Capas de Protección

Las Capas de Seguridad, no sólo es una cuestión de superhéroes

Asignación del SIL / /
En el mundo de la seguridad de los procesos existe una gran variedad de literatura indicando mejores prácticas (experiencias para el desarrollo y diseño de proyectos) y definiciones de términos para lograr que los procesos obtengan un nivel de conformidad respecto a la seguridad funcional. Uno de los temas importantes en la gestión de la seguridad funcional, para el desarrollo de un sistema de seguridad, es la definición de las Capas de Protección y su capacidad de disminuir el riesgo. No basta con tomar un elemento, equipo, sistema o procedimiento y designarlo como una capa, esto no le da el superpoder de la protección.
Por definición, las Capas de Protección son: “Cualquier mecanismo independiente que reduzca el riesgo por control, prevención o mitigación. Puede ser un mecanismo de ingeniería de procesos, tales como el tamaño de los recipientes que contienen químicos peligrosos, un mecanismo mecánico como una válvula de alivio, un SIS (Sistema Instrumentado de Seguridad) o un procedimiento administrativo como un plan de emergencia contra un peligro inminente. Estas respuestas pueden ser automatizadas o iniciadas por acciones humanas.” IEC 61511:2016-3.2.57
Las Capas de Protección asociadas al proceso son identificadas en la etapa de análisis, durante el desarrollo de los estudios de Análisis de Peligros y Riesgo. Luego, durante los estudios de Asignación de las Funciones de Seguridad a las Capas de Protección se define la capacidad que tienen las mismas para lograr la reducción de riesgo. Es en esta fase donde se cuantifica el valor o “superpoder” identificado en la fase anterior y que, en lugar de utilizar un criterio subjetivo como en el caso de los superhéroes, se debe verificar qué poder es el mejor para cada situación de peligro (claro está, para los de la vieja escuela a menos que sea Superman que prácticamente los tiene todos). Así, para cada escenario de riesgo existirá una capa de protección, comportando como superhéroe para salvar el día.
Para que una Capa de Protección pueda ser ese superhéroe, debe ser por lo menos:
Específica, es decir, diseñada para la condición de peligro que se quiere evitar, así como una Válvula de Alivio de Sobrepresión (PSV) no nos serviría mucho en el caso de un escenario de muy alto nivel, tanto así no nos ayudaría Aquaman en un peligro extraterrestre en el espacio exterior.  
Efectiva, para que por sí sola sea capaz de detener la cadena de eventos que llevan a la consolidación del escenario de riesgo y llevar al proceso a un estado seguro. Una válvula PSV diseñada para alivio térmico poco servirá para un escenario de sobrepresión para descarga bloqueada o fuego externo, tanto como Flash para levantar un gran peso.
Independiente, de la causa del evento iniciador del escenario de riesgo como de las otras Capas de Protección. Una alarma configurada en el controlador del lazo de control que genera la condición de peligro posiblemente no servirá de mucho para detener el problema, tanto como si le pidiéramos ayuda a Lex Lutor.
Auditable o comprobable, es decir, que la Capa de Protección pueda demostrar la capacidad de reducción de riesgo que se le asigna. Podemos probar una PSV y hemos visto la capacidad de cada superhéroe en su misión dando fe de sus capacidades. No importa que cada elemento, equipo, sistema o procedimiento identificado como salvaguarda durante el Análisis de Peligros y Riesgo sea un superhéroe, debe haber un superhéroe adecuado para cada misión.
Durante el Estudio de los Riesgos de los Procesos se debe estar consciente que el desconocimiento o falla en la definición las capas de protección y la capacidad de las mismas para la reducción de riesgos pueden ocasionar eventos muy peligrosos, no necesariamente la destrucción de la mitad del universo por Thanos, pero puede conllevar a la ocurrencia de un evento fatal.
Gerardo Salazar
FSEng TÜV SÜD TP18051530
Romel Rodriguez
Functional Safety Expert TÜV SÜD TP18010990 | ISA84/IEC 61511 Expert | FSEng TÜV Rheinland 575/07 | PHA Leader

Las Capas de Seguridad, no sólo es una cuestión de superhéroes Leer más »

Características de una IPL

Análisis de Peligros y Riesgos, Asignación del SIL / /

Partiendo de la publicación de Introducción a las Capas de Protección, en las próximas publicaciones iré describiendo a profundidad cada una de las características de las IPL allí listadas. En este caso, hablaré sobre la especificidad de una IPL.

Figura 1. Características de las IPL – Específica

Para entender la importancia de esta característica, es necesario tener en cuenta que el diseño de cada planta de procesos es como “un traje a la medida” y que, aun cuando la materia prima y los productos sean los mismos, siempre existen diferencias como las condiciones ambientales, la tecnología usada, los requerimientos de calidad o el marco legal. Adicionalmente, el personal que las opera es distinto y, por ende, los puntos débiles en el mantenimiento, los procedimientos operacionales y la interacción con los sistemas instrumentados también difieren.

…el
diseño de cada planta de procesos es como un traje a la medida…

El hecho de que cada planta sea única es el motivo por el cual un análisis de peligros y riesgos no puede ser válido para más de una planta. A su vez, la International Electrotechnical Commission en su normativa de estudios de peligros y operabilidad (IEC 61882, 2016) indica que cada escenario debe ser analizado individualmente. De igual manera, las IPL deben ser específicas para proteger un escenario determinado, esto permite definir cuáles IPL realmente aplican a cada escenario.

 Es importante aclarar que, aunque se dice que una IPL debe ser específica para un escenario determinado, esto depende de la definición de escenario que se use. En estas publicaciones he definido un escenario peligroso como el par causa-consecuencia de manera detallada (ejemplo: alto nivel, debido a falla del lazo de control, con posible derrame); diferente de otros autores que definen al escenario como una desviación (alto nivel del tanque). En el primer caso; una IPL puede estar asociada a varios escenarios, debido a que múltiples causas pueden conducir al mismo evento (IEC 61511, 2016); mientras que, el segundo caso no (porque se enfoca en la desviación del proceso, en vez de las causas o consecuencias).

 

…una IPL
puede estar asociada a varios escenarios…

 

Adicionalmente, el Center for Chemical Process Safety (CCPS, 2014) indica que una IPL también debe ser específica en cuanto a:

  • Diseño: Debe ser diseñada de manera específica para el proceso que protege, tomando en cuenta el entorno operativo, las condiciones ambientales, robustez de los instrumentos, accesibilidad, mantenimiento requerido, etc.
  • Funcionamiento: Debe actuar sólo durante el modo de operación asignado, ejecutar una acción específica para prevenir o mitigar el escenario peligroso y en un tiempo determinado.

 

Lo que se busca con esta característica es que las protecciones en la planta no se coloquen deliberadamente con el pensamiento errado de que mientras más protecciones se incorporen más segura estará la planta, porque esto no siempre se cumple; en su lugar, puede conducir a una distribución inadecuada de las capas de protección independientes, donde se tengan IPL asociadas a escenarios que no las necesitan o insuficientes IPL en escenarios de alto riesgo.

 

En este sentido, se debe garantizar que los escenarios asociados a una IPL estén bien definidos y que la incorporación de cada IPL sea coherente con la desviación del proceso asociada, todo esto con el fin de que operen según es requerido, cuando es requerido, para prevenir el desarrollo o mitigar las consecuencias de uno o varios escenarios peligrosos determinados. En resumen, la especificidad de las IPL es una característica que debe ser considerada desde el diseño de la planta y tomada en cuenta a lo largo de su vida útil.

 

Referencias:

 

  1. Center for Chemical Process Safety (2014). Guidelines for Initiating Events and Independent Protection Layers in Layer of Protection Analysis. New Jersey, United States of America: Wiley.
  2. International Electrotechnical Commission. (2016). Hazard and operability studies (HAZOP studies) – Application guide. (IEC Standard No.61882). Geneva, Switzerland.
  3. International Electrotechnical Commission. (2016). Functional safety – Safety instrumented systems for the process industry sector – Part 3: Guidance for the determination of the required safety integrity levels. (IEC Standard No.61511). Geneva, Switzerland.

