Introducción a la Norma Británica BS 60080: 2020, para la ubicación de detectores de fuego y gas (Parte 3 de 3)

Continuando con el ciclo de vida establecido por la norma (ver entrada anterior), ahora abordaremos el apartado de la instalación, operación y mantenimiento del SFG, así como el tema de las competencias del personal.

3. Etapa de Instalación, Operación y Mantenimiento del Sistema de Fuego y Gas

Esta etapa incluye la instalación y puesta en servicio (verificación), validación del sistema y la operación, mantenimiento y modificación.

3.1. Instalación y puesta en servicio (verificación)

Se recomienda, antes de la construcción, realizar la planificación de las actividades de instalación (ubicación, elevación y orientación de los detectores, ajustes de los detectores, entre otros), y de los procedimientos de puesta en servicio. Posteriormente llevar a cabo la instalación de acuerdo al plan de instalación y la puesta en servicio de acuerdo al plan de puesta en servicio (commissioning). La norma recomienda documentar todas las actividades realizadas. En el contexto de la norma, la verificación es el proceso que confirma que la instalación y la puesta en servicio se han realizado según las especificaciones de diseño.

3.2. Validación del sistema

Previo a la puesta en servicio (commissioning) se deben planificar las actividades de validación para lo cual se debe elaborar un plan de validación del sistema. El SFG solo estará operativo una vez validados todos los requisitos plan de validación del sistema. En el contexto de la norma, la validación es el proceso que confirma que se ha cumplido con la intención de diseño del SFG y se comprueba el desempeño esperado.

3.3. Operación, mantenimiento y modificación

El SFG se debe operar según el manual de seguridad y de operación del sistema, y por personas competentes y autorizadas para hacerlo. En cuanto al mantenimiento, el SFG debe mantenerse de acuerdo al plan de mantenimiento del sistema, y las pruebas deben ser realizadas según el manual de seguridad del sistema, y por personas competentes y autorizadas para hacerlo. Todas las actividades deben ser documentadas. Las modificaciones (gestión del cambio) deben ser autorizadas, documentadas, verificadas y validadas. Terminada la modificación se debe validar el sistema para demostrar la función de seguridad. La norma sugiere una revisión del mapeo de Fuego y Gas cada cinco años o cuando se realicen cambios a la planta.

Competencias

La norma incluye un capítulo sobre la competencia del personal relacionado con los SFG, donde se dan recomendaciones sobre el perfil de competencias mínimo que deben tener las personas responsables del sistema.

Para concluir, en este artículo se ha tratado de hacer una breve descripción del contenido de la norma británica BS 60080:2020, cuyo enfoque pragmático y sus recomendaciones la hacen entendible para el profesional que se inicia en el mapeo de fuego y gas; en ella se proporciona orientación sobre cómo y dónde aplicar los diversos métodos de mapeo, y hace hincapié en la competencia del personal. Esta norma se convierte en una referencia más a tener en cuenta en cualquier etapa del ciclo de vida de un proyecto de fuego y gas, con mayor énfasis en la etapa de definición del proyecto cuando se requiere saber el tipo de tecnología, la cantidad y la ubicación de los detectores.

Referencias:

  1. Consultoría en Seguridad Funcional (CSF) (2019) Sistemas de Detección de Fuego y Gas (SFG) basados en desempeño: Una visión general. https://grupocsf.com/sdfg/
  2. Consultoría en Seguridad Funcional (CSF) (2020) Filosofía del Sistema de Fuego y Gas (SFG) – Fundamentos básicos para su elaboración. https://grupocsf.com/filosofia-del-sistema-de-fuego-y-gas-sfg/
  3. ISA-TR84.00.07 (2018). Guidance on the Evaluation of Fire, Combustible Gas, and Toxic Gas System Effectiveness. Research Triangle Park, NC.
  4. BS 60080. (2020). Explosive and toxic atmospheres — Hazard detection mapping — Guidance on the placement of permanently installed flame and gas detection devices using software tools and other techniques. BSI Standards Limited.
  5. Asia Pacific Fire Magazine. Introduction to BS60080:2020 guidance on the placement of detection devices. Por James McNay. https://apfmag.mdmpublishing.com/introduction-to-bs600802020-guidance-on-the-placement-of-detection-devices/.
  6. Insight Numerics. (14 de octubre de 2020). Understanding the new British Standard (BS 60080:2020) for Fire and Gas Mapping [Video]. Recuperado de https://www.youtube.com/watch?v=E4xYYFcAUAc

Hernán Núñez
FSEng TÜV SÜD TP180515282

Romel Rodríguez
FS Expert Risknowlogy 5866
Functional Safety Expert TÜV SÜD TP18010990
ISA84/IEC 61511 Expert
FSEng TÜV Rheinland 575/07 | PHA Leader

Introducción a la Norma Británica BS 60080: 2020, para la ubicación de detectores de fuego y gas (Parte 3 de 3) Leer más »

Gestión de la Seguridad de Procesos, como oportunidad de transformación organizacional

Hablar de la implantación de un Sistema de Gestión de la Seguridad de Procesos (PSM por sus siglas en inglés, Process Safety Management) genera incertidumbre en TODA organización que se plantea este reto.

Lo primero que viene a nuestro pensamiento es: ¿realmente aplica para mi organización?, ¿cuáles son los requisitos?, ¿por dónde comienzo?, ¿debo hacer un diagnóstico organizacional?, ¿requiere de una gran inversión?, ¿lo hemos estado haciendo bien?, y un sin fin de preguntas adicionales.

Luego de las dudas y temores iniciales surge lo que conocemos como el miedo al cambio, en virtud de que, en el momento inicial, nos sentimos en nuestra zona de confort y este cambio exigirá un proceso de transformación organizacional progresivo. Lo primero que debemos hacer es redefinir las áreas afectadas, ajustándonos a las demandas del entorno para mantener o mejorar los estándares de seguridad.

Este proceso involucra una revisión de la situación actual y la realización de un análisis de brechas que nos permita definir claramente la situación deseada. Además, debemos considerar aspectos como: inversión, capacitación, concientización de la fuerza laboral, entre otros; que deben incluir a la totalidad de la masa laboral de la organización.

Ante el escenario de implementación de PSM en su organización, es importante resaltar la gran oportunidad que esto representa, para inducir las mejoras preventivas que evitarán la ocurrencia de un evento catastrófico derivado de las actividades que se desarrollan en la industria de procesos.

Por lo que, se hace necesario, comprender las tres claves de éxito que se describen a continuación:

1.-Gestionar el negocio y sus peligros

El proceso de cambio y transformación debe comenzar desde la alta dirección, quienes deberán entender que la seguridad de los procesos debe ser integrada a las estrategias de negocio de alto interés e impacto organizacional. Es decir, debe formar parte del Sistema Integral de Gestión.

2.-Dar el ejemplo desde arriba

Se hará indispensable desarrollar lo que se conoce como el efecto cascada, donde se plantea que desde la alta dirección se modele y se transmita el nivel de liderazgo y compromiso que garantizará el éxito en la implantación.

3.- Estar dispuesto al cambio, al aprendizaje y a la mejora continua

Lograr, en TODA la fuerza laboral, una alta disposición para activar y propagar un proceso de auto evaluación; disposición al cambio, a la incorporación de la gestión del riesgo al día a día laboral, al aprendizaje formal y a la mejora continua, garantizará la permanencia en el tiempo de los esfuerzos y, progresivamente, asegurará el nivel de madurez en la Cultura Organizacional requerida en un Sistema de Gestión de Seguridad de Procesos robusto.

MSc. Isvelia Avendaño

Gestión de la Seguridad de Procesos, como oportunidad de transformación organizacional Leer más »

Introducción a la Norma Británica BS 60080: 2020, para la ubicación de detectores de fuego y gas (Parte 2 de 3)

Continuando con la etapa de Ejecución del Proyecto, abordaremos el apartado del mapeo de fuego y gas.

