COMPRENDIENDO LOS NIVELES DE INTEGRIDAD DE SEGURIDAD (SIL) Por qué es importante SIL y cómo esta clasificación lo beneficia a usted.

Por Byron McLendon, P.E. 2013/06/13 Ingeniería de detección de gases

ARTÍCULO DE SCOTT SAFETY Comprendiendo los niveles de integridad de seguridad (SIL) Definición de Seguridad y Riesgo La seguridad es una consideración importante en el diseño de procesos. Para describir los requisitos de un proceso de seguridad se utiliza a menudo el nivel de integridad de seguridad (SIL). Sin embargo, a menudo hay conceptos erróneos o malentendidos acerca del SIL. Mientras que el tema en general, la seguridad funcional y el SIL pueden resultar temas muy técnicos, las ideas generales se pueden reducir a unos pocos conceptos fácilmente comprensibles. En este artículo, vamos a considerar lo que es el SIL, por qué es importante, qué significa la certificación, así como las implicaciones y beneficios de la certificación para el usuario final. Según la definición del diccionario de Oxford, la seguridad es "la condición de estar protegido, o poco susceptible al peligro, riesgo o lesiones" o dicho de otro modo, "la ausencia de riesgo inaceptable". El riesgo puede ser considerado tanto como el producto de la frecuencia de ocurrencia y la consecuencia del peligro (riesgo = ocurrencia x consecuencia). La ocurrencia es la probabilidad (o susceptibilidad) de que un evento se produzca y la consecuencia es una medida de la gravedad de dicho evento. Las consecuencias se pueden evaluar ya sea en términos relativos, monetarios o de lesiones. Esta cuantificación permite que diferentes riesgos se comparen sobre una base objetiva y que se juzque la eficacia de las medidas de reducción del riesgo. En cuanto a la gestión de riesgos, existen tres consideraciones que a menudo compiten entre sí: la económica, la moral y la legal. Las consideraciones financieras incluyen el deseo de minimizar los costos, maximizar la disponibilidad (reducir el tiempo de inactividad) y evitar o reducir al mínimo la posibilidad de daños materiales en caso de que se produzca un incidente. Las consideraciones morales incluyen la obligación de la organización de minimizar los daños a las personas y al medio ambiente. Las consideraciones legales incluyen la obligación de realizar un análisis de riesgos y tomar las medidas correspondientes para reducir los riesgos exigidas por los organismos oficiales. Dadas estas consideraciones, surge la pregunta: ¿cuándo es suficiente la reducción de riesgos?

En la medida que sea razonable (ALARP), ¿y qué significa razonable? Un marco ampliamente adoptado para responder a esta pregunta es el principio de la Health and Safety Executive del Reino Unido conocido como “lo mínimo en la medida de lo razonablemente práctico” o ALARP (por sus siglas en inglés). Este principio es flexible en la medida en que fija metas para las organizaciones en lugar de adoptar un enfoque prescriptivo. El concepto es sencillo: dividir el continuo de riesgo en tres niveles y basar la respuesta de reducción del riesgo en el nivel que se aplica al escenario. El nivel más bajo es la región donde se reconoce ampliamente el riesgo como aceptable o insignificante. En esta región, no es necesario que los operadores tomen ninguna otra medida de reducción del riesgo. Sin embargo, el responsabilidad del operador asegurarse de que el riesgo sea de hecho “ampliamente reconocido” como aceptable. El nivel más alto es el de

1

ARTÍCULO DE SCOTT SAFETY riesgo intolerable. Por encima de este nivel, no se pueden justificar los riesgos de ninguna manera y la toma de medidas adicionales es obligatoria. Entre estos dos niveles se encuentra la región ALARP, donde se busca la reducción de riesgos en la medida de lo razonablemente práctico. ¿A qué nos referimos con “razonablemente práctico”? En este contexto, razonablemente práctico significa que la medida de reducción de riesgo se debe implementar salvo que se pueda demostrar que existe un desequilibrio importante entre el costo o el esfuerzo necesario para implementarla y la reducción de riesgo lograda. Observe que el marco se inclina hacia la implementación de la medida de seguridad. Esto difiere de un análisis de costo-beneficio tradicional en el sentido de que un resultado levemente desfavorable no estaría encuadrado dentro del criterio de “de desequilibrio importante” y la medida de reducción del riesgo debería implementarse a pesar de no contar con una justificación financiera. Para ello, se suele usar un factor de ponderación en la ecuación de análisis de costo-beneficio y este factor aumenta a medida que aumenta el riesgo. Si bien se debe emplear cierto criterio en la ejecución del análisis, los organismos oficiales y, en algunos casos, grupos del sector y empresas particulares han establecido pautas generalmente aceptadas. A fin de ejecutar este análisis, es necesario cuantificar el nivel de reducción de riesgo.

Las capas de protección La gestión del riesgo puede adoptar diversas formas, desde el sistema básico de control del proceso hasta el plan de respuesta de emergencia en caso de un incidente. Estas medidas tendientes a la reducción del riesgo a menudo se conocen como capas de protección. Se debe recordar que la ecuación del riesgo tiene dos componentes: probabilidad y consecuencias. La reducción del riesgo se puede lograr abordando cualquiera de estos componentes. Por ejemplo, la consecuencia se puede atenuar a través de medidas pasivas como un dique de contención. Por otro lado, la probabilidad se puede atenuar introduciendo mecanismos en el diseño del proceso como válvulas de seguridad o discos de ruptura, que ayudan a reducir la probabilidad de un incidente catastrófico. Una vez que se ha diseñado el proceso básico, incluidos estos mecanismos para abordar la reducción del riesgo, existe un nivel de riesgo residual asociado con el diseño. ¿Qué sucede si el riesgo residual sigue siendo inaceptable o, en otras palabras, si no es tan bajo como razonablemente práctico? En este caso, se debe implementar un sistema de seguridad independiente. La implementación de un sistema de seguridad se debe evaluar dentro del contexto de ALARP. Para ello, se debe cuantificar la reducción del riesgo y aquí es donde entran en juego los niveles de integridad de la seguridad (SIL, por sus siglas en inglés). Para decirlo llanamente, SIL es una cuantificación del nivel de reducción de riesgo o, con mayor precisión, SIL es la cuantificación de la reducción de la probabilidad de un resultado peligroso dada la presencia de un sistema de seguridad. La finalidad del sistema de seguridad es prever una o más funciones que llevan el proceso a una condición segura. Se asigna una clasificación SIL correspondiente a la cuantificación de la reducción de riesgo para cada función. Es importante tener en cuenta que la clasificación SIL se aplica a la función de seguridad, no a los dispositivos individuales del sistema que ejecuta

2

ARTÍCULO DE SCOTT SAFETY esa función. Los mecanismos que ejecutan una función de seguridad se conocen habitualmente como “apto para SIL” o “compatible con SIL”. Las clasificaciones SIL ofrecen una cuantificación de la probabilidad reducida de que se produzca un evento peligroso.

La norma de seguridad funcional y SIL La norma de seguridad funcional más ampliamente adoptada es la IEC 61508 de la Comisión Electrotécnica Internacional. Esta norma exhaustiva de siete partes es la norma marco en la que se encuadran muchas normas específicas del sector, entre ellas, seguridad de procesos, ferrocarriles, nuclear y maquinaria. La norma codifica todo el ciclo de vida de la seguridad desde el concepto hasta el retiro de servicio. La norma describe los requisitos para la certificación SIL de las funciones de seguridad y establece las referencias para la cuantificación de la reducción del riesgo. La norma divide las clasificaciones SIL en cuatro niveles, de uno a cuatro, donde cada uno representa un orden de reducción de magnitud del riesgo (probabilidad). Por ejemplo, un proceso dado tiene una probabilidad residual de un evento catastrófico de 1 en 200. Una función de seguridad SIL‑1 reduciría esa probabilidad a 1 en 2000; Una función SIL‑2 lo reduciría aún más a 1 en 20 000. Una clasificación SIL representa una cuantificación de la reducción del riesgo para una función de seguridad en términos de orden de magnitud. Obsérvese que esta reducción del riesgo está por encima del sistema básico de control del proceso y de las medidas pasivas para reducir el riesgo.

Los niveles de cumplimiento y la naturaleza de los fallos A fin de evaluar la adecuación de los mecanismos individuales para incluirlos en un sistema de seguridad, es necesario indagar en los matices de cumplimiento que alegan los fabricantes. Si bien la norma IEC es muy específica en cuanto a requisitos, hay varios grados dentro de los cuales un fabricante puede alegar cumplimiento con la norma, y cada uno afecta el cálculo de riesgo y, en último lugar, el costo de propiedad. A fin de comprender estos matices, es necesario entender el espectro de cumplimiento. --La norma IEC permite la autocertificación hasta el nivel SIL‑2. Esto significa que un fabricante puede alegar cumplimiento basado en su propia revisión interna. Otro nivel de cumplimiento puede ser un análisis y revisión por terceros de los fallos aleatorios. Este tipo de revisión es el más común para los equipos existentes, que hace tiempo que se diseñó y se utiliza en campo. Sin embargo, una medida de cumplimiento más rigurosa sería una revisión independiente a cargo de un organismo notificado, que no solo consideraría la probabilidad de fallo sino que tendría un alcance más amplio para revisar los procesos empleados por un fabricante para el diseño de equipos relacionados con la seguridad. Para comprender las diferencias en rigor que plantean estos enfoques, es necesario comprender la naturaleza de un defecto o fallo. La IEC 61508-4 divide los fallos en dos categorías: aleatorios o sistemáticos. Los fallos aleatorios se definen como “fallo que se produce en un momento aleatorio, como consecuencia de uno o más de los posibles mecanismos de degradación en los equipos”. [4] Se trata de un enfoque común

3

ARTÍCULO DE SCOTT SAFETY para justificar la adecuación SIL de un dispositivo en particular, en especial si ya ha sido diseñado y está en funcionamiento. Un fabricante ejecuta un análisis de fiabilidad en el equipo, calcula los parámetros de seguridad necesarios y alega cumplimiento en función de los resultados del análisis. Se puede instituir un rigor de mayor nivel si el fabricante encarga la revisión de estos cálculos a una tercera parte. Esta revisión puede ser interna a cargo de otro grupo funcional, como el área de garantía de calidad, o externa a cargo de un consultor. Resta decir que la confianza en estos dos enfoques depende de la capacidad y la reputación del fabricante y del revisor independiente. Ninguno de estos enfoques, certificación propia y revisión a cargo de terceros de fallos aleatorios de los equipos, abarca la segunda categoría de fallos: los sistemáticos. La norma IEC 61508-4 define los fallos sistemáticos como “relacionados de un modo determinista con una cierta causa, que solo se puede eliminar con la modificación del diseño o del proceso de fabricación, los procedimientos operativos, la documentación u otros factores pertinentes”. [4] Los fallos sistemáticos pueden considerarse como defectos de diseño en los equipos o errores en el firmware que podrían dar lugar a un estado inseguro. En general se reconoce que los fallos sistemáticos no se pueden cuantificar, sino que se deben evaluar cualitativamente. ¿Por qué la norma distingue entre estos dos tipos de fallos y por qué es importante la consideración de los fallos sistemáticos?

Los fallos sistemáticos y el valor de la revisión por terceros Un estudio citado con frecuencia por la Health & Safety Executive, “Out of Control – Why control systems go wrong and how to prevent failure”, atribuye el 59% de los fallos a cuestiones de especificación, diseño e implementación. En pocas palabras, la mayoría de las causas de fallos, en términos de la IEC, son sistemáticos e inherentes al dispositivo antes de que el usuario final lo implemente. Los fallos sistemáticos son producto del proceso que rige el diseño del dispositivo (tanto el hardware como el software). Es imposible que una mera evaluación de los equipos sea suficiente para abordar estos tipos de fallos. Solo un proceso de diseño riguroso con comprobaciones y procesos centrados en la seguridad puede servir para minimizar la ocurrencia de fallos sistemáticos. La revisión de terceros a cargo de un organismo notificado respetado puede garantizarle al usuario final que se han abordado tanto los fallos aleatorios como sistemáticos de los equipos, tanto en el diseño como en el proceso empleado. Los beneficios de este enfoque para el usuario final son enormes. Tienen la garantía de cierta disponibilidad y fiabilidad de los equipos, que reduce el costo de propiedad. También pueden estar seguros de que el proceso de diseño empleado para producir el dispositivo está orientado a minimizar las causas más comunes de fallos sistemáticos.

