PHA

Claves para el éxito de estudios de riesgos en forma remota

computador durante estudios de riesgo

Esta entrada trata sobre la adaptación, sobre cómo realizar estudios de riesgos (que por su naturaleza necesitan de la participación de grupos multidisciplinarios) en tiempos de restricciones de movilidad, como los que estamos viviendo.

En este caso, se requiere de una mayor preparación que en un estudio convencional y se debe definir el alcance claramente, asegurando que se entiende el proceso y la tecnología en una reunión previa.

El equipo de trabajo

Al formar el equipo de trabajo, debemos enfocarnos en maximizar los resultados. Se recomienda que, en estos casos, el Líder del Estudio, además de tener experiencia en la metodología y la tecnología de comunicación, sea capaz de administrar el tiempo y mantener al grupo enfocado, activo y participativo, poniendo atención sobre lo que se quiere discutir.

Es muy importante minimizar las distracciones y discusiones secundarias.

El secretario es esencial para sesiones remotas (un par de oídos extras), debe conocer la metodología, ser suficientemente organizado y atento a los detalles para sintetizar la información. Un buen secretario hace la diferencia en cualquier estudio de riesgo.

El grupo de trabajo debe mantenerse tan reducido como sea posible, con los representantes mínimos necesarios y la participación de especialistas y representantes de equipos paquetes en forma puntual. Las herramientas de comunicación hoy día no representan mayor dificultad; por ejemplo, en la actualidad hablamos de un tráfico por día de 300 millones de participantes en ZOOM y de unos 200 Millones en Microsoft Teams, sin contar otras opciones como Webex o Skype, solo por nombrar las más populares. La opción que decidamos utilizar debe permitir comunicación instantánea de audio y video, múltiples usuarios, registro de asistencia, opciones para compartir pantallas y archivos, grabación de las sesiones y una conexión segura. La recomendación principal es probar, probar, probar.

Preparación del estudio

Con relación a la preparación del estudio, se recomienda definir los nodos y estructurar el estudio con la cantidad de detalle que sea posible (escenarios, desviaciones y causas probables), asegurando la disponibilidad y el orden de toda la información.

Debemos enfocarnos en la eficiencia de las sesiones de trabajo. Una buena práctica es realizar una capacitación inicial sobre la metodología y el alcance del estudio; de esa forma, es posible ajustar las expectativas en forma previa. Si la planificación lo permite, implementar sesiones de 4 horas diarias y de 3 o 4 días por semana, considerando el rendimiento y los husos horarios de los involucrados.

Podemos pensar que al disminuir la cantidad de tiempo en las sesiones mermaría la eficiencia, pero el uso de grupos reducidos hace que el rendimiento sea muy bueno; pueden ser jornadas cortas pero intensas – aún más que las convencionales.

Claves de éxito

Recordemos que ésta no es una reunión cualquiera, es una reunión de revisión exhaustiva, por lo que, se debe prestar atención a los siguientes aspectos: 

  • Establezca las reglas de juego – por ejemplo, el uso de las funciones mute y levantar la mano para asegurar que hable uno a la vez.
  • Administre el tiempo – las intervenciones deben ajustarse al propósito y alcance del estudio.
  • Controle su ambiente circundante – desde su comodidad (tener todo a la mano) hasta las fuentes de ruido y distracción.
  • Identifique al personal clave – por su nombre (las aplicaciones identifican la conexión individual) y apóyese en él para enfocar la discusión sobre el punto que éste maneja.
  • Organice la información que se va a compartir y verifique el tamaño de la fuente utilizada en el software.
  • Asegúrese de que existe realimentación de las comunicaciones y que cada mensaje haya sido recibido efectivamente antes de avanzar – recuerde que ya no existe el feedback físico.
  • Evalúe la efectividad y haga ajustes continuamente -poniendo atención a los detalles y realimentándose de lo que sucede (detectar cuando se puede avanzar sobre un tema y cuáles requieren mayor profundidad de discusión).

No hay duda de que esta forma de trabajo, que muchos recién experimentan, ha llegado para quedarse; por lo que, debemos encontrar maneras efectivas que nos permitan seguir haciendo los estudios de riesgos a pesar de las circunstancias actuales.

No existen limitaciones tecnológicas para la realización de estudios de riesgos en forma remota, solo nos queda entender que las condiciones demandan nuevas formas de trabajo y detenernos no es una opción.

Mantenerse al día implica adaptarse y empezar a trabajar de una forma diferente.

Romel Rodríguez
CSF Consultoría en Seguridad Funcional
rodriguezrx@grupocsf.com

Claves para el éxito de estudios de riesgos en forma remota Leer más »

¿Cómo evaluamos riesgo en un PHA?

En un análisis de peligros o PHA, por sus siglas en inglés Process Hazard Analysis, tenemos como meta principal la identificación de peligros, pero en muchos casos esta actividad va ligada a la evaluación del riesgo asociado a cada escenario peligroso. Consecuentemente, podremos priorizar las acciones que serán necesarias para reducir el riesgo total de la instalación.

El escenario peligroso se origina por una causa, que puede estar representada por la falla de un equipo / instrumento, un error humano o algún evento externo al proceso. Si esta causa se produce y no existen protecciones o salvaguardas que detengan la secuencia de eventos, se materializarán las consecuencias.

El riesgo comúnmente es definido como la combinación de la frecuencia y la consecuencia asociada al escenario peligroso.

Ahora que sabemos cómo se define el riesgo, podemos entender la utilidad que tiene conocer los fundamentos de este término.

Los PHA se realizan con la participación de un equipo multidisciplinario, por lo cual, los asistentes deben conocer claramente estos conceptos para dar una estimación acertada del riesgo. Cada opinión cuenta y cuanto más claros y seguros estemos al momento de expresar nuestras ideas, más preciso y mejor soportado será el resultado.

Existen distintas técnicas PHA, las más utilizadas son: HAZID, What if y HazOp. El procedimiento general consiste en la
identificación de las causas, consecuencias, riesgo, salvaguardas y recomendaciones.

Al comenzar el estudio, los participantes reciben los P&IDs de la instalación y la matriz de riesgo de la organización. En esta última, se establece cuál nivel de riesgo es aceptable y cuál es intolerable, así como las medidas a tomar en cada caso.

