El análisis de barreras es un modelo de causalidad que estructura el pensamiento del investigador bajo una premisa concreta, partiendo de la idea en la que un evento no deseado ocurre cuando una fuente de daño interactúa directamente con un objetivo vulnerable, y esa interacción se consuma únicamente porque las barreras diseñadas para impedirla han desaparecido, han fallado o resultaron ineficaces. Al ser más que una técnica de análisis en sí misma, conforma un esquema conceptual que condiciona la forma en que el equipo enmarca el problema antes de elegir las herramientas de verificación; al adoptarlo, el foco del análisis se desplaza de la pregunta genérica de qué salió mal hacia una interrogante más útil y accionable como ¿qué defensa del sistema cedió, en qué condiciones lo hizo y cómo puede evitarse su repetición?

En entornos industriales donde maquinaria, personas y energías peligrosas coexisten de forma continua, disponer de un método que mapee sistemáticamente la relación entre el peligro y el blanco alcanzado resulta determinante; pues de diferentes perspectivas en cada proceso de alta presión, cada sistema eléctrico de potencia o cada línea de transporte de fluidos corrosivos operan bajo asumiendo que varias capas de protección actúan de manera simultánea, y cuando ocurre un incidente rara vez se debe a la falla de una sola barrera, sino más bien a la ausencia o al fallo concurrente de varias de ellas; el modelo de barreras nos da esa estructura analítica que refleja esa realidad y desde ahí se explica su relevancia para la ingeniería de confiabilidad y la investigación de incidentes en activos críticos.

La ejecución del análisis se apoya en una hoja de trabajo que documenta, para cada salida no deseada, la fuente de daño involucrada, las barreras que deberían haber intervenido, el mecanismo por el que cada una falló y la evaluación de por qué estaba ausente, y si era débil o resultó ineficaz; este proceso puede ejecutarse de forma independiente o como complemento de técnicas deductivas como el árbol lógico de fallas o los cinco porqués, ampliando el alcance del análisis sin reemplazar ninguna herramienta.

El objetivo ideal al aplicar este modelo es generar acciones correctivas dirigidas a restablecer, fortalecer o añadir defensas donde el sistema demostró no tener suficiente protección; y cerrar brechas concretas mediante medidas verificables y priorizadas antes de que el evento pueda repetirse, asegurando responsabilidades claras, seguimiento y la incorporación de las lecciones aprendidas en los procesos operativos y de gestión.

Fundamentos del análisis de barreras en la gestión de riesgos

Los conceptos que sustentan este modelo tienen su origen en los trabajos de Haddon (1973), quien propuso que los eventos adversos en entornos industriales ocurren cuando una fuente de energía física pierde su contención y alcanza un objetivo no protegido; las barreras, bajo esa visión, son mecanismos diseñados para modificar la magnitud de esa energía o interrumpir su trayectoria antes de que impacte al blanco. La norma IEC 62740 adoptó este enfoque e incorporó el modelo de barreras como una de las opciones de causalidad disponibles dentro del proceso estructurado de un RCA en la fase de análisis, integrándolo en marcos formales de investigación de incidentes.

Lo que hace útil al modelo no es solo categorizar qué protección falló, sino determinar el estado de cada barrera en el momento del evento; esto se demuestra al distinguir tres condiciones posibles: la barrera desaparecida cuando nunca se instaló o fue removida, barrera fallida cuando estuvo presente, pero perdió función, y barrera ineficaz cuando operó dentro de sus parámetros, pero no contuvo la magnitud del daño. Diferenciar estas condiciones permite orientar la acción correctiva con precisión porque no es lo mismo diseñar una barrera nueva que reparar una existente o redimensionar una que resultó subdimensionada para la demanda real del proceso.

El modelo de interacción entre el peligro y el activo vulnerable

Al aplicar el análisis de barreras, el primer paso es identificar con claridad los dos extremos del sistema: la fuente de daño y el objetivo. La fuente puede ser energía mecánica, térmica, química, eléctrica o de presión. El objetivo es el elemento afectado: un componente del equipo, un operador, una instalación o el proceso productivo en conjunto. Entre ambos extremos existe una trayectoria, y es a lo largo de esa trayectoria donde se ubican —o deberían ubicarse— las barreras.

Al aplicar el análisis de barreras, el primer paso es identificar con claridad los dos extremos del sistema, es decir la fuente de daño y el objetivo.

La fuente puede ser energía mecánica, térmica, química, eléctrica o de presión. El objetivo es el elemento afectado, por ejemplo un componente del equipo, un operador, una instalación o el proceso productivo en su conjunto. Entre ambos extremos existe una trayectoria y es a lo largo de esa trayectoria donde se ubican o deberían ubicarse las barreras, y se puede demostrar que su correcta disposición y estado determinan la probabilidad de que la energía alcance el blanco. Por tanto, identificar con precisión cada extremo y la trayectoria te permite orientar el mapeo de defensas y priorizar las intervenciones.

Un ejemplo que la norma utiliza ilustra claramente esta dinámica: un trabajador afloja las tuercas de una brida en una línea presurizada sin haber despresurizado el sistema, por tanto la fuente de daño es el líquido a presión y el objetivo es el trabajador; las barreras administrativas y físicas que deberían haber interrumpido la trayectoria, como el procedimiento de despresurización, el etiquetado del sistema y el permiso de trabajo, o no estaban disponibles o fallaron en su propósito, y esto demuestra que el evento ocurrió porque esas defensas no cumplieron su función, siendo el etiquetado poco claro la valoración que explica por qué el mecanismo de liberación de presión no pudo ejecutarse.

Entender la dinámica de la interacción en esos términos orienta el análisis hacia preguntas técnicamente productivas que guían la investigación: ¿cuántas barreras había en la trayectoria? ¿Cuáles estaban activas? ¿Cuál fue la primera en fallar y por qué? Estas preguntas estructuran la hoja de trabajo y evitan que el análisis se quede en una descripción superficial del accidente, pues te permiten priorizar intervenciones según la evidencia y la causa raíz identificada.

Diferencia crítica entre defensas físicas y administrativas

Las barreras se dividen en dos categorías principales y esa distinción condiciona las acciones correctivas; por tanto, identificar correctamente la categoría te permite decidir si la medida requerida es técnica, organizativa o ambas.

• Barreras físicas o de energía: son aquellas tangibles y se ejemplifican como; válvulas de alivio de presión (PSV), dispositivos de enclavamiento, guardas mecánicas, blindajes térmicos, sistemas automáticos de detección y supresión, alarmas instrumentadas y equipos redundantes. Su fallo suele ser verificable mediante inspecciones directas, pruebas funcionales o análisis de laboratorios de modo que la evidencia física orienta a reparar, sustituir o redimensionar equipos.

• Barreras administrativas: operan sobre el comportamiento humano y los sistemas de gestión e incluyen procedimientos, permisos de trabajo, señalización, programas de formación, planes de mantenimiento, políticas organizacionales y prácticas de supervisión. Su eficacia se evidencia en registros, cumplimiento y conducta, y su fallo suele señalar deficiencias sistémicas como instrucciones ambiguas, formación insuficiente o presiones de producción; comparar la evidencia física con la documental y las declaraciones permite, como se puede demostrar, priorizar medidas verificables y sostenibles en el tiempo.

Funcionalmente, ambas categorías pueden clasificarse además según su propósito operativo en tres niveles:

Primero están las de prevención, que buscan evitar que la fuente de daño se active o se libere, luego las de protección, que contienen la energía una vez liberada, y finalmente las de detección, que nos alertan sobre la desviación para posibilitar la intervención a tiempo.

Por ejemplo, un detector de gas corresponde a detección, una PSV a protección y un sistema de gestión del cambio bien implementado a prevención. Mapear las barreras con esta lógica enriquece el diagnóstico porque permite identificar vacíos en cualquiera de los niveles y como se puede demostrar priorizar medidas verificables y sostenibles para cerrarlos.

Proceso estructurado para evaluar las salvaguardas operativas

La hoja de trabajo de análisis de barreras es el instrumento central del modelo y cada fila corresponde a una salida no deseada; las columnas, a su vez, guían el proceso desde la identificación del problema hasta la evaluación del estado de cada defensa. No es necesario que los eventos se registren en orden cronológico en el registro inicial, pero sí es fundamental que se analicen de forma individual y que no se agrupen situaciones distintas bajo una misma entrada.

Antes de comenzar a llenar la hoja, el equipo debe haber completado la recolección de evidencias. Los datos del CMMS, los registros del SCADA, los testimonios del personal involucrado, las fotografías del componente o sistema que ha fallado y los registros de documentación sobre certificados de mantenimiento previos (en estos últimos serían certificados de aprobación desde el estado de equipos físicos y sus componentes con sus ajustes de rendimiento y calibración, a través de diferentes tipos de inspecciones, que pueden llegar o no a utilizar pruebas no destructivas y de presión con el objetivo de llegar a un nivel de conformidad) que ayudan a proporcionar el contexto operativo que otorga validez y trazabilidad a cada conclusión del análisis.

Identificación de los flujos de energía destructiva en el sistema

El segundo campo de la hoja exige precisar la fuente de daño involucrada. Definirla correctamente no es trivial porque llamar a la fuente “el equipo” o “el proceso” resulta impreciso; lo que se requiere es identificar la forma de energía o el agente físicoquímico concreto: por ejemplo, presión manométrica por encima del límite de diseño, temperatura que superó la resistencia del material del sello o vibración de alta amplitud que fatigó los pernos de anclaje. Esa precisión determina directamente qué barreras son pertinentes para cada caso.

A partir de la fuente de daño identificada, el equipo lista todas las barreras físicas y administrativas que deberían haber interrumpido la trayectoria hacia el objetivo. Con frecuencia en este paso aparecen defensas ausentes que nunca figuraron en ningún documento de diseño; se trata de protecciones que el proceso requería pero que la ingeniería original no contempló. Identificar esas ausencias resulta tan valioso como detectar los fallos de lo que sí estaba instalado.

Metodología para auditar el desempeño de las capas de protección

Para cada barrera listada, la hoja registra el mecanismo de fallo, es decir la descripción técnica de cómo cedió la defensa. Esta columna no busca asignar culpa sino ofrecer una explicación causal, por ejemplo que la presión se liberó en el sistema equivocado por etiquetado ambiguo, que el enclavamiento no actuó porque su lógica de control fue modificada sin revisión formal o que el operador no siguió el procedimiento porque la versión disponible en campo estaba desactualizada. Cada mecanismo abre una línea de investigación hacia la causa subyacente.

La última columna registra la valoración de la barrera: determina si estaba desaparecida, era débil estructuralmente o resultó ineficaz ante la magnitud de la demanda. Este tipo de valoración conecta directamente con la acción correctiva. Así, una barrera desaparecida requiere diseño e implementación nuevos, una fallida puede requerir mantenimiento o rediseño del componente y una ineficaz demanda redimensionamiento o sustitución por una de mayor capacidad de retención.

Integración de las barreras vulneradas con la investigación deductiva

La IEC 62740 reconoce una limitación clara del análisis de barreras; pues el modelo aborda los factores causales inmediatos, identifica qué barrera falló y cómo, pero no profundiza en el porqué organizacional o latente que condujo a ese fallo; por ello se demuestra que el método funciona mejor como punto de partida dentro de una investigación más amplia que utiliza el apoyo de las técnicas del análisis causa raíz y no como la única herramienta del análisis.

Otro límite documentado es que no siempre se identifican todas las barreras fallidas o desaparecidas, especialmente las que nunca fueron formalizadas, y tampoco se considera la frecuencia con que cada defensa es exigida operativamente. (como con una válvula de alivio que actúa con alta frecuencia acumula un desgaste que no es visible en la hoja si solo se evalúa su estado en el momento del evento).

Para compensar esas limitaciones, el análisis de barreras se integra con otros modelos causales y así se amplía la mirada; por ejemplo, el Modelo de Reason representa cada barrera como una capa de defensa con agujeros latentes y se puede demostrar que los fallos activos ocurren cuando esos agujeros se alinean a través de las capas, lo que conecta los fallos de barrera con las condiciones organizacionales que los hicieron posibles y abre el análisis hacia las causas sistémicas que el modelo de barreras por sí solo no alcanza; además, la metodología Tripod Beta enlaza las barreras vulneradas con los factores básicos de riesgo presentes en la organización, como entornos de trabajo mal diseñados, procedimientos inadecuados, mantenimiento deficiente de equipos y formación insuficiente del personal, y de ese modo se demuestra cómo las debilidades organizacionales facilitan la aparición y la propagación de fallos.

El mapa de barreras fallidas y desaparecidas que se obtiene es uno de los insumos más accionables que puede entregar un equipo a la gerencia. Al saber identificar exactamente qué defensas faltaban y en qué condición se encontraba cada una, disponemos del punto de partida más concreto para priorizar inversiones en seguridad y confiabilidad, y ese nivel de claridad no puede subestimarse, pues demuestra ser imprescindible para orientar recursos y decisiones y evitar que las acciones correctivas se basen en suposiciones.

Concretando estas ideas, lo que hace al análisis de barreras especialmente valioso dentro de un RCA no es únicamente su profundidad causal más que todo es su claridad operativa.

Ejemplo práctico de evaluación de barreras en planta

Planteamiento de una pérdida de contención en un activo presurizado

El recipiente de proceso clasificado como activo crítico según ISO 14224 operaba a 18 bar manométricos en un sistema de almacenamiento de gas de síntesis y, como consecuencia, se produjo una pérdida de contención súbita en la brida de descarga; lo detectó el operador de turno al observar una nube de vapor durante una ronda de inspección y, a continuación, los sistemas automáticos de venteo interrumpieron el proceso; sin embargo el incidente dañó el aislamiento térmico adyacente y por tanto se activó el protocolo de evacuación parcial del área, lo que se puede demostrar como secuencia de hechos relevante para la investigación y para priorizar las acciones correctivas.

El evento focal se define como la pérdida de contención del fluido en la brida de descarga bajo condiciones nominales de operación, la fuente de daño fue el gas a presión elevada y el objetivo incluyó las instalaciones adyacentes y el personal de turno. A partir de ese escenario el equipo identificó las barreras que debían interrumpir la trayectoria hacia el objetivo: válvula de alivio de presión (PSV) en la línea de descarga, sistema de detección de gas por sensor fijo en la zona y procedimiento operativo de verificación de condiciones antes de intervenir líneas presurizadas.

Esto se puede demostrar como el punto de partida para evaluar mecanismos de fallo y priorizar acciones correctivas, y usted dispone de una base concreta siempre que cada afirmación se respalde con evidencia operativa y documental.

Verificación técnica de las defensas caídas y hallazgo de la causa raíz

• Primero se planteó la hipótesis de que la PSV había actuado fuera del rango de calibración y por ello la presión superó el límite de diseño de la brida; a continuación, se extrajo la válvula y se sometió a prueba en banco y el resultado mostró que operaba dentro de tolerancias con presión de apertura en ±3% del valor de ajuste, por tanto, la hipótesis queda descartada por evidencia técnica directa y se demuestra que la investigación debe orientar su siguiente línea hacia otras causas.

