Hablar de la implantación de un Sistema de Gestión de la Seguridad de Procesos (PSM por sus siglas en inglés, Process Safety Management) genera incertidumbre en TODA organización que se plantea este reto.
Lo primero que viene a nuestro pensamiento es: ¿realmente aplica para mi organización?, ¿cuáles son los requisitos?, ¿por dónde comienzo?, ¿debo hacer un diagnóstico organizacional?, ¿requiere de una gran inversión?, ¿lo hemos estado haciendo bien?, y un sin fin de preguntas adicionales.
Luego de las dudas y temores iniciales surge lo que conocemos como el miedo al cambio, en virtud de que, en el momento inicial, nos sentimos en nuestra zona de confort y este cambio exigirá un proceso de transformación organizacional progresivo. Lo primero que debemos hacer es redefinir las áreas afectadas, ajustándonos a las demandas del entorno para mantener o mejorar los estándares de seguridad.
Este proceso involucra una revisión de la situación actual y la realización de un análisis de brechas que nos permita definir claramente la situación deseada. Además, debemos considerar aspectos como: inversión, capacitación, concientización de la fuerza laboral, entre otros; que deben incluir a la totalidad de la masa laboral de la organización.
Ante el escenario de implementación de PSM en su organización, es importante resaltar la gran oportunidad que esto representa, para inducir las mejoras preventivas que evitarán la ocurrencia de un evento catastrófico derivado de las actividades que se desarrollan en la industria de procesos.
Por lo que, se hace necesario, comprender las tres claves de éxito que se describen a continuación:
1.-Gestionar el negocio y sus peligros
El proceso de cambio y transformación debe comenzar desde la alta dirección, quienes deberán entender que la seguridad de los procesos debe ser integrada a las estrategias de negocio de alto interés e impacto organizacional. Es decir, debe formar parte del Sistema Integral de Gestión.
2.-Dar el ejemplo desde arriba
Se hará indispensable desarrollar lo que se conoce como el efecto cascada, donde se plantea que desde la alta dirección se modele y se transmita el nivel de liderazgo y compromiso que garantizará el éxito en la implantación.
3.- Estar dispuesto al cambio, al aprendizaje y a la mejora continua
Lograr, en TODA la fuerza laboral, una alta disposición para activar y propagar un proceso de auto evaluación; disposición al cambio, a la incorporación de la gestión del riesgo al día a día laboral, al aprendizaje formal y a la mejora continua, garantizará la permanencia en el tiempo de los esfuerzos y, progresivamente, asegurará el nivel de madurez en la Cultura Organizacional requerida en un Sistema de Gestión de Seguridad de Procesos robusto.
Continuando con la etapa de Ejecución del Proyecto, abordaremos el apartado del mapeo de fuego y gas.
2.2. Mapeo de fuego y gas
La norma define tres (03) tipos de mapeo, cada uno con un nivel de complejidad y esfuerzo distinto:
Método prescriptivo.
Método volumétrico.
Método basado en escenarios.
Se menciona el concepto de proporcionalidad, que consiste en aplicar el método de mapeo según el nivel de riesgo.
Técnicas de Mapeo vs Evaluación de Riesgo
Método de Mapeo
Evaluación de Riesgo
Basado en escenario
Cuantitativo
Volumétrico
Semicuantitativo
Prescriptivo
Cualitativo
Más Menos
Mapeo de Fuego.
Los detectores de fuego se comportan de manera binaria (detectan o no detectan el fuego), solo que dependiendo del tamaño del fuego que se quiere detectar se colocan más cerca o más lejos de la posible fuente, es decir, más allá del ajuste de la sensibilidad, no tienen punto de ajuste (set point) dependiente de las características de la llama. Para minimizar las activaciones no deseadas (falsas alarmas) se puede emplear votación de los detectores, por ejemplo, votación 1ooN para alarma y 2ooN para acción de control. Para el mapeo de fuego se recomienda definir el tamaño del fuego que se quiere detectar, tomando en cuenta el material inflamable, las condiciones de proceso y el enfoque de riesgo corporativo.
Método prescriptivo. Este método se basa en evaluaciones cualitativas y dependientes del juicio del diseñador, por lo tanto, la ubicación de los detectores se realiza según; a) Diseños probados (en aplicaciones similares), b) Normas prescriptivas, y c) Las características propias del gas, presión, temperatura, así como las características propias del sitio: congestión y confinamiento. Para este método no es necesario el modelado por software ni las métricas para evaluar el desempeño.
Método volumétrico. Se basa en detectar un fuego de determinado tamaño, y la métrica de desempeño consiste en evaluar el porcentaje de cobertura de un volumen determinado. El tamaño del fuego puede presentarse en; a) calor radiante (RHO) o b) tamaño del fuego en pie cúbico (ft2). Para realizar este método de mapeo se requiere del modelado por software.
Método basado en escenarios. La norma omite la aplicación del método basado en escenarios para la detección de fuego, ya que aporta pocos beneficios considerando el nivel de complejidad de este método.
Mapeo de Gases Inflamables.
El punto de ajuste de los detectores de gases se establece por debajo del LEL (límite inferior de explosividad) del gas inflamable que se quiere detectar, con el objeto de que sea lo suficientemente bajo para una detección temprana, pero al mismo tiempo lo suficientemente alta para evitar falsas alarmas. Para minimizar las activaciones no deseadas se puede emplear votación de los detectores, por ejemplo, votación 1ooN para alarma y 2ooN para acción de control. Antes de realizar el mapeo de gases inflamables deben definirse los puntos de ajuste, los cuales también deben estar declarados en la filosofía de fuego y Gas.
Método prescriptivo. Este método se basa en evaluaciones cualitativas y dependientes del juicio del diseñador, por lo tanto, la ubicación de los detectores se realiza según; a) Diseños probados (en aplicaciones similares), b) Normas prescriptivas, y c) Las características propias del gas, presión, temperatura, así como las características propias del sitio: congestión y confinamiento. Para este método no es necesario el modelado por software ni las métricas para evaluar el desempeño.
Método volumétrico. Se basa en detectar una nube de gas de determinado tamaño, y la métrica de desempeño consiste en evaluar el porcentaje de cobertura de un volumen determinado. El tamaño de la nube de gas que se quiere detectar puede estar fundamentado en cualquier método, ya sea cualitativo, semicuantitativo o cuantitativo. Para realizar este método de mapeo se requiere del modelado por software.
Método basado en escenarios. Aplicar este método requiere de información específica del proceso, y se deben considerar tanto la frecuencia como las consecuencias para cuantificar el riesgo. Entre los parámetros utilizados para el modelado están; la ubicación y dirección de la fuga, la velocidad y dirección del viento, y el tamaño del orificio. La métrica de desempeño consiste en evaluar el porcentaje de fugas detectadas o evaluar la frecuencia (por año) de las fugas que no se detectan, la norma recomienda utilizar la última. Este método se realiza una vez que se ha llevado a cabo el análisis cuantitativo de riesgos (ACR). Para realizar este método de mapeo y calcular la concentración de gas, se requiere del análisis de dispersión mediante modelado en 3D por software, por ejemplo, el Análisis Computacional de Fluidos (CFD, en inglés).
Para el mapeo de gases inflamables la norma hace consideraciones generales, entre las cuales podemos nombrar: el efecto que tiene sobre la gestión del cambio el método de mapeo elegido (recordar el concepto de proporcionalidad mencionado anteriormente), el efecto de la concentración de la nube de gas sobre el modelado de detectores de camino abierto (open path), las consideraciones prácticas de la instalación de los detectores de gases según su entorno, las consideraciones a tener en cuenta al momento de determinar el tiempo de respuesta del detector, los factores a tener en cuenta al colocar monitoreo de perímetro, y consejos sobre la representación del mapeo en 2D versus 3D.
Mapeo de Gases Tóxicos.
Para definir los puntos de ajuste (set point) la norma recomienda revisar los niveles de exposición ocupacional para el material tóxico en cuestión, usando como referencia el documento de HSE EH40 “Workplace exposure limits”. Con el fin de minimizar las activaciones no deseadas debido a concentraciones pico de corta duración, para la activación de la alarma se puede aplicar un retardo de X segundos, o también emplear votación 2ooN. Antes de realizar el mapeo de gases tóxicos deben definirse los objetivos de desempeño (declararlos en la filosofía de fuego y Gas). La norma proporciona una tabla de Factores de riesgo y mitigación, que sirve como guía para determinar los objetivos de desempeño del sistema de detección de gases tóxicos.
Método prescriptivo. Para este método aplican las mismas consideraciones del método prescriptivo para la detección de gases inflamables, más la aplicación de la tabla de Factores de riesgo y mitigación.
Método volumétrico. Aplican las mismas consideraciones del método volumértico para la detección de gases inflamables, pero haciendo énfasis en las áreas donde el personal normalmente está presente.
Método basado en escenarios. Para este método aplican las mismas consideraciones del método basado en escenarios para la detección de gases inflamables.
La norma también hace consideraciones generales cuando se realiza el mapeo de gases tóxicos, por ejemplo, tomar en cuenta los factores que influyen en el tiempo de respuesta del detector, que el uso de accesorios en los detectores no comprometa los resultados del mapeo de gases, considerar la capacidad de recuperación del detector luego de una alta o prolongada exposición al gas, considerar la concentración del gas en el desempeño del detector, tener en cuenta durante el estudio de mapeo los efectos de la sensibilidad cruzada (gases de interferencia que producen la activación del detector , aún sin la presencia del gas objetivo) y el monitoreo de perímetro (con detectores de camino abierto – open path) en caso de que la migración de la nube de gas tóxico de un área a otra represente un peligro.
2.3. Desarrollo de la Ingeniería de Detalle del SFG
La norma reconoce que el diseño del SFG empieza al inicio del ciclo de vida del proyecto cuando aún no se cuenta con el modelo 3D, por lo que la norma sugiere un enfoque de dos etapas, primero utilizar un método prescriptivo (más conservador y con mayor número de detectores), y luego cuando el diseño sea estable y casi sin cambios, aplicar métodos más detallados como el mapeo volumétrico o mapeo basado en escenarios. Se admite que puede haber cambios, y que la eliminación de detectores es más fácil de manejar que la incorporación de nuevos detectores. En cuanto a la Gestión del Cambio la norma sugiere la designación de una persona competente en SFG, que será la encargada de aprobar los cambios en la documentación que ha sido aprobada para construcción, el ingeniero responsable del SFG también puede sugerir cambios para mejorar la seguridad y que requieran realizar nuevamente el mapeo.
