Cómo cumplir la IEC 61511
¿Qué tenemos que hacer para cumplir la IEC 61511? Esta Norma introduce el concepto de Ciclo de Vida de Seguridad y, por lo tanto, la respuesta está asociada al cumplimiento de cada una de las fases de este ciclo. Nuestra intención es explicarlo, de una manera sencilla, para los no tan expertos.
En la imagen hemos intentado dividir el ciclo de vida del SIS en 8 partes principales, el azul para la Fase 1 de Análisis, el rojo para la Fase 2 de Diseño & Implementación, y el verde para la Fase 3 de Operación & Mantenimiento.
Cada una de estas piezas es necesaria para el cumplimiento riguroso de la IEC 61511. La adopción de todas estas buenas prácticas de seguridad en la industria de proceso varía mucho según los sectores. Los más avanzados son las industrias de Oil&Gas, Química y Generación de Energía, otros son emergentes, como las industrias Farmacéutica, Papel y de Aguas, y no tanto el sector de Alimentación & Bebidas.
Veamos brevemente lo que consideramos más importante en cada una de las tres fases. Hay que recordar que, en la práctica, no todo se reduce a cumplir la Norma, sino que es muy importante crear una buena cultura de seguridad en la planta, empezando especialmente por la Dirección de la empresa.
Fase de Análisis
- Análisis de Riesgos del Proceso: Lo primero que hay que hacer es este análisis, con el equipo de personas adecuado y sin restricciones de tiempo. Es una evaluación rigurosa y sistemática para identificar los riesgos del proceso, sus causas, sus consecuencias, la frecuencia de que ocurran, y las medidas de seguridad o salvaguardas que tomaremos para minimizar o reducir el riesgo.
- Determinación del SIL: En muchos casos, la forma de reducir el riesgo de un escenario peligroso es introducir una capa de protección SIS, es decir, una Función Instrumentada de Seguridad (SIF) del SIS (Safety Instrumented System). A esta capa de protección habrá que asignarle un Factor de Reducción del Riesgo (RRF) y, por tanto, un nivel SIL concreto (1, 2, 3, o excepcionalmente 4).
- Especificación de Requerimientos de Seguridad (SRS): Es el documento final de esta primera fase donde debemos definir y describir en detalle cada SIF, así como los parámetros iniciales que necesitaremos para realizar la verificación del SIL (LT, TI, PTC, Beta, MTTR, Start-up time, etc.). Los parámetros principales que se definen para cada SIF son el SIL requerido, el RRF y el MTTFS.
- Evaluación de la Seguridad Funcional: En inglés se llama “Functional Safety Assessment (FSA)”, y consiste en que un tercero evalúe que el trabajo realizado en esta primera fase ha sido correcto.
Fase de Diseño & Implementación
- Selección de los productos: Debemos seleccionar las tecnologías y los fabricantes de cada una de las SIFs (tipo de sensor para medir presión, temperatura, caudal, etc., tipo de válvula y actuador, modelo de PLC de seguridad, Logic Solver como PLC o Relés, etc.) Los dispositivos seleccionados deberán estar certificados para el SIL requerido, o justificar el llamado “proven in use” o “prior use”.
- Diseño: Hay que realizar el diseño de detalle definiendo bien todos los componentes de cada Función de Seguridad. Necesitaremos el apoyo de los fabricantes, y la información de los “Safety Manuals” para obtener los parámetros finales, en especial el parámetro PTC (“Proof Test Coverage”, o Cpt) que cuantifica la efectividad que tendremos en las pruebas funcionales de mantenimiento para detectar los potenciales fallos peligrosos.
- Verificación del SIL: Mediante algún software de cálculo (exSILentia, Safeguard Profiler, SILcet, etc.) verificamos que el diseño de cada SIF cumple con lo especificado en el documento SRS (SIL, RRF, MTTFS). Este proceso de verificación hay que repetirlo cada vez que modificamos el diseño (por cambio de fabricante, de arquitecturas, de algún parámetro de cálculo, del SIL requerido, etc.)
