Seguridad Funcional

Características de una IPL

Análisis de Peligros y Riesgos, Asignación del SIL / /

Partiendo de la publicación de Introducción a las Capas de Protección, en las próximas publicaciones iré describiendo a profundidad cada una de las características de las IPL allí listadas. En este caso, hablaré sobre la especificidad de una IPL.

Figura 1. Características de las IPL – Específica

Para entender la importancia de esta característica, es necesario tener en cuenta que el diseño de cada planta de procesos es como “un traje a la medida” y que, aun cuando la materia prima y los productos sean los mismos, siempre existen diferencias como las condiciones ambientales, la tecnología usada, los requerimientos de calidad o el marco legal. Adicionalmente, el personal que las opera es distinto y, por ende, los puntos débiles en el mantenimiento, los procedimientos operacionales y la interacción con los sistemas instrumentados también difieren.

…el
diseño de cada planta de procesos es como un traje a la medida…

El hecho de que cada planta sea única es el motivo por el cual un análisis de peligros y riesgos no puede ser válido para más de una planta. A su vez, la International Electrotechnical Commission en su normativa de estudios de peligros y operabilidad (IEC 61882, 2016) indica que cada escenario debe ser analizado individualmente. De igual manera, las IPL deben ser específicas para proteger un escenario determinado, esto permite definir cuáles IPL realmente aplican a cada escenario.

 Es importante aclarar que, aunque se dice que una IPL debe ser específica para un escenario determinado, esto depende de la definición de escenario que se use. En estas publicaciones he definido un escenario peligroso como el par causa-consecuencia de manera detallada (ejemplo: alto nivel, debido a falla del lazo de control, con posible derrame); diferente de otros autores que definen al escenario como una desviación (alto nivel del tanque). En el primer caso; una IPL puede estar asociada a varios escenarios, debido a que múltiples causas pueden conducir al mismo evento (IEC 61511, 2016); mientras que, el segundo caso no (porque se enfoca en la desviación del proceso, en vez de las causas o consecuencias).

 

…una IPL
puede estar asociada a varios escenarios…

 

Adicionalmente, el Center for Chemical Process Safety (CCPS, 2014) indica que una IPL también debe ser específica en cuanto a:

  • Diseño: Debe ser diseñada de manera específica para el proceso que protege, tomando en cuenta el entorno operativo, las condiciones ambientales, robustez de los instrumentos, accesibilidad, mantenimiento requerido, etc.
  • Funcionamiento: Debe actuar sólo durante el modo de operación asignado, ejecutar una acción específica para prevenir o mitigar el escenario peligroso y en un tiempo determinado.

 

Lo que se busca con esta característica es que las protecciones en la planta no se coloquen deliberadamente con el pensamiento errado de que mientras más protecciones se incorporen más segura estará la planta, porque esto no siempre se cumple; en su lugar, puede conducir a una distribución inadecuada de las capas de protección independientes, donde se tengan IPL asociadas a escenarios que no las necesitan o insuficientes IPL en escenarios de alto riesgo.

 

En este sentido, se debe garantizar que los escenarios asociados a una IPL estén bien definidos y que la incorporación de cada IPL sea coherente con la desviación del proceso asociada, todo esto con el fin de que operen según es requerido, cuando es requerido, para prevenir el desarrollo o mitigar las consecuencias de uno o varios escenarios peligrosos determinados. En resumen, la especificidad de las IPL es una característica que debe ser considerada desde el diseño de la planta y tomada en cuenta a lo largo de su vida útil.

 

Referencias:

 

  1. Center for Chemical Process Safety (2014). Guidelines for Initiating Events and Independent Protection Layers in Layer of Protection Analysis. New Jersey, United States of America: Wiley.
  2. International Electrotechnical Commission. (2016). Hazard and operability studies (HAZOP studies) – Application guide. (IEC Standard No.61882). Geneva, Switzerland.
  3. International Electrotechnical Commission. (2016). Functional safety – Safety instrumented systems for the process industry sector – Part 3: Guidance for the determination of the required safety integrity levels. (IEC Standard No.61511). Geneva, Switzerland.

 

Características de una IPL Leer más »

Elementos del Escenario Peligroso – Introducción a las Capas de Protección

Asignación del SIL / /
Con la intención de continuar con las publicaciones de los factores que intervienen durante el Desarrollo de un Escenario Peligroso, tales como: las Condiciones Habilitadoras y los Modificadores Condicionantes, en esta ocasión hablaré sobre las Capas de Protección (ver figura 1).
Figura 1. Desarrollo de un Escenario Peligroso
 
Como su nombre lo indica, una capa de protección representa una defensa del proceso o de la instalación que tiene como objetivo evitar que los Escenarios Peligrosos resulten en impactos sobre el personal, el ambiente o los activos.
El Center for Chemical Process Safety (CCPS, 2014) clasifica a las capas de protección de la siguiente manera:
 
  •   Según su funcionamiento:
    • Activas: Implican una acción o un cambio de estado (abierto / cerrado) en respuesta a una desviación de las condiciones normales de proceso. Por ejemplo:
      • Alarma con acción del operador asociada.
      •  Lazo de control.
      • Función instrumentada de seguridad.
    • Pasivas: No involucran una acción, pueden lograr cumplir su función si son diseñadas, construidas, instaladas y mantenidas en forma correcta. Por ejemplo:
      • Diques de contención.
      • Facilidades construidas a prueba de explosión y fuego.
      • Arresta llama.
  • Según su ubicación en el desarrollo del escenario peligroso:
    • Preventivas: Detienen el desarrollo del escenario peligroso antes de que alcance el evento tope (ver figura 2). Entre las más comunes se encuentran:
      • Sistema Básico de Control de Procesos.
      • Sistemas de Alarmas.
      • Sistemas Instrumentados de Seguridad.
 
Figura 2. Capas de Protección Preventivas
    • De mitigación: Reducen la consecuencia de un escenario peligroso tope (ver figura 3). Entre las más
      comunes se encuentran:

      •  Sistemas de Detección de Gas y Fuego.
      • Sistemas de Contención.
      • Sistemas de Extinción de Fuego.
 
