Seguridad Funcional

IEC 61511: 10 cosas que debes saber de la norma

Principios Básicos / /

Hoy hemos escogido un decálogo de cosas que, en nuestro parecer, debes saber sobre la norma IEC 61511. Intentaremos, en forma muy breve, abordar los tópicos más comunes basados en: a) la importancia que para nosotros tiene el entendimiento del espíritu de la norma, b) requisitos nuevos que no han sido suficientemente difundidos y, c) preguntas frecuentes de nuestros clientes.

1. Entre tantas normas, ¿cómo saber si esta IEC 61511 es para mí?

Esta es una norma específica para el sector de procesos asociados con la producción, generación, manufactura y/o tratamiento de petróleo, gas, madera, metales, alimentos, plásticos, petroquímicos, productos químicos, vapor, energía eléctrica, productos farmacéuticos y materiales de desecho. Es relativa solo a la Seguridad Funcional de los SIS, no debe confundirse con la seguridad global del proceso; ésta es solo la parte de la seguridad que proporciona el automatismo asociado al SIS, incluyendo su hardware y su programa de aplicación.

2. Medir para controlar. Una norma basada en desempeño

El desempeño como eje central del diseño (y la operación posterior del SIS), es el principal elemento diferenciador con respecto a otras normas relacionadas con la seguridad; por ejemplo, API 14C o NFPA 82 por mencionar algunas. El desempeño está relacionado a la brecha entre qué riesgo estoy dispuesto a asumir (riesgo meta) y el riesgo que estimo está relacionado a un peligro específico que ha sido identificado.

Recordemos que, no puede existir una Función Instrumentada de Seguridad (SIF) que no esté relacionada a un peligro específico; ya que, es a partir de la identificación de una necesidad de protección que se especifica una solución automatizada que genere una reducción de riesgo. La norma IEC 61511 dispone de una métrica de desempeño representada por el Nivel de Integridad de Seguridad (SIL) que, en cierta medida, indicará proporcionalmente de cuánto riesgo estoy dispuesto a dejar descansar sobre los hombros de cada SIF. Esa métrica tiene unos objetivos numéricos bien definidos que son, la Probabilidad de Falla Promedio (PFDavg) o Probabilidad de Falla Por Hora (PFH) que representan las fallas aleatorias permitidas para un determinado nivel de integridad.

3. Cómo trabajar la Seguridad Funcional? El Ciclo de Vida de Seguridad al rescate

La norma IEC 61511 declara un Ciclo de Vida de Seguridad del SIS (CVS) con actividades bien definidas y una colección de requisitos (más de 700, todos de estricto cumplimiento) para que el SIS logre alcanzar la Seguridad Funcional. El CVS es una de las principales herencias de esta norma, el seguimiento del CVS es fundamental para minimizar las fallas sistemáticas que son introducidas por nuestra forma de trabajar.

El CVS define cada fase en actividades de entrada, salidas y actividades de verificación, que deben ser realizadas en un orden específico. Es muy importante entender que, el CVS es particular de cada involucrado en la vida del SIS; por ejemplo, el CVS del integrador será diferente al de quien hace la ingeniería y también al del usuario final.

4. El control de lo que se hace y la Gestión de la Seguridad Funcional

Gestionar es poner a la gente correcta a realizar el trabajo correcto, con las herramientas necesarias y el tiempo adecuado. Para esto, debe existir una figura responsable de la Seguridad Funcional en general, que asegure que las actividades alrededor del SIS se realizan en forma consistente. Un punto de relevancia es la relativa al personal, no se trata necesariamente de crear una nueva estructura organizativa, es simplemente asignar las responsabilidades claramente dentro de la organización. Además, evaluar las capacidades, comunicar las responsabilidades asignadas, velar porque las personas realmente tengan las competencias para realizar el trabajo y disponer de los procedimientos para hacer (o supervisar) los trabajos relacionados al SIS (sino cada uno lo hará a su manera creando caos e inconsistencias).

Finalmente, un sistema de gestión nos brindará el soporte necesario para que el trabajo esté de conformidad con la norma. Algo curioso, es que cuando solicitamos equipos certificados, estamos pidiendo la comprobación, por un tercero independiente, de que quien fabrica el dispositivo lo hace dentro del marco de un sistema de gestión de conformidad con la norma (en este caso IEC 61508). Entonces, por qué no hacemos lo mismo al contratar proveedores de servicios o nos preocúpanos por crear ese marco de gestión en nuestras propias organizaciones?

Contenido relacionado: Trabajando en Seguridad Funcional: La gestión como herramienta para evitar las fallas sistemáticas

5. Mi SIS ya estaba aquí cuando yo llegué y no estoy seguro de que esté acorde a la norma

Lo primero que debemos saber es que para un SIS diseñado y construido de acuerdo con códigos, estándares o prácticas publicadas antes de la emisión de la norma IEC 61511, el usuario final debe determinar que el sistema está diseñado, mantenido, inspeccionado, probado y operando de manera segura. Esto es algo que ya hemos visto en el CFR 29 de OSHA y en lo que se llamaba la clausula del abuelo de ISA 84 (antes de la unificación de las normas ISA e IEC en 2018).

Así que quedan dos caminos, o adoptamos la norma con todo lo que esta implica o nos dedicamos a demostrar (soportes en mano) que el SIS existente brinda la reducción de riesgo que de él se espera en forma efectiva. Como ven, decir que no hace falta hacer nada no es una opción.

6. El personal debe ser ¿competente o certificado?

No se espera que exista un super ingeniero, solo se espera que sea competente para realizar las tareas del CVS que le corresponden. Una certificación, por parte de un tercero independiente, da fe que la persona posee una competencia particular (bien sea de conocimiento o de experiencia) pero esa palabra nunca lo encontrará en esta norma. Lo que si encontrará es que se debe establecer un procedimiento para gestionar la competencia de todos los implicados en el ciclo de vida del SIS y que se deben realizar evaluaciones periódicas. Esto es que las competencias deben ser desarrolladas, evaluadas y refrescadas en forma continua.

A menudo perdemos de vista que la competencia es más que conocimiento o formación académica, y que tienen un peso, igual de importante, la práctica continua de lo que se sabe, la actitud hacia el trabajo y las habilidades del individuo para hacer, en forma adecuada, una tarea específica.

Contenido relacionado: Trabajando en Seguridad Funcional: La Gestión de las Competencias del Personal

7. Es cierto eso que dicen que el SIS debe ser independiente del BPCS

La norma IEC 61511 establece claramente que el SIS es el único sistema que puede alojar a una SIF y que el BPCS (al menos que se diseñe según la norma) no debería alojar funciones instrumentadas de seguridad. La independencia y separación tiene muchas aristas en esta norma y todas atienden a minimizar las fallas de causa común y, para ello, se aborda este tema buscando minimizar la interferencia o lo propagación de fallas de un sistema a otros.

La norma indica la necesidad de estudiar: a) la independencia entre capas de protección; b) la diversidad entre capas de protección; c) la separación física entre diferentes capas de protección y d) los fallos de causa común entre capas de protección y entre capas de protección y BPCS. La independencia no es necesariamente separación física, más bien se refiere a independencia probabilística, es decir, determinar que las causas de falla de causa común sean suficientemente bajas como para afectar la integridad.

La independencia en la norma va más allá de solo HW y SW, también es mencionada como medida de control de actividades de gestión como evaluaciones, auditorías y verificaciones que requieren un cierto grado de imparcialidad.

Recuerde, mientras el SIS sea más simple es mejor, puede ser un gran dolor de cabeza tratar de justificar el hecho de compartir elementos con el BPCS, sobre todo después de un accidente.

8. Del papel a la acción. Seguimiento del desempeño del SIS

Se debe asegurar que el SIS mantiene las condiciones de diseño, es decir todas las premisas de diseño deben ser validadas durante la operación y mantenimiento (O&M) del SIS. Para esto, debemos crear una colección de indicadores (KPI) que nos permitan medir el desempeño. Aquí es importante hacer una buena selección de KPI que sean representativos de nuestras propias operaciones y no tratar de hacer lo que otros hacen. Se debe estar alerta a todas las fuentes de degradación. Las inspecciones en campo de los elementos que conforman el SIS toma especial importancia para esto. Se debe vigilar el efecto de las condiciones ambientales, de las propias condiciones del proceso y de la manera que el personal de O&M se relaciona con el SIS.

