
basado en las mediciones de los niveles de corriente de salida (0-20mA) registrados por
estos dispositivos. Para lograr esto se procesa la data proveniente del sistema SCADA
mediante el uso de la herramienta PI-Process Book para generar las grficas de intensidad
de corriente de salida de los detectores.
A partir de las grficas obtenidas se realiza un estudio comparativo de las

caractersticas tpicas de registro de corriente de cada detector de acuerdo a las condiciones
especficas del entorno donde se localiza el dispositivo, para inferir algunas de las causas
por las cuales podran generarse las activaciones IR y/o UV y finalmente las advertencias y
alarmas.
Se llev a cabo un levantamiento en campo que permiti corroborar las hiptesis que
surgen de los anlisis anteriores, as como tambin se valid la informacin contenida en
los planos y se generaron los documentos As-Built (como construido) que soportan las
recomendaciones a formular.
Para elaborar las consideraciones finales se verificaron las sugerencias del fabricante
en cuanto a la instalacin, operacin y mantenimiento del dispositivo, y la normativa
vigente aplicable a los sistemas de deteccin de fuego (PDVSA-IR-I-01).
10.2.2 Estudio de Casos

Para lograr el objetivo de este estudio, fue necesario analizar cada uno de los
detectores instalados, que presentaran indicios de falsas alarmas, para comprender las
causas de este fenmeno segn cada caso en particular. En este trabajo se presentar slo
111
una muestra de los mltiples anlisis realizados, especficamente enfocados hacia los
detectores localizados en el tren A de produccin, a pesar de que en la realidad se
estudiaron todos los dispositivos en falla sin importar la zona en la que se ubican.
1 0 . 2 . 2 . 1 C a s o 2 9 - B E- 0 2 7 y 2 9 - B E- 0 2 8
Estos detectores forman parte del grupo que se localiza alrededor del Oil Heater H3001A.
Grficas de Registro de Corriente obtenidas del Sistema PI

La Figura 10.1 y la Figura 10.2 muestran las grficas de corriente de salida de los
detectores 29-BE-028 y 29- BE-027 respectivamente obtenidas del sistema PI, a estas
grficas se les ha aadido la grfica del flujo de gas al LP Flare (FL-3501), para
determinar la relacin existente entre esta variable y el desempeo del detector. Se han
graficado por un perodo de 7 das para observar el funcionamiento tpico del instrumento.
Figura 10.1 Grfica de Registro de Corriente del detector 29-BE-028 y Flujo de Gas al
LP Flare
En la Figura 10.1 y en la Figura 10.2 puede notarse que durante los descensos
registrados en el flujo de gas hacia el LP Flare (FL-3501) la seal de salida de los
detectores (29-BE-028 y 29-BE-027) se mantienen alrededor del rango de operacin
normal (4mA). Por esta razn se presume que el detector es capaz de captar desde su
ubicacin las radiaciones UV/IR provenientes de la llama del flare.
112
Figura 10.2 Grfica de Registro de Corriente del detector 29-BE-027 y Flujo de Gas
al LP Flare
Fotografa(s) representativa(s) del caso
La Figura 10.3 muestra una fotografa de los detectores 29-BE-027 y 29-BE-028 en

direccin Oeste, donde se aprecia al fondo la llama del LP Flare.
Figura 10.3 Vista lateral de los detectores hacia el Oeste. Al fondo el LP Flare
La Figura 10.4muestra a la izquierda una fotografa tomada desde la ubicacin del

29-BE-028 con vista hacia el Oil Heater (H-3001A), a la derecha una fotografa con
113
vista frontal del detector, donde se aprecia la cercana y dimensiones de la llama del LP
Flare.
Figura 10.4 : Izquierda: Vista posterior del detector 29-BE-028 hacia el H-3001A.
Derecha: Vista frontal del detector 29-BE-028, al fondo el LP Flare
De las fotografas mostradas en la Figura 10.3 se infiere que, las activaciones de los
detectores (29-BE-027 y 29-BE-028) pueden deberse a la cercana del LP Flare y a las
propiedades reflectoras del material de la superficie del Horno.
1 0 . 2 . 2 . 2 C a s o 2 9 - B E- 0 3 2
El equipo a proteger por este detector es el Slug Catcher (D-3001A).