En la próxima entrada abordaremos los tópicos de instalación y mantenimiento.
Referencias:
Consultoría en Seguridad Funcional (CSF) (2019) Sistemas de Detección de Fuego y Gas (SFG) basados en desempeño: Una visión general.https://grupocsf.com/sdfg/
ISA-TR84.00.07 (2018). Guidance on the Evaluation of Fire, Combustible Gas, and Toxic Gas System Effectiveness. Research Triangle Park, NC.
BS 60080. (2020). Explosive and toxic atmospheres — Hazard detection mapping — Guidance on the placement of permanently installed flame and gas detection devices using software tools and other techniques. BSI Standards Limited.
Insight Numerics. (14 de octubre de 2020). Understanding the new British Standard (BS 60080:2020) for Fire and Gas Mapping [Video]. Recuperado de https://www.youtube.com/watch?v=E4xYYFcAUAc
El diseño de Sistemas de Fuego y Gas (SFG) no deja de ser un tema cargado de discusiones, teorías y enfoques al que pocos profesionales se atreven abordar. Ya en otros artículos [1] [2]hemos tratado el tema utilizando como referencia el reporte técnico de ISA TR 84.00.07-2018 [3], en esta oportunidad vamos a hacer una breve introducción de una nueva norma [4] de origen británico, BS 60080:2020 “Explosive and toxic atmospheres — Hazard detection mapping — Guidance on the placement of permanently installed flame and gas detection devices using software tools and other techniques”, publicada en septiembre 2020 por British Standards Institution.
Es preciso resaltar que la norma británica BS 60080:2020 es de carácter orientativo y no constituye un documento de obligatorio cumplimiento, es más una guía para el diseño de Sistemas de Detección de Fuego y Gas (SFG) fijos, que responde básicamente las siguientes preguntas [5]: 1) ¿Cuántos detectores necesito?, y 2) ¿Dónde los instalo para maximizar su efectividad?
Con el propósito de ilustrar el proceso de diseño de descrito en la norma, vamos a dividirlo en tres etapas [6]; Definición de la Filosofía (capítulos 4 y 5), Ejecución del Proyecto (capítulos 6, 7 y 8),e Instalación y Mantenimiento (capítulos 9, 10 y 11).
1. Definición de la Filosofía del Sistema de Fuego y Gas (SFG)
1.1. La primera actividad establecida en la norma es la Identificación de peligros y evaluación de riesgos; es decir, una vez que se ha identificado el peligro se debe realizar la evaluación de riesgos, esto con el objetivo de conocer si el sitio cuenta con medidas de control adecuadas para que los riesgos puedan considerarse tan bajos como sea razonablemente posible (ALARP), y una de esas medidas de control es el SFG. La norma asume que ya previamente se ha realizado una evaluación de riesgos y que, como resultado, para conseguir que los riesgos sean ALARP, se requiere de la instalación de un SFG.
1.2. La segunda actividad es la elaboración de la Filosofía de Fuego y Gas, la filosofía es un documento que trata sobre la estrategia del SFG y que debe definirse al inicio del proyecto. Para los propósitos de la norma, esta filosofía es particular para cada instalación y se complementa con la filosofía general (y genérica) de la corporación.
Para la elaboración de la filosofía, la norma recomienda incluir como mínimo los siguientes aspectos:
Las métricas que se utilizarán para evaluar el sistema (% de cobertura, tamaño de fuego o de nube de gas).
Criterio de protección predominante (proteger medio ambiente, personal, activos, continuidad del negocio).
Definir las zonas de mapeo (incluye la metodología para definirlas).
Reglas de clasificación (grading) de área (si aplica, esto define el desempeño basado en la categoría de riesgo).
Tecnología más apropiada según los peligros y el medio ambiente.
Puntos de ajuste (set points) y requisitos de votación para los detectores.
Al realizar el mapeo de fuego y gas, la norma recomienda considerar los aspectos prácticos de la ubicación de los detectores, es decir, tener en cuenta las opciones para el montaje de los detectores, previendo durante la etapa de diseño las facilidades para los futuros mantenimientos y pruebas. Recordemos que en un proyecto nuevo existe mucha flexibilidad para realizar la ubicación de los detectores lo cual permite optimizar el número de detectores, en cambio en instalaciones existentes o donde ya existe un SFG es más costoso realizar modificaciones para lograr un mapeo óptimo.
2.Ejecución del Proyecto del Sistema de Fuego y Gas
2.1. Tecnologías de Detección
La primera actividad de esta etapa es seleccionar la tecnología de detección adecuada al peligro que pudiera estar presente en el sitio, en la norma se hacen consideraciones particulares de las siguientes tecnologías:
Tecnologías de Detección de Fuego. Cuando se trabaja con detección óptica de fuego se maneja el concepto de cobertura de detección, que es una característica particular de cada modelo de detector. La información relativa a la cobertura de detección es proporcionada por el fabricante del detector, y depende de los siguientes factores:
Campo de visión (cono de visión)
Distancia de detección (depende del tipo de combustible)
Disminución de la sensibilidad hacia el borde del cono de visión
Para realizar la ubicación de un detector de fuego tipo óptico se requiere modelar su cobertura de detección, para lo cual es necesario conocer lo siguiente:
Marca y modelo del detector.
Sensibilidad del detector.
Tipo de Combustible.
La norma refiere brevemente a las siguientes tecnologías de detección de incendio:
Detección óptica de fuego: infrarrojo (IR simple y múltiple espectro), ultravioleta (UV y UV/IR) y detección visual/por imágenes.
Detección de calor: tapón fusible, cable lineal, sistemas neumáticos, tira bimetálica, sensor de calor IR y termistores.
La detección de humo está fuera del alcance de la norma.
Tecnologías de Detección de Gases inflamables. La norma hace mención de los detectores puntuales para gases inflamables del tipo catalítico (también conocidos como pellistores), tipo infrarrojos (IR) y de tipo conductividad térmica. El detector puntual detecta el gas en el punto donde está su elemento sensor. Existen también detectores del tipo línea de vista o camino abierto (open path) que pueden estar basados en tecnología IR o en tecnología láser, la principal diferencia entre ambos es que la tecnología láser es específica para cada gas, y en la tecnología IR que es más amplia ya que la mayoría de los gases absorben la radiación infrarroja.
Detectores puntuales: infrarrojo (IR), catalítico (pellistor) y conductividad térmica.
Línea de vista / camino abierto (open path): tipo infrarrojo y tipo laser
Tecnologías de Detección de Gases Tóxicos. Sin profundizar mucho en aspectos técnicos, la norma hace referencia de dos (02) métodos de detección de gases tóxicos: electroquímico y semiconductor.
Tecnología de Detección ultrasónica (acústica) para fugas de gases. Los detectores ultrasónicos para fugas de gases (UGLD por sus siglas en ingles), responden a las fugas de gases en equipos presurizados. El mapeo de dispositivos UGLD está fuera del alcance de la norma.
En la próxima entrega abordaremos los tópicos relacionados con el mapeo del SFG.
Referencias:
Consultoría en Seguridad Funcional (CSF) (2019) Sistemas de Detección de Fuego y Gas (SFG) basados en desempeño: Una visión general.https://grupocsf.com/sdfg/
ISA-TR84.00.07 (2018). Guidance on the Evaluation of Fire, Combustible Gas, and Toxic Gas System Effectiveness. Research Triangle Park, NC.
BS 60080. (2020). Explosive and toxic atmospheres — Hazard detection mapping — Guidance on the placement of permanently installed flame and gas detection devices using software tools and other techniques. BSI Standards Limited.
Insight Numerics. (14 de octubre de 2020). Understanding the new British Standard (BS 60080:2020) for Fire and Gas Mapping [Video]. Recuperado de https://www.youtube.com/watch?v=E4xYYFcAUAc
Las recomendaciones del reporte técnico de ISA TR 84.00.07-2018, indican la necesidad de contar con la Filosofía de Protección de Fuego y Gas corporativa antes de iniciar el diseño de un Sistema de Detección de Fuego y Gas (SFG) basado en desempeño.
En las etapas tempranas del diseño, la Filosofía de Fuego y Gas establece las bases y criterios para alcanzar las metas de detección y mitigación en caso de fuego o fugas de gases, y esas metas deben ser consistentes con los criterios de aceptación de riesgos corporativos. La filosofía puede presentarse en forma de documento independiente o puede incluirse en los estándares de diseño y gestión de riesgos, y debe atender las especificaciones particulares del proyecto. La filosofía debe ser lo más precisa posible con el propósito de dejar claro al diseñador los objetivos que se quieren alcanzar con el diseño del SFG.
Dependiendo de cada empresa u organización, los enfoques filosóficos para los cuales se diseña un SFG varían, así como varían los criterios de riesgos y las acciones ejecutivas, dependiendo, por ejemplo, si las instalaciones son de procesos o administrativas, si son asistidas o desasistidas, en qué etapa se desea detectar el escenario (incipiente o desarrollado), cuál es la capacidad de extinción de incendio, etc. Pero independientemente del enfoque, los SFG, de manera general, realizan 3 funciones básicas:
Detectar (presencia de fuego, humo, calor, gases inflamables, tóxicos y asfixiantes).
Notificar (activar las alarmas para alertar al personal y tomar las medidas apropiadas).
Proteger (iniciar acciones automáticas y/o manuales de aislamiento de los materiales peligrosos, despresurización, activación del sistema de mitigación y cualquier otra acción que contribuya en reducir el daño y minimizar las perdidas).
Antes de comenzar un diseño basado en desempeño es fundamental definir los objetivos, así como entender para qué riesgos se debe diseñar. Para tener una idea clara de los objetivos, se puede iniciar respondiendo las siguientes preguntas: ¿Cuál es la magnitud de los escenarios que debería detectar el SFG?¿Qué acciones son requeridas por parte del SFG en cada caso?
A continuación, se muestran los fundamentos básicos que deben considerarse en una de filosofía de detección de fuego y gas para un proyecto y como complemento a la filosofía corporativa.
1.Normas aplicables
Se recomienda listar las normas, códigos, estándares y prácticas (en su revisión más reciente) empleadas en la industria para el diseño del SFG. Es práctica común que, en caso de conflicto entre la filosofía y los estándares/normas empleadas como referencia, se aplique el requisito más estricto. En la filosofía se debe mencionar la normativa aplicable al diseño, considerando:
Normas o prácticas nacionales (NFPA 72, EN 54, PDVSA K-363, PEMEX NRF-210, etc.).
Requisitos de alguna sociedad de clasificación (American Bureau of Shipping (ABS), Bureau Veritas (BV), DNV, etc.) y cualquier otro requerimiento de detección de fuego y gas (ej. Para aplicaciones costa afuera).
2.Zonas que proteger
Las zonas a proteger con el SFG, en una instalación típica, pueden ser seleccionadas según el tipo de equipos de procesos, según la clasificación de áreas peligrosas, según el tipo de peligro (fuego, gas combustible, gas tóxico), según el tipo de producto procesado o almacenado, entre otros.
La categorización de las zonas es una práctica común en el diseño de los SFG, lo que se busca es segregar la instalación en partes y de esta forma tener una idea de los requerimientos que esas zonas van a demandar. Una forma de categorización de zonas es mostrada en Performance-based Fire and Gas Systems Engineering Handbook, donde, por ejemplo, la categoría H es para áreas de procesamiento de hidrocarburos, N para áreas donde no hay hidrocarburos, G para áreas de ocupación general, entre otras.
3.Identificación de escenarios peligrosos
Los escenarios peligrosos que se deben estudiar (y su posterior determinación del nivel de riesgo) pueden definirse en función a los equipos de mayor riesgo (tanques, bombas, compresores, intercambiadores, etc.), considerando las características del producto manipulado (gasolina, GLP, diésel, etc.), la fase del material manejado (solida, liquida o gaseosa) o las condiciones de operación (presión, temperatura, etc.). Se recomienda considerar los siguientes puntos en la identificación de los escenarios peligrosos que debería detectar el SFG:
Establecer la magnitud del escenario a detectar (etapa incipiente o desarrollado).
Seleccionar los escenarios “creíbles” para el diseño.
Definir el tipo de enfoque a utilizar en la identificación de los escenarios peligrosos (enfoque cuantitativo o semi cuantitativo).
Definir el método de análisis de riesgo.
Definir los objetivos del SFG (proteger instalaciones, personal o medio ambiente)
4.Desempeño del equipamiento del SFG
Se deben establecer las metas de desempeño de los equipos del SFG, es decir, el porcentaje de cobertura que requieren las zonas según su
nivel de riesgo, definir si la cobertura es geográfica o por escenarios y definir la probabilidad de fallas de los equipos. Se deben establecer los criterios y herramientas para verificar que las metas hayan sido alcanzadas (por ejemplo, mediante el uso de mapeo 2D y/o 3D). Para conocer el desempeño que debe tener el equipamiento del SFG se deben considerar los siguientes aspectos:
Asignar los objetivos de desempeño de la cobertura del detector de fuego y gas (según sea por cobertura geográfica o por escenario).
Determinar la probabilidad de falla del equipo (disponibilidad de seguridad y SIL)
Proteger de los gases tóxicos y combustibles al personal dentro de las edificaciones.
5.Tecnología del SFG
Se debe seleccionar la tecnología de detección más apropiada, según los riesgos previstos en la instalación (materiales y condiciones de operación, etc.) y las características de las áreas a proteger (procesos, almacenamiento, edificaciones, etc.). Para seleccionar la tecnología más adecuada se recomienda tener en cuenta lo siguiente:
Estandarizar los métodos de detección de fuego y gas.
Asignar la tecnología adecuada según la aplicación. (Aplica la experiencia previa)
Describir las características de los detectores de fuego. (Cono de visión, sensibilidad, etc.)
6.Acciones que debe acometer el SFG
Se deben definir las circunstancias bajo las cuales se activarán las alarmas (por fuego, gas, activación manual, o por todas las anteriores), los requerimientos particulares para las alarmas (tonos, colores, zonificación, etc.), las acciones en caso de activarse las alarmas (tomando en cuenta si la instalación es asistida o desasistida, complejidad del proceso, riesgo asociado a disparos no deseados, interacción con otros sistemas, votación de los detectores, etc.), los criterios para la ubicación de las estaciones manuales y los dispositivos de notificación. Además, especificar el criterio a considerar para establecer el set point de los detectores (pre alarma, alarma y paro). Es importante, al especificar las causas que pueden ocasionar la activación del SFG y las acciones del sistema como consecuencia de una activación, definir lo siguiente:
Especificar los requisitos para las alarmas. (Ubicación, tipo, características, distribución, cantidad, alarmas auxiliares, etc.).
Definir las acciones del SFG en caso de activarse las alarmas.
Seleccionar el set-point de los detectores de gas combustible (% del LEL, LEL.m).
Seleccionar el set-point de los detectores de gas tóxico (ppm).
Definir las acciones del SFG en caso de votación simple (ej. Solo alarma) o compleja (ej. Activación del ESD)
Indicar cantidad de detectores en estado de alarma suficientes para activar el ESD.
Establecer cómo se degrada la votación cuando los detectores están en mantenimiento/pruebas.
Definir los requisitos para las estaciones manuales de alarma (ubicación, distanciamiento, alarmas activadas, acciones en caso de activación accidental
Todas las recomendaciones indicadas son solo una representación de algunos de los puntos que, como mínimo, deberían ser considerados en la elaboración de la filosofía de detección de fuego y gas de un proyecto; no significa que sean los únicos a considerar, de hecho, la experiencia del diseñador, los aportes del equipo multidisciplinario y la normativa utilizada contribuirán a enriquecer aún más la filosofía. Cabe resaltar que, en la etapa de diseño, la filosofía de fuego y gas muestra las bases y criterios bajo la cual se va a fundamentar el desarrollo del diseño basado en desempeño.
Es importante resaltar que, además de lo relacionado con los sistemas de detección de fuego y gas basados en desempeño, es necesario contar con una filosofía de mitigación de incendios, la cual tiene sus requerimientos y normativas específicas. Nuestra intención es contribuir con el desarrollo de filosofías de diseño y gestión de sistemas de detección fuego y gas más completos, confiando que con mejores directrices de diseño serán mucho más acertadas las decisiones del diseñador.
Referencias:
ISA-TR84.00.07 (2018). Guidance on the Evaluation of Fire, Combustible Gas, and Toxic Gas System Effectiveness. Research Triangle Park, NC.
Bryan, A., Smith, E. y Mitchell, K. (2016). Performance-based Fire and Gas Systems Engineering Handbook. Research Triangle Park, NC: ISA.
Center for Chemical Process Safety (CCPS) (2019). Guidelines for Integrating Process Safety into Engineering Projects. New York. Wiley
Basu, S. (2017). Plant Hazard Analysis and Safety Instrumentation Systems. Elsevier.
La seguridad funcional se inicia desde las fases más incipientes de la ingeniería de un proceso, con los análisis de riesgos que permiten hacer una estimación gruesa del riesgo del proceso, considerando los equipos, tecnologías de transformación, materiales peligros, temperaturas y presiones de trabajo, personal requerido para el mantenimiento y operación entre otros.
Una vez que se tiene una estimación del riesgo del proceso, basado por supuesto en las normas aplicables o políticas corporativas, es posible cuantificar la magnitud del riesgo que se debe reducir, para hacer que el proceso sea factible desde el punto de vista económico, ambiental, social y de la seguridad. Para ello, se realiza la asignación de las capas de protección necesarias para alcanzar el riesgo meta; tales como: válvulas y/o discos de seguridad, válvulas de bloqueo, válvulas de venteo, sistemas instrumentados de seguridad, integridad mecánica, etc.
Cuando hablamos de los Sistemas Instrumentados de Seguridad (SIS), estamos indicando que hay una o más Funciones Instrumentadas de Seguridad (SIF) que lo conforman, y que cada una de ellas será diseñada para asumir la tarea de llevar y mantener el proceso a un estado seguro ante una condición o evento que le comprometa.
Una vez definidas las SIF, es necesario diseñarlas, y para ello la norma IEC/ISA 61511 nos proporciona un conjunto de lineamientos que deben ser completados de manera íntegra; estas son las Especificaciones de Requerimientos de Seguridad (SRS) para el SIS, donde se detalla todas especificaciones necesarias que aseguran que se alcanza el SIL calculado para cada SIF.
Con las SRS en mano se avanza hacia el diseño e ingeniería del SIS, es decir, diseño detallado de cada uno de los dispositivos que componen cada SIF del SIS, así como las pruebas de equipos y de integración de los mismos en fábrica (Pruebas FAT).
Luego, el sistema es instalado, arrancado, validado y entregado para entrar en la fase más larga de cualquier proyecto, Operación y Mantenimiento. Así que, hasta este momento, se han invertido muchos recursos en estudio, equipamiento y construcción. Se entrega la planta y con ella el SIS y sus especificaciones; recordando que el SIL de cada SIF debe ser mantenido durante toda esta fase hasta el desmantelamiento.
Comienza la producción, y lo que espera el inversionista es obtener la tasa de retorno de la inversión (TIR) al menor tiempo posible, pero factores como condiciones ambientales, tasa de degradación de los dispositivos, operación y mantenimiento del sistema, especificaciones de los fluidos de proceso, etc., afectan la integridad y el tiempo de misión del sistema; por lo que, es importante seguir los lineamientos técnico recomendados por la norma IEC/ISA 61511 para asegurar que las especificaciones de los sistemas de la seguridad se mantienen tal como fueron diseñados. Para ello, se necesitan los planes de operación, planes de mantenimiento, el conocimiento, disponibilidad, uso y revisión periódica de: Procedimientos de operación (bypass, reset, etc.), procedimientos de mantenimiento para actividades rutinarias y para reparaciones, procedimiento de revalidaciones, procedimiento de seguimiento del desempeño del mantenimiento, procedimientos de colección de data de demandas y parámetros de confiabilidad, procedimientos de ensayos periódicos, etc.
Para aplicar los procedimientos de manera correcta y eficaz, el SIS debe ser operado y mantenido por personal entrenado y competente con la capacidad para realizar los análisis de riesgos requeridos por cualquier modificación o cambio del sistema, colectar y registrar la data
para medir el desempeño del sistema, y tomar las acciones o decisiones (procedimientos de operación, mantenimiento inspecciones, ensayos periódicos y medidas de compensación) para asegurar que el SIL de cada SIF es mantenido y funciona durante la fase de operación y mantenimiento, tal y como fue diseñado. Como vemos, esto es un largo viaje que debemos emprender utilizando las mejores herramientas posibles.
Dentro del marco de las actividades del Ciclo de Vida de Seguridad de un Sistema Instrumentado de Seguridad, existe la necesidad de conocer el desempeño, en términos del Nivel de Integridad de la Seguridad (Safety Integrity Level SIL), de cada Función Instrumentada de Seguridad (SIF) que lo conforman. Por lo tanto, es necesario cuantificar la falla aleatoria de la función tomando en cuenta todos y cada uno de los elementos o subsistemas que están presentes en la SIF. En el presente post, se muestra como cuantificar la Probabilidad de Falla en Demanda Promedio () de una SIF, en modo bajo demanda, realizando un análisis del método RBD (Reliability Block Diagram), como lo hace estándar IEC-61508 Parte 6.
1.Introducción
Cuando los procesos o sistemas críticos que se utilizan en la industria nuclear, química, petróleos, etc no son apropiadamente controlados o mantenidos pueden dejar de funcionar y, en algunos casos, llevar al Proceso Bajo Control (EUC) a un riesgo significativo para la seguridad de personas, medio ambiente y financiero. Los Sistemas Instrumentados de Seguridad o SIS, como se les conoce, son sistemas diseñados para reducir el riesgo del proceso cuando existen desviaciones de sus variables o malfuncionamiento de algún equipo o instrumento.
El hardware de un SIS está compuesto principalmente por tres subsistemas, subsistema de sensado, subsistema de resolvedor lógico y subsistema de actuación; como se muestra en la figura 1. El subsistema de sensado monitorea el proceso crítico, examinando condiciones potencialmente inseguras; el resolvedor lógico interpreta las entradas del subsistema de sensado y ejecuta determinadas acciones mediante el subsistema de actuación.
El estándar IEC-61508, publicado en el año 1997 y actualizado en 2010, ha sido adoptado por muchos países como una norma de carácter nacional. En este se muestran 2 conceptos muy importantes: el Ciclo de Vida de Seguridad y el Nivel de Integridad de la Seguridad (Safety Integrity Level, SIL). Como procedimiento dentro del Ciclo de Vida de Seguridad es necesario realizar la cuantificación de la falla aleatoria que, comúnmente, se conoce como verificación del SIL, de cada SIF que conforman al SIS, de tal manera de confirmar que la Probabilidad de Falla en Demanda promedio () del hardware diseñado cumple con el Factor de Reducción de Riesgo requerido por el proceso. En caso de no cumplir este requerimiento es necesario realizar una modificación a dicho hardware hasta cumplir con la Reducción de Riesgos necesaria. El proceso de demostración que la SIF cumple con los requisitos de la aplicación, toma en cuenta, además, las restricciones de hardware definidas en la norma IEC-61508 y IEC-61511 y la Capacidad Sistemática del hardware utilizado.
Fig. 1 Hardware de Sistema Instrumentado de Seguridad
El proceso de verificación del SIL puede ser abordado mediante diferentes metodologías, todas basadas en técnicas de análisis probabilístico y entre las más conocidas están: Análisis de Árbol de Fallas (FTA), Análisis Modos de Falla y Eventos (FMEA), Diagrama de Bloques de Confiabilidad (RBD), Análisis de Markov, técnicas mixtas, etc. El uso de cada técnica tiene sus ventajas y desventajas.
2.Probabilidad de Falla en Demanda
Es una medida que está definida como la probabilidad de que la SIF no pueda cumplir con la intención para la cual fue diseñada, en otras palabras, es la probabilidad con la cual la SIF es incapaz de desempeñar su función de seguridad; lo que significa que la SIF esta inhabilitada para responder a una demanda y no podrá iniciar ninguna acción de seguridad. La PFD indica un valor instantáneo, para su uso en seguridad funcional es necesario expresar como la cual indica un valor promedio sobre el intervalo de prueba de la SIF
; (1)
Hay que considerar que la es una función de la tasa de fallas , la tasa de reparación , el Intervalo de prueba ,
las fallas de causa común , entre otros.
Para satisfacer los requerimientos dados en la Especificaciones de los Requerimientos de la Seguridad (SRS) de la SIF con un SIL objetivo obtenido del análisis de riesgo del proceso, la de la SIF diseñada debe ser menor al valor límite indicado en la tabla 1, según sea el caso.
Tabla 1. SIL y según IEC-61508.
Nivel de Integridad de Seguridad (SIL)
Probabilidad de Falla en
Demanda Promedio (PFDavg)
Reducción de Riesgo
Requerida (FRR)
4
≥10−5 a <10−4
>10.000 a ≤100.000
3
≥10−4 a <10−3
>1.000 a ≤10.000
2
≥10−3 a <10−2
>100 a ≤1.000
1
≥10−2 a <10−1
>10 a ≤100
3.Diagrama de Bloques de Confiabilidad (RBD)
Es una técnica gráfica de análisis, la cual expresa como está conectado un sistema y el número de componentes de acuerdo a una relación lógica de confiabilidad.
Los componentes conectados en serie representan una conexión lógica “and” y los conectados en paralelo son representados mediante la conexión “or”, mientras que, la combinación de componentes en serie y paralelo representa lógica de votación. Un esquema RBD tiene un orden de análisis, siempre va de izquierda a derecha, y desde el nodo más a la izquierda hacia el nodo más a la derecha se presentarán las
trayectorias o rutas para una operación exitosa del sistema (representa una medida de éxito). Cuando un componente falla, este cortará la conexión o ruta correspondiente, a medida que ocurren las fallas en los componentes, el sistema seguirá operando o funcionando hasta que no exista una ruta o vía válida desde el nodo más a la izquierda al nodo más a la derecha y, la probabilidad de falla del sistema en estudio se puede calcular o determinar de acuerdo a principios probabilísticos; por ejemplo: sea un subsistema con votación 1oo2, esto significa que dispone de 2 canales diferentes con sus propios componentes, es decir, independientes, y se requiere que con 1 canal disponible todavía puede ser confiable y cumplir con su intención de diseño; sin embargo, está claro que podría darse una falla de causa común que afectaría a ambos componentes y en esa circunstancia, el sistema deja de ser confiable, por lo que, ante una demanda él no podrá llevar al proceso a modo seguro, tal esquema se muestra en la siguiente figura:
Fig. 2 RBD para un esquemade votación 1oo2 de sensores
Para el presente documento se consideran las siguientes suposiciones para el uso del Enfoque RBD:
a)La resultante de un subsistema es menor que 10 -1 (Modo Bajo Demanda) y también la PFH es menor a 10 -5 (Modo Alta Demanda y Modo Continuo).
b)La tasa de falla y reparación de los componentes se consideran constantes dentro del tiempo de vida del sistema.
c)La tasa de falla de hardware utilizado como información para el cálculo se considera para subsistemas con canales simples.
d)Todos los canales en un grupo de votación tienen la misma tasa de falla y la misma tasa de cobertura de diagnóstico.
e)La tasa de falla de hardware total de un canal en un subsistema es la suma de la tasa de fallas peligrosas y la tasa de fallas seguras y se asume iguales.
f)La prueba o test y reparación para cada función de seguridad es completa (perfecta). Esto significa que todas las fallas que permanezcan sin detectar son detectadas por la prueba o test.
g)El intervalo de prueba es por lo menos una orden de magnitud mayor que el intervalo de test de diagnóstico.
h)No se considera el estudio del efecto de la tasa de demanda y el intervalo esperado entre la demanda.
i)Para cada subsistema hay un único intervalo de prueba y un tiempo medio para la restauración.
j)Se considera que se encuentra disponibles múltiples grupos de reparación para trabajar en todas las fallas conocidas.
k)El intervalo esperado entre las demandas es por lo menos un orden de magnitud mayor que el tiempo medio para la reparación.
3.1 Autodiagnóstico, Fracción de Falla Segura y Tiempo Medio Improductivo (MDT)
Hoy en día, muchos equipos pueden detectar fallas por sí mismos mediante el denominado diagnóstico; esta característica o capacidad en un equipo se denomina Cobertura de Diagnóstico (DC) y en ningún caso puede detectarse la totalidad de las fallas, es decir, que el DC nunca llega al 100%. Ahora la tasa de falla total de un equipamiento , tal como lo muestra la figura, se divide en fallas seguras y fallas peligrosas , las mismas se dividen en seguras detectadas , seguras no detectadas , así como, en peligrosas detectadas y peligrosas no detectadas Las tasas de falla seguras son justamente las que llevan a modo seguro; por otro lado, las fallas peligrosas pueden detectarse mediante diagnóstico y justamente coincide con el criterio de la cobertura de diagnóstico definido anteriormente. Por lo tanto, las fallas peligrosas no detectadas son aquellas que debemos estudiar y determinar y este valor es el que nos indica cuán confiable es el equipo para las aplicaciones de seguridad. La norma IEC-61508 introduce el término fracción de falla segura SFF definido como:
;
(2)
para identificar las características de confiabilidad de un determinado dispositivo que será utilizado de una Función Instrumentada de Seguridad.
Fig.3 División de la tasa de fallas total
La probabilidad de falla en demanda está relacionada con las fallas peligrosas que evitan que el SIS funcione cuando se precise que así lo haga; es decir, ante una demanda. En el análisis se puede considerar que para cada SIF existe una prueba de funcionamiento periódica en un tiempo Ti y también existe una reparación perfecta, por lo que todas las fallas no detectadas se descubren
mediante una prueba periódica de la SIF. Cuando se produce una falla, se presupone que en promedio ocurre en el punto intermedio del intervalo de prueba periódica; en otras palabras, la falla sigue sin detectarse durante el 50% del período de prueba. Tanto para fallas peligrosas no detectadas y peligrosas detectadas, el tiempo medio improductivo o MDT depende del intervalo de prueba Ti, el tiempo medio de reparación MTR y del tiempo medio hasta el restablecimiento
MTTR.
4.Cálculo de la PFDavg mediante RBD
4.1 Arquitectura 1oo1
Esta arquitectura consiste de un solo canal, sin embargo, como nuestro análisis está centrado al estudio de las fallas peligrosas y estas se dividen en fallas peligrosas detectadas y fallas peligrosas no detectadas, al tener diferentes tasas de falla cada una es necesario agrupar estas fallas en una arquitectura en serie, tal como lo muestra la figura, donde representa el bloque de fallas peligrosas no detectadas (las más peligrosas) y las fallas peligrosas detectadas. Ambas dan como resultado el denominado tiempo medio improductivo cuya
tasa de falla es y es posible calcularlo sumando los tiempos medios improductivos en directa proporción respecto a la contribución de la probabilidad de falla del canal, es decir:
;
(3)
;
(4)
Fig.4 Arquitectura RBD para un esquema 1oo1
Ejemplo:
Sea un elemento del cual se desea obtener la para diferentes valores de la cobertura de diagnóstico DC y se conoce que la tasa de
fallas peligrosa es , el tiempo de reparación es igual al tiempo de restablecimiento .
Mediante el uso de la ecuación 4, se puede observar además que la aumenta conforme aumenta el Intervalo de prueba y reduce conforme aumenta el porcentaje de la Cobertura de Diagnostico.
4.2 Arquitectura 1oo2
Esta arquitectura consiste en dos elementos conectados en paralelo, de tal manera que cualquier canal puede ejecutar la función de seguridad, por lo tanto, debería existir una falla peligrosa en ambos canales antes de que la función de seguridad falle bajo una demanda. Se supone que cualquier test de diagnóstico solo reportará las fallas encontradas y no cambiará a ningún estado su salida ni la votación especificada. La figura muestra el RBD para dicha arquitectura donde , pertenecen al equipamiento o componente 1 y, al equipamiento o componente 2.
Fig. 5 Arquitectura RBD para un esquema 1oo2
Por otro lado, el RBD contiene un bloque en serie adicional que representa las fallas de causa común considerando que los equipos en paralelo son similares, este bloque denota la fracción de fallas no detectadas que tienen causa común . Ahora, para el caso de fallas detectadas por diagnóstico de causa común . Estos valores son fracciones que se consideran igual entre 5% al 10% del total de fallas peligrosas del equipamiento.
El tiempo medio improductivo MDT para esta arquitectura está definida como:
;
(5)
Donde es el tiempo improductivo de cada elemento o equipamiento y se nota que con esta arquitectura el tiempo de parada del conjunto se reduce a la mitad de .
Cuando un canal o elemento falla de forma peligrosa, el conjunto pasa a un estado de operación degradada y, aun así, puede desempeñar la función de seguridad especificada ante una demanda con el que queda operando, si este segundo elemento falla de forma peligrosa entonces todo el grupo falla y la función no podrá ejecutar la función de seguridad.
La , según indica IEC-61508 Parte 6, considerando efectos de fallas de causa común es:
;
(6)
Ejemplo:
El resultado de la tabla nos indica un resultado similar al anterior, sin embargo, se puede ver la se reduce notablemente cuando se utiliza arquitectura con votación.
4.3 Arquitectura 2oo2
Esta arquitectura consiste en dos elementos conectados en serie, por lo tanto, ambos canales son necesarios para ejecutar la función de salida ante una demanda. La figura muestra el RBD para la arquitectura 2oo2; donde, la está dada por:
; (7)
Fig. 6 Arquitectura RBD para un esquema 2oo2
Ejemplo
Esta arquitectura no dispone mejor que la que tiene 1oo1.
4.4 Arquitectura 2oo3
Esta arquitectura consiste en tres elementos conectados en paralelo con un arreglo de votación mayoritario para la salida de la señal, la misma no cambiará si solo un elemento presenta un resultado diferente o en desacuerdo con los otros dos elementos. Sin embargo, en temas de seguridad, para que la función esté disponible, con la falla de un elemento la función puede permitir la activación de la salida de votación pasando a modo de operación degradado, si existiera una segunda falla entonces esta arquitectura no puede ejecutar la función de salida; por lo tanto, no estará disponible la SIF.
La figura 7 y 8 muestran la arquitectura para una votación 2oo3.
Fig. 7 Arquitectura RBD para un esquema 2oo3
Fig. 8 Arquitectura RBD para un esquema 2oo3
; (8)
; (9)
; (10)
Ejemplo
Vemos como la para esta arquitectura es menor que la 1oo2.
5.Conclusiones
Hemos observado como la metodología RBD puede ser aplicada para la determinación cuantitativa de la de los elementos que participan en una SIF; aun cuando se encuentran en configuración de votación.
El modelo de RBD refleja la estructura de confiabilidad del sistema o subsistema en estudio; es intuitivo y relativamente fácil de desarrollar.
Un siguiente paso es abordar el estudio de arquitecturas de votación como 1oo3, 2oo4; y cuando disponen de diagnóstico como 1oo2D, oo3D.
6.Bibliografía
[1]
Guo H., Yang X. “A simple reliability block diagram
method for Safety integrity verification”. Reliability Engineering and
Systems Safety 92 (2007). Elsevier.
[2]
Creus A., “Fiabilidad y Seguridad”, Marcombo Ediciones
técnicas, 2da Edición 2005
[3]
Fernandez I. et al. “Sistemas Instrumentados de
Seguridad y análisis SIL”, ISA Sección España Diaz de Santos. 2012
[4]
Magnetrol. “Understanding Safety Integrity level”
Special application Series.
[5]
IEC 61508. “Functional safety of electrical/electronic/programable
electronic safety-related systems. Part 6. Guideline on the Applications of
IEC-61508-2 and IEC-61508-3.
[6]
IEC 61511. “Functional safety” safety instrumented systems
for process industry sector, Part 1, part 2 and Part 3.
En el último siglo, el sector petrolero ha pasado de ser una industria naciente, en 1850, a ser una de las industrias más grandes del planeta, con picos de 75 millones de barriles diarios producidos. Sin embargo, este crecimiento no ha sido un camino sin tropiezos y la industria ha sufrido accidentes con grandes consecuencias; tales como, los desastres de la plataforma Piper Alpha, la refinería Milford Haven, la plataforma Deepwater Horizon o el terminal de almacenamiento de Buncefield, entre muchos otros, cuyas pérdidas se miden en miles de millones de dólares y/o cientos de vidas humanas.
Cada uno de estos casos ha sido analizado por expertos para obtener la mayor cantidad de lecciones aprendidas y disminuir la probabilidad de que este tipo de eventos vuelva a suceder. De tal manera que, actualmente, vivimos en una época en la cual las industrias, no solamente la petrolera, han ido tomando cada vez más y más conciencia de la importancia de la seguridad de los procesos.
Por lo anterior, los estudios que permiten detectar de manera anticipada los riesgos que pueden llegar a presentarse, han tomado una importancia invaluable como recurso para estimar riesgo, identificar causas y consecuencias de posibles eventos peligrosos asociados a una determinada industria, operación o proceso. Entre estos se destaca, el estudio HAZOP, como una de las técnicas más utilizadas para este fin.
Un estudio HAZOP es un análisis cualitativo (o semi cuantitativo de acuerdo a algunas aproximaciones) y estructurado de un sistema, proceso u operación, llevado a cabo por un equipo multidisciplinario. El grupo de trabajo realiza el análisis utilizando palabras guías, en combinación con los parámetros del sistema, para buscar desviaciones significativas de la intención de diseño. A pesar de ser un estudio sistemático y riguroso, el análisis apunta a ser creativo y abierto, lo que lo hace muy popular en las diversas industrias.
No obstante, el hecho que sea uno de los estudios de riesgos más utilizados no significa que sea sencillo o infalible. Por el contrario, es una técnica que si no es aplicada de manera correcta puede extenderse exageradamente en el tiempo y, aun así, generar resultados que no son óptimos o que no reflejan la realidad del proceso o de los procesos evaluados.
A continuación, se listan los puntos más resaltantes a considerar durante la realización de un HAZOP.
A.Selección de la técnica:
Partiendo desde el origen, la popularidad y versatilidad del HAZOP lo hacen el estudio de riesgos por excelencia; sin embargo, esto no significa que sea un estudio todo terreno. El HAZOP requiere un nivel alto de definición, una ingeniería desarrollada con operaciones y equipos ya establecidos y un cierto nivel de complejidad por parte de los procesos.
Pretender ciegamente utilizar un HAZOP durante una fase de ingeniería conceptual o en una etapa temprana de ingeniería donde aún no han sido definidos detalles primordiales de los equipos, solo generará un HAZOP incompleto del cual surgirán un sinfín de recomendaciones que podrían haberse evitado solo con seguir el desarrollo normal de la ingeniería.
De la misma manera, realizar un HAZOP para un proyecto cuyo objetivo sea realizar pequeñas modificaciones al proceso, tales como incluir un par de válvulas de bloqueo en el sistema, generaría inconvenientes desde la definición de los límites del estudio hasta la subutilización del recurso. Este tipo de modificaciones pueden ser cómodamente manejadas mediante la aplicación de técnicas más sencillas como el estudio What If.
B.El grupo de trabajo:
Una de las características de éste y otros estudios de riesgos es que para su desarrollo debe contarse con un grupo de trabajo multidisciplinario con alto nivel técnico y conocimiento en el área (con personal de operaciones como participante estrella), esto tiene como ventaja el darle un enfoque global y completo al análisis, permitiendo que los resultados tengan un alto nivel de credibilidad. En la práctica, este punto puede presentar ciertas desviaciones, el personal que asiste puede no tener las competencias técnicas requeridas para evaluar el sistema o simplemente asiste al estudio sin conocimiento previo del proyecto. Otro punto importante es que el facilitador sea competente para aplicar la técnica correctamente sin dejar cabos sueltos y mantener bajo control a los participantes y garantizar la eficiencia en el desarrollo de la actividad.
Es recomendado garantizar que todo el personal que forme parte del estudio tenga las competencias requeridas, lo que hace necesario una gestión de competencias por parte de quien esta a cargo del estudio.
