admincsf

Introducción a la Norma Británica BS 60080: 2020, para la ubicación de detectores de fuego y gas (Parte 3 de 3)

Sistemas de Seguridad con Requerimientos Especiales / /

Continuando con el ciclo de vida establecido por la norma (ver entrada anterior), ahora abordaremos el apartado de la instalación, operación y mantenimiento del SFG, así como el tema de las competencias del personal.

3. Etapa de Instalación, Operación y Mantenimiento del Sistema de Fuego y Gas

Esta etapa incluye la instalación y puesta en servicio (verificación), validación del sistema y la operación, mantenimiento y modificación.

3.1. Instalación y puesta en servicio (verificación)

Se recomienda, antes de la construcción, realizar la planificación de las actividades de instalación (ubicación, elevación y orientación de los detectores, ajustes de los detectores, entre otros), y de los procedimientos de puesta en servicio. Posteriormente llevar a cabo la instalación de acuerdo al plan de instalación y la puesta en servicio de acuerdo al plan de puesta en servicio (commissioning). La norma recomienda documentar todas las actividades realizadas. En el contexto de la norma, la verificación es el proceso que confirma que la instalación y la puesta en servicio se han realizado según las especificaciones de diseño.

3.2. Validación del sistema

Previo a la puesta en servicio (commissioning) se deben planificar las actividades de validación para lo cual se debe elaborar un plan de validación del sistema. El SFG solo estará operativo una vez validados todos los requisitos plan de validación del sistema. En el contexto de la norma, la validación es el proceso que confirma que se ha cumplido con la intención de diseño del SFG y se comprueba el desempeño esperado.

3.3. Operación, mantenimiento y modificación

El SFG se debe operar según el manual de seguridad y de operación del sistema, y por personas competentes y autorizadas para hacerlo. En cuanto al mantenimiento, el SFG debe mantenerse de acuerdo al plan de mantenimiento del sistema, y las pruebas deben ser realizadas según el manual de seguridad del sistema, y por personas competentes y autorizadas para hacerlo. Todas las actividades deben ser documentadas. Las modificaciones (gestión del cambio) deben ser autorizadas, documentadas, verificadas y validadas. Terminada la modificación se debe validar el sistema para demostrar la función de seguridad. La norma sugiere una revisión del mapeo de Fuego y Gas cada cinco años o cuando se realicen cambios a la planta.

Competencias

La norma incluye un capítulo sobre la competencia del personal relacionado con los SFG, donde se dan recomendaciones sobre el perfil de competencias mínimo que deben tener las personas responsables del sistema.

Para concluir, en este artículo se ha tratado de hacer una breve descripción del contenido de la norma británica BS 60080:2020, cuyo enfoque pragmático y sus recomendaciones la hacen entendible para el profesional que se inicia en el mapeo de fuego y gas; en ella se proporciona orientación sobre cómo y dónde aplicar los diversos métodos de mapeo, y hace hincapié en la competencia del personal. Esta norma se convierte en una referencia más a tener en cuenta en cualquier etapa del ciclo de vida de un proyecto de fuego y gas, con mayor énfasis en la etapa de definición del proyecto cuando se requiere saber el tipo de tecnología, la cantidad y la ubicación de los detectores.

Referencias:

  1. Consultoría en Seguridad Funcional (CSF) (2019) Sistemas de Detección de Fuego y Gas (SFG) basados en desempeño: Una visión general. https://grupocsf.com/sdfg/
  2. Consultoría en Seguridad Funcional (CSF) (2020) Filosofía del Sistema de Fuego y Gas (SFG) – Fundamentos básicos para su elaboración. https://grupocsf.com/filosofia-del-sistema-de-fuego-y-gas-sfg/
  3. ISA-TR84.00.07 (2018). Guidance on the Evaluation of Fire, Combustible Gas, and Toxic Gas System Effectiveness. Research Triangle Park, NC.
  4. BS 60080. (2020). Explosive and toxic atmospheres — Hazard detection mapping — Guidance on the placement of permanently installed flame and gas detection devices using software tools and other techniques. BSI Standards Limited.
  5. Asia Pacific Fire Magazine. Introduction to BS60080:2020 guidance on the placement of detection devices. Por James McNay. https://apfmag.mdmpublishing.com/introduction-to-bs600802020-guidance-on-the-placement-of-detection-devices/.
  6. Insight Numerics. (14 de octubre de 2020). Understanding the new British Standard (BS 60080:2020) for Fire and Gas Mapping [Video]. Recuperado de https://www.youtube.com/watch?v=E4xYYFcAUAc

Hernán Núñez
FSEng TÜV SÜD TP180515282

Romel Rodríguez
FS Expert Risknowlogy 5866
Functional Safety Expert TÜV SÜD TP18010990
ISA84/IEC 61511 Expert
FSEng TÜV Rheinland 575/07 | PHA Leader

Introducción a la Norma Británica BS 60080: 2020, para la ubicación de detectores de fuego y gas (Parte 3 de 3) Leer más »

¿Qué tanto conocemos de Evaluación y Auditoría de la Seguridad Funcional? Puntos comunes y diferencias (Parte III)

Gestión de la Seguridad Funcional / /

En esta tercera y última entrega, trataremos lo relacionado con las evaluaciones o FSA (Functional Safety Assessment) en el área de la seguridad funcional.

A continuación, complementaremos la definición que pueden ver en la publicación «¿Qué tanto conocemos de Evaluación y Auditoría de la Seguridad Funcional? Puntos comunes y diferencias (Parte I)» con lo que establece la norma IEC61511-1: 2016.

Un FSA se enfoca en emitir un «juicio” sobre el estado de la seguridad funcional, ya que su objetivo fundamental es establecer si la seguridad funcional ha sido “alcanzada” y busca demostrar y confirmar que:

  • El SIS alcanza la seguridad funcional y que se han desarrollado las fases del ciclo de vida de seguridad de forma correcta y que se continúan «manteniendo» los requisitos iniciales desde que se estimó el SIL, pasando por la fase de diseño y finalizando con la operación y mantenimiento.
  • El personal está capacitado y tiene las competencias necesarias para realizar el trabajo, lo hizo de forma correcta, en el momento apropiado y con las herramientas indicadas.
  • Todas las herramientas utilizadas para el soporte, cálculo y desarrollo han sido las adecuadas.
  • Cada fase ha sido verificada.
  • La documentación es adecuada.
  • El SIS está listo para ser operado.

Esencialmente, al realizar un FSA se busca confirmar que en las diferentes actividades se han utilizado métodos, técnicas, competencias, resultados y procesos apropiados para lograr la seguridad funcional.

Deben ser realizadas por un evaluador (assessor) o un equipo de evaluadores independiente, debido a que requiere de una revisión profunda y la emisión de un juicio de valor sobre una condición. Se requiere al menos una «persona competente de alto nivel», ya que en gran medida la experticia en el área va a garantizar el éxito de la actividad. Además, es necesario que el evaluador tenga suficiente autoridad dentro de la organización a fin de que su juicio sea respetado y sus recomendaciones sean consideradas.

El grado de independencia depende de la gravedad (estimada) de las consecuencias o del SIL de la(s) SIF diseñada(s). Hay casos en los que es suficiente solo una persona que no haya participado en el proyecto que se está evaluando o no esté involucrada directamente en la actividad. A mayor severidad o SIL, se deberá incrementar el nivel de independencia de una persona a un departamento a una organización.

Pudiéramos preguntarnos si es obligatorio realizar un FSA, y la respuesta es, Sí. Éste, es uno de los requisitos obligatorios de la normativa IEC61511-1: 2016. Pero, más allá de eso, al realizarla, podemos garantizar (de forma tangible) que la seguridad funcional se ha alcanzado, nos evita problemas operacionales, disminuye los costos y nos permite aprovechar los recursos que tenemos; por lo que, no sería molesto cumplir con esa obligatoriedad.

Aunque la normativa nos sugiere cuándo realizar el FSA, esto no es limitativo. Una organización puede realizarla en las fases del ciclo de vida de seguridad donde les sea conveniente. Mientras más fases sean evaluadas, mayores beneficios se obtienen porque nos permite conocer si “alcanzamos y mantenemos nuestra seguridad funcional”. La norma recomienda que se realice tan seguido como sea prácticamente realizable, según el tamaño del proyecto o de la operación.

Como toda actividad, el evaluador (o el equipo evaluador) tiene la responsabilidad de prepararse y planificarse. Debe generar un plan que indique las actividades a desarrollar, los recursos, herramientas y la documentación que será necesario revisar.

Ahora bien, ya luego de revisar lo más relevante de ambos mundos, tanto de las auditorías como de las FSA, es necesario resaltar que para obtener el máximo provecho de ambas actividades debemos apoyarnos en personal experimentado, capacitados en el área  y que tenga las competencias necesarias, más allá de ofrecer un resultado positivo hacia la organización; con esto podemos tener la certeza de que se realizaron procesos de gestión conscientes, rigurosos y reales que nos permitan evidenciar en “donde estamos” con el fin de tomar las acciones necesarias para llegar “hacia donde queremos”. Con la misma importancia, se debe considerar en ambos casos contar siempre con una planificación adecuada donde quedarán establecidos los lineamientos a cumplir para llevar con éxito la actividad.

Recordemos que:

«Las cosas buenas suceden solamente si se
planean, las cosas malas suceden solas»

PHIL CROSBY

¿Qué tanto conocemos de Evaluación y Auditoría de la Seguridad Funcional? Puntos comunes y diferencias (Parte III) Leer más »

¿Cómo evaluamos riesgo en un PHA?

Análisis de Peligros y Riesgos / /

En un análisis de peligros o PHA, por sus siglas en inglés Process Hazard Analysis, tenemos como meta principal la identificación de peligros, pero en muchos casos esta actividad va ligada a la evaluación del riesgo asociado a cada escenario peligroso. Consecuentemente, podremos priorizar las acciones que serán necesarias para reducir el riesgo total de la instalación.

El escenario peligroso se origina por una causa, que puede estar representada por la falla de un equipo / instrumento, un error humano o algún evento externo al proceso. Si esta causa se produce y no existen protecciones o salvaguardas que detengan la secuencia de eventos, se materializarán las consecuencias.

El riesgo comúnmente es definido como la combinación de la frecuencia y la consecuencia asociada al escenario peligroso.

Ahora que sabemos cómo se define el riesgo, podemos entender la utilidad que tiene conocer los fundamentos de este término.

Los PHA se realizan con la participación de un equipo multidisciplinario, por lo cual, los asistentes deben conocer claramente estos conceptos para dar una estimación acertada del riesgo. Cada opinión cuenta y cuanto más claros y seguros estemos al momento de expresar nuestras ideas, más preciso y mejor soportado será el resultado.

Existen distintas técnicas PHA, las más utilizadas son: HAZID, What if y HazOp. El procedimiento general consiste en la
identificación de las causas, consecuencias, riesgo, salvaguardas y recomendaciones.

Al comenzar el estudio, los participantes reciben los P&IDs de la instalación y la matriz de riesgo de la organización. En esta última, se establece cuál nivel de riesgo es aceptable y cuál es intolerable, así como las medidas a tomar en cada caso.

La matriz de riesgo tiene 2 dimensiones, de un lado se muestran las consecuencias y del otro las frecuencias asociadas, normalmente, a la causa que genera el escenario peligroso. 

Dependiendo del tipo de afectación que se esté evaluando, es decir, si la consecuencia es sobre las personas, los activos o el ambiente, se debe describir claramente la consecuencia y, por lo tanto, el nivel de afectación adecuado (por ejemplo, en caso de una consecuencia crítica, estamos hablando de múltiples fatalidades).

El siguiente paso, en la estimación del riesgo es determinar la frecuencia que está asociada a la causa que origina al escenario peligroso. Es de vital importancia, la comprensión de estos puntos para facilitar la dinámica del estudio.

La mayoría de los líderes de PHA invierten mucho tiempo explicando y aclarando este tema durante las sesiones de trabajo. Escenario por escenario, se escuchan frases como: “Recuerden, la frecuencia es de la causa que lo origina”. El error más común es relacionar la frecuencia a la consecuencia directamente, sin conocer el tipo de riesgo que se está evaluando, los participantes se preguntan “cada cuanto tiempo puede ocurrir la explosión”, y ahí damos oportunidad para echar a volar la imaginación, haciendo cálculos inestimables.

Sin embargo, aquí no terminan las complicaciones con la estimación del riesgo. Actualmente, algunas organizaciones están evaluando varios tipos de riesgo para tener un panorama más realista.

Cada organización decide categorizar los tipos de riesgo según su criterio particular. Algunos de los términos más utilizados son: riesgo inherente, riesgo residual real y riesgo residual proyectado. El riesgo inherente se refiere a las condiciones antes de que se incorporen medidas de protección (salvaguardas) para reducir el riesgo. El riesgo residual real corresponde al riesgo de la instalación, una vez que se consideran las medidas de protección existentes en el diseño. Por último, el riesgo residual proyectado se refiere al que se desea obtener en caso de proponer medidas adicionales de reducción.

Esto se traduce en, el riesgo inherente es el riesgo sin salvaguardas, el residual real considera las salvaguardas y el riesgo proyectado toma en cuenta las salvaguardas asociadas a las recomendaciones sugeridas durante la ejecución del estudio

En la siguiente matriz, podemos observar cómo puede variar la evaluación considerando los tres tipos de riesgos, iniciando con un riesgo inherente alto y culminando con un riesgo residual proyectado medio. Este movimiento de reducción de riesgos depende del tipo de salvaguarda a considerar; en caso de que las medidas modifiquen la frecuencia, la reducción será como la que se muestra en la gráfica; en caso de que la medida modifique la consecuencia, el movimiento será hacia abajo.

Finalmente, podemos decir que, para obtener resultados coherentes durante la evaluación del riesgo en un PHA debemos conocer a cabalidad los fundamentos teóricos del riesgo y diferenciar los tipos de riesgo que se van a evaluar, en función a los criterios que utilice la organización.

¿Cómo evaluamos riesgo en un PHA? Leer más »

¿Qué tanto conocemos de Evaluación y Auditoría de la Seguridad Funcional? Puntos comunes y diferencias (Parte I)

Gestión de la Seguridad Funcional / /

Dentro de sus disposiciones, la normativa IEC 61511, en su punto 5.2.6, establece la necesidad de realizar evaluaciones, auditorías y revisiones, con el fin de asegurar que los Sistemas Instrumentados de Seguridad (SIS) han alcanzado y/o mantienen la seguridad funcional, determinar si los SIS están siendo manejados de forma adecuada y si su gestión se mantiene actualizada.

Debido a que los términos evaluación y auditoría suelen confundirse, intentaremos aclararlos y dar respuesta a las siguientes interrogantes: ¿Qué debo conocer de las actividades de evaluación y auditoría? ¿Existen puntos comunes? ¿Cómo diferenciarlas?

Inicialmente haremos la definición formal de ambas actividades.

La evaluación o assessment es una investigación detallada que se realiza en cada una de las actividades que forman parte de las fases del ciclo de vida de seguridad del SIS, enfocada en buscar evidencias que permitan evaluar si se ha logrado la seguridad funcional. Esta actividad depende fundamentalmente de la experticia para emitir juicios y del nivel de competencia del evaluador.

La auditoría es un examen sistemático e independiente, en el cual se determinan si los procedimientos desarrollados en la organización, para cada una de las fases y/o actividades del ciclo de vida de seguridad del SIS, están siendo implementados y si se cumple con las disposiciones planificadas para lograr los objetivos especificados.

A continuación, mostraremos las diferencias y similitudes entre estas actividades:

 

Luego de plasmar las diferencias más relevantes entre estas dos actividades de la gestión de la seguridad funcional, le invitamos a la segunda parte del blog donde se describirá en forma más detallada cómo se desarrollan las auditorías,
explicando su enfoque y sus características y en una entrega posterior, haremos lo propio con las evaluaciones.

¿Qué tanto conocemos de Evaluación y Auditoría de la Seguridad Funcional? Puntos comunes y diferencias (Parte I) Leer más »

8 Desviaciones Típicas en el Diseño de Sistemas Contra Incendios

Sistemas de Seguridad con Requerimientos Especiales / /

Es común encontrar desviaciones en la gestión de un proyecto de ingeniería cuando se trata del diseño de los sistemas contra incendios en instalaciones que manejen procesos peligrosos.

