ESTANDAR PARA BYPASS DE PROTECCIONES CRÍTICAS

1. Propósito, Objetivos y Alcance

1.1 Propósito

Asegurar que el bypass de protecciones críticas se ejecute de manera segura y controlada.

1.2 Objetivo

Establecer los requisitos para la ejecución segura de los bypasses necesarios de protecciones
críticas.

1.3 Alcance

El estándar de Bypass de Protecciones Críticas cubre los trabajos realizados por el personal de
Enap Ecuador y sus Contratistas.

El estándar es aplicable a los dispositivos y sistemas de protección críticos de las estaciones /

locaciones donde sea posible aplicar, por hardware o software, un bypass, forzamiento,
inhibición, anulación o su equivalente eléctrico.

El estándar no aplica a lo siguiente:

- Cuando el propósito del bypass es para bloqueo / etiquetado. Para realizar bloqueo /
etiquetado ver el estándar de Aislamiento de Energía Peligrosa.
- Anulaciones para arranque diseñados con remoción automática después de un retardo de
tiempo específico.
- Bypasses permanentes, la aplicación de bypasses que cambian el diseño original relacionado
con las protecciones críticas y/o de seguridad que ya han sido aisladas apropiadamente,
deberían ser gestionados bajo los estándares de Manejo del Cambio y/o de Aislamiento de
Energía Peligrosa.

Nota: Este sistema no está destinado para reemplazar el estándar de Aislamiento de Energía
Peligrosa. Sin embargo, en ocasiones puede ser usado en conjunto con el estándar de
Aislamiento de Energía Peligrosa.

2. Requisitos

1. El personal involucrado en la autorización, aprobación e implementación de baypasses

de protecciones críticas debe estar entrenado y competente en los roles para los cuales
es responsable.
2. Los peligros que involucra el baypass de protecciones críticas para mantenimiento o
pruebas, planificadas o no planificadas, deberían evaluados, y protecciones alternativas
deben ser identificadas,
3. Está estrictamente prohibido Bypassear, aislar o remover protecciones críticas durante
condiciones de operación anormales o alteradas en orden a mantener la producción.
 4. Sólo un mínimo número de dispositivos de protección críticos debe ser bypasseado a la
vez. Deberá haber al menos otra capa de protección cada vez que una protección crítica
esté en bypass.
5. El Gerente de Operaciones deberá conducir auditorías periódicas y verificaciones para
asegurarse el cumplimiento de este estándar-

3. Términos y Definiciones

Bypass.- Para boquear, aislar, inhibir, forzar, puentear, o deshabilitar temporalmente un

dispositivo o sistema para que no realice la función para la que fue diseñada, con el fin de
realizar pruebas, mantenimiento o puesta en marcha.

Protecciones críticas. -Dispositivos s sistemas diseñados para proteger el personal,

ambiente, procesos, equipos y activos de un evento no deseado. Las protecciones críticas
funcionales son un componente vital de los sistemas de seguridad. Ellos están diseñados e
instalados para garantizar operaciones seguras, confiables y ambientalmente racionales. Las
protecciones críticas consisten de hardware y software lo cual incluye, pero no está limitado
a lo siguiente:

o Dispositivos o sistemas de shutdown tales como válvulas de seguridad de Presión

Bajo Bajo (PSLL), Presión Alto Alto (PSHH), Shutdown de Emergencia (ESD), etc.
o Dispositivos de supresión y detección de fuego y gas tales como bombas contra
incendios, sistemas de diluvio, lazos fusibles, sistemas de extinción de incendios con
CO2, etc.
o Válvulas de Seguridad de Presión (PSV), Válvulas de Purga (BDV) y válvulas
asociadas.
o Válvulas manuales de seguridad críticas que son (normalmente) bloqueadas
abiertas o cerradas.
o Protecciones de seguridad, limitadores de sobre velocidad, detectores de flama y
sistemas de seguridad similares.

Monitoreo efectivo.- El monitoreo efectivo, en estricto rigor, toma el lugar de la protección

crítica. Un monitoreo individual debería ser habilitado manualmente para proveer el mismo
nivel de protección que la(s) protección(es) crítica(s) de manera oportuna para prevenir un
evento no deseado.

Indicador / Etiqueta.- Una placa removible colgada que identifica el estatus de un

dispositivo de protección crítico. Las etiquetas deben ser utilizadas sobre dispositivos o
componentes bypasseados o temporalmente fuera de servicio.