2.2. Mapeo de fuego y gas

La norma define tres (03) tipos de mapeo, cada uno con un nivel de complejidad y esfuerzo distinto:

  • Método prescriptivo.
  • Método volumétrico.
  • Método basado en escenarios.

Se menciona el concepto de proporcionalidad, que consiste en aplicar el método de mapeo según el nivel de riesgo.

Técnicas de Mapeo vs Evaluación de Riesgo

Método de MapeoEvaluación de Riesgo
Basado en escenarioCuantitativo
VolumétricoSemicuantitativo
PrescriptivoCualitativo

Más

Menos

Mapeo de Fuego.

Los detectores de fuego se comportan de manera binaria (detectan o no detectan el fuego), solo que dependiendo del tamaño del fuego que se quiere detectar se colocan más cerca o más lejos de la posible fuente, es decir, más allá del ajuste de la sensibilidad, no tienen punto de ajuste (set point) dependiente de las características de la llama. Para minimizar las activaciones no deseadas (falsas alarmas) se puede emplear votación de los detectores, por ejemplo, votación 1ooN para alarma y 2ooN para acción de control. Para el mapeo de fuego se recomienda definir el tamaño del fuego que se quiere detectar, tomando en cuenta el material inflamable, las condiciones de proceso y el enfoque de riesgo corporativo.

  • Método prescriptivo. Este método se basa en evaluaciones cualitativas y dependientes del juicio del diseñador, por lo tanto, la ubicación de los detectores se realiza según; a) Diseños probados (en aplicaciones similares), b) Normas prescriptivas, y c) Las características propias del gas, presión, temperatura, así como las características propias del sitio: congestión y confinamiento. Para este método no es necesario el modelado por software ni las métricas para evaluar el desempeño.
  • Método volumétrico. Se basa en detectar un fuego de determinado tamaño, y la métrica de desempeño consiste en evaluar el porcentaje de cobertura de un volumen determinado. El tamaño del fuego puede presentarse en; a) calor radiante (RHO) o b) tamaño del fuego en pie cúbico (ft2). Para realizar este método de mapeo se requiere del modelado por software.
  • Método basado en escenarios. La norma omite la aplicación del método basado en escenarios para la detección de fuego, ya que aporta pocos beneficios considerando el nivel de complejidad de este método.

Mapeo de Gases Inflamables.

El punto de ajuste de los detectores de gases se establece por debajo del LEL (límite inferior de explosividad) del gas inflamable que se quiere detectar, con el objeto de que sea lo suficientemente bajo para una detección temprana, pero al mismo tiempo lo suficientemente alta para evitar falsas alarmas. Para minimizar las activaciones no deseadas se puede emplear votación de los detectores, por ejemplo, votación 1ooN para alarma y 2ooN para acción de control. Antes de realizar el mapeo de gases inflamables deben definirse los puntos de ajuste, los cuales también deben estar declarados en la filosofía de fuego y Gas.

  • Método prescriptivo. Este método se basa en evaluaciones cualitativas y dependientes del juicio del diseñador, por lo tanto, la ubicación de los detectores se realiza según; a) Diseños probados (en aplicaciones similares), b) Normas prescriptivas, y c) Las características propias del gas, presión, temperatura, así como las características propias del sitio: congestión y confinamiento. Para este método no es necesario el modelado por software ni las métricas para evaluar el desempeño.
  • Método volumétrico. Se basa en detectar una nube de gas de determinado tamaño, y la métrica de desempeño consiste en evaluar el porcentaje de cobertura de un volumen determinado. El tamaño de la nube de gas que se quiere detectar puede estar fundamentado en cualquier método, ya sea cualitativo, semicuantitativo o cuantitativo. Para realizar este método de mapeo se requiere del modelado por software.
  • Método basado en escenarios. Aplicar este método requiere de información específica del proceso, y se deben considerar tanto la frecuencia como las consecuencias para cuantificar el riesgo. Entre los parámetros utilizados para el modelado están; la ubicación y dirección de la fuga, la velocidad y dirección del viento, y el tamaño del orificio. La métrica de desempeño consiste en evaluar el porcentaje de fugas detectadas o evaluar la frecuencia (por año) de las fugas que no se detectan, la norma recomienda utilizar la última. Este método se realiza una vez que se ha llevado a cabo el análisis cuantitativo de riesgos (ACR). Para realizar este método de mapeo y calcular la concentración de gas, se requiere del análisis de dispersión mediante modelado en 3D por software, por ejemplo, el Análisis Computacional de Fluidos (CFD, en inglés).

Para el mapeo de gases inflamables la norma hace consideraciones generales, entre las cuales podemos nombrar: el efecto que tiene sobre la gestión del cambio el método de mapeo elegido (recordar el concepto de proporcionalidad mencionado anteriormente), el efecto de la concentración de la nube de gas sobre el modelado de detectores de camino abierto (open path), las consideraciones prácticas de la instalación de los detectores de gases según su entorno, las consideraciones a tener en cuenta al momento de determinar el  tiempo de respuesta del detector, los factores a tener en cuenta al colocar monitoreo de perímetro, y consejos sobre la representación del mapeo en 2D versus 3D.

Mapeo de Gases Tóxicos.

Para definir los puntos de ajuste (set point) la norma recomienda revisar los niveles de exposición ocupacional para el material tóxico en cuestión, usando como referencia el documento de HSE EH40 “Workplace exposure limits”. Con el fin de minimizar las activaciones no deseadas debido a concentraciones pico de corta duración, para la activación de la alarma se puede aplicar un retardo de X segundos, o también emplear votación 2ooN. Antes de realizar el mapeo de gases tóxicos deben definirse los objetivos de desempeño (declararlos en la filosofía de fuego y Gas). La norma proporciona una tabla de Factores de riesgo y mitigación, que sirve como guía para determinar los objetivos de desempeño del sistema de detección de gases tóxicos.

  • Método prescriptivo. Para este método aplican las mismas consideraciones del método prescriptivo para la detección de gases inflamables, más la aplicación de la tabla de Factores de riesgo y mitigación.
  • Método volumétrico. Aplican las mismas consideraciones del método volumértico para la detección de gases inflamables, pero haciendo énfasis en las áreas donde el personal normalmente está presente.
  • Método basado en escenarios. Para este método aplican las mismas consideraciones del método basado en escenarios para la detección de gases inflamables.

La norma también hace consideraciones generales cuando se realiza el mapeo de gases tóxicos, por ejemplo, tomar en cuenta los factores que influyen en el tiempo de respuesta del detector, que el uso de accesorios en los detectores no comprometa los resultados del mapeo de gases, considerar la capacidad de recuperación del detector luego de una alta o prolongada exposición al gas, considerar la concentración del gas en el desempeño del detector, tener en cuenta durante el estudio de mapeo los efectos de la sensibilidad cruzada (gases de interferencia que producen la activación del detector , aún sin la presencia del gas objetivo) y el monitoreo de perímetro (con detectores de camino abierto – open path) en caso de que la migración de la nube de gas tóxico de un área a otra represente un peligro.

2.3. Desarrollo de la Ingeniería de Detalle del SFG

La norma reconoce que el diseño del SFG empieza al inicio del ciclo de vida del proyecto cuando aún no se cuenta con el modelo 3D, por lo que la norma sugiere un enfoque de dos etapas, primero utilizar un método prescriptivo (más conservador y con mayor número de detectores), y luego cuando el diseño sea estable y casi sin cambios, aplicar métodos más detallados como el mapeo volumétrico o mapeo basado en escenarios. Se admite que puede haber cambios, y que la eliminación de detectores es más fácil de manejar que la incorporación de nuevos detectores. En cuanto a la Gestión del Cambio la norma sugiere la designación de una persona competente en SFG, que será la encargada de aprobar los cambios en la documentación que ha sido aprobada para construcción, el ingeniero responsable del SFG también puede sugerir cambios para mejorar la seguridad y que requieran realizar nuevamente el mapeo.

En la próxima entrada abordaremos los tópicos de instalación y mantenimiento.

Referencias:

  1. Consultoría en Seguridad Funcional (CSF) (2019) Sistemas de Detección de Fuego y Gas (SFG) basados en desempeño: Una visión general. https://grupocsf.com/sdfg/
  2. Consultoría en Seguridad Funcional (CSF) (2020) Filosofía del Sistema de Fuego y Gas (SFG) – Fundamentos básicos para su elaboración. https://grupocsf.com/filosofia-del-sistema-de-fuego-y-gas-sfg/
  3. ISA-TR84.00.07 (2018). Guidance on the Evaluation of Fire, Combustible Gas, and Toxic Gas System Effectiveness. Research Triangle Park, NC.
  4. BS 60080. (2020). Explosive and toxic atmospheres — Hazard detection mapping — Guidance on the placement of permanently installed flame and gas detection devices using software tools and other techniques. BSI Standards Limited.
  5. Asia Pacific Fire Magazine. Introduction to BS60080:2020 guidance on the placement of detection devices. Por James McNay. https://apfmag.mdmpublishing.com/introduction-to-bs600802020-guidance-on-the-placement-of-detection-devices/
  6. Insight Numerics. (14 de octubre de 2020). Understanding the new British Standard (BS 60080:2020) for Fire and Gas Mapping [Video]. Recuperado de https://www.youtube.com/watch?v=E4xYYFcAUAc

Hernán Núñez
FSEng TÜV SÜD TP180515282

Romel Rodríguez
Functional Safety Expert TÜV SÜD TP18010990
ISA84/IEC 61511 Expert
FSEng TÜV Rheinland 575/07 | PHA Leader

Introducción a la Norma Británica BS 60080: 2020, para la ubicación de detectores de fuego y gas (Parte 2 de 3) Leer más »

IEC 61511: 10 cosas que debes saber de la norma

Hoy hemos escogido un decálogo de cosas que, en nuestro parecer, debes saber sobre la norma IEC 61511. Intentaremos, en forma muy breve, abordar los tópicos más comunes basados en: a) la importancia que para nosotros tiene el entendimiento del espíritu de la norma, b) requisitos nuevos que no han sido suficientemente difundidos y, c) preguntas frecuentes de nuestros clientes.

1. Entre tantas normas, ¿cómo saber si esta IEC 61511 es para mí?

Esta es una norma específica para el sector de procesos asociados con la producción, generación, manufactura y/o tratamiento de petróleo, gas, madera, metales, alimentos, plásticos, petroquímicos, productos químicos, vapor, energía eléctrica, productos farmacéuticos y materiales de desecho. Es relativa solo a la Seguridad Funcional de los SIS, no debe confundirse con la seguridad global del proceso; ésta es solo la parte de la seguridad que proporciona el automatismo asociado al SIS, incluyendo su hardware y su programa de aplicación.

2. Medir para controlar. Una norma basada en desempeño

El desempeño como eje central del diseño (y la operación posterior del SIS), es el principal elemento diferenciador con respecto a otras normas relacionadas con la seguridad; por ejemplo, API 14C o NFPA 82 por mencionar algunas. El desempeño está relacionado a la brecha entre qué riesgo estoy dispuesto a asumir (riesgo meta) y el riesgo que estimo está relacionado a un peligro específico que ha sido identificado.

Recordemos que, no puede existir una Función Instrumentada de Seguridad (SIF) que no esté relacionada a un peligro específico; ya que, es a partir de la identificación de una necesidad de protección que se especifica una solución automatizada que genere una reducción de riesgo. La norma IEC 61511 dispone de una métrica de desempeño representada por el Nivel de Integridad de Seguridad (SIL) que, en cierta medida, indicará proporcionalmente de cuánto riesgo estoy dispuesto a dejar descansar sobre los hombros de cada SIF. Esa métrica tiene unos objetivos numéricos bien definidos que son, la Probabilidad de Falla Promedio (PFDavg) o Probabilidad de Falla Por Hora (PFH) que representan las fallas aleatorias permitidas para un determinado nivel de integridad.

3. Cómo trabajar la Seguridad Funcional? El Ciclo de Vida de Seguridad al rescate

La norma IEC 61511 declara un Ciclo de Vida de Seguridad del SIS (CVS) con actividades bien definidas y una colección de requisitos (más de 700, todos de estricto cumplimiento) para que el SIS logre alcanzar la Seguridad Funcional. El CVS es una de las principales herencias de esta norma, el seguimiento del CVS es fundamental para minimizar las fallas sistemáticas que son introducidas por nuestra forma de trabajar.

El CVS define cada fase en actividades de entrada, salidas y actividades de verificación, que deben ser realizadas en un orden específico. Es muy importante entender que, el CVS es particular de cada involucrado en la vida del SIS; por ejemplo, el CVS del integrador será diferente al de quien hace la ingeniería y también al del usuario final.

4. El control de lo que se hace y la Gestión de la Seguridad Funcional

Gestionar es poner a la gente correcta a realizar el trabajo correcto, con las herramientas necesarias y el tiempo adecuado. Para esto, debe existir una figura responsable de la Seguridad Funcional en general, que asegure que las actividades alrededor del SIS se realizan en forma consistente. Un punto de relevancia es la relativa al personal, no se trata necesariamente de crear una nueva estructura organizativa, es simplemente asignar las responsabilidades claramente dentro de la organización. Además, evaluar las capacidades, comunicar las responsabilidades asignadas, velar porque las personas realmente tengan las competencias para realizar el trabajo y disponer de los procedimientos para hacer (o supervisar) los trabajos relacionados al SIS (sino cada uno lo hará a su manera creando caos e inconsistencias).

Finalmente, un sistema de gestión nos brindará el soporte necesario para que el trabajo esté de conformidad con la norma. Algo curioso, es que cuando solicitamos equipos certificados, estamos pidiendo la comprobación, por un tercero independiente, de que quien fabrica el dispositivo lo hace dentro del marco de un sistema de gestión de conformidad con la norma (en este caso IEC 61508). Entonces, por qué no hacemos lo mismo al contratar proveedores de servicios o nos preocúpanos por crear ese marco de gestión en nuestras propias organizaciones?

Contenido relacionado: Trabajando en Seguridad Funcional: La gestión como herramienta para evitar las fallas sistemáticas

5. Mi SIS ya estaba aquí cuando yo llegué y no estoy seguro de que esté acorde a la norma

Lo primero que debemos saber es que para un SIS diseñado y construido de acuerdo con códigos, estándares o prácticas publicadas antes de la emisión de la norma IEC 61511, el usuario final debe determinar que el sistema está diseñado, mantenido, inspeccionado, probado y operando de manera segura. Esto es algo que ya hemos visto en el CFR 29 de OSHA y en lo que se llamaba la clausula del abuelo de ISA 84 (antes de la unificación de las normas ISA e IEC en 2018).

Así que quedan dos caminos, o adoptamos la norma con todo lo que esta implica o nos dedicamos a demostrar (soportes en mano) que el SIS existente brinda la reducción de riesgo que de él se espera en forma efectiva. Como ven, decir que no hace falta hacer nada no es una opción.

6. El personal debe ser ¿competente o certificado?

No se espera que exista un super ingeniero, solo se espera que sea competente para realizar las tareas del CVS que le corresponden. Una certificación, por parte de un tercero independiente, da fe que la persona posee una competencia particular (bien sea de conocimiento o de experiencia) pero esa palabra nunca lo encontrará en esta norma. Lo que si encontrará es que se debe establecer un procedimiento para gestionar la competencia de todos los implicados en el ciclo de vida del SIS y que se deben realizar evaluaciones periódicas. Esto es que las competencias deben ser desarrolladas, evaluadas y refrescadas en forma continua.

