SOS

¿Cómo implementar un bypass sin afectar la seguridad?

Como les comenté en el blog anterior Bypass, muchos nombres ¿mismo fin? los bypass son una de las facilidades que permiten realizar las actividades de mantenimiento u operación del Sistema Instrumentado de Seguridad (SIS) o alguna de sus Funciones Instrumentadas de Seguridad (SIF).

En esta oportunidad les hablare sobre los requerimientos de la norma IEC-61511 para asegurar que, al implementar los bypass, estos sean especificados, diseñados, instalados, operados y mantenidos de manera que no comprometan la seguridad del sistema.

El primer punto en el que se hace referencia a los bypass es en la fase de Especificaciones de los Requerimientos de Seguridad del SIS (SRS) (Clausula 10, IEC-61511:2016), donde se establece que se deben “Definir los requisitos para los desvíos de la SIF, incluyendo procedimientos escritos que deben ser aplicados en la operación de los mismos. Además, describir el control administrativo y también la forma en que serán activados y desactivados”.

Este es el punto de partida para definir los bypass, describiendo todos los requerimientos a tomar en cuenta para su diseño, pruebas y operación, como, por ejemplo: arquitectura de votación cuando la SIF posee un bypass, alarmas en el sistema por activación del bypass, procedimientos para su aplicación, entrenamientos del personal involucrado, controles administrativos, registros de bypass realizados, autorizaciones para realizar el bypass, auditorias periódicas, entre otros.

Posteriormente, los bypass son contemplados en la fase de Diseño del SIS (Clausula 11, IEC-61511:2016) donde se establece:

  • Para el diseño de la Interfaz de Operación se debe contemplar:
    • Protección de seguridad de acceso a los bypass (mediante llave, contraseñas, procedimientos, etc.) para evitar su uso no autorizado.
    • Indicación cuando una función de seguridad o cualquier parte del SIS se encuentra es estado de bypass del SIS.
  • El diseño de la interfaz de mantenimiento / ingeniería también debe proporcionar la protección de seguridad de acceso donde se requieren bypass. Además, los bypass deben instalarse de modo que las alarmas y las instalaciones de parada manual no estén desactivadas.
  • Se puede considerar límites de tiempo para la operación de los bypass y limitar el número de bypass que pueden estar activos, por ejemplo, si se el grupo del elemento sensor posee una arquitectura de votación 2oo3 solo es posible realizar 1 bypass a la vez y degradar la función a 1oo2, de lo contrario se deberá llevar el proceso al estado seguro (disparo de la SIF).
  • Se debe definir el tiempo máximo en que el SIS puede estar en bypass (reparación o prueba) mientras se continúa la operación segura del proceso.
  • Se deben proporcionar medidas compensatorias que garanticen una operación segura cuando el SIS está en bypass (reparación o prueba).

Es importante aclarar que el funcionamiento seguro de la instalación, en caso de aplicación de un bypass, dependerá de la aplicación oportuna de medidas de compensación o acciones que brinden seguridad y compensen la reducción de riesgo que se perdió al colocar la función en bypass. Un ejemplo sería que el operador monitoree la señal de un instrumento en campo (diferente al que está en bypass) hasta que el equipo se encuentre operativo. En este caso, adicionalmente, se deberá disponer de un medio manual, para que el operador pueda actuar y llevar el proceso al estado seguro, si se presentase una demanda en el proceso.

  • El forzado de entradas y salidas del SIS no debe usarse como parte de los programas de aplicación, procedimientos operativos y  mantenimiento excepto que el SIS se encuentra fuera de servicio o que se complemente con procedimientos y controles de seguridad de acceso. Cualquier force deberá ser anunciado o activar una alarma, según corresponda.

En la fase de Validación de Seguridad del SIS (Clausula 15, IEC-61511:2016) se establece que “Las pruebas de validación deben incluir la verificación del correcto funcionamiento de las funciones de bypass y de las inhibiciones o anulaciones de arranque y operacionales (SOS / POS)”. Además, “Después de la validación del SIS y antes de que los peligros identificados estén presentes, se llevarán a cabo las actividades para que todas las funciones de bypass sean regresadas a su posición normal incluyendo las inhibiciones, anulaciones y permisos de forcé”.

