Curso de Sistemas de Emergencia (Shutdown)

Diseño Seguro de Instalaciones
de Proceso de Upstream
Preparado por A dictarse en:
Curso Sistemas de Emergencia (Shutdown)
ÍNDICE
Introducción
Objetivos del Sistema de Emergencia
Componentes del Sistema de Emergencia
Sistema de Detección de Gas y Fuego
Niveles de Emergencia
Arquitectura del Sistema de Emergencia
Despresurización de Emergencia
Matriz Causa-Efecto y Diagramas Lógicos
HIPS – Sistemas de Protección de Alta Integridad
Preguntas
Introducción
Incorporación del concepto de seguridad en el diseño de plantas de proceso
Eliminación o reducción de los potenciales riesgos asociados al procesos,

utilizando en el diseño principios de seguridad inherentes que disminuyan
la posibilidad de incendio, explosión u otro accidente. Por ejemplo:
Reducir inventario de fluidos peligrosos;
Utilizar fluidos o materiales menos peligrosos;
Operar los fluidos peligrosos en condiciones de presión y
temperatura menos severas;
Minimizar la posibilidad de errores y diseñar considerando la
posibilidad de error humano.
En la medida que los riesgos de proceso no pueden eliminarse

totalmente, el diseño de la planta debe incluir sistemas que permitan
disminuir los daños ocasionados por un incendio, una explosión u otro
accidente.
Introducción
“…sistemas que permitan disminuir los daños

ocasionados por un incendio, una explosión u
otro accidente…”
Sistema de Emergencia
ÍNDICE
Introducción
Preguntas

Principal Objetivo
Proteger a la instalación, las personas y el

medio ambiente cuando las variables de
operación se alejan de los rangos
operativos normales.
Proteger la instalación Evitar que la misma llegue a las

condiciones de alivio
Variables de operación Presión, temperatura, caudal, nivel…
Rangos operativos normales Los que se definen para cada una

de las variables de operación a fin
de obtener el producto en
especificación
Rangos operativos Rangos operativos

normales normales
presión,
temperatura,
nivel,
caudal…
presión, temperatura,
nivel, caudal…
Sistema de control - PCS Sistema de emergencia - ESD

Además, el ESD debe:
Minimizar las descargas al medio ambiente

ocasionadas por rupturas;
Prevenir la ignición de productos inflamables,

eliminando las posibles fuentes de ignición;
Reducir el volumen de inventario inflamable por medio

de la despresurización.
ESD
Riesgo asociado al Minimiza los riesgos
proceso
Previene ignición de productos
Variables de operación inflamables
fuera de rango normal
Reduce inventario productos inflamables
Error humano
Diseñado para contemplar el error
humano
Con qué medios
NIVELES DE PROTECCIÓN - Ejemplos


Niveles de Protección (API 14 C)
Causa Efecto y Condición Anormal de Protección Primaria Protección
Detección Secundaria
Sobrepresión // Ejemplo: bloqueo indebido en la salida de un separador.
Restricciones o bloqueos Efecto: ruptura abrupta o pérdida de Instrumento sensor de alta Válvula de seguridad
en las salidas de fluidos. hidrocarburo. presión que bloquee la PSV.
Variable de detección: alta presión. entrada.
SV
SV
PSV
Protección
Primaria
PAHH
SDV
SDV
Bloqueo indebido
Protección en la salida
Secundaria
SV
SDV

Rebalse de Líquidos // Ejemplo: falla en lazo de control de nivel que acciona de bomba que toma de un tanque atmosférico.
Falla de lazo de control Efecto: descarga de hidrocarburos a Instrumento sensor de alto Conexión de rebalse
de nivel. la atmósfera. nivel que bloquee la entrada al en el tanque y dique de
Variable de detección: alto nivel en el tanque. contención.
tanque.
Protección
Primaria Protección
LAHH Secundaria
SV
LIC
SDV
Falla lazo de control

de nivel que acciona
la bomba

Gas Blow by – Pasaje de gas a través de una salida de líquidos // Ejemplo: falla en lazo de control de nivel de separador de
alta presión que envía líquidos a otro de media presión .
Falla de lazo de control Efecto: pérdida de nivel en separador Instrumento sensor de muy Válvula de seguridad
de nivel. de alta presión, pasaje de gas y bajo nivel en separador de alta en el separador de
sobrepresión en separador de media y/o instrumento sensor de alta media presión.
presión. presión en separador de
Variable de detección: muy bajo nivel media que bloquee la entrada
en separador de alta presión. del separador de media o la
salida del separador de alta.
LIC
LALL SV PSV
Falla lazo
de control Protección
de nivel Primaria PAHH Protección
Secundaria
SDV
ÍNDICE
Introducción
Componentes del Sistema de
Emergencia
Preguntas
En la
PCS operación
de la ESD
planta
coexisten
Elementos de Elementos de
Ambos se componen de
Detección Actuación
Elementos de
Ejecución de Lógicas