A menudo perdemos de vista que la competencia es más que conocimiento o formación académica, y que tienen un peso, igual de importante, la práctica continua de lo que se sabe, la actitud hacia el trabajo y las habilidades del individuo para hacer, en forma adecuada, una tarea específica.

Contenido relacionado: Trabajando en Seguridad Funcional: La Gestión de las Competencias del Personal

7. Es cierto eso que dicen que el SIS debe ser independiente del BPCS

La norma IEC 61511 establece claramente que el SIS es el único sistema que puede alojar a una SIF y que el BPCS (al menos que se diseñe según la norma) no debería alojar funciones instrumentadas de seguridad. La independencia y separación tiene muchas aristas en esta norma y todas atienden a minimizar las fallas de causa común y, para ello, se aborda este tema buscando minimizar la interferencia o lo propagación de fallas de un sistema a otros.

La norma indica la necesidad de estudiar: a) la independencia entre capas de protección; b) la diversidad entre capas de protección; c) la separación física entre diferentes capas de protección y d) los fallos de causa común entre capas de protección y entre capas de protección y BPCS. La independencia no es necesariamente separación física, más bien se refiere a independencia probabilística, es decir, determinar que las causas de falla de causa común sean suficientemente bajas como para afectar la integridad.

La independencia en la norma va más allá de solo HW y SW, también es mencionada como medida de control de actividades de gestión como evaluaciones, auditorías y verificaciones que requieren un cierto grado de imparcialidad.

Recuerde, mientras el SIS sea más simple es mejor, puede ser un gran dolor de cabeza tratar de justificar el hecho de compartir elementos con el BPCS, sobre todo después de un accidente.

8. Del papel a la acción. Seguimiento del desempeño del SIS

Se debe asegurar que el SIS mantiene las condiciones de diseño, es decir todas las premisas de diseño deben ser validadas durante la operación y mantenimiento (O&M) del SIS. Para esto, debemos crear una colección de indicadores (KPI) que nos permitan medir el desempeño. Aquí es importante hacer una buena selección de KPI que sean representativos de nuestras propias operaciones y no tratar de hacer lo que otros hacen. Se debe estar alerta a todas las fuentes de degradación. Las inspecciones en campo de los elementos que conforman el SIS toma especial importancia para esto. Se debe vigilar el efecto de las condiciones ambientales, de las propias condiciones del proceso y de la manera que el personal de O&M se relaciona con el SIS.

Debemos medir y analizar el comportamiento de las tasas de fallas usadas en el diseño, ya que eso es la base del modelo con el que creamos nuestro SIS y, como modelo al fin, es la mejor representación que pudimos hacer en un momento determinado; por lo que, validarlo es esencial. El modelo del que hablamos se relaciona con una realidad circundante y se ajustó a las suposiciones de esa realidad, por lo tanto, tiene la misma importancia verificar que el comportamiento del proceso es tal cual lo visualizamos durante el diseño. Una mayor tasa de demanda puede hacer que nuestro SIS nos brinde una sensación falsa de seguridad.

9. Yo no diseñé ese sistema, yo soy Operador y/o Mantenedor

En la norma IEC 61511 solo existen un par de páginas dedicadas a indicar qué se debe hacer en la fase de O&M, y aunque parezca poco, en realidad es mucho trabajo. Hablamos de una etapa que puede durar más de 20 años y que requieren de un alto nivel de compromiso y mística de trabajo. Como dijimos anteriormente, se debe entender el impacto de la interacción del personal de O&M sobre la integridad del SIS. Es muy importante que el personal de operaciones entienda de qué peligros específicos le protege el SIS y cómo un fallo de éste compromete su seguridad; además, de las acciones que debe realizar como medida de compensación.

La gestión de los desvíos (bypass) tiene especial importancia en la nueva versión de la norma; un Operador consciente de los peligros de los cuales es protegido por el SIS será menos propenso a colocar en bypass a las SIF y será mucho más cuidadoso en su uso. Por otro lado, el personal de mantenimiento debe saber cómo es que el Tiempo de Inspección de la SIF afecta su integridad. Saber que hay una relación inversamente proporcional entre el tiempo de pruebas de las SIF y su capacidad de proteger. Por último, debemos hacer una campaña de sensibilización para hacer entender al personal de O&M la importancia que tiene sus opiniones, requisitos y decisiones en la etapa de diseño.

10. Mi SIS está aislado, no necesito otro problema como la seguridad cibernética

Las nuevas facilidades de intercambio de datos de los sistemas más modernos traen consigo también un nuevo grado de exposición y vulnerabilidades, inclusive los menos interconectados no están exentos de una amenaza.

La última versión de la norma indica, ya en forma explícita, la necesidad de identificar qué posibles vulnerabilidades puede tener nuestro sistema, ahora desde el punto de vista de la seguridad (física y cibernética). Un accidente provocado por una falla aleatoria puede ser también originado de forma intencional al explotar una vulnerabilidad de seguridad de un SIS y de ahí la necesidad de contemplar esto en nuestro análisis.

Para la norma no basta con identificar las vulnerabilidades, el SIS debe ser inmune a este tipo de amenazas; por tanto, el diseño debe contemplar lo que sea necesario. Al adentrarnos en este tipo de temas, vemos que las amenazas son sumamente cambiantes, por lo que, nada es estático en el mundo de la ciberseguridad. Todos los días hay una actualización de una contramedida porque responde a una nueva amenaza. Por ejemplo, la actualización de antivirus o firmwares. Así estos nuevos requisitos implican hacernos de nuevas competencias, para entender cómo se podría ver afectado el SIS.

A manera de conclusión podemos decir que, conocer los requisitos de la norma IEC 61511 nos ayudará a entender nuestras responsabilidades y nos permitirá realizar mejor nuestro trabajo, manteniendo la integridad de los SIS en cualquier fase del Ciclo de Vida de Seguridad.

IEC 61511: 10 cosas que debes saber de la norma Leer más »

Introducción a la Norma Británica BS 60080: 2020, para la ubicación de detectores de fuego y gas


El diseño de Sistemas de Fuego y Gas (SFG) no deja de ser un tema cargado de discusiones, teorías y enfoques al que pocos profesionales se atreven abordar. Ya en otros artículos [1] [2]hemos tratado el tema utilizando como referencia el reporte técnico de ISA TR 84.00.07-2018 [3], en esta oportunidad vamos a hacer una breve introducción de una nueva norma [4] de origen británico, BS 60080:2020 Explosive and toxic atmospheres — Hazard detection mapping — Guidance on the placement of permanently installed flame and gas detection devices using software tools and other techniques”, publicada en septiembre 2020 por British Standards Institution.

Es preciso resaltar que la norma británica BS 60080:2020 es de carácter orientativo y no constituye un documento de obligatorio cumplimiento, es más una guía para el diseño de Sistemas de Detección de Fuego y Gas (SFG) fijos, que responde básicamente las siguientes preguntas [5]: 1) ¿Cuántos detectores necesito?, y 2) ¿Dónde los instalo para maximizar su efectividad?

Con el propósito de ilustrar el proceso de diseño de descrito en la norma, vamos a dividirlo en tres etapas [6]; Definición de la Filosofía (capítulos 4 y 5), Ejecución del Proyecto (capítulos 6, 7 y 8),e Instalación y Mantenimiento (capítulos 9, 10 y 11).