En servicio.- El dispositivo o componente que está ejecutando su función diseñada.

Capas de Protección (LOPs) o Lineas de Defensa (LODs).- Medidas de prevención y

mitigación de accidentes mayores. Estas LOPs sirven bien para prevenir que un evento
iniciador escale hasta un incidente, o para mitigar las consecuencias de un incidente una vez
que este ocurre.
 Mantenimiento.- Ajustes o reparaciones típicamente de una corta duración (por ejemplo
15 minutos) que pueden ser ejecutados sin comprometer el monitoreo efectivo.

Fuera de servicio.- Un dispositivo o componente está fuera de servicio (OOS) cuando este
no está siendo usado para ejecutar su función diseñada, y está apropiadamente aislada
mediante la aplicación del estándar de Aislamiento de Energía Peligrosa.

Protección Aislada Apropiadamente.- Los dispositivos y sistemas de protección están

aisladas apropiadamente o desconectadas por medios de aislamiento positivo; por ejemplo,
una brida ciega para prevenir la transferencia o comunicación de algún fluido.

Persona Calificada.- Una persona que completado satisfactoriamente el programa de

entrenamiento en los sistemas de seguridad de las operaciones de producción y está
familiarizado con los procedimientos de monitoreo específicos de la facilidad. Una persona
que no ha recibido el entrenamiento requerido debería ser supervisado por una persona
calificada cuando esté encargado de instalar, probar, inspeccionar, bloquear, bypassear,
monitorear o realizar el mantenimiento de protecciones críticas.

Sitio Remoto.- Locación o plataforma controlada remotamente desde la planta utilizando

un SCADA (Control Supervisorio y Adquisición de Datos).

Monitoreo Remoto.- Monitoreo de parámetros de operación sobre un sitio remoto por una
persona calificada en una locación central por medio de un sistema de telecomunicaciones
tal como un SCADA.

Prueba.- El proceso de validación del punto de ajuste y/o funcionalidad de un dispositivo o

sistema.
Temporalmente Fuera de Sevicio.- Un componente está temporalmente fuera de servicio
cuando está en stand by, shutdown o No está en uso, pero cuando es necesitado, puede
fácilmente ser retornado a servicio. Esos componentes NO están aislados de las facilidades
de producción.

4. Requerimientos de Roles, Responsabilidades y Capacitación

Estos roles deberían estar claramente definidos y el personal debería cumplir con los
requisitos de capacitación y competencia de este estándar antes de iniciar su trabajo. Enap
es responsable de establecer la metodología para alcanzar la competencia requerida.
Cuando se seleccione personal para estos puestos de trabajo, se debe considerar su nivel de
experiencia y su desempeño anterior.

El bypass de dispositivos críticos sólo puede ser realizado por Personal Calificado.

6.1 Capacitación Inicial

El personal debería cumplir con los requisitos de competencia de esta práctica

estandarizada de trabajo seguro antes de iniciar su trabajo. Refiérase a la Herramienta
de Detección de Necesidades de Capacitación de Enap.
 6.2 Capacitación de actualización

La capacitación de actualización se debe proporcionar de la siguiente manera:

o Conforme las regulaciones aplicables o las políticas de Enap.

o Cuando sea requerido en base a verificaciones, inspecciones, incidentes o
auditorías.

5. Instrucciones estándar

Cuando el trabajo considere el bypass de dispositivos de protección críticos, siempre

considere si existe una alternativa viable para realizar un bypass mientras el dispositivo está
en operación o el proceso está en shut down.

5.1 Pasos para realizar un bypass

Los siguientes pasos deben ser seguidos cuando se coloque un dispositivo de protección
crítico en bypass:
1. Identifique los dispositivos de protección crítica a ser temporalmente bypasseados.
2. Obtenga las aprobaciones para bypassear los dispositivos.
3. Etiquete los dispositivos a ser bypasseados.
4. Ejecute el bypass
5. Monitoree las funciones bypasseadas o bloqueadas.
6. Complete las actividades de arranque, apagado, operación, mantenimiento o
pruebas.
7. Retorne a servicio normal el dispositivo o sistema de protección crítica, y verifique
su funcionalidad.
8. Revise / verifique la finalización del trabajo y notifique al personal involucrado antes
de remover los bypasses y etiquetas.

