Por Johan Andrés García. Coordinador de la Línea de Seguridad de Precesos del Consejo Colombiano de Seguridad (CCS). Ingeniero Químico y M.Sc. en Ingeniería Química (Universidad de los Andes) con experiencia en Seguridad de Procesos y gestión del riesgo en industrias de alto riesgo. Ha liderado diagnósticos PSM, análisis de brechas y planes de mejora bajo estándares internacionales y normativa colombiana. Y Óscar Mauricio Barajas Lead Loss Prevention Engineer en Saudi Aramco. Ingeniero mecánico con más de 30 años de experiencia en el sector Oil & Gas. M.Sc. en Automatización Industrial, MBA y MEng en Fire Protection Engineering, además de formación especializada en respuesta a emergencias (EE. UU. y Europa). Certificado CCPSC, CSP, CFPS y NEBOSH (IGC, IFC, Oil & Gas y Process Safety).
Cómo citar este artículo
García, J. A., & Barajas, Óscar M. (2026). Impacto de la degradación de las barreras de seguridad en los eventos de seguridad de procesos en la industria del petróleo y el gas. Protección & Seguridad, (425), 31–38. Recuperado a partir de https://publicaciones.ccs.org.co/index.php/pys/article/view/446
La industria del petróleo y el gas, por la naturaleza de sus operaciones de alto riesgo, depende de múltiples barreras de seguridad para prevenir accidentes y mitigar el impacto de los eventos de seguridad de procesos (ESP). Estas barreras son esenciales para mantener la integridad operativa y proteger al personal, el medio ambiente y los activos y su desempeño influye de forma directa en la frecuencia y severidad de los ESP, como evidencian numerosos accidentes industriales.
Un ejemplo de ello es la explosión en la refinería de Texas City, asociada a fallos simultáneos de varias barreras, incluyendo controles de proceso deficientes y una cultura de seguridad inadecuada. Entre las barreras típicas se encuentran sistemas de diluvio de agua para proteger equipos expuestos a incendios, diques de contención para limitar la propagación de líquidos ante derrames, sistemas de espuma y sistemas de parada de emergencia, entre otros (Misuri et al., 2020).
El uso de barreras de seguridad es crítico a lo largo de todo el ciclo de vida de la industria de procesos. Sin embargo, su fiabilidad y eficacia pueden verse afectadas significativamente por factores de degradación. En la práctica, estos factores se omiten con frecuencia en los análisis de riesgo, ya sea por desconocimiento o por la dificultad de contar con metodologías de evaluación apropiadas. Para enfrentar esta limitación, se propone considerar un conjunto de propiedades deseables de las barreras, destacando que deben ser eficaces, independientes y auditables. En este contexto, los conceptos de “fiabilidad/disponibilidad” y “eficacia” se emplean ampliamente para evaluar el rendimiento de las barreras y cuentan con aceptación en diversos estudios de análisis de riesgos (Landucci et al., 2015).
Los criterios de eficacia y disponibilidad han sido utilizados de manera recurrente en investigaciones previas para caracterizar el desempeño de las barreras (Landucci et al., 2015; Misuri et al., 2020, 2021). No obstante, se requiere revisar la idoneidad de estos criterios cuando se incorporan explícitamente los factores de degradación. Por ello, este artículo presenta, en primer lugar, una visión general sobre la definición, clasificación y evaluación de las barreras de seguridad y luego, se enfoca en la degradación: sus principales factores y un ejemplo ilustrativo para clarificar estos conceptos.
La definición de barrera de seguridad
A pesar de que el concepto de barreras de seguridad se originó hace décadas y se ha utilizado en la práctica durante muchos años, sigue siendo difícil alcanzar una definición unificada. Tradicionalmente, las barreras de seguridad se definen como obstáculos físicos, obstrucciones o impedimentos diseñados para proteger un objetivo de los peligros (Sklet, 2006). Recientemente, el Centro de Seguridad de Procesos Químicos (CCPS, por sus siglas en inglés) y el Instituto de Energía definieron el concepto de barrera, basándose en el diagrama de lazo, como una medida de reducción de riesgos que, por sí sola, puede evitar que una amenaza se convierta en un evento de alto riesgo o mitigar las consecuencias del mismo (CCPS y Energy Institute, 2018).
En el mismo estudio, una barrera se considera un sistema completo que cumple los criterios de eficacia, independencia y auditoría, similares a las características definidas en un análisis de capas de protección LOPA[1] para una capa independiente IPL[2]. Según esta definición, una barrera puede realizar la función completa prevista por sí sola cuando se le solicita. Para este estudio, y según Yuan et al. (2022), una barrera de seguridad puede ser una herramienta física o no física diseñada para prevenir, controlar o mitigar eventos o accidentes no deseados (Yuan et al., 2022). Los medios de las barreras de seguridad pueden variar desde una instalación técnica o una acción humana hasta un sistema sociotécnico complejo.
Clasificación de las barreras de seguridad
Los investigadores suelen clasificar las barreras de seguridad en físicas y no físicas, con subdivisiones adicionales dentro de la categoría no física. Además, algunos estudios clasifican las barreras de seguridad según sus características o funciones operativas. Por ejemplo, las barreras pasivas ─que no necesitan activarse para realizar su función─ y las barreras activas ─que deben cambiar de estado en respuesta a una señal o cambio─ son clasificaciones ampliamente reconocidas (Sklet, 2006). Un esquema de clasificación propuesto por (CCPS, 2001) divide las barreras de seguridad en barreras de diseño inherentemente más seguras, barreras pasivas, barreras activas y medidas de procedimiento y de emergencia, que también se utilizan ampliamente en otra investigación.
Por otro lado, según el modelo de lazo, las barreras de seguridad ubicadas en el lado izquierdo del lazo se denominan barreras «preventivas» o «proactivas» y se utilizan para reducir la probabilidad de ocurrencia del evento central o superior. En cambio, las barreras de seguridad ubicadas en el lado derecho del lazo se denominan barreras «reactivas» o «mitigadoras» y se utilizan para mitigar las consecuencias del evento superior. Neto et al. (2014) emplearon el modelo de lazo y LOPA para definir las barreras y la relación entre ellas, donde aquellas se componen de nueve capas de protección (Costa Neto et al., 2014).
Evaluación de desempeño de las barreras de seguridad
La evaluación de las barreras de seguridad es clave para identificar los riesgos y las consecuencias de eventos de seguridad de procesos, particularmente en la industria del petróleo y gas (Misuri et al., 2021). Además, es un componente esencial dentro de los marcos de evaluación de riesgos y consecuencias y debe vincularse estrechamente con indicadores de desempeño que representen sus funciones. Por ello, antes de analizar los métodos existentes de evaluación y modelado del desempeño en las industrias química y de procesos, resulta crucial examinar las funciones de las barreras y definir los criterios de evaluación correspondientes.
Dos de las variables más utilizadas para evaluar el rendimiento de las barreras de seguridad son la efectividad y la disponibilidad. La efectividad se define como la capacidad que tiene una barrera de seguridad para prevenir accidentes y reducir el riesgo a un nivel esperado (Misuri et al., 2023). Términos como eficiencia y suficiencia también se utilizan para describir la barrera de seguridad con implicaciones similares a la efectividad (Yuan et al., 2022).
Por otro lado, la disponibilidad también se utiliza ampliamente para medir las barreras de seguridad desde otra perspectiva. La disponibilidad se define como la capacidad de una barrera para realizar su función eficazmente en un momento determinado, lo cual es un criterio de evaluación dependiente del tiempo (Liu, 2020). En general, la combinación de disponibilidad y efectividad proporciona una evaluación integral del rendimiento de la barrera de seguridad, en particular para las activas.
Landucci et al. (2015) y Misuri et al. (2020, 2021, 2023) han investigado una serie de estudios para evaluar el rendimiento de la barrera de seguridad utilizando la disponibilidad y la efectividad (Landucci et al., 2015; Misuri et al., 2020, 2021, 2023). En dichos estudios, la disponibilidad se presentó y cuantificó mediante la Probabilidad de Falla bajo Demanda (PFD, por sus siglas en inglés) de las barreras de seguridad. La efectividad se describió como la probabilidad de que la barrera de seguridad evite la escalada después de ser activada con éxito.
Metodologías para evaluar desempeño
Los árboles de eventos y el análisis LOPA se han utilizado ampliamente para evaluar barreras de seguridad o capas de protección independientes (IPL), debido a su relativa simplicidad de aplicación. En particular, se han propuesto enfoques que combinan LOPA con árboles de eventos modificados para realizar una evaluación cuantitativa estática del desempeño de las barreras de seguridad orientada a prevenir la escalada de escenarios dominó en la industria química.
En estos métodos se diseñaron distintos tipos de compuertas (gates) para representar de forma más realista la disponibilidad y la efectividad de las barreras de seguridad (Landucci et al., 2015; Misuri et al., 2021, 2023). Este método también fue modificado para ser aplicado en escenarios de Natech[3] por Misuri et al. (2020). Además, también se han implementado métodos más rigurosos, como la evaluación dinámica de riesgos (DRA), que incluye análisis de árboles de fallas dinámicos, árboles de eventos dinámicos, redes bayesianas dinámicas, enfoques de simulación de Monte Carlo y enfoques de gráficos dinámicos. Incluso la combinación de enfoques tradicionales y otros más complejos. Por ejemplo, Yun et al. (2009) propuso una metodología Bayesiana-LOPA para estimar los riesgos potenciales de las terminales de Gas Natural Licuado (GNL), en la que se estimó la Probabilidad de Fallo bajo Demanda (PFD) de los IPL utilizando un motor bayesiano (Yun et al., 2009).
Los diagramas bow-tie se han utilizado ampliamente para evaluar el desempeño de las barreras de seguridad ya que ofrecen una representación gráfica robusta del análisis de riesgos al integrar, de forma simplificada, un árbol de fallas (lado izquierdo) y un árbol de eventos (lado derecho) (Fiorentini y Marmo, 2018). Este enfoque permite visualizar de manera integrada las relaciones entre amenazas, barreras preventivas, evento principal, barreras mitigantes, consecuencias y factores de degradación.
En el método bow-tie, las barreras son centrales para identificar vulnerabilidades del sistema. Asimismo, se incorporan factores de degradación que pueden reducir su eficacia (por ejemplo, la pérdida de energía eléctrica que impide el funcionamiento de una bomba en un sistema de extinción por agua). Para contrarrestar estos factores se implementan controles de degradación, es decir, barreras secundarias que protegen o respaldan a las barreras primarias, como generadores diésel o bombas de emergencia.
Degradación de la barrera de seguridad en escenarios de Natech
En las últimas décadas ha aumentado la preocupación por el riesgo que los desastres naturales representan para instalaciones que almacenan o procesan grandes cantidades de sustancias peligrosas, lo cual es especialmente relevante para la industria química, el sector de petróleo y gas, la energía nuclear y ciertos sectores manufactureros. Diversos estudios muestran que fenómenos como inundaciones y terremotos pueden afectar tanto la integridad como la disponibilidad de las barreras de seguridad. No obstante, varios enfoques tradicionales no incorporan de forma explícita la reducción esperada del rendimiento de los sistemas de seguridad causada por peligros naturales, lo que limita su aplicación directa a accidentes Natech.
Misuri et al. (2021) propusieron una metodología que integra la degradación de las barreras debido al impacto de un evento natural y evalúa su probabilidad y frecuencia mediante un árbol de eventos (ETA) a medida. En este marco se cuantifican dos parámetros fundamentales para condiciones Natech: la Probabilidad de Fallo a Demanda (PFD), entendida como la probabilidad de que el sistema no esté disponible cuando se requiere su función de seguridad y la efectividad de la barrera, definida como la probabilidad de que la barrera evite la escalada del riesgo, condicionada a una activación exitosa (Misuri et al., 2021).
Una vez estimado el rendimiento “original” (en condiciones normales), la metodología ajusta los valores de referencia de PFD y efectividad para reflejar el impacto de los peligros naturales. Este ajuste se realiza mediante factores de modificación del rendimiento, que representan la probabilidad de daño de los eventos naturales sobre los sistemas de barreras. Los resultados sugieren que los peligros naturales incrementan principalmente la PFD (es decir, reducen la disponibilidad) y tienen un efecto limitado sobre la efectividad de las barreras activas. En contraste, para barreras pasivas, el impacto se manifiesta sobre todo como una reducción de la efectividad, dado que no dependen de una activación específica. La tabla 1 ejemplifica este efecto, mostrando incrementos relevantes en los PFD modificados para distintas barreras.
Sistemas Instrumentados de Seguridad (SIS)
Los Sistemas Instrumentados de Seguridad (SIS) son barreras clave en la industria del petróleo y gas, ya que detectan condiciones peligrosas e inician automáticamente acciones correctivas para mantener la operación en un estado seguro. Integran sensores, un solucionador lógico y actuadores, con los que supervisan variables del proceso y ejecutan Funciones Instrumentadas de Seguridad (FIS/SIF) cuando se superan umbrales predefinidos. Por ello, su confiabilidad y eficacia son determinantes para reducir el riesgo y proteger a las personas y al ambiente.
Como cualquier sistema, los SIS pueden degradarse con el tiempo. Factores como condiciones ambientales, desgaste y mantenimiento insuficiente afectan su desempeño, por lo que es esencial comprender estos mecanismos e implementar prácticas robustas de mantenimiento y monitoreo para sostener un funcionamiento confiable.
Una FIS es la función específica dentro del SIS encargada de llevar el proceso a un estado seguro ante una condición peligrosa. Cuando el proceso excede límites aceptables y requiere la intervención de la FIS, se dice que la función es “demandada”. Su diseño debe considerar tanto las consecuencias de un fallo peligroso como la frecuencia con que se presentan demandas. En general, a mayor severidad de las consecuencias potenciales, mayor nivel de seguridad debe aportar la FIS, lo cual se expresa mediante el Nivel de Integridad de Seguridad (SIL, por sus siglas en inglés).
El SIL asignado a una FIS se define según sus requisitos de desempeño y, en particular, según el modo de demanda. Si la FIS recibe exigencias con una frecuencia tan alta que ocurre más rápido de lo que sería viable realizar una prueba práctica, se considera que opera en modo de demanda alta/continua. En cambio, se clasifica como modo de demanda baja cuando la frecuencia de demanda es menor que el doble del intervalo de prueba práctica (Exida, 2016). Para las SIF/FIS en modo de baja demanda, la métrica de desempeño más importante es PFDavg[4], que normalmente se estima usando tasas de falla, el tiempo medio de restauración (MTTR) y el intervalo entre pruebas sucesivas (TI).
No obstante, con el tiempo se ha evidenciado que la PFDavg puede verse afectada de manera significativa por factores adicionales a esos parámetros, especialmente por aspectos asociados a la degradación de los componentes de la SIF. Por ello, basarse únicamente en tasas de falla, MTTR y TI suele llevar a cálculos de PFDavg demasiado optimistas, lo que puede derivar en diseños menos seguros y en evaluaciones de riesgo imprecisas, sobre todo en aplicaciones de baja demanda. Exida (2016) presenta un análisis más detallado y propone considerar otras variables que influyen en el desempeño de una SIF, las cuales se enumeran a continuación:
- Tasas de fallo de cada dispositivo (atributos del equipo seleccionado).
- Tiempo de misión (MT): periodo en el que el equipo estará en funcionamiento antes de su revisión o sustitución (asignable según las prácticas del usuario final).
- Intervalos de prueba (TI): asignables según las prácticas del usuario final.
- Cobertura de la prueba (Cpt): atributo del método de prueba.
- Duración de la prueba de prueba (PTD): atributo de las prácticas del usuario final.
- Tiempo medio de restauración (MTTR): atributo de las prácticas del usuario final.
- Probabilidad de falla inicial (PIF): atributo de las prácticas del usuario final.
- Índice de seguridad del sitio (SSI): atributo de las prácticas del usuario final.
- Redundancia de dispositivos, incluyendo fallos por causa común CCF (atributo del diseño de SIF).
Considerando estas nueve variables, este autor ha desarrollado una ecuación general para calcular un PFDavg más realista, que considera variables asociadas con una posible degradación del sistema.
Finalmente, se considera el ejemplo de un SIF de protección de alto nivel para evaluar el impacto en el PFDavg de no utilizar todas las variables importantes. El diseño propuesto tiene un objetivo de nivel SIL 2. El diseño utiliza un único transmisor de nivel de capacidad SIL 2, un solucionador lógico de seguridad certificado con capacidad SIL 3 y una única válvula de accionamiento remoto (SIL 3). Se introduce un tiempo de misión (MT) de 5 años y el intervalo de prueba es de un año para el sensor y los elementos de campo, y de 5 años para el solucionador lógico. Se introduce una cobertura de prueba del 100 %, lo que equivale a no considerar la cobertura de prueba como una variable. También se asume que la prueba se realiza con el proceso fuera de línea, lo que elimina el PTD del cálculo.
En este ejemplo, el PFDavg se calculó como 6,82 x 10‐3. Este valor cumple con el nivel SIL 2 con un factor de reducción de riesgo (RRF) de 147. Sin embargo, es necesario incluir variables más realistas. Ahora se utilizará un tiempo de misión de 25 años. Se utilizará un intervalo de prueba de un año para el sensor y el elemento final, y de 5 años para el solucionador lógico. La cobertura de la prueba de prueba es ahora del 90 % para el sensor y del 70 % para el elemento final. Se incluye una duración de prueba de 2 horas y un valor MTTR de 48 horas es más realista. El índice de seguridad del sitio es medio para el sensor y los elementos finales y bueno para el solucionador lógico. Las nueve variables se están incluyendo de forma realista. El PFDavg calculado para esta función instrumentada de seguridad ahora baja a 5,76 x 10‐2. El RRF, que estaba en un valor de 147, ahora baja a 17. Esto apenas cumple con el nivel SIL 1.
Conclusiones
Este trabajo confirma que, al evaluar escenarios de seguridad de procesos, es esencial considerar el deterioro o degradación del desempeño de las barreras de seguridad. Ignorar la posible reducción de su capacidad de protección o mitigación puede conducir a una subestimación significativa del riesgo. En escenarios Natech, los enfoques tradicionales resultan limitados porque no representan adecuadamente cómo los peligros naturales degradan el rendimiento de los sistemas de seguridad. En contraste, la metodología de Misuri et al. (2020) incorpora esta degradación y permite estimar tanto la Probabilidad de Fallo bajo Demanda (PFD) como la efectividad de la barrera bajo inundaciones y terremotos, mediante factores de modificación del rendimiento. Esto refuerza la necesidad de integrar los peligros naturales en las evaluaciones y de fortalecer la resiliencia de las barreras en instalaciones con sustancias peligrosas. Adicionalmente, el análisis de una SIF de alto nivel mostró que los supuestos simplificados pueden producir un PFDavg demasiado optimista. Al introducir variables más realistas (mayor tiempo de misión, intervalos de prueba variables, menor cobertura y métricas de indisponibilidad más precisas), el PFDavg cambia de manera importante, evidenciando que las evaluaciones deben reflejar condiciones operativas reales para asegurar el cumplimiento efectivo del SIL requerido.
Referencias
Center for Chemical Process Safety [CCPS]. (2001). Layers of protection analysis: Simplified process risk assessment. American Institute of Chemical Engineers.
Center for Chemical Process Safety y Energy Institute. (2018). Bow ties in risk management. Wiley.
Costa Neto, F., Ribeiro, J., Ugulino, K., y Mingrone, S. (2014). Safety barriers integrity management system. Chemical Engineering Transactions, 36, 493–498.
Exida. (2016). The key variables needed for PFDavg calculation. Exida.com LLC.
Fiorentini, L., y Marmo, L. (2018). Sound barriers management in process safety: Bow-tie approach according to the first official AIChE – CCPS guidelines. Chemical Engineering Transactions, 67, 253–258.
Khakzad, N., Landucci, G., y Reniers, G. (2017). Application of dynamic Bayesian network to performance assessment of fire protection systems during domino effects. Reliability Engineering & System Safety, 167, 232–247.
Landucci, G., Argenti, F., Tugnoli, A., y Cozzani, V. (2015). Quantitative assessment of safety barrier performance in the prevention of domino scenarios triggered by fire. Reliability Engineering & System Safety, 43, 30–43.
Liu, Y. (2020). Safety barriers: Research advances and new thoughts on theory, engineering and management. Journal of Loss Prevention in the Process Industries, 67, Artículo 104260.
Misuri, A., Landucci, G., y Cozzani, V. (2020). Assessment of safety barrier performance in Natech scenarios. Reliability Engineering & System Safety, 193, Artículo 106597.
Misuri, A., Landucci, G., y Cozzani, V. (2021). Assessment of safety barrier performance in the mitigation of domino scenarios caused by Natech events. Reliability Engineering & System Safety, 204, Artículo 107278.
Misuri, A., Ricci, F., Sorichetti, R., y Cozzani, V. (2023). The effect of safety barrier degradation on the severity of primary Natech scenarios. Reliability Engineering & System Safety, 235, Artículo 109272.
Sklet, S. (2006). Safety barriers: Definition, classification, and performance. Journal of Loss Prevention in the Process Industries, 19(5), 494–506.
Yuan, S., Yang, M., Reniers, G., Chen, C., y Wu, J. (2022). Safety barriers in the chemical process industries: A state-of-the-art review on their classification, assessment, and management. Safety Science, 148, Artículo 105647.
Yun, G., Rogers, W., y Mannan, S. (2009). Risk assessment of LNG importation terminals using the Bayesian–LOPA methodology. Journal of Loss Prevention in the Process Industries, 22(1), 91–96.
[1] LOPA: Layer of Protection Analysis (Análisis de Capas de Protección)
[2] (IPL): Independent Protection Layer (Capa de Protección Independiente)
[3] Natech: Natural hazards-triggered Technological Accidents (accidentes tecnológicos desencadenados por riesgos naturales)
[4] Probabilidad de Falla en Demanda Promedio
