IPL

Las Capas de Seguridad, no sólo es una cuestión de superhéroes

Asignación del SIL / /
En el mundo de la seguridad de los procesos existe una gran variedad de literatura indicando mejores prácticas (experiencias para el desarrollo y diseño de proyectos) y definiciones de términos para lograr que los procesos obtengan un nivel de conformidad respecto a la seguridad funcional. Uno de los temas importantes en la gestión de la seguridad funcional, para el desarrollo de un sistema de seguridad, es la definición de las Capas de Protección y su capacidad de disminuir el riesgo. No basta con tomar un elemento, equipo, sistema o procedimiento y designarlo como una capa, esto no le da el superpoder de la protección.
Por definición, las Capas de Protección son: “Cualquier mecanismo independiente que reduzca el riesgo por control, prevención o mitigación. Puede ser un mecanismo de ingeniería de procesos, tales como el tamaño de los recipientes que contienen químicos peligrosos, un mecanismo mecánico como una válvula de alivio, un SIS (Sistema Instrumentado de Seguridad) o un procedimiento administrativo como un plan de emergencia contra un peligro inminente. Estas respuestas pueden ser automatizadas o iniciadas por acciones humanas.” IEC 61511:2016-3.2.57
Las Capas de Protección asociadas al proceso son identificadas en la etapa de análisis, durante el desarrollo de los estudios de Análisis de Peligros y Riesgo. Luego, durante los estudios de Asignación de las Funciones de Seguridad a las Capas de Protección se define la capacidad que tienen las mismas para lograr la reducción de riesgo. Es en esta fase donde se cuantifica el valor o “superpoder” identificado en la fase anterior y que, en lugar de utilizar un criterio subjetivo como en el caso de los superhéroes, se debe verificar qué poder es el mejor para cada situación de peligro (claro está, para los de la vieja escuela a menos que sea Superman que prácticamente los tiene todos). Así, para cada escenario de riesgo existirá una capa de protección, comportando como superhéroe para salvar el día.
Para que una Capa de Protección pueda ser ese superhéroe, debe ser por lo menos:
Específica, es decir, diseñada para la condición de peligro que se quiere evitar, así como una Válvula de Alivio de Sobrepresión (PSV) no nos serviría mucho en el caso de un escenario de muy alto nivel, tanto así no nos ayudaría Aquaman en un peligro extraterrestre en el espacio exterior.  
Efectiva, para que por sí sola sea capaz de detener la cadena de eventos que llevan a la consolidación del escenario de riesgo y llevar al proceso a un estado seguro. Una válvula PSV diseñada para alivio térmico poco servirá para un escenario de sobrepresión para descarga bloqueada o fuego externo, tanto como Flash para levantar un gran peso.
Independiente, de la causa del evento iniciador del escenario de riesgo como de las otras Capas de Protección. Una alarma configurada en el controlador del lazo de control que genera la condición de peligro posiblemente no servirá de mucho para detener el problema, tanto como si le pidiéramos ayuda a Lex Lutor.
Auditable o comprobable, es decir, que la Capa de Protección pueda demostrar la capacidad de reducción de riesgo que se le asigna. Podemos probar una PSV y hemos visto la capacidad de cada superhéroe en su misión dando fe de sus capacidades. No importa que cada elemento, equipo, sistema o procedimiento identificado como salvaguarda durante el Análisis de Peligros y Riesgo sea un superhéroe, debe haber un superhéroe adecuado para cada misión.
Durante el Estudio de los Riesgos de los Procesos se debe estar consciente que el desconocimiento o falla en la definición las capas de protección y la capacidad de las mismas para la reducción de riesgos pueden ocasionar eventos muy peligrosos, no necesariamente la destrucción de la mitad del universo por Thanos, pero puede conllevar a la ocurrencia de un evento fatal.
Gerardo Salazar
FSEng TÜV SÜD TP18051530
Romel Rodriguez
Functional Safety Expert TÜV SÜD TP18010990 | ISA84/IEC 61511 Expert | FSEng TÜV Rheinland 575/07 | PHA Leader

Las Capas de Seguridad, no sólo es una cuestión de superhéroes Leer más »

Trabajando en Seguridad Funcional: La importancia de gestionar las Capas de Protección Independientes

Gestión de la Seguridad Funcional / /

Los Análisis de Capas de Protección (LOPA: Layer Of Protection Analysis) se han convertido en una de las herramientas más utilizadas en la industria de procesos para identificar, analizar y evaluar las funciones de seguridad necesarias para alcanzar los criterios de riesgo de una instalación.

Un LOPA nos permite: (a) identificar las funciones de seguridad requeridas, (b) verificar si existen suficientes capas de protección acreditables para evitar o mitigar un posible evento peligroso (en términos de independencia, integridad, efectividad, especificidad y auditabilidad), (c) determinar la brecha de riesgo remanente, una vez contabilizadas todas las capas de protección acreditadas y (d) determinar si es necesario colocar una nueva capa de protección, y sí la misma resulta en una Función Instrumentada de Seguridad (SIF), estimar su SIL asociado.

Al trabajar en el marco de la norma IEC 61511 podemos identificar los requisitos funcionales y de integridad para que las SIF logren la reducción de riesgo requerida, en conjunto las capas de protección acreditables como IPL (IPL: Independent Protection Layer).

El desempeño o SIL (Safety Integrity Level) que debe alcanzar una SIF, está directamente relacionado al buen funcionamiento de todas las IPL consideradas en cada escenario. Si las IPL nos son validadas, probadas y mantenidas apropiadamente, el riesgo estimado puede incrementarse y los accidentes pudieran presentarse de forma más frecuente de lo que fue previsto durante el análisis.

Situaciones comunes como cambios en el diseño, modificación del punto de ajuste de una alarma, eliminación de algún dispositivo, o la falta de mantenimiento pueden afectar la integridad de una IPL, creando una situación potencial de riesgo no cubierto (ni por el SIS ni por la capa que ha sido eventualmente degradada), como podemos apreciar en las siguientes figuras.

 

Figura 1                                                                         Figura2

Identificar una IPL durante las sesiones de trabajo del LOPA es de suma importancia, el grupo de análisis utiliza la información relacionada al proceso para identificar las capas de protección disponibles (P&ID, Filosofías de Control, Manuales, etc.), pero no tiene el tiempo o los recursos para asegurar que cada IPL considerada cumplirá con los requisitos que la acreditan como tal.

A pesar de que el equipo que participa en un LOPA puede identificar las IPL que apliquen a cada escenario, dentro de sus responsabilidades no está el velar por su correcta implementación. Si no existen medios que permitan validar su funcionamiento es muy fácil exponer al personal y la instalación a un riesgo no considerado.

La norma IEC 61511 no regula el diseño, mantenimiento y operación de las IPL (no SIF), pero en ella se establecen evaluaciones (o assessment) que deben ser realizadas durante el diseño, antes de la puesta en marcha y durante la operación en las que debemos considerarlas. El buen funcionamiento de las IPL depende de la forma en que cada organización maneje su sistema de integridad mecánica (por ejemplo, como parte la Gestión de Seguridad de Procesos PSM).

Como vemos, las IPL (en conjunto con las SIF) nos ayudan a mantener los niveles de riesgo dentro de valores tolerables al evitar (o mitigar) la propagación de un evento peligroso. Pero, debemos recordar que la correcta implementación de una IPL inicia desde el momento que documentamos las sesiones de un LOPA, y solo se alcanza cuando todo el personal encargado de su funcionamiento o involucrado en su mantenimiento se hace consciente que, además del proceso de selección, es importante gestionarlas, validarlas, probarlas, auditarlas y documentarlas apropiadamente a lo largo de su vida útil.

Trabajando en Seguridad Funcional: La importancia de gestionar las Capas de Protección Independientes Leer más »