C.Límites del estudio:
Durante el desarrollo de un HAZOP se deben establecer de manera precisa los límites del estudio. En ocasiones, es sencillo perder de vista este límite y cruzarlo, llegando al punto de verificar puntos que están fuera del alcance del proyecto, lo que genera un gasto innecesario de recursos, principalmente el tiempo de todos los participantes.
Este “vicio” puede ser evitado de manera sencilla, garantizando que el alcance del estudio se explique a los miembros del grupo de estudio al iniciar las sesiones.
D.Subestimar o sobreestimar el riesgo:
La practicidad y facilidad de aplicación de la técnica permite trabajar en una serie de rangos para los valores de frecuencia y severidad, permitiendo que estimar el riesgo para cada escenario peligroso sea una actividad relativamente sencilla. Sin embargo, esta aproximación puede ser un arma de doble filo, puesto que depende en gran manera de la experticia del grupo de trabajo.
Un grupo de trabajo “pesimista” tendrá tendencia a reflejar riesgos más altos de los que realmente existen, generando costos adicionales para mitigar riesgos sobreestimados; mientras que, uno “optimista” tendría tendencia a minimizar el riesgo dejando una brecha sin cubrir.
Este punto puede minimizarse garantizando la experiencia y competencias del facilitador y los asistentes en el tipo de sistemas u operaciones que son objeto de estudio del taller HAZOP.
La consistencia de criterios es fundamental durante el análisis y puede ser reforzada haciendo uso de procedimientos claros con información de soporte suficientemente aceptada (tablas de frecuencias esperada para un evento iniciador típico, por ejemplo).
E.Sobreestimar o definir incorrectamente las salvaguardas:
Por regla general, en un HAZOP se deben listar las salvaguardas disponibles y permite identificar las salvaguardas que puedan ser requeridas en función al nivel de riesgo estimado.
La regla de oro en este punto es no incluir el efecto de las salvaguardas sobre el riesgo. Incluir intuitivamente la disminución del riesgo creará la posibilidad de un doble conteo de efecto de las mismas. Por ejemplo, decir que el riesgo de sobrepresión en un recipiente es bajo puesto que existen válvulas PSV, esto priva al grupo de trabajo de estimar adecuadamente las consecuencias de ese evento.
F.Querer replicar un estudio anterior:
Al realizar un estudio HAZOP es común escuchar cosas como, “este estudio es sencillo, esta planta es idéntica a nuestra planta o existente”; u otros más “atrevidos” como, “¿por qué debo hacerle un estudio a esta planta ubicada en X lugar, si es un espejo de nuestra planta en Z lugar?” No obstante, se debe tener presente, que ninguna planta es igual a otra, siempre existirán diferencias, incluso aunque sean diseñadas a modo de espejo.
Un caso puntual, siguiendo el mismo ejemplo sería construir una planta en Rusia basada en una planta existente en Venezuela. Los riegos asociados a temperaturas bajo cero y su afectación en las instalaciones son inexistentes en Venezuela, pero son el pan de cada día en Rusia. Si a lo anterior le sumamos el hecho que cada equipo de trabajo es único se puede establecer el principio de que “ningún HAZOP es igual a otro”.
G.Falta de evaluación de nodos “no tradicionales”:
En los últimos cambios en las normativas, se han incluido una serie de consideraciones para nuevos nodos “no tradicionales”, como lo son la seguridad física y cyber seguridad; esto con la finalidad de adaptarse a los tiempos cambiantes donde se han presentado casos de hackeos en redes de seguridad de planta o incluso protesta, vandalismo o sabotaje en áreas de procesos. Sin embargo, no todos los estudios actuales consideran este tipo de nodos; por lo que, los riesgos asociados a esto suelen pasarse por alto.
Para finalizar, se pueden mencionar algunas recomendaciones generales que pueden ser de utilidad al momento de realizar este tipo de análisis:
No usar el HAZOP como método infalible para todo proyecto.
Validar que el personal a desarrollar el HAZOP cumpla con el perfil requerido (experiencia y conocimiento).
Mantener el control del grupo del estudio y evitar que divaguen.
Definir desde el principio y de manera precisa el límite de batería del estudio.
Tener extremo cuidado en el trato de las salvaguardas.
Recordar que no existen dos estudios de riesgo iguales.
Considerar la evaluación de nodos de seguridad física y cyber seguridad.
Estos son solo algunos de los puntos que suelen afectar el resultado de un HAZOP, otros podrán identificarse con el tiempo y la experiencia adquirida mediante la práctica, pero si mantienes estos puntos en mente podrá, no solo sobrevivir a un HAZOP, sino realizar un estudio de calidad.
Luis Aular
FSEng TÜV SÜD TP18051529 Functional Safety Specialist with Distinction (Risknowlogy)
En seguridad funcional, como parte del programa de integridad mecánica, se deben establecer los lineamientos, responsabilidades y actividades que permitan evaluar, registrar, comunicar e implementar todos los cambios temporales o permanentes asociados a los Sistemas Instrumentados de Seguridad (SIS).
Dicho esto, una vez implementado el SIS y estando ya en operación, pueden presentarse infinidad de factores por los cuales se requiera una modificación del mismo. Los motivos pueden ir desde un diseño inadecuado (que comprometa la confiabilidad del SIS), la ampliación de un sistema que altere las condiciones iniciales hasta la migración a nuevas tecnologías para incrementar la producción, entre otros.
La pregunta es: ¿Cómo podemos asegurarnos de que cualquier modificación a un SIS, sea debidamente planificada, revisada y aprobada previa a la ejecución y que, aun así, se mantenga la integridad de la seguridad?
La respuesta es: Gestionando los cambios.
Debemos asegurarnos de gestionar todas las modificaciones, provenientes de solicitudes como, por ejemplo:
Incorporación de nuevos equipos o de nuevas SIF al SIS.
Cambios de funcionamiento de la SIF.
Eliminación o desmantelamiento de una SIF.
Modificaciones para corregir fallos sistemáticos.
Modificaciones para mejorar la confiabilidad de los procesos.
Actualizaciones o cambios de software embebido o de aplicación.
Modificaciones provenientes de cambios en la tasa de demanda del SIS.
Modificaciones a procedimientos operacionales.
Cambios de marca o modelo de los equipos del SIS.
Cambios en los requisitos de integridad para la SIF.
Modificaciones para corregir errores de software o firmware.
Y cualquier otro que impacte la seguridad de la instalación como se menciona en párrafos anteriores.
Haciendo referencia a los requisitos de la norma IEC61511 (cláusula 16), para llevar a cabo una modificación o cambio debe existir un procedimiento que indique como iniciar, planificar, documentar, revisar y aprobar un cambio a un SIS y considerar previamente:
Procedimientos que incluyan un método para identificar el trabajo a realizar y los peligros que pudieran presentarse.
Justificación o necesidad del cambio propuesto.
El impacto sobre la seguridad y salud de las personas e instalaciones.
El posible impacto en otras funciones de seguridad.
El tiempo durante el cual permanecerá el cambio (en caso de que sea temporal).
El personal responsable de autorizar el cambio (no debe comenzar la modificación sin la debida autorización).
El personal que debe ser notificado o capacitado para dicho cambio.
El impacto en los procedimientos operacionales existentes.
Disponibilidad de espacio de memoria y procesamiento en el sistema.
Efectos del tiempo de respuesta del SIS.
El impacto en la confiabilidad del sistema.
Control de la documentación de todas las modificaciones realizadas al SIS.
La revisión de la propuesta de cambio debe ser realizada por personal competente. Así mismo, el personal que será afectado por el cambio debe ser debidamente informado y capacitado antes de su implementación.
Es necesario revisar qué fase del Ciclo de Vida del SIS se ve afectada con el cambio y verificar que los procedimientos y la documentación afectada sea actualizada, preservando un registro de las versiones anteriores. Finalmente, antes de poner en marcha las instalaciones, se debe verificar y validar cada SIF afectada.
Como vemos, al disponer de un sistema de gestión para el manejo de los cambios en el SIS es que podemos garantizar:
Que se realice un análisis completo y apropiado antes de la implementación del cambio.
Que no se afecta la reducción de riesgo proporcionada por las SIF.
Que se obtiene la aprobación de las partes afectadas.
Que la documentación está completa y es consistente con la aplicación en campo.
Que el riesgo de la instalación no se ve afectado negativamente.
En conclusión, todo se trata de la necesidad de proteger y salvaguardar adecuadamente la integridad de la seguridad de nuestros Sistemas Instrumentados siguiendo procedimientos para un control documental apropiado, es decir, gestionar el cambio.
En poco más de cien años, el aprovechamiento de la energía eléctrica pasó de ser un mero entretenimiento de ferias a una industria omnipresente en todo el quehacer humano, desplazando en un corto lapso de tiempo a otras tecnologías como la iluminación con fuego y la
motorización industrial con el vapor, al mismo tiempo que daba origen a una nueva revolución en cada aspecto de la vida moderna.
La potencia eléctrica se elabora en una planta que conecta en línea a la fuente de materia prima con el consumidor final, porque este debe ser confeccionado a demanda y en tiempo real. La planta tiene una dieta muy variada, principalmente combustibles fósiles y nucleares, caudales de agua y, en menor grado, el viento y la radiación solar pero también transforma calor geotermal y subproductos de otras industrias. En su infraestructura existen calderas, tanques de almacenamiento, estaciones de bombeo y ductos, pero el grueso del equipamiento lo constituyen generadores eléctricos, subestaciones y kilómetros de líneas eléctricas.
El control básico está distribuido por toda la red y combina automatización con intervención de operadores humanos. Cuando alguna variable rebasa los límites de diseño, se activa, de forma autónoma, el sistema de protecciones con un diseño diverso y redundante. Su lógica operacional debe resolver de forma eficiente el dilema de continuidad versus seguridad en tiempos de seguridad de proceso, que pueden ser tan breves como milésimas
de segundos.
La relación tan intrincada que guarda esta industria con la sociedad la sitúa en un espectro de riesgos multifactoriales (1). Se han identificado riesgos comunes con la industria de procesos que afectan a personas, medio ambiente y activos, pero la visión se amplía a otras situaciones contraproducentes como el riesgo de penalización por suministro deficiente, daños a la imagen corporativa, riesgos de vulnerabilidad que merman la respuesta operacional frente ataques o eventos improbables y riesgos originados en cambios regulatorios que inviabilicen la actividad económica. Si se revisa la posibilidad de ser, además, un servicio público, los riesgos se incrementan de forma exponencial.
Es muy común que la actividad se desarrolle mediante concesión exclusiva; por lo cual, el estado otorgante establece rigurosamente los parámetros técnicos y económicos. Como ejemplo, en el Reino Unido el regulador energético OFGEN sugiere a las empresas seguir la recomendación PAS 55 del Instituto Británico de Estándares (2) con la intención de tratar los riesgos de la actividad con igual importancia que la gestión de los activos, la mejora del desempeño y el control de los costos en el ciclo de vida. Cualquier organismo regulador estaría en mejor disposición de aprobar incrementos tarifarios a compañías eléctricas que demuestren inversión de recursos en detectar y prevenir factores de riesgo que amenacen la calidad de la energía.
La gran necesidad de métodos prácticos para adquirir conocimiento sobre el manejo de los riesgos en sistemas eléctricos hizo foco de interés en la experticia ganada desde los años 60 por la industria química y de procesos con la técnica Hazop. Se desarrollaron variantes como el E-Hazop o Electrical Hazop (3), el SAFOP (Safety and Operability Analysis), el ESR (Electrical Safety Review) que tienen como fin común, identificar los peligros de mayor importancia derivados del fluido eléctrico y de la actividad operacional.
La técnica en la práctica.
El E-Hazop requiere como insumo de entrada la información descriptiva de la red de suministro eléctrico (disposición de equipos, topografía de líneas eléctricas, diagramas unifilares, esquema de protecciones, etc.), datos operacionales (indicadores de servicio, parámetros en condiciones normales y emergencia, perfiles de tensiones, despacho de carga, planes de contingencias, etc.) y regulaciones de obligatorio cumplimiento (normas de salud laboral y protección ambiental, normas del servicio, etc.). Se agrupan expertos de las especialidades de operación, mantenimiento y construcción pero, según los peligros a estudiar, también pudiera ampliarse a otras áreas como seguridad laboral, informática y comunicaciones. Un líder dinamiza la discusión para un máximo provecho de recursos y un secretario controla la calidad de la información en movimiento. Se divide la red eléctrica en partes más pequeñas o nodos considerando criterios como la función (producción, transmisión o distribución) o el nivel de voltaje (alta, media o baja tensión). El grupo de expertos identifica los peligros de mayor relevancia en cada nodo combinando una Variable presente en esa parte del sistema con una Palabra Clave que califique su desviación de los límites normales. Corriente, voltaje, frecuencia y ángulo de fase son las variables principales en los elementos que canalizan la electricidad, pero también se deben incorporar variables de presión, flujo, temperatura, nivel y tiempo porque en la red eléctrica existe equipo con accionamiento neumático, almacenamiento y bombeo de combustibles, circulación de fluidos refrigerantes y aislantes, confinamiento en gas SF6 y otros sistemas auxiliares que operan bajo principios mecánicos. Identificadas las desviaciones, se procede a describir posibles causas, consecuencias, probabilidad de ocurrencia, medidas de prevención y/o mitigación y recomendaciones a implantar.
El tratamiento cualitativo del E-Hazop se adapta perfectamente al análisis de riesgos en ciertas partes del sistema eléctrico en donde es muy difícil utilizar números para describir el fenómeno por las características eminentemente aleatorias de los eventos iniciadores o por la carencia de datos confiables. Este es el caso de los daños originados por la naturaleza como terremotos, inundaciones, tormentas y fenómenos de estudio reciente como las tormentas solares. Otra de las fuentes de peligros que se comportan con frecuencias y severidades impredecibles es la participación del ser humano en daños a la integridad física de los equipos, hackeo, protestas, inclusive cambios económicos y regulatorios adversos.
El E-Hazop es una excelente alternativa para hacer una exploración acuciosa del comportamiento de la red eléctrica ante amenazas identificables por los equipos multidisciplinarios que la operan. En términos de disponibilidad de data, complejidad de la técnica y la precisión de los resultados se encuentra en un punto intermedio entre las metodologías más simples como el Análisis de Riesgos Mayores o Sesiones de Brainstorming y las técnicas más complejas como el FTA, ETA, Análisis de Confiabilidad, Redes Bayesianas o Análisis de Benchmarking (4). Comparte similitudes con otras técnicas como las Matrices de Riesgos y el Análisis de Seguridad en el Puesto de Trabajo.
Dado que no existe un método libre de imperfecciones y que reúna en una sola técnica a todas las ventajas se suele emplear variaciones del E-Hazop. Ejemplo de esto es el SAFOP, desarrollado para los sistemas eléctricos que operan como servicios adicionales dentro de instalaciones petroleras. Se compone de tres estudios que tratan peligros diferentes (5): la afectación a personas se determina mediante el SAFAN (Safety Analysis), el desempeño de la red eléctrica se evalúa con el SYSOP (System Security and Operability Analysis) y, por último, la efectividad de los procedimientos operacionales y el factor humano se estudia con el OPTAN (Operator Task Analysis).
El análisis SAFAN se asemeja mucho al Checklist, puesto que el grupo de expertos se apoya en una lista pre-elaborada de Peligros Clave construidos al combinar un Identificador para referirse al origen del daño y una Alerta para describir su mecanismo de actuación. Con la lista en mano, el grupo de expertos procede a identificar los Peligros Clave en cada sección de la red que, a su juicio, sean una amenaza relevante para las personas. Deben justificar su respuesta redactando la Situación de Exposición, que no es más que un texto que describe las condiciones y equipos que pueden materializar un daño en las personas. Es válido que se identifique más de un Peligro Clave y más de una Situación de Exposición en un único nodo. Para cada caso, se emiten recomendaciones de prevención y/o mitigación. Es lógico pensar que el nivel de riesgo variará con el grado de responsabilidad que tiene la persona con la red eléctrica y es por este motivo que el análisis se realiza por grupos homogéneos de individuos como, por ejemplo, operadores del sistema, usuarios finales del servicio, moradores o transeúntes en las cercanías de la red, etc. El resultado del análisis SAFAN va a tener efecto en los criterios de diseño, en las normativas de seguridad personal, la redacción de manuales operacionales, etc.
El análisis SYSOP también emplea una combinación de un Indicador más una Alerta, para buscar desviaciones que incidan negativamente en la seguridad del servicio, tal cual un Hazop detecta anormalidades que afectan la continuidad o integridad de un proceso. La primera tarea del grupo de análisis es dividir el diagrama del sistema eléctrico en Subsistemas más sencillos usando un criterio que permita fraccionar la red en unidades integrales pero fáciles de diagnosticar. Se describe la intención de diseño del Subsistema indicando parámetros de operación normales y condiciones seguras que deben estar presentes. Se identifican sus Componentes (transformadores, SCADA, interruptores, seccionadores, relés, servicios auxiliares, etc.). El grupo de expertos hará un barrido de todas las desviaciones en cada componente. Por ejemplo, “No Abre”, “No Cierra”, “No Refrigera”, “Vibra”, etc., son desviaciones que afectan a Componentes de control, señalización o conducción de la energía eléctrica. Pero “Cortocircuito”, “Falla a Tierra”, “Sobrecarga” en Componentes de protección tendrán trato diferenciado porque son las desviaciones más severas que inhabilitan la última capa de protección con que cuenta el sistema eléctrico. Se completa el análisis con una explicación de las causas de la desviación, consecuencias y posibles medidas de corrección. Es normal que deba repetirse el análisis de un Subsistema ya estudiado individualmente, porque el grupo de trabajo detectó que este interactúa con otro diferente produciendo un efecto combinado y, por ello, una desviación no considerada. El SYSOP producirá eventuales cambios en el diseño de la red, en el esquema de protecciones, obras de mejoramiento, actualización de procedimientos de operación o mantenimiento, etc.
El estudio OPTAN, generalmente, se inicia luego que el SAFAN y el SYSOP han aportado conocimientos de los peligros potenciales, dando al proyecto la oportunidad de perfilar los primeros procedimientos de maniobra de la instalación eléctrica. Con este análisis el grupo de trabajo detectará si los operadores, siguiendo las instrucciones escritas, actuarán con la mínima posibilidad de error en una red eléctrica bajo condiciones normales o transitorias. Para cada puesto de trabajo en sala de control o en campo se aplica una lista de preguntas construidas previamente mediante la combinatoria del Deber del puesto (tarea de rutina, maniobra y acción de emergencia), la Actividad indicada en el manual (monitoreo, decisión o acción), una Alerta de desempeño del operador (entrenamiento, conocimiento, autoridad, información) y el Componente que se opera o Secuencia de Operaciones a seguir. Como ejemplo, al combinar acción de emergencia + decisión + entrenamiento + interruptor a un operador de campo induce a formular la pregunta: ¿El operador tiene el entrenamiento para validar las condiciones adecuadas antes de accionar el interruptor de salida con el mando local (abrir, cerrar, leer señales, consignación)? Los posibles resultados a todas las preguntas son “Si”, “No” o “Depende de” acompañado de una argumentación. En los casos “Si”, el estudio finaliza favorablemente; con resultado “No”, se debe generar una recomendación de mejora; mientras que, el resultado de los casos “Depende de”, va en relación ese condicionante.
Un aprendizaje con excelentes beneficios.
Si bien estas técnicas derivadas del Hazop se adaptan especialmente al manejo de la mantenibilidad y operabilidad de instalaciones de producción y distribución de energía eléctrica en plena explotación, todos los métodos mencionados pueden aplicarse en cualquier etapa del ciclo de vida. Por ejemplo, en el diseño conceptual ya existe información suficiente para un SAFAN o SYSOP preliminar, aunque no sea practicable un OPTAN por la falta procedimientos de operación en fases tan tempranas.
En la fase de ingeniería de detalle, se pueden volver a realizar el SAFAN y el SYSOP para determinar con mejor certeza si las recomendaciones tienen los efectos positivos en la seguridad del proyecto. Con el diseño definitivo de la red terminado y con los manuales de seguridad y operación de los equipos seleccionados ya puede acometerse el estudio OPTAN para modelar procedimientos de operación, sumando ese conocimiento a los criterios de diseño tradicionales como la experiencia y las normativas.
El E-Hazop es de gran valor para la investigación de problemas rutinarios y desconocidos en sistemas eléctricos porque ofrece un vínculo de integración entre disciplinas que son claves, como análisis financiero, tarifación, diseño de redes, construcción, operación, mantenimiento, seguridad laboral, etc., que tradicionalmente se limitan al intercambio de datos estáticos cuando la realidad del mercado exige toma de decisiones basadas en datos muy cambiantes.
Para el E-Hazop se abren interesantes posibilidades de aplicación en el análisis de riesgos que enfrentarán los distribuidores de energía eléctrica en el futuro inmediato, como es la adaptación de las redes para acoger a la creciente movilidad eléctrica o la evaluación de la eficacia de las fuentes alternativas de energía.
“La forma más elevada de inteligencia consiste en pensar de manera creativa”
1-Sand, K., Gjerde, O. & Nordgård, D. E. (2007). Current risk exposure in the distribution sector. Initial study. Trondheim, SINTEF Energy Research
2-Nordgård, D. E et al (2010). Risk Assessment Methods Applied to Electricity Distribution System Asset Management. SINTEF Energy Research and Norwegian University of Science and Technology.
3-Lourido, Lisardo. Aplicación del Método HAZOP para Análisis de Riesgos en Instalaciones Eléctricas Industriales.
4-Aven, T. (2008). Risk Analysis. Assessing Uncertainties Beyond Expected Values and Probabilities. Chichester, Wiley.
5-Geldof, C.W. et al (2001). The Shell Petroleum Development Company of Nigeria. Safety And Operability Studies On electrical Power Systems.
En la industria del petróleo, gas y petroquímica se almacenan y procesan materiales peligrosos que tienen el potencial de causar daños severos a las personas, a los activos e incluso al medio ambiente circundante, producto de la pérdida de contención de los mismos. Esa pérdida de contención puede suceder, incluso en condiciones de funcionamiento normal de la planta, debido a la corrosión, erosión, fugas en empacaduras, sellos y bridas. Por muy bien diseñadas que estén las instalaciones, siempre habrá un riesgo residual que obliga a utilizar todos los medios posibles para prevenir, o en su defecto mitigar, cualquier incidente que pueda derivar en un incendio o explosión.
Para hacer frente a lo anterior, se deben diseñar medios o capas de protección que permitan atenuar las consecuencias de un evento peligroso (pérdida de contención de material tóxico o inflamable). Una de las capas de protección utilizadas en la industria de procesos son los Sistemas – Instrumentados – de Detección de Fuego y Gas (SFG), que son sistemas conformados (pero no limitados) por un controlador y por dispositivos de detección y dispositivos de notificación (visual y audible), estratégicamente ubicados a lo largo de la planta, que tienen como objetivo, dar la advertencia más temprana posible ante un evento por fuga de gases, fuego; inclusive, humo y calor radiante, que podrían tener consecuencias catastróficas si no son atendidos de manera oportuna.
¿Enfoque prescriptivo o basado en desempeño?
En el contexto de la seguridad contra incendio, el enfoque prescriptivo se fundamenta en el cumplimiento de normas de organismos bien reconocidos como NFPA (National Fire Protection Association) o API (American Petroleum Institute), entre otros, y de las buenas prácticas de la industria que establecen los requerimientos mínimos para el diseño de los sistemas de protección contra incendio. Cuando se diseña bajo este enfoque, no se requiere la evaluación de la capacidad de reducción de riesgo del SFG, es relativamente fácil de utilizar y, en teoría, siguiendo sus lineamientos, el usuario final obtendrá un grado de reducción de riesgo mientras “cumple con la norma”, a través de un diseño estandarizado, pero que no necesariamente se adapta a cada caso particular.
En el enfoque basado en desempeño, se trabaja en función de objetivos (metas de seguridad) en lugar de reglas preestablecidas, identificando los peligros del proceso y determinando la magnitud de cada riesgo, para después diseñar un SFG con el desempeño necesario según cada caso.
La elección del enfoque a implementar para el diseño del SFG es decisión del usuario final.
Para el diseño particular del SFG se recomienda el reporte técnico de ISA TR84.00.07-2018 (Guidance on the Evaluation of Fire, Combustible Gas, and Toxic Gas System Effectiveness), cuyo propósito es suministrar una guía para evaluar la efectividad de las funciones del SFG. Este reporte técnico considera tres aspectos básicos para evaluar la efectividad de un SFG:
a) Cobertura de detección: probabilidad que tiene el SFG de detectar el peligro, dada la disposición del detector y el arreglo de votación elegido. Es importante detectar la condición peligrosa en su etapa incipiente, una falla en la detección conlleva a eventos de mayor magnitud. En los SFG la detección es la columna vertebral y, en ocasiones, su talón de Aquiles.
b) Disponibilidad de seguridad: probabilidad de que el SFG se active ante la detección de un peligro. Una falla de la función del SFG para actuar bajo una demanda resultaría en un agravamiento de las consecuencias. La Disponibilidad de Seguridad (SA) del SFG está dada por
Donde la PFDavg es la perteneciente a los elementos que conforman una función instrumentada del SFG.
c) Efectividad de mitigación: probabilidad que tiene el SFG para reducir (o mitigar) la gravedad de las consecuencias a niveles aceptables. Evita, por ejemplo, que una pequeña fuga de gas se convierta en una gran acumulación de gas con consecuencias catastróficas.
Aun cuando el reporte técnico ISA TR84.00.07-2018 es de carácter informativo y no contiene ningún requisito obligatorio, establece un marco de trabajo, como el de la figura, que ayuda al ingeniero de diseño en el análisis de los peligros y riesgos, a proponer un diseño de SFG y luego verificar si el diseño cumple con las metas de desempeño establecidas para el proyecto.
Fuente: ISA-TR84.00.07-2018
Proceso de diseño de un SFG basado en desempeño
Antes de comenzar el diseño del SFG, se requiere desarrollar una filosofía de detección de fuego y gas durante la etapa de planificación. Esta filosofía es la base que describe los objetivos generales (es fundamental definir los objetivos antes de comenzar) para la detección y mitigación de riesgos, y debe ser coherente con los criterios de aceptación de riesgos del usuario final. La filosofía debería incluir los criterios para la identificación de peligros, el procedimiento para la definición de las zonas peligrosas y su extensión, el procedimiento para establecer las metas de desempeño y los procedimientos y herramientas para evaluar si las metas de desempeño han sido alcanzadas.
Teniendo como entradas la filosofía de fuego y gas, los diagramas de flujo de procesos (PFD), los diagramas de tuberías e instrumentos (DTIs), los planos de planta (plot plan), entre otros insumos, se procede a evaluar los peligros y riesgos de fuego y de fugas de gases (combustibles y tóxicos). Para la evaluación de los peligros y riesgos típicamente se aplican dos enfoques: 1) Enfoque cuantitativo: que utiliza una cuantificación detallada del peligro y el riesgo. 2) Enfoque semi-cuantitativo: que utiliza tablas para categorizar parámetros de riesgo y así establecer las metas de desempeño a alcanzar. En esta fase se identifican las áreas de la planta que requieren atención, se realiza la identificación de los escenarios peligrosos (esto incluye analizar los principales equipos de procesos, como tanques, bombas, compresores, separadores, etc.) y se establecen las metas de desempeño con respecto a esos escenarios peligrosos. Además, se analiza la severidad de las consecuencias (de manera cuantitativa y/o semi-cuantitativa, según decida el usuario final) y se analiza la frecuencia (por ejemplo, utilizando tasas de fallas de la industria) con la que se podrían presentar los escenarios peligrosos. Finalmente, se evalúa el riesgo asumiendo que el SFG no está disponible (para saber si el riesgo no mitigado es tolerado por el usuario final).
Después de haber evaluado el riesgo, haber identificado los principales equipos de procesos y considerado la severidad de las consecuencias de los peligros no mitigados, se procede a especificar los requisitos de desempeño del SFG. Las metas de desempeño del SFG deben ser coherentes con la filosofía del usuario final en términos de la detección y mitigación de los peligros; las mismas deben seleccionarse de manera que la función instrumentada del SFG pueda lograr la meta de reducción de riesgo requerida. En esta fase también se realiza la propuesta de diseño del SFG (tomando en cuenta los peligros identificados y el riesgo cuantificado), se establecen los requerimientos generales y especificaciones funcionales del SFG, se ubican los detectores de acuerdo a normas aplicables, prácticas de la industria, y del buen criterio del ingeniero de diseño.
Una vez generados los planos con las ubicaciones preliminares de los detectores y el diseño conceptual del SFG, se procede a verificar el desempeño de la propuesta. Se verifica la cobertura de los detectores; esto se realiza, generalmente, utilizando software de modelado en 3D (mapping), y de Dinámica Computacional de Fluidos (CFD). Se verifica la disponibilidad de seguridad, calculando la probabilidad de falla bajo demanda (PFD) de cada función del SFG. Se verifica la efectividad de las acciones de mitigación del SFG, cuyo método de verificación dependerá del tipo de acción que se tenga previsto tomar (ejemplo, evacuación del personal, supresión de incendio, aislamiento y despresurización del proceso, etc.)
Por último, se determina la efectividad del SFG (riesgo mitigado), comparando la efectividad de las funciones del FGS contra las metas de desempeño; si las metas fueron alcanzadas entonces el diseño propuesto es aceptable y la reducción de riesgo ha sido lograda, si no, el diseño conceptual debe ser revisado y modificado.
En conclusión, el diseño de Sistemas de Detección de Fuego y Gas basados en desempeño, permite cuantificar la efectividad y la reducción de riesgo asociada a las funciones instrumentadas del SFG, en forma sistemática y trazable a los riesgos analizados, lo que permite mantenerlo actualizado en función de los cambios que sufre la instalación en su vida útil. Además, el enfoque basado en desempeño se puede complementar con las normas y practicas prescriptivas para lograr un diseño de SFG óptimo y eficiente, adaptado a las particularidades de cada escenario.
“Si lo que haces no funciona, no creas que eres incapaz, simplemente prueba a hacer algo diferente y observa lo que ocurre”