La matriz de riesgo tiene 2 dimensiones, de un lado se muestran las consecuencias y del otro las frecuencias asociadas, normalmente, a la causa que genera el escenario peligroso. 

Dependiendo del tipo de afectación que se esté evaluando, es decir, si la consecuencia es sobre las personas, los activos o el ambiente, se debe describir claramente la consecuencia y, por lo tanto, el nivel de afectación adecuado (por ejemplo, en caso de una consecuencia crítica, estamos hablando de múltiples fatalidades).

El siguiente paso, en la estimación del riesgo es determinar la frecuencia que está asociada a la causa que origina al escenario peligroso. Es de vital importancia, la comprensión de estos puntos para facilitar la dinámica del estudio.

La mayoría de los líderes de PHA invierten mucho tiempo explicando y aclarando este tema durante las sesiones de trabajo. Escenario por escenario, se escuchan frases como: “Recuerden, la frecuencia es de la causa que lo origina”. El error más común es relacionar la frecuencia a la consecuencia directamente, sin conocer el tipo de riesgo que se está evaluando, los participantes se preguntan “cada cuanto tiempo puede ocurrir la explosión”, y ahí damos oportunidad para echar a volar la imaginación, haciendo cálculos inestimables.

Sin embargo, aquí no terminan las complicaciones con la estimación del riesgo. Actualmente, algunas organizaciones están evaluando varios tipos de riesgo para tener un panorama más realista.

Cada organización decide categorizar los tipos de riesgo según su criterio particular. Algunos de los términos más utilizados son: riesgo inherente, riesgo residual real y riesgo residual proyectado. El riesgo inherente se refiere a las condiciones antes de que se incorporen medidas de protección (salvaguardas) para reducir el riesgo. El riesgo residual real corresponde al riesgo de la instalación, una vez que se consideran las medidas de protección existentes en el diseño. Por último, el riesgo residual proyectado se refiere al que se desea obtener en caso de proponer medidas adicionales de reducción.

Esto se traduce en, el riesgo inherente es el riesgo sin salvaguardas, el residual real considera las salvaguardas y el riesgo proyectado toma en cuenta las salvaguardas asociadas a las recomendaciones sugeridas durante la ejecución del estudio

En la siguiente matriz, podemos observar cómo puede variar la evaluación considerando los tres tipos de riesgos, iniciando con un riesgo inherente alto y culminando con un riesgo residual proyectado medio. Este movimiento de reducción de riesgos depende del tipo de salvaguarda a considerar; en caso de que las medidas modifiquen la frecuencia, la reducción será como la que se muestra en la gráfica; en caso de que la medida modifique la consecuencia, el movimiento será hacia abajo.

Finalmente, podemos decir que, para obtener resultados coherentes durante la evaluación del riesgo en un PHA debemos conocer a cabalidad los fundamentos teóricos del riesgo y diferenciar los tipos de riesgo que se van a evaluar, en función a los criterios que utilice la organización.

¿Cómo evaluamos riesgo en un PHA? Leer más »

¿Cómo llevar a cabo un HAZOP exitoso y no morir en el intento?

En el último siglo, el sector petrolero ha pasado de ser una industria naciente, en 1850, a ser una de las industrias más grandes del planeta, con picos de 75 millones de barriles diarios producidos. Sin embargo, este crecimiento no ha sido un camino sin tropiezos y la industria ha sufrido accidentes con grandes consecuencias; tales como, los desastres de la plataforma Piper Alpha, la refinería Milford Haven, la plataforma Deepwater Horizon o el terminal de almacenamiento de Buncefield, entre muchos otros, cuyas pérdidas se miden en miles de millones de dólares y/o cientos de vidas humanas.
 
Cada uno de estos casos ha sido analizado por expertos para obtener la mayor cantidad de lecciones aprendidas y disminuir la probabilidad de que este tipo de eventos vuelva a suceder. De tal manera que, actualmente, vivimos en una época en la cual las industrias, no solamente la petrolera, han ido tomando cada vez más y más conciencia de la importancia de la seguridad de los procesos.
 
Por lo anterior, los estudios que permiten detectar de manera anticipada los riesgos que pueden llegar a presentarse, han tomado una importancia invaluable como recurso para estimar riesgo, identificar causas y consecuencias de posibles eventos peligrosos asociados a una determinada industria, operación o proceso. Entre estos se destaca, el estudio HAZOP, como una de las técnicas más utilizadas para este fin.
 
Un estudio HAZOP es un análisis cualitativo (o semi cuantitativo de acuerdo a algunas aproximaciones) y estructurado de un sistema, proceso u operación, llevado a cabo por un equipo multidisciplinario. El grupo de trabajo realiza el análisis utilizando palabras guías, en combinación con los parámetros del sistema, para buscar desviaciones significativas de la intención de diseño. A pesar de ser un estudio sistemático y riguroso, el análisis apunta a ser creativo y abierto, lo que lo hace muy popular en las diversas industrias.
 
No obstante, el hecho que sea uno de los estudios de riesgos más utilizados no significa que sea sencillo o infalible. Por el contrario, es una técnica que si no es aplicada de manera correcta puede extenderse exageradamente en el tiempo y, aun así, generar resultados que no son óptimos o que no reflejan la realidad del proceso o de los procesos evaluados.
 
A continuación, se listan los puntos más resaltantes a considerar durante la realización de un HAZOP.
 
              A.     Selección de la técnica:
Partiendo desde el origen, la popularidad y versatilidad del HAZOP lo hacen el estudio de riesgos por excelencia; sin embargo, esto no significa que sea un estudio todo terreno. El HAZOP requiere un nivel alto de definición, una ingeniería desarrollada con operaciones y equipos ya establecidos y un cierto nivel de complejidad por parte de los procesos.
 
Pretender ciegamente utilizar un HAZOP durante una fase de ingeniería conceptual o en una etapa temprana de ingeniería donde aún no han sido definidos detalles primordiales de los equipos, solo generará un HAZOP incompleto del cual surgirán un sinfín de recomendaciones que podrían haberse evitado solo con seguir el desarrollo normal de la ingeniería.
 