Por último, en la fase de Operación y Mantenimiento (Clausula 16, IEC-61511:2016) se indican los requerimientos que deben ser considerados por los operadores y en procedimientos operacionales:

  • Los procedimientos de operación y mantenimiento deben:
    • Proporcionar las medidas de compensación y restricciones necesarias cuando el sistema está en bypass, para prevenir un estado inseguro y / o reducir las consecuencias de un evento peligroso. Las medidas compensatorias se deben establecer con los límites de operación asociados (duración, parámetros del proceso, etc.).
    • Indicar información sobre los procedimientos que se aplicarán antes y durante el bypass y lo que se debe hacer antes de la eliminación del bypass y el tiempo máximo permitido para estar en el estado de bypass.
    • incluir la verificación de que los bypass son eliminados después de los ensayos periódicos.
  • La operación continua del proceso con un dispositivo SIS en bypass solo se permitirá si un análisis de riesgos ha determinado que existen medidas compensatorias y que proporcionan una reducción adecuada del riesgo. Los procedimientos operativos se desarrollarán en consecuencia.
  • Los operadores deben estar capacitados para la operación y administración correcta de todos los interruptores de bypass / anulación del SIS y bajo qué circunstancias se deben utilizar estos bypass.
  • El estado de todos los bypass se registrará en un registro de bypass.
  • Las piezas de repuesto del SIS deben identificarse y ponerse a disposición para minimizar la duración de los bypass por falta de disponibilidad de repuestos.

Ahora, si bien los bypass se usan comúnmente para permitir que se realice un trabajo esencial, debemos tener en cuenta que cuando se aplica un bypass, el SIS (o la SIF) estará inhabilitado para ejercer su función, es decir no proporcionará la reducción de riesgos y fiabilidad que de él se requiere por lo que es importante saber lo que debemos hacer. Es nuestra responsabilidad seguir las normas y buenas prácticas que nos ayuden a diseñar facilidades, procedimientos y herramientas necesarias para un uso efectivo de este tipo recursos.

En el próximo blog hablaremos acerca de las políticas de uso de bypass y la operación segura de los mismos.

¿Cómo implementar un bypass sin afectar la seguridad? Leer más »

Bypass, muchos nombres ¿mismo fin?

Cuando diseñamos una Función Instrumentada de Seguridad (SIF) lo hacemos con el propósito de cubrir una brecha de riesgo y deseamos que siempre esté disponible para protegernos en el momento en que se presente una demanda del proceso. Pero, la verdad es que existen condiciones donde necesitamos sacar de servicio algunas SIF en forma temporal, como en la puesta en marcha, mantenimiento, parada de proceso, entre otros.

Bypass es uno de los términos más usados al realizar esta operación, pero existen otras denominaciones. Por mencionar algunos tenemos el SOS (Start up Override Switch), POS (Process Override Switch), MOS (Maintenance Override Switch), derivación, inhibición, “override”, “force”, “defeat”, entre otros. Aunque son términos frecuentemente utilizados, muchas veces no tenemos claro el significado de cada término y la confusión al momento de aplicarlos puede resultar en errores en el diseño, configuración, operación, que terminarán comprometiendo la seguridad del proceso.

¿Son sinónimos?, ¿se diferencian en el modo de aplicación (vía hardware o software) ?, ¿dependen de las condiciones del proceso (arranque, mantenimiento, etc.)?

La norma IEC-61511 define bypass como la “acción o facilidad para evitar que se ejecute toda o parte de la funcionalidad de una SIF o el SIS”. Algunos ejemplos de aplicaciones de bypass en una SIF pueden ser:

  • Bloqueo de la señal de entrada en la lógica de disparo, mientras aún presenta  los parámetros de entrada y la alarma al operador.
  • Se mantiene en estado normal la señal de salida de la lógica de disparo del elemento final, lo que impide que la función ejecute su acción a través del elemento final.
  • Se proporciona una línea de derivación física alrededor del elemento final (válvula de bypass).
  • Se selecciona un estado predeterminado de un elemento (por ejemplo, entrada de encendido / apagado).
  • Se usa un valor de entrada o salida en una lógica mediante una herramienta de ingeniería (por ejemplo, en el programa de aplicación).

Ahora, ¿de qué depende la forma en que aplicamos un bypass?

Lo primero que se debe hacer al momento de pensar en colocar una facilidad de bypass a una SIF, es saber el propósito del mismo y la forma en que será implementado. Por esto, mi recomendación es que antes de definir si se aplicará un SOS, POS, MOS, inhibición, “override”, “forcé” o “defeat”, tengamos claras sus diferentes aplicaciones.