En la Figura 10.5 se muestra la grfica de corriente de salida (4-20mA) del detector
29-BE-032, igualmente se muestra la grfica de flujo de gas al LP Flare (FL-3501) para
establecer las comparaciones correspondientes entre ambas tendencias. Ambas grficas se
obtuvieron del sistema PI y se estableci un rango de tiempo de 7 das.
114
Figura 10.5 Grfica del Registro de Corriente del detector 29-BE-032 y Flujo de Gas al LP
Flare
Como se evidencia en la Figura 10.5, cuando se presentan descensos considerables

en el flujo de gas hacia el LP Flare la seal de salida del detector presenta un valor dentro
del rango de operacin normal, mientras que la seal de alarma reportada coincide con un
pico de flujo de gas al LP Flare, y los registros de radiacin UV e IR se mantienen
mientras el flujo de gas al LP Flare se site en niveles promedio y altos.
Una evidencia que vale la pena destacar es el valor promedio de corriente de salida
del detector mostrado en la grfica de la Figura 10.5, el cual se sita por encima de los
10mA, lo cual indica que los niveles de corriente registrados se sitan la mayor parte del
tiempo fuera del rango de operacin normal (4mA), presenciando radiaciones UV e IR de
forma casi continua.

La Figura 10.6 muestra una fotografa de la vista lateral del detector tomada hacia el
suroeste. Puede observarse la elevada orientacin del instrumento y la cercana e

intensidad del LP Flare (FL-3501).
115
Figura 10.6 Vista lateral del detector 29-BE-032 hacia el FL-3501 (Suroeste)
1 0 . 2 . 2 . 3 C a s o 2 9 - B E- 0 4 3 , 2 9 - B E- 0 4 4 , 2 9 - B E- 0 4 5 y 2 9 - B E- 0 4 6
Estos detectores cubren el rea donde se localizan los Deshidratadores de Crudo (Oil
Dehydrators D-3004 A y D-3004B).

Para visualizar las caractersticas tpicas del desempeo de estos detectores, se han
extrado del sistema PI las grficas de corriente de salida de los mismos por un perodo de
48 horas, los resultados obtenidos se presentan en la Figura 10.7 y en la Figura 10.8 .
Figura 10.7 Grfica de Registro de Corriente del detector 29-BE-043
116
El patrn de la seal de salida de corriente del detector 29-BE-043 obtenido en la

Figura 10.7 sugiere que el mismo percibe radiaciones UV e IR durante el horario
comprendido entre las 9am y las 11am, las cuales se reanudan entre la 1pm y las 5pm.
Debe aadirse adems que en los archivos histricos de PI revisados, la corriente de salida
del dispositivo se ha mantenido en los rangos de funcionamiento normal durante los das
no laborables.
Figura 10.8 Grfica de Registro de Corriente del detector 29-BE-046
El comportamiento del detector 29-BE-046, mostrado en la Figura 10.8 resulta muy

similar al encontrado para el 29-BE-043, presentndose los aumentos de nivel de corriente
durante el mismo horario, lo cual seala la presencia de radiaciones UV/IR en esa rea bajo
las mismas circunstancias.
No se han mostrado las grficas de corriente de los detectores 29-BE-044 y 29-BE045 debido a que exhiben bsicamente las mismas caractersticas, con la salvedad de que
no presentan seales de advertencia ni alarmas (16mA y 20mA).

La Figura 10.9 muestra una fotografa tomada un da jueves a las 5pm
aproximadamente.
117
D-3004B
29-BE-045
Figura 10.9 Vista lateral del detector 29-BE-045 en direccin Sureste. Al fondo
personal y maquinaria efectuando trabajos en el rea
Tal y como se muestra en la Figura 10.9, actualmente se desarrollan trabajos de

construccin en el rea por lo cual, a los componentes habituales del proceso se aaden
maquinarias y personal contratista alrededor de los detectores en estudio. Estas pruebas
indican la relacin que existe entre el desempeo de estos instrumentos, medido mediante
las grficas de salida de corriente de los mismos, y los proyectos que se ejecutan
actualmente.
10.2.3 Soluciones Propuestas