Existen documentos que definen lineamientos esenciales para el desarrollo de un proyecto, como las bases de criterios y diseño, filosofía de operación, filosofía de control, pero pocas veces se establece con claridad una filosofía de seguridad, en donde, además, se considere con precisión la definición de estrategias de protección contra incendios, resultando una práctica común que los elementos asociados a las protecciones contra incendios no sean desarrollados con base a las estrategias especificadas, y a la par de las fases de la ingeniería del proyecto.

La desatención que en ocasiones se le brinda a la definición de las estrategias de protección contra incendios, dan paso al incremento de innumerables vulnerabilidades en la instalación; y es hasta la ocurrencia de un accidente cuando las organizaciones reaccionan para preguntarse cómo esto pudo sucederles. Resulta que las desviaciones estuvieron presentes desde el diseño de la instalación y solo se requería tiempo para que se dieran las condiciones que dan paso al evento.

Desafortunadamente, el diseño de un sistema contra incendio toma importancia cuando un proyecto ha avanzado de forma significativa y, ante la ausencia de personal especializado en el área, se desarrolla una ingeniería sin los análisis que permiten establecer los recursos para la mitigación o extinción de cada uno de los posibles eventos peligrosos, donde es indispensable considerar factores como:

  • la cantidad de equipos afectados por un incendio y enfriamiento simultáneo,
  • las diferentes técnicas de control de fuego u otros eventos,
  • el comportamiento de los potenciales eventos,
  • los criterios de tolerancia de la organización (pérdidas aceptables, costos de incendios),
  • la disponibilidad segura de facilidades para el combate de incendios,
  • las competencias del personal para las acciones de combate, entre otros.

La omisión de cualquiera de estos factores en el desarrollo de un sistema contra incendio podría conducir a una o más de las siguientes desviaciones; el hecho de encontrarnos con alguna de ellas, es motivo suficiente para evaluar la gestión del proyecto y reconsiderar acciones que permitan garantizar que los sistemas operen según lo esperado;

1.     Indefinición de Estrategias de Protección Contra Incendios

Al no definirse estrategias de protección contra incendios, es posible aplicar criterios de protección subdimensionados, alejándose del enfoque de los niveles de tolerancia de la organización. En el otro extremo, el diseño de facilidades sobredimensionadas o complejas pueden incrementar la inversión de capital y el gasto operativo, además de ser una fuente potencial de malas prácticas operacionales por implementación de by-pass, desuso o procedimientos inapropiados, lo cual se traduce a una desprotección de la instalación.

2.     Ausencia de Personal Competente

Las competencias requeridas para el diseño de un sistema contra incendios, van más allá de simulaciones para dimensionamiento hidráulico, se requiere información base que debe ser desarrollada por especialistas en el área de incendios; sin embargo, la baja participación de personal competente durante la ingeniería de los sistemas contra incendios es una constante que no deja de ser alarmante. Los errores sistemáticos acarreados por este tipo de prácticas, terminan teniendo un alto impacto sobre la seguridad integral de la instalación, bien sea por costos de rediseño o por el costo propio de un accidente.

3.    Ausencia de Análisis de Riesgos

Sin la evaluación del comportamiento de los eventos peligrosos en una instalación, no es posible estimar los requerimientos reales para el diseño de las protecciones pasivas y activas; por ejemplo: separación entre equipos o unidades de procesos basada en cálculos de consecuencias; verificación de la volumetría de agua del sistema contra incendios en base al alcance de consecuencias por radiación térmica en el tiempo (Fire Risk Assessments) que permita definir estrategias de activación de válvulas de diluvio o incrementar la capacidad del sistema.

4.    Cálculo errado del concentrado de espuma

La estimación de la volumetría de concentrado de espuma resulta insuficiente debido a que se realiza en base a los estándares sin verificar el alcance de las consecuencias de radiación térmica o sin considerar las dimensiones del área de contención (diques, brocales o muros de contención).

5.    Subdimensionamiento de los sistemas de drenaje

Es posible que los sistemas de drenaje sean diseñados sin la interacción del personal competente y responsable del diseño de los sistemas contra incendios, incrementando el riesgo de propagación de incendios o contaminación por colapso de los drenajes.

6.    Afectación de válvulas de diluvio por radiación térmica

Es habitual encontrar que las válvulas de diluvio son ubicadas sin considerar las áreas de afectación por radiación térmica, obviando el requerimiento de protección contra incendios o su reubicación a un área segura; incluso en zonas donde pueda acceder el personal de respuesta a emergencias para la operación del desvío de la válvula de diluvio en caso de fallas.

7.    Inadecuada ubicación de Equipos de Respaldo

Monitores, hidrantes y casetas de mangueras son ubicados sin tomar en cuenta el comportamiento de la fuga o las diferentes estrategias de control de fuego que podrían ser acometidas por el personal de combate, dejando limitadas sus acciones en la mitigación de eventos o extinción de incendios; ya sea porque se encuentran en un área afectada por la radiación térmica del incendio, o por no contar con la cantidad requerida para el control.

8.    Interferencia de otras facilidades con los sistemas contra incendios

Es hasta la fase de construcción cuando se evidencian interferencias de otras facilidades para la ubicación de monitores, hidrantes, válvulas de seccionamiento, casetas de mangueras, entre otros; generalmente, esto sucede por la ausencia de una revisión general del emplazamiento de los equipos en la planta antes de su construcción. Es común encontrar desviaciones como, postes de alumbrado obstaculizando radio de acción de monitores o hidrantes; accesos inadecuados para la manipulación de hidrantes y monitores; tanquillas eléctricas adyacentes a monitores, hidrantes y casetas de mangueras; entre otros.

