Serie: Características de una IPL

IPL Específica

Partiendo de la publicación de Introducción a las Capas de Protección, en las próximas publicaciones iré describiendo a profundidad cada una de las características de las IPL allí listadas. En este caso, hablaré sobre la especificidad de una IPL.

Figura 1. Características de las IPL - Específica

 

Para entender la importancia de esta característica, es necesario tener en cuenta que el diseño de cada planta de procesos es como “un traje a la medida” y que, aun cuando la materia prima y los productos sean los mismos, siempre existen diferencias como las condiciones ambientales, la tecnología usada, los requerimientos de calidad o el marco legal. Adicionalmente, el personal que las opera es distinto y, por ende, los puntos débiles en el mantenimiento, los procedimientos operacionales y la interacción con los sistemas instrumentados también difieren.

 

…el diseño de cada planta de procesos es como un traje a la medida…

 

El hecho de que cada planta sea única es el motivo por el cual un análisis de peligros y riesgos no puede ser válido para más de una planta. A su vez, la International Electrotechnical Commission en su normativa de estudios de peligros y operabilidad (IEC 61882, 2016) indica que cada escenario debe ser analizado individualmente. De igual manera, las IPL deben ser específicas para proteger un escenario determinado, esto permite definir cuáles IPL realmente aplican a cada escenario.

 

Es importante aclarar que, aunque se dice que una IPL debe ser específica para un escenario determinado, esto depende de la definición de escenario que se use. En estas publicaciones he definido un escenario peligroso como el par causa-consecuencia de manera detallada (ejemplo: alto nivel, debido a falla del lazo de control, con posible derrame); diferente de otros autores que definen al escenario como una desviación (alto nivel del tanque). En el primer caso; una IPL puede estar asociada a varios escenarios, debido a que múltiples causas pueden conducir al mismo evento (IEC 61511, 2016); mientras que, el segundo caso no (porque se enfoca en la desviación del proceso, en vez de las causas o consecuencias).

 

…una IPL puede estar asociada a varios escenarios…

 

Adicionalmente, el Center for Chemical Process Safety (CCPS, 2014) indica que una IPL también debe ser específica en cuanto a:

 

·     Diseño: Debe ser diseñada de manera específica para el proceso que protege, tomando en cuenta el entorno operativo, las condiciones ambientales, robustez de los instrumentos, accesibilidad, mantenimiento requerido, etc.

 

·            Funcionamiento: Debe actuar sólo durante el modo de operación asignado, ejecutar una acción específica para prevenir o mitigar el escenario peligroso y en un tiempo determinado.

 

Lo que se busca con esta característica es que las protecciones en la planta no se coloquen deliberadamente con el pensamiento errado de que mientras más protecciones se incorporen más segura estará la planta, porque esto no siempre se cumple; en su lugar, puede conducir a una distribución inadecuada de las capas de protección independientes, donde se tengan IPL asociadas a escenarios que no las necesitan o insuficientes IPL en escenarios de alto riesgo.

 

En este sentido, se debe garantizar que los escenarios asociados a una IPL estén bien definidos y que la incorporación de cada IPL sea coherente con la desviación del proceso asociada, todo esto con el fin de que operen según es requerido, cuando es requerido, para prevenir el desarrollo o mitigar las consecuencias de uno o varios escenarios peligrosos determinados. En resumen, la especificidad de las IPL es una característica que debe ser considerada desde el diseño de la planta y tomada en cuenta a lo largo de su vida útil.

 

Referencias:

 

Center for Chemical Process Safety (2014). Guidelines for Initiating Events and Independent Protection Layers in Layer of Protection Analysis. New Jersey, United States of America: Wiley.

International Electrotechnical Commission. (2016). Hazard and operability studies (HAZOP studies) – Application guide. (IEC Standard No.61882). Geneva, Switzerland.

International Electrotechnical Commission. (2016). Functional safety – Safety instrumented systems for the process industry sector – Part 3: Guidance for the determination of the required safety integrity levels. (IEC Standard No.61511). Geneva, Switzerland.

 

Responda las preguntas de comprobación aquí:

Introducción a las Capas de Protección

Serie: Elementos del Escenario Peligroso

Con la intención de continuar con las publicaciones de los factores que intervienen durante el Desarrollo de un Escenario Peligroso, tales como: las Condiciones Habilitadoras y los Modificadores Condicionantes, en esta ocasión hablaré sobre las Capas de Protección (ver figura 1).

Figura 1. Desarrollo de un Escenario Peligroso

Como su nombre lo indica, una capa de protección representa una defensa del proceso o de la instalación que tiene como objetivo evitar que los Escenarios Peligrosos resulten en impactos sobre el personal, el ambiente o los activos.