5.2 Evaluación y Manejo de Peligros

El byass de protecciones críticas debe ser gestionado bajo los estándares de Manejo
Seguro del Trabajo y Permisos de Trabajo.

Nota: Para bypasses de largo plazo, los estándares de Aislamiento de Energía

Peligrosa y Manejo del Cambio deben ser consultados.

Un análisis de peligros debería ser realizado para evaluar el potencial de las

consecuencias y efectos previo a la aplicación de bypasses, inhibiciones /
anulaciones, forzamientos o des habilitaciones. Esto incluye el uso de algún bypass
que es requerido para el arranque de la planta que no debe estar apagado o que no
debe volver a estado activo cuando la planta retorne a condición normal de
operación.

Un análisis que ha sido previamente usado para este propósito puede ser usado de
nuevo, siempre que haya sido revisado, actualizado y aprobado como vigente.
 Un análisis de peligros completo puede indicar que la anulación, inhibición o
forzamiento no puede ser aplicada de manera segura, o que se requiere otro análisis
detallado de peligros en consulta con otros expertos en la materia.

5.3 Administración y Control de Bypass

5.3.1 Capas de Protección

Las capas de protección deben ser considerados antes del bypasseo de algún
dispositivo o sistema de protección crítico. Se debería mantener el número
mínimo de capas de protección para que actúe ante cualquier evento iniciador,
en cualquier momento del bypasseo de dispositivos o sistemas de protección
críticos.

La jerarquía de las capas de protección debería iniciar con el diseño (seguridad

intrínseca). Asumiendo el diseño cumpla con los estándares de Enap, la
siguiente capa de protección a considerar es el control.

5.3.2 Minimizar el personal y dispositivos de protección críticos en Bypass al mismo

tiempo

Sólo un mínimo número de dispositivos de protección críticas debería ser

bypasseado al mismo tiempo.

El número de personas que monitorean los dispositivos de protección en lugar

de una protección automática se mantendrá en mínimo absoluto.

A cualquier persona que se le solicite realizar la función de un dispositivo de

protección crítica, mientras el dispositivo de protección está en bypass debe
conocer y comprender los procedimientos relacionados con este tipo de
monitoreo.

Si se cumplen los requisitos de la sección 5.2 Evaluación y gestión de riesgos, los

dispositivos o sistemas de protección pueden ser bypasseados para permitir que
se realicen las tareas de arranque, mantenimiento o prueba.

Aunque puede ser conveniente anular los dispositivos de protección crítica

extras, para prevenir los cierres molestos o usar la “anulación grupal”, el uso de
tales dispositivos grupales no está permitido.

Tan pronto como se complete la tarea, el dispositivo de protección debe volver

a ponerse en servicio. Retire el indicador / etiqueta y notifique al personal
involucrado.

5.3.3 Identificación de Dispositivos de Protección Críticos en Bypass

Los dispositivos de protección críticos que han sido bypasseados deberían ser
identificados por un indicador o etiqueta de bypass junto al punto de
aislamiento o bypass.
 Las facilidades de Enap deberían identificar dispositivos o sistemas bypasseados
con por lo en menos dos métodos de identificación. Dos de estos tres se pueden
usar en cualquier combinación: registro de bypass, etiqueta y/o panel de
visualización de bypass.

Los sistemas o dispositivos temporalmente fuera de servicio deberán estar

etiquetados como “temporalmente fuera de servicio”. Estos indicadores o
etiquetas deberán ser colocadas a los dispositivos bypasseados donde ellos se
encuentren ubicados, tales como un panel de control local, válvula de
aislamiento, etc.

El propósito de este indicador o etiqueta es alertar / recordar visualmente al

personal que una protección crítica está en bypass.

5.3.3.1 Etiquetas personales

Se debe proporcionar un número suficiente de banderas / etiquetas de bypass
a cada persona calificada. Estos indicadores / etiquetas deberán contabilizarse
al final de cada turno de trabajo. Este requisito tiene los siguientes beneficios:

- Brinda disponibilidad inmediata de indicadores / tags

- Provee confiabilidad implícita de que solo un mínimo número de
dispositivos puede ser bypasseado.
- Sirve como un recordatorio para que el personal calificado revise el
trabajo diario y contabilice las etiquetas de los dispositivos en bypass.