Estas desviaciones, y otras más, pueden ser evitadas con el desarrollo de las estrategias de protecciones contra incendios en las fases tempranas del proyecto.

La garantía de establecer estrategias acordes con las particularidades del proyecto depende de la participación de personal con competencias adecuadas y al manejo de criterios específicos, previamente establecidos, en protección contra incendios para instalaciones peligrosas.

Valdría la pena preguntarse entonces: ¿cuál es el estatus de las estrategias de protección del proyecto?, ¿cuántas de estas desviaciones reconozco en el proyecto?; o en el caso de plantas operativas, ¿cuáles desviaciones se presentaron durante su ingeniería?, ¿cómo podría afectar esto la instalación?

Se cree que no es posible prever el futuro, pero en materia de seguridad de procesos, y específicamente en el área de combate de incendio, es factible predecir qué sucederá en una instalación en donde prácticamente se diseñaron los accidentes durante su ingeniería.

 

Andrei Núñez

FSEng TÜV SÜD TP17051345 | PHA Leader

 

Ruddy Hernández

MSc (Ing) en Seguridad de Procesos y Prevención de Pérdidas

8 Desviaciones Típicas en el Diseño de Sistemas Contra Incendios Leer más »

Tolerancia de Falla por Hardware, Ruta 2H

Diseño / /
En el post anterior, se explicaron las restricciones de arquitectura para una SIF, de acuerdo con la Ruta 1H de la norma IEC 61508, basada en la Fracción de Falla Segura (Tasas de Falla Segura y Peligrosas) de los elementos de las SIF y los tipos de dispositivos (Tipo A y Tipo B). Sin embargo, cuando la SIF está operando y sus instrumentos no poseen un certificado del fabricante que indique las tasas de falla y su SFF, es difícil darle crédito por la Ruta 1H, por lo que, en estos casos, se usa la Ruta 2H.
Las características principales de esta ruta son:
        Es usada para los dispositivos bajo el concepto de Prior in Use.
      Está basada en la retroalimentación de los datos de las tasas de falla de los dispositivos de campo que son usados en una aplicaciones similares y entornos similares, y debe ser evaluada de acuerdo con:
 
          La cantidad de datos recopilados.
          El juicio de expertos.
          Y, cuando sea necesario, pruebas específicas.
 
      Se requiere un sistema de recopilación de datos de alta calidad de acuerdo con estándares internacionales, por ejemplo, IEC 60300-3-2 o ISO 14224.
        No toma en cuenta la SFF.
        Tiene una sola tabla para los dispositivos Tipo A y Tipo B. 
 
En la tabla 1, se muestra un resumen del mínimo de HFT requerido, de acuerdo con Ruta 2H de la norma IEC 61508, en su cláusula 7.4.4.3.
 
Tabla 1. Ruta 2H. IEC 61508
SIL
Mínimo HFT Requerido
1 (Cualquier modo)
0
2 (Modo Bajo Demanda)
0
2 (Alta demanda, o modo continuo) *
1
3 (Cualquier modo) *
1
4 (Cualquier modo) *
2
* Sólo para elementos tipo A, si el HFT escogido resulta en una arquitectura que desmejora la seguridad del proceso, se puede:

   Reducir el HFT, justificando y documentando la reducción de la arquitectura y la desmejora de la seguridad argumentada.
     Si el HFT = 0, se debe proporcionar evidencia de que los modos de falla peligrosa pueden ser excluidos.

Tolerancia de Falla por Hardware, Ruta 2H Leer más »

Características de una IPL

Análisis de Peligros y Riesgos, Asignación del SIL / /

Partiendo de la publicación de Introducción a las Capas de Protección, en las próximas publicaciones iré describiendo a profundidad cada una de las características de las IPL allí listadas. En este caso, hablaré sobre la especificidad de una IPL.

Figura 1. Características de las IPL – Específica

Para entender la importancia de esta característica, es necesario tener en cuenta que el diseño de cada planta de procesos es como “un traje a la medida” y que, aun cuando la materia prima y los productos sean los mismos, siempre existen diferencias como las condiciones ambientales, la tecnología usada, los requerimientos de calidad o el marco legal. Adicionalmente, el personal que las opera es distinto y, por ende, los puntos débiles en el mantenimiento, los procedimientos operacionales y la interacción con los sistemas instrumentados también difieren.

…el
diseño de cada planta de procesos es como un traje a la medida…

El hecho de que cada planta sea única es el motivo por el cual un análisis de peligros y riesgos no puede ser válido para más de una planta. A su vez, la International Electrotechnical Commission en su normativa de estudios de peligros y operabilidad (IEC 61882, 2016) indica que cada escenario debe ser analizado individualmente. De igual manera, las IPL deben ser específicas para proteger un escenario determinado, esto permite definir cuáles IPL realmente aplican a cada escenario.

 Es importante aclarar que, aunque se dice que una IPL debe ser específica para un escenario determinado, esto depende de la definición de escenario que se use. En estas publicaciones he definido un escenario peligroso como el par causa-consecuencia de manera detallada (ejemplo: alto nivel, debido a falla del lazo de control, con posible derrame); diferente de otros autores que definen al escenario como una desviación (alto nivel del tanque). En el primer caso; una IPL puede estar asociada a varios escenarios, debido a que múltiples causas pueden conducir al mismo evento (IEC 61511, 2016); mientras que, el segundo caso no (porque se enfoca en la desviación del proceso, en vez de las causas o consecuencias).