Debemos medir y analizar el comportamiento de las tasas de fallas usadas en el diseño, ya que eso es la base del modelo con el que creamos nuestro SIS y, como modelo al fin, es la mejor representación que pudimos hacer en un momento determinado; por lo que, validarlo es esencial. El modelo del que hablamos se relaciona con una realidad circundante y se ajustó a las suposiciones de esa realidad, por lo tanto, tiene la misma importancia verificar que el comportamiento del proceso es tal cual lo visualizamos durante el diseño. Una mayor tasa de demanda puede hacer que nuestro SIS nos brinde una sensación falsa de seguridad.

9. Yo no diseñé ese sistema, yo soy Operador y/o Mantenedor

En la norma IEC 61511 solo existen un par de páginas dedicadas a indicar qué se debe hacer en la fase de O&M, y aunque parezca poco, en realidad es mucho trabajo. Hablamos de una etapa que puede durar más de 20 años y que requieren de un alto nivel de compromiso y mística de trabajo. Como dijimos anteriormente, se debe entender el impacto de la interacción del personal de O&M sobre la integridad del SIS. Es muy importante que el personal de operaciones entienda de qué peligros específicos le protege el SIS y cómo un fallo de éste compromete su seguridad; además, de las acciones que debe realizar como medida de compensación.

La gestión de los desvíos (bypass) tiene especial importancia en la nueva versión de la norma; un Operador consciente de los peligros de los cuales es protegido por el SIS será menos propenso a colocar en bypass a las SIF y será mucho más cuidadoso en su uso. Por otro lado, el personal de mantenimiento debe saber cómo es que el Tiempo de Inspección de la SIF afecta su integridad. Saber que hay una relación inversamente proporcional entre el tiempo de pruebas de las SIF y su capacidad de proteger. Por último, debemos hacer una campaña de sensibilización para hacer entender al personal de O&M la importancia que tiene sus opiniones, requisitos y decisiones en la etapa de diseño.

10. Mi SIS está aislado, no necesito otro problema como la seguridad cibernética

Las nuevas facilidades de intercambio de datos de los sistemas más modernos traen consigo también un nuevo grado de exposición y vulnerabilidades, inclusive los menos interconectados no están exentos de una amenaza.

La última versión de la norma indica, ya en forma explícita, la necesidad de identificar qué posibles vulnerabilidades puede tener nuestro sistema, ahora desde el punto de vista de la seguridad (física y cibernética). Un accidente provocado por una falla aleatoria puede ser también originado de forma intencional al explotar una vulnerabilidad de seguridad de un SIS y de ahí la necesidad de contemplar esto en nuestro análisis.

Para la norma no basta con identificar las vulnerabilidades, el SIS debe ser inmune a este tipo de amenazas; por tanto, el diseño debe contemplar lo que sea necesario. Al adentrarnos en este tipo de temas, vemos que las amenazas son sumamente cambiantes, por lo que, nada es estático en el mundo de la ciberseguridad. Todos los días hay una actualización de una contramedida porque responde a una nueva amenaza. Por ejemplo, la actualización de antivirus o firmwares. Así estos nuevos requisitos implican hacernos de nuevas competencias, para entender cómo se podría ver afectado el SIS.

A manera de conclusión podemos decir que, conocer los requisitos de la norma IEC 61511 nos ayudará a entender nuestras responsabilidades y nos permitirá realizar mejor nuestro trabajo, manteniendo la integridad de los SIS en cualquier fase del Ciclo de Vida de Seguridad.

IEC 61511: 10 cosas que debes saber de la norma Leer más »

¿Qué tanto conocemos de Evaluación y Auditoría de la Seguridad Funcional? Puntos comunes y diferencias (Parte III)

Gestión de la Seguridad Funcional / /

En esta tercera y última entrega, trataremos lo relacionado con las evaluaciones o FSA (Functional Safety Assessment) en el área de la seguridad funcional.

A continuación, complementaremos la definición que pueden ver en la publicación «¿Qué tanto conocemos de Evaluación y Auditoría de la Seguridad Funcional? Puntos comunes y diferencias (Parte I)» con lo que establece la norma IEC61511-1: 2016.

Un FSA se enfoca en emitir un «juicio” sobre el estado de la seguridad funcional, ya que su objetivo fundamental es establecer si la seguridad funcional ha sido “alcanzada” y busca demostrar y confirmar que:

  • El SIS alcanza la seguridad funcional y que se han desarrollado las fases del ciclo de vida de seguridad de forma correcta y que se continúan «manteniendo» los requisitos iniciales desde que se estimó el SIL, pasando por la fase de diseño y finalizando con la operación y mantenimiento.
  • El personal está capacitado y tiene las competencias necesarias para realizar el trabajo, lo hizo de forma correcta, en el momento apropiado y con las herramientas indicadas.
  • Todas las herramientas utilizadas para el soporte, cálculo y desarrollo han sido las adecuadas.
  • Cada fase ha sido verificada.
  • La documentación es adecuada.
  • El SIS está listo para ser operado.

Esencialmente, al realizar un FSA se busca confirmar que en las diferentes actividades se han utilizado métodos, técnicas, competencias, resultados y procesos apropiados para lograr la seguridad funcional.

Deben ser realizadas por un evaluador (assessor) o un equipo de evaluadores independiente, debido a que requiere de una revisión profunda y la emisión de un juicio de valor sobre una condición. Se requiere al menos una «persona competente de alto nivel», ya que en gran medida la experticia en el área va a garantizar el éxito de la actividad. Además, es necesario que el evaluador tenga suficiente autoridad dentro de la organización a fin de que su juicio sea respetado y sus recomendaciones sean consideradas.

El grado de independencia depende de la gravedad (estimada) de las consecuencias o del SIL de la(s) SIF diseñada(s). Hay casos en los que es suficiente solo una persona que no haya participado en el proyecto que se está evaluando o no esté involucrada directamente en la actividad. A mayor severidad o SIL, se deberá incrementar el nivel de independencia de una persona a un departamento a una organización.

Pudiéramos preguntarnos si es obligatorio realizar un FSA, y la respuesta es, Sí. Éste, es uno de los requisitos obligatorios de la normativa IEC61511-1: 2016. Pero, más allá de eso, al realizarla, podemos garantizar (de forma tangible) que la seguridad funcional se ha alcanzado, nos evita problemas operacionales, disminuye los costos y nos permite aprovechar los recursos que tenemos; por lo que, no sería molesto cumplir con esa obligatoriedad.

Aunque la normativa nos sugiere cuándo realizar el FSA, esto no es limitativo. Una organización puede realizarla en las fases del ciclo de vida de seguridad donde les sea conveniente. Mientras más fases sean evaluadas, mayores beneficios se obtienen porque nos permite conocer si “alcanzamos y mantenemos nuestra seguridad funcional”. La norma recomienda que se realice tan seguido como sea prácticamente realizable, según el tamaño del proyecto o de la operación.

Como toda actividad, el evaluador (o el equipo evaluador) tiene la responsabilidad de prepararse y planificarse. Debe generar un plan que indique las actividades a desarrollar, los recursos, herramientas y la documentación que será necesario revisar.

Ahora bien, ya luego de revisar lo más relevante de ambos mundos, tanto de las auditorías como de las FSA, es necesario resaltar que para obtener el máximo provecho de ambas actividades debemos apoyarnos en personal experimentado, capacitados en el área  y que tenga las competencias necesarias, más allá de ofrecer un resultado positivo hacia la organización; con esto podemos tener la certeza de que se realizaron procesos de gestión conscientes, rigurosos y reales que nos permitan evidenciar en “donde estamos” con el fin de tomar las acciones necesarias para llegar “hacia donde queremos”. Con la misma importancia, se debe considerar en ambos casos contar siempre con una planificación adecuada donde quedarán establecidos los lineamientos a cumplir para llevar con éxito la actividad.

Recordemos que:

«Las cosas buenas suceden solamente si se
planean, las cosas malas suceden solas»

PHIL CROSBY

¿Qué tanto conocemos de Evaluación y Auditoría de la Seguridad Funcional? Puntos comunes y diferencias (Parte III) Leer más »

¿Qué tanto conocemos de Evaluación y Auditoría de la Seguridad Funcional? Puntos comunes y diferencias (Parte II)

Gestión de la Seguridad Funcional / /

Como indicamos en la publicación anterior, en esta segunda entrega, trataremos lo relacionado con las auditorías en el área de la seguridad funcional.

En https://grupocsf.com/2020/06/evaluacion-y-auditoria-de-la-seguridad.html, se hizo referencia a la definición indicada en la normativa IEC-61511; en esta oportunidad, tomaremos la del libro “Guidelines for Auditing Process Safety Management Systems” del CCPS, en el que se define la auditoría como “Una revisión sistemática e independiente para verificar la conformidad con lo establecido en pautas o estándares. Emplea un proceso de revisión bien definido para garantizar consistencia y permitir al auditor llegar a conclusiones defendibles”.

Las auditorías, en el ámbito de seguridad funcional, tienen por objetivo determinar si el sistema de gestión de la seguridad funcional está siendo utilizado y si está actualizado.

Adicional a estas definiciones, hemos querido ampliar un poco más la información con la intención de ayudarles a participar, de forma proactiva y consciente, en la mejora de los procedimientos internos de su organización.

¿Cuál es la obligatoriedad de realizar las auditorías en seguridad funcional?

Las auditorías son un requisito de la normativa IEC-61511 (clausula 5 “Gestión de la Seguridad Funcional”) y, si bien pudiera verse como que no es obligatorio, no tiene sentido tener un sistema de gestión si el mismo no es auditado para asegurar la mejora continua. La auditoría nos aporta información valiosa, por lo que, es determinante para su ejecución, que la organización cuente, obviamente, con un sistema de gestión de seguridad funcional.

Una recomendación, no excluyente, es que se realicen durante las fases largas del ciclo de vida de seguridad, como la de operación y mantenimiento del SIS. Aunque en proyectos muy largos puede ser beneficioso aplicarla durante el desarrollo de actividades como la asignación del SIL, el diseño o la implementación del SIS.

¿Qué tan frecuente se deben realizar las auditorías?

La frecuencia de la auditoría va de la mano con el impacto potencial de la actividad que se está auditando y, además, depende de los objetivos del plan de auditoría y la naturaleza de las operaciones involucradas.

Entre los factores que se deben considerar para determinar la frecuencia de la auditoría se encuentran: el nivel de riesgo de la instalación, la madurez del sistema de gestión de seguridad funcional, los resultados de auditorías previas, el historial de no conformidades, las políticas de la organización y las normativas de referencia.

¿Debe existir un plan de auditorías?

Sí, es importante que se realice una planificación conjunta entre el equipo auditor y la organización con el fin de establecer las actividades a desarrollar, fechas de compromiso, tiempo de duración, disponibilidad del personal y definición de los procedimientos a aplicar.

El plan de auditoría debe contener:

  • Definición del alcance de la auditoria.
  • Planificación de las actividades a desarrollar.
  • Definición de la organización, recursos y herramientas.
  • Documentación requerida y a entregar.
  • Manejo de No Conformidades.

¿Quién debe realizar las auditorías?

Deben ser realizadas por personal independiente, es decir, no involucrado en la actividad auditada.

El equipo auditor debe estar constituido por personal que tenga conocimiento sobre las áreas que se van a auditar, debe estar capacitado en procesos de auditoría y tener las habilidades y herramientas adecuadas para auditar efectivamente. En base a su experticia profesional, debe realizar una revisión de la documentación utilizada y generada en el marco de la seguridad funcional.

No debe centrarse en medir el alcance técnico de la información, ni emitir juicios, ni ofrecer recomendaciones sobre el diseño del sistema de seguridad funcional, sino validar si se siguieron los lineamientos establecidos. Por ello, el auditor debe tener la experticia adecuada para determinar las áreas de mejora.

El nivel de independencia asegura la imparcialidad al momento de emitir observaciones (tanto positivas como negativas) del proceso de auditoría. Por ejemplo, en el caso de las auditorías internas, basta con pertenecer a otro departamento u otra unidad, pero con las competencias adecuadas para cumplir el rol de auditor.

¿Qué se debe auditar?

Dependiendo de la etapa o la fase del ciclo de vida que se pretenda auditar, existen una serie de documentos, planes y procedimientos que son necesarios revisar. En todas las fases se deben revisar los planes de gestión, verificación y evaluación, los procedimientos de planificación, evaluaciones (assessment), auditorías internas, entre otros.

Por ejemplo, para la fase de operación y mantenimiento, los planes de inspección, prueba y mantenimiento y los procedimientos del manejo del cambio (MOC), prueba, seguimiento y desempeño del SIS, entre otros.

De manera general, se debe confirmar mediante evidencia, la aplicación y uso de cada uno de los procedimientos mencionados.

¿Cuáles son las actividades incluidas en una auditoría?

Las principales actividades que se realizan son:

  • Revisión de procedimientos.
  • Entrevistas al personal (gerentes, supervisores, ingenieros, mantenimiento y operadores, entre otros).
  • Revisión de documentación, registros o evidencias.
  • Auditorías o visitas de campo para validar en sitio la información obtenida durante las entrevistas.

El tema de las auditorías es muy amplio y podemos profundizar mucho más, mencionar otras características y elementos, pero al considerar y aplicar lo que hemos señalado, se pueden obtener buenos resultados y garantizar el éxito de la auditoría.

En la tercera parte del post, entraremos en materia acerca de las evaluaciones o assessment de la seguridad funcional.

¿Qué tanto conocemos de Evaluación y Auditoría de la Seguridad Funcional? Puntos comunes y diferencias (Parte II) Leer más »

¿Qué tanto conocemos de Evaluación y Auditoría de la Seguridad Funcional? Puntos comunes y diferencias (Parte I)

Gestión de la Seguridad Funcional / /

Dentro de sus disposiciones, la normativa IEC 61511, en su punto 5.2.6, establece la necesidad de realizar evaluaciones, auditorías y revisiones, con el fin de asegurar que los Sistemas Instrumentados de Seguridad (SIS) han alcanzado y/o mantienen la seguridad funcional, determinar si los SIS están siendo manejados de forma adecuada y si su gestión se mantiene actualizada.

Debido a que los términos evaluación y auditoría suelen confundirse, intentaremos aclararlos y dar respuesta a las siguientes interrogantes: ¿Qué debo conocer de las actividades de evaluación y auditoría? ¿Existen puntos comunes? ¿Cómo diferenciarlas?

Inicialmente haremos la definición formal de ambas actividades.

La evaluación o assessment es una investigación detallada que se realiza en cada una de las actividades que forman parte de las fases del ciclo de vida de seguridad del SIS, enfocada en buscar evidencias que permitan evaluar si se ha logrado la seguridad funcional. Esta actividad depende fundamentalmente de la experticia para emitir juicios y del nivel de competencia del evaluador.

La auditoría es un examen sistemático e independiente, en el cual se determinan si los procedimientos desarrollados en la organización, para cada una de las fases y/o actividades del ciclo de vida de seguridad del SIS, están siendo implementados y si se cumple con las disposiciones planificadas para lograr los objetivos especificados.

A continuación, mostraremos las diferencias y similitudes entre estas actividades:

 

Luego de plasmar las diferencias más relevantes entre estas dos actividades de la gestión de la seguridad funcional, le invitamos a la segunda parte del blog donde se describirá en forma más detallada cómo se desarrollan las auditorías,
explicando su enfoque y sus características y en una entrega posterior, haremos lo propio con las evaluaciones.

¿Qué tanto conocemos de Evaluación y Auditoría de la Seguridad Funcional? Puntos comunes y diferencias (Parte I) Leer más »

Evaluación y Auditoría de la Seguridad Funcional

Gestión de la Seguridad Funcional / /

Dentro de sus disposiciones, la normativa IEC 61511, en su punto 5.2.6, establece la necesidad de realizar evaluaciones, auditorías y revisiones, con el fin de asegurar que los Sistemas Instrumentados de Seguridad (SIS) han alcanzado y/o mantienen la seguridad funcional, determinar si los SIS están siendo manejados de forma adecuada y si su gestión se mantiene actualizada.

Debido a que los términos evaluación y auditoría suelen confundirse, intentaremos aclararlos y dar respuesta a las siguientes interrogantes: ¿Qué debo conocer de las actividades de evaluación y auditoría? ¿Existen puntos comunes? ¿Cómo diferenciarlas?

Inicialmente haremos la definición formal de ambas actividades.

La evaluación o assessment es una investigación detallada que se realiza en cada una de las actividades que forman parte de las fases del ciclo de vida de seguridad del SIS, enfocada en buscar evidencias que permitan evaluar si se ha logrado la seguridad funcional. Esta actividad depende fundamentalmente de la experticia para emitir juicios y del nivel de competencia del evaluador.

La auditoría es un examen sistemático e independiente, en el cual se determinan si los procedimientos desarrollados en la organización, para cada una de las fases y/o actividades del ciclo de vida de seguridad del SIS, están siendo implementados y si se cumple con las disposiciones planificadas para lograr los objetivos especificados.

A continuación, mostraremos las diferencias y similitudes entre estas actividades:

 

Luego de plasmar las diferencias más relevantes entre estas dos actividades de la gestión de la seguridad funcional, le invitamos a la segunda parte del blog donde se describirá en forma más detallada cómo se desarrollan las auditorías, explicando su enfoque y sus características y en una entrega posterior, haremos lo propio con las evaluaciones.

Evaluación y Auditoría de la Seguridad Funcional Leer más »

¿Cómo implementar un bypass sin afectar la seguridad?

SRS / /

Como les comenté en el blog anterior Bypass, muchos nombres ¿mismo fin? los bypass son una de las facilidades que permiten realizar las actividades de mantenimiento u operación del Sistema Instrumentado de Seguridad (SIS) o alguna de sus Funciones Instrumentadas de Seguridad (SIF).

En esta oportunidad les hablare sobre los requerimientos de la norma IEC-61511 para asegurar que, al implementar los bypass, estos sean especificados, diseñados, instalados, operados y mantenidos de manera que no comprometan la seguridad del sistema.

El primer punto en el que se hace referencia a los bypass es en la fase de Especificaciones de los Requerimientos de Seguridad del SIS (SRS) (Clausula 10, IEC-61511:2016), donde se establece que se deben “Definir los requisitos para los desvíos de la SIF, incluyendo procedimientos escritos que deben ser aplicados en la operación de los mismos. Además, describir el control administrativo y también la forma en que serán activados y desactivados”.

Este es el punto de partida para definir los bypass, describiendo todos los requerimientos a tomar en cuenta para su diseño, pruebas y operación, como, por ejemplo: arquitectura de votación cuando la SIF posee un bypass, alarmas en el sistema por activación del bypass, procedimientos para su aplicación, entrenamientos del personal involucrado, controles administrativos, registros de bypass realizados, autorizaciones para realizar el bypass, auditorias periódicas, entre otros.

Posteriormente, los bypass son contemplados en la fase de Diseño del SIS (Clausula 11, IEC-61511:2016) donde se establece:

  • Para el diseño de la Interfaz de Operación se debe contemplar:
    • Protección de seguridad de acceso a los bypass (mediante llave, contraseñas, procedimientos, etc.) para evitar su uso no autorizado.
    • Indicación cuando una función de seguridad o cualquier parte del SIS se encuentra es estado de bypass del SIS.
  • El diseño de la interfaz de mantenimiento / ingeniería también debe proporcionar la protección de seguridad de acceso donde se requieren bypass. Además, los bypass deben instalarse de modo que las alarmas y las instalaciones de parada manual no estén desactivadas.
  • Se puede considerar límites de tiempo para la operación de los bypass y limitar el número de bypass que pueden estar activos, por ejemplo, si se el grupo del elemento sensor posee una arquitectura de votación 2oo3 solo es posible realizar 1 bypass a la vez y degradar la función a 1oo2, de lo contrario se deberá llevar el proceso al estado seguro (disparo de la SIF).
  • Se debe definir el tiempo máximo en que el SIS puede estar en bypass (reparación o prueba) mientras se continúa la operación segura del proceso.
  • Se deben proporcionar medidas compensatorias que garanticen una operación segura cuando el SIS está en bypass (reparación o prueba).

Es importante aclarar que el funcionamiento seguro de la instalación, en caso de aplicación de un bypass, dependerá de la aplicación oportuna de medidas de compensación o acciones que brinden seguridad y compensen la reducción de riesgo que se perdió al colocar la función en bypass. Un ejemplo sería que el operador monitoree la señal de un instrumento en campo (diferente al que está en bypass) hasta que el equipo se encuentre operativo. En este caso, adicionalmente, se deberá disponer de un medio manual, para que el operador pueda actuar y llevar el proceso al estado seguro, si se presentase una demanda en el proceso.

  • El forzado de entradas y salidas del SIS no debe usarse como parte de los programas de aplicación, procedimientos operativos y  mantenimiento excepto que el SIS se encuentra fuera de servicio o que se complemente con procedimientos y controles de seguridad de acceso. Cualquier force deberá ser anunciado o activar una alarma, según corresponda.

En la fase de Validación de Seguridad del SIS (Clausula 15, IEC-61511:2016) se establece que “Las pruebas de validación deben incluir la verificación del correcto funcionamiento de las funciones de bypass y de las inhibiciones o anulaciones de arranque y operacionales (SOS / POS)”. Además, “Después de la validación del SIS y antes de que los peligros identificados estén presentes, se llevarán a cabo las actividades para que todas las funciones de bypass sean regresadas a su posición normal incluyendo las inhibiciones, anulaciones y permisos de forcé”.

Por último, en la fase de Operación y Mantenimiento (Clausula 16, IEC-61511:2016) se indican los requerimientos que deben ser considerados por los operadores y en procedimientos operacionales:

  • Los procedimientos de operación y mantenimiento deben:
    • Proporcionar las medidas de compensación y restricciones necesarias cuando el sistema está en bypass, para prevenir un estado inseguro y / o reducir las consecuencias de un evento peligroso. Las medidas compensatorias se deben establecer con los límites de operación asociados (duración, parámetros del proceso, etc.).
    • Indicar información sobre los procedimientos que se aplicarán antes y durante el bypass y lo que se debe hacer antes de la eliminación del bypass y el tiempo máximo permitido para estar en el estado de bypass.
    • incluir la verificación de que los bypass son eliminados después de los ensayos periódicos.
  • La operación continua del proceso con un dispositivo SIS en bypass solo se permitirá si un análisis de riesgos ha determinado que existen medidas compensatorias y que proporcionan una reducción adecuada del riesgo. Los procedimientos operativos se desarrollarán en consecuencia.
  • Los operadores deben estar capacitados para la operación y administración correcta de todos los interruptores de bypass / anulación del SIS y bajo qué circunstancias se deben utilizar estos bypass.
  • El estado de todos los bypass se registrará en un registro de bypass.
  • Las piezas de repuesto del SIS deben identificarse y ponerse a disposición para minimizar la duración de los bypass por falta de disponibilidad de repuestos.

Ahora, si bien los bypass se usan comúnmente para permitir que se realice un trabajo esencial, debemos tener en cuenta que cuando se aplica un bypass, el SIS (o la SIF) estará inhabilitado para ejercer su función, es decir no proporcionará la reducción de riesgos y fiabilidad que de él se requiere por lo que es importante saber lo que debemos hacer. Es nuestra responsabilidad seguir las normas y buenas prácticas que nos ayuden a diseñar facilidades, procedimientos y herramientas necesarias para un uso efectivo de este tipo recursos.

En el próximo blog hablaremos acerca de las políticas de uso de bypass y la operación segura de los mismos.

¿Cómo implementar un bypass sin afectar la seguridad? Leer más »

Bypass, muchos nombres ¿mismo fin?

SRS / /

Cuando diseñamos una Función Instrumentada de Seguridad (SIF) lo hacemos con el propósito de cubrir una brecha de riesgo y deseamos que siempre esté disponible para protegernos en el momento en que se presente una demanda del proceso. Pero, la verdad es que existen condiciones donde necesitamos sacar de servicio algunas SIF en forma temporal, como en la puesta en marcha, mantenimiento, parada de proceso, entre otros.

Bypass es uno de los términos más usados al realizar esta operación, pero existen otras denominaciones. Por mencionar algunos tenemos el SOS (Start up Override Switch), POS (Process Override Switch), MOS (Maintenance Override Switch), derivación, inhibición, “override”, “force”, “defeat”, entre otros. Aunque son términos frecuentemente utilizados, muchas veces no tenemos claro el significado de cada término y la confusión al momento de aplicarlos puede resultar en errores en el diseño, configuración, operación, que terminarán comprometiendo la seguridad del proceso.

¿Son sinónimos?, ¿se diferencian en el modo de aplicación (vía hardware o software) ?, ¿dependen de las condiciones del proceso (arranque, mantenimiento, etc.)?

La norma IEC-61511 define bypass como la “acción o facilidad para evitar que se ejecute toda o parte de la funcionalidad de una SIF o el SIS”. Algunos ejemplos de aplicaciones de bypass en una SIF pueden ser:

  • Bloqueo de la señal de entrada en la lógica de disparo, mientras aún presenta  los parámetros de entrada y la alarma al operador.
  • Se mantiene en estado normal la señal de salida de la lógica de disparo del elemento final, lo que impide que la función ejecute su acción a través del elemento final.
  • Se proporciona una línea de derivación física alrededor del elemento final (válvula de bypass).
  • Se selecciona un estado predeterminado de un elemento (por ejemplo, entrada de encendido / apagado).
  • Se usa un valor de entrada o salida en una lógica mediante una herramienta de ingeniería (por ejemplo, en el programa de aplicación).

