Con la intención de continuar con las publicaciones de los factores que intervienen durante el Desarrollo de un Escenario Peligroso, tales como: las Condiciones Habilitadoras y los Modificadores Condicionantes, en esta ocasión hablaré sobre las Capas de Protección (ver figura 1).
Figura 1. Desarrollo de un Escenario Peligroso
Como su nombre lo indica, una capa de protección representa una defensa del proceso o de la instalación que tiene como objetivo evitar que los Escenarios Peligrosos resulten en impactos sobre el personal, el ambiente o los activos.
El Center for Chemical Process Safety (CCPS, 2014) clasifica a las capas de protección de la siguiente manera:
- Según su funcionamiento:
- Activas: Implican una acción o un cambio de estado (abierto / cerrado) en respuesta a una desviación de las condiciones normales de proceso. Por ejemplo:
- Alarma con acción del operador asociada.
- Lazo de control.
- Función instrumentada de seguridad.
- Activas: Implican una acción o un cambio de estado (abierto / cerrado) en respuesta a una desviación de las condiciones normales de proceso. Por ejemplo:
-
- Pasivas: No involucran una acción, pueden lograr cumplir su función si son diseñadas, construidas, instaladas y mantenidas en forma correcta. Por ejemplo:
- Diques de contención.
- Facilidades construidas a prueba de explosión y fuego.
- Arresta llama.
- Pasivas: No involucran una acción, pueden lograr cumplir su función si son diseñadas, construidas, instaladas y mantenidas en forma correcta. Por ejemplo:
- Según su ubicación en el desarrollo del escenario peligroso:
- Preventivas: Detienen el desarrollo del escenario peligroso antes de que alcance el evento tope (ver figura 2). Entre las más comunes se encuentran:
- Sistema Básico de Control de Procesos.
- Sistemas de Alarmas.
- Sistemas Instrumentados de Seguridad.
- Preventivas: Detienen el desarrollo del escenario peligroso antes de que alcance el evento tope (ver figura 2). Entre las más comunes se encuentran:
Figura 2. Capas de Protección Preventivas
-
- De mitigación: Reducen la consecuencia de un escenario peligroso tope (ver figura 3). Entre las más
comunes se encuentran:- Sistemas de Detección de Gas y Fuego.
- Sistemas de Contención.
- Sistemas de Extinción de Fuego.
- De mitigación: Reducen la consecuencia de un escenario peligroso tope (ver figura 3). Entre las más
Figura 3. Capas de Protección de Mitigación
Lo importante de una capa de protección no es su clasificación, sino que pueda ser acreditada como Capa de Protección Independiente (IPL: Independent Protection Layer).
La International Electrotechnical Commission (IEC, 2016) define una IPL como cualquier mecanismo que reduce el riesgo mediante control, prevención o mitigación. Este mecanismo puede tratarse de un solo dispositivo, un sistema o una acción del operador.
La principal diferencia entre cualquier protección del proceso y una IPL, es que esta última es acreditada para reducir una brecha de riesgo determinada, siempre y cuando cumpla con los siguientes criterios exigidos por IEC (IEC, 2016):
- Reduce el riesgo del escenario peligroso, al menos en 10 veces.
- Proporciona un alto grado de disponibilidad (0,9 o superior).
- Cumple con las siguientes características:
- Especificidad: Es diseñada únicamente para prevenir la ocurrencia o mitigar las consecuencias de un escenario peligroso.
- Independencia: Es independiente de las otras capas de protección asociadas con el escenario.
- Confiabilidad: Se puede contar con la IPL para que realice la acción para la que fue diseñada.
- Auditabilidad: Está diseñada para facilitar la validación regular de las funciones de protección. Solo aquellas capas de protección que cumplen con las pruebas de disponibilidad, especificidad, independencia, confiabilidad y auditabilidad se clasifican como IPL.
Por su parte, el Center for Chemical Process Safety (CCPS, 2014) establece las siguientes características:
- Independencia: El rendimiento de la IPL no es afectado por el evento iniciador ni por el fallo de otra IPL.
- Funcionalidad: Previene o mitiga las consecuencias de un escenario.
- Integridad: Es capaz de reducir una brecha de riesgo determinada.
- Credibilidad: Opera de la manera correcta, en el tiempo correcto.
- Auditabilidad: Se revisan los procedimientos, registros, evaluaciones, validaciones y otra información asociada a la IPL para garantizar que el diseño, las pruebas, el mantenimiento y la operación continúen cumpliendo con las expectativas.
- Accesibilidad segura: Se implementan controles físicos y / o administrativos para reducir la posibilidad de cambios no autorizados en el sistema que puedan afectar la IPL.
- Documentada: Se emplea un proceso formal de manejo del cambio para revisar, aprobar y registrar los cambios en los procedimientos, materiales, procesos, equipos o instalaciones.
Aunque IEC y CCPS difieran en el número de características y en los términos usados, en esencia, se busca que toda IPL sea:
- Específica.
- Independiente.
- Efectiva (efectividad / funcionabilidad).
- Confiable (confiabilidad e integridad).
- Auditable.
- Restringida a un acceso seguro.
- Documentada (incluyendo el manejo del cambio).
Posterior a la acreditación de una IPL, debe mantenerse un sistema de gestión adecuado que garantice que la reducción de riesgo a cargo de la IPL se mantenga en el tiempo, como se explica en Trabajando en Seguridad Funcional: La importancia de gestionar las Capas de Protección Independientes.
Sin embargo, se debe tener en cuenta que, a pesar de los esfuerzos por garantizar la acreditación de una IPL a lo largo de la vida útil de la instalación, ellas igual pueden fallar; sobre todo cuando son IPL instrumentadas. Por esto, es beneficioso tanto para el diseño como para la operación y el mantenimiento del proceso que, en la medida de lo posible, se traten los riesgos mediante un diseño intrínsecamente seguro.
Además, los casos en los que se requieren muchas IPL para cubrir una brecha de riesgo, pueden ser una señal de vulnerabilidades en el diseño del proceso; por lo cual, es valioso tener la destreza de identificar cuándo se trata de procesos típicamente asociados a riesgos altos, y cuándo se trata de un diseño débil en el que se intenta cubrir el riesgo con la adición de IPL.
Referencias
- Center for Chemical Process Safety (2014). Guidelines for Enabling Conditions and Conditional Modifiers in Layer of Protection Analysis. New Jersey, United States of America: Wiley.
- International Electrotechnical Commission. (2016). Functional safety – Safety instrumented systems for the process industry sector – Part 1: Framework, definitions, system, hardware and application programming requirements. (IEC Standard No.61511). Geneva, Switzerland.