 

…una IPL
puede estar asociada a varios escenarios…

 

Adicionalmente, el Center for Chemical Process Safety (CCPS, 2014) indica que una IPL también debe ser específica en cuanto a:

  • Diseño: Debe ser diseñada de manera específica para el proceso que protege, tomando en cuenta el entorno operativo, las condiciones ambientales, robustez de los instrumentos, accesibilidad, mantenimiento requerido, etc.
  • Funcionamiento: Debe actuar sólo durante el modo de operación asignado, ejecutar una acción específica para prevenir o mitigar el escenario peligroso y en un tiempo determinado.

 

Lo que se busca con esta característica es que las protecciones en la planta no se coloquen deliberadamente con el pensamiento errado de que mientras más protecciones se incorporen más segura estará la planta, porque esto no siempre se cumple; en su lugar, puede conducir a una distribución inadecuada de las capas de protección independientes, donde se tengan IPL asociadas a escenarios que no las necesitan o insuficientes IPL en escenarios de alto riesgo.

 

En este sentido, se debe garantizar que los escenarios asociados a una IPL estén bien definidos y que la incorporación de cada IPL sea coherente con la desviación del proceso asociada, todo esto con el fin de que operen según es requerido, cuando es requerido, para prevenir el desarrollo o mitigar las consecuencias de uno o varios escenarios peligrosos determinados. En resumen, la especificidad de las IPL es una característica que debe ser considerada desde el diseño de la planta y tomada en cuenta a lo largo de su vida útil.

 

Referencias:

 

  1. Center for Chemical Process Safety (2014). Guidelines for Initiating Events and Independent Protection Layers in Layer of Protection Analysis. New Jersey, United States of America: Wiley.
  2. International Electrotechnical Commission. (2016). Hazard and operability studies (HAZOP studies) – Application guide. (IEC Standard No.61882). Geneva, Switzerland.
  3. International Electrotechnical Commission. (2016). Functional safety – Safety instrumented systems for the process industry sector – Part 3: Guidance for the determination of the required safety integrity levels. (IEC Standard No.61511). Geneva, Switzerland.

 

Características de una IPL Leer más »

Elementos del Escenario Peligroso – Introducción a las Capas de Protección

Asignación del SIL / /
Con la intención de continuar con las publicaciones de los factores que intervienen durante el Desarrollo de un Escenario Peligroso, tales como: las Condiciones Habilitadoras y los Modificadores Condicionantes, en esta ocasión hablaré sobre las Capas de Protección (ver figura 1).
Figura 1. Desarrollo de un Escenario Peligroso
 
Como su nombre lo indica, una capa de protección representa una defensa del proceso o de la instalación que tiene como objetivo evitar que los Escenarios Peligrosos resulten en impactos sobre el personal, el ambiente o los activos.
El Center for Chemical Process Safety (CCPS, 2014) clasifica a las capas de protección de la siguiente manera:
 
  •   Según su funcionamiento:
    • Activas: Implican una acción o un cambio de estado (abierto / cerrado) en respuesta a una desviación de las condiciones normales de proceso. Por ejemplo:
      • Alarma con acción del operador asociada.
      •  Lazo de control.
      • Función instrumentada de seguridad.
    • Pasivas: No involucran una acción, pueden lograr cumplir su función si son diseñadas, construidas, instaladas y mantenidas en forma correcta. Por ejemplo:
      • Diques de contención.
      • Facilidades construidas a prueba de explosión y fuego.
      • Arresta llama.
  • Según su ubicación en el desarrollo del escenario peligroso:
    • Preventivas: Detienen el desarrollo del escenario peligroso antes de que alcance el evento tope (ver figura 2). Entre las más comunes se encuentran:
      • Sistema Básico de Control de Procesos.
      • Sistemas de Alarmas.
      • Sistemas Instrumentados de Seguridad.
 
Figura 2. Capas de Protección Preventivas
    • De mitigación: Reducen la consecuencia de un escenario peligroso tope (ver figura 3). Entre las más
      comunes se encuentran:

      •  Sistemas de Detección de Gas y Fuego.
      • Sistemas de Contención.
      • Sistemas de Extinción de Fuego.
 
Figura 3. Capas de Protección de Mitigación
Lo importante de una capa de protección no es su clasificación, sino que pueda ser acreditada como Capa de Protección Independiente (IPL: Independent Protection Layer).
La International Electrotechnical Commission (IEC, 2016) define una IPL como cualquier mecanismo que reduce el riesgo mediante control, prevención o mitigación. Este mecanismo puede tratarse de un solo dispositivo, un sistema o una acción del operador. 
La principal diferencia entre cualquier protección del proceso y una IPL, es que esta última es acreditada para reducir una brecha de riesgo determinada, siempre y cuando cumpla con los siguientes criterios exigidos por IEC (IEC, 2016):
  • Reduce el riesgo del escenario peligroso, al menos en 10 veces.
  • Proporciona un alto grado de disponibilidad (0,9 o superior).
  • Cumple con las siguientes características:
    • Especificidad: Es diseñada únicamente para prevenir la ocurrencia o mitigar las consecuencias de un escenario peligroso.
    • Independencia: Es independiente de las otras capas de protección asociadas con el escenario.
    • Confiabilidad: Se puede contar con la IPL para que realice la acción para la que fue diseñada.
    • Auditabilidad: Está diseñada para facilitar la validación regular de las funciones de protección. Solo aquellas capas de protección que cumplen con las pruebas de disponibilidad, especificidad, independencia, confiabilidad y auditabilidad se clasifican como IPL.
Por su parte, el Center for Chemical Process Safety (CCPS, 2014) establece las siguientes características:
  • Independencia: El rendimiento de la IPL no es afectado por el evento iniciador ni por el fallo de otra IPL.
  • Funcionalidad: Previene o mitiga las consecuencias de un escenario.
  • Integridad: Es capaz de reducir una brecha de riesgo determinada.
  • Credibilidad: Opera de la manera correcta, en el tiempo correcto.
  • Auditabilidad: Se revisan los procedimientos, registros, evaluaciones, validaciones y otra información asociada a la IPL para garantizar que el diseño, las pruebas, el mantenimiento y la operación continúen cumpliendo con las expectativas.
  • Accesibilidad segura: Se implementan controles físicos y / o administrativos para reducir la posibilidad de cambios no autorizados en el sistema que puedan afectar la IPL.
  • Documentada: Se emplea un proceso formal de manejo del cambio para revisar, aprobar y registrar los cambios en los procedimientos, materiales, procesos, equipos o instalaciones.

Aunque IEC y CCPS difieran en el número de características y en los términos usados, en esencia, se busca que toda IPL sea:   

  • Específica.
  • Independiente.
  • Efectiva (efectividad / funcionabilidad).
  • Confiable (confiabilidad e integridad).
  • Auditable.
  • Restringida a un acceso seguro.
  • Documentada (incluyendo el manejo del cambio).
 
Posterior a la acreditación de una IPL, debe mantenerse un sistema de gestión adecuado que garantice que la reducción de riesgo a cargo de la IPL se mantenga en el tiempo, como se explica en Trabajando en Seguridad Funcional: La importancia de gestionar las Capas de Protección Independientes.
Sin embargo, se debe tener en cuenta que, a pesar de los esfuerzos por garantizar la acreditación de una IPL a lo largo de la vida útil de la instalación, ellas igual pueden fallar; sobre todo cuando son IPL instrumentadas. Por esto, es beneficioso tanto para el diseño como para la operación y el mantenimiento del proceso que, en la medida de lo posible, se traten los riesgos mediante un diseño intrínsecamente seguro.
Además, los casos en los que se requieren muchas IPL para cubrir una brecha de riesgo, pueden ser una señal de vulnerabilidades en el diseño del proceso; por lo cual, es valioso tener la destreza de identificar cuándo se trata de procesos típicamente asociados a riesgos altos, y cuándo se trata de un diseño débil en el que se intenta cubrir el riesgo con la adición de IPL.
Referencias
  1. Center for Chemical Process Safety (2014). Guidelines for Enabling Conditions and Conditional Modifiers in Layer of Protection Analysis. New Jersey, United States of America: Wiley.
  2. International Electrotechnical Commission. (2016). Functional safety – Safety instrumented systems for the process industry sector – Part 1: Framework, definitions, system, hardware and application programming requirements. (IEC Standard No.61511). Geneva, Switzerland.

Elementos del Escenario Peligroso – Introducción a las Capas de Protección Leer más »

Reducciones de Arquitectura Según IEC 61508

Diseño / /

Para determinar el SIL que puede alcanzar una Función Instrumentada de Seguridad (SIF) que opera en modo bajo demanda, hay que tomar en cuenta tres variables:

  • La Probabilidad de falla en Demanda Promedio (PFDavg: Probability of Failre on Demand Average).
  • La Tolerancia de Falla por Hardware (HFT: Hardware Fault Tolerance) y;
  • La Capacidad Sistemática (SC: Sistematic Capability).

En las publicaciones anteriores, se explicó cómo se determina la PFDavg para arquitecturas 1oo1 y 1oo2 y, por lo tanto, qué SIL puede alcanzar una SIF por esta vía; ahora trataremos de las restricciones que impone el HFT sobre el SIL alcanzado de acuerdo con la norma IEC 61508.

La norma IEC 61508 establece el SIL más alto que se le puede otorgar a una SIF de acuerdo con la arquitectura de votación de sus subsistemas mediante dos definiciones del HFT o rutas:

  • La Ruta 1H: Basada en la Fracción de Falla Segura de los componentes, y;
  • La Ruta 2H: Basada en la confiabilidad de los componentes (probado en uso).

En este post, nos enfocaremos en la Ruta 1H. Según la Ruta 1H, la relación de HFT y SIL viene definida por el SFF del elemento o subsistema. En las tablas siguientes definen esta relación en función del tipo de dispositivo A (simple) o B (complejo).

Tabla 1. Tolerancia de Falla por Hardware. Dispositivos Tipo A. IEC 61508-2010

SFF

Tolerancia de falla de Hardware (Hardware Fault Tolerance)

0

1

2

60 %

SIL 1

SIL 2

SIL 3

60 a 90 %

SIL 2

SIL 3

SIL 4

90 % a 99 %

SIL 3

SIL 4

SIL 4

 99 %

SIL 3

SIL 4

SIL 4

Tabla 2. Tolerancia de Falla por Hardware. Dispositivos Tipo B. IEC 61508-2010

SFF

Tolerancia de falla de Hardware (Hardware Fault Tolerance)

0

1

2

< 60 %

No se permite

SIL 1

SIL 2

60 a 90 %

SIL 1

SIL 2

SIL 3

90 % a 99 %

SIL 2

SIL 3

SIL 4

≥ 99 %

SIL 3

SIL 4

SIL 4

 El SFF de un elemento dado, está establecido por la relación de las tasas de fallas que son seguras (pueden ser detectadas), y viene dada por la ecuación 1.

Ecuación 1:

Siendo:

 : Tasa de Falla Segura
: Tasa de Falla Segura Detectada
: Tasa de Falla Total

 Una vez que se tiene el máximo SIL permitido para un elemento, de acuerdo con la Ruta 1H de la norma IEC 61508, se puede dar el caso que se tengan elementos en serie o paralelo con distintos SIL permitidos, de ser así, para determinar el máximo SIL permitido para el subsistema (arreglo) se deben seguir unas reglas (IEC 61508-2: 7.4.4.2.3 y 7.4.4.2.4):

  • Si se tienen elementos en serie, el máximo SIL que se puede reclamar para ese subsistema es el determinado por el de menor SIL. (Ver ejemplo 1)
  • Si se tienen elementos en paralelo, el máximo SIL que se puede reclamar es el del mayor más uno (1). (Ver ejemplo 2)

Ejemplo 1:

Si se tienen 3 elementos en serie: A, B y C, y de acuerdo con las tablas de la norma IEC 61508 para el HFT, el máximo SIL permitido de cada elemento es SIL 1, 3 y 1 respectivamente, como se ve en la Figura 1, el máximo SIL permitido para este tipo de subsistema es de SIL 1, independientemente de la PFDavg alcanzada, como se muestra en la Figura 2.

Figura 1. Arquitectura en Serie.

Figura 2. Arquitectura en Serie. Restringido por Arquitectura.

Ejemplo 2:

Se tienen dos elementos A y B como se observa en la Figura 3, con máximos SIL permitido de SIL 1 cada uno, si están en paralelo (arquitectura 1oo2), pueden alcanzar hasta un SIL 2.

Figura 3. Arquitectura en Paralelo

Figura 4. Arquitectura en Paralelo.

La Ruta 2H, y las restricciones de capacidad sistemática (Sistematic Capability), serán tratadas en el próximo Post.

Pon a prueba tus conocimientos:

 

 

Reducciones de Arquitectura Según IEC 61508 Leer más »

Elementos del Escenario Peligroso -Introducción a los Modificadores Condicionantes

Análisis de Peligros y Riesgos, Asignación del SIL / /
Continuando con las publicaciones de los factores que intervienen durante el Desarrollo de un Escenario Peligroso, tales como: las Condiciones Habilitadoras y las Capas de Protección, en esta ocasión hablaremos sobre los Modificadores Condicionantes, (ver Figura 1).
 
 
Figura 1. Desarrollo de un Escenario Peligroso
 
Un Modificador Condicionante (MC) es una condición inherente al proceso y/o a la instalación, expresada en probabilidad, que afecta el nivel de la severidad de la consecuencia de un escenario peligroso, una vez ocurrido el evento tope.

Sin embargo, los MC solo deben considerarse en el cálculo de riesgo de escenarios peligrosos cuando la consecuencia está definida en términos de impacto (por ejemplo: fatalidad, pérdida de activos, etc.).
 
Entre los MC más conocidos se encuentran:
  • Probabilidad de atmósfera peligrosa.
  • Probabilidad de explosión.
  • Probabilidad de ignición.
  • Probabilidad de presencia de personal, entre otros. 

De hecho, estas probabilidades son más conocidas en la industria de seguridad de los procesos que el propio término de Modificador Condicionante, debido a que por años se han empleado en los cálculos de riesgo.

Entonces, ¿por qué usar el término Modificador Condicionante? porque todas las probabilidades mencionadas anteriormente modifican el nivel de severidad de la consecuencia, lo que permite agruparlas como Modificadores Condicionantes. De esta manera, se simplifican los términos asociados a los escenarios peligrosos y se evita que se considere varias veces el MC para el cálculo de riesgo de un mismo escenario, garantizando así:
  • Independencia entre el MC y otros factores del escenario peligroso: los MC no deben ser tratados como capas de protección, tampoco deben ser considerados para la estimación de la frecuencia del evento iniciador, ni deben ser confundidos con Condiciones Habilitadoras.
  • Independencia entre el MC y la consecuencia: La estimación de la consecuencia se debe realizar sin considerar el MC. De lo contrario, se estaría reduciendo el nivel de severidad de la consecuencia de manera implícita.
Para entender cómo estas probabilidades afectan el nivel de severidad de la consecuencia, consideremos como ejemplo un escenario peligroso con una consecuencia expresada en términos de fatalidad del personal; mientras mayor sea el valor del Modificador Condicionante de “Probabilidad de Presencia de Personal” mayor será el número de fatalidades esperado, por ende, mayor el nivel de severidad de la consecuencia.
A pesar de que en el ejemplo anterior el MC se empleó para considerar que aumentaba el nivel de severidad de la consecuencia, la realidad es que en muchos casos se aplica para disminuirla, algunas veces de manera intencional, otras simplemente por falta de información sobre su uso. Esto afecta significativamente el cálculo del riesgo de un escenario, por lo cual, el uso de los MC debe ser claro y consistente. Lo ideal es que las empresas stakeholders o consultoras que realizan análisis de riesgo, tengan estandarizadas las condiciones y requisitos para el uso de los MC.
Una buena práctica durante los Análisis de Capas de Protección (LOPA) es usar los MC solo cuando los mismos son capaces de anular la severidad de la consecuencia del escenario, es decir, solo cuando el MC lleva al nivel de severidad de la consecuencia a cero. Por ejemplo, cuando se asume que no hay presencia de personal en el área (zona normalmente no atendida).
En conclusión, el uso de MC durante la estimación del riesgo permite ajustar el nivel de severidad de la consecuencia del escenario peligroso con el fin de obtener resultados representativos. Sin embargo, los MC no deben ser considerados en la estimación del riesgo cuando no se tiene suficiente conocimiento o información sobre su uso, no sean parte de un sistema de gestión, o cuando su uso no sea coherente con los criterios de la empresa.

Elementos del Escenario Peligroso -Introducción a los Modificadores Condicionantes Leer más »