• La segunda hipótesis señalaba que el sensor no alertó con suficiente anticipación y la revisión del SCADA permite demostrar que la alarma de nivel 1 sí se generó pero fue suprimida manualmente desde la consola 47 minutos antes del evento durante una prueba de instrumentación y no se restauró al finalizar; por tanto el sensor no falló sino que fue deshabilitado, de modo que la barrera de detección estuvo presente en diseño pero quedó temporalmente ausente por una acción humana y además no existía un enclavamiento que impidiera esa supresión durante la operación normal del proceso, lo que abre la línea de investigación hacia permisos de prueba, procedimientos de restablecimiento y controles que eviten deshabilitaciones inadvertidas.

• La tercera hipótesis apuntaba al procedimiento de intervención mecánica y al revisar el permiso de trabajo emitido para la inspección visual de bridas programada ese día se constató que el formato vigente no incluía un campo para verificar el estado del sistema de detección antes de autorizar el ingreso al área; en consecuencia el operador cumplió el procedimiento tal como estaba redactado y la barrera procedimental, aunque existente, resultó estructuralmente incapaz de compensar la ausencia temporal de la defensa de detección, lo que orienta la investigación hacia la necesidad de incorporar verificaciones explícitas y controles que eviten dependencias no respaldadas por el formato.

La valoración final estableció que la barrera de detección estaba desaparecida en el momento del evento porque la alarma fue suprimida sin protocolo de restauración documentada, y que la barrera administrativa resultó ineficaz por diseño al no contemplar esa condición como requisito previo; por tanto se demuestra que la causa raíz latente fue la ausencia de un control que impidiera la supresión de alarmas de proceso sin un análisis formal de riesgo y sin la restauración registrada antes del fin de turno, y ello orienta la priorización de medidas que garanticen que cualquier desactivación temporal requiera evaluación de riesgo, autorización formal y evidencia de restablecimiento antes de reanudar operación normal.

Se propusieron tres acciones correctivas principales: primero, implementar un enclavamiento lógico (es una especie de control lógico) que exige autorización supervisada para suprimir alarmas en áreas clasificadas, de modo que cualquier desactivación temporal quede condicionada a autorización y registro; segundo, actualizar el formato de permisos de trabajo para incluir la verificación obligatoria del estado de los sistemas de detección como condición previa de entrada, lo que se puede demostrar como medida para evitar que un permiso valide una intervención cuando falta una defensa crítica; y tercero, establecer un registro formal de supresiones activas visible desde la consola del operador en todo momento, de manera que la presencia o ausencia de cada barrera sea trazable y permita restauraciones documentadas antes del fin de turno; en conjunto estas medidas facilitan la prevención de supresiones no autorizadas, mejoran la redundancia procedimental y proporcionan evidencia operativa para auditorías y priorización de inversiones.

Conclusión

El análisis de barreras logra mapear con claridad qué defensas fallaron entre la fuente de daño, la trayectoria y el objetivo y por tanto elimina la ambigüedad de enfoques centrados solo en el componente fallado; además convierte la hoja de trabajo en un insumo operativo que la gerencia puede transformar en decisiones de inversión concretas sin intermediarios técnicos.

Sin embargo esto se demuestra insuficiente para explicar las razones organizacionales que permitieron la ausencia o el fallo de esas defensas, de modo que se puede demostrar la necesidad de complementar el mapa con modelos como Reason o Tripod Beta para alcanzar causas latentes; al combinar enfoques el inventario de fallas pasa a ser la puerta de entrada de un diagnóstico que conecta la rotura física con decisiones de diseño, cultura y gestión.

En la práctica los equipos que integran este método desarrollan una mirada sistémica y aprenden a vigilar las barreras con la misma rigurosidad que el comportamiento mecánico de los equipos; como resultado, activos con barreras bien mantenidas, documentadas y auditadas reducen la cadena de incidentes potenciales, mejoran la disponibilidad y aumentan la capacidad real de intervención antes de que el daño se materialice.