- Pruebas del SIS: Hay varios tipos de pruebas según el grado de avance del proyecto. Las “Factory Acceptance Tests” (FAT) se realizan en fábrica, y las “Site Acceptance Tests” (SAT) en la planta. Estas dos pruebas, dependiendo de cómo se hayan realizado, pueden considerarse como parte de la Validación final del SIS.
- Validación del SIS: Es un hito muy importante que consiste en validar, con inspecciones y pruebas, el SIS y sus SIF asociadas tal y como se ha instalado y puesto en servicio, y en base a la especificación SRS (cláusula 15 de la IEC 61511). Lo normal es que esta validación se realice mediante las pruebas SAT.
- Evaluación de la Seguridad Funcional (FSA): Consiste en que un tercero evalúe el diseño y la instalación del SIS y sus SIFs asociadas. En el equipo evaluador debe haber al menos un experto que no haya estado involucrado en el diseño.
Fase de Operación & Mantenimiento
- Plan de Mantenimiento del SIS: Esta fase del ciclo de vida es la más larga, en la que debemos asegurarnos de que se mantiene la integridad de todas las Funciones de Seguridad (SIF). Debe haber un Plan de Mantenimiento específico del SIS que defina las actividades, los procedimientos, las personas responsables, etc. Los cambios principales de la edición 2 de la IEC 61511, publicada en el 2016, afectan a esta tercera fase.
- Efectividad del Mantenimiento: Es importante asegurarnos que cumplimos los parámetros definidos en la SRS, en especial la frecuencia de las pruebas funcionales (“proof tests”), su efectividad cuantificada con el parámetro PTC (o Cpt), y los supuestos realizados al calcular el factor beta (fallos de causa común). Es importante registrar y documentar los fallos del SIS.
- Monitorización del SIS: Debe vigilarse el comportamiento del SIS de forma que se mantenga su integridad, en concreto si hay modificaciones en la frecuencia de demanda de alguna SIF, si cambia algún parámetro utilizado en el cálculo de la Probabilidad de Fallo, o si hay discrepancias entre el comportamiento esperado del SIS y el real.
- Modificación del SIS: A lo largo del tiempo pueden surgir modificaciones por distintas causas. La cláusula 17 de la IEC 61511 marca las pautas a seguir. Debemos asegurarnos de que la integridad de la seguridad requerida por el SIS se mantiene después de las modificaciones realizadas.
- Evaluación de la Seguridad Funcional (FSA): Una de las novedades de la edición 2 es la realización periódica de una FSA para garantizar que el mantenimiento y la operación se realizan de acuerdo con las suposiciones hechas durante el diseño, y que se cumplen los requisitos de la norma IEC 61511 para la gestión y verificación de la seguridad. En el equipo evaluador debe haber al menos un experto que no esté involucrado en la O&M.
CONCLUSIONES
Como hemos visto, cumplir el 100% de la norma IEC 61511 no es sencillo y tiene un coste, o no si lo consideramos una inversión en Seguridad e Imagen de la Planta que tendrá un retorno enorme cuando hayamos evitado un accidente.
En muchos países el cumplimiento de la IEC 61511 no es obligatorio, pero sí que es una magnífica guía de recomendaciones muy reconocida en todo el mundo. Desde aquí os animamos a seguirla y a implementarla poco a poco. Cumplir esta norma sólo en un 50% ya es un buen paso en la dirección correcta.
Hay también que considerar que el uso de esta Norma, como en muchas otras, requiere grandes dosis de interpretación por parte del usuario. Hay pocas respuestas rotundas “correcto/incorrecto” y, por tanto, la experiencia y buenas prácticas del ingeniero son fundamentales.
Por último hacer hincapié en la enorme importancia de los «fallos sistemáticos» que están muy relacionados con los errores humanos y que podemos minimizarlos con una buena Gestión de la Seguridad Funcional de la Planta.
Enlaces relacionados: