Seguridad de procesos barreras, riesgo y disciplina operativa

Una planta empieza a perder control antes de una fuga tóxica, un incendio o una explosión. Las primeras señales suelen verse en alarmas críticas inhibidas, pruebas funcionales diferidas, cambios temporales sin cierre, válvulas de alivio vencidas o barreras que ya no tienen evidencia verificable.

La seguridad de procesos protege instalaciones con sustancias inflamables, tóxicas, reactivas o energía peligrosa mediante barreras capaces de prevenir, detectar, controlar o mitigar eventos mayores. Su aplicación conecta riesgo de proceso, disciplina operativa, integridad de activos, alarmas, instrumentación de seguridad, gestión de cambios y toma de decisiones en campo.

Seguridad de procesos basada en barreras

La seguridad de procesos es una disciplina de ingeniería y gestión orientada a prevenir pérdidas de contención, sobrepresión, incendios, explosiones, reacciones fuera de control y exposición a sustancias peligrosas. La aplicación exige conocer el proceso, identificar secuencias accidentales creíbles, definir controles suficientes y verificar que sigan disponibles durante operación normal, arranque, parada, mantenimiento o condición degradada.

OSHA 29 CFR 1910.119, Gestión de Seguridad de Procesos para Sustancias Químicas Altamente Peligrosas, contiene requisitos para prevenir o minimizar consecuencias de liberaciones catastróficas de sustancias tóxicas, reactivas, inflamables o explosivas,  incluye información de seguridad del proceso, análisis de peligros, procedimientos, capacitación, integridad mecánica, gestión del cambio, revisión previa al arranque e investigación de incidentes.

El modelo de Seguridad de Procesos Basada en Riesgo (RBPS), desarrollado por el Centro para la Seguridad de Procesos Químicos (CCPS), propone veinte elementos para diseñar, corregir o mejorar sistemas de seguridad de procesos. Su utilidad está en ajustar recursos, controles y niveles de verificación según el peligro, la complejidad de la unidad, la exposición real y la criticidad de las barreras.

¿Cómo funcionan las barreras de seguridad?

Las barreras de seguridad son controles diseñados para cortar una secuencia de riesgo antes de que llegue a una consecuencia mayor. Pueden ser de diseño, instrumentadas, mecánicas, operativas, administrativas o de respuesta.

Una barrera no debería considerarse efectiva por aparecer en un diagrama de tuberías e instrumentación (P&ID), una matriz de Análisis de Capas de Protección (LOPA) o un procedimiento; debe demostrar independencia, confiabilidad, disponibilidad, capacidad de respuesta y prueba documentada.

En una posible sobrepresión, pueden actuar el control básico de proceso, una alarma crítica, la respuesta del operador, una Función Instrumentada de Seguridad (SIF) dentro del Sistema Instrumentado de Seguridad (SIS), una Válvula de Seguridad de Presión (PSV) y un sistema de venteo seguro. Si varias capas dependen del mismo transmisor, de una consola saturada o de una lógica modificada sin Gestión del Cambio (MOC), la protección real se debilita.

En la práctica, estas capas también pueden agruparse como controles de personas, planta y proceso. Los primeros dependen de competencia, decisiones críticas y autoridad de paro; los segundos, de sistemas y equipos críticos; y los terceros, de procedimientos claros, actualizados y verificables en campo.

Barreras preventivas y de mitigación

Las barreras preventivas reducen la probabilidad del evento: Diseño inherentemente seguro, control de corrosión, límites operativos, alarmas críticas, enclavamientos, permisos de trabajo, aislamiento de energía, inspección, mantenimiento y procedimientos de arranque.

Las barreras de mitigación reducen consecuencias mediante PSV, detección de gas y fuego, Sistema de Parada de Emergencia (ESD), diques, drenajes, espuma, aislamiento remoto y respuesta de emergencia. La pregunta técnica clave es: ¿Qué barrera corta la secuencia antes de que el evento alcance una consecuencia mayor?

Gestión del riesgo de proceso

La gestión del riesgo inicia con una descripción precisa del escenario de riesgo. Decir “fuga de producto” o “incendio en área de proceso” resulta insuficiente, generalmente se requiere identificar causa iniciadora, desviación, inventario involucrado, condiciones operativas, consecuencias, barreras existentes, brechas y acciones.

Herramientas como el Análisis de Peligros de Proceso (PHA), el Estudio de Peligros y Operabilidad (HAZOP), el análisis What-if, el Bow Tie y el LOPA ordenan esa información. El HAZOP identifica desviaciones; el Bow Tie visualiza causas, consecuencias y controles; y el LOPA confirma si las capas independientes de protección son suficientes. El valor está en decidir: reducir inventario, cambiar diseño, mejorar detección, fortalecer el SIS, actualizar procedimientos o modificar la frecuencia de inspección.

En esta secuencia, HAZOP identifica escenarios y salvaguardas; LOPA verifica si las capas existentes reducen el riesgo a un nivel tolerable; y SIL define la confiabilidad requerida cuando la reducción depende de una función instrumentada de seguridad.

Este recurso visual refuerza la relación entre HAZOP, LOPA y SIL como una secuencia técnica para identificar desviaciones, evaluar capas independientes de protección y definir el nivel de reducción de riesgo requerido en funciones instrumentadas de seguridad. Fuente: Oil and Gas Insights

Riesgo de proceso y exposición real

El riesgo cambia con la condición operativa. Una unidad no tiene la misma exposición durante operación estable, arranque, parada, limpieza, intervención, bypass temporal o condición degradada. Por eso conviene diferenciar riesgo de diseño, riesgo operativo y riesgo acumulado.

El riesgo acumulado aparece cuando coinciden desviaciones: una bomba crítica fuera de servicio, una alarma inhibida, una inspección vencida, una recomendación PHA abierta y un procedimiento desactualizado. Cada desviación puede parecer tolerable por separado; juntas pueden dejar la unidad sin defensa efectiva.

Disciplina operativa y control del riesgo

La disciplina operativa consiste en ejecutar tareas críticas correctamente, en el momento requerido y dentro de límites definidos, incluso bajo presión por producción, retrasos de mantenimiento o urgencia de arranque. En seguridad de procesos, disciplina significa respeto técnico por ventanas operativas, permisos, procedimientos, alarmas, enclavamientos, pruebas funcionales y autoridad de paro.

Cuando un procedimiento exige detener una operación bajo determinadas condiciones, pero la práctica cotidiana acepta continuar, la organización contradice su propio sistema de protección. La disciplina operativa se demuestra en sala de control, campo, permisos, rondas, entrega de turno, bloqueo de energía, respuesta a alarmas y cierre de desviaciones.

Errores operativos que degradan barreras

Las barreras se deterioran por prácticas normalizadas: Alarmas permanentes, bypasses sin fecha de cierre, procedimientos obsoletos, pruebas diferidas, manejos de cambio sin evidencia, arranques sin Revisión de Seguridad Previa al Arranque (PSSR) completa o recomendaciones PHA vencidas.

La respuesta técnica no es culpar al operador. Deben revisarse carga de trabajo, claridad del procedimiento, entrenamiento, supervisión en campo, interfaz humano-máquina, prioridad de alarmas, repuestos disponibles y autoridad real para detener una condición insegura.

Integridad de activos como defensa

La integridad de activos es una barrera física contra pérdida de contención. Recipientes, tuberías, tanques, válvulas, bombas, intercambiadores, sistemas de alivio e instrumentación crítica deben conservar capacidad mecánica y funcional durante su ciclo de vida.

Corrosión, erosión, fatiga, vibración, materiales incompatibles, operación fuera de ventana o mantenimiento deficiente pueden convertir un equipo disponible en una fuente de evento mayor. Por eso, los hallazgos de inspección deben tratarse como información de riesgo, no únicamente como tareas de mantenimiento.

Inspección, RBI y equipos críticos

La inspección aporta valor cuando está conectada con criticidad de proceso. La Inspección Basada en Riesgo (RBI), los circuitos de corrosión, los Puntos de Monitoreo de Corrosión (CML) y Puntos de Medición de Espesor (TML), pruebas de las válvulas de seguridad, la calibración de instrumentos y el mantenimiento de equipos críticos deben responder a consecuencias potenciales.

Una práctica útil es clasificar equipos por función de barrera: contención primaria, alivio, aislamiento, detección, control, mitigación o respuesta. Así, mantenimiento e inspección priorizan según exposición a eventos mayores, no únicamente por disponibilidad o antigüedad de la orden.

MOC, PSSR y cambios temporales

La Gestión del Cambio (MOC) controla modificaciones en sustancias, tecnología, equipos, alarmas, lógica de control, materiales, procedimientos, personal, ciberseguridad de Tecnología Operacional (OT) e integridad de activos. La Junta de Investigación de Seguridad Química y Riesgos de Estados Unidos (CSB) ha indicado que una metodología MOC debe aplicarse tanto a cambios planificados como a desviaciones operativas y variaciones respecto a condiciones establecidas.

Un cambio temporal debe tener fecha de expiración, responsable, análisis de riesgo, controles compensatorios y criterio formal de cierre. Si un bypass, una línea temporal, una lógica provisional o una alarma inhibida permanece sin revisión, deja de ser temporal y pasa a ser una condición degradada.

La Revisión de Seguridad Previa al Arranque (PSSR) confirma que el cambio fue instalado según diseño, que las recomendaciones fueron cerradas, que el personal fue entrenado y que las barreras críticas están disponibles antes de introducir presión, temperatura, energía o producto peligroso.

Métricas para riesgo de proceso

Medir incidentes después de ocurridos resulta insuficiente. API RP 754, Indicadores de Seguridad de Procesos para las Industrias de Refinación y Petroquímica, tercera edición 2021, organiza los indicadores en cuatro niveles: Tier 1 y Tier 2 registran eventos de seguridad de procesos con mayor consecuencia y facilitan reportes externos y benchmarking industrial; Tier 3 y Tier 4 se orientan al seguimiento interno de desviaciones, desafíos a barreras y gestión preventiva del sitio.

Un error frecuente es evaluar la seguridad de procesos con indicadores de seguridad personal. Una baja tasa de lesiones no demuestra, por sí sola, que las barreras contra eventos mayores estén bajo control; por lo cual,  las métricas deben confirmar si los controles críticos siguen siendo efectivos, confiables y proporcionales al riesgo del escenario.

Los indicadores tempranos deben advertir degradación antes de la pérdida de control: alarmas críticas inhibidas, pruebas vencidas, SIS en bypass, PSV con pruebas vencidas o fuera de intervalo, recomendaciones PHA abiertas, cambios temporales vencidos, procedimientos críticos sin revisión, permisos con hallazgos repetidos y equipos críticos fuera de servicio.

Tabla de salud de barreras

Barrera crítica	Cómo se degrada	Evidencia a revisar	Acción recomendada
Alarmas críticas	Fatiga, mala prioridad, inhibición	Alarmas permanentes, chattering, baja respuesta	Racionalización y seguimiento ANSI/ISA-18.2
SIS / SIF	Pruebas vencidas, bypass, cambio de lógica	Registros de prueba, MOC, demanda real	Gestión IEC 61511 y control de bypass
Integridad mecánica	Corrosión, fuga, inspección vencida	CML/TML, RBI, PSV, hallazgos abiertos	Priorizar por criticidad de barrera
Procedimientos	Desactualización o baja adherencia	Auditorías de campo, desviaciones	Verificación operacional y entrenamiento
MOC/PSSR	Cambios sin cierre técnico	Temporales abiertos, acciones vencidas	Cierre formal antes de arranque
Permisos de trabajo	Aislamiento incompleto	Auditorías, LOTO, energías residuales	Validación en campo y supervisión

Tecnología para fortalecer barreras

La digitalización aporta valor cuando mejora la visibilidad de barreras. Tableros de salud de barreras, permisos digitales, e-LOTO, rondas móviles, monitoreo en línea, analítica de alarmas, sensores del Internet Industrial de las Cosas (IIoT), gemelos digitales, historian y gestión integrada de acciones pueden reducir el tiempo entre desviación y decisión.

La madurez digital no está en tener más aplicaciones, sino en conectar la información crítica del proceso. Un PHA, una inspección, una alarma inhibida, un bypass de SIS o una acción MOC deben poder relacionarse con el equipo, el escenario de riesgo y la barrera afectada. Sin esa trazabilidad, la organización conserva documentos, pero pierde visibilidad del riesgo real.

Con esta lógica de gestión, plataformas especializadas como AsInt permiten orientar la digitalización hacia la gestión integrada de riesgos, integridad de activos y seguridad de procesos. Sus soluciones se relacionan con flujos como HAZOP, PHA, LOPA, SIL/SIF y análisis de integridad, lo que ayuda a conectar escenarios de riesgo, equipos críticos, barreras afectadas y acciones de cierre dentro de un mismo entorno trazable.

Toda tecnología nueva debe pasar por MOC. Cambiar una lógica de control, una Interfaz Humano-Máquina (HMI), una arquitectura de red, un historian, una configuración de alarma o un acceso remoto puede modificar barreras sin intervención física sobre el proceso. El Marco de Ciberseguridad 2.0 del NIST (NIST CSF 2.0), publicado en 2024, organiza resultados de ciberseguridad para gobernar, identificar, proteger, detectar, responder y recuperar capacidades frente a riesgos cibernéticos.

Toda tecnología nueva debe pasar por MOC. Cambiar una lógica de control, una Interfaz Humano-Máquina (HMI), una arquitectura de red, un historian, una configuración de alarma o un acceso remoto puede modificar barreras sin intervención física sobre el proceso. El Marco de Ciberseguridad 2.0 del NIST (NIST CSF 2.0), publicado en 2024, organiza resultados de ciberseguridad para gobernar, identificar, proteger, detectar, responder y recuperar capacidades frente a riesgos cibernéticos.

Alarmas, SIS y respuesta humana

Las alarmas son barreras dependientes de la acción humana; deben ser necesarias, claras, accionables y llegar con tiempo suficiente. ANSI/ISA-18.2-2016, Gestión de Sistemas de Alarmas para las Industrias de Proceso, establece requisitos y buenas prácticas para el ciclo de vida de alarmas: filosofía, identificación, racionalización, diseño, operación, mantenimiento, monitoreo, MOC y auditoría.

Los SIS requieren tratamiento específico. La serie IEC 61511, Seguridad Funcional: Sistemas Instrumentados de Seguridad para el Sector de Industrias de Proceso, cubre especificación, diseño, instalación, operación y mantenimiento de SIS; la serie IEC 61511:2026 SER agrupa los documentos vigentes, incluyendo IEC 61511-1:2016+AMD1:2017.

Una SIF es una función específica que lleva o mantiene el proceso en condición segura. El Nivel de Integridad de Seguridad (SIL) define el nivel de reducción de riesgo requerido para esa SIF. Esto exige independencia, pruebas periódicas, competencia funcional, gestión de bypass, control de cambios y análisis de demandas reales.

Cultura operativa y liderazgo

La cultura de seguridad se observa cuando la organización decide según riesgo. Si una unidad reduce carga por una barrera crítica indisponible, si mantenimiento rechaza repuestos no conformes, si inspección exige evaluar una prórroga y si operaciones reporta desviaciones sin temor, el sistema funciona.

CCPS define la cultura de seguridad de procesos como la combinación de valores y conductas del grupo que determina cómo se gestiona la seguridad de procesos. En campo, esto se ve en lo que se tolera, se corrige, se escala o se detiene.

Claves para fortalecer la prevención de accidentes

La prevención mejora cuando existe un registro vivo de barreras críticas por caso de riesgo. Cada barrera debe tener dueño, función, requisito de aceptación, frecuencia de verificación, condición de falla, indicador, regla de bypass y acción compensatoria.

También deben revisarse periódicamente eventos de mayor consecuencia, validar independencia de capas, auditar disciplina operativa, cerrar acciones vencidas y usar métricas tempranas en reuniones de operación. La pregunta clave no es “¿el procedimiento existe?”, sino: ¿qué barreras están degradadas hoy y qué riesgo acepta la unidad?

Conclusiones

La seguridad de procesos madura cuando las barreras se gestionan como activos críticos de protección. El riesgo de proceso se controla con secuencias bien entendidas, límites operativos claros, integridad de activos, alarmas confiables, SIS verificados, MOC efectivo, PSSR completo y disciplina operativa sostenida.

La prevención de accidentes depende de medir la condición real de las barreras, cerrar desviaciones, racionalizar alarmas, controlar cambios temporales, asegurar sistemas instrumentados y actuar antes de que varias defensas se degraden al mismo tiempo. Cuando la decisión se basa en evidencia técnica, la planta conserva control operativo y reduce la probabilidad de eventos mayores.

¿Sabe cuántas de tus barreras críticas están degradadas hoy?

Referencias

1. NIST Cybersecurity Framework 2.0. https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf 
2. Vidyatec – Process Safety Management, Hazards, Barriers and Digitalization. https://vidyatec.com/blog/process-safety-management-101-hazards-barriers-and-digitalization/
3. IEC 61511:2026 SER. https://webstore.iec.ch/en/publication/5527 

Preguntas frecuentes (FAQs)