5.3.3.2 Panel de visualización de Etiquetas de Bypass

El panel de visualización puede ser usado como otra medida de control y
comunicación. El panel deberá estar ubicado en el control room de cada
facilidad o en la ubicación que se considere más efectiva por el grupo de trabajo.
El panel de visualización de bypass provee de las siguientes ventajas:
- Las etiquetas son de fácil acceso en cualquier momento en que un
dispositivo o sistema de protección crítica necesite ser bypasseado.
- El panel de visualización de etiquetas alertará al personal que una
dispositivo o sistema protección crítica está en bypass si el indicador /
etiqueta está ausente o falta en el panel.
- El panel de visualización de etiquetas sirve como un recordatorio para
que el personal revise el trabajo diario y tenga en cuenta los
dispositivos o sistemas de protección críticas etiquetados en bypass.

5.3.3.3 Registro de Bypass

El Registro de Bypass puede ser usado como otra medida de control y

comunicación. El registro debe ser ubicado en el control room de cada facilidad
o en la ubicación que se considere más efectiva por el grupo de trabajo. El
Registro de Bypass de Protecciones Críticas se muestra en el Anexo 1.

El registro de bypass provee de las siguientes ventajas:

 - El registro sirve como un recordatorio para que el personal revise el
trabajo diario y tome en cuenta los dispositivos o sistemas de
protección críticos etiquetados en bypass.
5.3.4 Etiquetado Secundario

Un dispositivo de etiquetado secundario debe ser instalado en el frente de un

panel de control auxiliar de tal forma que esté claramente visible si la condición
o el modo de operación de un dispositivo de protección crítico en bypass no
puede ser fácilmente visto (por ejemplo, válvulas de aislamiento que están
dentro de un panel de control, paneles esclavos, relés cubiertos, paradas de
emergencia en una zona de carga, etc.)

5.3.4.1 Monitoreo Específico en Sitio

Cualquier dispositivo de protección crítico sobre una parte del equipo que no
tiene un dispositivo igual y redundante para detectar la misma condición
debería ser continuamente monitoreado por una persona(s) calificada(s) en sitio
mientras el dispositivo esté en bypass.

Cuando una persona calificada está monitoreando un dispositivo de protección

crítico en bypass, el o ella está tomando el lugar del dispositivo de protección
crítico, y debería estar habilitado para manualmente proveer el mismo nivel de
protección que el dispositivo de protección crítico de manera oportuna para
evitar un evento no deseado. El personal calificado debería monitorear las
funciones bloqueadas o en bypass hasta que el dispositivo o sistema de
protección se haya puesto en servicio.

La autoridad del área en sitio determinará el proceso, procedimiento, y número

de personas requerido para proveer monitoreo efectivo de cada uno de los
dispositivos o sistemas que están en bypass. Monitoreo efectivo puede ser
conducido por una persona sobre más de un dispositivo de protección crítico
ubicado en la misma, siempre que la persona pueda moverse libremente
alrededor del área común del equipo y monitorear efectivamente más de un
proceso simultáneamente.

El personal calificado encargado de realizar el bypass de dispositivos o sistemas

de protección crítica será el responsable por contestar las siguientes preguntas:

- Cuál es la variable de proceso monitoreada?

- Qué dispositivo será utilizado para monitorear la variable de proceso?
- Cómo será controlado el proceso?
- En qué momento debería reaccionar la persona calificada para prevenir
un evento no deseado?
- Proveerá este procedimiento el mismo nivel de protección que un
dispositivo de protección crítico?
- Cuántas personas son requeridas para monitorear efectivamente el
sistema / equipo en bypass?
 Nota: Esto no es necesario para monitorear la función del sistema o dispositivo
de protección crítico en bypass, el cual ha sido puesto fuera de servicio. Sin
embargo, las válvulas de seguridad sobre cualquier componente fuera de
servicio deberían ser dejadas en operación, mantenidas o probadas de acuerdo
con las políticas de la compañía o requisitos regulatorios aplicables.

5.3.4.2 Monitoreo Remoto

En algunas ocasiones, puede ser necesario realizar el bypass de dispositivos o

sistemas de protección críticos, y monitorear los parámetros de operación
usando el sistema de Control Supervisorio y Adquisición de Datos (SCADA). La
única ocasión en que los dispositivos o sistemas de protección crítica en bypass
pueden ser bypasseados o monitoreados remotamente es cuando se cumplen
todas las siguientes condiciones:

- El operador que controla el SCADA necesita colocar el dispositivo o

sistema de protección crítico en bypass sólo como parte de una
actividad de arranque o reinicio.
- Las comunicaciones vía radio deben ser mantenidas en todo momento
entre la persona en la locación remota y el operador que controla el
SCADA.
- El operador que controla el SCADA puede solamente monitorear un
número mínimo de dispositivos de protección crítica. Si múltiples
dispositivos o sistemas de protección son monitoreadas, el operador
que controla el SCADA debería estar habilitado para ver los datos
correspondientes sobre una pantalla del SCADA.
- El dispositivo o sistema de protección crítico en bypass debería retornar
a servicio inmediatamente después de que este ha sido liberado y el
proceso se ha estabilizado.
- No está permitido el monitoreo remoto de dispositivos o sistemas de
protección críticos con desactivación mecánica (por ejemplo, “anclar”
un relé neumático).
- Se pueden requerir otros lineamientos específicos del lugar. Estos
deben ser documentados y mantenidos en la instalación controlada
remotamente.

5.4 Monitoreo y Auditoría

Monitoreos de rutina y auditorías deben ser realizadas para asegurar que este
estándar se está aplicando apropiadamente.

El supervisor responsable del área de trabajo debe monitorear y realizar auditorías

periódicas para revisar la integridad del procedimiento de bypass. Se puede utilizar
la Hoja de Auditorías de Protecciones Críticas en Bypass mostrada en el Anexo 2.

6. Registros
 6.1 Registros Requeridos
Los siguientes registros deben ser mantenidos:
- Copias de los permisos y documentación asociada debe ser mantenida
de acuerdo al estándar de Permisos de Trabajo.

6.2 Requisitos de Retención

Los documentos deben ser retenidos según como sea requerido por la regulación
local, política de Enap, o por un mínimo de seis meses, lo que sea más exigente.

7. Referencias

 Herramienta para detección de requerimiento de necesidades de

entrenamiento.
 Estándar de aislamiento de Energía Peligrosa

8. Otros Documentos Guía

 American Petroleum Institute (API) Recommended Practice (RP) 14-C, Safety

Analysis for Production Platforms

9. Control de Documentos

Tabla 1.- Control de documento

Descripción
Fecha de aprobación
Próxima revisión
Número de control

Tabla 2.- Historial de cambios del documento

No. Versión Fecha Notas

Apéndice A - Registro de Bypass de Protecciones Críticas

Fecha de Hora de Operador en Turno Número Descripción Razón del Bypass Fecha de Hora de Operador en Turno
Bypass Bypass de Tag Regreso a regreso a
Servicio servicio

Para este relevo:

Yo he revisado y confirmado que este Registro de Bypass es correcto y actualizado.

Persona saliente del turno – Nombre: ____________________ Firma: ____________________ Fecha: __________ Hora: __________

Persona entrante al turno – Nombre: ____________________ Firma: ____________________ Fecha: __________ Hora: __________
Apéndice B – Hoja de Auditoría a Bypass de Protecciones Críticas

Aspecto verificado Si / No Comentarios

(Obligatorios cuando la respuesta es Si)
Está clasificado correctamente el bypass, forzamiento, inhibición o anulación?
Está completo y documentado correctamente el Análisis de Riesgos del bypass, forzamiento,
inhibición o anulación?
Se dio el nivel de autorización apropiado antes de que el bypass se ejecutara?
Los registros de bypass, forzamiento, inhibición o anulación reflejan el estatus real de la inhibición
del equipo y reflejan correctamente el estatus del Análisis de Riesgos realizado?
Están identificadas las medidas de control en sitio?
Han sido identificadas las acciones a ser tomadas en el evento de disparo de una alarma real en
un dispositivo en bypass, forzado, anulado o inhibido?
Están etiquetados o identificados los sistemas o dispositivos en bypass?
Están correctamente aprobadas las inhibiciones / anulaciones que han sido removidas?
El personal entrante o saliente ha revisado y aprobado el Registro de Bypass?

Identifique alguna inhibición / anulación que esté continuamente en uso o frecuentemente instalada y demanda el soporte de Ingeniería para una
solución.

Acciones correctivas requeridas: _____________________________________________________________________________________________

________________________________________________________________________________________________________________________

Comentarios generales: ____________________________________________________________________________________________________

________________________________________________________________________________________________________________________

Auditado por (Escriba su nombre): __________________________ Firma:_________________________ Hora: ________ Fecha: ________

Nota: Si es necesario adjunte copias de los documentos relevantes.