Soy Rafael Arguelles F., TSU en Informática, Ingeniero Electricista, MSC en Administración de Negocios, con más de 38 años en el mercado de trabajo técnico, profesional y gerencial. Practicante del Silogismo en mi forma de pensar y actuar, por lo tanto, estoico en mi forma de ser. No les contaré mucho mas de mí, pues no es éste el propósito de esta columna.
Lo que se promete, no necesita ponerse en un contrato: La columna tiene este nombre pues, cuando estaba en la fase final para culminar mis estudios de Gerencia Avanzada en el IESA, llegó el momento de presentar el equivalente a un trabajo de grado, que allí se llama “Proyecto Integrador”. El proyecto integrador, por allá en 2017, trataba de aprovechar tanto conocimiento junto (fui parte de una cohorte extraordinaria en los niveles de conocimiento y experiencia), para actualizar mucha de la planificación estratégica de Sisvenca, empresa a la cual he dedicado ya más de 17 años de mi vida. Pues bien, cuando toco explicarle a nuestra facilitadora metodológica lo que la empresa es, a que se dedica, y una vez explicado lo que hace el Facility Management, la profesora ha soltado una pregunta compleja de responder, pues se trataba de nuestra facilitadora metodológica: ah, ustedes son toderos, ¿no? Luego de un muy breve proceso de análisis en mi cabeza de las probables respuestas, le respondí: “no, nosotros somos como un médico internista. Es decir, nos dedicamos a todo aquello que conserva su salud y, si se presenta algo fuera de nuestro alcance por ser muy especializado, le remitimos a un especialista en dicha materia“. Esto, motivó que me ganara, de allí en adelante, que me llamaran Doctor, o simplemente Internista. Por eso el nombre de la columna tiene un origen “jocoso”.
Pues bien, continuando con lo prometido, esta entrega tiene que ver con la fecha efemérides de este mes: el día mundial de la SST, el cual se celebra el 28 de Abril de 2023. En junio de 2022, la Conferencia Internacional del Trabajo decidió incluir «un entorno de trabajo seguro y saludable» en el marco de principios y derechos fundamentales en el trabajo de la Organización Internacional del Trabajo (OIT). El Día Mundial de la Seguridad y la Salud en el Trabajo 2023 se conmemorará el 28 de abril de 2023 y explorará el tema de un entorno de trabajo seguro y saludable como principio y derecho fundamental en el trabajo.
Pero . . . ¿y como puede considerarse un ambiente de trabajo seguro, una instalación donde las mismas no son bien controladas, o no son capaces de contener los fluidos y corrientes que se requieren para que la producción exista?
Este día, si bien se enmarca dentro de lo establecido en la declaración de la SST como un derecho humano fundamental, también debe llevarnos a pensar en la seguridad de los procesos industriales pues, sin la misma, no es posible protegernos ni tener salud.
Por lo tanto, más que hablar de SST desde ISO45000, hablaremos de seguridad desde el punto de vista de los Sistemas Integrados de Seguridad (SIS), el diseño seguro de los procesos, la certificación de operatividad de los SIS en los procesos en las cuales se enmarcan y de las diferentes capas de seguridad que deben considerarse desde el diseño. Por lo tanto, estaremos hablando más desde la gestión de los Sistemas Físicos que desde ISO45000, gestionando los activos para que sean más seguros o para que funcionen en el nivel de seguridad que se espera. Es decir, desde IEC61508 o IEC61511, dependiendo de la naturaleza del proceso que estemos revisando, pero sobre todo desde el punto de vista de la llamada Industria de Procesos (IEC61511). En la Figura 1, mostrada debajo, vemos como se relacionan las distintas normas de Seguridad Funcional existentes de acuerdo al sector industrial donde aplican.
Conozcamos un poco de la Norma IEC 61508, antes de poder entrar en Materia.
El estándar IEC 61508 cubre los sistemas relacionados con la seguridad cuando uno o más de dichos sistemas incorpora dispositivos electrónicos mecánicos / eléctricos / electrónicos / dispositivos de electrónico programable. Estos dispositivos pueden incluir desde válvulas, solenoides, relés, interruptores o incluso sistemas más complejos como PLCs o sistemas con microcontroladores. De este modo, ES OBJETIVO DEL ESTÁNDAR CUBRIR ESPECÍFICAMENTE LOS POSIBLES RIESGOS CREADOS CUANDO FALLAN LAS FUNCIONES DE SEGURIDAD REALIZADAS POR LOS SISTEMAS RELACIONADOS CON LA SEGURIDAD.