4

ARTÍCULO DE SCOTT SAFETY Conclusión En este documento, se ha analizado el concepto de niveles de integridad de la seguridad y cómo se aplica al usuario final. Se han observado los distintos enfoques para alegar la certificación y las posibles deficiencias que presentan algunos métodos. El propietario de cada proceso debe solicitar a sus proveedores la base sobre la cual argumentan el cumplimiento con SIL. ¿La justificación de cumplimiento se basa en un cálculo interno de los fallos aleatorios de los equipos, una revisión a cargo de terceros de los fallos de equipos o una revisión a cargo de terceros tanto de los equipos como de los procesos empleados para desarrollar el diseño, con la garantía de cumplir con la interpretación más exigente de seguridad funcional? Como se ha analizado en el presente documento, las diversas interpretaciones del cumplimiento con SIL pueden tener un importante impacto en los resultados. ¿Hay alguna razón para no elegir a aquel que respeta la norma más exigente en cuanto a seguridad funcional? Si desea obtener más información sobre las mejores prácticas en detección de gas o conocer más sobre el Detector de Gases Universal Meridian de Scott Safety que cumple con SIL‑2, puede llamar al 800-247-7257 o por correo electrónico a [email protected]. También lo invitamos a visitar UniversalByScott.com.

Referencias y lecturas recomendadas [1] Safety Integrity Level Selection, Marsal & Scharpf, ©2002, ISA, ISBN 1-55617-777-1, Research Triangle Park, NC, USA [2] Against the Gods – The Remarkable Story of Risk, Peter L Bernstein, ©1996, John Wiley & Sons Inc., ISBN 0-471-12104-5 -8[3] The Black Swan – The Impact of the Highly Improbable, Nassim Nicholas Taleb, © 2007, Random House Inc., ISBN 978-1-4000-6351-2 [4] IEC 61504 Functional safety of electrical/electronic/programmable electronic safety-related systems, ©2010 IEC Geneva, Switzerland. [5] Functional Safety – An IEC SIL‑3 Compliant Development Process, Medoff & Faller, ©2010, Exida LLC, ISBN 978-0-9727234-8-0, Sellersville, PA, USA. [6] Out of Control – Why control systems go wrong and how to prevent failure, 2 Crown Copyright, Health & Safety Executive, U.K.

5

ESTADOS UNIDOS

AUSTRALIA Y ASIA PACÍFICO

Sede mundial Servicio, Fabricación, Oficinas 4320 Goldmine Rd. P.O. Box 569 Monroe, NC 28111 EE.UU. 800.247.7257 [email protected]

Australia Fabricación, Ventas, Oficinas 137 McCredie Road Guildford NSW 2161 Australia 131 772 (+61 2 8718 2191) [email protected]

Houston Servicio, Ventas, Oficinas 1455 E Sam Houston Pkwy Ste. 190 Pasadena, TX 77503 EE.UU. 800.247.7257 [email protected]

CHINA

AMÉRICA LATINA Querétaro, México Servicio, Ventas, Oficinas Parque Industrial Tecnológico Innovación Querétaro Km 2,2, Carretera Estatal 431 El Colorado-Galindo, Bodega 4 Municipio El Marqués Querétaro, CP 76246 +52 442.256.3700 [email protected]

EUROPA, MEDIO ORIENTE Y ÁFRICA Emiratos Árabes Unidos Servicio, Ventas, Oficinas Corodex Industries – Ground Floor Musaffah– ICAD – 1 (Ciudad Industrial de Abu Dhabi) Cerca de Emirates Steel factory, salida puerta 5 Reino Unido Fabricación, Ventas, Oficinas Pimbo Road, West Pimbo Skelmersdale, Lancashire WN8 9RA Inglaterra +44 (0)695 711711 [email protected]

© 2012 Scott Safety. SCOTT, el logotipo de SCOTT SAFETY y Scott Health and Safety son marcas registradas y/o no registradas de Scott Technologies, Inc. o sus filiales. Registrado ISO 9001. Todos los derechos reservados.

China Fabricación, Ventas, Oficinas Building 1, Lane 995, Jinhai Rd. Shanghai 201206 China +86 21 61633377 Ext. 1502 [email protected]