Figura 3. Capas de Protección de Mitigación
Lo importante de una capa de protección no es su clasificación, sino que pueda ser acreditada como Capa de Protección Independiente (IPL: Independent Protection Layer).
La International Electrotechnical Commission (IEC, 2016) define una IPL como cualquier mecanismo que reduce el riesgo mediante control, prevención o mitigación. Este mecanismo puede tratarse de un solo dispositivo, un sistema o una acción del operador. 
La principal diferencia entre cualquier protección del proceso y una IPL, es que esta última es acreditada para reducir una brecha de riesgo determinada, siempre y cuando cumpla con los siguientes criterios exigidos por IEC (IEC, 2016):
  • Reduce el riesgo del escenario peligroso, al menos en 10 veces.
  • Proporciona un alto grado de disponibilidad (0,9 o superior).
  • Cumple con las siguientes características:
    • Especificidad: Es diseñada únicamente para prevenir la ocurrencia o mitigar las consecuencias de un escenario peligroso.
    • Independencia: Es independiente de las otras capas de protección asociadas con el escenario.
    • Confiabilidad: Se puede contar con la IPL para que realice la acción para la que fue diseñada.
    • Auditabilidad: Está diseñada para facilitar la validación regular de las funciones de protección. Solo aquellas capas de protección que cumplen con las pruebas de disponibilidad, especificidad, independencia, confiabilidad y auditabilidad se clasifican como IPL.
Por su parte, el Center for Chemical Process Safety (CCPS, 2014) establece las siguientes características:
  • Independencia: El rendimiento de la IPL no es afectado por el evento iniciador ni por el fallo de otra IPL.
  • Funcionalidad: Previene o mitiga las consecuencias de un escenario.
  • Integridad: Es capaz de reducir una brecha de riesgo determinada.
  • Credibilidad: Opera de la manera correcta, en el tiempo correcto.
  • Auditabilidad: Se revisan los procedimientos, registros, evaluaciones, validaciones y otra información asociada a la IPL para garantizar que el diseño, las pruebas, el mantenimiento y la operación continúen cumpliendo con las expectativas.
  • Accesibilidad segura: Se implementan controles físicos y / o administrativos para reducir la posibilidad de cambios no autorizados en el sistema que puedan afectar la IPL.
  • Documentada: Se emplea un proceso formal de manejo del cambio para revisar, aprobar y registrar los cambios en los procedimientos, materiales, procesos, equipos o instalaciones.

Aunque IEC y CCPS difieran en el número de características y en los términos usados, en esencia, se busca que toda IPL sea:   

  • Específica.
  • Independiente.
  • Efectiva (efectividad / funcionabilidad).
  • Confiable (confiabilidad e integridad).
  • Auditable.
  • Restringida a un acceso seguro.
  • Documentada (incluyendo el manejo del cambio).
 
Posterior a la acreditación de una IPL, debe mantenerse un sistema de gestión adecuado que garantice que la reducción de riesgo a cargo de la IPL se mantenga en el tiempo, como se explica en Trabajando en Seguridad Funcional: La importancia de gestionar las Capas de Protección Independientes.
Sin embargo, se debe tener en cuenta que, a pesar de los esfuerzos por garantizar la acreditación de una IPL a lo largo de la vida útil de la instalación, ellas igual pueden fallar; sobre todo cuando son IPL instrumentadas. Por esto, es beneficioso tanto para el diseño como para la operación y el mantenimiento del proceso que, en la medida de lo posible, se traten los riesgos mediante un diseño intrínsecamente seguro.
Además, los casos en los que se requieren muchas IPL para cubrir una brecha de riesgo, pueden ser una señal de vulnerabilidades en el diseño del proceso; por lo cual, es valioso tener la destreza de identificar cuándo se trata de procesos típicamente asociados a riesgos altos, y cuándo se trata de un diseño débil en el que se intenta cubrir el riesgo con la adición de IPL.
Referencias
  1. Center for Chemical Process Safety (2014). Guidelines for Enabling Conditions and Conditional Modifiers in Layer of Protection Analysis. New Jersey, United States of America: Wiley.
  2. International Electrotechnical Commission. (2016). Functional safety – Safety instrumented systems for the process industry sector – Part 1: Framework, definitions, system, hardware and application programming requirements. (IEC Standard No.61511). Geneva, Switzerland.

Elementos del Escenario Peligroso – Introducción a las Capas de Protección Leer más »

Trabajando en Seguridad Funcional: La importancia de gestionar las Capas de Protección Independientes

Gestión de la Seguridad Funcional / /

Los Análisis de Capas de Protección (LOPA: Layer Of Protection Analysis) se han convertido en una de las herramientas más utilizadas en la industria de procesos para identificar, analizar y evaluar las funciones de seguridad necesarias para alcanzar los criterios de riesgo de una instalación.

Un LOPA nos permite: (a) identificar las funciones de seguridad requeridas, (b) verificar si existen suficientes capas de protección acreditables para evitar o mitigar un posible evento peligroso (en términos de independencia, integridad, efectividad, especificidad y auditabilidad), (c) determinar la brecha de riesgo remanente, una vez contabilizadas todas las capas de protección acreditadas y (d) determinar si es necesario colocar una nueva capa de protección, y sí la misma resulta en una Función Instrumentada de Seguridad (SIF), estimar su SIL asociado.

Al trabajar en el marco de la norma IEC 61511 podemos identificar los requisitos funcionales y de integridad para que las SIF logren la reducción de riesgo requerida, en conjunto las capas de protección acreditables como IPL (IPL: Independent Protection Layer).

El desempeño o SIL (Safety Integrity Level) que debe alcanzar una SIF, está directamente relacionado al buen funcionamiento de todas las IPL consideradas en cada escenario. Si las IPL nos son validadas, probadas y mantenidas apropiadamente, el riesgo estimado puede incrementarse y los accidentes pudieran presentarse de forma más frecuente de lo que fue previsto durante el análisis.

Situaciones comunes como cambios en el diseño, modificación del punto de ajuste de una alarma, eliminación de algún dispositivo, o la falta de mantenimiento pueden afectar la integridad de una IPL, creando una situación potencial de riesgo no cubierto (ni por el SIS ni por la capa que ha sido eventualmente degradada), como podemos apreciar en las siguientes figuras.

 

Figura 1                                                                         Figura2

Identificar una IPL durante las sesiones de trabajo del LOPA es de suma importancia, el grupo de análisis utiliza la información relacionada al proceso para identificar las capas de protección disponibles (P&ID, Filosofías de Control, Manuales, etc.), pero no tiene el tiempo o los recursos para asegurar que cada IPL considerada cumplirá con los requisitos que la acreditan como tal.

A pesar de que el equipo que participa en un LOPA puede identificar las IPL que apliquen a cada escenario, dentro de sus responsabilidades no está el velar por su correcta implementación. Si no existen medios que permitan validar su funcionamiento es muy fácil exponer al personal y la instalación a un riesgo no considerado.

La norma IEC 61511 no regula el diseño, mantenimiento y operación de las IPL (no SIF), pero en ella se establecen evaluaciones (o assessment) que deben ser realizadas durante el diseño, antes de la puesta en marcha y durante la operación en las que debemos considerarlas. El buen funcionamiento de las IPL depende de la forma en que cada organización maneje su sistema de integridad mecánica (por ejemplo, como parte la Gestión de Seguridad de Procesos PSM).

Como vemos, las IPL (en conjunto con las SIF) nos ayudan a mantener los niveles de riesgo dentro de valores tolerables al evitar (o mitigar) la propagación de un evento peligroso. Pero, debemos recordar que la correcta implementación de una IPL inicia desde el momento que documentamos las sesiones de un LOPA, y solo se alcanza cuando todo el personal encargado de su funcionamiento o involucrado en su mantenimiento se hace consciente que, además del proceso de selección, es importante gestionarlas, validarlas, probarlas, auditarlas y documentarlas apropiadamente a lo largo de su vida útil.

Trabajando en Seguridad Funcional: La importancia de gestionar las Capas de Protección Independientes Leer más »

Elementos del Escenario Peligroso -Introducción a los Modificadores Condicionantes

Análisis de Peligros y Riesgos, Asignación del SIL / /
Continuando con las publicaciones de los factores que intervienen durante el Desarrollo de un Escenario Peligroso, tales como: las Condiciones Habilitadoras y las Capas de Protección, en esta ocasión hablaremos sobre los Modificadores Condicionantes, (ver Figura 1).
 
 
Figura 1. Desarrollo de un Escenario Peligroso
 
Un Modificador Condicionante (MC) es una condición inherente al proceso y/o a la instalación, expresada en probabilidad, que afecta el nivel de la severidad de la consecuencia de un escenario peligroso, una vez ocurrido el evento tope.

Sin embargo, los MC solo deben considerarse en el cálculo de riesgo de escenarios peligrosos cuando la consecuencia está definida en términos de impacto (por ejemplo: fatalidad, pérdida de activos, etc.).
 
Entre los MC más conocidos se encuentran:
  • Probabilidad de atmósfera peligrosa.
  • Probabilidad de explosión.
  • Probabilidad de ignición.
  • Probabilidad de presencia de personal, entre otros. 

De hecho, estas probabilidades son más conocidas en la industria de seguridad de los procesos que el propio término de Modificador Condicionante, debido a que por años se han empleado en los cálculos de riesgo.

Entonces, ¿por qué usar el término Modificador Condicionante? porque todas las probabilidades mencionadas anteriormente modifican el nivel de severidad de la consecuencia, lo que permite agruparlas como Modificadores Condicionantes. De esta manera, se simplifican los términos asociados a los escenarios peligrosos y se evita que se considere varias veces el MC para el cálculo de riesgo de un mismo escenario, garantizando así:
  • Independencia entre el MC y otros factores del escenario peligroso: los MC no deben ser tratados como capas de protección, tampoco deben ser considerados para la estimación de la frecuencia del evento iniciador, ni deben ser confundidos con Condiciones Habilitadoras.
  • Independencia entre el MC y la consecuencia: La estimación de la consecuencia se debe realizar sin considerar el MC. De lo contrario, se estaría reduciendo el nivel de severidad de la consecuencia de manera implícita.
Para entender cómo estas probabilidades afectan el nivel de severidad de la consecuencia, consideremos como ejemplo un escenario peligroso con una consecuencia expresada en términos de fatalidad del personal; mientras mayor sea el valor del Modificador Condicionante de “Probabilidad de Presencia de Personal” mayor será el número de fatalidades esperado, por ende, mayor el nivel de severidad de la consecuencia.
A pesar de que en el ejemplo anterior el MC se empleó para considerar que aumentaba el nivel de severidad de la consecuencia, la realidad es que en muchos casos se aplica para disminuirla, algunas veces de manera intencional, otras simplemente por falta de información sobre su uso. Esto afecta significativamente el cálculo del riesgo de un escenario, por lo cual, el uso de los MC debe ser claro y consistente. Lo ideal es que las empresas stakeholders o consultoras que realizan análisis de riesgo, tengan estandarizadas las condiciones y requisitos para el uso de los MC.
Una buena práctica durante los Análisis de Capas de Protección (LOPA) es usar los MC solo cuando los mismos son capaces de anular la severidad de la consecuencia del escenario, es decir, solo cuando el MC lleva al nivel de severidad de la consecuencia a cero. Por ejemplo, cuando se asume que no hay presencia de personal en el área (zona normalmente no atendida).
En conclusión, el uso de MC durante la estimación del riesgo permite ajustar el nivel de severidad de la consecuencia del escenario peligroso con el fin de obtener resultados representativos. Sin embargo, los MC no deben ser considerados en la estimación del riesgo cuando no se tiene suficiente conocimiento o información sobre su uso, no sean parte de un sistema de gestión, o cuando su uso no sea coherente con los criterios de la empresa.