 

Características de una IPL Leer más »

Elementos del Escenario Peligroso – Introducción a las Capas de Protección

Asignación del SIL / /
Con la intención de continuar con las publicaciones de los factores que intervienen durante el Desarrollo de un Escenario Peligroso, tales como: las Condiciones Habilitadoras y los Modificadores Condicionantes, en esta ocasión hablaré sobre las Capas de Protección (ver figura 1).
Figura 1. Desarrollo de un Escenario Peligroso
 
Como su nombre lo indica, una capa de protección representa una defensa del proceso o de la instalación que tiene como objetivo evitar que los Escenarios Peligrosos resulten en impactos sobre el personal, el ambiente o los activos.
El Center for Chemical Process Safety (CCPS, 2014) clasifica a las capas de protección de la siguiente manera:
 
  •   Según su funcionamiento:
    • Activas: Implican una acción o un cambio de estado (abierto / cerrado) en respuesta a una desviación de las condiciones normales de proceso. Por ejemplo:
      • Alarma con acción del operador asociada.
      •  Lazo de control.
      • Función instrumentada de seguridad.
    • Pasivas: No involucran una acción, pueden lograr cumplir su función si son diseñadas, construidas, instaladas y mantenidas en forma correcta. Por ejemplo:
      • Diques de contención.
      • Facilidades construidas a prueba de explosión y fuego.
      • Arresta llama.
  • Según su ubicación en el desarrollo del escenario peligroso:
    • Preventivas: Detienen el desarrollo del escenario peligroso antes de que alcance el evento tope (ver figura 2). Entre las más comunes se encuentran:
      • Sistema Básico de Control de Procesos.
      • Sistemas de Alarmas.
      • Sistemas Instrumentados de Seguridad.
 
Figura 2. Capas de Protección Preventivas
    • De mitigación: Reducen la consecuencia de un escenario peligroso tope (ver figura 3). Entre las más
      comunes se encuentran:

      •  Sistemas de Detección de Gas y Fuego.
      • Sistemas de Contención.
      • Sistemas de Extinción de Fuego.
 
Figura 3. Capas de Protección de Mitigación
Lo importante de una capa de protección no es su clasificación, sino que pueda ser acreditada como Capa de Protección Independiente (IPL: Independent Protection Layer).
La International Electrotechnical Commission (IEC, 2016) define una IPL como cualquier mecanismo que reduce el riesgo mediante control, prevención o mitigación. Este mecanismo puede tratarse de un solo dispositivo, un sistema o una acción del operador. 
La principal diferencia entre cualquier protección del proceso y una IPL, es que esta última es acreditada para reducir una brecha de riesgo determinada, siempre y cuando cumpla con los siguientes criterios exigidos por IEC (IEC, 2016):
  • Reduce el riesgo del escenario peligroso, al menos en 10 veces.
  • Proporciona un alto grado de disponibilidad (0,9 o superior).
  • Cumple con las siguientes características:
    • Especificidad: Es diseñada únicamente para prevenir la ocurrencia o mitigar las consecuencias de un escenario peligroso.
    • Independencia: Es independiente de las otras capas de protección asociadas con el escenario.
    • Confiabilidad: Se puede contar con la IPL para que realice la acción para la que fue diseñada.
    • Auditabilidad: Está diseñada para facilitar la validación regular de las funciones de protección. Solo aquellas capas de protección que cumplen con las pruebas de disponibilidad, especificidad, independencia, confiabilidad y auditabilidad se clasifican como IPL.
Por su parte, el Center for Chemical Process Safety (CCPS, 2014) establece las siguientes características:
  • Independencia: El rendimiento de la IPL no es afectado por el evento iniciador ni por el fallo de otra IPL.
  • Funcionalidad: Previene o mitiga las consecuencias de un escenario.
  • Integridad: Es capaz de reducir una brecha de riesgo determinada.
  • Credibilidad: Opera de la manera correcta, en el tiempo correcto.
  • Auditabilidad: Se revisan los procedimientos, registros, evaluaciones, validaciones y otra información asociada a la IPL para garantizar que el diseño, las pruebas, el mantenimiento y la operación continúen cumpliendo con las expectativas.
  • Accesibilidad segura: Se implementan controles físicos y / o administrativos para reducir la posibilidad de cambios no autorizados en el sistema que puedan afectar la IPL.
  • Documentada: Se emplea un proceso formal de manejo del cambio para revisar, aprobar y registrar los cambios en los procedimientos, materiales, procesos, equipos o instalaciones.

Aunque IEC y CCPS difieran en el número de características y en los términos usados, en esencia, se busca que toda IPL sea:   

  • Específica.
  • Independiente.
  • Efectiva (efectividad / funcionabilidad).
  • Confiable (confiabilidad e integridad).
  • Auditable.
  • Restringida a un acceso seguro.
  • Documentada (incluyendo el manejo del cambio).
 