Ahora, ¿de qué depende la forma en que aplicamos un bypass?

Lo primero que se debe hacer al momento de pensar en colocar una facilidad de bypass a una SIF, es saber el propósito del mismo y la forma en que será implementado. Por esto, mi recomendación es que antes de definir si se aplicará un SOS, POS, MOS, inhibición, “override”, “forcé” o “defeat”, tengamos claras sus diferentes aplicaciones.

La primera aclaratoria es que todos estos términos entran en la definición de bypass; sin embargo, los podemos clasificar por el efecto que tienen en la función (bypass de la señal de entrada o la salida) y por los diferentes modos de operación asociados al proceso donde se utiliza (operación normal, puesta en marcha, mantenimiento, entre otros), como vemos en la siguiente figura:

Los SOS, POS y MOS son facilidades utilizadas para un propósito específico en el proceso, dentro de sus diferentes modos de operación.

Los SOS (Start up Override Switch) son necesarios si el proceso debe pasar por el punto de ajuste de disparo de la SIF, al momento del arranque o inicio de una secuencia de operación. Al tener esta facilidad, se coloca fuera de servicio la SIF para permitir el inicio del proceso; por ejemplo, cuando se inicia el llenado de un recipiente y se tiene una SIF que protege por bajo nivel en ese recipiente.

Los POS (Process Override Switch) son aplicados cuando el proceso está «fuera de servicio» o «inactivo»; es decir, cuando está en un modo de operación en el que no existe peligro potencial. Los POS, generalmente, se instalan para permitir actividades de mantenimiento, por ejemplo: pruebas funcionales del SIS o para proporcionar aislamiento de instrumentos durante las pruebas hidrostáticas de equipos de proceso.

Los MOS (Maintenance Override Switch) están asociados al equipamiento de la SIF para su mantenimiento o reparación. El MOS se aplica cuando el equipo está en un modo de operación o en una condición donde existe peligro potencial. Estos normalmente actúan sobre el elemento final, impidiendo que se produzca el disparo de la SIF, sin eliminar las alarmas del sistema.

En caso del inhibit” y “override”, que a su vez pueden ser aplicados por medio deforce o defeat”, son facilidades de bypass que dependen del propósito asociado a su configuración en la función.

Inhibit (Inhibición) es un término definido por la norma ANSI / ISA-84.01-1996 como “no permitir que ocurra una acción”. Este término, por lo general, está asociado a un bypass que evita o deshabilita la función del elemento sensor de un sistema, ya sea a través de una función por software o hardware. Este tipo de bypass no necesariamente elimina la función de medición, es decir, puede permitir el anuncio de alarmas asociados, así como el control manual de la función.

Override (anulación) es referido al término NULO en la RAE, algunas de sus definiciones son: 1. tr. Suspender algo previamente anunciado o proyectado; 2. tr. Incapacitar, desautorizar a alguien. Este término es comúnmente vinculado a un bypass que deshabilita la señal de salida o la establece en un estado predefinido, ya sea a través de una función por software o hardware.

Una manera simple de representar estos tipos de configuración de bypass se muestra en la figura:

Por último, estas facilidades pueden ser implementadas a través de “force” o “defeat”.

Cuando se habla de “force”, se hace referencia a la manipulación del valor o el estado de una variable con el fin de retener un cierto estado de la función y evitar que esta actúe en el momento que sea requerido. Generalmente, en un SIS esto se hace desde la herramienta de programación del controlador y sobre el programa de aplicación. Sin embargo, realizar el “force” sobre el programa de aplicación resulta en una práctica bastante peligrosa puesto que no, necesariamente, hay facilidades para enterarse que existen este tipo de bypass instalados, a menos que se tenga acceso al controlador a través de las herramientas de programación.

El término “defeat” normalmente es referido a la anulación de la capacidad de operación de una SIF, aunque es menos común, se asocia a una facilidad física (controlada o no) y no tanto a una facilidad lógica como el “force”. En el plano físico, puede ser desde un interruptor de bypass hasta un cable no autorizado (puente), que coloca fuera de servicio la entrada o salida de la SIF.

Para finalizar, debemos tener en cuenta que un bypass, en cualquiera de sus configuraciones, representa un punto de vulnerabilidad para el proceso, ya que una SIF en estado de bypass puede significar que ya no es capaz de actuar; por esto, deben ser diseñados cuidadosamente para minimizar el riesgo y mantener la confiabilidad del sistema. Solo teniendo una visión clara de lo que se quiere, es que podemos tener los resultados esperados; por lo que, al definir un bypass asociado a una SIF, debemos considerar su propósito en el proceso (definir si será utilizado para el mantenimiento, la puesta en marcha u otra condición específica del proceso) y el tipo de configuración (si es necesario desviar la entrada o la salida o si se consideran los parámetros del proceso, alarmas, etc.).

En el siguiente blog hablaremos de los requerimientos descritos en la IEC-61511: 2016 para la gestión adecuada de los bypass asociados al SIS, así podremos tener una visión más amplia de cómo aplicarlos en el marco de la seguridad funcional.

Bypass, muchos nombres ¿mismo fin? Leer más »

¿Cómo llevar a cabo un HAZOP exitoso y no morir en el intento?

Análisis de Peligros y Riesgos / /
En el último siglo, el sector petrolero ha pasado de ser una industria naciente, en 1850, a ser una de las industrias más grandes del planeta, con picos de 75 millones de barriles diarios producidos. Sin embargo, este crecimiento no ha sido un camino sin tropiezos y la industria ha sufrido accidentes con grandes consecuencias; tales como, los desastres de la plataforma Piper Alpha, la refinería Milford Haven, la plataforma Deepwater Horizon o el terminal de almacenamiento de Buncefield, entre muchos otros, cuyas pérdidas se miden en miles de millones de dólares y/o cientos de vidas humanas.
 
Cada uno de estos casos ha sido analizado por expertos para obtener la mayor cantidad de lecciones aprendidas y disminuir la probabilidad de que este tipo de eventos vuelva a suceder. De tal manera que, actualmente, vivimos en una época en la cual las industrias, no solamente la petrolera, han ido tomando cada vez más y más conciencia de la importancia de la seguridad de los procesos.
 
Por lo anterior, los estudios que permiten detectar de manera anticipada los riesgos que pueden llegar a presentarse, han tomado una importancia invaluable como recurso para estimar riesgo, identificar causas y consecuencias de posibles eventos peligrosos asociados a una determinada industria, operación o proceso. Entre estos se destaca, el estudio HAZOP, como una de las técnicas más utilizadas para este fin.
 
Un estudio HAZOP es un análisis cualitativo (o semi cuantitativo de acuerdo a algunas aproximaciones) y estructurado de un sistema, proceso u operación, llevado a cabo por un equipo multidisciplinario. El grupo de trabajo realiza el análisis utilizando palabras guías, en combinación con los parámetros del sistema, para buscar desviaciones significativas de la intención de diseño. A pesar de ser un estudio sistemático y riguroso, el análisis apunta a ser creativo y abierto, lo que lo hace muy popular en las diversas industrias.
 
No obstante, el hecho que sea uno de los estudios de riesgos más utilizados no significa que sea sencillo o infalible. Por el contrario, es una técnica que si no es aplicada de manera correcta puede extenderse exageradamente en el tiempo y, aun así, generar resultados que no son óptimos o que no reflejan la realidad del proceso o de los procesos evaluados.
 
A continuación, se listan los puntos más resaltantes a considerar durante la realización de un HAZOP.
 
              A.     Selección de la técnica:
Partiendo desde el origen, la popularidad y versatilidad del HAZOP lo hacen el estudio de riesgos por excelencia; sin embargo, esto no significa que sea un estudio todo terreno. El HAZOP requiere un nivel alto de definición, una ingeniería desarrollada con operaciones y equipos ya establecidos y un cierto nivel de complejidad por parte de los procesos.
 
Pretender ciegamente utilizar un HAZOP durante una fase de ingeniería conceptual o en una etapa temprana de ingeniería donde aún no han sido definidos detalles primordiales de los equipos, solo generará un HAZOP incompleto del cual surgirán un sinfín de recomendaciones que podrían haberse evitado solo con seguir el desarrollo normal de la ingeniería.
 
De la misma manera, realizar un HAZOP para un proyecto cuyo objetivo sea realizar pequeñas modificaciones al proceso, tales como incluir un par de válvulas de bloqueo en el sistema, generaría inconvenientes desde la definición de los límites del estudio hasta la subutilización del recurso. Este tipo de modificaciones pueden ser cómodamente manejadas mediante la aplicación de técnicas más sencillas como el estudio What If.
 
              B.     El grupo de trabajo:
Una de las características de éste y otros estudios de riesgos es que para su desarrollo debe contarse con un grupo de trabajo multidisciplinario con alto nivel técnico y conocimiento en el área (con personal de operaciones como participante estrella), esto tiene como ventaja el darle un enfoque global y completo al análisis, permitiendo que los resultados tengan un alto nivel de credibilidad. En la práctica, este punto puede presentar ciertas desviaciones, el personal que asiste puede no tener las competencias técnicas requeridas para evaluar el sistema o simplemente asiste al estudio sin conocimiento previo del proyecto. Otro punto importante es que el facilitador sea competente para aplicar la técnica correctamente sin dejar cabos sueltos y mantener bajo control a los participantes y garantizar la eficiencia en el desarrollo de la actividad.
 
Es recomendado garantizar que todo el personal que forme parte del estudio tenga las competencias requeridas, lo que hace necesario una gestión de competencias por parte de quien esta a cargo del estudio.
 
              C.     Límites del estudio:
Durante el desarrollo de un HAZOP se deben establecer de manera precisa los límites del estudio. En ocasiones, es sencillo perder de vista este límite y cruzarlo, llegando al punto de verificar puntos que están fuera del alcance del proyecto, lo que genera un gasto innecesario de recursos, principalmente el tiempo de todos los participantes.
 
Este “vicio” puede ser evitado de manera sencilla, garantizando que el alcance del estudio se explique a los miembros del grupo de estudio al iniciar las sesiones.
 
              D.    Subestimar o sobreestimar el riesgo:
La practicidad y facilidad de aplicación de la técnica permite trabajar en una serie de rangos para los valores de frecuencia y severidad, permitiendo que estimar el riesgo para cada escenario peligroso sea una actividad relativamente sencilla. Sin embargo, esta aproximación puede ser un arma de doble filo, puesto que depende en gran manera de la experticia del grupo de trabajo.
 
Un grupo de trabajo “pesimista” tendrá tendencia a reflejar riesgos más altos de los que realmente existen, generando costos adicionales para mitigar riesgos sobreestimados; mientras que, uno “optimista” tendría tendencia a minimizar el riesgo dejando una brecha sin cubrir.
 
Este punto puede minimizarse garantizando la experiencia y competencias del facilitador y los asistentes en el tipo de sistemas u operaciones que son objeto de estudio del taller HAZOP.
 
La consistencia de criterios es fundamental durante el análisis y puede ser reforzada haciendo uso de procedimientos claros con información de soporte suficientemente aceptada (tablas de frecuencias esperada para un evento iniciador típico, por ejemplo).
 
              E.     Sobreestimar o definir incorrectamente las salvaguardas:
Por regla general, en un HAZOP se deben listar las salvaguardas disponibles y permite identificar las salvaguardas que puedan ser requeridas en función al nivel de riesgo estimado.
 
La regla de oro en este punto es no incluir el efecto de las salvaguardas sobre el riesgo. Incluir intuitivamente la disminución del riesgo creará la posibilidad de un doble conteo de efecto de las mismas. Por ejemplo, decir que el riesgo de sobrepresión en un recipiente es bajo puesto que existen válvulas PSV, esto priva al grupo de trabajo de estimar adecuadamente las consecuencias de ese evento.
 
              F.     Querer replicar un estudio anterior:
Al realizar un estudio HAZOP es común escuchar cosas como, “este estudio es sencillo, esta planta es idéntica a nuestra planta o existente”; u otros más “atrevidos” como, “¿por qué debo hacerle un estudio a esta planta ubicada en X lugar, si es un espejo de nuestra planta en Z lugar?” No obstante, se debe tener presente, que ninguna planta es igual a otra, siempre existirán diferencias, incluso aunque sean diseñadas a modo de espejo.
 
Un caso puntual, siguiendo el mismo ejemplo sería construir una planta en Rusia basada en una planta existente en Venezuela. Los riegos asociados a temperaturas bajo cero y su afectación en las instalaciones son inexistentes en Venezuela, pero son el pan de cada día en Rusia. Si a lo anterior le sumamos el hecho que cada equipo de trabajo es único se puede establecer el principio de que “ningún HAZOP es igual a otro”.
 
              G.    Falta de evaluación de nodos “no tradicionales”:
En los últimos cambios en las normativas, se han incluido una serie de consideraciones para nuevos nodos “no tradicionales”, como lo son la seguridad física y cyber seguridad; esto con la finalidad de adaptarse a los tiempos cambiantes donde se han presentado casos de hackeos en redes de seguridad de planta o incluso protesta, vandalismo o sabotaje en áreas de procesos. Sin embargo, no todos los estudios actuales consideran este tipo de nodos; por lo que, los riesgos asociados a esto suelen pasarse por alto.
 
Para finalizar, se pueden mencionar algunas recomendaciones generales que pueden ser de utilidad al momento de realizar este tipo de análisis:
 
  • No usar el HAZOP como método infalible para todo proyecto.
  • Validar que el personal a desarrollar el HAZOP cumpla con el perfil requerido (experiencia y conocimiento).
  • Mantener el control del grupo del estudio y evitar que divaguen.
  • Definir desde el principio y de manera precisa el límite de batería del estudio.
  • Tener extremo cuidado en el trato de las salvaguardas.
  • Recordar que no existen dos estudios de riesgo iguales.
  • Considerar la evaluación de nodos de seguridad física y cyber seguridad.
Estos son solo algunos de los puntos que suelen afectar el resultado de un HAZOP, otros podrán identificarse con el tiempo y la experiencia adquirida mediante la práctica, pero si mantienes estos puntos en mente podrá, no solo sobrevivir a un HAZOP, sino realizar un estudio de calidad.
 
Luis Aular
FSEng TÜV SÜD TP18051529 Functional Safety Specialist with Distinction (Risknowlogy)
Romel Rodriguez
Functional Safety Expert TÜV SÜD TP18010990 | ISA84/IEC 61511 Expert | FSEng TÜV Rheinland 575/07 | PHA Leader

¿Cómo llevar a cabo un HAZOP exitoso y no morir en el intento? Leer más »

Todo cambia, incluido su SIS: El porqué de la necesidad de gestionar el cambio

Gestión de la Seguridad Funcional / /
En seguridad funcional, como parte del programa de integridad mecánica, se deben establecer los lineamientos, responsabilidades y actividades que permitan evaluar, registrar, comunicar e implementar todos los cambios temporales o permanentes asociados a los Sistemas Instrumentados de Seguridad (SIS). 
 
Dicho esto, una vez implementado el SIS y estando ya en operación, pueden presentarse infinidad de factores por los cuales se requiera una modificación del mismo. Los motivos pueden ir desde un diseño inadecuado (que comprometa la confiabilidad del SIS), la ampliación de un sistema que altere las condiciones iniciales hasta la migración a nuevas tecnologías para incrementar la producción, entre otros.
 
La pregunta es: ¿Cómo podemos asegurarnos de que cualquier modificación a un SIS, sea debidamente planificada, revisada y aprobada previa a la ejecución y que, aun así, se mantenga la integridad de la seguridad?
 
La respuesta es: Gestionando los cambios.
 
Debemos asegurarnos de gestionar todas las modificaciones, provenientes de solicitudes como, por ejemplo:
 
  • Incorporación de nuevos equipos o de nuevas SIF al SIS.
  • Cambios de funcionamiento de la SIF.
  • Eliminación o desmantelamiento de una SIF.
  • Modificaciones para corregir fallos sistemáticos.
  • Modificaciones para mejorar la confiabilidad de los procesos.
  • Actualizaciones o cambios de software embebido o de aplicación.
  • Modificaciones provenientes de cambios en la tasa de demanda del SIS.
  • Modificaciones a procedimientos operacionales.
  • Cambios de marca o modelo de los equipos del SIS.
  • Cambios en los requisitos de integridad para la SIF.
  • Modificaciones para corregir errores de software o firmware.

Y cualquier otro que impacte la seguridad de la instalación como se menciona en párrafos anteriores.
 
Haciendo referencia a los requisitos de la norma IEC61511 (cláusula 16), para llevar a cabo una modificación o cambio debe existir un procedimiento que indique como iniciar, planificar, documentar, revisar y aprobar un cambio a un SIS y considerar previamente:
  • Procedimientos que incluyan un método para identificar el trabajo a realizar y los peligros que pudieran presentarse.
  • Justificación o necesidad del cambio propuesto.
  • El impacto sobre la seguridad y salud de las personas e instalaciones.
  • El posible impacto en otras funciones de seguridad.
  • El tiempo durante el cual permanecerá el cambio (en caso de que sea temporal).
  • El personal responsable de autorizar el cambio (no debe comenzar la modificación sin la debida autorización).
  • El personal que debe ser notificado o capacitado para dicho cambio.
  • El impacto en los procedimientos operacionales existentes.
  • Disponibilidad de espacio de memoria y procesamiento en el sistema.
  • Efectos del tiempo de respuesta del SIS.
  • El impacto en la confiabilidad del sistema.
  • Control de la documentación de todas las modificaciones realizadas al SIS.

La revisión de la propuesta de cambio debe ser realizada por personal competente. Así mismo, el personal que será afectado por el cambio debe ser debidamente informado y capacitado antes de su implementación.
 
Es necesario revisar qué fase del Ciclo de Vida del SIS se ve afectada con el cambio y verificar que los procedimientos y la documentación afectada sea actualizada, preservando un registro de las versiones anteriores. Finalmente, antes de poner en marcha las instalaciones, se debe verificar y validar cada SIF afectada.
 
Como vemos, al disponer de un sistema de gestión para el manejo de los cambios en el SIS es que podemos garantizar:
  • Que se realice un análisis completo y apropiado antes de la implementación del cambio.
  • Que no se afecta la reducción de riesgo proporcionada por las SIF.
  • Que se obtiene la aprobación de las partes afectadas.
  • Que la documentación está completa y es consistente con la aplicación en campo.
  • Que el riesgo de la instalación no se ve afectado negativamente.

En conclusión, todo se trata de la necesidad de proteger y salvaguardar adecuadamente la integridad de la seguridad de nuestros Sistemas Instrumentados siguiendo procedimientos para un control documental apropiado, es decir, gestionar el cambio.
 
Recuerde:
“Lo único constante es el cambio”.
Heráclito (filósofo griego).
 
Ninoska La Concha
FSEng TÜV SÜD TP18051525
Romel Rodriguez
Functional Safety Expert TÜV SÜD TP18010990 | ISA84/IEC 61511 Expert | FSEng TÜV Rheinland 575/07 | PHA Leader

Todo cambia, incluido su SIS: El porqué de la necesidad de gestionar el cambio Leer más »

E-Hazop para el Análisis de Peligros en Sistemas de Suministro de Potencia Eléctrica

Análisis de Peligros y Riesgos / /

Un proceso con profundas implicaciones.

En poco más de cien años, el aprovechamiento de la energía eléctrica pasó de ser un mero entretenimiento de ferias a una industria omnipresente en todo el quehacer humano, desplazando en un corto lapso de tiempo a otras tecnologías como la iluminación con fuego y la
motorización industrial con el vapor, al mismo tiempo que daba origen a una nueva revolución en cada aspecto de la vida moderna.

La potencia eléctrica se elabora en una planta que conecta en línea a la fuente de materia prima con el consumidor final, porque este debe ser confeccionado a demanda y en tiempo real. La planta tiene una dieta muy variada, principalmente combustibles fósiles y nucleares, caudales de agua y, en menor grado, el viento y la radiación solar pero también transforma calor geotermal y subproductos de otras industrias. En su infraestructura existen calderas, tanques de almacenamiento, estaciones de bombeo y ductos, pero el grueso del equipamiento lo constituyen generadores eléctricos, subestaciones y kilómetros de líneas eléctricas.

El control básico está distribuido por toda la red y combina automatización con intervención de operadores humanos. Cuando alguna variable rebasa los límites de diseño, se activa, de forma autónoma, el sistema de protecciones con un diseño diverso y redundante. Su lógica operacional debe resolver de forma eficiente el dilema de continuidad versus seguridad en tiempos de seguridad de proceso, que pueden ser tan breves como milésimas
de segundos.

La relación tan intrincada que guarda esta industria con la sociedad la sitúa en un espectro de riesgos multifactoriales (1). Se han identificado riesgos comunes con la industria de procesos que afectan a personas, medio ambiente y activos, pero la visión se amplía a otras situaciones contraproducentes como el riesgo de penalización por suministro deficiente, daños a la imagen corporativa, riesgos de vulnerabilidad que merman la respuesta operacional frente ataques o eventos improbables y riesgos originados en cambios regulatorios que inviabilicen la actividad económica. Si se revisa la posibilidad de ser, además, un servicio público, los riesgos se incrementan de forma exponencial.

Es muy común que la actividad se desarrolle mediante concesión exclusiva; por lo cual, el estado otorgante establece rigurosamente los parámetros técnicos y económicos. Como ejemplo, en el Reino Unido el regulador energético OFGEN sugiere a las empresas seguir la recomendación PAS 55 del Instituto Británico de Estándares (2) con la intención de tratar los riesgos de la actividad con igual importancia que la gestión de los activos, la mejora del desempeño y el control de los costos en el ciclo de vida. Cualquier organismo regulador estaría en mejor disposición de aprobar incrementos tarifarios a compañías eléctricas que demuestren inversión de recursos en detectar y prevenir factores de riesgo que amenacen la calidad de la energía.

La gran necesidad de métodos prácticos para adquirir conocimiento sobre el manejo de los riesgos en sistemas eléctricos hizo foco de interés en la experticia ganada desde los años 60 por la industria química y de procesos con la técnica Hazop. Se desarrollaron variantes como el E-Hazop o Electrical Hazop (3), el SAFOP (Safety and Operability Analysis), el ESR (Electrical Safety Review) que tienen como fin común, identificar los peligros de mayor importancia derivados del fluido eléctrico y de la actividad operacional.

La técnica en la práctica.

El E-Hazop requiere como insumo de entrada la información descriptiva de la red de suministro eléctrico (disposición de equipos, topografía de líneas eléctricas, diagramas unifilares, esquema de protecciones, etc.), datos operacionales (indicadores de servicio, parámetros en condiciones normales y emergencia, perfiles de tensiones, despacho de carga, planes de contingencias, etc.) y regulaciones de obligatorio cumplimiento (normas de salud laboral y protección ambiental, normas del servicio, etc.). Se agrupan expertos de las especialidades de operación, mantenimiento y construcción pero, según los peligros a estudiar, también pudiera ampliarse a otras áreas como seguridad laboral, informática y comunicaciones. Un líder dinamiza la discusión para un máximo provecho de recursos y un secretario controla la calidad de la información en movimiento. Se divide la red eléctrica en partes más pequeñas o nodos considerando criterios como la función (producción, transmisión o distribución) o el nivel de voltaje (alta, media o baja tensión). El grupo de expertos identifica los peligros de mayor relevancia en cada nodo combinando una Variable presente en esa parte del sistema con una Palabra Clave que califique su desviación de los límites normales. Corriente, voltaje, frecuencia y ángulo de fase son las variables principales en los elementos que canalizan la electricidad, pero también se deben incorporar variables de presión, flujo, temperatura, nivel y tiempo porque en la red eléctrica existe equipo con accionamiento neumático, almacenamiento y bombeo de combustibles, circulación de fluidos refrigerantes y aislantes, confinamiento en gas SF6 y otros sistemas auxiliares que operan bajo principios mecánicos. Identificadas las desviaciones, se procede a describir posibles causas, consecuencias, probabilidad de ocurrencia, medidas de prevención y/o mitigación y recomendaciones a implantar.

El tratamiento cualitativo del E-Hazop se adapta perfectamente al análisis de riesgos en ciertas partes del sistema eléctrico en donde es muy difícil utilizar números para describir el fenómeno por las características eminentemente aleatorias de los eventos iniciadores o por la carencia de datos confiables. Este es el caso de los daños originados por la naturaleza como terremotos, inundaciones, tormentas y fenómenos de estudio reciente como las tormentas solares. Otra de las fuentes de peligros que se comportan con frecuencias y severidades impredecibles es la participación del ser humano en daños a la integridad física de los equipos, hackeo, protestas, inclusive cambios económicos y regulatorios adversos.    

El E-Hazop es una excelente alternativa para hacer una exploración acuciosa del comportamiento de la red eléctrica ante amenazas identificables por los equipos multidisciplinarios que la operan. En términos de disponibilidad de data, complejidad de la técnica y la precisión de los resultados se encuentra en un punto intermedio entre las metodologías más simples como el Análisis de Riesgos Mayores o Sesiones de Brainstorming y las técnicas más complejas como el FTA, ETA, Análisis de Confiabilidad, Redes Bayesianas o Análisis de Benchmarking (4). Comparte similitudes con otras técnicas como las Matrices de Riesgos y el Análisis de Seguridad en el Puesto de Trabajo.

Dado que no existe un método libre de imperfecciones y que reúna en una sola técnica a todas las ventajas se suele emplear variaciones del E-Hazop. Ejemplo de esto es el SAFOP, desarrollado para los sistemas eléctricos que operan como servicios adicionales dentro de instalaciones petroleras. Se compone de tres estudios que tratan peligros diferentes (5): la afectación a personas se determina mediante el SAFAN (Safety Analysis), el desempeño de la red eléctrica se evalúa con el SYSOP (System Security and Operability Analysis) y, por último, la efectividad de los procedimientos operacionales y el factor humano se estudia con el OPTAN (Operator Task Analysis).

El análisis SAFAN se asemeja mucho al Checklist, puesto que el grupo de expertos se apoya en una lista pre-elaborada de Peligros Clave construidos al combinar un Identificador para referirse al origen del daño y una Alerta para describir su mecanismo de actuación. Con la lista en mano, el grupo de expertos procede a identificar los Peligros Clave en cada sección de la red que, a su juicio, sean una amenaza relevante para las personas. Deben justificar su respuesta redactando la Situación de Exposición, que no es más que un texto que describe las condiciones y equipos que pueden materializar un daño en las personas. Es válido que se identifique más de un Peligro Clave y más de una Situación de Exposición en un único nodo. Para cada caso, se emiten recomendaciones de prevención y/o mitigación. Es lógico pensar que el nivel de riesgo variará con el grado de responsabilidad que tiene la persona con la red eléctrica y es por este motivo que el análisis se realiza por grupos homogéneos de individuos como, por ejemplo, operadores del sistema, usuarios finales del servicio, moradores o transeúntes en las cercanías de la red, etc. El resultado del análisis SAFAN va a tener efecto en los criterios de diseño, en las normativas de seguridad personal, la redacción de manuales operacionales, etc.

El análisis SYSOP también emplea una combinación de un Indicador más una Alerta, para buscar desviaciones que incidan negativamente en la seguridad del servicio, tal cual un Hazop detecta anormalidades que afectan la continuidad o integridad de un proceso. La primera tarea del grupo de análisis es dividir el diagrama del sistema eléctrico en Subsistemas más sencillos usando un criterio que permita fraccionar la red en unidades integrales pero fáciles de diagnosticar. Se describe la intención de diseño del Subsistema indicando parámetros de operación normales y condiciones seguras que deben estar presentes. Se identifican sus Componentes (transformadores, SCADA, interruptores, seccionadores, relés, servicios auxiliares, etc.). El grupo de expertos hará un barrido de todas las desviaciones en cada componente. Por ejemplo, “No Abre”, “No Cierra”, “No Refrigera”, “Vibra”, etc., son desviaciones que afectan a Componentes de control, señalización o conducción de la energía eléctrica. Pero “Cortocircuito”, “Falla a Tierra”, “Sobrecarga” en Componentes de protección tendrán trato diferenciado porque son las desviaciones más severas que inhabilitan la última capa de protección con que cuenta el sistema eléctrico. Se completa el análisis con una explicación de las causas de la desviación, consecuencias y posibles medidas de corrección. Es normal que deba repetirse el análisis de un Subsistema ya estudiado individualmente, porque el grupo de trabajo detectó que este interactúa con otro diferente produciendo un efecto combinado y, por ello, una desviación no considerada. El SYSOP producirá eventuales cambios en el diseño de la red, en el esquema de protecciones, obras de mejoramiento, actualización de procedimientos de operación o mantenimiento, etc.

El estudio OPTAN, generalmente, se inicia luego que el SAFAN y el SYSOP han aportado conocimientos de los peligros potenciales, dando al proyecto la oportunidad de perfilar los primeros procedimientos de maniobra de la instalación eléctrica. Con este análisis el grupo de trabajo detectará si los operadores, siguiendo las instrucciones escritas, actuarán con la mínima posibilidad de error en una red eléctrica bajo condiciones normales o transitorias. Para cada puesto de trabajo en sala de control o en campo se aplica una lista de preguntas construidas previamente mediante la combinatoria del Deber del puesto (tarea de rutina, maniobra y acción de emergencia), la Actividad indicada en el manual (monitoreo, decisión o acción), una Alerta de desempeño del operador (entrenamiento, conocimiento, autoridad, información) y el Componente que se opera o Secuencia de Operaciones a seguir. Como ejemplo, al combinar acción de emergencia + decisión + entrenamiento + interruptor a un operador de campo induce a formular la pregunta: ¿El operador tiene el entrenamiento para validar las condiciones adecuadas antes de accionar el interruptor de salida con el mando local (abrir, cerrar, leer señales, consignación)? Los posibles resultados a todas las preguntas son “Si”, “No” o “Depende de” acompañado de una argumentación. En los casos “Si”, el estudio finaliza favorablemente; con resultado “No”, se debe generar una recomendación de mejora; mientras que, el resultado de los casos “Depende de”, va en relación ese condicionante.

Un aprendizaje con excelentes beneficios. 

Si bien estas técnicas derivadas del Hazop se adaptan especialmente al manejo de la mantenibilidad y operabilidad de instalaciones de producción y distribución de energía eléctrica en plena explotación, todos los métodos mencionados pueden aplicarse en cualquier etapa del ciclo de vida. Por ejemplo, en el diseño conceptual ya existe información suficiente para un SAFAN o SYSOP preliminar, aunque no sea practicable un OPTAN por la falta procedimientos de operación en fases tan tempranas.

En la fase de ingeniería de detalle, se pueden volver a realizar el SAFAN y el SYSOP para determinar con mejor certeza si las recomendaciones tienen los efectos positivos en la seguridad del proyecto. Con el diseño definitivo de la red terminado y con los manuales de seguridad y operación de los equipos seleccionados ya puede acometerse el estudio OPTAN para modelar procedimientos de operación, sumando ese conocimiento a los criterios de diseño tradicionales como la experiencia y las normativas.

El E-Hazop es de gran valor para la investigación de problemas rutinarios y desconocidos en sistemas eléctricos porque ofrece un vínculo de integración entre disciplinas que son claves, como análisis financiero, tarifación, diseño de redes, construcción, operación, mantenimiento, seguridad laboral, etc., que tradicionalmente se limitan al intercambio de datos estáticos cuando la realidad del mercado exige toma de decisiones basadas en datos muy cambiantes.

Para el E-Hazop se abren interesantes posibilidades de aplicación en el análisis de riesgos que enfrentarán los distribuidores de energía eléctrica en el futuro inmediato, como es la adaptación de las redes para acoger a la creciente movilidad eléctrica o la evaluación de la eficacia de las fuentes alternativas de energía.

“La forma más elevada de inteligencia consiste en pensar de manera creativa”

Sir Ken Robinson

José Fernández

FSEng TÜV SÜD TP18051521

Romel Rodríguez

Functional Safety Expert TÜV SÜD TP18010990 | ISA84/IEC 61511 Expert | FSEng TÜV Rheinland 575/07 | PHA Leader

 

1-  Sand, K., Gjerde, O. & Nordgård, D. E. (2007). Current risk exposure in the distribution sector. Initial study. Trondheim, SINTEF Energy Research

2-  Nordgård, D. E et al (2010). Risk Assessment Methods Applied to Electricity Distribution System Asset Management. SINTEF Energy Research and Norwegian University of Science and Technology.

3-  Lourido, Lisardo. Aplicación del Método HAZOP para Análisis de Riesgos en Instalaciones Eléctricas Industriales.

4-  Aven, T. (2008). Risk Analysis. Assessing Uncertainties Beyond Expected Values and Probabilities. Chichester, Wiley.

5-  Geldof, C.W. et al (2001). The Shell Petroleum Development Company of Nigeria. Safety And Operability Studies On electrical Power Systems.

E-Hazop para el Análisis de Peligros en Sistemas de Suministro de Potencia Eléctrica Leer más »