Elementos del Escenario Peligroso -Introducción a los Modificadores Condicionantes Leer más »

¿Se debe Considerar el Sistema de Detección de Fuego y Gas como una Función Instrumentada de Seguridad?

Sistemas de Seguridad con Requerimientos Especiales / /
Para responder esta pregunta es necesario definir el Sistema de Detección de Fuego y Gas (SDFyG). Un SDFyG es aquel diseñado e instalado para proteger contra los riesgos de fuga de gas (combustible, inflamable o tóxico) y fuego dentro de áreas monitoreadas; capaz de detectar el evento peligroso en su etapa incipiente, permitiendo tomar medidas inmediatas para su control y mitigación. La efectividad de este sistema, según el reporte técnico ISA TR84.00.07 y el Handbook de SFPE, se basa en tres (3) factores principales:
  • Cobertura de detección: Es la probabilidad que tiene el sistema de poder detectar el evento peligroso específico para el cual fue diseñado. Este factor es comúnmente descartado en las Funciones Instrumentadas de Seguridad (SIF), debido a que se da por sentado que el sensor tiene la capacidad de detectar la variable que está monitoreando (p.e. presión, temperatura, flujo, etc.), y solo fallaría en caso de problemas con la tubería de conexión, lo que usualmente es poco probable.
  • Disponibilidad de seguridad: Es la probabilidad de que el sistema actúe durante una demanda y está asociada al hardware. Se calcula de forma similar a la Probabilidad de Falla en Demanda Promedio (PFDavg) de una SIF, pudiendo utilizar las técnicas presentadas en el reporte técnico ISA TR84.00.02 considerando las tasas de falla aleatorias de los elementos sensores, controlador de lógica y los elementos finales; así como, las arquitecturas utilizadas para cada grupo de elementos, períodos de prueba, entre otros.
  • Efectividad de Mitigación: Es la probabilidad que tiene el sistema de reducir exitosamente las consecuencias del evento peligroso específico para el cual fue diseñado.
De conformidad con la norma IEC 61511: 2016, podemos decir que una SIF es aquella diseñada para alcanzar un Nivel de Integridad de Seguridad (SIL), con la intención de alcanzar y mantener un estado seguro para el proceso y trabajar en conjunto con otras capas de protección para la reducción de un riesgo específico.
En base a lo anterior, para que una Función de Seguridad (FS) del SDFyG pueda considerarse como una SIF, el mismo debe garantizar la detección del evento peligroso, alcanzar y mantener un estado seguro del proceso, estar definida para un riesgo en específico, tener asociado un SIL y, adicionalmente, debe poder definirse la Especificación de los Requisitos de Seguridad (SRS) (tiempo de respuesta, fallos de causa común, requisitos para las prioridades / las inhibiciones / los desvíos, entre otros); tal como lo establece la norma IEC 61511: 2016.
Los puntos que realmente marcan la diferencia entre una FS del SDFyG y una SIF están referidas a la capacidad de detección y la efectividad para reducir el riesgo, debido a que en el caso de un SDFyG existen muchos factores que afectan estas características; por lo que, generalmente es difícil garantizar que un SDFyG alcance y mantenga un estado seguro del proceso, así como generar una reducción de riesgo equivalente al menos de SIL 1 (10 – 100).
Entre los factores que afectan la posibilidad de que el evento peligroso se encuentre dentro del área de detección de un SDFyG, están:
  • Cambios en la dirección y velocidad del viento.
  • Puntos de ignición inesperados.
  • Objetos que desvíen el escape de material u obstaculicen el “campo de detección” del sensor.
  • Cantidad suficiente o insuficiente del material asociado a la fuga (tamaño de la nube o de la llama).
  • Inadecuado posicionamiento del sensor (distancia, altura, dirección e inclinación)
Algunos de los factores que influyen en la efectividad reducir el riesgo (o de la mitigación en este caso) son:
  • Falla del sistema automático de extinción de incendios.
  • Efectividad del método de extinción de incendios (polvo químico, agua, espuma, etc.).
  • Ocurrencia de un evento peligroso mayor al esperado.
  • Falla de la extinción manual de respaldo.
  • Afectación y vulnerabilidad del personal durante el combate del incendio.
  • Falla de la ventilación posterior a la extinción del incendio.
Para ilustrar lo antes dicho, presentamos un árbol de eventos con los factores que afectan el rendimiento de sistemas de detección de fuego y gas, considerando valores optimistas para la mayoría de los casos de detección, disponibilidad de seguridad y mitigación:
Tal y como se puede observar en el ejemplo, a pesar de usar equipos certificados y tener una disponibilidad de seguridad equivalente a SIL 2 (0,99 – 0,999), comúnmente obtenidos en el mercado, el factor de reducción de riesgos alcanzado por la FS del SDFyG es ligeramente mayor a 5, siendo menor que la banda inferior de SIL 1 (10 – 100). Este ejemplo refuerza lo antes dicho, es poco probable para la mayoría de los casos poder considerar las FS de los SDFyG como SIF, ya que es necesario que las mismas posean un nivel de desempeño elevado, el cual de acuerdo con los cálculos es una cobertura de detección y efectividad de mitigación superior a 0,90.
Sin embargo, existen excepciones en los cuales se podría considerar los SDFyG como SIFs, por ejemplo:
Una caseta de pintura, la cual impide la disipación de los gases inflamables y tóxicos, pudiendo alcanzar concentraciones potencialmente peligrosas dentro de la caseta. Una de las posibles acciones para proteger al personal contra este peligro, es tener un control de acceso, y alarma al detectarse altas concentraciones de gases inflamable y/o tóxicos. Es posible asumir que la cobertura de detección es cercana a 100% por encontrarse dentro de un área cerrada, y al realizar esta acción garantizaría que el personal no se vea afectado, siempre y cuando los dispositivos asociados al SDFyG funcionen de manera apropiada al momento de la demanda.
De forma general podemos decir que las funciones de seguridad asociadas a los SDFyG no deben ser consideradas como SIFs, salvo contadas excepciones, ya que los mismos no cumplen con todos los requisitos que exige la norma IEC 61511: 2016, siendo los más determinantes el no poder alcanzar y mantener el estado seguro del proceso; y la capacidad de detectar el evento peligroso específico para el cual se supone ha sido diseñado, lo que probablemente impedirá que alcance una reducción del riesgo en al menos un factor de 10 (SIL 1).
Se recomienda que los SDFyG tengan un Ciclo de Vida de Seguridad (CVS), dentro del cual el diseño sea realizado con un enfoque basado en desempeño. El usuario final debe garantizar que los mismos sean operados y mantenidos de forma que la reducción de riesgo que le ha sido asignada permanezca vigente durante toda su vida útil.