Posterior a la acreditación de una IPL, debe mantenerse un sistema de gestión adecuado que garantice que la reducción de riesgo a cargo de la IPL se mantenga en el tiempo, como se explica en Trabajando en Seguridad Funcional: La importancia de gestionar las Capas de Protección Independientes.
Sin embargo, se debe tener en cuenta que, a pesar de los esfuerzos por garantizar la acreditación de una IPL a lo largo de la vida útil de la instalación, ellas igual pueden fallar; sobre todo cuando son IPL instrumentadas. Por esto, es beneficioso tanto para el diseño como para la operación y el mantenimiento del proceso que, en la medida de lo posible, se traten los riesgos mediante un diseño intrínsecamente seguro.
Además, los casos en los que se requieren muchas IPL para cubrir una brecha de riesgo, pueden ser una señal de vulnerabilidades en el diseño del proceso; por lo cual, es valioso tener la destreza de identificar cuándo se trata de procesos típicamente asociados a riesgos altos, y cuándo se trata de un diseño débil en el que se intenta cubrir el riesgo con la adición de IPL.
Referencias
  1. Center for Chemical Process Safety (2014). Guidelines for Enabling Conditions and Conditional Modifiers in Layer of Protection Analysis. New Jersey, United States of America: Wiley.
  2. International Electrotechnical Commission. (2016). Functional safety – Safety instrumented systems for the process industry sector – Part 1: Framework, definitions, system, hardware and application programming requirements. (IEC Standard No.61511). Geneva, Switzerland.

Elementos del Escenario Peligroso – Introducción a las Capas de Protección Leer más »

Elementos del Escenario Peligroso -Introducción a las Condiciones Habilitadoras

Análisis de Peligros y Riesgos, Asignación del SIL / /
Partiendo de la publicación anterior Evolución de un Escenario Peligroso: Del Evento Iniciador a la Consecuenciacomenzaré una serie de publicaciones para tratar con más detalle cada uno de los elementos que intervienen en el desarrollo de un Escenario Peligroso, tales como: las Condiciones Habilitadoras, las Capas de Protección (Preventivas / Mitigación) y los Modificadores Condicionantes, (ver Figura 1).

Figura 1. Desarrollo de un Escenario Peligroso
 
Una Condición Habilitadora representa un estado temporal del proceso, que permite el desarrollo de un Escenario Peligroso.
Durante la operación normal del proceso, en los escenarios que intervienen las Condiciones Habilitadoras, el camino desde el Evento Iniciador hacia el Evento Tope se encuentra inhabilitado por propiedades, condiciones y características inherentes al proceso y al entorno (ver Figura 2), hasta que se presenta o activa la Condición Habilitadora, permitiendo que el proceso entre en un estado temporal, durante el cual, se habilita el camino del Evento Iniciador al Evento Tope (ver Figura 3), haciendo posible el desarrollo del Escenario Peligroso.
Figura 2. Condición Habilitadora Ausente o Desactivada
 
Figura 3. Condición Habilitadora Presente o Activada

El hecho de que el desarrollo del Escenario Peligroso solo sea posible cuando la Condición Habilitadora se encuentre presente o activa, no quiere decir que se trate de un Evento Iniciador, ya que ella no inicia la propagación del escenario, solo lo permite.
 
Tampoco se trata de una Capa de Protección, ya que su presencia o activación es inherente al proceso y al entorno. Es decir, no se puede “desactivar o eliminar la Condición Habilitadora” para evitar el desarrollo del Escenario Peligroso.
 
En su lugar, la Condición Habilitadora puede ser tratada como un requisito para el desarrollo del Escenario Peligroso, ya que cualquiera que sea la frecuencia de ocurrencia del Evento Iniciador asumida, el escenario no llegará al Evento Tope si el proceso no se encuentra dentro del periodo de tiempo, durante el cual, la Condición Habilitadora se encuentra presente o activa.

Por lo antes mencionado, se dice que el uso de la Condición Habilitadora durante la estimación del riesgo permite ajustar la frecuencia de ocurrencia del escenario, con el fin de obtener resultados representativos.