1 0 . 2 . 3 . 1 C a s o 2 9 - B E- 0 2 7 y 2 9 - B E- 0 2 8 :
Descripcin de las Solucin(es) Propuesta(s)
Debido a al ubicacin de estos detectores, y como fue evidenciado en la Seccin
10.2.2.1, se hace necesario modificar la orientacin de los mismos de forma tal que la
118
llama reflejada en la superficie del horno (Oil Heater H-3001A) no se encuentre dentro del
alcance de estos instrumentos.
De acuerdo a la Norma GS SAF 227 de Total, en el apartado 8.1, los hornos deben
estar equipados con detectores de fuego apropiados, en este caso UV/IR, instalados cerca
del mismo para detectar fuego externo donde sea necesario.
Adicionalmente, los hornos que queman combustible y/o calientan fludos del
proceso inflamables deben estar equipados con detectores ubicados cerca del suelo para
detectar una piscina de fuego (pool-fire) en caso de derrame.
-Reorientacin:
A partir de estas especificaciones y considerando los inconvenientes ya expuestos,
ocasionados por la orientacin actual de los detectores, se recomienda:
-Reorientar los detectores de forma tal que el cono de visin de los mismos se limite
al rea inferior del horno y no abarque la fachada metlica de este equipo, de ser necesario
una pantalla o visera es recomendada para limitar el ngulo de visin del dispositivo.
-Reubicacin:
Luego de verificar que la distancia a la que se encuentra del horno, es suficiente para
que con una orientacin hacia abajo de aproximadamente 20 se alcance a cubrir la zona
inferior de este equipo, sin que la estructura del mismo obstruya el cono de visin que se
requiere, se determin que la reubicacin del detector 29-BE-028 no sera necesaria.
1 0 . 2 . 3 . 2 C a s o 2 9 - B E- 0 3 2
Descripcin de la(s) Solucin(es) Propuesta(s)
Para este caso se ha constatado una orientacin demasiado elevada, tal como lo
demuestra la Figura 10.6.
119
-Reorientacin:
Como se establece en el manual del fabricante y en la norma PDVSA IR-I-01 se
requiere reorientar este detector de forma tal que mire hacia abajo para evitar que su cono
de visin coincida con el horizonte. Esto cubrira la zona inferior del Slug Catcher (D3001A) en el caso de producirse un derrame que pueda iniciar una piscina de fuego.
-Reubicacin:
Como se pudo apreciar en el levantamiento de campo, de seguirse la recomendacin
anterior y considerando la situacin actual del instrumento, el cono de visin del mismo se
vera notablemente obstruido por las estructuras que se localizan entre este detector y el
equipo a cubrir, en este caso el Slug Catcher. Debe mencionarse que en el tren B de
Produccin se encuentra instalado un detector (29-BE-057) en la misma ubicacin que el
29-BE-032 pero con una orientacin adecuada, a pesar de que las obstrucciones existentes
son las mismas que para el caso que aqu se menciona, por lo cual, si se determina que esta
condicin compromete la confiabilidad de estos detectores, debe realizarse una reubicacin
que aplique para ambos casos.
-Inclusin de Nuevos Detectores:

Con el propsito de cubrir los elementos localizados en la parte superior del Slug
Catcher, se propone incluir nuevos detectores en la zona ms elevada de este recipiente, de
manera que puedan ser orientados hacia abajo. Para concretar esta recomendacin es
necesario realizar un anlisis de riesgos o un estudio Qu pasa s? que confirme la
posibilidad de que se registre una condicin de fuego en esta rea.
1 0 . 2 . 3 . 3 C a s o 2 9 - B E- 0 4 3 / 0 4 4 / 0 4 5 / 0 4 6 :
Descripcin de la(s) Solucin(es) Propuesta(s):
Este caso representa un ejemplo de la alta susceptibilidad de la tecnologa de
deteccin utilizada al paso de personas u objetos que obstruyan el campo de visin de los
detectores. A pesar de que s se aprecia un registro de corriente que indica la presencia de
fuentes de radiacin UV e IR en el rea debido a las labores de construccin, no ha podido
demostrarse que esta sea la causa de las falsas alarmas. Sin embargo, los detectores que
presentan estas caractersticas pero adems se encuentran orientados hacia alguno de los
120
flares (29-BE-043 y 29-BE-046), s experimentan advertencias y alarmas, lo cual confirma

que esta sigue siendo la principal causa de los falsos disparos de estos dispositivos.
Debe aadirse que en el caso de los detectores 29-BE-044 y 29-BE-045, se presenta

el mismo patrn, pero no se registran alarmas ni advertencias lo cual coincide con una
orientacin aislada de ambos flares.
Cabe destacar, que el hecho de que existan registros de corriente que indiquen
presencia de fuentes UV e IR existentes, no implica mal funcionamiento del detector, dado
que las radiaciones seguramente estn presentes (arcos de soldadura, luz solar, etc.), y
para que la seal de fuego sea confirmada por el instrumento se requieren otras
condiciones adicionales propias de un fuego real (seal UV/IR simultnea, tiempo de
duracin de la seal y fluctuaciones de radiacin IR)
En este caso especfico existe otra dificultad, basada en la orientacin inapropiada de

estos detectores, tratando de cubrir la parte superior de los Deshidratadores, donde se
localizan equipos elctricos que constituyen una potencial fuente de ignicin. Esta elevada
orientacin constituye un problema que se repite en muchos casos.
Aunq ue en esta ocasin la orientacin inadecuada est justificada debido a la

ubicacin de los equipos crticos, sta deber ser corregida si quiere garantizarse un
correcto funcionamiento de los detectores.
Para ello se propone lo siguiente:
-Reorientacin:
Se recomienda que los detectores actualmente instalados se orienten hacia el suelo
cubriendo toda el rea que ocupan los Deshidratadores, previendo un escenario de derrame
de crudo, en el cual, el fluido acumulado resultara en una potencial piscina de fuego (poolfire).
-Inclusin de nuevos detectores:

Localizados a una altura superior a la de los transformadores, de manera que puedan
ser orientados hacia abajo, se recomienda instalar nuevos detectores que puedan proteger
121
estos equipos, asegurando que su orientacin no coincida con la direccin donde se ubican
los flares, y que su cono de visin no converge con el horizonte, para no incurrir en nuevas
fallas. Esto siempre y cuando el anlisis de riesgo y el estudio de Qu pasa si?
justifiquen la proteccin de estos equipos, en ese caso adicionalmente debe considerarse
que estos detectores no deben ser orientados hacia el oeste.
Esta solucin debe tomar en cuenta la accesibilidad del detector para efectos de
mantenimiento, dado que la altura donde se localizar el instrumento podra representar un
riesgo para el personal que realiza las rutinas de mantenimiento programadas.
-Cambio de Tecnologa:
En cuanto a la susceptibilidad al paso de personas y/ u objetos obstruyendo el cono
de visin de los detectores y a las radiaciones emitidas por los arcos de soldadura puede
considerarse cambiar la tecnologa de deteccin a una que no sea sensible a esta fuente de
radiacin, la cual forma parte de las actividades rutinarias dentro de las labores de
construccin, ni a la presencia de personas u objetos obstruyendo momentneamente el
campo de visin de los instrumentos. Esto si no se desea que el registro de estas
radiaciones est presente, a pesar de que slo es una prueba de su existencia, ms no se ha
demostrado que genere seales de alarma o advertencia.
Dentro de las alternativas posibles se encuentra la IR3, la cual est considerada como
verdaderamente inmune a este tipo de excitaciones. Esta clase de detectores utiliza una
combinacin de tres sensores IR de bandas de longitud de onda distintas. Un sensor en la
banda de emisin espectral del CO2, el otro en una banda fuera de la emisin del CO2 y el
ltimo sobre la banda del entorno. La relacin matemtica entre los tres sensores
detectando las longitudes de onda especficas de la radiacin IR es tpica para cada fuente
IR, con lo que se logra distinguir entre un escenario de fuego y estmulos IR interferentes.
122
CAPTULO 11 C O N C L U S I O N E S
RECOMENDACIONES
Luego de haber presentado los resultados del estudio realizado y de proponer las
soluciones consideradas ms apropiadas para cada uno de los casos analizados puede
concluirse que:
El Nivel de Integridad de Seguridad objetivo determinado se verific en ms

de la mitad de las Funciones Instrumentadas de Seguridad estudiadas. El resto
de las SIF estudiadas pueden alcanzar el SIL objetivo mediante el rediseo de
su arquitectura y la reduccin de los intervalos de prueba funcionales.
La orientacin inapropiada, elevada o con cono de visin hacia alguno de los

Flares, detectada en la mayora de los detectores UV/IR que reportan falsas
alarmas, constituye
la principal causas de estas activaciones indeseadas,
como se demuestra en las grficas y fotografas presentadas en este trabajo.

Por tanto, la ejecucin de las reorientaciones y reubicaciones propuestas
garantizan la desaparicin de la mayor parte de estas alarmas.
Las tasas de fallas utilizadas para la cuantificacin de la PFDavg de cada uno

de los lazos estudiados, proviene de fuentes genricas, que han sido sealadas
en cada uno de los rboles de fallas correspondientes, por lo que se
recomienda para futuros estudios verificar esta data y en lo posible, adaptarla
a las condiciones reales de operacin de cada uno de los dispositivos
instalados.
El Nivel de Riesgo Tolerable definido para cada uno de los eventos

analizados se bas en los niveles especificados por la norma PDVSA IR-P02, por lo que para estudios posteriores, se recomienda replantear estos
niveles de acuerdo a la tolerancia establecida por SINCOR segn sus
condiciones de operacin y su filosofa de seguridad.
123
Los intervalos de prueba funcionales constituyen un factor a ser tomado en

consideracin a la hora de garantizar el Nivel de Integridad de Seguridad de
cualquier Sistema Instrumentado de Seguridad instalado o a instalar, por lo
que se recomienda verificar los procedimientos de prueba establecidos y
modificar aquellos aspectos de los mismos que no cumplan con las
normativas aplicables y, que por consiguiente, pudieran degradar los
dispositivos y por ende los lazos que constituyen cada una de las Funciones
Instrumentadas de Seguridad.
124
BIBLIOGRAFA
ANSI/ISA-S84.01-1996.Application of Safety Instrumented System for the

Process Industries. ISA-The Instrumentation, System and Automation
Society. 2002.
ANSI/ISA-TR84.02-2003. Safety Instrumented Functions (SIF) Safety

Integrity Level (SIL). Evaluation Techniques Part 3: Determining the SIL of
a SIF via Fault Tree Analysis. ISA-The Instrumentation, System and
Automation Society. 2002.
GOBLE, William M. Control Systems Safety Evaluation and Reliability

.Segunda Edicin. ISA-The Instrumentation, Systems, and Automation
Society.
IEC 61508,
electronic
Functional Safety of electrical/electronic/programmable
safety
related
systems,
International
Electrotechnical
Commission.
IEC 61511, Functional Safety-Safety Instrumented system for the process

industry sector, International Electrotechnical Commission.
MARZAL, Ed. SHARPF, Eric. Safety Integrity Level Selection, ISA-The

Instrumentation, Systems, and Automation Society.
PDVSA IR-P-02: Nivel de Integridad (SIL) de un Sistema Instrumentado

de Seguridad (SIS). Manual de Ingeniera de Riesgos. 2002.
PDVSA IR-S-02 :Criterios para el Anlisis Cuantitativo de Riesgos.

Manual de Ingeniera de Riesgos. 1995.
125
R EFERENCIAS E LECTRNICAS
www.exida.com
www.iceweb.com/au/sis/target_sis.htm
www.multiplan.co.ae/sil_assesment.htm
www.pemex.com/files /standards/definitivas/nrf-045-pemex-2003.pdf
www.sincor.com

Verif Sil de Un Sistema Sis

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Verif Sil de Un Sistema Sis

Uploaded by

Copyright:

Available Formats

UNIVERSIDAD SIMN BOLVAR

Decanato de Estudios Profesionales

Verificacin del Nivel de Integridad de Seguridad (SIL) de un Sistema

Sartenejas, Noviembre de 2004.

UNIVERSIDAD SIMN BOLVAR

Verificacin del Nivel de Integridad de Seguridad (SIL) de un Sistema

UNIVERSIDAD SIMN BOLVAR

Verificacin del Nivel de Integridad de Seguridad (SIL) de un Sistema

A mi tutor acadmico, Prof. Omar Prez, por transmitirme sus conocimientos y

A todos mis compaeros de SINCOR, especialmente a los Ingenieros Otto Ascanio,

Alexander Ramrez por ser

incondicionales, por apoyarme y por compartir conmigo su espacio y tiempo.

Al Ing. Rubn Mijares, por su ayuda desinteresada en el desarrollo de este trabajo y

A todos MIL GRACIAS!

3.2 FUNCIN INSTRUMENTADA DE SEGURIDAD (SIF) ................................................................................14

4.2.2 Objetivos Especficos.......................................................................................................................33

FIGURA 2.1 UBICACIN GEOGRFICA DEL COMPLEJO...................................................................................................5

FIGURA 8.19 CUANTIFICACIN DEL RBOL DE FALLAS APLICADO A

SIF INSTALADA (SISTEMA

TABLA 3.1 NIVEL DE RIESGO A CEPTABLE......................................................................................................................24

TABLA 5.3: EVALUACIN CUALITATIVA DEL PARMETRO C (SEVERIDAD DE LAS CONSECUENCIAS).................40

En SINCOR, el respeto por la salud, el ambiente, la seguridad de las personas y de

En el desarrollo de nuestras actividades, contemplamos en todo momento el

Comprometidos con estos principios, surge el requerimiento, por parte de SINCOR,

Seguridad y el Nivel de Integridad de Seguridad asociado a los

Los Sistemas Instrumentados de Seguridad son muy importantes en la

En el Captulo 2 se establece un marco referencial de la empresa SINCOR, su

En el Captulo 3 se incluyen los fundamentos tericos que sustentan el estudio

El planteamiento del problema as como los objetivos especficos del estudio

En el Captulo 5 se definen las estrategias utilizadas para alcanzar los objetivos

Los procesos analizados se presentan en el Captulo 6, donde se muestran los lazos

La primera parte del desarrollo del estudio, conformada por la identificacin de

En el Captulo 8 se presenta la segunda parte del estudio, la cual se dedica a verificar

Los resultados obtenidos de los estudios desarrollados se muestran y se analizan en el

El Captulo 10 constituye un estudio complementario realizado con el objetivo de

Finalmente, en el Captulo 11 se presentan las Conclusiones y las Recomendaciones

Habiendo logrado su cometido la campaa de exploracin, a partir del ao 1991, se

Para el ao 2002, Sincrudos de Oriente SINCOR es el tercer proyecto de la Faja del

SINCOR surge de la alianza estratgica entre tres de las principales compaas

Figura 2.1 Ubicacin Geogrfica del Complejo

2.2 M ISIN Y V ISIN

La visin de SINCOR es ser reconocida como la compaa lder en la produccin y

Ser una compaa de mejoras continuas, donde se proveer a sus empleados un

En el proceso de mejoramiento del crudo tambin se obtienen diariamente unas 860

Tanto en el proceso de manejo y transporte de la produccin en Zuata, as como en el

Para un mejor entendimiento de las caractersticas y de las complejidades que

2.4.1 Explotacin y Perforacin de Desarrollo

Figura 2.2 Tipo de pozo estndar con perforacin horizontal

Este fue el sistema de produccin en fro seleccionado, ya que adems de los

Los pozos se perforaron en macollas (clusters), que consisten en emplazamientos en

2.4.2 Bombas de Cavidad Progresiva (PCP)

Algunos pozos podran producir hasta 7000 barriles de petrleo por da si no

2.4.3 Bombas Multifsicas

Las macollas estn equipadas con inyectores de inhibidores de corrosin, de

2.4.4 Estacin Principal ( Main Station)

Las unidades de proceso de la Estacin Principal se dividen en dos trenes (Tren A y

El propsito de las unidades de proceso de la Estacin Principal es tratar el crudo

2.4.4.1 Descripcin del Proceso

Posteriormente, en los serpentines de seccin radiante de los Hornos (H-3001A/B), el

se bombea a los Deshidratadores de Crudo (D-3004A-D) mediante las

Bombas de Deshidratacin (P-3005A-F). El agua a 140C se aade al crudo para obtener

En los Deshidratadores, las sales en el crudo se disuelven en el agua, y el agua es

crudo caliente es enfriado mediante intercambio de calor con el

crudo proveniente del Slug Catcher en los Prealentadores de Crudo/Crudo (E-3003A-H) y