PCS – Control de ESD – Sistema de emergencia
la variable de proceso cuando la variable de proceso excede
el rango de operación normal.
Elementos de detección LT LT
LIC LALL
Ejecutores de lógicas
SV
Elementos de actuación
SDV

ESD
Elemento de Detección Elemento de Elemento de Actuación

Ejecución de Lógicas
PT
SDV

Elementos de Detección
Transmisores
Presión
Ejecutor de
Temperatura lógica
Caudal
SV
Nivel
Switches neumáticos
PSH PT
Pulsadores duros
En campo SDV
En sala
Pulsadores blandos (software)


Elementos de Ejecución de Lógicas
Estructura del Ejecutor

de Lógicas
Módulo de Módulo de
Procesador
Entrada Salida
SV
xx
Elemento
de Detección
Elemento
de Actuación

Conceptos generales:
Definir requerimientos de la lógica de seguridad (SRS: Safety

Requirement Specification).
Programar acciones de falla de modo que la falla sea segura.
Tiempos de ejecución y actuación de lógicas de acuerdo a tiempos
del proceso.
Conveniencia que el ESD sea un nodo de la red de control para
permitir la integración sencilla con el PCS.
Arquitecturas internas del tipo 1oo2D o 2oo3.
Entradas simples para señales no comprometidas en funciones de
protección.
Conexiones externas con “barreras” o de tipo “sólo lectura”.

Conceptos generales: “Conveniencia que el ESD sea un nodo de la red de control para
permitir la integración sencilla con el PCS.”
Ejecutor de Ejecutor de
Lógicas Lógicas
PCS ESD

Conceptos generales: “Arquitecturas internas del tipo 1oo2D (1 out of 2 con Diagnóstico)
o 2oo3 (2 out of 3).”
Ejecutor de Lógicas
Módulo de
Procesador
Salida
SV
Módulo de
Entrada
2oo3
xx
Elemento Elemento
de Detección de Actuación

Elementos de Actuación
Válvulas de bloqueo de emergencia - SDV
Válvulas de despresurización de emergencia - BDV
Corte de alimentación a equipos eléctricos
Paro de motores

Elementos de Actuación
Válvulas de bloqueo de emergencia - SDV

Válvulas de despresurización de emergencia - BDV
Ejecutor
Puede ocurrir que se utilicen como de
ESD
lógica SV
elementos de actuación del ESD
elementos de actuación que
pertenecen al PCS.
Ejecutor
de
PCS
lógica
ÍNDICE
Introducción
Sistema de Detección de Gas y
Fuego
Preguntas
F&G
Ejecuta lógicas y desencadena acciones que involucran la seguridad de toda la
instalación.
Elementos de detección: Elementos de actuación:

Detectores de humo Válvulas diluvio
Detectores de mezcla Bombas jockey
explosiva Bombas principales
Detectores de fuego Ejecutor de lógicas de agua de lucha contra
Pulsadores en campo incendio
Switch de baja presión ESD ESD Balizas y Bocinas
en anillo de agua de lucha F&G F&G
contra incendio
ÍNDICE
Introducción
Preguntas
Para jerarquizar actuaciones

en el ESD en función del
riesgo involucrado y la
complejidad de la instalación.
Ejemplo: yacimiento de gas con instalaciones de separación, planta de tratamiento y
compresión ubicadas en locaciones diferentes.
Nivel 1: parada o bloqueo del equipo afectado, de modo de proteger la

integridad mecánica del mismo;
CRITICIDAD
Nivel 2: parada de una unidad completa de procesos dentro de la planta

de tratamiento, sin afectar servicios o utilidades;
Nivel 3: parada de toda la planta de tratamiento;
Nivel 4: parada de toda la línea de producción, es decir de todas las

instalaciones del yacimiento.
Tanto el Nivel 3 como el Nivel 4 pueden estar acompañados de una despresurización

de la instalación, parcial o total.
Existen dos conceptos relacionados a la definición de niveles de emergencia que
deben analizarse:
El primero se refiere a la interacción entre los paros de
emergencia de unidades o plantas, desde una
instalación ubicada aguas abajo a otra ubicada aguas
arriba;
Situación insegura Corte de Valores anormales
para el sistema alimentaciones a en variables de
aguas arriba unidad de proceso proceso
y el segundo a la preferencia o no de permitir que se

produzcan acciones en cascada.
Acciones Acciones en
directas cascada
+ Confiabilidad -
+ Estado final de la planta -
+ Tiempo de respuesta -
- Acciones correctivas +
Nivel 1
Integridad mecánica del equipo
Los eventos que activan este nivel son:
Paro de emergencia de nivel superior.

Detección de gas en el interior del cerramiento de un equipo.
Detección de fuego en el interior del cerramiento de un equipo.
Falla mecánica o valores anormales de las variables de proceso de un equipo en
particular.
Las acciones que desencadena un paro de emergencia Nivel 1 son:
Paro del equipo involucrado.

Cierre de las válvulas de bloqueo de emergencia SDV que aíslan el equipo.
Puede o no activar el sistema de lucha contra incendio dedicado al equipo, en
función de cuál haya sido el activador del paro de emergencia Nivel 1.
Nivel 2
No se generan acciones sobre las
utilidades o servicios de la planta, sino
que solamente se bloquea la unidad
donde se genera el riesgo.
Paro de emergencia de nivel superior.

Falla mecánica o valores anormales de variables de proceso que requieren paro
completo de la unidad.
Muy alto nivel en el separador de antorcha del sistema de venteos dedicado a la
unidad.
Muy baja presión en el colector de aire de instrumentos dedicado a la unidad.
Muy baja presión en el sistema de gas combustible cuando el mismo es utilizado
para prevenir el ingreso de aire al sistema de venteo de la unidad en riesgo.
Pérdida de energía eléctrica de alimentación.
Nivel 2
Activa, si los hubiera, los paros de emergencia Nivel 1 dentro de la unidad en riesgo.
Paro de los equipos de la unidad en riesgo, corte de energía a motores y paro o
cierre de las fuentes de calor.
Cierre de las válvulas de bloqueo de emergencia SDV que aíslan la unidad en riesgo
y habilitación del by-pass de la misma, en caso que exista.
Entrada
Endulzamiento
Ajuste Punto
Ajuste Punto
de Rocío #2
de Rocío #1
Hay tantos paros de emergencia Nivel 2
como unidades dentro de la planta
Estabilización
Servicios/Utilidades
Nivel 3
Mayor criticidad: involucra el riesgo
de toda la planta de tratamiento
Paro de emergencia de nivel superior, en caso de que exista.

Detección de gas en una zona abierta.
Detección de fuego en una zona abierta.
Decisión del operador. Esta decisión del
Bajo voltaje en la UPS. operador debe
responder a una
situación catastrófica
real o probable
Nivel 3
Activa el paro de emergencia Nivel 2 de las unidades dentro de la planta de

tratamiento.
Paro de todas las fuentes de riesgo o ignición, en caso que la causa del paro sea
detección de gas en zona abierta.
Puesta en marcha del generador de emergencia.
Puede o no activar la despresurización automática de la planta de tratamiento. En
caso que no se active la despresurización automática, habilita para realizar la
despresurización manual.
Activa el sistema de lucha contra incendio, en caso que la causa del paro sea
detección de fuego en zona abierta.
Nivel 3
TOTAL Paro de emergencia Nivel 3 PARCIAL

Incluye servicios/utilidades No incluye servicios/utilidades
Entrada Entrada
Instalaciones
de Pozo
Compresión
Tratamiento
Planta de
Instalaciones
de Separación
Salida Salida
Servicios/Utilidades Servicios/Utilidades
Paro de Emergencia
Nivel 3 – Planta de
Tratamiento
Nivel 4
El único evento que activa este nivel es:
Decisión del operador.
Las acciones que desencadena un paro de emergencia Nivel 4 (en un ejemplo

como el que tomamos del yacimiento de gas) son:
Cierre de pozos.
Paro de emergencia Nivel 3 de las instalaciones de separación, planta de
tratamiento y compresión.
Puede o no activar la despresurización automática de cualquiera de las
instalaciones. En caso que no se active la despresurización automática, habilita
para realizar la despresurización manual.
Paro de todas las fuentes de riesgo o ignición, incluso el generador de
emergencia. La única excepción son las bombas diesel de agua de lucha contra
incendio en caso que se hayan arrancado automáticamente por requerimiento del
F&G (detección de fuego, muy baja presión en anillo de agua).
Niveles de Emergencia Botón

Manual
Cuadro Resumen Nivel 4
Detección de gas zona abierta
Cierre de pozos
Botón Detección de fuego zona abierta
Manual Despresurización automática o habilitación
Baja tensión de UPS para despresurización manual
Paro generador de emergencia Nivel 3
Falla mecánica de equipo
Valores anormales variables de operación Paro de fuentes de riesgo o ignición
Muy alto nivel en separador de antorcha Arranque generador de emergencia
Muy baja presión aire de instrumentos Despresurización automática o
Muy baja presión gas combustible cuando se utiliza para habilitación para despresurización manual
prevenir el ingreso de aire al sistema de venteos Activa sist. lucha contra incendio
Nivel 2
Falla mecánica de equipo
Paro de equipos en la unidad
Valores anormales variables de operación
Cierre de válvulas de bloqueo
Detección de gas en zona cerrada
Habilitación de by-pass de la
Detección de fuego en zona cerrada unidad, si existiera
Nivel 1
Paro de equipo involucrado

Cierre de válvulas de bloqueo de equipo involucrado
Activa sist. lucha contra incendio dedicado al interior
del cerramiento del equipo
ÍNDICE
Introducción
Arquitectura del Sistema de
Emergencia
Preguntas

Separación de Sistemas Instrumentados
Sistema Funcional Abreviatura Función

Sistema de Control PCS Control de las variables de operación y
de Procesos alarmas asociadas.
Sistema de ESD Acciones relacionadas a los distintos

Emergencia niveles de emergencia y originadas desde
el F&G.
Sistema de Detección F&G Acciones relacionadas a la detección de
de Gas y Fuego gas y fuego.

Confiabilidad y Disponibilidad
Definición de confiabilidad, disponibilidad e integridad
Requerimientos de SIL
Fallas espurias
Fallas en demanda
Ejemplos de arquitecturas

Definición de confiabilidad, disponibilidad e integridad
Confiabilidad (reliability): probabilidad de que un elemento sea capaz de realizar

la función para la cual se lo requiere, bajo las condiciones de diseño establecidas
por un período de tiempo o una demanda pre fijados.
Disponibilidad (availability): período de tiempo durante el cual un elemento,

equipo o sistema opera de la manera requerida.
Integridad (integrity): probabilidad de que un sistema realice satisfactoriamente la

función para la cual se lo requiere, bajo las condiciones y el período de tiempo
establecido.

Iniciadores o elementos de detección

Actuadores o elementos de actuación
Cableado eléctrico
Análisis de mallas de seguridad Ejecutor de lógica
Sistemas de alimentación eléctrica,
neumática e hidráulica, según
corresponda al elemento de actuación.

Análisis basado en la
Determinación del nivel de SIL requerido experiencia:
Seguridad personal
Producción o equipamiento
Medio ambiente
Probabilidad de falla en demanda (PFD) aceptable
SIL (Safety integrity level)[IEC 61508-1] Modo de operación continua

(Probabilidad de falla por hora)
4 10-9 a < 10-8
3 10-8 a < 10-7
2 10-7 a < 10-6
1 10-6 a < 10-5

Una vez conocido este nivel de SIL requerido se debe realizar el

cálculo de probabilidad de falla en demanda (PFD), que debe dar un
valor igual o menor al que se requiere para certificar un determinado
nivel de SIL.
Necesito conocer:
probabilidad de falla en demanda de cada uno de los elementos de

la malla, es decir, de los elementos de detección, del elemento de
ejecución de lógicas y de del elemento de actuación;
la probabilidad de falla total se obtiene sumando las probabilidades
de falla de cada elemento;
en el cálculo debe tenerse en cuenta el tiempo medio de reparación
o mantenimiento del elemento (MTTR).

Fallas espurias
Son aquellas fallas que causan la actuación de por lo menos un
elemento de actuación, sin que haya ocurrido realmente un
evento iniciador que lo demande. También se las denomina
fallas aparentes, ya que se detectan por la ocurrencia de la
misma. Un ejemplo de falla espuria es una válvula de
despresurización automática que se abre sin que se haya
requerido tal acción.
Fallas en demanda
Son las fallas que se caracterizan por la actuación incorrecta de

por lo menos un elemento de actuación, cuando se da la
ocurrencia real de un evento iniciador que demanda esa
actuación. También se denominan fallas ocultas, dado que sólo
se perciben cuando se solicita su ocurrencia.

Entre las arquitecturas que actualmente se utilizan se pueden mencionar:
Sistemas doble redundantes con votación 1oo2 (1 out of 2)

Sistemas doble redundantes con diagnóstico con votación 1oo2D (1 out of 2
con Diagnóstico)
Sistemas triple redundantes con votación 2oo3 (2 out of 3)
Sistemas doble redundantes con votación 1oo2 (1 out of 2)
xx Procesador
Entrada Salida
xx Procesador
Entrada Salida
SV
Elementos de Elemento de Ejecución Elemento de

Detección de Lógicas Actuación

Sistemas doble redundantes con votación 1oo2D (1 out of 2 con Diagnóstico)
Watchdog
xx Procesador
Entrada Salida
xx Procesador
Entrada Salida
Watchdog
SV
Elementos de Elemento de Ejecución de Elemento de

Detección Lógicas Actuación

Sistemas triple redundantes con votación 2oo3 (2 out of 3)
xx Procesador
Entrada Salida
xx Procesador
Entrada Salida
xx Procesador
Entrada Salida
SV
Elementos de Elemento de Ejecución de Elemento de

Detección Lógicas Actuación

Transmisión de Señales
La transmisión de señales de salida generadas desde el ESD o el F&G hacia los
elementos finales de actuación deben realizarse con cableado duro.
Respecto la confiabilidad de los sistemas por las fallas en demanda, algunas maneras
de aumentarla pueden ser:
cableado duro
Ejecutor
Ejecutor de
ESD
de
ESD
lógica SV
lógica
SV SV
Ejecutor
de
PCS
lógica
SDV

Ejemplos de Integración de Sistemas
PCS ESD F&G
En todos los casos, el F&G debe ser totalmente independiente del PCS, pero
puede estar integrado al ESD.
A su vez, es recomendable que el PCS y el ESD sean sistemas

independientes, sin embargo puede darse el caso en que esos dos sistemas estén
integrados.
1- Los tres sistemas son independientes: PCS, ESD y F&G

2- PCS y ESD como sistemas independientes; F&G integrado al ESD
3- PCS y ESD como sistemas integrados; F&G independiente
4- PCS y ESD como sistemas parcialmente integrados; F&G independiente

1- Los tres sistemas son independientes: PCS, ESD y F&G
PCS ESD F&G
Elementos Elementos Elementos Elementos Elementos Elementos

de detección de actuación de detección de actuación de detección de actuación

2- PCS y ESD como sistemas independientes; F&G integrado al ESD
PCS ESD F&G
Elementos Elementos Elementos Elementos Elementos de detección

de detección de actuación de detección de actuación (detectores de humo,
mezcla, fuego)

3- PCS y ESD como sistemas integrados; F&G independiente
PCS ESD F&G
Elementos Elementos Elementos de detección Elementos

de detección de actuación (detectores de humo, de actuación
- PCS - PCS mezcla, fuego)
Elementos Elementos
de detección de actuación
- ESD - ESD

4- PCS y ESD como sistemas parcialmente integrados; F&G independiente
PCS ESD F&G
Elementos
Nivel 1 de detección
- ESD Elementos de Elementos
del ESD detección de actuación
Elementos (detectores de
Elementos de actuación humo, mezcla,
de detección - ESD fuego)
- PCS
Elementos
de actuación
- PCS
ÍNDICE
Introducción
Preguntas
Objetivo de la Despresurización de Emergencia
Acción preventiva del ESD
Se puede iniciar por un pulsador o automáticamente como salida
del ESD
Asegurarse que los bloqueos están cerrados
Puede requerirse la despresurización por tres motivos:
EMERGENCIA MANTENIMIENTO PROCESO

Objetivo de la Despresurización de Emergencia
Despresurización de Emergencia: tiene por objetivo la

reducción del riesgo o peligro asociado a una situación de
emergencia.
EMERGENCIA
Despresurización de Emergencia por Fuego:
Peligro de ruptura por stress a presiones menores que la de diseño disminuye
la presión a valores inferiores que la de operación
Despresurización de Emergencia por Fugas:

Pérdida en áreas con ventilación no adecuada despresurización automática
para minimizar pérdidas hacia la atmósfera
Pérdidas en áreas adecuadamente ventiladas evaluar despresurización para
no generar nuevas situaciones de riesgo
Criterios de Aplicación de la Despresurización
Equipos o cañerías que puedan quedar bloqueados y expuestos a fuego
simultáneamente y sólo cuando el inventario de hidrocarburos y/o la presión de
esos sistemas lo justifique.
Cañerías que puedan quedar aisladas entre equipos que se despresuricen,
aunque las mismas no estén expuestas a fuego o su inventario de hidrocarburos
no sea importante.
Equipos o cañerías de gas o bifásicas que puedan estar expuestas a fuego y cuya
máxima presión de operación sea mayor que 15 bar_g y cuyo producto PVgas sea
mayor que 100 barm3.
Equipos o cañerías de gas licuado, ya sea refrigerado o bajo presión, que puedan
estar expuestas a fuego y que la masa de C4 o más volátiles sea mayor a 2 ton.
En el caso de equipos o cañerías que contengan hidrocarburos líquidos, no es
común despresurizarlas. Se considera como seguridad suficiente la instalación de
válvulas de alivio térmico TSV, que protegen a las cañerías en caso de exposición
a altas temperaturas que puedan ocasionar presiones mayores a las máximas de
operación.
Criterios para el Cálculo de la Despresurización de
Emergencia
7 bar_g;
Tiempo recomendado de
15 minutos (API RP 521) hasta
<
50% del valor de la presión de diseño
Factores que pueden modificar este tiempo
Recipientes de gran espesor de pared
Protección pasiva contra fuego

Secuencia de Despresurización
Área de Fuego
En una planta se distinguen distintas áreas o zonas de fuego cuando el layout

de la misma puede asegurar que un incendio en una de las áreas no puede
afectar a otra.
Cada área de fuego se “aísla” por válvulas de bloqueo automáticas de manera
que al detectarse fuego en esa área se cierran automáticamente, confinando el
inventario de hidrocarburo.
Geográficamente, esas válvulas de bloqueo, deben instalarse en la periferia
del área de fuego que aíslan y a una distancia tal que no puedan ser
afectadas por el incendio o explosión en la misma
La superficie y en especial el ancho de una área de fuego debe ser tal que, si
se declara un incendio en cualquier punto del área, pueda ser alcanzado por
los elementos de lucha contra incendio fijos.
Secuencia de Despresurización
La despresurización se lleva a cabo por cada zona de fuego o aislamiento y

es recomendable que en una misma zona no se temporice.
La temporización en la apertura de las válvulas de despresurización BDV se

permite cuando:
Se trata de válvulas BDV que pertenecen a diferentes zonas de fuego o

aislamiento y
el sistema de venteos y antorcha está diseñado para un caudal menor que el
caudal de alivio correspondiente a la despresurización total de planta.
ÍNDICE
Introducción
Matriz Causa-Efecto y Diagramas
Lógicos
Preguntas
Matriz Causa – Efecto y Diagramas Lógicos

Se utilizan para comunicar la configuración del sistema de emergencia.
Eventos que originan cada nivel de emergencia;
Acciones que desencadena cada nivel de emergencia;
Permisivos que deben implementarse, por ejemplo, para la apertura de las

válvulas BDV;
Acciones que deben estar temporizadas, y el o los tiempos de temporización;
Elementos de detección que se van a utilizar para detectar cada evento anormal;
Valores de seteo para todos los elementos de detección del sistema de

emergencia;
Requerimientos de arquitecturas particulares para determinadas lógicas, por

ejemplo, arquitecturas tipo 2oo3 para detección de mezcla explosiva.

Matriz Causa – Efecto
Definición de eventos que originan

un Paro de Emergencia Nivel 2
Motor Bomba
Motor Bomba
Motor Bomba
Emergencia
Compresor
Compresor
Calentador
SDV-xxx1
SDV-xxx2
SDV-xxx3
SDV-xxx4
BDV-xxx8
Eléctrico
Paro de
Nivel 2
H-xx1
B-xx1
B-xx2
B-xx3
K-xx1
K-xx2
PARO DE EMERGENCIA NIVEL 2 D D D D S S S S D S
Detección de mezcla explosiva X
Detección de fuego X
Definición de acciones que desencadena

el Paro de Emergencia Nivel 2

Matriz Causa – Efecto
005 H1
005 H1
005 H1
005 H1
005 H1
005 H1
005 H2
006
006
009
009
020
Número de P&ID
bypass de arranque
m anifold de entrada
SDV de bloqueo de
SDV de bloqueo de
SDV de bloqueo de
SDV de bloqueo de
SDV de bloqueo de
SDV de bloqueo de
SDV de bloqueo de
SDV de bloqueo de
SDV de bloqueo de
M otor de bom ba de
salida a gasoducto
Solenoide en PV-
Solenoide en PV-
líquidos de S-300
líquidos de S-310
trampa receptora
trampa receptora
trampa receptora
trampa receptora
ALARMAS ENCLAVAMIENTOS
aceite #1
43042
43084
TAG NUM ÉRICO
HIGH-HIGH
HIGH-HIGH
UNIDADES
LOW-LOW
LOW-LOW
SERVICIO
NOTAS
HIGH
HIGH
P&ID
TIPO
LOW
LOW
OFF
OFF
ON
ON
SDV-43001
SDV-43002
SDV-43300
SDV-43003
SDV-43004
SDV-43047
SDV-43018
SDV-43041
SDV-43083
SD Nivel 1
SD Nivel 2
SD Nivel 2
SV-43042
SV-43084
M P-390 A
-
Parcial
Total
SHUTDOWN NIVEL 1 X
SHUTDOWN NIVEL 2 TOTAL D D D D D D D D D D D S
SHUTDOWN NIVEL 2 PARCIAL D D D D D D D S
LIT - 43016 Medición de nivel del slug catcher 005 H2 % 51 30 X D

Medición de nivel del separador primario (S-
LIT - 43034 006 % 37 X D
310)
Medición de temperatura en salida de
TIT - 43031 007 ºC 65 X
compresor K-301 A
TIT - 43026 007 ºC 65 X
compresor K-301 B
TIT - 43033 008 ºC 65 X
compresor K-301 C
TIT - 43032 008 ºC 65 X
compresor K-301 D
2
PIT - 43028 Medición de presión en la recirculación 009 kg/cm g 18 X D
Medición de nivel del separador de salida
LIT - 43074 009 % 77 37
(V-301)
Medición de nivel en el tanque de aceite
LIT - 43283 020 % 86 23 X S
lubricante #1 (TK-390)
Medición de nivel en el tanque de aceite
LIT - 43257 020 % 86 23 X
lubricante #2 (TK-391)

Diagramas Lógicos
Brindan mayor
información respecto la
configuración puntual de
cada una de las
acciones, qué señales
desencadenan cada
acción y cómo deben
relacionarse entradas y
salidas.
ÍNDICE
Introducción
HIPS – Sistemas de Protección de
Alta Integridad
Preguntas
Sistemas basados en instrumentos de suficiente integridad, es decir que son

confiables o redundantes unos de otros, de modo de lograr que la probabilidad
de superar las condiciones de diseño sea menor que un determinado valor.
Cálculo del SIL

requerido para
cada HIPS
Requerimientos de SIL elevados que no se alcanzan

con un sistema tradicional
CUÁNDO Problemas de contaminación ambiental
Limitaciones constructivas del sistema de venteos
Instalaciones no atendidas

Consideraciones Generales de Diseño de HIPS
Los HIPS se deben utilizar como protección contra un único evento determinado.
Los HIPS conforman un nivel de protección por encima de los sistemas de

control y de emergencia.
Los HIPS deben poseer elementos dedicados de detección, de ejecución de

lógicas y de actuación, independientes del sistema de emergencia. La única
excepción serían las válvulas de bloqueo, que sí podrían estar compartidas por
ambos sistemas.
En el caso que las válvulas de bloqueo estén compartidas por el HIPS y el

sistema de emergencia, se debe instalar una válvula solenoide dedicada al HIPS.

La cantidad de HIPS que deben instalarse como protección adicional al ESD
para cada evento depende del nivel de SIL requerido. Las arquitecturas de HIPS
que pueden encontrarse típicamente están de acuerdo a las siguientes figuras:
Elemento de actuación final Elemento de actuación final

dedicado compartido con el ESD
Elementos de XX XX XX XX XX XX XX Elementos de XX XX XX XX XX XX XX
Detección Detección
La cantidad de La cantidad de
Ejecutores de HIPS depende del Ejecutores de HIPS depende del
Lógicas requerimiento Lógicas requerimiento
de SIL de SIL
SV SV SV SV
Elementos de Elementos de
Actuación Actuación
SDV SDV SDV SDV
ESD HIPS ESD HIPS


Se debe dar especial consideración a:
oel uso de elementos redundantes, de modo de alcanzar los
requerimientos de SIL calculados;
ola provisión de válvulas de alivio PSV como nivel de protección adicional
para el caso que puedan existir pérdidas de válvulas de bloqueo.
Consideraciones operativas: dado que la ocurrencia de fallas espurias lleva a

mantenimientos no programados que aumentan el riesgo en la instalación
mientras se los lleva a cabo, la reducción de frecuencia en los paros
programados se puede considerar como una mejora en la seguridad del
sistema. Para poder minimizar los paros programados se debe contar con
instrumentos confiables y deben optimizarse las redundancias dentro de los
HIPS.
Consideraciones ambientales: los HIPS debe diseñarse de modo tal de

reducir las condiciones adversas de los alivios de hidrocarburos al medio
ambiente.

Requerimientos Funcionales
Los HIPS deben diseñarse de modo tal que, ante fallas generales que
pueden ocurrir en las instalaciones, el sistema vaya a una posición
segura.
Se debe poder contar con reportes de diagnóstico de los elementos

que componen el HIPS, a fin de minimizar la probabilidad de
ocurrencia de fallas en demanda u ocultas.