El estándar se basa, entonces, en dos conceptos fundamentales: el ciclo de vida de seguridad (Safety Life Cycle) y los niveles de integridad de seguridad (Safety Integrity Level o SIL):
- El ciclo de vida de seguridad se define como un proceso de ingeniería que incluye todos los pasos necesarios para lograr la seguridad funcional requerida. La filosofía básica detrás del ciclo de vida de seguridad es desarrollar y documentar un plan de seguridad, ejecutar ese plan, documentar su ejecución (para demostrar que se ha cumplido el plan) y continuar ese plan de seguridad hasta el desmantelamiento con más documentación apropiada durante todo el ciclo de vida del sistema.
- Los niveles de integridad de seguridad (SIL) son niveles de orden de magnitud de reducción de riesgos. Hay cuatro SIL definidos en la IEC 61508: SIL1 tiene el nivel más bajo de reducción de riesgos, mientras que el SIL4 tiene el nivel más alto de reducción de riesgos.
Simplificando, la seguridad funcional se logra diseñando adecuadamente un Sistema instrumentado de seguridad (SIS) para llevar a cabo una Función instrumentada de seguridad (SIF) con una fiabilidad indicada por el Nivel de integridad de seguridad (SIL). Los conceptos de integridad de riesgo y seguridad se analizan en mayor detalle en la Parte 5 de la norma.
Este estándar está dividido en 7 partes, Las cuales podemos describir como sigue
Parte 1. Cubre los requisitos básicos de la norma y proporciona una presentación detallada del ciclo de vida de seguridad. Esta sección se considera la más importante, ya que proporciona los requisitos generales para la documentación, el cumplimiento, la gestión de la seguridad funcional y la evaluación de la seguridad funcional.
Parte 2. Cubre los requisitos de hardware para sistemas relacionados con la seguridad. Muchos consideran que esta parte, junto con la parte 3, es el área clave para quienes desarrollan productos para el mercado de la seguridad. La Parte 2 está escrita con respecto a todo el sistema, pero muchos de los requisitos son directamente aplicables al desarrollo de productos de hardware relacionados con la seguridad. La Parte 2 cubre un ciclo de vida de seguridad detallado para el hardware, así como aspectos específicos de la evaluación de la seguridad funcional para el hardware. La Parte 2 también tiene requisitos detallados para técnicas para tratar el control de fallas durante la operación.
La Parte 3. Cubre los requisitos de software de la IEC 61508. Se aplica a cualquier software utilizado en un sistema relacionado con la seguridad o software utilizado para desarrollar un sistema relacionado con la seguridad. Este software se conoce específicamente como software relacionado con la seguridad. Esta parte proporciona detalles del ciclo de vida de seguridad del software, un proceso que se utilizará al desarrollar software.
La Parte 4. Contiene las definiciones y abreviaturas utilizadas en todas las partes de la norma. Esta sección es extremadamente útil tanto para los nuevos en el estándar como para aquellos que ya están familiarizados con él como referencia a los significados precisos de los términos en el estándar.
La Parte 5. Incluye los Anexos informativos A a E que contienen métodos de discusión y ejemplos de riesgo, integridad de seguridad, riesgo tolerable y selección de SIL. Presenta varias técnicas de selección de SIL, incluidos los métodos cuantitativos y cualitativos.
La Parte 6. Proporciona pautas sobre la aplicación de las Partes 2 y 3 a través de los Anexos informativos desde A hasta E.
La Parte 7. Contiene información importante para quienes realizan trabajos de desarrollo de productos en equipos que deben certificarse según IEC 61508.
De todo lo anteriormente descrito, además de la estructura de la norma, es muy importante recuperar como aprendizaje los conceptos de SIL (Safety Integrity Level), SIS (Safety Instrumented System), SIF (Safety Instrumented Function) ySLC (Safety Life Cycle) los cuales están muy íntimamente ligados y nos ayudan a determinar como se pretenden manejar los niveles de seguridad en los casos en los cuales los riesgos presentes superan lo establecido en los puntos “aceptables” de riesgo del diseño. Luego, tendríamos necesariamente que introducir el concepto de Gestión de la seguridad Funcional (SFM, Safety Function Management), lo cual en esta oportunidad pospondremos pues lo que por esta vez queremos hacer, es ilustrar como la SST está íntimamente ligada a la fase operacional del SIF.
Es necesario, ahora que ya hemos disgregado estos conceptos, observar el método clásico de reducción de Riesgos, por lo que comenzaremos por el principio (perdón por la barrabasada) y miraremos como se comienza a establecer, desde el diseño, el nivel de seguridad que impera en el proceso. Esto, lo miraremos a través de la estrategia de Reducción de Riesgos usando LOPA (Layer Of Protection Analysis). Debajo, en la Figura 1, observamos un esquemático de este concepto.
A partir de acá, abandonaremos un poco la norma IEC 61508 y abordaremos la IEC 61511 que, como vimos mas arriba, es una norma derivada de la IEC 61508, por lo que no ahondaremos por ahora, en este artículo, mucho más acerca de ella. Esto se debe, a que el concepto de reducción de riesgos por LOPA es propio de esta norma.
La figura 2 muestra lo establecido en IEC61511 como Método de reducción de riesgos por LOPA.
Esta figura, es una copia exacta de lo que indica la norma. La misma debe ser vista como una serie de cajas, una sobre la otra, de forma que la que está mas arriba es la que contiene el “PROCESO” y la que está mas abajo es la que contiene el “SISTEMA DE MANEJO DE EMERGENCIAS DE LA COMUIDAD”.
En la capa del “PROCESO” están absolutamente todas las actividades, desde el punto de vista del diseño. Es decir, es esta capa donde se establecen todas las limitaciones que desde el punto de vista del diseño e ingenieria (conceptual, de detalle, etc.) puedan ser establecidas. Por ejemplo, es en esta capa donde se decide los volumenes, los tipos, temperaturas, corrientes, materiales, etc. que el diseño permite para que el “PROCESO” sea implementado de forma segura. Sin embargo, y por supuesto de acuerdo a lo que muestra la figura, existen otras capas para tratar lo que se escapa de esta primera capa. En esta primera capa, no ahondaremos mucho, basicamente por dos razones. La primera, no es mi area de experticia el diseño de procesos. La segunda, no es el tema que estamos tratando, mas allá que las espcificaciones de Seguridad Intrinseca de los componentes del proceso se den esta capa.
Productos tipicos, desde el punto de vista de Ingenieria, de esta capa, se muestran en las imágenes a continuacion, las cuales debemos observar desde el punto de vista de SST (debemos tener esto presente) ya que el verdadero proposito de LOPA (como su nimbre lo indica) es el analisis o la reducción de riesgos mediante el uso de esta metodologia.
Luego tenemos la seguna capa, la de “MONITOREO Y CONTROL”. Monitoreo y control del proceso, en el cual residen las dos fases que existen para esto. El Sistema de Control, que seguramente estaremos hablando de un Sistema de Control Distribuido (DCS), pero que tambien puede ser un Sistema de Control por un PLC (Controlador Logico Programable) de uso general. La otra fase, tambien en extremo importante, la observacion del proceso por parte del operador. Esta s fases son complementarias e igualmente importante. Y tienen algo en comun: requieren de la intervencion humana, por lo cual en su diseño deben considerarse las variables de Confiabilidad Humana que aplican para esto: la confianza, el estado de animo, etc. como factores que en muchas ocsiones caracterizan la desviación. En el caso de los Sistemas de Control, es importante su diseño, su nivel de “alarming” (les prometo que no se como se dice en una sola palabra esto en español) y su nivel de independencia para acciones de control. En el caso de la Gestion de Alarmas, es importante mantener siempre la racionalización de las mismas. He visto, en mi experiencia, muchisimos casos donde hay hasta 5 alarmas para la misma desviación. He visto tambien casos donde el valor de ajuste para una alarma está en un punto en el cual con mucha frecuencia está en alarma. Este tipo de situaciones, hace que el Operador del Sistema pierda sensibilidad ante la misma (¿recuerdan aquella fabula de “Ahí viene el lobo”?. Bueno, así). Hay casos, que son lo opuesto, es decir, la alarma se produce muy poco antes de parar causar daños catastroficos al proceso o a partes del proceso. Existen otros casos donde la votación requerida por el SIL del proceso, es redundante, digamos por ejemplo 2oo3, y estas mediciones se usan como indicación en el Sistema de Control, y al compararlas con la medicion que va al sistema para control, no son ni parecidas. Acá la experiencia del operador es fundamental Todo lo expuesto sobre alarming, debe ser racionalizdo utilizando la norma que existe para este proposito: “Alarm Management”, de la cual sipodemos comentar bastante, pues forma parte de nuestra expertici y de los servicios que prestamos, pero por razones de espacio en la columna no haremos. Es en esta capa donde las estrategias de reduccion o analisis de la promera capa, se convierten en lineas de codigo, probramas, diagramas de escaleras, estrategias de control en DCS o PLC, etc.
A pesar de que, como ya vimos, en las dos primeras capas el proceso es diseñado para que tenga una seguridad intrínseca, y su performance sea monitoreado y controlado por sistemas automatizados, las variables pueden salir de control. En estos casos, es necesario que existan medidas de que prevengan que el proceso entre en peligro de perder su integridad (Mecánica, de procesos, etc.). Estas medidas existen en la capa de “PREVENCION”.
La primera pregunta, que de forma muy justa podemos hacernos es: ¿Prevención de qué? ¿Qué es lo que debemos prevenir? Y la respuesta, simple y llana, es la prevención precisamente de que se de una fuga, una explosión, un incendio, en fin, una perdida de la integridad de un equipo o parte del proceso, o una perdida de la capacidad de contención de fluidos de un equipo o parte de proceso. En esta parte, coexisten los equipos para protección mecánica, como por ejemplo levas de sobre velocidad, válvulas de alivio de presión, es decir, cualquier dispositivo destinado a producir una parada preventiva sin que medien partes eléctricas o electrónicas que tengan control sobre dicha parada. Estos dispositivos, coexisten precisamente, con Equipos Eléctricos, Electrónicos, programables o no, destinados a producir paradas de proceso “preventivas” de una falla mecánica importante. Esto último, muy comúnmente conocido por su nombre técnico: el Interlock. Si bien esta es un área de experticia ampliamente trabajada por mi equipo de trabajo, no ahondaremos muchísimo debido al espacio del cual disponemos en la columna, pero si tienen mayores requerimientos de información, pueden contactarme a mi correo electrónico, el cual se encuentra al inicio de la columna. Los Interlocks, vale la pena comentarlo, deberían ser certificados al inicio de su entrada en servicio, y de forma parcial, cada vez que la organización tenga como política hacerlo. Probar la eficacia y correcto funcionamiento de los interlocks es, en la práctica, la única forma que tiene una parte interesada, por ejemplo, una aseguradora, de que los mismos funcionan correctamente y que no han sido minimizados ni inhibidos, ya sea física o electrónicamente. Esto, al momento de tomar responsabilidades por daños a terceros, es fundamenta tenerlo al día. Esto, aporta una gran seguridad de que la integridad mecánica de los equipos, su capacidad para contener los fluidos que maneja, estarán intactas y que las probabilidades de una falla catastrófica son mínimas.
Luego, tenemos la fase de “MITIGACIÓN”, en la cual ya la falla catastrófica ha ocurrido, a veces un incendio, a veces una explosión, pero siempre una pérdida de integridad o capacidad de contención. Siempre se ha sabido, que lo mas costoso para una empresa es la perdida de producción no planificada. Mas que el costo de reposición de un equipo, rotativo o estático, una tubería, un reformador, lo que sea, lo que realmente cuesta dinero es la oportunidad de producción perdida. Sin embargo, existen sistemas, ubicados en esta capa de protección, que están diseñados o tienen como razón de ser el mitigar lo mas posible los efectos del evento fuera de control. Venteos, sistemas automáticos de extinción de incendios, etc. tienen como razón de ser el mitigar al máximo el efecto de la falla ocurrida. Hasta capa, existen los eventos que podemos catalogar de SST y que deben ser manejados más como una gestión de activos, que como un subsistema simple de SST. Siendo la SIF un activo intangible importantísimo, pues las energías y recursos que deben dedicarse a estas capas de protección, son o deben ser, muy importantes desde el punto de vista financiero.
Luego, tenemos las dos capas siguientes de protección: La capacidad de respuesta ante emergencias de la planta, y la de la comunidad donde la planta existe. Estas dos capas, por razones de no ser parte del que hacer en SST, no serán manejadas en esta oportunidad.
Con esto, hemos llegado al final de nuestra columna. Nos vemos en una próxima entrega, en la cual estaremos tocando un tema que seguramente generará mucha polémica: “¿GESTION DE ACTIVOS O GESTION DE MANTENIMIENTO?”
Referencias Utilizadas:
Paginas Web:
https://controldeproceso.com/
https://instrumentacionhoy.blogspot.com/
https://online.visual-paradigm.com/
https://chemicalengineeringworld.com/
Normas/Documentos:
IEC 61511 (Serie)
IEC 61508 (Serie)