De la misma manera, realizar un HAZOP para un proyecto cuyo objetivo sea realizar pequeñas modificaciones al proceso, tales como incluir un par de válvulas de bloqueo en el sistema, generaría inconvenientes desde la definición de los límites del estudio hasta la subutilización del recurso. Este tipo de modificaciones pueden ser cómodamente manejadas mediante la aplicación de técnicas más sencillas como el estudio What If.
 
              B.     El grupo de trabajo:
Una de las características de éste y otros estudios de riesgos es que para su desarrollo debe contarse con un grupo de trabajo multidisciplinario con alto nivel técnico y conocimiento en el área (con personal de operaciones como participante estrella), esto tiene como ventaja el darle un enfoque global y completo al análisis, permitiendo que los resultados tengan un alto nivel de credibilidad. En la práctica, este punto puede presentar ciertas desviaciones, el personal que asiste puede no tener las competencias técnicas requeridas para evaluar el sistema o simplemente asiste al estudio sin conocimiento previo del proyecto. Otro punto importante es que el facilitador sea competente para aplicar la técnica correctamente sin dejar cabos sueltos y mantener bajo control a los participantes y garantizar la eficiencia en el desarrollo de la actividad.
 
Es recomendado garantizar que todo el personal que forme parte del estudio tenga las competencias requeridas, lo que hace necesario una gestión de competencias por parte de quien esta a cargo del estudio.
 
              C.     Límites del estudio:
Durante el desarrollo de un HAZOP se deben establecer de manera precisa los límites del estudio. En ocasiones, es sencillo perder de vista este límite y cruzarlo, llegando al punto de verificar puntos que están fuera del alcance del proyecto, lo que genera un gasto innecesario de recursos, principalmente el tiempo de todos los participantes.
 
Este “vicio” puede ser evitado de manera sencilla, garantizando que el alcance del estudio se explique a los miembros del grupo de estudio al iniciar las sesiones.
 
              D.    Subestimar o sobreestimar el riesgo:
La practicidad y facilidad de aplicación de la técnica permite trabajar en una serie de rangos para los valores de frecuencia y severidad, permitiendo que estimar el riesgo para cada escenario peligroso sea una actividad relativamente sencilla. Sin embargo, esta aproximación puede ser un arma de doble filo, puesto que depende en gran manera de la experticia del grupo de trabajo.
 
Un grupo de trabajo “pesimista” tendrá tendencia a reflejar riesgos más altos de los que realmente existen, generando costos adicionales para mitigar riesgos sobreestimados; mientras que, uno “optimista” tendría tendencia a minimizar el riesgo dejando una brecha sin cubrir.
 
Este punto puede minimizarse garantizando la experiencia y competencias del facilitador y los asistentes en el tipo de sistemas u operaciones que son objeto de estudio del taller HAZOP.
 
La consistencia de criterios es fundamental durante el análisis y puede ser reforzada haciendo uso de procedimientos claros con información de soporte suficientemente aceptada (tablas de frecuencias esperada para un evento iniciador típico, por ejemplo).
 
              E.     Sobreestimar o definir incorrectamente las salvaguardas:
Por regla general, en un HAZOP se deben listar las salvaguardas disponibles y permite identificar las salvaguardas que puedan ser requeridas en función al nivel de riesgo estimado.
 
La regla de oro en este punto es no incluir el efecto de las salvaguardas sobre el riesgo. Incluir intuitivamente la disminución del riesgo creará la posibilidad de un doble conteo de efecto de las mismas. Por ejemplo, decir que el riesgo de sobrepresión en un recipiente es bajo puesto que existen válvulas PSV, esto priva al grupo de trabajo de estimar adecuadamente las consecuencias de ese evento.
 
              F.     Querer replicar un estudio anterior:
Al realizar un estudio HAZOP es común escuchar cosas como, “este estudio es sencillo, esta planta es idéntica a nuestra planta o existente”; u otros más “atrevidos” como, “¿por qué debo hacerle un estudio a esta planta ubicada en X lugar, si es un espejo de nuestra planta en Z lugar?” No obstante, se debe tener presente, que ninguna planta es igual a otra, siempre existirán diferencias, incluso aunque sean diseñadas a modo de espejo.
 
Un caso puntual, siguiendo el mismo ejemplo sería construir una planta en Rusia basada en una planta existente en Venezuela. Los riegos asociados a temperaturas bajo cero y su afectación en las instalaciones son inexistentes en Venezuela, pero son el pan de cada día en Rusia. Si a lo anterior le sumamos el hecho que cada equipo de trabajo es único se puede establecer el principio de que “ningún HAZOP es igual a otro”.
 
              G.    Falta de evaluación de nodos “no tradicionales”:
En los últimos cambios en las normativas, se han incluido una serie de consideraciones para nuevos nodos “no tradicionales”, como lo son la seguridad física y cyber seguridad; esto con la finalidad de adaptarse a los tiempos cambiantes donde se han presentado casos de hackeos en redes de seguridad de planta o incluso protesta, vandalismo o sabotaje en áreas de procesos. Sin embargo, no todos los estudios actuales consideran este tipo de nodos; por lo que, los riesgos asociados a esto suelen pasarse por alto.
 
Para finalizar, se pueden mencionar algunas recomendaciones generales que pueden ser de utilidad al momento de realizar este tipo de análisis:
 
  • No usar el HAZOP como método infalible para todo proyecto.
  • Validar que el personal a desarrollar el HAZOP cumpla con el perfil requerido (experiencia y conocimiento).
  • Mantener el control del grupo del estudio y evitar que divaguen.
  • Definir desde el principio y de manera precisa el límite de batería del estudio.
  • Tener extremo cuidado en el trato de las salvaguardas.
  • Recordar que no existen dos estudios de riesgo iguales.
  • Considerar la evaluación de nodos de seguridad física y cyber seguridad.
Estos son solo algunos de los puntos que suelen afectar el resultado de un HAZOP, otros podrán identificarse con el tiempo y la experiencia adquirida mediante la práctica, pero si mantienes estos puntos en mente podrá, no solo sobrevivir a un HAZOP, sino realizar un estudio de calidad.
 
Luis Aular
FSEng TÜV SÜD TP18051529 Functional Safety Specialist with Distinction (Risknowlogy)
Romel Rodriguez
Functional Safety Expert TÜV SÜD TP18010990 | ISA84/IEC 61511 Expert | FSEng TÜV Rheinland 575/07 | PHA Leader

¿Cómo llevar a cabo un HAZOP exitoso y no morir en el intento? Leer más »

E-Hazop para el Análisis de Peligros en Sistemas de Suministro de Potencia Eléctrica

Un proceso con profundas implicaciones.

En poco más de cien años, el aprovechamiento de la energía eléctrica pasó de ser un mero entretenimiento de ferias a una industria omnipresente en todo el quehacer humano, desplazando en un corto lapso de tiempo a otras tecnologías como la iluminación con fuego y la
motorización industrial con el vapor, al mismo tiempo que daba origen a una nueva revolución en cada aspecto de la vida moderna.

La potencia eléctrica se elabora en una planta que conecta en línea a la fuente de materia prima con el consumidor final, porque este debe ser confeccionado a demanda y en tiempo real. La planta tiene una dieta muy variada, principalmente combustibles fósiles y nucleares, caudales de agua y, en menor grado, el viento y la radiación solar pero también transforma calor geotermal y subproductos de otras industrias. En su infraestructura existen calderas, tanques de almacenamiento, estaciones de bombeo y ductos, pero el grueso del equipamiento lo constituyen generadores eléctricos, subestaciones y kilómetros de líneas eléctricas.

El control básico está distribuido por toda la red y combina automatización con intervención de operadores humanos. Cuando alguna variable rebasa los límites de diseño, se activa, de forma autónoma, el sistema de protecciones con un diseño diverso y redundante. Su lógica operacional debe resolver de forma eficiente el dilema de continuidad versus seguridad en tiempos de seguridad de proceso, que pueden ser tan breves como milésimas
de segundos.

La relación tan intrincada que guarda esta industria con la sociedad la sitúa en un espectro de riesgos multifactoriales (1). Se han identificado riesgos comunes con la industria de procesos que afectan a personas, medio ambiente y activos, pero la visión se amplía a otras situaciones contraproducentes como el riesgo de penalización por suministro deficiente, daños a la imagen corporativa, riesgos de vulnerabilidad que merman la respuesta operacional frente ataques o eventos improbables y riesgos originados en cambios regulatorios que inviabilicen la actividad económica. Si se revisa la posibilidad de ser, además, un servicio público, los riesgos se incrementan de forma exponencial.

Es muy común que la actividad se desarrolle mediante concesión exclusiva; por lo cual, el estado otorgante establece rigurosamente los parámetros técnicos y económicos. Como ejemplo, en el Reino Unido el regulador energético OFGEN sugiere a las empresas seguir la recomendación PAS 55 del Instituto Británico de Estándares (2) con la intención de tratar los riesgos de la actividad con igual importancia que la gestión de los activos, la mejora del desempeño y el control de los costos en el ciclo de vida. Cualquier organismo regulador estaría en mejor disposición de aprobar incrementos tarifarios a compañías eléctricas que demuestren inversión de recursos en detectar y prevenir factores de riesgo que amenacen la calidad de la energía.

La gran necesidad de métodos prácticos para adquirir conocimiento sobre el manejo de los riesgos en sistemas eléctricos hizo foco de interés en la experticia ganada desde los años 60 por la industria química y de procesos con la técnica Hazop. Se desarrollaron variantes como el E-Hazop o Electrical Hazop (3), el SAFOP (Safety and Operability Analysis), el ESR (Electrical Safety Review) que tienen como fin común, identificar los peligros de mayor importancia derivados del fluido eléctrico y de la actividad operacional.

La técnica en la práctica.

El E-Hazop requiere como insumo de entrada la información descriptiva de la red de suministro eléctrico (disposición de equipos, topografía de líneas eléctricas, diagramas unifilares, esquema de protecciones, etc.), datos operacionales (indicadores de servicio, parámetros en condiciones normales y emergencia, perfiles de tensiones, despacho de carga, planes de contingencias, etc.) y regulaciones de obligatorio cumplimiento (normas de salud laboral y protección ambiental, normas del servicio, etc.). Se agrupan expertos de las especialidades de operación, mantenimiento y construcción pero, según los peligros a estudiar, también pudiera ampliarse a otras áreas como seguridad laboral, informática y comunicaciones. Un líder dinamiza la discusión para un máximo provecho de recursos y un secretario controla la calidad de la información en movimiento. Se divide la red eléctrica en partes más pequeñas o nodos considerando criterios como la función (producción, transmisión o distribución) o el nivel de voltaje (alta, media o baja tensión). El grupo de expertos identifica los peligros de mayor relevancia en cada nodo combinando una Variable presente en esa parte del sistema con una Palabra Clave que califique su desviación de los límites normales. Corriente, voltaje, frecuencia y ángulo de fase son las variables principales en los elementos que canalizan la electricidad, pero también se deben incorporar variables de presión, flujo, temperatura, nivel y tiempo porque en la red eléctrica existe equipo con accionamiento neumático, almacenamiento y bombeo de combustibles, circulación de fluidos refrigerantes y aislantes, confinamiento en gas SF6 y otros sistemas auxiliares que operan bajo principios mecánicos. Identificadas las desviaciones, se procede a describir posibles causas, consecuencias, probabilidad de ocurrencia, medidas de prevención y/o mitigación y recomendaciones a implantar.

El tratamiento cualitativo del E-Hazop se adapta perfectamente al análisis de riesgos en ciertas partes del sistema eléctrico en donde es muy difícil utilizar números para describir el fenómeno por las características eminentemente aleatorias de los eventos iniciadores o por la carencia de datos confiables. Este es el caso de los daños originados por la naturaleza como terremotos, inundaciones, tormentas y fenómenos de estudio reciente como las tormentas solares. Otra de las fuentes de peligros que se comportan con frecuencias y severidades impredecibles es la participación del ser humano en daños a la integridad física de los equipos, hackeo, protestas, inclusive cambios económicos y regulatorios adversos.    

El E-Hazop es una excelente alternativa para hacer una exploración acuciosa del comportamiento de la red eléctrica ante amenazas identificables por los equipos multidisciplinarios que la operan. En términos de disponibilidad de data, complejidad de la técnica y la precisión de los resultados se encuentra en un punto intermedio entre las metodologías más simples como el Análisis de Riesgos Mayores o Sesiones de Brainstorming y las técnicas más complejas como el FTA, ETA, Análisis de Confiabilidad, Redes Bayesianas o Análisis de Benchmarking (4). Comparte similitudes con otras técnicas como las Matrices de Riesgos y el Análisis de Seguridad en el Puesto de Trabajo.

Dado que no existe un método libre de imperfecciones y que reúna en una sola técnica a todas las ventajas se suele emplear variaciones del E-Hazop. Ejemplo de esto es el SAFOP, desarrollado para los sistemas eléctricos que operan como servicios adicionales dentro de instalaciones petroleras. Se compone de tres estudios que tratan peligros diferentes (5): la afectación a personas se determina mediante el SAFAN (Safety Analysis), el desempeño de la red eléctrica se evalúa con el SYSOP (System Security and Operability Analysis) y, por último, la efectividad de los procedimientos operacionales y el factor humano se estudia con el OPTAN (Operator Task Analysis).

El análisis SAFAN se asemeja mucho al Checklist, puesto que el grupo de expertos se apoya en una lista pre-elaborada de Peligros Clave construidos al combinar un Identificador para referirse al origen del daño y una Alerta para describir su mecanismo de actuación. Con la lista en mano, el grupo de expertos procede a identificar los Peligros Clave en cada sección de la red que, a su juicio, sean una amenaza relevante para las personas. Deben justificar su respuesta redactando la Situación de Exposición, que no es más que un texto que describe las condiciones y equipos que pueden materializar un daño en las personas. Es válido que se identifique más de un Peligro Clave y más de una Situación de Exposición en un único nodo. Para cada caso, se emiten recomendaciones de prevención y/o mitigación. Es lógico pensar que el nivel de riesgo variará con el grado de responsabilidad que tiene la persona con la red eléctrica y es por este motivo que el análisis se realiza por grupos homogéneos de individuos como, por ejemplo, operadores del sistema, usuarios finales del servicio, moradores o transeúntes en las cercanías de la red, etc. El resultado del análisis SAFAN va a tener efecto en los criterios de diseño, en las normativas de seguridad personal, la redacción de manuales operacionales, etc.

El análisis SYSOP también emplea una combinación de un Indicador más una Alerta, para buscar desviaciones que incidan negativamente en la seguridad del servicio, tal cual un Hazop detecta anormalidades que afectan la continuidad o integridad de un proceso. La primera tarea del grupo de análisis es dividir el diagrama del sistema eléctrico en Subsistemas más sencillos usando un criterio que permita fraccionar la red en unidades integrales pero fáciles de diagnosticar. Se describe la intención de diseño del Subsistema indicando parámetros de operación normales y condiciones seguras que deben estar presentes. Se identifican sus Componentes (transformadores, SCADA, interruptores, seccionadores, relés, servicios auxiliares, etc.). El grupo de expertos hará un barrido de todas las desviaciones en cada componente. Por ejemplo, “No Abre”, “No Cierra”, “No Refrigera”, “Vibra”, etc., son desviaciones que afectan a Componentes de control, señalización o conducción de la energía eléctrica. Pero “Cortocircuito”, “Falla a Tierra”, “Sobrecarga” en Componentes de protección tendrán trato diferenciado porque son las desviaciones más severas que inhabilitan la última capa de protección con que cuenta el sistema eléctrico. Se completa el análisis con una explicación de las causas de la desviación, consecuencias y posibles medidas de corrección. Es normal que deba repetirse el análisis de un Subsistema ya estudiado individualmente, porque el grupo de trabajo detectó que este interactúa con otro diferente produciendo un efecto combinado y, por ello, una desviación no considerada. El SYSOP producirá eventuales cambios en el diseño de la red, en el esquema de protecciones, obras de mejoramiento, actualización de procedimientos de operación o mantenimiento, etc.

El estudio OPTAN, generalmente, se inicia luego que el SAFAN y el SYSOP han aportado conocimientos de los peligros potenciales, dando al proyecto la oportunidad de perfilar los primeros procedimientos de maniobra de la instalación eléctrica. Con este análisis el grupo de trabajo detectará si los operadores, siguiendo las instrucciones escritas, actuarán con la mínima posibilidad de error en una red eléctrica bajo condiciones normales o transitorias. Para cada puesto de trabajo en sala de control o en campo se aplica una lista de preguntas construidas previamente mediante la combinatoria del Deber del puesto (tarea de rutina, maniobra y acción de emergencia), la Actividad indicada en el manual (monitoreo, decisión o acción), una Alerta de desempeño del operador (entrenamiento, conocimiento, autoridad, información) y el Componente que se opera o Secuencia de Operaciones a seguir. Como ejemplo, al combinar acción de emergencia + decisión + entrenamiento + interruptor a un operador de campo induce a formular la pregunta: ¿El operador tiene el entrenamiento para validar las condiciones adecuadas antes de accionar el interruptor de salida con el mando local (abrir, cerrar, leer señales, consignación)? Los posibles resultados a todas las preguntas son “Si”, “No” o “Depende de” acompañado de una argumentación. En los casos “Si”, el estudio finaliza favorablemente; con resultado “No”, se debe generar una recomendación de mejora; mientras que, el resultado de los casos “Depende de”, va en relación ese condicionante.

Un aprendizaje con excelentes beneficios. 

Si bien estas técnicas derivadas del Hazop se adaptan especialmente al manejo de la mantenibilidad y operabilidad de instalaciones de producción y distribución de energía eléctrica en plena explotación, todos los métodos mencionados pueden aplicarse en cualquier etapa del ciclo de vida. Por ejemplo, en el diseño conceptual ya existe información suficiente para un SAFAN o SYSOP preliminar, aunque no sea practicable un OPTAN por la falta procedimientos de operación en fases tan tempranas.

En la fase de ingeniería de detalle, se pueden volver a realizar el SAFAN y el SYSOP para determinar con mejor certeza si las recomendaciones tienen los efectos positivos en la seguridad del proyecto. Con el diseño definitivo de la red terminado y con los manuales de seguridad y operación de los equipos seleccionados ya puede acometerse el estudio OPTAN para modelar procedimientos de operación, sumando ese conocimiento a los criterios de diseño tradicionales como la experiencia y las normativas.

El E-Hazop es de gran valor para la investigación de problemas rutinarios y desconocidos en sistemas eléctricos porque ofrece un vínculo de integración entre disciplinas que son claves, como análisis financiero, tarifación, diseño de redes, construcción, operación, mantenimiento, seguridad laboral, etc., que tradicionalmente se limitan al intercambio de datos estáticos cuando la realidad del mercado exige toma de decisiones basadas en datos muy cambiantes.

Para el E-Hazop se abren interesantes posibilidades de aplicación en el análisis de riesgos que enfrentarán los distribuidores de energía eléctrica en el futuro inmediato, como es la adaptación de las redes para acoger a la creciente movilidad eléctrica o la evaluación de la eficacia de las fuentes alternativas de energía.

“La forma más elevada de inteligencia consiste en pensar de manera creativa”

Sir Ken Robinson

José Fernández

FSEng TÜV SÜD TP18051521

Romel Rodríguez

Functional Safety Expert TÜV SÜD TP18010990 | ISA84/IEC 61511 Expert | FSEng TÜV Rheinland 575/07 | PHA Leader

 

1-  Sand, K., Gjerde, O. & Nordgård, D. E. (2007). Current risk exposure in the distribution sector. Initial study. Trondheim, SINTEF Energy Research

2-  Nordgård, D. E et al (2010). Risk Assessment Methods Applied to Electricity Distribution System Asset Management. SINTEF Energy Research and Norwegian University of Science and Technology.

3-  Lourido, Lisardo. Aplicación del Método HAZOP para Análisis de Riesgos en Instalaciones Eléctricas Industriales.

4-  Aven, T. (2008). Risk Analysis. Assessing Uncertainties Beyond Expected Values and Probabilities. Chichester, Wiley.

5-  Geldof, C.W. et al (2001). The Shell Petroleum Development Company of Nigeria. Safety And Operability Studies On electrical Power Systems.

E-Hazop para el Análisis de Peligros en Sistemas de Suministro de Potencia Eléctrica Leer más »

Elementos del Escenario Peligroso – Introducción a las Capas de Protección

Con la intención de continuar con las publicaciones de los factores que intervienen durante el Desarrollo de un Escenario Peligroso, tales como: las Condiciones Habilitadoras y los Modificadores Condicionantes, en esta ocasión hablaré sobre las Capas de Protección (ver figura 1).
Figura 1. Desarrollo de un Escenario Peligroso
 
Como su nombre lo indica, una capa de protección representa una defensa del proceso o de la instalación que tiene como objetivo evitar que los Escenarios Peligrosos resulten en impactos sobre el personal, el ambiente o los activos.
El Center for Chemical Process Safety (CCPS, 2014) clasifica a las capas de protección de la siguiente manera:
 
  •   Según su funcionamiento:
    • Activas: Implican una acción o un cambio de estado (abierto / cerrado) en respuesta a una desviación de las condiciones normales de proceso. Por ejemplo:
      • Alarma con acción del operador asociada.
      •  Lazo de control.
      • Función instrumentada de seguridad.
    • Pasivas: No involucran una acción, pueden lograr cumplir su función si son diseñadas, construidas, instaladas y mantenidas en forma correcta. Por ejemplo:
      • Diques de contención.
      • Facilidades construidas a prueba de explosión y fuego.
      • Arresta llama.
  • Según su ubicación en el desarrollo del escenario peligroso:
    • Preventivas: Detienen el desarrollo del escenario peligroso antes de que alcance el evento tope (ver figura 2). Entre las más comunes se encuentran:
      • Sistema Básico de Control de Procesos.
      • Sistemas de Alarmas.
      • Sistemas Instrumentados de Seguridad.
 
Figura 2. Capas de Protección Preventivas
    • De mitigación: Reducen la consecuencia de un escenario peligroso tope (ver figura 3). Entre las más
      comunes se encuentran:

      •  Sistemas de Detección de Gas y Fuego.
      • Sistemas de Contención.
      • Sistemas de Extinción de Fuego.
 
Figura 3. Capas de Protección de Mitigación
Lo importante de una capa de protección no es su clasificación, sino que pueda ser acreditada como Capa de Protección Independiente (IPL: Independent Protection Layer).
La International Electrotechnical Commission (IEC, 2016) define una IPL como cualquier mecanismo que reduce el riesgo mediante control, prevención o mitigación. Este mecanismo puede tratarse de un solo dispositivo, un sistema o una acción del operador. 
La principal diferencia entre cualquier protección del proceso y una IPL, es que esta última es acreditada para reducir una brecha de riesgo determinada, siempre y cuando cumpla con los siguientes criterios exigidos por IEC (IEC, 2016):
  • Reduce el riesgo del escenario peligroso, al menos en 10 veces.
  • Proporciona un alto grado de disponibilidad (0,9 o superior).
  • Cumple con las siguientes características:
    • Especificidad: Es diseñada únicamente para prevenir la ocurrencia o mitigar las consecuencias de un escenario peligroso.
    • Independencia: Es independiente de las otras capas de protección asociadas con el escenario.
    • Confiabilidad: Se puede contar con la IPL para que realice la acción para la que fue diseñada.
    • Auditabilidad: Está diseñada para facilitar la validación regular de las funciones de protección. Solo aquellas capas de protección que cumplen con las pruebas de disponibilidad, especificidad, independencia, confiabilidad y auditabilidad se clasifican como IPL.
Por su parte, el Center for Chemical Process Safety (CCPS, 2014) establece las siguientes características:
  • Independencia: El rendimiento de la IPL no es afectado por el evento iniciador ni por el fallo de otra IPL.
  • Funcionalidad: Previene o mitiga las consecuencias de un escenario.
  • Integridad: Es capaz de reducir una brecha de riesgo determinada.
  • Credibilidad: Opera de la manera correcta, en el tiempo correcto.
  • Auditabilidad: Se revisan los procedimientos, registros, evaluaciones, validaciones y otra información asociada a la IPL para garantizar que el diseño, las pruebas, el mantenimiento y la operación continúen cumpliendo con las expectativas.
  • Accesibilidad segura: Se implementan controles físicos y / o administrativos para reducir la posibilidad de cambios no autorizados en el sistema que puedan afectar la IPL.
  • Documentada: Se emplea un proceso formal de manejo del cambio para revisar, aprobar y registrar los cambios en los procedimientos, materiales, procesos, equipos o instalaciones.

Aunque IEC y CCPS difieran en el número de características y en los términos usados, en esencia, se busca que toda IPL sea:   

  • Específica.
  • Independiente.
  • Efectiva (efectividad / funcionabilidad).
  • Confiable (confiabilidad e integridad).
  • Auditable.
  • Restringida a un acceso seguro.
  • Documentada (incluyendo el manejo del cambio).
 
Posterior a la acreditación de una IPL, debe mantenerse un sistema de gestión adecuado que garantice que la reducción de riesgo a cargo de la IPL se mantenga en el tiempo, como se explica en Trabajando en Seguridad Funcional: La importancia de gestionar las Capas de Protección Independientes.
Sin embargo, se debe tener en cuenta que, a pesar de los esfuerzos por garantizar la acreditación de una IPL a lo largo de la vida útil de la instalación, ellas igual pueden fallar; sobre todo cuando son IPL instrumentadas. Por esto, es beneficioso tanto para el diseño como para la operación y el mantenimiento del proceso que, en la medida de lo posible, se traten los riesgos mediante un diseño intrínsecamente seguro.
Además, los casos en los que se requieren muchas IPL para cubrir una brecha de riesgo, pueden ser una señal de vulnerabilidades en el diseño del proceso; por lo cual, es valioso tener la destreza de identificar cuándo se trata de procesos típicamente asociados a riesgos altos, y cuándo se trata de un diseño débil en el que se intenta cubrir el riesgo con la adición de IPL.
Referencias
  1. Center for Chemical Process Safety (2014). Guidelines for Enabling Conditions and Conditional Modifiers in Layer of Protection Analysis. New Jersey, United States of America: Wiley.
  2. International Electrotechnical Commission. (2016). Functional safety – Safety instrumented systems for the process industry sector – Part 1: Framework, definitions, system, hardware and application programming requirements. (IEC Standard No.61511). Geneva, Switzerland.

Elementos del Escenario Peligroso – Introducción a las Capas de Protección Leer más »

Índices de Riesgo en la Industria de los Procesos

Todas las organizaciones enfrentan una variedad de riesgos que pueden afectar alcanzar sus objetivos. La gestión del riesgo ayuda a la toma de decisiones, al tener en consideración la incertidumbre y la posibilidad de eventos futuros o circunstancias y sus efectos sobre los objetivos planteados.
En la Industria de los Procesos, la evaluación del riesgo es una parte de la gestión del riesgo, la cual provee un proceso estructurado que identifica como son afectados los objetivos, y analiza el riesgo en términos de consecuencias y su probabilidad de ocurrencia, antes de la toma de decisiones sobre la necesidad de un mayor esfuerzo. La evaluación del riesgo trata de responder las siguientes preguntas: 
  • ¿Qué puede pasar y por qué?    
  • ¿Cuáles son las consecuencias?
  • ¿Cuál es la probabilidad de ocurrencia?
  • ¿Existen factores que puedan mitigar las consecuencias o reducir la probabilidad del riesgo?
  • ¿Es el nivel de riesgo aceptable o requiere mayor esfuerzo?
Para poder establecer el nivel de riesgo, el mismo debe estar asociado con un impacto o afectación, es decir, el nivel de riesgo a personas, operadores, ambiente, equipos, entre otros. Una manera de simplificar el uso del riesgo y su compresión es la utilización de los Índices de Riesgo, los cuales suelen ser usados para poder comparar e identificar posibles medidas de reducción y control de riesgo a través de la evaluación del mismo, en caso de ser necesario.
A continuación, presentamos los Índices de Riesgo que son comúnmente utilizados en la Industria de los Procesos:

Riesgo Individual (IR – Individual Risk, IRPA – Individual Risk per Annum): Es el riesgo de fatalidad que experimenta una persona de forma individual en un periodo de tiempo determinado. Este índice de riesgo depende de la porción del tiempo que una persona permanece en cada área, así como la vulnerabilidad que tiene a los efectos de los posibles escenarios que puedan ocurrir en cada área. Normalmente se utiliza para cuantificar el riesgo asociado a fatalidades y es expresado en fatalidades por año.
En donde,
 =                   Fracción del tiempo
general que un miembro del grupo k se encuentre en el área de interés
 =     Probabilidad de que un miembro
del grupo k se encuentre en la ubicación i
 =           Frecuencia de ocurrencia
del evento j
 =      Probabilidad de fatalidad en la
ubicación i debido a la consecuencia del evento peligroso j
 =       Probabilidad de las condiciones
atmosféricas requeridas para producir la consecuencia del evento peligroso j
 =      Probabilidad de que el evento
peligroso se dirija hacia la ubicación i
Supongamos que un operador pasa el 30% de su tiempo en oficinas, 60% en planta y el 10% restante en el comedor, esto es considerando que el mismo solo se encuentra en las facilidades 2000 horas al año (22,83%). Se estima en base a cálculos previos de LSIR, que el riesgo en las oficinas es 1×10-6año-1, en planta es de 8×10-6año-1 y en el comedor 3 x 10-7 año-1, el resultante del IRPA para este tipo de operador con esa distribución y características específicas es de:
Con este resultado podemos establecer en base a los criterios de tolerabilidad de la empresa si el nivel de riesgo individual del Operador es Tolerable o Intolerable, si es necesario la aplicación de Medidas de Reducción de Riesgos, y donde se podrían enfocar los esfuerzos de dichas medidas.

Riesgo Social (SR – Societal Risk): Es el riesgo que experimenta un grupo de personas (trabajadores y publico/terceros) expuestos a las consecuencias derivadas de eventos peligrosos. El Riesgo Social puede ser representado gráficamente a través de la curva F-N, en donde se presenta la relación entre la frecuencia acumulativa y el número de fatalidades. El riesgo social es usado para medir el riesgo colectivo al cual están expuestas un grupo de personas en áreas que podrían estar expuestas a eventos peligrosos, e indica la frecuencia que un número especifico de personas sufrirán un nivel especifico de daño (p.e. muerte). El Riesgo Social para trabajadores es también conocido como Riesgo Agregado de acuerdo con la norma API 752.
Tomemos como ejemplo la siguiente curva FN de riesgo agregado (riesgo social a operadores), donde se puede observar que el número máximo de fatalidades esperadas es de seis (6) personas sin importar el tipo de operador, y la frecuencia acumulativa no sobrepasa el criterio de riesgo tolerable o mínimo establecido de ejemplo. En caso de que el riesgo acumulado sobrepasara el nivel de riesgo tolerable, se debería analizar posibles medidas de reducción
de riesgos.
Figura 1. Riesgo Agregado de Ejemplo
Esta representación gráfica de riesgo social no es posible utilizarla para valores individuales, ya que en la misma se encuentran todos los grupos de operadores. Es posible realizar una curva FN para cada tipo de operador, y aunque esta representación serviría el análisis de cada grupo de operadores de forma social e individual, perdería el propósito como riesgo social al no considerar todos los operadores de forma conjunta.

Pérdida de Vidas Potenciales (PLL – Potential Loss of Life): Es una medida de Riesgo Social y representa el número de fatalidades que se esperan puedan ocurrir cada año, promediado en periodos largos. Este índice puede ser usado en contexto de un evento o durante un periodo de exposición.
En donde,
           Frecuencia anual del escenario
           Numero de fatalidades esperadas para el escenario
              Número total de escenarios
               Número total de tipos de consecuencias
El PLL es utilizado como entrada en la toma de decisiones sobre medidas de reducción de riesgos. Como podemos observar en la siguiente tabla, se determinó a manera de ejemplo.
Tabla 1. Valores PLL de Ejemplo
Medida de Reducción de Riesgos – MRR
PLL de la Unidad
(fatalidades)
PLL al implementar la MRR (fatalidades)
MRR 1
3 x 10-5 año-1
1,5 x 10-5 año-1
MRR 2
2,0 x 10-5 año-1
MRR 3
2,3 x 10-5 año-1

Tasa de Accidentes Fatales (FAR – Fatal Accident Rate): Se define como el número de fatalidades esperado en 100 millones de horas de exposición. El tiempo de exposición a veces es ilustrado como 1000 personas que trabajan 2000 horas al año durante 50 años.
En donde,
=            Pérdida de Vidas Potenciales
Este índice normalmente se utiliza con fines comparativos, utilizando datos históricos de la empresa o internacionales. En la siguiente tabla se presenta a manera de ejemplo valores FAR de Inglaterra:
Tabla 2. Valores FAR de Ejemplo
Industria o Actividad
FAR
1974 – 1978
1987 – 1990
Pesca profunda
140
42
Producción de Petróleo y Gas costa afuera
82
62
Minería de Carbón
10,5
7,3
Ferroviaria
9
4,8
Construcción
7,5
5
Agricultura
5,5
3,7
Química e industrias aliadas
4,3
1,2
Industria de manufactura
1,2
Vehicular
0,75
0,6
Industria textil
0,25
0,05

Costo Implícito de Evitar una Fatalidad (ICAF – Implied Cost of Avoiding a Fatality): Representa una estimación del beneficio de evitar un daño o fatalidad. Este índice es importante en los análisis costo beneficio riesgo.
En donde,
=                Costo de implementación de medida ($)
=                Tiempo de vida estimado de la Planta (años)
=          Diferencial de Pérdida de Vidas Potenciales con la implementación de las medidas
El ICAF puede ser utilizado para tomar decisión sobre medidas de reducción de riesgos, por ejemplo, asumamos una planta que tiene un tiempo de vida estimado de 20 años, cuál sería el ICAF de una medida de reducción de riesgo a tomar en base a su costo de implementación.
Tabla 3. Valores ICAF de ejemplo
Costo de la medida de reducción de riesgos
($)
ICAF
($/fatalidad evitada)
1.000,0
154.000,0
10.000,0
1.540.000,0
100.000,0
15.400.000,0
Utilizando los resultados obtenidos podemos decidir si la medida a implementar es Costo-Efectiva o puede ser descartada, tomando como base criterios de la empresa o internacionales.

Riesgo Geográfico o Riesgo Especifico por Ubicación (GR – Geographic Risk, LSIR – Location Specific Individual Risk): Es la representación gráfica del riesgo individual de forma geográfica, considerando una permanencia de 24 horas al día, los 365 días al año.
En la siguiente figura se puede observar a manera de ejemplo, un plano con la representación gráfica de diferentes curvas de iso-riesgo de fatalidad.
Figura 2. Riesgo Geográfico de Fatalidad de Ejemplo
A continuación, se presenta los índices comúnmente utilizados en base a la fase del proyecto:
Figura 3. Índices de Riesgo para los Diferentes Fases de Ingeniería
(basado en Rausand).
Referencias:
  1.  International Electrotechnical Commission – IEC/ISO 31010 – Risk management – Risk assessment techniques. 2009.
  2. Jan-Erik Vinnem. Offshore Risk Assessment – Principles, Modelling and Applications of QRA Studies. Edition 3 2014.
  3. Center for Chemical Process safety – CCPS. Guidelines for Chemical Process Quantitative Risk Analysis. Edition 2 2000.
  4.  UK Offshore Operators Association – UKOOA. Fire and Explosion Guidance. Edition 2 2003.
  5. I. L. Johansen, M. Rausand. Risk Metrics: Interpretation and Choice.
  6. Health and Safety Executive – HSE. Andrew Franks. Simplified Approach to Estimating Individual Risk. 2017.

Índices de Riesgo en la Industria de los Procesos Leer más »