¿Se debe Considerar el Sistema de Detección de Fuego y Gas como una Función Instrumentada de Seguridad? Leer más »

Trabajando en Seguridad Funcional: La Gestión de las Competencias del Personal

Gestión de la Seguridad Funcional / /

La historia reciente ha demostrado que las normativas y regulaciones que rigen las actividades de la industria de los procesos no son  suficientes para evitar accidentes y que muchos accidentes importantes han tenido como causa raíz deficiencias en las competencias del personal. Fomentar una cultura de seguridad y garantizar las competencias del personal que labora en cada organización son factores determinantes a la hora de mantener el riesgo en un nivel tolerable.

Cuando hablamos de Seguridad Funcional, la normativa internacional para la industria de los procesos IEC 61511 y su equivalente ISA 84.00.01 (punto 5.2.2 Organización y Recursos) nos indican cuales son las áreas en las que (como mínimo) deben ser competentes las personas encargadas de realizar cualquiera de las tareas de las que son responsables al diseñar, mantener y operar, de forma adecuada, un Sistema Instrumentado de Seguridad (SIS).

Pero, a menudo nos formulamos la pregunta ¿Qué significa ser competente?

La competencia es la pericia, aptitud o idoneidad para hacer algo o intervenir en un asunto determinado (RAE). También podemos decir que es la capacidad de realizar diferentes actividades, dependiendo del rol asignado. Por lo tanto, asegurar que una persona es competente implica la evaluación de las habilidades y conocimientos que le permiten realizar sus tareas.

La definición de competencia se basa en resultados, la evaluación de la competencia implica la recopilación de evidencia y la medición del desempeño laboral a fin de demostrar que la persona cumple con los requisitos de la normativa y realiza su trabajo forma segura y adecuada.

Debemos reconocer la diferencia entre registrar la experiencia o capacitación de una persona y evaluar su competencia. Es una práctica común suponer que una persona es competente cuando completa cursos de capacitación y tiene cierto grado de experiencia, sin cuestionar si su experiencia es adecuada para ejercer el rol asignado, si fue evaluado el resultado del adiestramiento o si su desempeño en el trabajo fue satisfactorio.

Al referirnos a la evaluación de competencias debemos hacerlo de forma sistemática y no darle importancia únicamente a las tareas de los roles críticos dentro de la organización. La evaluación de competencias dentro de un Sistema de Gestión de la Seguridad Funcional debe incluir la identificación de las habilidades y conocimientos que deben ser cubiertos en función a la normativa, el desarrollo de un proceso de capacitación, la recopilación de evidencias de desempeño, la asesoría de personal independiente a la organización, y cualquier otra herramienta que nos ayude a reducir la probabilidad de que pasemos por alto un desempeño inferior al estándar requerido.

Y es que solo realizar una tarea de forma regular y la experiencia en el manejo de situaciones permite que la competencia se desarrolle y mantenga por completo. En la gestión de las competencias esta el fundamento y la garantía del progreso de las organizaciones, ya no es solamente recibir y proporcionar capacitación, sino transferir, internalizar, asegurar, certificar y mantener las competencias dentro de la organización.

Trabajando en Seguridad Funcional: La Gestión de las Competencias del Personal Leer más »

Trabajando en Seguridad Funcional: La gestión como herramienta para evitar las fallas sistemáticas

Gestión de la Seguridad Funcional / /

En los últimos años muchos procesos industriales han sido automatizados para aumentar la producción, mejorar la calidad de los productos y reducir el potencial de error humano. Sin embargo, las nuevas tecnologías, a pesar de disminuir los requerimientos de mano de obra, exigen mayores esfuerzos para un buen funcionamiento. Cuanto más automatizados son los equipos, más fallas sistemáticas pudieran conducirlos a operaciones inadecuadas. Sistemas mal implementados o mal mantenidos pueden dar lugar a eventos peligrosos que nos pudieran afectar a todos.

Para diseñar, mantener y operar, de forma adecuada, un Sistema Instrumentado de Seguridad (SIS), que es hoy día uno de los principales sistemas automatizados utilizados en la seguridad, se deben tomar en cuenta todas las causas que pudieran afectar su funcionamiento. Una
adecuada gestión de la seguridad funcional que permita controlar las fallas aleatorias (asociadas a la degradación del hardware) y evitar las fallas sistemáticas (usualmente asociadas al factor humano) es esencial. Esto implica el uso de materiales de primera, procesos de diseño y fabricación de alta calidad, es decir, hacer un diseño que sea lo suficientemente robusto para soportar cualquier fuente de estrés y generar nuevas formas de trabajo que permitan realizar las tareas de diseño, fabricación, instalación, mantenimiento y operación en forma sistemática.

La seguridad funcional se ha beneficiado de los avances y esfuerzos realizados por fabricantes en tratar de generar productos certificados que den cierto nivel de garantía sobre el grado de integridad que sus productos pueden ofrecer y de la comprensión de los usuarios finales sobre la importancia de definir un nivel de integridad y diseñar en función a éste. Pero, hacer el trabajo relacionado con la seguridad funcional con un enfoque sistemático y fomentar una cultura de seguridad funcional que nos ayude a evitar las fallas sistemáticas es sin duda nuestro siguiente desafío. Para tener una idea del desafío que debemos enfrentar, podemos citar a Angel Casal en su publicación “SIS Pitfalls, Major Accidents and Lessons Learned”, quien nos indica que desde 1987 al 2012 el 90% de los accidentes mayores ocurridos en la industria de procesos son debidos a fallas sistemáticas.

La normativa internacional de seguridad funcional IEC 61508, su normativa específica para la industria de los procesos IEC 61511 y su equivalente ISA 84.00.01 nos dan una guía y unos pasos (en un orden especifico) que nos permite asegurar que estos sistemas están siendo manejados bajo un enfoque sistemático y holístico en cuanto a su diseño, operación y mantenimiento y que el riesgo se mantiene en los niveles determinados como tolerables.

Ahora bien, si sabemos que adoptar estos estándares nos ayuda a combatir las fallas que pueden presentar estos sistemas, ¿Por qué no implementarlos si son considerados como mejores prácticas en muchas partes del mundo?

Cuando hablamos de gestión de la seguridad funcional muchos de los elementos a considerar son muy parecidos a los utilizados en gestión de proyectos. Una buena gestión de la seguridad funcional debe definir las actividades que serán desarrolladas (es decir cada paso del Ciclo de Vida de Seguridad), debe indicar cuando serán desarrolladas estas actividades y que herramientas serán utilizadas. Además, debe definir los recursos y las personas que serán responsables. En general, debemos considerar:

  • Una planificación de las actividades que serán realizadas en cada fase del Ciclo de Vida de Seguridad, con la descripción de los requisitos de cada una, incluyendo las actividades de verificación y evaluación (assessment). Esto es, esencialmente, el plan de ejecución que se aplicará al proyecto, en función del alcance que debamos cubrir.
  • La definición de la organización donde se designen los responsables y las personas que formarán parte del equipo de trabajo. Se debe garantizar que las personas sean competentes para realizar cada una de las tareas que le fueron asignadas en cada fase y se debe asegurar que cada uno de ellos tenga las competencias requeridas según el rol que deban desempeñar.
  • La definición de las guías y procedimientos a utilizar, es decir, debemos definir cómo deben ser desarrolladas cada una de las actividades y que herramientas serán utilizadas.
  • La documentación que necesitamos para realizar un trabajo, la información que debe ser generada y la forma en la que debe ser manejada para que sea utilizada apropiadamente a lo largo de la vida útil de los sistemas.
  • Las evaluaciones periódicas que nos permitan comprobar que los riesgos están siendo mantenidos en niveles tolerables y que los procedimientos de trabajo están siendo utilizados en forma apropiada por personal capacitado.

La siguiente figura nos muestra de forma gráfica todos los elementos que hemos mencionado hasta ahora,

Figura
1. Gestión de la Seguridad Funcional

Como vemos, adoptar una buena práctica recomendada para sistemas automatizados (o instrumentados) no es algo que se aleja de nuestra realidad al gestionar un proyecto, solo requiere de un profundo compromiso con la mejora continua. Implementar este tipo de normativas nos permite identificar mejoras en materia de seguridad que se adapten a nuestra forma de trabajo, puesto que, al estar basadas en desempeño, el usuario es libre de desarrollar diseños y soluciones que demuestren cumplimiento dentro del esquema de trabajo establecido por la normativa.

Así que, luego de manejar toda esta información ¿por qué no darle la importancia que se merece una buena gestión de seguridad funcional, si sabemos que al no implementarla los sistemas se degradan y aumentan los riesgos?

Trabajando en Seguridad Funcional: La gestión como herramienta para evitar las fallas sistemáticas Leer más »

Aseguramiento de Calidad Cuando Trabajamos en Seguridad Funcional

Gestión de la Seguridad Funcional / /

La revisión de la cláusula 8 de la norma ISO 9001: 2015. Sistemas de Gestión de la Calidad – Requisitos está enfocada en la mejora del control de los procesos productivos de cada organización. Se hace énfasis en la cadena de suministro, con el fin de que los productos que son generados de forma externa estén conformes a los requisitos especificados. Para esto, se deben definir los criterios y procesos que serán
utilizados para asegurar la calidad de los productos y servicios que pudieran ser contratados.

En materia de Seguridad Funcional no es diferente, en la Normativa IEC 61511-1: 2016. Functional Safety – Safety Instrumented Systems for The Process Industry Sector también se establecen lineamientos para el aseguramiento de la cadena de suministros, tanto de productos como de servicios, a fin de garantizar que ambos estén conformes a la normativa y así asegurar que la Seguridad Funcional (alcanzada por los Sistemas Instrumentados de Seguridad) dentro de la Organización Cliente (o Contratante) sea capaz de proveer el grado de reducción de riesgo (o la seguridad) requerido en sus instalaciones y demostrar conformidad ante los entes reguladores y las empresas aseguradoras.

La Normativa IEC 61511-1: 2016 en su clausula 5.2.5 Implementing and Monitoring (5.2.5.2) establece: Todo proveedor que suministre productos o servicios a una organización que tenga la responsabilidad general de una o más fases del ciclo de vida de seguridad del SIS deberá entregar los productos o servicios especificados por esa organización y disponer de un sistema de gestión de la calidad. Se establecerán procedimientos para demostrar la idoneidad del sistema de gestión de la calidad.

Si un proveedor formula declaraciones de cumplimiento de seguridad funcional para un producto o servicio que la organización utiliza para demostrar el cumplimiento de los requisitos de esta parte de la IEC 61511, el proveedor deberá tener un sistema de gestión de la seguridad funcional. Deben establecerse procedimientos para demostrar la idoneidad del sistema de gestión de la seguridad funcional.

El sistema de gestión de la seguridad funcional deberá cumplir los requisitos de la norma de seguridad básica IEC 61508-1: 2010 Cláusula 6, o los requisitos de gestión de seguridad funcional de la norma derivada de IEC 61508, a los que se hacen declaraciones de cumplimiento de seguridad funcional.”