El Center for Chemical Process Safety (CCPS, 2014) clasifica a las capas de protección de la siguiente manera:

·                Según su funcionamiento:

-  Activas: Implican una acción o un cambio de estado (abierto / cerrado) en respuesta a una desviación de las condiciones normales de proceso. Por ejemplo:

•     Alarma con acción del operador asociada.

•     Lazo de control.

•     Función instrumentada de seguridad.

-  Pasivas: No involucran una acción, pueden lograr cumplir su función si son diseñadas, construidas, instaladas y mantenidas en forma correcta. Por ejemplo:

•     Diques de contención.

•     Facilidades construidas a prueba de explosión y fuego.

•     Arresta llama.

·                Según su ubicación en el desarrollo del escenario peligroso:

-  Preventivas: Detienen el desarrollo del escenario peligroso antes de que alcance el evento tope (ver figura 2). Entre las más comunes se encuentran:

•     Sistema Básico de Control de Procesos.

•     Sistemas de Alarmas.

•     Sistemas Instrumentados de Seguridad.

Figura 2. Capas de Protección Preventivas

-  De mitigación: Reducen la consecuencia de un escenario peligroso tope (ver figura 3). Entre las más comunes se encuentran:

•     Sistemas de Detección de Gas y Fuego.

•     Sistemas de Contención.

•     Sistemas de Extinción de Fuego.

Figura 3. Capas de Protección de Mitigación

Lo importante de una capa de protección no es su clasificación, sino que pueda ser acreditada como Capa de Protección Independiente (IPL: Independent Protection Layer).

La International Electrotechnical Commission (IEC, 2016) define una IPL como cualquier mecanismo que reduce el riesgo mediante control, prevención o mitigación. Este mecanismo puede tratarse de un solo dispositivo, un sistema o una acción del operador. 

La principal diferencia entre cualquier protección del proceso y una IPL, es que esta última es acreditada para reducir una brecha de riesgo determinada, siempre y cuando cumpla con los siguientes criterios exigidos por IEC (IEC, 2016):

·                Reduce el riesgo del escenario peligroso, al menos en 10 veces.

·                Proporciona un alto grado de disponibilidad (0,9 o superior).

·                Cumple con las siguientes características:

- Especificidad: Es diseñada únicamente para prevenir la ocurrencia o mitigar las consecuencias de un escenario peligroso.

- Independencia: Es independiente de las otras capas de protección asociadas con el escenario.

-  Confiabilidad: Se puede contar con la IPL para que realice la acción para la que fue diseñada.

- Auditabilidad: Está diseñada para facilitar la validación regular de las funciones de protección. Solo aquellas capas de protección que cumplen con las pruebas de disponibilidad, especificidad, independencia, confiabilidad y auditabilidad se clasifican como IPL.

Por su parte, el Center for Chemical Process Safety (CCPS, 2014) establece las siguientes características:

-  Independencia: El rendimiento de la IPL no es afectado por el evento iniciador ni por el fallo de otra IPL.

-  Funcionalidad: Previene o mitiga las consecuencias de un escenario.

-  Integridad: Es capaz de reducir una brecha de riesgo determinada.

-  Credibilidad: Opera de la manera correcta, en el tiempo correcto.

-  Auditabilidad: Se revisan los procedimientos, registros, evaluaciones, validaciones y otra información asociada a la IPL para garantizar que el diseño, las pruebas, el mantenimiento y la operación continúen cumpliendo con las expectativas.

- Accesibilidad segura: Se implementan controles físicos y / o administrativos para reducir la posibilidad de cambios no autorizados en el sistema que puedan afectar la IPL.

-  Documentada: Se emplea un proceso formal de manejo del cambio para revisar, aprobar y registrar los cambios en los procedimientos, materiales, procesos, equipos o instalaciones.

Aunque IEC y CCPS difieran en el número de características y en los términos usados, en esencia, se busca que toda IPL sea:

·                Específica.

·                Independiente.

·                Efectiva (efectividad / funcionabilidad).

·                Confiable (confiabilidad e integridad).

·                Auditable.

·                Restringida a un acceso seguro.

·                Documentada (incluyendo el manejo del cambio).

Posterior a la acreditación de una IPL, debe mantenerse un sistema de gestión adecuado que garantice que la reducción de riesgo a cargo de la IPL se mantenga en el tiempo, como se explica en Trabajando en Seguridad Funcional: La importancia de gestionar las Capas de Protección Independientes.

Sin embargo, se debe tener en cuenta que, a pesar de los esfuerzos por garantizar la acreditación de una IPL a lo largo de la vida útil de la instalación, ellas igual pueden fallar; sobre todo cuando son IPL instrumentadas. Por esto, es beneficioso tanto para el diseño como para la operación y el mantenimiento del proceso que, en la medida de lo posible, se traten los riesgos mediante un diseño intrínsecamente seguro.

Además, los casos en los que se requieren muchas IPL para cubrir una brecha de riesgo, pueden ser una señal de vulnerabilidades en el diseño del proceso; por lo cual, es valioso tener la destreza de identificar cuándo se trata de procesos típicamente asociados a riesgos altos, y cuándo se trata de un diseño débil en el que se intenta cubrir el riesgo con la adición de IPL.

Referencias

Center for Chemical Process Safety (2014). Guidelines for Enabling Conditions and Conditional Modifiers in Layer of Protection Analysis. New Jersey, United States of America: Wiley.

International Electrotechnical Commission. (2016). Functional safety – Safety instrumented systems for the process industry sector – Part 1: Framework, definitions, system, hardware and application programming requirements. (IEC Standard No.61511). Geneva, Switzerland.

Responda las preguntas de comprobación aquí:

Introducción a los Modificadores Condicionantes

Serie: Elementos del Escenario Peligroso

Continuando con las publicaciones de los factores que intervienen durante el Desarrollo de un Escenario Peligroso, tales como: las Condiciones Habilitadoras y las Capas de Protección, en esta ocasión hablaremos sobre los Modificadores Condicionantes, (ver Figura 1).

Figura 1. Desarrollo de un Escenario Peligroso

Un Modificador Condicionante (MC) es una condición inherente al proceso y/o a la instalación, expresada en probabilidad, que afecta el nivel de la severidad de la consecuencia de un escenario peligroso, una vez ocurrido el evento tope.

Sin embargo, los MC solo deben considerarse en el cálculo de riesgo de escenarios peligrosos cuando la consecuencia está definida en términos de impacto (por ejemplo: fatalidad, pérdida de activos, etc.).

Entre los MC más conocidos se encuentran:

• Probabilidad de atmósfera peligrosa.

• Probabilidad de explosión.

• Probabilidad de ignición.

• Probabilidad de presencia de personal, entre otros. 

De hecho, estas probabilidades son más conocidas en la industria de seguridad de los procesos que el propio término de Modificador Condicionante, debido a que por años se han empleado en los cálculos de riesgo.

Entonces, ¿por qué usar el término Modificador Condicionante? porque todas las probabilidades mencionadas anteriormente modifican el nivel de severidad de la consecuencia, lo que permite agruparlas como Modificadores Condicionantes. De esta manera, se simplifican los términos asociados a los escenarios peligrosos y se evita que se considere varias veces el MC para el cálculo de riesgo de un mismo escenario, garantizando así:

• Independencia entre el MC y otros factores del escenario peligroso: los MC no deben ser tratados como capas de protección, tampoco deben ser considerados para la estimación de la frecuencia del evento iniciador, ni deben ser confundidos con Condiciones Habilitadoras.

• Independencia entre el MC y la consecuencia: La estimación de la consecuencia se debe realizar sin considerar el MC. De lo contrario, se estaría reduciendo el nivel de severidad de la consecuencia de manera implícita.

Para entender cómo estas probabilidades afectan el nivel de severidad de la consecuencia, consideremos como ejemplo un escenario peligroso con una consecuencia expresada en términos de fatalidad del personal; mientras mayor sea el valor del Modificador Condicionante de “Probabilidad de Presencia de Personal” mayor será el número de fatalidades esperado, por ende, mayor el nivel de severidad de la consecuencia.

A pesar de que en el ejemplo anterior el MC se empleó para considerar que aumentaba el nivel de severidad de la consecuencia, la realidad es que en muchos casos se aplica para disminuirla, algunas veces de manera intencional, otras simplemente por falta de información sobre su uso. Esto afecta significativamente el cálculo del riesgo de un escenario, por lo cual, el uso de los MC debe ser claro y consistente. Lo ideal es que las empresas stakeholders o consultoras que realizan análisis de riesgo, tengan estandarizadas las condiciones y requisitos para el uso de los MC.

Una buena práctica durante los Análisis de Capas de Protección (LOPA) es usar los MC solo cuando los mismos son capaces de anular la severidad de la consecuencia del escenario, es decir, solo cuando el MC lleva al nivel de severidad de la consecuencia a cero. Por ejemplo, cuando se asume que no hay presencia de personal en el área (zona normalmente no atendida).

En conclusión, el uso de MC durante la estimación del riesgo permite ajustar el nivel de severidad de la consecuencia del escenario peligroso con el fin de obtener resultados representativos. Sin embargo, los MC no deben ser considerados en la estimación del riesgo cuando no se tiene suficiente conocimiento o información sobre su uso, no sean parte de un sistema de gestión, o cuando su uso no sea coherente con los criterios de la empresa.

Responda las preguntas de comprobación aquí: