Cumpliendo con IEC 61511-1: ¿Por dónde empiezo?

En la industria de procesos, la experiencia ha demostrado que cuando la seguridad no es gestionada correctamente, los sistemas de protección no son capaces de proveer la reducción de riesgos que de ellos se espera, pudiendo llegar hasta un accidente.

Los Sistemas Instrumentados de Seguridad (SIS) son uno de los principales sistemas utilizados en materia de seguridad, y para que un SIS pueda ofrecer seguridad deben tomarse en cuenta todos los factores que puedan afectarlo. Deben ser controladas o evitadas todas las fallas aleatorias (asociadas a la degradación del hardware) y sistemáticas (normalmente asociadas con el software y el diseño).

En los últimos años, a la par de la evolución de la normativa de seguridad funcional para la industria de los procesos IEC 61511, muchas organizaciones han dado muestras de su compromiso en materia de seguridad al adoptar esta norma (considerada como mejor práctica), pero ¿es posible asegurar que el riesgo se mantiene en los niveles determinados como tolerables? o ¿realmente cumplimos con lo exigido por la norma?

El primer paso para demostrar cumplimiento con IEC 61511 es familiarizarnos con la norma, sus requisitos y el ciclo de vida de seguridad. Recordemos que la norma define desde la concepción hasta el desmantelamiento del SIS (a través del ciclo de vida) y nos muestra una forma de trabajo para evitar los errores sistemáticos.

Al conocer la forma de trabajo que debemos seguir, podremos evaluarnos, identificar las actividades que estamos haciendo bien, las que debemos mejorar y las que no son realizadas en forma apropiada. Desde la asignación de responsabilidades, la capacitación del personal, los procedimientos utilizados, el cierre de recomendaciones, entre muchas otras tareas.

Para esto podemos escoger la herramienta que consideremos adecuada; una opción es realizar listas de chequeo que nos permitan revisar punto a punto cada requisito. La meta es conocer la brecha que existe entre la forma que diseñamos, implementamos, operamos y mantenemos los SIS y lo exigido por la norma. Podemos realizar revisiones documentales, entrevistas al personal, visualización de actividades o cualquier otra actividad que encontremos de utilidad; recordando que, al trabajar con normas basadas en desempeño, el usuario es libre de desarrollar sus propias soluciones.

Algunas personas suelen pensar que al comprar un dispositivo certificado están cumpliendo con esta norma (y muchas veces eso nos ofrecen algunos suplidores) cuando realmente no es así, la norma nos pide mucho más que eso (de hecho, no pide equipos certificados). Porque no importa si el SIS fue diseñado bajo el enfoque de esta normativa o no, en cualquiera de los casos se debe demostrar que está siendo operado, mantenido inspeccionado y probado de forma segura. Así lo exige la normativa. Y al mantener el sistema en condiciones tan buenas como las de diseño, no sólo se está adoptando una buena práctica, sino se está extendiendo la vida útil del sistema.

Nuestra meta debe ser asegurarnos que todos los involucrados sepan lo que se espera de ellos, que dispongan de suficiente información para realizar cada trabajo, así como herramientas, recursos y competencias adecuadas. Además, que exista suficiente trazabilidad para demostrar que todos los requisitos de la norma se cumplen realmente.

No debemos esperar que ocurra un accidente o un ente regulador nos pregunte bajo que lineamientos manejamos nuestros sistemas de seguridad, debemos dar ese primer paso en materia de seguridad para trazar el camino que queremos recorrer.

Trabajando en Seguridad Funcional: La importancia de gestionar las Capas de Protección Independientes

Trabajando en Seguridad Funcional: La importancia de gestionar las Capas de Protección Independientes

Los Análisis de Capas de Protección (LOPA: Layer Of Protection Analysis) se han convertido en una de las herramientas más utilizadas en la industria de procesos para identificar, analizar y evaluar las funciones de seguridad necesarias para alcanzar los criterios de riesgo de una instalación.

Un LOPA nos permite: (a) identificar las funciones de seguridad requeridas, (b) verificar si existen suficientes capas de protección acreditables para evitar o mitigar un posible evento peligroso (en términos de independencia, integridad, efectividad, especificidad y auditabilidad), (c) determinar la brecha de riesgo remanente, una vez contabilizadas todas las capas de protección acreditadas y (d) determinar si es necesario colocar una nueva capa de protección, y sí la misma resulta en una Función Instrumentada de Seguridad (SIF), estimar su SIL asociado.

Al trabajar en el marco de la norma IEC 61511 podemos identificar los requisitos funcionales y de integridad para que las SIF logren la reducción de riesgo requerida, en conjunto las capas de protección acreditables como IPL (IPL: Independent Protection Layer).

El desempeño o SIL (Safety Integrity Level) que debe alcanzar una SIF, está directamente relacionado al buen funcionamiento de todas las IPL consideradas en cada escenario. Si las IPL nos son validadas, probadas y mantenidas apropiadamente, el riesgo estimado puede incrementarse y los accidentes pudieran presentarse de forma más frecuente de lo que fue previsto durante el análisis.

Situaciones comunes como cambios en el diseño, modificación del punto de ajuste de una alarma, eliminación de algún dispositivo, o la falta de mantenimiento pueden afectar la integridad de una IPL, creando una situación potencial de riesgo no cubierto (ni por el SIS ni por la capa que ha sido eventualmente degradada), como podemos apreciar en las siguientes figuras.

 

Figura 1                                                                         Figura 2

Identificar una IPL durante las sesiones de trabajo del LOPA es de suma importancia, el grupo de análisis utiliza la información relacionada al proceso para identificar las capas de protección disponibles (P&ID, Filosofías de Control, Manuales, etc.), pero no tiene el tiempo o los recursos para asegurar que cada IPL considerada cumplirá con los requisitos que la acreditan como tal.

A pesar de que el equipo que participa en un LOPA puede identificar las IPL que apliquen a cada escenario, dentro de sus responsabilidades no está el velar por su correcta implementación. Si no existen medios que permitan validar su funcionamiento es muy fácil exponer al personal y la instalación a un riesgo no considerado.

La norma IEC 61511 no regula el diseño, mantenimiento y operación de las IPL (no SIF), pero en ella se establecen evaluaciones (o assessment) que deben ser realizadas durante el diseño, antes de la puesta en marcha y durante la operación en las que debemos considerarlas. El buen funcionamiento de las IPL depende de la forma en que cada organización maneje su sistema de integridad mecánica (por ejemplo, como parte la Gestión de Seguridad de Procesos PSM).

Como vemos, las IPL (en conjunto con las SIF) nos ayudan a mantener los niveles de riesgo dentro de valores tolerables al evitar (o mitigar) la propagación de un evento peligroso. Pero, debemos recordar que la correcta implementación de una IPL inicia desde el momento que documentamos las sesiones de un LOPA, y solo se alcanza cuando todo el personal encargado de su funcionamiento o involucrado en su mantenimiento se hace consciente que, además del proceso de selección, es importante gestionarlas, validarlas, probarlas, auditarlas y documentarlas apropiadamente a lo largo de su vida útil.