Sin embargo, las Condiciones Habilitadoras no deben ser consideradas en la estimación del riesgo cuando no se tiene suficiente conocimiento o información, no son parte de un sistema de gestión, o cuando su uso no es coherente con los criterios de la empresa.
Existen varios tipos de Condiciones Habilitadoras (de los cuales trataré en las próximas publicaciones), entre ellos se encuentran:
  • Periodo de tiempo de exposición al riesgo 
  • Riesgo estacional 
  • Riesgo del estado del proceso (factor de uso) 
  • Procesos discontinuos 
  • Fallas de equipos que solo pueden alcanzar el evento de pérdida si el proceso se encuentra en una configuración o estado particular 
  • Instalaciones operadas sólo una parte del año (factor de uso) 
  • Procesos químicos que incluyen una familia de químicos reactivos u otras variables relacionadas con la composición o el proceso.

En la publicación anterior Evolución de un Escenario Peligroso: Del Evento Iniciador a la Consecuencia se encuentran los conceptos de Peligro, Evento Iniciador, Evento Tope, Consecuencia, Escenario peligroso, entre otros.

Jazmile K. Zelaya I.
Ingeniero de Seguridad Funcional
 

Elementos del Escenario Peligroso -Introducción a las Condiciones Habilitadoras Leer más »

Evolución de un Escenario Peligroso: Del Evento Iniciador a la Consecuencia

Análisis de Peligros y Riesgos / /
En las plantas de procesos existen Peligros, representados por propiedades físicas o químicas (radiactividad, volatilidad, inflamabilidad, toxicidad, etc.) que tienen el potencial de causar daño a personas, ambiente y activos. Los peligros son intrínsecos de la instalación, del proceso, del ambiente y de los materiales involucrados, por ende un peligro no puede ser eliminado y se hace necesario tomar medidas para mantenerlo bajo control.
 
Ante la presencia de un peligro, pueden ocurrir eventos que desencadenen una secuencia de acontecimientos que resulten en una consecuencia no deseada, estos son conocidos como Eventos Iniciadores, entre ellos se encuentran; las fallas de instrumentos, las acciones erróneas del operador, fallas mecánicas, etc. El par Evento Iniciador – Consecuencia se denomina Escenario Peligroso (ver Figura 1), un ejemplo de un escenario peligroso es la falla un lazo de control de nivel con derrame de producto contaminante al ambiente.
 
Figura1. Escenario Peligroso
 
Con el fin de determinar si el riesgo que genera el escenario peligroso se considera aceptable, según los criterios de la empresa, es necesario estimar el Riesgo del Escenario, el cual es la combinación de la frecuencia de ocurrencia del evento iniciador (veces/año) y la severidad o magnitud de sus consecuencias (lesiones, daño al ambiente, pérdidas económicas, etc.). Por ejemplo; 5 hectáreas contaminadas /año.
 
Para reducir el Riesgo del Escenario existen mecanismo, llamados Capas de Protección, que dependiendo de su diseño, son capaces de prevenir que la ocurrencia del evento iniciador llegue al Evento Tope (Capas de Protección Preventivas) o mitigar la consecuencia del escenario (Capas de Protección de Mitigación).
 
El Evento Tope representa el acontecimiento en el cual se pierde el control o la posibilidad de prevenir la propagación de la secuencia de acontecimientos hasta la consecuencia. Por lo general, en la industria de procesos el Evento Tope se refiere a una pérdida de contención o a la pérdida de control sobre el peligro. Ver Figura 2.
Figura 2. Capas de Protección Independientes
 
La estimación del riesgo puede ser ajustada a las condiciones del proceso, mediante las Condiciones Habilitadoras y los Modificadores Condicionantes.
 
Las Condiciones Habilitadoras son operaciones o condiciones que, solo cuando están presentes o activas, hacen posible que un evento iniciador proceda hacia el Evento Tope. Mientras que, los Modificadores Condicionantes representan condiciones del proceso y de la instalación que modifican la severidad de la consecuencia del escenario.
 
Estos factores, al igual que las capas de protección, aplican en diferentes etapas del desarrollo del escenario, como se muestra en la Figura 3.
 
 
Figura 3. Condiciones Habilitadoras y Modificadores Condicionantes
 
En la próxima entrega se tratan las condiciones habilitadoras.

Evolución de un Escenario Peligroso: Del Evento Iniciador a la Consecuencia Leer más »