Requerimientos Funcionales
El sistema debe diseñarse de modo de facilitar el testeo periódico de

sus componentes. A su vez, los HIPS deben ser lo más simple y
robustos que sea posible:
Los elementos sensores deben ser redundantes;

Siempre que sea factible, se prefiere el uso de instrumentos de
actuación neumática o hidráulica;
Si se utilizan sistemas electrónicos, se recomienda que el ejecutor de
la lógica asociada al HIPS sea independiente del sistema de
emergencia;
Los elementos de detección deben cablearse individualmente;
Aunque las válvulas de bloqueo SDV se compartan entre el sistema
de emergencia ESD y el HIPS, en ningún caso puede requerirse la
actuación de las mismas simultáneamente desde ambos sistemas.
ÍNDICE
Introducción
Preguntas
NORMAS DE REFERENCIA
API RP 14C, 7th Edition, March 2001 - Analysis, Design, Installation and
Testing of Basic Surface Safety Systems for Offshore Production
Platforms
API RP 14J, 2nd Edition, May 2001 – Design and Hazard Analysis for
Offshore Production Facilities
API RP 521, 4th Edition, February 1999 – Guide for Pressure-Relieving

and Depressuring Systems
IEC 61511-3, 1st Edition, 2003-03 - Functional safety – Safety

instrumented systems for the process industry sector – Part 3:
Guidance for the determination of the required safety integrity levels
IEC 61508-1, 4th Version Edition, 1997-12, Functional safety of

electrical/electronic/ programmable electronic safety-related systems
Part 1: General requirements

Curso de Sistemas de Emergencia (Shutdown)

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Curso de Sistemas de Emergencia (Shutdown)

Загружено:

Авторское право:

Доступные форматы

Diseño Seguro de Instalaciones

Eliminación o reducción de los potenciales riesgos asociados al procesos,

En la medida que los riesgos de proceso no pueden eliminarse

“…sistemas que permitan disminuir los daños

Objetivos del Sistema de Emergencia

Proteger a la instalación, las personas y el

Proteger la instalación Evitar que la misma llegue a las

Rangos operativos normales Los que se definen para cada una

Objetivos del Sistema de Emergencia

Rangos operativos Rangos operativos

Sistema de control - PCS Sistema de emergencia - ESD

Objetivos del Sistema de Emergencia

Además, el ESD debe:

Minimizar las descargas al medio ambiente

Prevenir la ignición de productos inflamables,

Reducir el volumen de inventario inflamable por medio

Objetivos del Sistema de Emergencia

Con qué medios

NIVELES DE PROTECCIÓN - Ejemplos

Objetivos del Sistema de Emergencia

Objetivos del Sistema de Emergencia

Falla lazo de control

Objetivos del Sistema de Emergencia

Componentes del Sistema de Emergencia

Componentes del Sistema de Emergencia

Componentes del Sistema de Emergencia

Elemento de Detección Elemento de Elemento de Actuación

Componentes del Sistema de Emergencia

Pulsadores blandos (software)

Componentes del Sistema de Emergencia

Estructura del Ejecutor

Componentes del Sistema de Emergencia

Definir requerimientos de la lógica de seguridad (SRS: Safety

Componentes del Sistema de Emergencia

Componentes del Sistema de Emergencia

Componentes del Sistema de Emergencia

Válvulas de bloqueo de emergencia - SDV

Válvulas de despresurización de emergencia - BDV

Corte de alimentación a equipos eléctricos

Componentes del Sistema de Emergencia

Válvulas de bloqueo de emergencia - SDV

Sistema de Detección de Gas y Fuego

Elementos de detección: Elementos de actuación:

Para jerarquizar actuaciones

Nivel 1: parada o bloqueo del equipo afectado, de modo de proteger la

Nivel 2: parada de una unidad completa de procesos dentro de la planta

Nivel 3: parada de toda la planta de tratamiento;

Nivel 4: parada de toda la línea de producción, es decir de todas las

Tanto el Nivel 3 como el Nivel 4 pueden estar acompañados de una despresurización

y el segundo a la preferencia o no de permitir que se

Integridad mecánica del equipo

Los eventos que activan este nivel son:

Paro de emergencia de nivel superior.

Las acciones que desencadena un paro de emergencia Nivel 1 son:

Paro del equipo involucrado.

Los eventos que activan este nivel son:

Paro de emergencia de nivel superior.

Los eventos que activan este nivel son:

Paro de emergencia de nivel superior, en caso de que exista.

Las acciones que desencadena un paro de emergencia Nivel 3 son:

Activa el paro de emergencia Nivel 2 de las unidades dentro de la planta de

TOTAL Paro de emergencia Nivel 3 PARCIAL

El único evento que activa este nivel es:

Decisión del operador.