¿Cómo implementar un bypass sin afectar la seguridad? |
Como les comenté en el blog anterior Bypass, muchos nombres ¿mismo fin? los bypass son una de las facilidades que permiten realizar las actividades de mantenimiento u operación del Sistema Instrumentado de Seguridad (SIS) o alguna de sus Funciones Instrumentadas de Seguridad (SIF).
En esta oportunidad les hablare sobre los requerimientos de la norma IEC-61511 para asegurar que, al implementar los bypass, estos sean especificados, diseñados, instalados, operados y mantenidos de manera que no comprometan la seguridad del sistema.
El primer punto en el que se hace referencia a los bypass es en la fase de Especificaciones de los Requerimientos de Seguridad del SIS (SRS) (Clausula 10, IEC-61511:2016), donde se establece que se deben “Definir los requisitos para los desvíos de la SIF, incluyendo procedimientos escritos que deben ser aplicados en la operación de los mismos. Además, describir el control administrativo y también la forma en que serán activados y desactivados”.
Este es el punto de partida para definir los bypass, describiendo todos los requerimientos a tomar en cuenta para su diseño, pruebas y operación, como, por ejemplo: arquitectura de votación cuando la SIF posee un bypass, alarmas en el sistema por activación del bypass, procedimientos para su aplicación, entrenamientos del personal involucrado, controles administrativos, registros de bypass realizados, autorizaciones para realizar el bypass, auditorias periódicas, entre otros.
Posteriormente, los bypass son contemplados en la fase de Diseño del SIS (Clausula 11, IEC-61511:2016) donde se establece:
· Para el diseño de la Interfaz de Operación se debe contemplar:
- Protección de seguridad de acceso a
los bypass (mediante llave, contraseñas,
procedimientos, etc.) para evitar su
uso no autorizado.
- Indicación cuando una función de
seguridad o cualquier parte del SIS se
encuentra es estado de bypass del SIS.
·
El diseño de la
interfaz de mantenimiento / ingeniería también debe proporcionar
la protección
de seguridad de acceso donde se requieren bypass. Además, los bypass deben
instalarse de modo que las alarmas y las instalaciones de parada manual no
estén desactivadas.
·
Se puede
considerar límites de tiempo para la operación de los bypass y limitar el
número de bypass que pueden estar activos, por ejemplo, si se el grupo del
elemento sensor posee una arquitectura de votación 2oo3 solo es posible
realizar 1 bypass a la vez y degradar la función a 1oo2, de lo contrario se
deberá llevar el proceso al estado seguro (disparo de la SIF).
·
Se debe definir
el tiempo máximo en que el SIS puede estar en bypass (reparación o
prueba)
mientras se continúa la operación segura del proceso.
·
Se deben
proporcionar medidas compensatorias que garanticen una operación
segura cuando
el SIS está en bypass (reparación o prueba).
Es importante aclarar que el funcionamiento seguro de la instalación, en caso de aplicación de un bypass, dependerá de la aplicación oportuna de medidas de compensación o acciones que brinden seguridad y compensen la reducción de riesgo que se perdió al colocar la función en bypass. Un ejemplo sería que el operador monitoree la señal de un instrumento en campo (diferente al que está en bypass) hasta que el equipo se encuentre operativo. En este caso, adicionalmente, se deberá disponer de un medio manual, para que el operador pueda actuar y llevar el proceso al estado seguro, si se presentase una demanda en el proceso.
·
El forzado de
entradas y salidas del SIS no debe usarse como parte de los
programas de
aplicación, procedimientos operativos y mantenimiento excepto que el SIS se
encuentra fuera de servicio o que se complemente con procedimientos y controles
de seguridad de acceso. Cualquier force deberá ser anunciado o activar una
alarma, según corresponda.
En la fase de Validación de Seguridad del SIS (Clausula 15, IEC-61511:2016) se establece que “Las pruebas de validación deben incluir la verificación del correcto funcionamiento de las funciones de bypass y de las inhibiciones o anulaciones de arranque y operacionales (SOS / POS)”. Además, “Después de la validación del SIS y antes de que los peligros identificados estén presentes, se llevarán a cabo las actividades para que todas las funciones de bypass sean regresadas a su posición normal incluyendo las inhibiciones, anulaciones y permisos de forcé”.
Por último, en la fase de Operación y Mantenimiento (Clausula 16, IEC-61511:2016) se indican los requerimientos que deben ser considerados por los operadores y en procedimientos operacionales:
· Los procedimientos de operación y mantenimiento deben:
- Proporcionar las medidas de compensación y restricciones necesarias cuando el sistema está en bypass, para prevenir un estado inseguro y / o reducir las consecuencias de un evento peligroso. Las medidas compensatorias se deben establecer con los límites de operación asociados (duración, parámetros del proceso, etc.).
- Indicar información sobre los procedimientos que se aplicarán antes y durante el bypass y lo que se debe hacer antes de la eliminación del bypass y el tiempo máximo permitido para estar en el estado de bypass.
- incluir la verificación de que los bypass son eliminados después de los ensayos periódicos.
·
La operación
continua del proceso con un dispositivo SIS en bypass solo se
permitirá si un
análisis de riesgos ha determinado que existen medidas compensatorias y que proporcionan
una reducción adecuada del riesgo. Los procedimientos operativos se
desarrollarán en consecuencia.
·
Los operadores
deben estar capacitados para la operación y administración
correcta de todos
los interruptores de bypass / anulación del SIS y bajo qué circunstancias se
deben utilizar estos bypass.
· El estado de todos los bypass se registrará en un registro de bypass.
·
Las piezas de
repuesto del SIS deben identificarse y ponerse a disposición para
minimizar la
duración de los bypass por falta de disponibilidad de repuestos.
Ahora, si bien los bypass se usan comúnmente para permitir que se realice un trabajo esencial, debemos tener en cuenta que cuando se aplica un bypass, el SIS (o la SIF) estará inhabilitado para ejercer su función, es decir no proporcionará la reducción de riesgos y fiabilidad que de él se requiere por lo que es importante saber lo que debemos hacer. Es nuestra responsabilidad seguir las normas y buenas prácticas que nos ayuden a diseñar facilidades, procedimientos y herramientas necesarias para un uso efectivo de este tipo recursos.
En el próximo blog hablaremos acerca de las políticas de uso de bypass y la operación segura de los mismos.