Por esta razón, cuando hablamos de Seguridad Funcional, es un requisito mandatorio que los proveedores de productos y servicios, de una Organización Cliente (o Contratante) que posea un Sistema Gestión de Seguridad Funcional conforme a la Normativa IEC 61511-1: 2016, tengan implementado un Sistema Gestión de Seguridad Funcional que garantice que el resultado de ese servicio esté conforme a los requisitos de la normativa en cada aspecto. En caso de ser un proveedor de productos, el Sistema Gestión de Seguridad Funcional deberá estar conforme a la norma IEC 61508-1: 2010, y en caso de ser un proveedor de servicios del Ciclo de Vida de Seguridad deberá estar de acuerdo con IEC 61511-1: 2016.

 

Para verlo en forma más práctica, una organización que posea personal competente, por ejemplo, un líder de HAZOP, no garantiza que el estudio se encuentre conforme a la Normativa IEC 61511-1: 2016 debido a que la gestión de las competencias del personal es solo uno de los componentes que deben ser considerados al implementar un Sistema Gestión de Seguridad Funcional. Existen muchos otros factores a considerar como son la planificación de la Seguridad Funcional, la asignación de los recursos y procedimientos que serán utilizados, la verificación y evaluación (assessment) de la fase del ciclo de vida de seguridad desarrollada, la gestión de la documentación, entre otros.

Ahora bien, ¿Cuáles son los beneficios para una Organización Cliente si el proveedor de productos y servicios posee un Sistema Gestión de Seguridad Funcional certificado?

  • Reducción de los costos asociados a las actividades de gestión en la cadena de suministro. Los resultados de los productos y servicios contratados ya están conformes a la normativa IEC 61511-1: 2016, por lo que se requiere menos esfuerzo ingenieril para revisión por parte del personal de la Organización Cliente y se disminuyen los costos asociados a la contratación de personal que no es esencial o primordial para el negocio.
  • Demostrar cumplimiento con la Normativa IEC 61511-1: 2016 y otras relacionadas con la seguridad. Los resultados de los productos y servicios contratados pueden ser usados como aval para auditoria de seguridad, bien sea de la autoridad con jurisdicción o ante las aseguradoras.
  • Evaluación de terceros independientes. No hay necesidad de realizar una auditoria externa que valide los resultados obtenidos, la evaluación fue realizada por un tercero acreditado para tal fin.
  • Personal Competente. El Sistema Gestión de Seguridad Funcional asegura que el personal es competente para realizar cada una de las actividades del Ciclo de Vida de Seguridad de las que son responsables.
  • Calidad. Los productos y servicios están conformes a la normativa que rige lo relacionado con la Seguridad Funcional.

Por eso, al momento de contratar un producto o servicio relacionado con la Seguridad Funcional, debemos preguntarnos:

¿Su proveedor de Productos y Servicios esta Certificado de conformidad con la Normativa IEC 61511-1: 2016?

¿Su proveedor de Productos y Servicios posee un Sistema de Gestión de Seguridad Funcional?

¿Los procedimientos de su proveedor de Productos y Servicios están Certificados por un Tercero Acreditado y Reconocido mundialmente?

O considerar, ¿Por que si al comprar un elemento de hardware del SIS se exige un certificado de fabricación conforme con la norma IEC 61508: 2010, no se hace lo mismo con quienes proveen servicios relacionados con el Ciclo de Vida de Seguridad como son la Identificación de Peligros y Riesgos (usando la técnica HAZOP) o la Asignación del SIL (usando la técnica LOPA)?

Aseguramiento de Calidad Cuando Trabajamos en Seguridad Funcional Leer más »

¿Qué es y cómo se logra la integridad de la Seguridad Funcional?

Principios Básicos / /

Siguiendo con los conceptos básicos en materia de Seguridad Funcional, les prometí escribir sobre la Integridad de la Seguridad o en nuestro ámbito Integridad de la Seguridad Funcional.

En primera instancia desglosemos el concepto en un par de términos básicos.

Integridad: De integro; “que está completo“ y “que no carece de ninguna de sus partes“ (DRAE) y Seguridad (Safety): “Ausencia de riesgo inaceptable” (IEC61508:2010 | 3.1.11) o “Ausencia de riesgo no tolerable” (61511:2016 | 3.2.64).
Para diseñar, mantener y operar un sistema relacionado con la seguridad, como un Sistema Instrumentado de Seguridad (SIS), que pueda ofrecer seguridad en una forma íntegra, es decir completa, deben tomarse en cuenta todos los factores que puedan afectarla, esto
es, se deben tomar en cuenta todas las causas que puedan hacer que el SIS se vea inhabilitado de poder ejercer, en forma adecuada, la función para la cual ha sido construido.
Así que, para que un SIS pueda alcanzar la integridad de la seguridad para la cual está diseñado, deben ser controladas
o evitadas todas las fallas aleatorias (normalmente asociadas al hardware) y todas las fallas sistemáticas (normalmente asociadas con el software y el diseño). El manejo de fallas, tanto aleatorias como sistemáticas, fue previsto por quienes desarrollaron las normativas basadas en desempeño, creando disposiciones que permitan gestionar en forma efectiva ambos tipos de fallas.
Esto nos lleva a por lo menos dos conceptos más:
Primero, la Integridad de Seguridad del Hardware, que es entendida como “la parte de la integridad de seguridad del SIS relativa a fallas aleatorias de hardware en un modo de falla peligrosa” (61511:2016 | 3.2.26). Para lograr la Integridad de Seguridad del Hardware, se
han establecidos los Niveles de Integridad de Seguridad conocidos como SIL (Safety Integrity Level), como una medida de reconocer que ningún sistema es capaz de ofrecer un 100% de integridad de seguridad (un sistema infalible), pero sí nos podemos acercar en
buena medida a ese valor, en función de la reducción de riesgo que es capaz de ofrecer cada aplicación (SIL1, SIL2…etc.).
Segundo, la Integridad de Seguridad Sistemática entendida como “la parte de la integridad de seguridad del SIS relativa a fallas sistemáticas en un modo de falla peligrosa” (61511:2016 | 3.2.26). Estos tipos de fallas son normalmente difíciles de establecer o cuantificar y en ocasiones solo se pueden considerar cualitativamente, por esta razón, surge la necesidad de hacer un enfoque sistemático como el del Ciclo de Vida de Seguridad. Para lograr la Integridad de Seguridad Sistemática se deben seguir los lineamientos del Ciclo de Vida de Seguridad, que para el usuario final y el consultor/integrador son mostrados en la IEC-61511 y para los fabricantes en la IEC-61508, y es expresada a través de la Capacidad Sistemática (SC: Systematic Capability) del equipo ofrecido, como señal de que el fabricante ha cumplido con su parte.
Como vemos, no hay forma de lograr la Integridad de la Seguridad si no ponemos atención tanto a la gestión de las fallas aleatorias, como a las fallas sistemáticas como un todo.
Adicionalmente, les dejo las referencias originales de las normativas:
Integridad de Seguridad: Probabilidad media de que un sistema instrumentado de seguridad realice satisfactoriamente las funciones instrumentadas de seguridad en todas las condiciones establecidas dentro de un periodo de tiempo establecido. (IEC 61511 2003 | 3.2.73)
Integridad de Seguridad: Habilidad del SIS para realizar una SIF según sea especificada y cuando sea requerida. (IEC 61511 2016 | 3.2.68)
Integridad de Seguridad: Probabilidad de que un sistema E/E/PE relacionado con la seguridad ejecute de forma satisfactoria las funciones de seguridad requeridas en todas las condiciones especificadas en un periodo de tiempo especificado. (IEC 61508 2010 | 3.5.4)
 
En siguiente entrada del Blog, trataremos los conceptos de SIL, SIS y SIF…
 
PONGA A PRUEBAS SUS CONOCIMEINTOS.
 
           1. La integridad de la Seguridad del SIS está relacionada a:
a.     Las fallas del Hardware y su PFD
b.     Las Fallas del Software
c.     Las Fallas Aleatorias y las Fallas Sistemáticas 
 
2. La integridad de la Seguridad Sistemática es gestionada a través de:
a.     Del cálculo del SIL
b.     Del Ciclo de Vida de Seguridad
c.     Del uso de Capas de protección



Responda las preguntas de comprobación AQUÍ

¿Qué es y cómo se logra la integridad de la Seguridad Funcional? Leer más »

Elementos del Escenario Peligroso -Introducción a las Condiciones Habilitadoras

Análisis de Peligros y Riesgos, Asignación del SIL / /
Partiendo de la publicación anterior Evolución de un Escenario Peligroso: Del Evento Iniciador a la Consecuenciacomenzaré una serie de publicaciones para tratar con más detalle cada uno de los elementos que intervienen en el desarrollo de un Escenario Peligroso, tales como: las Condiciones Habilitadoras, las Capas de Protección (Preventivas / Mitigación) y los Modificadores Condicionantes, (ver Figura 1).

Figura 1. Desarrollo de un Escenario Peligroso
 
Una Condición Habilitadora representa un estado temporal del proceso, que permite el desarrollo de un Escenario Peligroso.
Durante la operación normal del proceso, en los escenarios que intervienen las Condiciones Habilitadoras, el camino desde el Evento Iniciador hacia el Evento Tope se encuentra inhabilitado por propiedades, condiciones y características inherentes al proceso y al entorno (ver Figura 2), hasta que se presenta o activa la Condición Habilitadora, permitiendo que el proceso entre en un estado temporal, durante el cual, se habilita el camino del Evento Iniciador al Evento Tope (ver Figura 3), haciendo posible el desarrollo del Escenario Peligroso.
Figura 2. Condición Habilitadora Ausente o Desactivada
 
Figura 3. Condición Habilitadora Presente o Activada

El hecho de que el desarrollo del Escenario Peligroso solo sea posible cuando la Condición Habilitadora se encuentre presente o activa, no quiere decir que se trate de un Evento Iniciador, ya que ella no inicia la propagación del escenario, solo lo permite.
 
Tampoco se trata de una Capa de Protección, ya que su presencia o activación es inherente al proceso y al entorno. Es decir, no se puede “desactivar o eliminar la Condición Habilitadora” para evitar el desarrollo del Escenario Peligroso.
 
En su lugar, la Condición Habilitadora puede ser tratada como un requisito para el desarrollo del Escenario Peligroso, ya que cualquiera que sea la frecuencia de ocurrencia del Evento Iniciador asumida, el escenario no llegará al Evento Tope si el proceso no se encuentra dentro del periodo de tiempo, durante el cual, la Condición Habilitadora se encuentra presente o activa.

Por lo antes mencionado, se dice que el uso de la Condición Habilitadora durante la estimación del riesgo permite ajustar la frecuencia de ocurrencia del escenario, con el fin de obtener resultados representativos.

Sin embargo, las Condiciones Habilitadoras no deben ser consideradas en la estimación del riesgo cuando no se tiene suficiente conocimiento o información, no son parte de un sistema de gestión, o cuando su uso no es coherente con los criterios de la empresa.
Existen varios tipos de Condiciones Habilitadoras (de los cuales trataré en las próximas publicaciones), entre ellos se encuentran:
  • Periodo de tiempo de exposición al riesgo 
  • Riesgo estacional 
  • Riesgo del estado del proceso (factor de uso) 
  • Procesos discontinuos 
  • Fallas de equipos que solo pueden alcanzar el evento de pérdida si el proceso se encuentra en una configuración o estado particular 
  • Instalaciones operadas sólo una parte del año (factor de uso) 
  • Procesos químicos que incluyen una familia de químicos reactivos u otras variables relacionadas con la composición o el proceso.

En la publicación anterior Evolución de un Escenario Peligroso: Del Evento Iniciador a la Consecuencia se encuentran los conceptos de Peligro, Evento Iniciador, Evento Tope, Consecuencia, Escenario peligroso, entre otros.

Jazmile K. Zelaya I.
Ingeniero de Seguridad Funcional
 

Elementos del Escenario Peligroso -Introducción a las Condiciones Habilitadoras Leer más »