LOPA (Layer of Protection Analysis) es la metodología semicuantitativa que determina si las capas de protección existentes son suficientes para un escenario de accidente identificado en HAZOP, o si se requiere un Sistema Instrumentado de Seguridad (SIS) con un nivel de integridad específico (SIL). El SIL objetivo del SIS se obtiene de: PFD_requerido = Frecuencia_tolerada / (Frecuencia_iniciadora × PFD_otras_IPLs). Es el método cuantitativo preferido por IEC 61511:2016 para la asignación de SIL. El curso LOPA de AI Safe Academy desarrolla la metodología completa. SGS TÜV Saar.
Del HAZOP al LOPA: el puente cuantitativo
El HAZOP identifica escenarios de accidente y sus causas. El LOPA cuantifica si las protecciones existentes son suficientes. Para cada escenario de HAZOP que tiene consecuencias significativas (típicamente: lesión grave a personal, daño ambiental mayor, pérdida de proceso catastrófica), se realiza un análisis LOPA.
La frecuencia de referencia de consecuencia tolerable se establece en la política de tolerancia al riesgo de la organización — típicamente entre 10⁻⁴ y 10⁻⁵ eventos por año para consecuencias fatales a un empleado, y entre 10⁻⁵ y 10⁻⁶ para consecuencias con múltiples víctimas o impacto ambiental mayor.
Para el escenario analizado: Frecuencia_iniciadora (frecuencia de la causa raíz: frecuencia de fallo de válvula, error de operador, pérdida de servicio) × PFD_acumulado (producto de los PFDs de cada IPL válida) debe ser ≤ Frecuencia_tolerable. Si la ecuación no se cumple con las IPLs existentes, se necesita un SIS con SIL calculado.
Criterios de validez para una IPL
Una capa de protección independiente (IPL) es válida en LOPA solo si cumple tres condiciones simultáneamente: (1) Independencia — la IPL debe ser independiente de la causa iniciadora y de cualquier otra IPL en el mismo escenario. Si un fallo del sistema de control básico de proceso (BPCS) es la causa iniciadora, el mismo BPCS no puede ser una IPL. (2) Efectividad — la IPL debe ser capaz de prevenir la consecuencia por sí sola, sin requerir otras barreras para funcionar. (3) Auditabilidad — el PFD asignado a la IPL debe ser verificable y la efectividad de la IPL debe poder comprobarse mediante proof test o inspección.
Los PFDs típicos usados en LOPA: BPCS (Basic Process Control System) = 10⁻¹ a 10⁻² según complejidad, alarma con respuesta de operador entrenado = 10⁻¹ (con protocolo de respuesta documentado), resguardo físico / dique de contención = 10⁻² a 10⁻¹ dependiendo de diseño, válvula de alivio diseñada para el servicio = 10⁻² a 10⁻³.
El error crítico más frecuente en LOPA: contar al operador como IPL sin un procedimiento de respuesta documentado, verificado y con tiempo de respuesta demostrado. Un operador que ‘generalmente responde’ a una alarma no es una IPL válida. Un operador con procedimiento escrito, capacitado, con simulacros periódicos y con tiempo de respuesta verificado en 10 minutos puede ser una IPL con PFD = 10⁻¹.
De LOPA al SIL: El cálculo del SIL objetivo
Si el análisis LOPA determina que se necesita un SIS, el SIL objetivo se calcula: SIL_requerido corresponde al PFD_SIS_necesario = Frecuencia_tolerable / (Frecuencia_iniciadora × PFD_otras_IPLs).
SIL 1: PFD del SIS entre 10⁻¹ y 10⁻² (reducción del riesgo entre 10 y 100 veces). SIL 2: PFD entre 10⁻² y 10⁻³ (reducción 100 a 1.000 veces). SIL 3: PFD entre 10⁻³ y 10⁻⁴ (reducción 1.000 a 10.000 veces).
El SIL objetivo de LOPA es el input para el diseño del SIS. El ingeniero de instrumentación diseña el SIS (sensores, lógica, elemento final) para alcanzar el PFDavg requerido en el intervalo de proof test definido. Este diseño se verifica mediante el cálculo de SIL según IEC 61511 Parte 1 Cláusula 11 — que es el contenido del curso SIS de AI Safe Academy.
Curso LOPA
LOPA y Asignación de SIL según IEC 61511. 14 horas. SGS TÜV Saar. www.aisafeacademy.com
Calcula SIL de proceso con AI SAFE: app.aisafegroup.com