1. Definición de la Filosofía del Sistema de Fuego y Gas (SFG)

1.1. La primera actividad establecida en la norma es la Identificación de peligros y evaluación de riesgos; es decir, una vez que se ha identificado el peligro se debe realizar la evaluación de riesgos, esto con el objetivo de conocer si el sitio cuenta con medidas de control adecuadas para que los riesgos puedan considerarse tan bajos como sea razonablemente posible (ALARP), y una de esas medidas de control es el SFG. La norma asume que ya previamente se ha realizado una evaluación de riesgos y que, como resultado, para conseguir que los riesgos sean ALARP, se requiere de la instalación de un SFG.

1.2. La segunda actividad es la elaboración de la Filosofía de Fuego y Gas, la filosofía es un documento que trata sobre la estrategia del SFG y que debe definirse al inicio del proyecto. Para los propósitos de la norma, esta filosofía es particular para cada instalación y se complementa con la filosofía general (y genérica) de la corporación.

Para la elaboración de la filosofía, la norma recomienda incluir como mínimo los siguientes aspectos:

  • Las métricas que se utilizarán para evaluar el sistema (% de cobertura, tamaño de fuego o de nube de gas).
  • Criterio de protección predominante (proteger medio ambiente, personal, activos, continuidad del negocio).
  • Definir las zonas de mapeo (incluye la metodología para definirlas).
  • Reglas de clasificación (grading) de área (si aplica, esto define el desempeño basado en la categoría de riesgo).
  • Tecnología más apropiada según los peligros y el medio ambiente.
  • Puntos de ajuste (set points) y requisitos de votación para los detectores.

Al realizar el mapeo de fuego y gas, la norma recomienda considerar los aspectos prácticos de la ubicación de los detectores, es decir, tener en cuenta las opciones para el montaje de los detectores, previendo durante la etapa de diseño las facilidades para los futuros mantenimientos y pruebas. Recordemos que en un proyecto nuevo existe mucha flexibilidad para realizar la ubicación de los detectores lo cual permite optimizar el número de detectores, en cambio en instalaciones existentes o donde ya existe un SFG es más costoso realizar modificaciones para lograr un mapeo óptimo.

2. Ejecución del Proyecto del Sistema de Fuego y Gas

2.1. Tecnologías de Detección

La primera actividad de esta etapa es seleccionar la tecnología de detección adecuada al peligro que pudiera estar presente en el sitio, en la norma se hacen consideraciones particulares de las siguientes tecnologías:

Tecnologías de Detección de Fuego. Cuando se trabaja con detección óptica de fuego se maneja el concepto de cobertura de detección, que es una característica particular de cada modelo de detector. La información relativa a la cobertura de detección es proporcionada por el fabricante del detector, y depende de los siguientes factores:

  • Campo de visión (cono de visión)
  • Distancia de detección (depende del tipo de combustible)
  • Disminución de la sensibilidad hacia el borde del cono de visión

Para realizar la ubicación de un detector de fuego tipo óptico se requiere modelar su cobertura de detección, para lo cual es necesario conocer lo siguiente:

  • Marca y modelo del detector.
  • Sensibilidad del detector.
  • Tipo de Combustible.

La norma refiere brevemente a las siguientes tecnologías de detección de incendio:

  • Detección óptica de fuego: infrarrojo (IR simple y múltiple espectro), ultravioleta (UV y UV/IR) y detección visual/por imágenes.
  • Detección de calor: tapón fusible, cable lineal, sistemas neumáticos, tira bimetálica, sensor de calor IR y termistores.

La detección de humo está fuera del alcance de la norma.

Tecnologías de Detección de Gases inflamables. La norma hace mención de los detectores puntuales para gases inflamables del tipo catalítico (también conocidos como pellistores), tipo infrarrojos (IR) y de tipo conductividad térmica. El detector puntual detecta el gas en el punto donde está su elemento sensor. Existen también detectores del tipo línea de vista o camino abierto (open path) que pueden estar basados en tecnología IR o en tecnología láser, la principal diferencia entre ambos es que la tecnología láser es específica para cada gas, y en la tecnología IR que es más amplia ya que la mayoría de los gases absorben la radiación infrarroja.

  • Detectores puntuales: infrarrojo (IR), catalítico (pellistor) y conductividad térmica.
  • Línea de vista / camino abierto (open path): tipo infrarrojo y tipo laser

Tecnologías de Detección de Gases Tóxicos. Sin profundizar mucho en aspectos técnicos, la norma hace referencia de dos (02) métodos de detección de gases tóxicos: electroquímico y semiconductor.

Tecnología de Detección ultrasónica (acústica) para fugas de gases. Los detectores ultrasónicos para fugas de gases (UGLD por sus siglas en ingles), responden a las fugas de gases en equipos presurizados. El mapeo de dispositivos UGLD está fuera del alcance de la norma.

En la próxima entrega abordaremos los tópicos relacionados con el mapeo del SFG.

Referencias:

  1. Consultoría en Seguridad Funcional (CSF) (2019) Sistemas de Detección de Fuego y Gas (SFG) basados en desempeño: Una visión general. https://grupocsf.com/sdfg/
  2. Consultoría en Seguridad Funcional (CSF) (2020) Filosofía del Sistema de Fuego y Gas (SFG) – Fundamentos básicos para su elaboración. https://grupocsf.com/filosofia-del-sistema-de-fuego-y-gas-sfg/
  3. ISA-TR84.00.07 (2018). Guidance on the Evaluation of Fire, Combustible Gas, and Toxic Gas System Effectiveness. Research Triangle Park, NC.
  4. BS 60080. (2020). Explosive and toxic atmospheres — Hazard detection mapping — Guidance on the placement of permanently installed flame and gas detection devices using software tools and other techniques. BSI Standards Limited.
  5. Asia Pacific Fire Magazine. Introduction to BS60080:2020 guidance on the placement of detection devices. Por James McNay. https://apfmag.mdmpublishing.com/introduction-to-bs600802020-guidance-on-the-placement-of-detection-devices/.
  6. Insight Numerics. (14 de octubre de 2020). Understanding the new British Standard (BS 60080:2020) for Fire and Gas Mapping [Video]. Recuperado de https://www.youtube.com/watch?v=E4xYYFcAUAc

Hernán Núñez
FSEng TÜV SÜD TP180515282

Romel Rodríguez
FS Expert Risknowlogy 5866
Functional Safety Expert TÜV SÜD TP18010990
ISA84/IEC 61511 Expert
FSEng TÜV Rheinland 575/07 | PHA Leader

Introducción a la Norma Británica BS 60080: 2020, para la ubicación de detectores de fuego y gas Leer más »

Claves para el éxito de estudios de riesgos en forma remota

computador durante estudios de riesgo

Esta entrada trata sobre la adaptación, sobre cómo realizar estudios de riesgos (que por su naturaleza necesitan de la participación de grupos multidisciplinarios) en tiempos de restricciones de movilidad, como los que estamos viviendo.

En este caso, se requiere de una mayor preparación que en un estudio convencional y se debe definir el alcance claramente, asegurando que se entiende el proceso y la tecnología en una reunión previa.

El equipo de trabajo

Al formar el equipo de trabajo, debemos enfocarnos en maximizar los resultados. Se recomienda que, en estos casos, el Líder del Estudio, además de tener experiencia en la metodología y la tecnología de comunicación, sea capaz de administrar el tiempo y mantener al grupo enfocado, activo y participativo, poniendo atención sobre lo que se quiere discutir.

Es muy importante minimizar las distracciones y discusiones secundarias.

El secretario es esencial para sesiones remotas (un par de oídos extras), debe conocer la metodología, ser suficientemente organizado y atento a los detalles para sintetizar la información. Un buen secretario hace la diferencia en cualquier estudio de riesgo.

El grupo de trabajo debe mantenerse tan reducido como sea posible, con los representantes mínimos necesarios y la participación de especialistas y representantes de equipos paquetes en forma puntual. Las herramientas de comunicación hoy día no representan mayor dificultad; por ejemplo, en la actualidad hablamos de un tráfico por día de 300 millones de participantes en ZOOM y de unos 200 Millones en Microsoft Teams, sin contar otras opciones como Webex o Skype, solo por nombrar las más populares. La opción que decidamos utilizar debe permitir comunicación instantánea de audio y video, múltiples usuarios, registro de asistencia, opciones para compartir pantallas y archivos, grabación de las sesiones y una conexión segura. La recomendación principal es probar, probar, probar.

Preparación del estudio

Con relación a la preparación del estudio, se recomienda definir los nodos y estructurar el estudio con la cantidad de detalle que sea posible (escenarios, desviaciones y causas probables), asegurando la disponibilidad y el orden de toda la información.

Debemos enfocarnos en la eficiencia de las sesiones de trabajo. Una buena práctica es realizar una capacitación inicial sobre la metodología y el alcance del estudio; de esa forma, es posible ajustar las expectativas en forma previa. Si la planificación lo permite, implementar sesiones de 4 horas diarias y de 3 o 4 días por semana, considerando el rendimiento y los husos horarios de los involucrados.

Podemos pensar que al disminuir la cantidad de tiempo en las sesiones mermaría la eficiencia, pero el uso de grupos reducidos hace que el rendimiento sea muy bueno; pueden ser jornadas cortas pero intensas – aún más que las convencionales.

Claves de éxito

Recordemos que ésta no es una reunión cualquiera, es una reunión de revisión exhaustiva, por lo que, se debe prestar atención a los siguientes aspectos: 

  • Establezca las reglas de juego – por ejemplo, el uso de las funciones mute y levantar la mano para asegurar que hable uno a la vez.
  • Administre el tiempo – las intervenciones deben ajustarse al propósito y alcance del estudio.
  • Controle su ambiente circundante – desde su comodidad (tener todo a la mano) hasta las fuentes de ruido y distracción.
  • Identifique al personal clave – por su nombre (las aplicaciones identifican la conexión individual) y apóyese en él para enfocar la discusión sobre el punto que éste maneja.
  • Organice la información que se va a compartir y verifique el tamaño de la fuente utilizada en el software.
  • Asegúrese de que existe realimentación de las comunicaciones y que cada mensaje haya sido recibido efectivamente antes de avanzar – recuerde que ya no existe el feedback físico.
  • Evalúe la efectividad y haga ajustes continuamente -poniendo atención a los detalles y realimentándose de lo que sucede (detectar cuando se puede avanzar sobre un tema y cuáles requieren mayor profundidad de discusión).

No hay duda de que esta forma de trabajo, que muchos recién experimentan, ha llegado para quedarse; por lo que, debemos encontrar maneras efectivas que nos permitan seguir haciendo los estudios de riesgos a pesar de las circunstancias actuales.

No existen limitaciones tecnológicas para la realización de estudios de riesgos en forma remota, solo nos queda entender que las condiciones demandan nuevas formas de trabajo y detenernos no es una opción.

Mantenerse al día implica adaptarse y empezar a trabajar de una forma diferente.

Romel Rodríguez
CSF Consultoría en Seguridad Funcional
rodriguezrx@grupocsf.com

Claves para el éxito de estudios de riesgos en forma remota Leer más »

¿Qué tanto conocemos de Evaluación y Auditoría de la Seguridad Funcional? Puntos comunes y diferencias (Parte III)

En esta tercera y última entrega, trataremos lo relacionado con las evaluaciones o FSA (Functional Safety Assessment) en el área de la seguridad funcional.

A continuación, complementaremos la definición que pueden ver en la publicación «¿Qué tanto conocemos de Evaluación y Auditoría de la Seguridad Funcional? Puntos comunes y diferencias (Parte I)» con lo que establece la norma IEC61511-1: 2016.

Un FSA se enfoca en emitir un «juicio” sobre el estado de la seguridad funcional, ya que su objetivo fundamental es establecer si la seguridad funcional ha sido “alcanzada” y busca demostrar y confirmar que:

  • El SIS alcanza la seguridad funcional y que se han desarrollado las fases del ciclo de vida de seguridad de forma correcta y que se continúan «manteniendo» los requisitos iniciales desde que se estimó el SIL, pasando por la fase de diseño y finalizando con la operación y mantenimiento.
  • El personal está capacitado y tiene las competencias necesarias para realizar el trabajo, lo hizo de forma correcta, en el momento apropiado y con las herramientas indicadas.
  • Todas las herramientas utilizadas para el soporte, cálculo y desarrollo han sido las adecuadas.
  • Cada fase ha sido verificada.
  • La documentación es adecuada.
  • El SIS está listo para ser operado.

Esencialmente, al realizar un FSA se busca confirmar que en las diferentes actividades se han utilizado métodos, técnicas, competencias, resultados y procesos apropiados para lograr la seguridad funcional.

Deben ser realizadas por un evaluador (assessor) o un equipo de evaluadores independiente, debido a que requiere de una revisión profunda y la emisión de un juicio de valor sobre una condición. Se requiere al menos una «persona competente de alto nivel», ya que en gran medida la experticia en el área va a garantizar el éxito de la actividad. Además, es necesario que el evaluador tenga suficiente autoridad dentro de la organización a fin de que su juicio sea respetado y sus recomendaciones sean consideradas.

El grado de independencia depende de la gravedad (estimada) de las consecuencias o del SIL de la(s) SIF diseñada(s). Hay casos en los que es suficiente solo una persona que no haya participado en el proyecto que se está evaluando o no esté involucrada directamente en la actividad. A mayor severidad o SIL, se deberá incrementar el nivel de independencia de una persona a un departamento a una organización.

Pudiéramos preguntarnos si es obligatorio realizar un FSA, y la respuesta es, Sí. Éste, es uno de los requisitos obligatorios de la normativa IEC61511-1: 2016. Pero, más allá de eso, al realizarla, podemos garantizar (de forma tangible) que la seguridad funcional se ha alcanzado, nos evita problemas operacionales, disminuye los costos y nos permite aprovechar los recursos que tenemos; por lo que, no sería molesto cumplir con esa obligatoriedad.

Aunque la normativa nos sugiere cuándo realizar el FSA, esto no es limitativo. Una organización puede realizarla en las fases del ciclo de vida de seguridad donde les sea conveniente. Mientras más fases sean evaluadas, mayores beneficios se obtienen porque nos permite conocer si “alcanzamos y mantenemos nuestra seguridad funcional”. La norma recomienda que se realice tan seguido como sea prácticamente realizable, según el tamaño del proyecto o de la operación.

Como toda actividad, el evaluador (o el equipo evaluador) tiene la responsabilidad de prepararse y planificarse. Debe generar un plan que indique las actividades a desarrollar, los recursos, herramientas y la documentación que será necesario revisar.

Ahora bien, ya luego de revisar lo más relevante de ambos mundos, tanto de las auditorías como de las FSA, es necesario resaltar que para obtener el máximo provecho de ambas actividades debemos apoyarnos en personal experimentado, capacitados en el área  y que tenga las competencias necesarias, más allá de ofrecer un resultado positivo hacia la organización; con esto podemos tener la certeza de que se realizaron procesos de gestión conscientes, rigurosos y reales que nos permitan evidenciar en “donde estamos” con el fin de tomar las acciones necesarias para llegar “hacia donde queremos”. Con la misma importancia, se debe considerar en ambos casos contar siempre con una planificación adecuada donde quedarán establecidos los lineamientos a cumplir para llevar con éxito la actividad.

Recordemos que:

«Las cosas buenas suceden solamente si se
planean, las cosas malas suceden solas»

PHIL CROSBY

¿Qué tanto conocemos de Evaluación y Auditoría de la Seguridad Funcional? Puntos comunes y diferencias (Parte III) Leer más »

¿Cómo evaluamos riesgo en un PHA?

En un análisis de peligros o PHA, por sus siglas en inglés Process Hazard Analysis, tenemos como meta principal la identificación de peligros, pero en muchos casos esta actividad va ligada a la evaluación del riesgo asociado a cada escenario peligroso. Consecuentemente, podremos priorizar las acciones que serán necesarias para reducir el riesgo total de la instalación.

El escenario peligroso se origina por una causa, que puede estar representada por la falla de un equipo / instrumento, un error humano o algún evento externo al proceso. Si esta causa se produce y no existen protecciones o salvaguardas que detengan la secuencia de eventos, se materializarán las consecuencias.

El riesgo comúnmente es definido como la combinación de la frecuencia y la consecuencia asociada al escenario peligroso.

Ahora que sabemos cómo se define el riesgo, podemos entender la utilidad que tiene conocer los fundamentos de este término.

Los PHA se realizan con la participación de un equipo multidisciplinario, por lo cual, los asistentes deben conocer claramente estos conceptos para dar una estimación acertada del riesgo. Cada opinión cuenta y cuanto más claros y seguros estemos al momento de expresar nuestras ideas, más preciso y mejor soportado será el resultado.

Existen distintas técnicas PHA, las más utilizadas son: HAZID, What if y HazOp. El procedimiento general consiste en la
identificación de las causas, consecuencias, riesgo, salvaguardas y recomendaciones.

Al comenzar el estudio, los participantes reciben los P&IDs de la instalación y la matriz de riesgo de la organización. En esta última, se establece cuál nivel de riesgo es aceptable y cuál es intolerable, así como las medidas a tomar en cada caso.

La matriz de riesgo tiene 2 dimensiones, de un lado se muestran las consecuencias y del otro las frecuencias asociadas, normalmente, a la causa que genera el escenario peligroso. 

Dependiendo del tipo de afectación que se esté evaluando, es decir, si la consecuencia es sobre las personas, los activos o el ambiente, se debe describir claramente la consecuencia y, por lo tanto, el nivel de afectación adecuado (por ejemplo, en caso de una consecuencia crítica, estamos hablando de múltiples fatalidades).

El siguiente paso, en la estimación del riesgo es determinar la frecuencia que está asociada a la causa que origina al escenario peligroso. Es de vital importancia, la comprensión de estos puntos para facilitar la dinámica del estudio.

La mayoría de los líderes de PHA invierten mucho tiempo explicando y aclarando este tema durante las sesiones de trabajo. Escenario por escenario, se escuchan frases como: “Recuerden, la frecuencia es de la causa que lo origina”. El error más común es relacionar la frecuencia a la consecuencia directamente, sin conocer el tipo de riesgo que se está evaluando, los participantes se preguntan “cada cuanto tiempo puede ocurrir la explosión”, y ahí damos oportunidad para echar a volar la imaginación, haciendo cálculos inestimables.

Sin embargo, aquí no terminan las complicaciones con la estimación del riesgo. Actualmente, algunas organizaciones están evaluando varios tipos de riesgo para tener un panorama más realista.

Cada organización decide categorizar los tipos de riesgo según su criterio particular. Algunos de los términos más utilizados son: riesgo inherente, riesgo residual real y riesgo residual proyectado. El riesgo inherente se refiere a las condiciones antes de que se incorporen medidas de protección (salvaguardas) para reducir el riesgo. El riesgo residual real corresponde al riesgo de la instalación, una vez que se consideran las medidas de protección existentes en el diseño. Por último, el riesgo residual proyectado se refiere al que se desea obtener en caso de proponer medidas adicionales de reducción.

Esto se traduce en, el riesgo inherente es el riesgo sin salvaguardas, el residual real considera las salvaguardas y el riesgo proyectado toma en cuenta las salvaguardas asociadas a las recomendaciones sugeridas durante la ejecución del estudio

En la siguiente matriz, podemos observar cómo puede variar la evaluación considerando los tres tipos de riesgos, iniciando con un riesgo inherente alto y culminando con un riesgo residual proyectado medio. Este movimiento de reducción de riesgos depende del tipo de salvaguarda a considerar; en caso de que las medidas modifiquen la frecuencia, la reducción será como la que se muestra en la gráfica; en caso de que la medida modifique la consecuencia, el movimiento será hacia abajo.

Finalmente, podemos decir que, para obtener resultados coherentes durante la evaluación del riesgo en un PHA debemos conocer a cabalidad los fundamentos teóricos del riesgo y diferenciar los tipos de riesgo que se van a evaluar, en función a los criterios que utilice la organización.

¿Cómo evaluamos riesgo en un PHA? Leer más »

¿Qué tanto conocemos de Evaluación y Auditoría de la Seguridad Funcional? Puntos comunes y diferencias (Parte II)

Como indicamos en la publicación anterior, en esta segunda entrega, trataremos lo relacionado con las auditorías en el área de la seguridad funcional.

En https://grupocsf.com/2020/06/evaluacion-y-auditoria-de-la-seguridad.html, se hizo referencia a la definición indicada en la normativa IEC-61511; en esta oportunidad, tomaremos la del libro “Guidelines for Auditing Process Safety Management Systems” del CCPS, en el que se define la auditoría como “Una revisión sistemática e independiente para verificar la conformidad con lo establecido en pautas o estándares. Emplea un proceso de revisión bien definido para garantizar consistencia y permitir al auditor llegar a conclusiones defendibles”.

Las auditorías, en el ámbito de seguridad funcional, tienen por objetivo determinar si el sistema de gestión de la seguridad funcional está siendo utilizado y si está actualizado.

Adicional a estas definiciones, hemos querido ampliar un poco más la información con la intención de ayudarles a participar, de forma proactiva y consciente, en la mejora de los procedimientos internos de su organización.

¿Cuál es la obligatoriedad de realizar las auditorías en seguridad funcional?

Las auditorías son un requisito de la normativa IEC-61511 (clausula 5 “Gestión de la Seguridad Funcional”) y, si bien pudiera verse como que no es obligatorio, no tiene sentido tener un sistema de gestión si el mismo no es auditado para asegurar la mejora continua. La auditoría nos aporta información valiosa, por lo que, es determinante para su ejecución, que la organización cuente, obviamente, con un sistema de gestión de seguridad funcional.

Una recomendación, no excluyente, es que se realicen durante las fases largas del ciclo de vida de seguridad, como la de operación y mantenimiento del SIS. Aunque en proyectos muy largos puede ser beneficioso aplicarla durante el desarrollo de actividades como la asignación del SIL, el diseño o la implementación del SIS.

¿Qué tan frecuente se deben realizar las auditorías?

La frecuencia de la auditoría va de la mano con el impacto potencial de la actividad que se está auditando y, además, depende de los objetivos del plan de auditoría y la naturaleza de las operaciones involucradas.

Entre los factores que se deben considerar para determinar la frecuencia de la auditoría se encuentran: el nivel de riesgo de la instalación, la madurez del sistema de gestión de seguridad funcional, los resultados de auditorías previas, el historial de no conformidades, las políticas de la organización y las normativas de referencia.

¿Debe existir un plan de auditorías?

Sí, es importante que se realice una planificación conjunta entre el equipo auditor y la organización con el fin de establecer las actividades a desarrollar, fechas de compromiso, tiempo de duración, disponibilidad del personal y definición de los procedimientos a aplicar.

El plan de auditoría debe contener:

  • Definición del alcance de la auditoria.
  • Planificación de las actividades a desarrollar.
  • Definición de la organización, recursos y herramientas.
  • Documentación requerida y a entregar.
  • Manejo de No Conformidades.

¿Quién debe realizar las auditorías?

Deben ser realizadas por personal independiente, es decir, no involucrado en la actividad auditada.

El equipo auditor debe estar constituido por personal que tenga conocimiento sobre las áreas que se van a auditar, debe estar capacitado en procesos de auditoría y tener las habilidades y herramientas adecuadas para auditar efectivamente. En base a su experticia profesional, debe realizar una revisión de la documentación utilizada y generada en el marco de la seguridad funcional.

No debe centrarse en medir el alcance técnico de la información, ni emitir juicios, ni ofrecer recomendaciones sobre el diseño del sistema de seguridad funcional, sino validar si se siguieron los lineamientos establecidos. Por ello, el auditor debe tener la experticia adecuada para determinar las áreas de mejora.

El nivel de independencia asegura la imparcialidad al momento de emitir observaciones (tanto positivas como negativas) del proceso de auditoría. Por ejemplo, en el caso de las auditorías internas, basta con pertenecer a otro departamento u otra unidad, pero con las competencias adecuadas para cumplir el rol de auditor.

¿Qué se debe auditar?

Dependiendo de la etapa o la fase del ciclo de vida que se pretenda auditar, existen una serie de documentos, planes y procedimientos que son necesarios revisar. En todas las fases se deben revisar los planes de gestión, verificación y evaluación, los procedimientos de planificación, evaluaciones (assessment), auditorías internas, entre otros.

Por ejemplo, para la fase de operación y mantenimiento, los planes de inspección, prueba y mantenimiento y los procedimientos del manejo del cambio (MOC), prueba, seguimiento y desempeño del SIS, entre otros.

De manera general, se debe confirmar mediante evidencia, la aplicación y uso de cada uno de los procedimientos mencionados.

¿Cuáles son las actividades incluidas en una auditoría?

Las principales actividades que se realizan son:

  • Revisión de procedimientos.
  • Entrevistas al personal (gerentes, supervisores, ingenieros, mantenimiento y operadores, entre otros).
  • Revisión de documentación, registros o evidencias.
  • Auditorías o visitas de campo para validar en sitio la información obtenida durante las entrevistas.

El tema de las auditorías es muy amplio y podemos profundizar mucho más, mencionar otras características y elementos, pero al considerar y aplicar lo que hemos señalado, se pueden obtener buenos resultados y garantizar el éxito de la auditoría.

En la tercera parte del post, entraremos en materia acerca de las evaluaciones o assessment de la seguridad funcional.

¿Qué tanto conocemos de Evaluación y Auditoría de la Seguridad Funcional? Puntos comunes y diferencias (Parte II) Leer más »

Segunda Edición de la IEC 62443-3-2

A propósito de la reciente publicación de la segunda edición de la norma IEC 62443-3-2: Security risk assessment for system design, queremos comentarles un poco de que se trata esta parte de la IEC 62443.

Cada Sistema Automatizado de Control Industrial (IACS) maneja diferentes riesgos, amenazas, probabilidades de ocurrencia, vulnerabilidades y consecuencias; por lo que, cada caso puede ser diferente, incluso dentro de una misma organización.

No existe una receta simple para asegurar los sistemas de control y la IEC 62443-3-2 no pretende serlo.

Esta parte de la IEC 62443, brinda a nuestras organizaciones una guía para evaluar el riesgo de un IACS específico y nos permite identificar contramedidas de seguridad para reducir el riesgo cibernético de los sistemas de control, hasta lograr niveles tolerables en la organización. Los requisitos indicados nos ayudan a:

  • Definir el Sistema Bajo Consideración (SuC).
  • Dividir el SuC en Zonas y Conductos.
  • Evaluar los riesgos de cada Zona y Conducto.
  • Establecer los niveles de seguridad de cada Zona y Conducto.
  • Documentar los requisitos de seguridad del SuC.

Para cumplir con estos requisitos, en CSF hemos desarrollado distintos estudios bajo la guía de la IEC 62443 y otras mejores prácticas, que describimos a continuación:

1. HRA: Evaluación de Riesgo Cibernético de Alto Nivel (High Level Risk Assessment)

Utilizado para identificar los riesgos asociados a los tipos de activos cibernéticos de los IACS. Este análisis brinda al usuario una primera impresión de los riesgos a los que se expone cuando alguno de sus activos cibernéticos se encuentra comprometido.

Se formula una lista de los tipos de activos cibernéticos por cada área de proceso o servicio y para cada uno de los tipos de activos cibernéticos, se identifican las amenazas y se determina el peor escenario sobre el proceso o el sistema bajo estudio (SuC). En función a la criticidad de la consecuencia, es posible asignar un nivel de seguridad objetivo inicial (SL-T) para cada tipo de activo cibernético que sirve de base para realizar la segmentación de las redes de control. Para cada amenaza identificada, se emiten recomendaciones que ayuden a minimizar la afectación y, principalmente, deben estar direccionadas a generar un plan de repuesta en caso de un ataque cibernético.

2. ZCD: Definición de Zonas y Canales (Zone and Conduit Definition)

Permite agrupar los activos cibernéticos pertenecientes al IACS en zonas con requisitos de seguridad en común y definir los canales que conectan dos o más zonas, con la finalidad de optimizar los recursos de protección de los activos cibernéticos.

La agrupación de equipos en zonas se realiza en función del inventario de los de activos cibernéticos del IACS, considerando criterios como: función que desempeñan, tipo de conexión física, manejo de conexión desde redes no confiables, nivel de seguridad objetivo SL-T del equipo y facilidad de propagación de las amenazas.

Los conductos son definidos según la necesidad operativa y de seguridad de las zonas interconectadas. Se deben tomar en cuenta las funciones de los activos cibernéticos del conducto, así como el tipo de conexión que demanden las zonas y la posibilidad de ser un medio de conexión con equipos remotos.

Luego de la definición de cada zona o conducto, se realiza la documentación de las características de cada uno de ellos, que son utilizadas como base para el diseño de los IACS bajo el ciclo de vida de la seguridad cibernética.

3. DRA: Evaluación Detallada de Riesgos Cibernéticos (Detailed Cyber Security Risk Assessment)

Tiene la intención de identificar los riesgos específicos asociados a cada activo cibernético de los IACS, para luego identificar contramedidas que ayuden a alcanzar niveles de riesgo tolerables por la organización.

Para esto, se identifican escenarios peligrosos basados en los vectores de amenaza aplicables a cada uno de los activos cibernéticos que componen las zonas y conductos del SuC. Se estima la frecuencia de ocurrencia de los escenarios peligrosos y se identifican las consecuencias y su severidad, para luego determinar el riesgo sin tomar en cuenta alguna contramedida aplicable. Finalmente, se identifican las contramedidas que disminuyen la frecuencia de ocurrencia y se determina el riesgo tomando en cuenta las contramedidas identificadas.

4. CSVA: Evaluación de Vulnerabilidades de Seguridad Cibernética (Cyber Security Vulnerability Assessment)

Aunque esta evaluación no se encuentra descrita explícitamente en la IEC 62443-3-2, es importante mencionarla cuando hablamos de reducción de riesgo. A diferencia de otros estudios que se basan en las consecuencias que resultan de las amenazas cibernéticas sobre los IACS, ésta se centra en las vulnerabilidades, debido a las deficiencias de la gestión de la seguridad cibernética en los IACS.

Es un estudio que se realiza con la finalidad detectar las brechas existentes entre lo implementado en una organización y los requisitos de la norma IEC 62443-2-1: Security program requirements for IACS asset owners. Se revisan las políticas actuales del Programa de Seguridad Cibernética del IACS, con el fin de detectar debilidades y generar recomendaciones orientadas a la mejora de la seguridad cibernética.

Si la organización no cuenta con un Programa de Seguridad Cibernética enmarcado en la IEC 62443, este es un buen punto de partida.

Tenemos muchas herramientas a nuestra disposición y las amenazas crecen día a día, por lo que es el momento de revisar nuestros sistemas de control y políticas de protección.

 Juan D. Martinez N.

FSEng TÜV SÜD TP17051350 | CSPUSA 200401 001

Segunda Edición de la IEC 62443-3-2 Leer más »