La primera aclaratoria es que todos estos términos entran en la definición de bypass; sin embargo, los podemos clasificar por el efecto que tienen en la función (bypass de la señal de entrada o la salida) y por los diferentes modos de operación asociados al proceso donde se utiliza (operación normal, puesta en marcha, mantenimiento, entre otros), como vemos en la siguiente figura:

Los SOS, POS y MOS son facilidades utilizadas para un propósito específico en el proceso, dentro de sus diferentes modos de operación.

Los SOS (Start up Override Switch) son necesarios si el proceso debe pasar por el punto de ajuste de disparo de la SIF, al momento del arranque o inicio de una secuencia de operación. Al tener esta facilidad, se coloca fuera de servicio la SIF para permitir el inicio del proceso; por ejemplo, cuando se inicia el llenado de un recipiente y se tiene una SIF que protege por bajo nivel en ese recipiente.

Los POS (Process Override Switch) son aplicados cuando el proceso está «fuera de servicio» o «inactivo»; es decir, cuando está en un modo de operación en el que no existe peligro potencial. Los POS, generalmente, se instalan para permitir actividades de mantenimiento, por ejemplo: pruebas funcionales del SIS o para proporcionar aislamiento de instrumentos durante las pruebas hidrostáticas de equipos de proceso.

Los MOS (Maintenance Override Switch) están asociados al equipamiento de la SIF para su mantenimiento o reparación. El MOS se aplica cuando el equipo está en un modo de operación o en una condición donde existe peligro potencial. Estos normalmente actúan sobre el elemento final, impidiendo que se produzca el disparo de la SIF, sin eliminar las alarmas del sistema.

En caso del inhibit” y “override”, que a su vez pueden ser aplicados por medio deforce o defeat”, son facilidades de bypass que dependen del propósito asociado a su configuración en la función.

Inhibit (Inhibición) es un término definido por la norma ANSI / ISA-84.01-1996 como “no permitir que ocurra una acción”. Este término, por lo general, está asociado a un bypass que evita o deshabilita la función del elemento sensor de un sistema, ya sea a través de una función por software o hardware. Este tipo de bypass no necesariamente elimina la función de medición, es decir, puede permitir el anuncio de alarmas asociados, así como el control manual de la función.

Override (anulación) es referido al término NULO en la RAE, algunas de sus definiciones son: 1. tr. Suspender algo previamente anunciado o proyectado; 2. tr. Incapacitar, desautorizar a alguien. Este término es comúnmente vinculado a un bypass que deshabilita la señal de salida o la establece en un estado predefinido, ya sea a través de una función por software o hardware.

Una manera simple de representar estos tipos de configuración de bypass se muestra en la figura:

Por último, estas facilidades pueden ser implementadas a través de “force” o “defeat”.

Cuando se habla de “force”, se hace referencia a la manipulación del valor o el estado de una variable con el fin de retener un cierto estado de la función y evitar que esta actúe en el momento que sea requerido. Generalmente, en un SIS esto se hace desde la herramienta de programación del controlador y sobre el programa de aplicación. Sin embargo, realizar el “force” sobre el programa de aplicación resulta en una práctica bastante peligrosa puesto que no, necesariamente, hay facilidades para enterarse que existen este tipo de bypass instalados, a menos que se tenga acceso al controlador a través de las herramientas de programación.

El término “defeat” normalmente es referido a la anulación de la capacidad de operación de una SIF, aunque es menos común, se asocia a una facilidad física (controlada o no) y no tanto a una facilidad lógica como el “force”. En el plano físico, puede ser desde un interruptor de bypass hasta un cable no autorizado (puente), que coloca fuera de servicio la entrada o salida de la SIF.

Para finalizar, debemos tener en cuenta que un bypass, en cualquiera de sus configuraciones, representa un punto de vulnerabilidad para el proceso, ya que una SIF en estado de bypass puede significar que ya no es capaz de actuar; por esto, deben ser diseñados cuidadosamente para minimizar el riesgo y mantener la confiabilidad del sistema. Solo teniendo una visión clara de lo que se quiere, es que podemos tener los resultados esperados; por lo que, al definir un bypass asociado a una SIF, debemos considerar su propósito en el proceso (definir si será utilizado para el mantenimiento, la puesta en marcha u otra condición específica del proceso) y el tipo de configuración (si es necesario desviar la entrada o la salida o si se consideran los parámetros del proceso, alarmas, etc.).

En el siguiente blog hablaremos de los requerimientos descritos en la IEC-61511: 2016 para la gestión adecuada de los bypass asociados al SIS, así podremos tener una visión más amplia de cómo aplicarlos en el marco de la seguridad funcional.

Bypass, muchos nombres ¿mismo fin? Leer más »