Tesis de Universidad Nacional de Ingenieria2

UNIVERSIDAD NACIONAL DE
INGENIERIA
FACULTAD DE INGENIERIA MECANICA
SECCION DE POSTGRADO
PLAN DE TESIS
AUDITORIA A LOS SISTEMAS INSTRUMENTADOS DE SEGURIDAD

FUNCIONAL Y SU INCIDENCIA EN LA MEJORA DE LA CONFIABILIDAD EN
PLANTAS DE PROCESO CONTINUO (2015 2016).
MAESTRIA: GERENCIA E INGENIERIA DE MANTENIMIENTO
AUTOR
: ROGER MARTIN VIVANCO REBAZA
LIMA, DICIEMBRE - 2015
INDICE
INDICE.......................................................................................................................ii
INDICE DE FIGURAS..............................................................................................vi
INDICE DE TABLAS................................................................................................vii
I.
TITULO...............................................................................................................1
II.
NOMBRE DEL GRADUANDO...........................................................................1
III.
AMBITO DEL DESARROLLO DE LA INVESTIGACION................................1
IV.
DESCRIPCION DEL PLAN.............................................................................1
4.1.
ANTECEDENTES BIBLIOGRAFICOS.......................................................1
4.1.1.
TESIS DE MAESTRIA: LA SEGURIDAD FUNCIONAL EN LA
INDUSTRIA DE PROCESOS: CONCEPTOS Y METODOLOGIAS DE

DISEO.............................................................................................................2
4.2.
DESCRIPCION DE LA REALIDAD PROBLEMTICA..............................11
4.4.
MARCO TEORICO....................................................................................50
4.4.1.
Seguridad Funcional...........................................................................50
4.4.2.
Funciones
Instrumentadas de
Seguridad (Safety Instrumented
Function, SIF)..................................................................................................50
4.4.3.
Nivel de Integridad de Seguridad (Safety Integrity Level, SIL)...........51
4.4.3.1.
Sistemas Instrumentados de Seguridad (Safety Instrumented
System, SIS)...............................................................................................51
4.4.3.2.
Sistemas
de
Control
como
Sistemas
Relacionados
con
Seguridad......................................................................................................52
4.4.3.3.
Evaluacin de seguridad y confiabilidad.....................................53
4.4.3.4.
Guas Industriales, Estndares y Regulaciones.........................55
4.4.3.5.
Capas de proteccin....................................................................57
4.4.3.6.
Capas de Prevencin:.................................................................58
2
4.4.3.7.
Capas de Mitigacin....................................................................59
4.4.3.8.
Diseo del Ciclo de Vida de Seguridad......................................59
4.4.3.9.
Desarrollar
especificaciones
de
requerimientos
de
seguridad ......................................................................................................62
4.4.3.10. Ejemplos de Fallas Ocurridas en Diferentes Fases del Ciclo de
Vida.
......................................................................................................64
4.4.4.
Definiciones Generales en Anlisis de Riesgos.................................73
4.4.5.
Tcnicas de Anlisis e Identificacin de Riesgos...............................76
4.4.6.
HazOp.................................................................................................77
4.4.6.1. Etapas de un HazOp........................................................................77

4.4.7.
Determinacin del SIL.........................................................................81
4.4.7.1.
Definiciones.................................................................................81
4.4.7.2.
Evaluacin de riesgos.................................................................81
4.4.7.3.
Niveles tolerables de riesgo........................................................81
4.4.7.4.
Riesgo tolerable en la industria de procesos.............................82
4.4.7.5.
Modos de Falla............................................................................82
4.4.7.5.1. Fallas Seguras/Peligrosas.......................................................83

4.4.7.5.2. Fallas Detectadas/No detectadas..........................................84
4.4.7.5.3. Falla sin efecto........................................................................84
4.4.7.6.
Modelado y confiabilidad de SIS.................................................84
4.4.7.6.1. Medidas usuales en SIS.........................................................84

4.4.7.6.2. Frmulas para el modelado de SIS........................................85
4.4.7.6.3. Mtodos de determinacin del SIL.........................................90
4.4.7.6.4. ALARP (As Low As Reasonably Practical)............................90
4.4.7.6.5. Matriz de Riesgos....................................................................91
4.4.7.6.6. Matriz Tridimensional..............................................................92
4.4.7.6.7. Anlisis de la capa de proteccin (Layers Of Protection

Analysis, LOPA)........................................................................................93
4.4.7.6.8. Dispositivos de Campo............................................................94
4.4.7.6.9. Porcentaje de fallos en el sistema..........................................94
4.4.7.6.10. Sensores................................................................................95
4.4.7.6.11. Elementos finales..................................................................95
4.4.7.6.12. Redundancia..........................................................................96
4.5.
MARCO CONCEPTUAL............................................................................97
4.6.
JUSTIFICACION E IMPORTANCIA DE LA INVESTIGACION................104
V. OBJETIVOS, HIPOTESIS, VARIABLES E INDICADORES..........................104

5.1.
OBJETIVOS.............................................................................................104
5.1.1.
5.2.
HIPOTESIS..............................................................................................104
5.2.1.
5.3.
OBJETIVOS GENERALES...............................................................104
HIPOTESIS GENERAL.....................................................................105
VARIABLES E INDICADORES...............................................................105
5.3.1.
Variable Independiente.....................................................................105
5.3.2.
Indicadores de la Variable Dependiente...........................................105
5.3.3.
Variable Dependiente........................................................................105
5.3.4.
Indicadores de la Mejora Variable Dependiente..............................105
VI.
METODOLOGIA D ELA INVESTIGACION.................................................105
6.1.
UNIDADES DE ANALISIS.......................................................................105
6.2.
TIPO Y NIVEL DE LA INVESTIGACION.................................................105
6.2.1.
Tipo...................................................................................................106
6.2.2.
Nivel..................................................................................................106
6.2.3.
PERIODO DE ANALISIS..................................................................106
6.3.
FUENTES D E INFORMACION E INSTRUMENTOS UTILIZADOS......106
6.3.1.
Fuentes de Informacin Primaria......................................................106

4
6.3.2.
6.4.
Fuentes de Informacin Secundaria.................................................106
TECNICAS DE RECOLECCION Y PROCESAMIENTO DE DATOS......106
6.4.1.
Tcnicas de Recoleccin de Datos..................................................106
6.4.2.
Procesamiento de Datos...................................................................106
VII.
CRONOGRAMA..........................................................................................106
VIII. PRESUPUESTO.........................................................................................106
7.1.
IX.
Estructura Presupuestal..........................................................................106
BIBLIOGRAFIA...........................................................................................107
ANEXOS...............................................................................................................107
INDICE DE FIGURAS
Figura 1. Sistema de control.....................................................................................3
Figura 2...................................................................................................................10
Figura 3...................................................................................................................13
Figura 4...................................................................................................................14
Figura 5...................................................................................................................16
5
Figura 6...................................................................................................................20
Figura 7...................................................................................................................21
Figura 8...................................................................................................................22
Figura 9...................................................................................................................23
Figura 10.................................................................................................................24
Figura 11.................................................................................................................28
Figura 12.................................................................................................................30
Figura 13.................................................................................................................31
Figura 14.................................................................................................................37
Figura 15.................................................................................................................38
Figura 16.................................................................................................................49
Figura 17. Sistema Instrumentado de Seguridad (SIS)..........................................51
Figura 18. Capas de Proteccin (Modelo de la Cebolla)........................................58
Figura 19. Ciclo de Vida segn norma IEC 61511 [4]............................................60
Figura 20. Ciclo de Vida Segura.............................................................................61
Figura 21. Determinacin de Probabilidad o Frecuencia.......................................75
Figura 22. Palabras Gua........................................................................................78
Figura 23. Ejemplo de HazOp................................................................................79
Figura 24. Modos de Falla......................................................................................83
Figura 25. Frecuencia vs. Gravedad de consecuencias........................................90
Figura 26. Modelo ALARP [10]...............................................................................91
Figura 27. Matriz de Riesgos..................................................................................92
Figura 28. Matriz Tridimensional de Riesgo para seleccin del SIL [10]................92
Figura 29. Datos de confiabilidad y desempeo....................................................94
Figura 30. Pirmide de conceptos bsicos de Sistemas Instrumentados de
Seguridad (SIS) y su relacin con el almacenamiento de Sustancias Qumicas
Peligros (SQP)..................................................................................................97
INDICE DE TABLAS
Tabla 1. Principales accidentes industriales.............................................................5

Tabla 2. Porcin peligrosa detectada......................................................................87
Tabla 3. La porcin peligrosa no detectada............................................................88
6
Tabla 4. Porcin peligrosa nunca detectada..........................................................88

Tabla 5. Porcin debida a bypass...........................................................................89
Tabla 6. Porcin de causa comn..........................................................................89
I.
AUDITORIA
LOS
SISTEMAS
TITULO
INSTRUMENTADOS
DE
SEGURIDAD
FUNCIONAL PARA MEJORAR LA CONFIABILIDAD Y REDUCIR LOS RIESGOS

EN PLANTAS DE PROCESO CONTINUO (2015 2016).
II.
NOMBRE DEL GRADUANDO
Roger Martin Vivanco Rebaza
III.
AMBITO DEL DESARROLLO DE LA INVESTIGACION

7
La presente investigacin
est desarrollada para ser aplicada a cualquier
industria de Hidrocarburos, Industrias Qumicas, Petroqumicas, Refineras,

Produccin de Oil and Gas, Empresas generadoras de energa elctrica no
nucleares e industrias de papel.
IV.
IV.1.
DESCRIPCION DEL PLAN
ANTECEDENTES BIBLIOGRAFICOS
IV.1.1. TESIS DE MAESTRIA: LA SEGURIDAD FUNCIONAL EN LA

INDUSTRIA DE PROCESOS: CONCEPTOS Y METODOLOGIAS DE
DISEO
Autor: Klever Fernando Venegas Riera, Universidad Politcnica
Salesiana, Cuenca-Ecuador, 2013
Resumen:
La presente tesis de maestra fue desarrollada en la Ciudad de Cuenca- Ecuador
ante la necesidad brindar un mayor alcance acerca de los sistemas
Instrumentados de Seguridad Funcional a las empresas instaladas en la Regin
de Cuenca.
En muchas industrias se ha reemplazado personal por sistemas automatizados
para obtener un aumento en la produccin, pero la mayora de veces no se
considera el nivel de seguridad que debe mantenerse al realizar una
automatizacin ya que los procesos industriales tiene el potencial de provocar
catstrofes a gran encala.
Se debe diferenciar dos conceptos Seguridad Industrial y Seguridad Funcional, la
primera es un conjunto de tcnicas que se encarga de identificar el riesgo y
evaluar las medidas correctivas para minimizarlo enfocndose en la proteccin de
operador, mientras que la segunda cubre una amplia gama de dispositivos que se
interconectan para formar un sistema de seguridad que se encarga de llevar el
2
proceso a su estado seguro, con la finalidad de proteger vidas humanas, activos

de la empresa y a la comunidad que la rodea.
Esta tesis trata de hacer un anlisis acerca del conocimiento que las empresas
tiene acerca de los sistemas instrumentados de seguridad, luego diseara un
sistema instrumentados de seguridad para una empresa especfica y har la
evaluacin costo beneficio de la implementacin de dicho sistema.
Pero primero veamos cual es la definicin de un Sistema Instrumentado de
Seguridad - SIS, y porque es importante implementarlo en algunas industrias.
Figura 1. Sistema de control
Fuente.
Es un sistema compuesto de sensores, procesadores lgicos y elementos finales

de control, con el nico fin de llevar el proceso a un estado seguro, cuando ciertas
condiciones predeterminadas han sido violadas.
El sistema de control que se ve en el cuadro amarillo de la figura 1, denominado
como BSCP (Sistema Bsico de Control de Procesos) puede ser neumtico, ser
un controlador lgico programable o ser un DCS, este sistema es el que controla
el proceso, ya sea nivel, flujo, Ph, temperatura y hace que los valores se
3
mantengan dentro de los lmites de diseo, naturalmente si todos los

controladores fueran prefectos, nunca tendramos accidentes, pero los sistemas
de control de procesos no son perfectos por una variedad de razones, tales como
se pueden cometer errores humanos, por estas razones estos controles necesitan
capas de seguridad, o lneas de defensa, una de estas capas de seguridad puede
ser instrumentacin adicional y es lo que se conoce como
sistema
instrumentado de seguridad SIS, cuyas siglas en ingles significa Safety

Instrument System, y es lo que se ve en el lado izquierdo de la figura,( cuadro
rosado), este trmino fue usado por primera vez en 1993 en un libro de Ingeniera
Qumica como Safety Interlock System o sistema de enclavamiento de seguridad,
para el comit ISA el termino enclavamiento le pareci una definicin muy estricta,
y le quiso dar una definicin ms genrica, por esta razn el comit ISA, mantuvo
el acrnimo pero lo defini como Safety Instrument System.
Los SIS, tambin puede ser desarrollados con varias tecnologas, puede ser
neumticos, hidrulicos, estado slido, elctricos, electrnicos programables,
puede ser un PLC de uso general o un PLC de seguridad, etc.
Es necesario enfatizar que estos sistemas no controlan nada, el sistema bsico
de control de procesos es el que controla las variables, el sistema de seguridad
monitorea las variables, y evala si las mismas estn fuera de su rango normal, o
si las condiciones de funcionamiento normal han sido violadas, si esto ocurre
entonces el sistema de seguridad se encarga de llevar a la planta, al proceso, a
al equipo a un estado seguro.
Un estado seguro puede significar cosas diferentes para diferentes procesos, no
significa pararlo todo, parar la planta, o des-energizar todo, por ejemplo el sistema
de lubricacin de un compresor en un estado de emergencia no debemos
apagarlo por que lo podremos destruir, por tanto se debe de definir cul es la
accin a tomar por
el sistema instrumentado de seguridad cuando las
condiciones pre-definidas han sido violadas.

Por lo tanto los sistemas de seguridad no controlan, solo monitorean.
Importancia de Implementar los Sistemas Instrumentados de Seguridad en

la Industria
Desde la revolucin industrial en 1928 hasta la actualidad, las industrias han
desarrollado notablemente,
generando productos, para ello se han utilizado
materias primas de toda ndole, si por un momento nos centramos en las

industrias petroqumicas, observamos que muchas de ellas para fabricar sus
productos hacen uso de materiales potencialmente peligrosos que si no son
manipulados o controlados
cuidadosamente pueden provocar explosiones,
muertes y daos al medio ambiente.

Efectivamente como una planta industrial es manejada por personas tenemos
probabilidades de que en algn momento cometamos errores en el proceso, aun
as una planta automatizada tambin tiene probabilidades de falla, ya que los
sensores, instrumentos y vlvulas que se usan para controlar el proceso en algn
momento puede fallar.
La realidad nos hadado la razn con el trascurrir de los aos, hemos sido testigos
de catstrofes que han ocurrido en la industria y han ocasionado muchas
muertes, contaminacin al medio ambiente y grandes prdidas de en activos.
He aqu una lista de accidentes ocurridos a travs de los aos, se mencionan por
que han sido las que ms notoriedad han tenido por la prensa internacional.
Tabla 1. Principales accidentes industriales
Flixborough (UK), 1974

Seveso (Italia), 1976
Explosin de vapor no confinada

(UVCE) de ciclohexano
28 muertos y cientos de heridos

Destruccin completa de las
instalaciones
Reaccin qumica fuera de control que Evacuacin de ms de 1.000

provoca el venteo de un reactor, con
personas
liberacin a la atmsfera de dioxina
Abortos espontneos y
contaminacin del suelo
Autoridades ilocalizables
(fin de semana)
Las primeras medidas se tomaron a

los cuatro das
3.500 muertes directas y
el mismo nmero de
personas en condiciones
crticas
Unas 150.000 personas
requirieron tratamiento
Bhopal (India), 1984
Escape de isocianato de metilo en una

planta de fabricacin de insecticidas
mdico
Efectos a largo plazo:
cegueras, trastornos
mentales, lesiones
hepticas y renales
La nube txica atraves una de las
vas de evacuacin
167 muertos, 59
sobrevivientes
Destruccin completa de
la plataforma
El accidente fue el
Piper Alpha (Inglaterra),

1988
Explosin de una Plataforma de

extraccin de Petrleo en el Mar del
resultado de una serie de

hechos que se inician con
los trabajos de
Norte
mantenimiento que se
llevan a cabo
simultneamente en una
bomba y vlvula de
Passadena(USA), 1989
Escape de gases de proceso

extremadamente inflamables que se
produjeron durante las operaciones de
mantenimiento regular en uno de los
reactores de la planta de polietileno.
seguridad.
23 muertes, ms de 130
heridos
La explosin inicial fue
equivalente a un terremoto
de 3,5 en la escala de
Richter y arroj escombros
lugares tan lejanos como
seis millas.
La investigacin del accidente
estableci que la vlvula de bola de
aislamiento estuvo abierta al
momento de la liberacin. Las
mangueras de aire de la vlvula
haban estado conectadas

incorrectamente de manera que el
suministro de aire que debera
Fuente.
La tabla mostrada arriba, como se mencion anteriormente son las que en su

momento cobraron ms notoriedad por la prensa internacional.
Ms accidentes similares han ocurrido y siguen ocurriendo, cada uno ha sido
analizado en su momento por empresas especialistas, las causas de cada una de
ellas ser analizada ms adelante en detalle as como las lecciones aprendidas.
Objetivos Generales:
1. Obtener una idea concreta acerca del estado actual de los sistemas
instrumentados de seguridad en la ciudad
de Cuenca, para ellos es
necesario saber el grado de aplicacin en la industria del proceso, ello se

hizo a travs de encuestas, 10 empresas participaron de esta encuesta.
2. Proporcionar los lineamientos para el anlisis y diseo de un SIS( Sistemas
Instrumentados de Seguridad) para el rea de almacenamiento de
combustibles en TUGALT.
3. Evidenciar el ahorro beneficio para las empresas en invertir en sistemas
Instrumentados para prevenir accidentes o vnetos inesperados para evitar
prdidas considerables tanto econmicas como materiales, as como la
vidas de los empleados
Para cumplir con el primer objetivo; obtener una idea concreta acerca del estado
actual
de
los
sistemas
instrumentados
de
seguridad
funcional,
fueron
encuestados 46 empleados del rea de mantenimiento y produccin de 10

empresas dedicadas al rubro de produccin de cermica, material metlico y
qumicos.
Se elabor una serie de preguntas, tales como:
1. Dispone de algn sistema de seguridad en sus instalaciones?
7
2. Su sistema de seguridad esta automatizado?

3. Conoce o ha escuchado Usted acerca de PLCs orientados a seguridad?
4. En sus instalaciones se ha realizado un anlisis de riesgo con respecto a
los procesos industriales?
5. Ha realizado un anlisis cuantitativo de identificacin de peligros?
6. Se han producido accidentes graves que hayan involucrado la vida de
operadores de la planta?
7. Ha escuchado o tiene conocimientos acerca de seguridad funcional?
8. Ha escuchado sobre sistemas instrumentados de seguridad (SIS)?
9. En sus instalaciones se manejan normativas de seguridad funcional?
10. Estara interesado en la instalacin de un SIS en sus instalaciones?
11. Piensa Usted que la aplicacin de un SIS en las instalaciones asegurara
un entorno de trabajo ms confiable para el personal?
12. En las automatizaciones realizadas en las instalaciones se consider la
seguridad funcional para cada una de ellas?
Resultados Obtenidos
De los resultados obtenidos se observa que pocas personas encuestadas han
escuchado o tienen conocimiento sobre seguridad funcional o de sus normativas
principalmente en las reas de seguridad y de mantenimiento, siendo esta ultima
la que constantemente monitorea el estado de la maquinaria para su correcto
funcionamiento
A pesar de que la mayora de lneas de produccin estn automatizadas, la
seguridad funcional no fue considerada en su diseo.
Algunas personas se mostraron escpticos a los cambios, consideran innecesario
la implantacin de un SIS, justificando que hasta el momento no ha sido necesario
implementar dicho sistema para cumplir con la produccin y la seguridad al
personal.
El paro de emergencia es el comn denominador en la mayora de empresas
como un medio del que dispone el personal para detener la maquinaria y evitar
cualquier situacin de riesgo, esto evidencia la falta de conocimiento sobre
modernos dispositivos orientados a la seguridad que existen en el mercado.
La mayora de empresas usan como combustible el diesel y bunker para la
maquinaria, los mismos que son almacenados en tanques de gran capacidad, la
8
capa de mitigacin comnmente utilizada son los diques, algunos de los cuales ya
han cumplido su funcin exitosamente debido a derrames producidos en ciertos
casos por fallas en el sistema de control de bombas de llenado o por factores
humanos.
Para cumplir con el objetivo # 2, se propuso un diseo de SIS para el rea de
almacenamiento de combustibles en Tugalt.
Una de las empresas ms grandes de la ciudad, tanto a nivel, geogrfico como a
nivel productivo es Tugalt. Dicha empresa est orientada a la fabricacin de toda
clase de perfiles, paneles y tubos metlicos, pero tambin se encarga de
almacenar combustible que es enviado a otras industrias como Industrias
Qumicas del Austro (IQA), Vanderbilt, y Graiman. El combustible almacenado
consta principalmente de disel y bunker, los mismos que son fundamentales para
la realizacin de todos los procesos llevados a cabo en las industrias antes
indicadas.
Se ha considerado el rea de almacenamiento de combustible para desarrollar el
diseo del SIS debido a que en la actualidad no dispone de ningn dispositivo o
sistema para prevenir o mitigar eventos inesperados o de alto riesgo en dicha
zona. Algunos eventos como derrames de combustible, obstruccin de lneas de
bombeo o prdida de presin en las mismas ya han tenido lugar, pero no se han
resultado en situaciones graves.
El personal encuestado tena conocimientos de la utilizacin de aspersores en
caso de incendios; y de algunas seales luminosas para alertar as personal en
caso de un evento no deseado, mientras que un reducido nmero de personas
encuestadas no tena conocimiento de la existencia de dichos recursos en caso
de emergencia
Vamos a hablar dela tesis comprobar los objetos si se lograron, el primero se loga
hablando de la encuesta, hablar del diseo y el tercero comprobar el ahorro
beneficio
Figura 2.
10
Fuente.
11
IV.2.
DESCRIPCION DE LA REALIDAD PROBLEMTICA
Desde los aos 70s a la actualidad estamos notando como los sistemas de
automatizacin han ido creciendo a un ritmo increble, nuestra dependencia a la
instrumentacin ha aumentado con la finalidad de mejorar el producto y para
reducir el potencial error del operador y para disminuir la necesidad de la mano de
obra, tal vez el reducir el potencial error humano debera ser el ms importante
de los tres fines mencionados lneas arriba ya que como sabemos un error
humano cometido dentro de un proceso donde se manejan materiales altamente
explosivos o txicos puede hacer que parte de una planta explote ocasionando
muchas muertes si es que de materiales explosivos se trata, pero si se trata con
materiales txicos altamente mortales puede ocasionar la muerte de trabajadores
de planta y adems personas ajenas a la planta, llegar a las comunidades de su
vecindad y provocarles efectos a largo plazo: cegueras, trastornos mentales,
lesiones hepticas y renales, malformaciones en recin nacidos ya que una nube
toxica puede atravesar kilmetros.
Debido a los accidentes ocurridos en el pasado es que hoy en da las plantas
industriales invierten mucho dinero desde la concepcin del proyecto en hacer su
proceso cada vez ms seguro, ms confiable, eso nos lleva a cada vez ms, a
estar ms envueltos en los sistemas automatizados.
Cuanto ms electrnica programable este involucrada en la operacin de la
planta, ms propenso ser el equipo a fallas sistemticas, las cules pueden
ocasionar una operacin impredecible. La automatizacin confiable conlleva a la
operacin ms segura. La automatizacin mal implementada o mal mantenida,
puede generar eventos peligrosos significativos, impactando a las personas, el
ambiente y los activos de la empresa.
Si bien es cierto, como se mencion lneas arriba la inversin en hacer una planta
ms segura y confiable es alta, ya que ahora no solo se invierte en la
automatizacin del proceso si no en automatizar la seguridad del proceso y es all
donde
nacen
los
sistemas
instrumentados
12
de
seguridad,
comnmente
denominado SIS, es por ello que el xito de los Sistemas Instrumentados de

Seguridad depende de un sistema de gerencia riguroso que minimice el error
humano y el potencial de falla del equipo o lazo de control.
Se dedica mucho tiempo, dinero y personas en hacer una planta segura en la fase
de proyecto, diseo, implementacin y comisionamiento, esto conlleva a tener una
planta con muchos activos que administrar, pero durante la fase de operacin los
recursos asignados para mantener y gestionar tales activos no es el suficiente, es
decir tenemos en planta muchos sistemas automticos con pocas personas a
cargo de su administracin y gestin.
Es aqu donde radica la razn de ser de este tema de tesis de maestra, la
mayora d empresas no llevan a cabo una buena gestin de los sistemas
Instrumentados de seguridad, ya sea porque no hay personal suficiente, porque
no hay un involucramiento desde la gerencia general y esto hace que muchas
veces el rea de operaciones no entregue los equipos a tiempo para su correcto
mantenimiento.
Dada esta falta de compromiso y falta de una buena gestin en este tipo d activos
es que se han suscitado en el mundo accidentes fatales, plantas petroqumicos,
plataformas petroleras, plantas qumicas han explotado trayendo consigo muertes
de muchos trabajadores y muertes de personas ajenas al proceso, a la empresa,
muchas veces comunidades vecinas han pagado las consecuencias de una mala
gestin.
Lneas abajo se detalla algunos casos de plantas que han provocado muertes a
personas, contaminacin al medio ambiente y destruccin de los activos, se
analiza sus posibles causas raz del accidente y las lecciones aprendidas.
Accidente de Flixborough, Reino Unido, 1974
Aproximadamente a las 16:53 del sbado 1 de junio de 1974, la planta de
Flixborough Works de Nypro Ltd. fue virtualmente demolida por una explosin de
extraordinarias dimensiones. Como consecuencia de la explosin 28 trabajadores
resultaron muertos y otros 36 sufrieron heridas graves. Si la explosin hubiera
ocurrido en horario laboral normal, las cifras de muertos y heridos habran sido
13
mucho mayores. Otras muchas personas resultaron heridas fuera de las

instalaciones y las prdidas materiales fueron incalculables con la destruccin
casi total de la planta.
Figura 3.
Fuente.
Caractersticas de las instalaciones
El accidente de Flixborough, ocurri en la seccin de reaccin en la planta de

produccin de caprolactama a partir de la oxidacin de ciclohexano que la
empresa Nypro tena en la localidad de Flixborough (Reino Unido). El proceso de
produccin consista en un tren de seis reactores en serie en los que el
ciclohexano se oxida a ciclohexanona y ciclohexanol por inyeccin de aire en
presencia de un catalizador.
La reaccin es fuertemente exotrmica y se realizaba a 8,8 kg/cm2 de presin en
los reactores y a una temperatura de 155 C. Por tanto, exista una atmsfera
explosiva dentro de los reactores, que se controlaba mediante la inyeccin de
nitrgeno proveniente de unos depsitos de nitrgeno lquido. La temperatura se
controlaba mediante la evaporacin de parte del ciclohexano de cada reactor.
14
Algunos das antes de que ocurriera el accidente, se produjo una fuga en el

reactor nmero 5 y una grieta de casi 2 metros, lo que indujo a eliminar dicho
reactor en serie y se sustituy por un conducto o tubera "by-pass" que una los
reactores 4 y 6, segn se indica en el dibujo adjunto. Dicha tubera de unin tena
un diseo claramente diferente al resto de uniones entre los diferentes reactores.
Adems, el agitador del reactor nmero 4 se haba retirado por avera haca 5
meses.
Figura 4.
Fuente.
Descripcin del accidente
El accidente se produjo precisamente por la rotura de esta unin provisional entre

los reactores 4 y 6 debido a un aumento de la presin en los mismos (alcanz
aproximadamente 9,2 kg/cm2). El control de presin se podra haber realizado
venteando parte del gas de los reactores a las antorchas inyectando nitrgeno,
pero haba poca cantidad almacenada y no se poda recibir ms nitrgeno hasta
15
la media noche, lo que habra motivado la paralizacin de la produccin. Por tanto

se decidi no ventear, lo que evit el control de la presin en los reactores.
Por la tarde, se produjo un escape de unas 40 Tm de ciclohexano que form una
nube inflamable y casi inmediatamente explosion generando una explosin de
vapor no confinada (UVCE). Las consecuencias fueron:
Destruccin completa de la planta de produccin de caprolactama

28 personas muertas, 36 heridos graves y varios centenares de heridos
leves
Daos graves en 1821 casas y 167 tiendas de las proximidades
Extensin de los daos a otras instalaciones prximas
Anlisis de las causas del accidente
Todava no estn del todo claro las causas de la rotura de esta unin provisional o
"by-pass". La comisin que investig el accidente fij su atencin en cuatro
posibles causas:
Fallo en la tubera provisional de 20" debido a un exceso de presin
Fallo previo en una tubera de 8"
Fallo previo en alguna otra parte del sistema
Explosin en la lnea de aire de los reactores
La hiptesis ms considerada fue la primera, aunque no qued del todo claro si la
presin que se alcanz de 9,2 kg/cm 2 era suficiente para motivar la ruptura de la
tubera. No obstante, se produjeron varios fallos de tipo organizativo y de
seguridad que agravaron la situacin original. Entre estos fallos cabe destacar los
siguientes:
Inexistencia de proyecto de la modificacin realizada, ni planos, salvo un
salvo un esquema realizado con tiza en un taller prximo.
Inexistencia de clculos de resistencia de materiales para la modificacin.
Incumplimiento de las normas de diseo aplicables.
Inexistencia de un ingeniero de diseo que realizara la modificacin.
16
Falta de personal en temas de seguridad para el control de las

modificaciones en la planta.
Inexistencia de un sistema de gestin de la seguridad en la empresa.
Prioridad de la produccin sobre la seguridad.
La causa directa del accidente fue la introduccin, sin los debidos controles
de diseo y fabricacin, de dos modificaciones: el "by-pass" entre los
reactores 4 y 6 y la retirada del agitador en el reactor 4.
Falta de rigor en el diseo y control de las modificaciones.
Figura 5.
17
Fuente.
Lecciones aprendidas
Se han extrado numerosas lecciones procedentes del accidente de Flixborough.

Incluyen tanto controles pblicos para los establecimientos que presenten riesgos
de accidentes graves como sistemas propios de gestin de la seguridad de este
tipo de instalaciones.
Se consideran algunas de estas lecciones:
Controles pblicos de las instalaciones que presenten riesgos de
accidentes graves.
Una de las principales consecuencias del accidente de Flixborough fue la
toma de conciencia por parte de las autoridades del Reino Unido y Europa
para intentar controlar los riesgos de este tipo de instalaciones. Como
consecuencia de ello y a raz del accidente de Seveso se promulg la primera
Directiva Europea relativa al control de los riesgos de accidentes graves en
determinadas actividades industriales. Adems, las autoridades del Reino
Unido promulgaron tambin su legislacin CIMAH similar a la anterior.
Localizacin
de
los
establecimientos
que
presenten
riesgos
de
accidentes graves.
La eleccin correcta de los emplazamientos y, en concreto, la planificacin
territorial para evitar mayores riesgos en el entorno inmediato de este tipo de
establecimientos, es otra de las conclusiones importantes. Este aspecto de la
planificacin territorial, se ha tenido muy en cuenta en la nueva legislacin
sobre accidentes graves, el Real Decreto 1254/99.
Necesidad de una correcta notificacin de todas las sustancias
peligrosas que se utilizan.
18
El almacenamiento y utilizacin de grandes cantidades de productos qumicos

peligrosos, es un aspecto que debe estar regulado y controlado por las
autoridades. Los almacenamientos que a 1 de junio de 1974 posea Nypro
eran los siguientes:
1500 m3 de ciclohexano
300 m3 de nafta
50 m3 de tolueno
120 m3 de benceno
2000 m3 de gasolina
De todos ellos, solamente estaban notificados 32 m 3 de nafta y 7 m 3 de

gasolina y el resto de los almacenamientos ni estaba notificados, ni por
supuesto tena licencias de instalacin. La situacin de Flixborough revel la
necesidad de mejorar los mtodos de notificacin de todas las sustancias
peligrosas a las autoridades.
Normativas para sistemas y depsitos presurizados.
El origen del accidente tuvo lugar en una instalacin en la que se trabajaba a
presiones elevadas. La legislacin en esa fecha apenas tena regulaciones
para almacenamientos a presin y no para sistemas y reactores a presin.
Sistema de gestin de la seguridad para establecimientos con riesgos de
accidentes graves.
El Informe Flixborough hace un enorme hincapi en la inexistencia de un
sistema general de gestin de la seguridad en la planta de Nypro. No existan
ni procedimientos, ni organizacin, ni formacin del personal, etc. que
garantizaran un manejo seguro de las instalaciones.
Prioridad de la produccin sobre la seguridad.
Los cambios en una instalacin sin los debidos controles de seguridad, fueron
la causa principal del accidente. El motivo de no realizar dichos controles de
19
seguridad era que en ese momento lo prioritario era la produccin y no la

seguridad de la planta.
Uso de prcticas y cdigos de diseo adecuados.

El Informe Flixborough describe que en la modificacin de la tubera "by-pass"
no se tuvieron en cuenta los mnimos cdigos de diseo adecuados para esa
modificacin.
Diseo y control de las modificaciones.
No se tuvieron en cuenta ningn sistema de control ni del diseo de las
modificaciones realizadas en el proceso, lo que fue la causa principal del
accidente.
Otras lecciones.
Limitaciones en el inventario de sustancias peligrosas existentes.
Limitaciones de la exposicin al personal de planta.
Diseo y localizacin de las salas de control y otros edificios

auxiliares.
Control de la instrumentacin.
Planificacin de las emergencias.
Investigacin de accidentes.
Accidente de Seveso, Italia, 1976
A las 12:37 del sbado 9 de julio de 1976, se produjo una ruptura en un reactor de
la planta Icmesa (Industrie Chimiche Meda Societ) en la localidad italiana de
Seveso, a medio camino entre Miln y el lago Como. Unas tres toneladas de
substancias txicas principalmente una dioxina denominada TCDD formaron
una
nube
que
devastara
ms
de
1.800
hectreas
de
terreno.
La
tetraclorodibenzodioxina o TCDD era el ingrediente activo de un defoliante usado,

con efectos devastadores, por las fuerzas estadounidenses en la guerra de
Vietnam, tambin conocido como agente naranja.
20
Figura 6.
Fuente.

La planta de Icmesa S.p.A., situada en la localidad de Seveso (17.000 habitantes
Lombardia, Italia), era propiedad del Grupo Roche y se dedicaba a la fabricacin
de pesticidas y plaguicidas a partir de una reaccin tipo "batch" con una sustancia
denominada 2,4,5-triclorofenol (TCP). El TCP se fabricaba a partir de 1,2,4,5tetraclorobenceno por reaccin con sosa custica en presencia de etilenglicol y
xileno y a unos 160-200 C. La reaccin es fuertemente exotrmica a presin
atmosfrica y el calor generado se retiraba evaporando el disolvente que
retornaba al reactor. Terminada la reaccin, se aada cido clorhdrico para
fabricar el TCP. El reactor estaba protegido por un disco de ruptura a presin de
3,6 bares con venteo directo a la atmsfera.
21
En la reaccin se produce como subproducto una sustancia denominada 2,3,7,8tetraclorodibenzo-p-dioxina, ms conocida como TCDD. El TCDD pertenece a una
amplia familia de compuestos conocidos como dioxinas, todos ellos de elevada
toxicidad y probados efectos cancergenos. De todos los compuestos de la familia
de las dioxinas, el TCDD es el ms txico. La toxicidad relativa de este compuesto
comparada con la estricnina, por ejemplo, muestra que es tres rdenes de
magnitud ms txico. La dioxina se forma por reaccin de triclorofenoato de sodio
con hidrxido sdico. Mientras que a unos 180 C apenas se forman unos pocos
ppm de TCDD, cuando la temperatura alcanza unos 250 C, se pueden generar
grandes cantidades. Las cantidades generadas son prcticamente cero por
debajo de 150 C, menos de 1 ppm a 180 C y 1.600 ppm en 2 horas entre 230260 C.
Figura 7.
22
Fuente.
La tarde anterior al accidente, el reactor se carg con 2.000 kg de triclorobenceno

(TCB), 1.050 kg de hidrxido de sodio, 3.300 kg de etilenglicol y 600 kg de xileno.
La reaccin no termin esa tarde, dejando el final para la maana siguiente,
cerrando el vapor y parando la agitacin en el reactor. A la maana siguiente, se
produjo una reaccin exotrmica incontrolada del tipo runaway, lo que gener un
aumento de presin en el reactor y la apertura del disco de ruptura. El resultado
fue la emisin de una nube txica que contena TCDD en una concentracin
aproximada de 3.500 ppm y con aproximadamente entre 0,45 y 3 kg de TCDD. El
rea cubierta por la nube fue de aproximadamente 1.800 hectreas y produjo
numerosos daos a las personas (730 en el rea).
23
Figura 8.
Fuente.
Unas 37.000 personas resultaron directamente afectadas por enfermedades de la

piel, malformaciones en los fetos y toda una serie de secuelas que se fueron
produciendo en los aos posteriores. Los cultivos quedaron inservibles para el
consumo, ms de 3.000 animales perecieron y hubo que sacrificar otros 80.000
para evitar que la toxina entrara en la cadena alimentaria.
Las lesiones fueron principalmente drmicas, as como daos al medio ambiente
(flora y fauna). Se produjeron daos tambin en la agricultura, ganadera, suelos
contaminados, construccin, comercios, etc. En total, ms de 300 millones de
francos suizos ha tenido que abonar Roche en concepto de compensaciones al
Estado Italiano por el accidente.
Figura 9.
24
Fuente.
Los directivos de Roche (propietaria de Icmesa) han afirmado hasta el da de hoy

que el efecto que produjo la catstrofe de Seveso, esto es, el recalentamiento en
el interior del tanque de triclorofenol, era imprevisible por aquel entonces, cuando
apenas se conocan la reacciones accidentales de este producto intermedio. Esta
excusa constituy la base de su defensa ante las autoridades civiles y los
tribunales de justicia italianos. Sin embargo, otros especialistas argumentan que
s exista una literatura cientfica entre 1971 y 1974, en la que se incluiran las
descripciones de otros accidentes con triclorofenol, siendo el ms importante el de
Missouri, en Estados Unidos, a principios de los setenta. Tambin se conocan las
condiciones
bajo
las
que
podra
producirse
una
reaccin
exotrmica
descontrolada. Sin embargo, atendiendo a las explicaciones de los directores

tcnicos de Icmesa, la comisin que se encarg de investigar las causas del
accidente concluy que era imposible haber previsto este hecho.
En la actualidad, todava se estn pagando indemnizaciones y las consecuencias
no han desaparecido del todo.
Figura 10.
25
Fuente.
La causa primera del accidente fue una reaccin incontrolada exotrmica en el

reactor, probablemente debido a haberlo dejado desde la tarde anterior sin
refrigeracin y sin agitacin. Tambin pudo influir el hecho de que, probablemente,
la reaccin no se hubiera terminado del todo cuando se cerr la refrigeracin y se
par el agitador, por lo que pudo continuar durante toda la noche.
El informe oficial aduce cuatro causas principales:
Interrupcin del ciclo de produccin. El hecho de dejar una mezcla sin
terminar una reaccin durante todo un fin de semana sin ningn tipo de
medida
de
seguridad,
es
un
innecesariamente.
26
hecho
que
aumenta
el
riesgo
Mtodo de destilacin. En el mtodo utilizado por la patente original de

Guivaudan, la carga era acidificada antes de la destilacin. En el proceso
de Icmesa, el orden de estas dos etapas fue invertido. Esto permita un
contacto ms largo e intenso entre el etilenglicol y el hidrxido de sodio.
El sistema de alivio de presin que conduce directamente a la atmsfera.
El nico sistema de control de presin era mediante un disco de ruptura
que conduca directamente a la atmsfera. La presin del disco de ruptura
era demasiado elevada para un proceso a presin atmosfrica, lo que
favoreci la emisin de grandes cantidades de dioxinas.
Fallos en los sistemas de recogida/destruccin de las sustancias
venteadas. Tampoco exista un sistema para neutralizar o destruir las
sustancias txicas venteadas. El sistema de venteo con disco de ruptura,
segn los fabricantes debera haber estado conectado a un sistema de
neutralizacin, torre de lavado, depsito pulmn o cualquier otro que
impidiera la emisin directa a la atmsfera de sustancias altamente txicas.
Controles pblicos de las instalaciones que presenten riesgos de

accidentes graves.
Una de las principales consecuencias del accidente de Seveso fue la toma de
conciencia por parte de las autoridades italianas y europeas para intentar
controlar los riesgos de este tipo de instalaciones. Como consecuencia de ello, se
promulg la primera Directiva Europea relativa al control de los riesgos de
accidentes graves en determinadas actividades industriales, la Directiva
82/501/CEE.
Localizacin de los establecimientos que presenten riesgos de

accidentes graves.
La eleccin correcta de los emplazamientos y, en concreto, la planificacin
territorial para evitar mayores riesgos en el entorno inmediato de este tipo de
establecimientos, es otra de las conclusiones importantes. Este aspecto de la
planificacin territorial, se ha tenido muy en cuenta en la nueva legislacin sobre
accidentes graves, el Real Decreto 1254/99.
27
Adquisicin de compaas que operan con procesos peligrosos.

Fue un problema que requiri poca atencin, aunque la cadena de
responsabilidades se transmiti hasta el ltimo propietario, Hoffmann La Roche
que ha sido el responsable final.
Utilizacin de sustancias extremadamente txicas.

El hecho de que se utilicen sustancias extremadamente txicas como la TCDD,
implica que los anlisis de seguridad deben ser realizados y actualizados
constantemente. En la nueva reglamentacin se pone especial nfasis en las
sustancias txicas y muy txicas.
Riesgos debidos a reacciones incontroladas.

La compaa crea que tena perfectamente identificadas todas las reacciones que
se podran producir en el proceso de produccin. Sin embargo, los riesgos de
reacciones exotrmicas, deben ser analizados muy concienzudamente. En
particular, es muy importante identificar completamente todas las caractersticas
de una reaccin exotrmica en las condiciones de operacin y las sustancias
intermedias o indeseadas que se pueden generar.
Diseos seguros en plantas qumicas de proceso.

El diseo del disco de ruptura para ese tipo de reactor y esa reaccin concreta,
era claramente inseguro.
Planificacin de las emergencias.
En el informe del accidente se menciona como una causa que agrav las
consecuencias el hecho de que no hubiera una comunicacin directa a las
autoridades para que organizaran un sistema de emergencias. Las primeras
medidas para proteccin a la poblacin se tomaron a los 4 das.
Accidente de Bhopal, India, 1984
La maana del 3 de diciembre de 1984, una vlvula de alivio de un depsito de
almacenamiento de la planta de Union Carbide India Ltd. que contena una
sustancia altamente txica, el isocianato de metilo (MIC), produjo un escape al
exterior de aproximadamente 26 Tm de esta sustancia. La nube txica que se
form, afect a la ciudad de Bophal, de aproximadamente 800.000 habitantes.
Aunque las cifras de muertos y heridos son muy imprecisas, se puede decir que
se produjeron entre 2.500 y 4.000 muertos y ms de 180.000 heridos y afectados.
28
Muchos autores lo consideran el peor desastre de toda la industria qumica.

Figura 11.
Fuente.

El isocianato de metilo MIC, es un producto intermedio que se usa en la
fabricacin de determinados insecticidas. Es un producto altamente txico y muy
reactivo que polimeriza en presencia de determinados reactivos como hierro o
cloruros.
El proceso de fabricacin de MIC en la factora de Unin Carbide estaba formado
por cuatro etapas:
Produccin de fosgeno
Produccin de cloruro de metilcarbamilo (MCC) a partir del fosgeno en fase
vapor y metilamina (MMA) y cloruro de hidrgeno
COCl2 + CH3NH2 --------> CH3NHCOCl + HCl + calor
Pirlisis para la obtencin del MIC
CH3NHCOCl --------> CH3NCO + HCl
Separacin por destilacin del MIC
El MIC producido, se enviaba a los depsitos de almacenamiento, dos para uso
normal (Depsitos 610 y 611) y el tercero para emergencias (Depsito 619). Los
depsitos cilndricos, tenan una capacidad nominal de 57 m 3, 13 metros de largo
y 2,43 metros de dimetro. Tenan una presin de diseo de 2,72 bares a 121 C y
una presin de prueba de 4 bares. Estaban completamente enterrados y aislados
29
con un recubrimiento de cemento. Tambin exista un sistema de refrigeracin

para mantener el MIC por debajo de 0 C y minimizar la refrigeracin. Tambin
tenan un indicador de temperatura, con alarma de alta, un indicador y controlador
de presin para mantenerla entre 0,14 y 1,7 bares y un indicador de nivel con
alarmas de alto y bajo nivel. El sistema de alivio de emergencia consista en una
vlvula de seguridad a 2,8 bares y un disco de ruptura en serie. La lnea de salida
de venteo era enviada a un lavador de gases para neutralizar la emisin de MIC.
Adems exista la posibilidad de enviar los gases de venteo a una antorcha de la
planta.
El sistema de refrigeracin de los depsitos de almacenamiento fue desmantelado
en 1984, retirndose el refrigerante. En 1982, un equipo de auditores de
seguridad de Union Carbide visit la planta y emiti un informe en el que se
sealaban importantes deficiencias en los sistemas de seguridad, corrosiones y
posibilidad de fuga de gases. Entre 1981 y 1984 hubo varios accidentes graves en
la planta, con varios trabajadores muertos y heridos. La situacin en la planta era
verdaderamente preocupante.
Figura 12.
30
Fuente.
La noche del 2 de diciembre, la sala de control detect un aumento de presin en

el depsito 610. Se alcanzaron 3,8 bares al cabo de hora y media. Se detect que
el recubrimiento del depsito estaba agrietado por la elevada temperatura en su
interior y la alta presin hizo que se abriera la vlvula de seguridad, con una
emisin de MIC. Se puso en funcionamiento el sistema lavador de gases y a la
1:00 hora se dio la alarma. El sistema de lavado era claramente insuficiente y se
conectaron caones de agua para intentar alcanzar la salida de los gases, cosa
que no se consigui. A las 2:00, se cerr la vlvula de seguridad y la emisin de
MIC se detuvo. Las investigaciones posteriores determinaron que se haban
emitido aproximadamente 25 Tm de MIC en un conjunto de gases emitidos de 36
Tm. Tambin se detect que la temperatura en el interior del depsito alcanz los
200 C y la presin 12,2 bares. Sin embargo, el depsito aguant posiblemente
por el recubrimiento exterior, evitando un desastre an mayor. Tambin se inform
que se haba desconectado das antes el lavador de gases y que la antorcha
estaba fuera de servicio por corrosiones.
La nube txica que se form se extendi hacia las reas pobladas en direccin
sur favorecido por un ligero viento y condiciones de inversin trmica. Como
ejemplo, en la zona de Railway Colony, situada a 2 km de la planta, donde vivan
31
aproximadamente 10.000 personas, se inform de que en 4 minutos murieron 150

personas, 200 quedaron paralizados, unas 600 quedaron inconscientes y hasta
5.000 sufrieron graves daos. Muchas personas intentaron huir, pero lo hicieron
en la direccin de avance de la nube txica.
Las investigaciones posteriores, revelaron que quedaron entre 5 y 10 Tm en el
depsito 610. Se encontraron importantes cantidades de sustancias que slo se
pueden formar por reaccin del MIC y agua, lo que indujo a pensar en la
existencia de agua en el interior del depsito.
Figura 13.
32
Fuente.
Dos son las hiptesis principales que se contemplan:

1. Reaccin espontnea del MIC en el interior del depsito. Posiblemente por
introducir en el depsito 610 un lote de MIC que result de mala calidad
(contena un 15% de cloroformo, cuando deba contener un mximo de
0,5%) y al estar fuera de servicio el sistema de refrigeracin, comenz, al
principio lentamente, una reaccin de descomposicin del MIC. El sistema
de aislamiento del depsito favoreci el aumento de temperatura y la
velocidad de reaccin.
2. Reaccin motivada por presencia de agua en el depsito. El anlisis de los
compuestos despus del accidente revel la presencia de agua en el
interior del depsito, lo que produjo una reaccin entre el exceso de
cloroformo y el agua para formar cido clorhdrico que acta como
catalizador en la polimerizacin del MIC. Este agua podra proceder del
sistema de lavado de tuberas. Tambin es posible que la presencia de
agua fuera por algn tipo de sabotaje, porque la cantidad necesaria se
estim entre 500 y 1.000 kg.
Los informes destacaron una serie de factores que contribuyeron al accidente: la
desconexin del sistema de refrigeracin, la inexistencia de sistemas de corte en
las tuberas para evitar la entrada de agua del lavado, la presencia de MIC en el
depsito a una temperatura demasiado elevada 15-20 C, que el sistema de
lavado de gases no funcionara adecuadamente y que la antorcha estuviera fuera
de servicio.
Muchas de las lecciones aprendidas del accidente de Bhopal, combinan algunas

de las ya analizadas en los accidentes de Flixborough y Seveso.
33
1. Controles pblicos de las instalaciones que presenten riesgos de

accidentes graves.
El desastre de Bhopal tuvo una gran publicidad durante bastante tiempo,
principalmente en la India y en USA que no haban reaccionado tan
intensamente a los accidentes de Flixborough y Seveso en Europa.
34
2. Localizacin de los establecimientos que presenten riesgos de accidentes

graves.
Muchas personas residentes en la localidad de Bhopal, estaban en
situacin de riesgo por la situacin de la planta respecto a la ciudad. La
eleccin correcta de los emplazamientos y, en concreto, la planificacin
territorial para evitar mayores riesgos en el entorno inmediato de este tipo
de establecimientos, es otra de las conclusiones importantes. Este aspecto
de la planificacin territorial, se ha tenido muy en cuenta en la nueva
legislacin sobre accidentes graves, el Real Decreto 1254/99.
3. Gestin de los establecimientos con riesgos de accidentes graves.

La planta de Union Carbide presentaba riesgos graves por los procesos y
sustancias
manejadas.
La
Direccin
de
la
empresa
no
era
lo
suficientemente consciente de que la gestin de estos establecimientos

desde el punto de vista de la seguridad tiene que ser acorde con el riesgo
existente.
4. Manejo de sustancias altamente txicas.
El isocianato de metilo es una sustancia muy txica. Los riesgos derivados
de la manipulacin de este tipo de sustancias no son debidamente
considerados por muchos industriales. El riesgo deber analizarse
especialmente si existe la posibilidad de emisiones accidentales de estos
productos. En Bhopal, este mecanismo de emisin accidental fue la
ocurrencia de una reaccin exotrmica en el depsito de almacenamiento.
35
5. Reacciones fuera de control en almacenamientos.

El riesgo de reacciones del tipo "runaway" en reactores, est bastante bien
estudiado. Sin embargo, las reacciones que suceden en el interior de los
depsitos de almacenamiento han recibido poca atencin. En Bhopal, esta
reaccin se produjo por la presencia de agua. En las instalaciones donde
estas reacciones pueden generar emisiones accidentales para sustancias
peligrosas,
la
posibilidad
de
su
ocurrencia
se
debe
contemplar
adecuadamente.
6. Riesgos de presencia de agua en determinadas instalaciones.
Los riesgos de la presencia de agua y las reacciones a que dan lugar son
bastante bien conocidas. Bhopal refleja el riesgo de una reaccin
exotrmica entre un fluido de proceso y el agua.
7. Riesgo relativo de sustancias en proceso y en almacenamiento.
Existe la tendencia a considerar que los riesgos de sustancias en
almacenamientos son menores que los que existen para esas mismas
sustancias en proceso porque, aunque las cantidades son mucho mayores,
la probabilidad de una emisin accidental es mucho menor. La emisin de
Bhopal tuvo lugar desde un depsito de almacenamiento aunque asociado
a un proceso.
8. Prioridad de la produccin frente a la seguridad.
Todas las investigaciones indican que la desaparicin momentnea de
determinadas medidas de seguridad se debi a la reduccin de costes en
la planta.
9. Planificacin de las emergencias.
La respuesta de la compaa y de las autoridades reflej que no exista un
plan de emergencia adecuado. La necesidad de que la poblacin conozca
36
los riesgos y las actuaciones de emergencia fue una de las principales

conclusiones.
10. Otras lecciones.
o Limitaciones en el inventario de sustancias peligrosas existentes.
o Limitaciones de la exposicin al personal de planta.
o Diseo y localizacin de las salas de control y otros edificios
auxiliares.
o Control de la instrumentacin.
o Investigacin de accidentes.
Accidente de Piper Alpha, Mar del Norte, 1988
Piper Alpha (1973-1988), fue una plataforma petrolfera ubicada en el Mar del
Norte propiedad de Occidental Petroleum Corporation OPCAL.[] La produccin de
la plataforma comenz en 1976, []primero como una plataforma petrolera de
perforacin y adaptada a la produccin de gas posteriormente.
El 6 de julio de 1988 una serie de explosiones destruyeron completamente la
plataforma. Las explosiones y los incendios mataron a 167 hombres; 59 lograron
sobrevivir. En el nmero de vctimas mortales se incluyen 2 miembros de la
tripulacin del buque de rescate Sandhaven. Los cuerpos de treinta hombres no
lograron encontrarse. Se considera el mayor desastre del mundo en la industria
de extraccin de petrleo tanto en el nmero de muertos como en su coste
econmico y de confianza empresarial en la propia industria petrolera. En el
momento del desastre la plataforma produca el diez por ciento de la produccin
de petrleo y gas del Mar del Norte.
Caractersticas de las Instalaciones
La gran plataforma fija Piper Alpha, diseada inicialmente para la extraccin del
petrleo se ubica en el Campo petrolfero Piper, aproximadamente a 193 km al
noreste de Aberdeen y con una altura de 144 metros desde el agua. La
plataforma Piper Alpha estaba compuesta por cuatro mdulos separados por
cortafuegos [2] y fue construida por la empresa de Ingeniera McDermott en
Ardersier y el I.U.E. en Cherburgo. Las secciones fueron unidas en Ardersier
antes de remolcar la plataforma en el ao 1975. La produccin comenz a finales
37
de 1976. Por razones de seguridad, los mdulos se organizaron de modo que las
operaciones y actividades ms peligrosas estuvieran protegidas y alejadas del
mayor nmero posible de trabajadores. Pero, con la conversin a una plataforma
de extraccin y tratamiento de gas se rompi este concepto de seguridad, con el
resultado de que zonas sensibles que deban estar separadas se reunieron en un
slo mdulo. As ocurri, por ejemplo, con la unin de la zona de compresin de
gas y la sala de control, que finalmente desempe un papel crucial en el
accidente.
La plataforma trataba el petrleo crudo y gas natural proveniente de veinticuatro
pozos para su entrega final a la terminal petrolera de Flotta en las Islas Orcadas
as como a otras instalaciones a travs de tres gasoductos. En el momento de la
catstrofe la plataforma Piper Alpha era la ms grande y pesada de todo el Mar
del Norte.
Figura 14.
Fuente.
Descripcin del Accidente
El desastre comenz con un procedimiento rutinario de mantenimiento para

controlar una vlvula de seguridad en una bomba secundaria de propano
condensado
38
La vlvula fue retirada y reemplazada por una brida ciega provisoria

No tuvieron todo el equipo necesario hasta despus que termin el turno
Se autoriz a los trabajadores a completar la tarea al da siguiente
Esa noche, ms tarde, la bomba de condensado fall
El personal de la sala de control no saba que se haba realizado el
mantenimiento
Encendieron la bomba secundaria de condensado
La brida provisoria no era adecuada
Se produjo la fuga de productos de gas, se incendiaron y explotaron
No haba paredes protectoras contra incendios
El sistema automtico de inundacin no se activ ya que haba sido
apagado
Las tuberas de gas recin se desconectaron una hora despus de que
haban estallado, lo que contribuy a empeorar el incendio.

La tripulacin no haba recibido instrucciones
Falta de capacitacin
En este punto, las vas hacia los botes salvavidas ya estaban bloqueadas
por el humo y las llamas

La mayora de los 167 tripulantes falleci por asfixia con CO y humo en el
rea de alojamiento.
Figura 15.
Fuente.
39

Capacitation en Seguridad
o Capacitacin inadecuada de la tripulacin sobre procedimientos de
emergencia
o Capacitacin inadecuada de la gerencia sobre liderazgo en una
situacin de emergencia
o Entrenamiento en emergencia inadecuado
o Capacitacin inadecuada sobre comunicacin entre plataformas
o En 1988 se estableci una comisin de investigacin para aclarar
las causas del desastre. En noviembre de 1990, se lleg a la
conclusin inicial de que el accidente fue el resultado de una serie
de hechos que se inician con los trabajos de mantenimiento que se
llevan a cabo simultneamente en una bomba y vlvula de
seguridad. La investigacin fue muy dura con la empresa
responsable de la plataforma, la Occidental Petroleum Corporation,
que fue declarada culpable por insuficiente mantenimiento y
negligencia en los procedimientos de seguridad. Pero no se
presentaron cargos penales.
Fallas Organizativas
o Occidental Petroleum saba que exista un riesgo grave de que las
tuberas de gas estallaran en caso de incendio. Se haba
recomendado a la gerencia la aplicacin de medidas de control de
los riesgos. Occidental no actu en base a esta informacin
o La gerencia no cumpli las directivas de capacitacin
40
o No se aplic el sistema de permiso de trabajo. Si se hubiera

aplicado el sistema en la forma adecuada, la explosin inicial no se
habra producido jams.
o El principal problema fue que la mayora del personal que tena
autoridad para ordenar la evacuacin haba muerto con la primera
explosin que destruy la sala de control donde estaban. Esto fue
consecuencia clara y directa del diseo y reforma de la plataforma,
incluyendo la ausencia de paredes antiexplosin.
o Otro factor decisivo fue que las plataformas Tartan y Claymore
siguieron bombeando gas y petrleo a Piper Alpha hasta la ruptura
de la tubera por el calor de la segunda explosin.
o Los responsables de las distintas operaciones y plataformas no
tenan o crean que no tenan la autoridad para cerrar los
suministros an a pesar de recibir las alarmas y que podan ver el
fuego en Piper Alpha.
Lecciones Aprendidas
o En el informe de la investigacin del accidente se critic fuertemente
la cultura de la seguridad
o Las lecciones aprendidas afectaron a toda la industria del petrleo y
gas del Reino Unido
o Cambios importantes en la legislacin de salud y seguridad
relacionada con la industria del petrleo y gas
o Implementacin del caso de seguridad
o Las compaas de petrleo y gas deben considerar la cultura de la
seguridad y los Factores Humanos
o Los Factores Humanos y la cultura de la seguridad deberan
considerarse como parte de cualquier Sistema de gestin de
seguridad
41
Accidente de Passadena(USA), 1989

Una serie de explosiones e incendios consecuenciales, ocurridos el 23 de Octubre
de 1989 en la planta de Phillips Petroleum, en Pasadena (Texas, USA),
ocasionaron uno de los balances ms desastrosos de siniestros en la industria
qumica. El accidente ocasion la muerte de 23 personas, resultando heridas
otras 130 y prcticamente destruy toda la planta, produciendo daos estimados
en 750 millones de dlares (USA)
42
Caractersticas de las Instalaciones
La planta de Phillips estaba instalada en el complejo petroqumico del canal de

Houston, en Pasadena, estado de Texas. Ocupando una extensin de 3.200.000
metros cuadrados. En ella se fabricaban resinas de polipropileno, copolmeros de
butadieno-estireno, resinas de polietileno de alta densidad y otros productos de
base para las industrias transformadoras de plsticos.
La divisin de produccin del polietileno, donde ocurrieron las explosiones, se
extenda en una superficie de unos 250.000 metros cuadrados, en la que se
ubicaban cinco unidades independientes de fabricacin del polietileno. Los
procesos se llevaban a cabo en seis reactores, instalados tanto en edificios
cubiertos, como al aire libre, en construcciones de varios niveles con estructuras
de acero sin proteger. Los tanques y silos de almacenamiento eran tambin de
acero, sin recubrimiento protector, al igual que los edificios auxiliares y de
servicios de construccin ligera, basada en estructuras metlicas.
El proceso de fabricacin de las resinas de polietileno comprenda varias etapas
en cadena, que facilitaban la reaccin de una mezcla de, bsicamente, etileno,
isobutano y hexano en circuito continuo a travs de una conduccin de acero de
765 milmetros de dimetro. El tipo de polmero a obtener se consegua
modificando el catalizador aadido, a la mezcla citada anteriormente.
Dada la intensidad de las explosiones, prcticamente la totalidad de los sistemas
fijos de extincin y refrigeracin quedaron fuera de servicio.
El producto resultante se extraa de la parte inferior del reactor, en un estado
gelatinoso, que posteriormente era secado y extrusionado para obtener la
presentacin final en forma de granza. La granza se almacenaba en silos
metlicos, para su posterior distribucin por barco.
La resina de polietileno se usa para la fabricacin de envases de ciertos
productos lquidos, lminas de recubrimiento de embalajes, bolsas y objetos de
diverso uso. Esta operacin no se llevaba a cabo en la planta de Phillips.
43
Los sistemas de proteccin contra incendios estaban basados en detectores

automticos de gases y de incendio, combinados con supresores secos de
explosiones y mecanismos de refrigeracin en determinados equipos. Al mismo
tiempo, existan sistemas manuales de extincin y equipamientos de emergencia,
manejables por brigadas de bomberos voluntarios.
La empresa, junto con la mayora de industrias del complejo petroqumico, haba
establecido un Servicio de Ayuda Mutua, para prestarse apoyo ante accidentes
graves. Este servicio proporcionaba entrenamiento a las brigadas de las
empresas, primeros auxilios, equipos de emergencia de alta capacidad y otros
servicios de seguridad.
Descripcin del Accidente
The day before the incident scheduled maintenance work had begun to clear three
of the six settling legs on a reactor. A specialist maintenance contractor was
employed to carry out the work. A procedure was in place to isolate the leg to be
worked on. During the clearing of No.2 settling leg part of the plug remained
lodged in the pipework. A member of the team went to the control room to seek
assistance. Shortly afterwards the release occurred. Approximately 2 minutes later
the vapour cloud ignited.
The accident resulted from a release of extremely flammable process gases that
occurred during regular maintenance operations on one of the plant's polyethylene
reactors. More than 85,000 pounds (39 t) of highly flammable gases were released
through an open valve almost instantaneously.
During routine maintenance, isolation valves were closed and compressed air
hoses that actuated them physically disconnected as a safety measure. The air
connections for opening and closing this valve were identical, and had been
improperly reversed when last re-connected. As a result, the valve would have
been open when the switch in the control room was in the "valve closed" position.
After that, the valve was opened when it was expected to stay closed, and finally
passed the reactor content into air.[2]
44
A vapor cloud formed and traveled rapidly through the polyethylene plant. Within
90 to 120 seconds, the vapor cloud came into contact with an ignition source and
exploded with the force of 2.4 tons of TNT.[1] Ten to fifteen minutes later, that was
followed by the explosion of the 20,000-U.S.-gallon (76,000 L) isobutane storage
tank, then by the catastrophic failure of another polyethylene reactor, and finally by
other explosions, probably about six in total. [2]
Analisis de las causas del accidente
OSHA's major findings included: Lack of process hazard analysis; inadequate
standard operating procedures (SOPs); non-fail-safe block valve; inadequate
maintenance permitting system; inadequate lockout/tagout procedures; lack of
combustible gas detection and alarm system; presence of ignition sources;
inadequate ventilation systems for nearby buildings; fire protection system not
maintained in an adequate state of readiness. Additional factors found by OSHA
included: Proximity of high-occupancy structures (control rooms) to hazardous
operations;
inadequate
separation
between
buildings;
crowded
process
equipment; insufficient separation between the reactors and the control room for
emergency shutdown procedures.[2]
Quoting from a key OSHA document:[9]
"At the conclusion of the investigation (April 19, 1990), OSHA issued 566 willful
and 9 serious violations with a combined total proposed penalty of $5,666,200 to
Phillips 66 Company and 181 willful and 12 serious violations with a combined
total proposed penalty of $729,600 to Fish Engineering and Construction, Inc., a
maintenance contractor on the site."
Lecciones Aprendidas
1. Tener un plan de pre-emergencia integral es de gran valor.
Hubo una rpida respuesta seguida de la explosin. Unfortunately, most of
the damage and death toll was immediate, but the response to this disaster
was about as effective as could be hoped. The guidelines and procedures
45
set out by the CIMA handbook have been tried and tested. CIMA
exemplifies what communications and cooperative efforts can do. This
organization realizes it is not without fault, but it is quick to analyze after
each emergency and correct whatever may have arisen.
2. The use of a field command post along with a central command post made
possible well-coordinated response management in a major emergency.
CIMAs guidelines state that the distressed companys officials are the ones
in charge of actual suppression and emergency details within the
boundaries of the facility. CIMA, upon arrival, is there to provide
coordinated assistance, information, and recommendations as needed.
The company official in charge is designated as the field command post
and the CIMA chairperson becomes the central command post. This may
be viewed as dual command, but in a large scale disaster such as this,
single command can be overwhelming. This form of Incident Command
has worked well, at least in the highly cooperative and professional
environment of the CIMA.
3.
Accessibility for inspections allows responding fire departments to have

full knowledge of contents and possible dangers involved.
As part of the prerequisite for becoming a CIMA member, each company
must agree to cooperate totally with authorized inspectors of the CIMA
Inspection Officers. There is no conflict of interest involved since the
inspectors will be from other plants. Since this type of industry is highly
specialized and complex, there are not many who are better trained to
inspect than engineers and safety officers from similar work areas. These
are the same people that will be responding to emergencies and will
therefore exercise the utmost care to protect themselves and their units.
Most city and county fire inspectors are not versed enough in this type of
industrial technology to make adequate inspections.
46
4.
The separate staging area under the command of the central post was very
helpful for the quick response of apparatus, equipment, triage, and as a
rest and relief area.
By having the Central Post coordinate this area, the suppression and
rescue operations could be handled with the fire line being cluttered with
unneeded personnel. When a need for further assistance arose, it was
met by Field Command notifying Central Post who, in turn, called staging
for whatever was needed.
1
Availability of specialists in chemical fires and hazardous materials
(Hazmat) incidents are a necessity for large industrial areas such as the
Houston Ship Channel.
The CIMA organization has appointed a group of specialists who are
directed to respond to fire or emergency situations reported on the CIMA
emergency radio network. These specialists have knowledge in areas
such as chemical fire suppression and Hazmat spills or burns. They are
required to respond to all alarms. The first arriving specialist is instructed
to determine the needs, and to broadcast reports on the conditions to
other responding specialists.
An efficient, successful suppression operation can inadvertently leave

possible post-fire hazards from leftover pockets of unburned fuel.
During victim recovery operations pockets of remaining fuel were
discovered in some pipes. This fuel had not been burned off because of
the quick cooling of the pipes by suppression personnel and equipment.
Fuel residues such as this can be ignited during overhaul procedures.
Most likely, these will not cause extensive fires, but caution should be
2
exercised if one is not sure that all fuels are depleted.

First responders should use caution in how close they get to
hazardous areas during initial stages.
Although it is the responsibility of fire departments to contain and suppress
a fire, they must also show caution in approaching an explosive area. First
responders to this disaster stated that even outside the fence line their
equipment was being rocked by blast waves. Throughout the entire
47
suppression and recovery operation there were no injuries to emergency

responding personnel. But if the gas cloud had lingered longer before
being ignited and the response to the emergency call any faster,
suppression units might have been caught in the explosion (as happened
in a Henderson, Nevada, rocket fuel plant explosion in 1988).
3
Automated sprinkler protection systems should have main control valves

and connections below ground level if possible.
In heavy industry such as the Phillips Chemical Complex, there is potential
for explosions to occur. The explosion in this case did in fact sever aboveground connections to the sprinkler system. As great as this particular
explosion was, it may have damaged even a protected system, but Phillips
officials indicated that with any new plant design they would incorporate
below-ground-level sprinkler mains, valves, and connections as much as
possible. The same design consideration applies to smaller industry or any
circumstances where sprinklers could be damaged by an explosion.
Como podemos observar, muchas veces un pequeo error humano puede causar
la prdida de miles de vidas de seres vivos, ya que los humanos no somos los
nicos que resultamos daados sino la flora y fauna del Medio Ambiente tambin
es daada severamente. Las actividades econmicas que generan catstrofes
provocan
un
deterioro
ambiental
mucho
mayor
que
el
que
generan
los catstrofes naturales debido a que las sustancias emitidas por las explosiones
son en su mayora venenosas y perjudiciales para el oxgeno. Definitivamente al
querer el ser humano controlar todo, existe la probabilidad de que se le escape de
sus manos y se provoque un accidente y con estos ejemplos podemos verificar lo
citado.
En la investigacin de todos estos accidentes mencionados lneas arribas ninguno
fallo por los sistemas instrumentados de seguridad, pero los sistemas
instrumentados si pueden fallar, en los accidentes que ocurrieron los sistemas que
debieron haber funcionado como proteccin no lo hicieron por que estaban
bypaseados o en mantenimiento, no hace mencin si tuvieron o no sistemas
instrumentados de seguridad, en algunos de ellos la reingeniera desarrollada
48
para aumentar la produccin no tomo en cuenta la seguridad del proceso o en su

defecto fue muy pobre como anlisis para la implantacin.
Los ejemplos arriba mostrados son solo una pequea parte del total que se han
tenido hasta la actualidad, el ms reciente la explosin en PEDEVESA,
Lo importante aqu es que las empresas no estn acostumbradas ha realizar
auditoras a sus sistemas instrumentados de seguridad, ya sea porque
desconocen cmo hacerlo, no hay personal suficiente para realizarlo, o porque no
hay una poltica que venga desde la gerencia, hoy en la actualidad las plantas a
raz de los errores de otras empresas en el pasado muchas han invertido en
sistemas instrumentados de
seguridad pero
que pesar que lo tienen
implementado no le dan el adecuado cuidado y mantencin que se le debe

realizar.
Muchas veces los cambios en el proceso no son documentados, o no son
debatidos con todas las reas involucradas, los anlisis de riesgos operacionales,
HAZOP, no son revisados anualmente como debiera ser, las pruebas de
funcionalidad de los SIS no se hace correctamente ya que eso involucra parada
de planta en algunos casos, pero debe hacerse, como se puede saber si un
sistema instrumentado de seguridad trabaja correctamente, si nunca se ha
probado, como sabremos que una vlvula de seguridad ya sea una ESDV o BDV
se cerrar o abrir respectivamente segn sea el caso, cuando la presin
aumente en un tanque o en una tubera por donde pasa un gas altamente
explosivo y se
la requiera en un emergencia, muchas veces los factores
ambientales afectan la funcionalidad de la vlvula, uno de ellos es la corrosin.

Por un lado las vlvulas por otro lados los instrumentos de medicin SIS, como
sabemos que estn bien calibrados, como sabemos si ante una elevada presin o
temperatura leda por el instrumento este ordenara a la vlvula abrir o cerrar,
Esta bien desarrollada la lgica de control? Como sabremos que el lazo de
control o el interlock est trabajando bien? Est documentada esta prueba en el
sistema de gestin de mantenimiento? Que estndar en sistemas de seguridad
funcional estamos adoptando? Lo estamos cumpliendo?.
49
En si hay muchas interrogantes por hacerse, hoy en da los gobiernos a travs de

sus instituciones gubernamentales hacen auditoras a las empresas, pero incluso
los mismo auditores desconocen este tema de la seguridad funcional, en mi
experiencia he notado que solo piden pruebas de mantenimiento de algunas
vlvulas, de algunos trasmisores, este tema de los sistemas instrumentados de
seguridad en un tema relativamente nuevo, como se mencion el termino aparece
recin en 1993 en un libro de ingeniera qumica.
Las empresas hoy en da ante una auditoria por parte el gobierno salen
victoriosas, pero no por que tengan todo en regla, sino porque el auditor carece
de la experiencia necesaria y la metodologa para llevar a cabo una auditoria a los
sistemas instrumentados de seguridad funcional, tema que es muy complejo y
extenso y algunas veces es fcil de tergiversarle la verdad.
Otro punto a examinar son las lgicas de control que se encuentran dentro del
PLC de seguridad funcional, a veces las personas encargadas de control de
procesos o de mantenimiento en su rutina diaria de mantenimiento se dan cuenta
que un transmisor esta calibrado fuera del rango del que debe operar y por ende
si ocurre un evento este no lo detectara, ya que en la lgica de control tiene una
configuracin del rango diferente al del equipo y a la vez diferente con el data
sheet entregada por la compaa que hizo la ingeniera.
Segn un estudio hecho en el reino unido en 1995 las causas de accidentes en
las plantas industriales se dividen en lo siguiente:
50
Figura 16.
Fuente.
IV.3.
FORMULACION DEL PROBLEMA

En qu medida la Auditoria a los sistemas Instrumentados de Seguridad
Funcional incidir en la mejora de la confiabilidad en plantas de proceso
continuo?
IV.4.
MARCO TEORICO
IV.4.1. Seguridad Funcional.
La seguridad funcional hace referencia a la respuesta de forma adecuada

de componentes o subsistemas elctricos, electrnicos y electrnicos
programables implicados en materia de seguridad ante cualquier
estmulo externo, incluyendo errores humanos, fallos de hardware o
cambios en su entorno para llevar el proceso a un estado seguro. El
objetivo ltimo es minimizar el riesgo.
51
IV.4.2. Funciones
Instrumentadas de
Seguridad (Safety Instrumented
Function, SIF).
Segn la norma IEC 61511 Es una funcin de seguridad con un nivel de
integridad de seguridad especificado que es necesario para alcanzar la
seguridad funcional y que puede ser una funcin de proteccin de
seguridad instrumentada (Modo bajo demanda.- Cuando la demanda
ocurre una vez al ao) o una funcin de control de seguridad
instrumentada (Modo continuo.- Cuando la demanda ocurre dos o ms
veces al ao). [4].
IV.4.3. Nivel de Integridad de Seguridad (Safety Integrity Level, SIL).

Se define como un nivel relativo de reduccin del riesgo que provee una
funcin de seguridad, o bien para especificar el nivel objetivo para la reduccin
de riesgo. Tambin podra definirse simplemente como una medida de la
prestacin requerida para una SIF.
IV.4.3.1.
Sistemas Instrumentados de Seguridad (Safety Instrumented

System, SIS).
Un SIS es un sistema cuyo propsito es implementar las funciones de

seguridad(SIF) necesarias para llevar a la planta o un proceso a un
estado seguro en caso de presentarse un evento de riesgo o cuando
se han violado las condiciones de funcionamiento predeterminadas de
una variable. Se puede considerar como eventos de riesgo: nivel,
concentracin, presin y temperatura de lquidos fuera del rango
considerado normal.
Figura 17. Sistema Instrumentado de Seguridad (SIS)
52
Fuente.
La Figura 17. muestra un esquema simplificado de un sistema

instrumentado de seguridad. Est compuesto por tres subsistemas
fundamentales: elementos de entrada (sensores), solucionador lgico y
elementos finales de control (actuadores).Un sistema de control bsico de
procesos (Basic Process Control System, BPCS) consta tambin de los
mismos elementos, pero actan de diferente manera: El sistema de
control regula y controla el proceso mientras que el SIS brinda seguridad
al proceso.
IV.4.3.2. Sistemas de
Seguridad.
Control
como
Sistemas
Relacionados
con
Aunque hay definiciones ms amplias de este tema, se define un sistema de

control como un sistema que responde a las seales procedentes de la planta
y/o
un
operador,
haciendo
que los equipos
de planta
funcionen de la
manera
deseada.
planta
La
equipo que se
est
controlando se
designa como el equipo bajo control (Equipment Under Control, EUC).

Si el sistema de control desempea un rol de seguridad, ya sea como una parte
integral de la EUC o como un sistema de proteccin por separado, ser un
sistema relacionado con la seguridad.
53
Ejemplos tpicos de los sistemas de control utilizados para seguridad en la

planta y equipos son sistemas de "proteccin" y bloqueo (Interlock), pero en
ciertos casos se puede necesitar una combinacin de ambos con el sistema de
control de la mquina proceso
Sistemas de Bloqueo.
El bloqueo es un medio para impedir el acceso a un lugar que contiene una
parte o proceso peligroso, mientras que permite el acceso cuando el
peligro no est presente. Dicho sistema puede ser totalmente mecnico
o una parte integral del sistema de control, y a menudo es implementado
utilizando
componentes
robustos
simples
como
switches
rels
limitadores.
Sistemas de Proteccin.
Un sistema de proteccin es una forma particular de sistema de
control, a menudo incorpora el monitoreo continuo de estado de la
planta. Puede ser un simple dispositivo mecnico, tal como una vlvula
de seguridad o un SIS por separado, por ejemplo, el sistema de parada
de emergencia de una gran instalacin petroqumica. Son sistemas que
operan bajo demanda y su principal objetivo es llevar la planta o el
equipo a un estado seguro cuando un parmetro de funcionamiento
excede los lmites de seguridad. Es importante
que
estos
sistemas
sean probados frecuentemente para asegurar su disponibilidad para

llevar a cabo su funcin de seguridad.
Tcnicas
programables
permiten
realizar
un
autodiagnstico
automtico, se aplica ampliamente con los sistemas electromecnicos.

Sensores, actuadores, controladores y cableado de interconexin, todo
se pueden monitorizar continuamente durante la operacin de la
mquina o proceso. El autodiagnstico automtico se est empleando
cada vez ms en sistemas que requieren una alta integridad de seguridad.
54
IV.4.3.3. Evaluacin de seguridad y confiabilidad.

Durante las etapas de diseo, construccin y operacin de un SIS, la
evaluacin de seguridad y confiabilidad es importante ya que en base de
ella se puede seleccionar el SIS adecuado que cumpla con los requisitos
de funcionalidad y confiabilidad dados para una aplicacin en particular.
Durante la etapa de operacin del SIS la recoleccin de datos es
fundamental para actualizar la evaluacin de seguridad y confiabilidad,
adems de verificar que el SIS contine cumpliendo los requisitos
especificados para los que fue diseado. Algunas de las actividades de la
evaluacin de seguridad y confiabilidad son:
Modelado y clculo de la confiabilidad.Para el modelado se puede utilizar diagramas de bloque de confiabilidad
(Reability Block Diagrams, RBD), modelos de Markov y anlisis mediante
rboles de falla (Fault Tree Analysis, FTA). Los clculos pueden ser
obtenidos de frmulas exactas o aproximaciones de las mismas.
Revisin del diseo.Consiste en revisar
software,
as
tambin
la
documentacin
en
evaluar
si
del
se
hardware
cumplen
del
todos
los
requerimientos establecidos.
Etapa de prueba.Se ejecuta una vez que el hardware y el software han sido
implementados, iniciando con elementos individuales hasta llegar a los
lazos de la SIF. Durante la etapa de operacin se puede revelar fallas
ocultas en el SIS y verificar si se han realizado cambios en el hardware o
software del mismo.
Anlisis de fallas.Consiste en asegurar que todas las causas de falla y sus efectos son
identificados y tratados en el diseo del SIS. En la etapa de operacin
puede utilizarse para determinar acciones correctivas para prevenir fallas
similares a futuro.
55
Los requerimientos establecidos para el diseo de un SIS estn dados en

regulaciones
estndares
que
son
provistos
por
autoridades
regulatorias nacionales e internacionales.
IV.4.3.4. Guas Industriales, Estndares y Regulaciones

IEC 61508.
La Comisin Electrotcnica Internacional lanz este estndar global
para
sistemas instrumentados de seguridad que abarca mltiples
industrias como transporte, mdica, nuclear y de procesos.

Su objetivo principal es servir de gua para que otras industrias
individuales puedan desarrollar sus propios estndares para que
cumplan los requerimientos de esta norma. Otra aplicacin de este
estndar es la validacin de nuevas tecnologas desarrolladas para
aplicaciones relacionadas con seguridad, por ello a esta norma tambin
se la conoce como el estndar de los vendedores.
Este documento consta de siete partes:
1. Requerimientos
generales.-
Describe
los
pasos
que
son
necesarios para la identificacin de peligros y riesgos, para de

esta manera definir la reduccin de riesgo necesaria para
diferentes sistemas y las actividades necesarias para realizar la
integracin total del sistema.
2. Requerimientos
para
Elctricos/Electrnicos/Electrnicos
56
sistemas
3. Programables (E/E/PE) relacionados con seguridad.- Provee

los requisitos para el diseo del hardware y su integracin con
el software.
4. Requerimientos de software.- Define los requerimientos para la
seleccin, implementacin y verificacin de las herramientas
de software, aplicaciones y lenguajes de programacin.
5. Definiciones y Abreviaciones.- Es una lista de definiciones y
abreviaciones utilizadas en el estndar.
6. Ejemplos de mtodos para la determinacin de los niveles
integrados de seguridad.- Hace referencia a mtodos para
determinar el SIL.
7. Guas en la aplicacin de IEC 61508-2 y IEC 61508-3.Se refieren a lineamientos para aplicacin de la parte 2.
Revisin de tcnicas y medidas.- Recomendaciones especficas.

Las primeras tres partes son normativas mientras que las otras cuatro
partes proveen anexos informativos al estndar
IEC 61511.
La norma IEC 61511 denominada Seguridad Funcional: SIS para el Sector
de la Industria del Proceso fue desarrollada para el sector de las
industrias
de
proceso
aplicable,
no
solo
fabricantes
suministradores, sino tambin a diseadores del nivel de seguridad,

integradores y usuarios. Fue publicada en el 2003 y en ocasiones es
llamada El estndar de los usuarios. Esta norma aplica los mismos
conceptos de la IEC 61508 con algunos cambios en la prctica, conceptos
y trminos en la industria de procesos.
Consta de tres partes:
Marco, definiciones, sistema, requisitos de hardware y software.
Guas para la aplicacin de la IEC 61511, parte 1.
Gua para la determinacin de los niveles de integridad de seguridad
requeridos.
Es una norma tcnica que establece las prcticas en la ingeniera
de sistemas que garantizan la seguridad de un proceso industrial
mediante el uso de la instrumentacin, estos sistemas se denominan
57
SIS.
El
sistema
de
gestin
del
SIS
debe
definir
cmo
un
propietario/operador tiene intencin de evaluar, disear, verificar, instalar,

validar, operar, mantener y mejorar continuamente sus SIS.
Las
funciones esenciales del personal asignado a la gestin del SIS

deben
segn
estar
sea
contempladas y bien definidas en procedimientos,
necesario,
para apoyar la ejecucin coherente de sus
responsabilidades.
El sector de la industria de procesos incluye muchos tipos de procesos
de fabricacin, tales como refineras, petroqumicas, qumicas, energa,
farmacuticas de pasta y papel, por ello la norma IEC 61511 cubre el
uso de equipos elctricos, electrnicos y electrnicos programables,
as tambin es aplicable a los equipos que utilizan sistemas hidrulicos
o neumticos para manipular elementos finales, pero no cubre el
diseo e implementacin de la lgica neumtica o hidrulica.
IV.4.3.5. Capas de proteccin
En muchos casos, una medida de seguridad individual no puede por s

sola reducir el riesgo a niveles tolerables, proteger una planta y a su
personal contra daos o mitigar la propagacin de los mismos si ocurre
un incidente peligroso. Por esta razn la seguridad se implementa en
forma de capas protectoras: una secuencia de dispositivos mecnicos,
controles de proceso, sistemas de parada y medidas de respuesta
externas que previenen o mitigan un evento peligroso. Si llegara a fallar
una capa de proteccin, las sucesivas capas estarn disponibles para
llevar el proceso a un estado seguro. A medida que aumenta el
nmero de capas de proteccin y su confiabilidad, tambin aumenta la
seguridad del proceso. En la figura 1.9.1 se muestra la sucesin de
capas de seguridad en el orden de su activacin:
58
Figura 18. Capas de Proteccin (Modelo de la Cebolla)
Fuente.
IV.4.3.6. Capas de Prevencin:
Proceso.- El proceso por s mismo debe ser intrnsecamente seguro, es

decir, proporcionar seguridad al operador.
Sistema de Control Bsico de Procesos (BPCS).- El BPCS brinda
seguridad a travs del diseo apropiado del control de proceso. Este
nivel consiste de controles bsicos, alarmas y supervisin del operador.
Alarmas, Intervencin del Operador.- Esta capa aporta alarmas crticas
que alertan a los operadores acerca de una condicin en la cual una
medicin ha excedido sus lmites especificados y podra requerir
intervencin.
Sistema Instrumentado de Seguridad.- El SIS opera independientemente
del BPCS para brindar seguridad.
El SIS realiza acciones de parada
cuando las capas previas no pueden resolver una emergencia.
59
Dispositivos de alivio.- Esta capa activa, emplea vlvulas, dispositivos de

alivio de presin o un sistema de antorcha (si hay presencia de
combustibles) para impedir una ruptura, derrame u otro escape no
controlado.
IV.4.3.7. Capas de Mitigacin

Proteccin Fsica.- Esta capa de proteccin es pasiva ya que hace
referencia a la infraestructura fsica de la planta que se encarga de
contener derrames (combustibles o sustancias qumicas) que pudieran
darse. Por ejemplo: Diques.
Respuesta de la planta.- Esta capa al igual que la anterior tambin es
pasiva consiste de barreras de contencin contra fuego o explosiones
como as tambin procedimientos para evacuacin.
Respuesta de la comunidad.- El nivel final (externo) de proteccin es la
accin de respuesta de emergencia implementada por la comunidad y se
refiere a bomberos y otros servicios de emergencia.
La reduccin del riesgo mediante la seleccin cuidadosa de parmetros
operacionales bsicos del proceso constituye una pieza clave en el
diseo de un proceso seguro. Cada capa
de
proteccin
adicional
consiste de un conjunto de equipos y/o controles administrativos, que

interactan con otras capas de proteccin, reduciendo de esta manera el
riesgo.
IV.4.3.8. Diseo del Ciclo de Vida de Seguridad.

El objetivo principal del ciclo de vida es la reduccin de riesgos a niveles
tolerables. Se trata de una metodologa prctica que delimita los pasos
necesarios a seguir para alcanzar la seguridad integral de las plantas de
proceso, definiendo la secuencia a seguir y la documentacin de cada
fase. Para ello la normativa IEC 61511 establece una serie de etapas
que ayudan y sirven de gua para conseguir este objetivo.
60
Representa una descripcin simplificada de los pasos que deben seguirse

para desarrollar un SIS segn la norma actual, pero no necesariamente
representa el proceso funcional necesario que una compaa o empresa
deba implementar para el diseo de un SIS en particular.
Lo que se busca establecer es que cada empresa tenga un
procedimiento formal y organizado para el diseo de sistemas de
seguridad que debe cumplir con los requerimientos fundamentales de
seguridad de la empresa, con el ciclo de vida, con las normas
regulaciones de seguridad establecidas por el pas y procedimientos

de ingeniera. La figura 1.10.1 muestra el ciclo de vida de un SIS segn la
norma IEC61511
Figura 19. Ciclo de Vida segn norma IEC 61511 [4]
Fuente.
En la Figura 19 se define el Ciclo de Vida de Seguridad segn la norma

IEC 61511, aqu se especifican todos los pasos a seguir desde el inicio y
desarrollo conceptual del proyecto hasta el fin de la instalacin y su
desmantelamiento
61
Figura 20. Ciclo de Vida Segura
Fuente.
Diseo conceptual del proceso.- Esta primera etapa se refiere a la

informacin del proceso, es decir, el conocimiento del proceso entrega
una idea preliminar de los peligros y riesgos potenciales del proceso, de
los equipos y materiales, que sern estudiados y desarrollados en futuras
etapas del ciclo de vida.
Identificacin de peligros y riesgos.- En esta etapa se requiere una
detallada informacin para identificar los peligros y riesgos potenciales
de dao asociados al proceso. Una vez identificados los peligros y riesgos,
se aplicar la tecnologa y medidas adecuadas para eliminar la
amenaza, reducir sus consecuencias o la ocurrencia del evento
peligroso.
62
Identificar capas de proteccin no SIS.- En esta etapa se consideran las

capas de proteccin necesarias para mitigar los efectos de un evento
peligroso, dichas capas deben actuar antes que el SIS.
Determinacin del SIL objetivo.- Esta etapa se establece el SIL para
cada SIF. La asignacin del nivel SIL de una SIF se basa en el anlisis de
riesgos, mientras que el nivel de riesgo tolerable es una decisin
corporativa basada en una filosofa de gestin de riesgos y de su
tolerancia.
IV.4.3.9. Desarrollar
seguridad
especificaciones
(Safety Requirements
desarrollan
las
Specification,
de
SRS).-
requerimientos
de
En
se
esta
etapa
SRS, documento en donde se recogen todos los
resultados de la fase de anlisis del ciclo del vida. No hay reglas

generales
que
puedan
aplicarse
en
forma
global
ya
que
los
requerimientos de seguridad dependern del proceso analizado.

Diseo conceptual del SIS.- En esta etapa, se desarrolla un diseo inicial
para verificar si se cumple con los SRS y SIL de operacin. Se debe
inicialmente seleccionar una tecnologa, arquitectura e intervalo de
prueba. Posteriormente se debe proceder a la verificacin cuantitativa
para ver si el sistema propuesto cumple los requerimientos de
operacin.
Diseo detallado del SIS.- El objetivo de esta etapa es finalizar y
documentar el diseo conceptual. Se elaboran planos elctricos, protocolo
de pruebas, diseo de programacin, es decir, toda la documentacin
entregada al constructor.
Instalacin, comisionamiento y pruebas pre-puesta en marcha del SIS.En esta etapa se debe asegurar que el sistema sea instalado de
acuerdo al diseo conceptual elegido siguiendo procedimientos estrictos
para evitar errores en su implementacin y que opere de acuerdo a la
63
SRS. Antes de que el sistema sea llevado a su emplazamiento debe ser

probado hasta su correcta operacin(pruebas Factory Acceptance Test,
FAT). Una vez instalado se debe verificar que el sistema est de
acuerdo al diseo detallado incluyendo los dispositivos de campo
(pruebas Site Acceptance Test, SAT).
Procedimientos
de
mantenimiento y operacin.- Son
para mantener la integridad del SIS.
importantes
Deben incluir detalles de cmo
operar y mantener el SIS, procedimientos alternativos de operacin del

SIS en una condicin de disminucin de seguridad, procedimientos
operativos en condiciones normales y de emergencia, mantenimiento
preventivo, repuestos y procedimientos para la administracin de
cambios.
Revisiones de seguridad pre-puesta en marcha.- En esta etapa se
realiza un estudio funcional y una inspeccin completa del SIS con el fin
de demostrar que cumple con los requerimientos de la especificacin de
diseo y asegurar as su integridad, permitiendo validar el SIS.
Operacin y mantenimiento del SIS.- Esta es la etapa ms larga del
ciclo de vida del SIS, es el perodo durante el cual la planta es operativa.
Es importante una poltica de operacin y mantenimiento adecuada que
garantice que el SIL de cada SIF no se degrade y se mantenga dentro de
los lmites especificados, adems que la seguridad funcional del SIS se
mantiene dentro de las SRS.
Retiro del servicio del SIS.- La etapa final del ciclo de vida se refiere a
las precauciones que deben ser tomadas cuando el SIS es
decomisionado y desmantelado.
El primer paso descrito en el estndar es comprender los peligros y
riesgos asociados al proceso, ste anlisis se debe llevar a cabo en los
procesos de instalaciones tanto nuevas como existentes en donde se
realicen modificaciones en su proceso o en aquellas que no cuentan con
dicho anlisis. Para poder realizar esta tarea, se requiere detallada
informacin para poder identificar los peligros y causas potenciales de
64
dao asociados al proceso.

personal,
produccin,
Se debe considerar el riesgo sobre el
equipos,
medio
ambiente
poblaciones
circundantes.
Existen diferentes mtodos para la identificacin de peligros, tales como
HAZOP, Qu pasa si?, rbol de Fallas y Lista de Verificacin
(Checklist). El mtodo HAZOP se presenta como una de las tcnicas
ms rigurosas y estructurada para la identificacin de los peligros
asociados a una planta de proceso.
La norma IEC 61511- 3
recogediferentes mtodos de anlisis de riesgos tiles para encontrar el

valor objetivo SIL
IV.4.3.10. Ejemplos de Fallas Ocurridas en Diferentes Fases del Ciclo
de Vida.
La falla de un sistema de control puede ser atribuida a errores u
omisiones cometidos en una de las fases del ciclo de vida (1.10.1). Un
esquema de clasificacin simple ha sido desarrollado para el anlisis de
las causas de los incidentes que se incluyen en esta seccin a partir del
ciclo de vida de seguridad.
La mayora de los incidentes ocurren a causa de errores en ms de
una fase, y con frecuencia es difcil juzgar qu error es el ms
significativo. Algunos ejemplos se incluyen a continuacin
Falla en la especificacin de los requisitos de seguridad.

Error en la especificacin provoca descarga a la atmsfera.- En una planta
con un reactor controlado por una computadora, la especificacin para el
programa informtico para el manejo de las alarmas de la planta tena
un error fundamental. La computadora fue programada de manera
que si una falla se produjo en la planta, todas las variables
controladas, por ejemplo, tasa de flujo de agua de refrigeracin,
mantengan su estado actual y una alarma se apagara. La computadora
tambin haba sido programada para aumentar el flujo de agua de
refrigeracin para el condensador de reflujo inmediatamente despus de
que un catalizador haba sido aadido al reactor. Cuando una falla
65
surgi despus de que se haba aadido el catalizador, la computadora

fall al aumentar el flujo de agua de refrigeracin, el reactor se sobre
calent, la presin aument y caus que el contenido sea descargada a
la atmsfera cuando la vlvula de alivio se abri.
Este incidente se produjo a pesar de que un anlisis de riesgos se haba
realizado. Este anlisis no fue lo suficientemente completo, o las
personas que llevaron a cabo dicho anlisis hicieron suposiciones
errneas acerca de cmo el programador interpretara los requisitos del
diseo en la fase de detalle de diseo. Cualquiera que sea la razn, los
interesados tanto en el diseo del sistema de control como en la
programacin
especificacin
de
la
computadora,
inadecuada
de
se
las
presentaron
con
funciones
una
de
seguridad de la planta. El propsito principal de una especificacin es

proporcionar una forma muy clara de comunicar las necesidades del
usuario.
El
efecto
de
esta
combinacin
particular
de
eventos
probablemente habra sido revelado si la especificacin haba sido

analizada con respecto a los modos de falla del sistema de control
Falla en la especificacin de integridad de seguridad.

Falla en la computadora resulta en un riesgo potencial para los
operadores.- Una de un grupo de computadoras que controlan una
planta qumica fracas, produciendo un inapropiado ajuste de un
nmero de vlvulas de proceso.
El personal operativo fue
potencialmente puesto en riesgo, oportunamente el polmero fundido fue

descargado de los autoclaves presurizados sobre el suelo antes de la
operacin normal. La investigacin revel
fall
en
el
que un
microprocesador que controla
circuito
integrado
el funcionamiento de una
interfaz de entrada/salida.
La falla fue tal que el procesador establece en uno (todas las vlvulas
abiertas) todas las seales de los dispositivos de salida.
La fuente
principal de alimentacin sufri altos niveles de interferencia transitoria
66
que el regulador de voltaje no pudo manejar. El regulador de voltaje

eventualmente fall, causando la falla en el circuito integrado.
La falla del microprocesador se haba previsto en el diseo original del
sistema de la computadora, pero el mecanismo de deteccin de fallas
tena errores de diseo. La deteccin de fallas fue realizada por un
circuito de perro guardin (watchdog)configurado para activarse cuando
un bit de estado cambie a cero, lo que indica una falla del procesador. Sin
embargo, cuando el circuito integrado fall, configur todos los bits,
incluyendo el bit de estado en uno, lo opuesto al estado necesario para
disparar el perro guardin. Por ello la falla no fue reconocida. La
investigacin posterior revel que haba ms de 90 defectos en el
software, aunque ninguno tuvo lugar en este incidente en
particular.
La causa raz de este incidente fue que el control de la
computadora haba sido implementado
una
planta
existente,
anteriormente controlada por la tecnologa tradicional. Ningn anlisis

de peligros y riesgos se haba realizado antes de este cambio, y no se
haba
desarrollado una
especificacin
de requerimientos
de
integridad de seguridad. La compaa llev a cabo una investigacin

detallada sobre este incidente con un HAZOP, que incluy el examen en
detalle los modos de falla del equipo, y sus efectos sobre el sistema de
control como un conjunto.
Un importante hallazgo de este HAZOP fue que la computadora o sistema
programable debieron estudiarse al mismo tiempo con el diseo del
proceso, no en forma aislada o retrospectivamente. Adems, los
costos de este estudio y los de aplicacin de sus resultados fueron
estimados en ser diez veces superiores a las que se habra incurrido si el
trabajo se hubiera hecho en el proyecto original.
La planta fue re-comisionada bajo control de la computadora solamente
despus de que se ha mejorado la calidad de las fuentes de alimentacin,
los defectos detectados en el software fueron corregidos, y el sistema de
deteccin de fallos fue mejorado. El circuito de
configurado
para
reconocer
67
una
vigilancia
fue
secuencia de bits generados
especficamente en cada ciclo para comprobar el funcionamiento del

procesador de interfaz
Falla en el diseo e implementacin.
Falla en el diseo del sistema de ventilacin de un puente gra.- Un
puente gra con una capacidad de 450 toneladas estaba siendo
controlado desde el control colgante suspendido del carro principal.
Los operadores se fueron al descanso, dejndola gra estacionaria,
pero energizada. A su regreso, los operadores encontraron que la gra
se haba movido sin que alguien la opere. Afortunadamente, el puente
gra fue detenido por el interruptor final. Si se hubiera movido en la
direccin opuesta, habran tenido serias consecuencias.
La gra utiliz motores de corriente continua controlados por tiristores en
un sistema de control de velocidad en lazo cerrado, adems utilizaba
amplificadores electrnicos y magnticos. El sistema de control y los
amplificadores de tiristores eran sensibles a la temperatura y requeran
enfriarse por ventiladores que eran alimentados a travs del contactor
principal.
Cuando se detuvo el puente gra, el contactor principal qued
energizado debido a la necesidad de mantener los ventiladores
funcionando. Una falla en los componentes electrnicos que forman
parte del sistema de control de velocidad gener una seal de velocidad
y, como resultado, el puente gra se movi.
Este incidente muestra la necesidad de considerar los requerimientos de
seguridad para todos los modos de operacin, incluyendo los modos de
espera, durante el proceso de diseo. Hubo una serie de caractersticas
insatisfactorias del diseo de este sistema de control:
Se trataba de un solo canal, por lo que la falla de un solo
componente podra afectar a la seguridad, por ejemplo, prdida
de la seal de realimentacin.
El sistema de control no se pudo aislar desde el lado de
alimentacin debido a la necesidad de refrigeracin.
68
La solucin involucr cambios en los acuerdos de distribucin de

energa para que el sistema de control y los ventiladores puedan ser
alimentados por circuitos separados. Entonces fue posible dejar al
puente gra sin vigilancia de manera segura con los ventiladores
encendidos, pero con el sistema de control des-energizado
Falla en la instalacin y comisionamiento.

Liberacin de gas en una planta qumica.- En una fbrica de
productos qumicos controlada por computadora, una vlvula de gas del
reactor se abri involuntariamente, causando que la lnea de ventilacin
de gas residual se rompa y libere gases nocivos a la atmsfera. Las
investigaciones establecieron que no hubo ninguna operacin programada
o manual de la vlvula, la cual fue posteriormente encontrada
funcionando de manera correcta. La investigacin, sin embargo se
concentr en el sistema de control y finalmente en la interfaz de salida de
la computadora. La interfaz de salida contena tres tipos de tarjetas de
comunicacin a travs de direcciones comunes y autopistas de datos
para el sistema de control principal.
Una amplia investigacin del incidente determin que una falla
en la tarjeta del controlador caus la apertura de la vlvula de gas. El
error fue identificado como la omisin de una conexin a tierra para el
bit nmero 15 en el terminal de datos, el cual en este caso fue
utilizando como una lnea adicional de direccin. Esto significaba que
la direccin de la tarjeta no era nica, por ello estaba respondiendo a
los comandos y los datos del sistema de control que estaban
destinados
una
tarjeta
diferente.
Se
descubri
que esta falla afect a dos de estas vlvulas de gas y que haba
estado presente durante los seis aos desde que el sistema de control
fue
instalado.
Su
presencia
fue
revelada
solamente
por
la
combinacin particular de estados de la planta antes del incidente.

La vlvula de gas del reactor fue requerida para congelar si la salida
de la tarjeta del controlador fall, la vlvula fue controlada desde una
69
tarjeta de salida que provee un tren de pulsos. Estas tarjetas permiten

seleccionar entre una secuencia de pulsos positivos o negativos,
proporcionando dos conexiones de entrada para el bit 15 en la
terminal de datos, la entrada no utilizada requiere ser conectada a
tierra. Esta fue la omisin de esta conexin que provoc que la tarjeta
de salida de pulsos respondiera a los mensajes orientados a la tarjeta
de salida de estado encendido / apagado.
Otros factores incluyen la inadecuada inspeccin previa a la entrega,
la cual no detect la conexin faltante y la cuestionable decisin de
diseo que confi en el estado de un solo bit en la secuencia de
direccionamiento del sistema relacionado con la seguridad. Este
incidente demuestra la importancia de la instalacin detallada y los
procedimientos de comisionamiento, de
manera
que
no
se
comprometa la integridad de seguridad incorporada en el sistema. Los

procedimientos de instalacin y comisionamiento necesitan ser
especificados de la forma ms explcita posible, con los documentos
de apoyo que estn firmados por el tcnico de instalacin despus de
las inspecciones exhaustivas y pruebas funcionales.
Falla en la operacin y mantenimiento.

Hombre muere aplastado por elevador de carga en fbrica de
alimentos.- En una fbrica de alimentos se utiliz un sistema de cintas
transportadoras para mover las bandejas de comida preparada desde y
hasta una sala de refrigeracin. Esta habitacin fue equipada con
elevadores de entrada y salida, y el sistema completo fue controlado por
computadora. Se ha reportado que un elevador estaba defectuoso,
fue durante la investigacin y reparacin de este elemento que un
hombre muri aplastado mientras intentaba re-conectar un sensor de
proximidad al sistema de control.
La informacin se introduca en la computadora utilizando un cdigo para
el producto y un cdigo adicional para su destino dentro de la planta. La
70
computadora tambin utilizaba las salidas de los sensores de

proximidad y dispositivos detectores de posicin, para determinar en
dnde estaban las bandejas de comida dentro del sistema.
Se haba proporcionado un dispositivo de aislamiento de energa para el
motor de izaje de la unidad, pero no se utiliz y el hombre estaba tratando
de volver a conectar los cables sueltos de un detector de proximidad
mientras la computadora estuvo en modo operativo.
Dos de los tres cables necesarios haban sido re-conectados con xito,
pero re-conectar el cable final tena el efecto de enviar una seal a la
computadora, la cual inicia un movimiento descendente del elevador,
aplastando al hombre mientras realizaba la conexin.
Las partes peligrosas de la maquinaria deben estar siempre
encerradas para evitar el acceso del personal. Cuando es necesario
el acceso, como en las operaciones de mantenimiento, un sistema de
bloqueo debe utilizarse para desconectar la alimentacin de los
actuadores antes de que el personal de mantenimiento pueda acceder a
los equipos. Un sistema seguro de trabajo, por ejemplo, un
procedimiento de permiso de trabajo, tambin habra sido apropiado
en estas circunstancias, asegurar que la alimentacin fue apagada.
Cuando se requiere el acceso a un sistema de control energizado, como
en la configuracin de la mquina o en la bsqueda de errores, entonces
an debe mantenerse la seguridad.
Una solucin es disear el sistema de bloqueo que protege al operador
de tal manera que cuando se coloca en su modo de configuracin, que
active automticamente un modo restringido de operacin que no pueda
ser anulado. Algunos ejemplos son los modos de marcha lenta y de
diagnstico controlados por una computadora en la cual se ejecutan
programas especiales para diagnosticar fallas. En este caso, debido a la
posibilidad de lesiones graves, el equipo debi haber sido desconectado
de la alimentacin.
El aislamiento y bloqueo de equipos por medios mecnicos son los
mejores mtodos para garantizar la seguridad durante las operaciones de
mantenimiento
71
Falla en debido a cambios realizados despus del comisionamiento.

Lista de equipos de perforacin del Mar del Norte.- Los nuevos
propietarios de una plataforma
queran
que
se
lleven
de
perforacin
semi-sumergible
cabo grandes modificaciones. Una vez
terminadas las modificaciones, la plataforma realiz diversas tareas de

perforacin en el Mar del Norte. Despus fue colocada en un rea
de almacenamiento durante seis meses debido a la falta de trabajo.
Cuando el buque se puso en servicio durante el prximo contrato de
perforacin, se detect un inclinacin debido a prdida de energa.
Despus de que se restableci el suministro elctrico se encontr que
algunas de las vlvulas de control del sistema de lastre no estaban
totalmente cerradas y esa fuga estaba causando una inclinacin en la
plataforma. La tripulacin estaba aguardando junto a botes salvavidas y
la inclinacin de la plataforma era de 16 grados al momento en que se
encontr la falla.
En operaciones normales, el equipo de perforacin se mantuvo a nivel
mediante el bombeo de agua entre varios tanques de lastre y las
vlvulas entre los tanques de lastre fueron controladas elctricamente y
operadas hidrulicamente. Durante modificaciones a la plataforma, las
vlvulas de control de las tres fueron hechas totalmente hidrulicas.
Adems, dos vlvulas de cierre de seguridad operadas elctricamente,
se instalaron en la lnea principal de suministro hidrulico en cada una
de las dos consolas de mando para proteger el sistema de lastre. En el
caso de que la alimentacin elctrica falle, se esperaba que estas
vlvulas liberaran la presin hidrulica en todas las lneas de operacin
de las vlvulas de lastre, haciendo que las vlvulas de las tres de cierren
por lo que el exceso sera congelado.
Una investigacin encontr que un filtro fundamental en el sistema
hidrulico no se haba arreglado y esto permiti que los desechos en
tubera se alojaran en las vlvulas de apagado de seguridad. Las juntas
de estas vlvulas se daaron cuando las vlvulas operaron durante el
corte de energa, esto permiti que el fluido hidrulico ingres a las lneas
de retorno cuando se restablezca el suministro elctrico. Esto a su vez
72
provoc una contrapresin en los actuadores de las vlvulas de control

de lastre que se abrieron parcialmente y causaron la inclinacin de la
plataforma.
La causa primaria del incidente fue la omisin del filtro. Sin embargo, la
investigacin tambin mostr que los procedimientos de lavado de
residuos en la tubera del sistema hidrulico eran inadecuados despus
de la modificacin. Adems, el diseo del sistema de control modificado
no haba sido validado correctamente y era intrnsecamente inseguro.
Aunque el sistema hidrulico haba sido purgado, la forma y la secuencia
de lavado no fueron especificadas, por lo que se cree que los
desechos y materiales extraos se quedaron en el sistema. Cuando
un sistema complejo est siendo re-comisionado, es particularmente
importante que una
especificacin del trabajo est definida e
implementada.
Aparentemente tareas simples como el ajuste de un filtro y el lavado de
un sistema de tuberas pueden ser ineficaces por falta de atencin a
los detalles y la ausencia de procedimientos del proyecto.
La necesidad de un filtro fue reconocida, lo que debera haberse
esperado es que los desechos inevitablemente se acumularan en el
sistema hidrulico y la capacidad de la lnea de retorno debi haberse
diseado considerando esta falla. Estas deficiencias seran rebeladas si
una validacin formal de la seguridad se hubiera llevado a cabo sobre
las modificaciones propuestas. Los controles sobre el diseo eran en
realidad muy pobres y ni siquiera incluyen los clculos del flujo o presin.
Cuando se contempla una modificacin de un sistema de control
relacionado con la seguridad, la especificacin de requisitos de
seguridad debe ser revisada para confirmar que la modificacin
propuesta no reducir la integridad de seguridad original del diseo.
IV.4.4. Definiciones Generales en Anlisis de Riesgos.

El objetivo de un anlisis de riesgos es la identificacin de los peligros
del proceso, estimar su riesgo y decidir si el riesgo es tolerable. Para
reducir su riesgo a un nivel tolerable, el primer recurso son las capas de
73
proteccin, en caso de no alcanzar un nivel de riesgo deseado despus de

aplicar dichas capas, se requerir implementar un SIS.
En caso de precisar un SIS, los resultados del anlisis de riesgos deben
estar constituidos por los datos de entrada para la determinacin del SIL
buscado de las SIF identificadas. Este anlisis por lo tanto incluye la
identificacin de las SIF que son necesarias para detectar un inminente
dao y llevar al proceso a un estado seguro.
Algunos trminos relacionados al anlisis de riesgos se definen a
continuacin:
Peligro
Segn la norma IEC 61511 se define como: Fuente potencial de dao. El
trmino incluye daos a las personas que surgen a corto plazo, por
ejemplo, incendio y explosin, as tambin los que tienen un efecto a largo
plazo, por ejemplo, la liberacin de una sustancia txica .
Evento
La norma IEC 61511 lo define como: una accin que puede causar
lesiones fsicas o daos a la salud de las personas directa o
indirectamente, como resultado de los daos a la propiedad o al medio
ambiente
Incidente
Se considera a cualquier evento que no forma parte del desarrollo habitual
de un proceso y que causa, o puede causar una interrupcin del mismo.
Puede considerarse una falla segura.
Accidente
Es un acontecimiento que sucede sin intencin alguna produciendo daos
al personal, infraestructura y maquinaria.
Consecuencia
Se refiere a la situacin resultante al desatarse un evento.
Severidad
74
Hace referencia al nivel de gravedad que puede tener un evento (Figura

21).
Frecuencia
Hace referencia a la cantidad de veces que se repite un evento dentro de
un intervalo de tiempo (Figura 21).
Figura 21. Determinacin de Probabilidad o Frecuencia
Fuente.
Riesgo
Segn la norma IEC 61511 es la combinacin de la frecuencia de
ocurrencia de un evento y la severidad de dicho evento.
Usualmente el riesgo se define como una medida que resulta de la
combinacin de la probabilidad de que se produzca un evento peligroso y
la severidad de dicho evento; en otras palabras cuan a menudo puede
75
suceder y que tan malo puede ser. Puede ser evaluado cuantitativamente
o cualitativamente.
Aunque en las normas de seguridad como la IEC 61511, el riesgo se
centra en riesgo personal y riesgo para el medio ambiente; la
mayora de compaas extienden las categoras y factores de riesgo
e incluyen seguridad y salud pblicas, costos de responsabilidad civil,
daos a equipos y prdida de imagen de la empresa
IV.4.5. Tcnicas de Anlisis e Identificacin de Riesgos
Algunas de las tcnicas ms utilizadas se definen a continuacin:
Revisin
Auditoras
de
Seguridad.-
Se
enfocan
en
la
implementacin adecuada de programas y normas de Seguridad.

Investigacin de Accidentes/Incidentes.- Su propsito es descubrir las
causas bsicas de los accidentes y establecer medidas correctivas
para evitar su repeticin.
Lista de verificacin (Checklist).-
Aplica
listas
de
verificacin
previamente desarrolladas. Registra acciones y sus consecuencias.

Qu pasa si?.- Utiliza un equipo de personas con experiencia para
poner a prueba los peligros mediante preguntas: Qu pasa si?.
Estudio de Peligros y Operabilidad (Hazards and Operability, HazOp).Identifica sistemticamente peligros o problemas de operabilidad a
travs del diseo de una instalacin.
Anlisis de Modo y Efecto de Falla (Failure Mode and Effects
Analysis,
FMEA).-
Consiste
en
revisar
tantos
componentes,
ensamblajes y subsistemas como sea posible para identificar modos de

falla, sus causas y efectos.
Anlisis de rbol de Fallas (Fault Tree Analysis, FTA).- Analiza, no
identifica riesgos. Es til en la identificacin de causas de accidentes
La presente investigacin se enfocar en el mtodo de HazOp.
IV.4.6.
HazOp
76
Es una tcnica de identificacin de riesgos basada en la premisa de que

los riesgos, los accidentes o los problemas de operabilidad, se
producen como consecuencia de una desviacin de las variables de
proceso con respecto a los parmetros normales de operacin en
un sistema dado y en una etapa determinada. Por lo tanto, consiste
en evaluar, las consecuencias de posibles desviaciones en todas las
unidades de proceso. La tcnica consiste en analizar sistemticamente
las
causas
las
consecuencias
de
unas
desviaciones de las variables de proceso, planteadas a travs de "palabras

gua"
Los principales objetivos de un HAZOP son:
Identificar y evaluar los peligros dentro de un proceso planificado u
operacin.
Identificar los problemas significativos de funcionamiento o calidad.
Identificar
los
problemas
prcticos
asociados
con
las
operaciones de mantenimiento.
4.4.6.1. Etapas de un HazOp
Definicin del rea de estudio.- Consiste en delimitar las reas a las

cuales se aplica la tcnica. En una determinada instalacin de proceso,
considerada como el rea de objeto de estudio, se definirn
subsistemas o lneas de proceso que correspondan a entidades
funcionales propias, por ejemplo, una lnea de descarga a un depsito y
reactores.
Definicin de los nodos.- En cada uno de los subsistemas o lneas de
proceso se identifican puntos localizados en el proceso llamados
nodos, por ejemplo, un depsito de almacenamiento de combustibles. La
tcnica HAZOP se aplica a cada uno de estos nodos. Cada nodo est
caracterizado por variables de proceso como presin, temperatura,
caudal, nivel y viscosidad.
77
Figura 22. Palabras Gua
Fuente.
El documento de soporte principal de esta tcnica es el diagrama de

tuberas e instrumentacin (Piping and Instrumentation Diagram, P&ID).
Aplicacin de las palabras gua.- Las "palabras gua" se utilizan para
indicar la ocurrencia de un evento en uno de los nodos definidos
anteriormente. Se aplican tanto a acciones (reacciones y transferencias)
como a parmetros especficos (presin, caudal, y temperatura). La Tabla
22 presenta algunas palabrasguaysu significado.
Definicin de los eventos a estudiar.- Para cada nodo se plantea de
forma sistemtica todos los eventos que implican el uso de cada
palabra gua auna determinada variable o actividad. Para realizar un
anlisis exhaustivo, se deben aplicar todas las combinaciones posibles
entre palabra gua y variable de proceso. Tambin se deben indicar las
posibles causas de dichos eventos as como sus consecuencias.
Sesiones HazOp.- Tienen como objetivo la realizacin sistemtica del
proceso descrito anteriormente, analizando los eventos en todos los
nodos seleccionados a partir de las palabras gua aplicadas a
determinadas variables o procesos. Se determinan las posibles causas,
consecuencias, respuestas que se proponen y las acciones a tomar.
78
Dichas sesiones se llevan a cabo por un equipo de trabajo

multidisciplinario.
Figura 23. Ejemplo de HazOp
Fuente.
79
Informe final.- Consta de los siguientes documentos:
Esquemas simplificados con la situacin y numeracin de los

nodos de cada subsistema.
Formatos de recopilacin de las sesiones con indicacin de
las fechas de realizacin y composicin del equipo de trabajo.
Anlisis de los resultados obtenidos. Se puede llevar a cabo una
clasificacin cualitativa de las consecuencias identificadas.
Listado de las medidas a tomar.
Lista de los eventos iniciadores identificados.
Figura 24.
Fuente.
IV.4.7. Determinacin del SIL
80
4.4.7.1.
Definiciones
Probabilidad de Falla a la Demanda (Probability of Failure on

Demand, PFD).- Es un valor que indica la probabilidad de que un sistema
falle al responder a una demanda
Disponibilidad de Seguridad.- Indica la probabilidad de disponibilidad
del sistema ante un evento. Este dato se puede obtener de la operacin 1PFD.
Factor de Reduccin de Riesgo (Risk Reduction Factor, RRF).-Es un
valor que revela la cantidad en la que se puede reducir un riesgo ante un
evento. Este dato se puede obtener de la operacin 1/PFD.
Fraccin de Falla Segura (Safe Failure Fraction, SFF).- Se obtiene del
total de fallas de los instrumentos. Se estima a partir de tasa de fallas
seguras detectadas y no detectadas, as como de la tasa de fallas
peligrosas detectadas. Tanto la PFD como la disponibilidad de
seguridad y el RRF dependen del nivel de SIL deseado.
4.4.7.2.
Evaluacin de riesgos
El riesgo est presente en todas partes, una planta, un proceso qumico

obviamente conlleva un riesgo que debe ser minimizado y controlado. El
objetivo de cualquier compaa u organizacin es conseguir el riesgo cero,
aunque es importante reconocer que el riesgo cero no existe. Una actividad
involucra ms riesgo que otra, pero hay una medida de riesgo para toda actividad
realizada.
4.4.7.3.
Niveles tolerables de riesgo
El concepto de niveles tolerables de riesgo no es solamente un asunto tcnico,

tambin involucra temas morales y legales. Decidir qu tan seguro es lo
suficientemente seguro no puede ser determinado por ecuaciones algebraicas y
evaluaciones probabilsticas.
81
4.4.7.4.
Riesgo tolerable en la industria de procesos
El propsito de un plan de seguridad, incluido el SIS, es garantizar que el riesgo

en
todo
momento
sea
tolerable.
El
riesgo
tolerable
lo
marca
el
propietario/operador de la planta en cada momento. La norma IEC 61511

describe el riesgo tolerable como: el riesgo que se acepta en un determinado
contexto de acuerdo con los valores actuales de la sociedad. Como se puede
apreciar, es una definicin muy abierta.
4.4.7.5.
Modos de Falla
La principal preocupacin para un sistema de seguridad no debera ser cmo

opera el sistema sino como podra fallar. Esta es la razn principal porque los
SIS difieren de los sistemas activos de control.
Las fallas no solo pueden ser categorizadas en seguras y peligrosas sino
tambin como detectadas y no detectadas (Figura 24). Las fallas seguras son
mostradas en la parte superior y las fallas peligrosas en la parte inferior, as
tambin, las fallas detectadas son mostradas en la parte izquierda y las fallas no
detectadas en la parte derecha.
Figura 24. Modos de Falla
82
Fuente.
IV.4.7.5.1. Fallas Seguras/Peligrosas

Los sistemas pueden sufrir fallas espordicas que podran ocasionar el apagado
de algn proceso cuando no hay una situacin real de emergencia. Este tipo
83
de fallas reciben muchos nombres, por ejemplo, fallas reveladas, fallas

descubiertas y fallas de inicio. El trmino utilizado en los estndares es falla
segura. Las fallas seguras tienden a ser muy costosas en trminos de paros
innecesarias en la produccin. Cuando un sistema tiene demasiadas fallas
seguras provoca que el personal desconfe de ellos, como resultado se crean
bypass para anular dichas fallas. Algunos accidentes fatales han tenido lugar
debido al bypass de sensores o partes del SIS mientras el proceso segua
ejecutndose. Otro tipo de fallas son aquellas en las que el sistema no
responde ante una demanda real, dichas fallas pueden denominarse fallas
ocultas, fallas cubiertas o fallas inhibidoras. Los estndares se refieren a este
tipo de fallas como fallas peligrosas. Si un sistema falla de esta manera podra
ser potencialmente peligroso. La nica manera de revelar estas fallas
es realizando pruebas en el sistema antes de que entre en operacin.
IV.4.7.5.2.
Fallas Detectadas/No detectadas
Las fallas peligrosas son clasificadas como fallas peligrosas no detectadas

(Dangerous Undetected, DU) y fallas peligrosas detectadas (Dangerous
Detected, DD). Las fallas detectadas estn relacionadas con diagnsticos
automticos (el sistema detecta por s solo cuando se da una falla). Las fallas
seguras reciben la misma clasificacin [10].
IV.4.7.5.3. Falla sin efecto

Se define como la falla de un componente que es parte de la funcin de
seguridad pero que no tiene efecto en la misma. Dichas fallas son clasificadas
como fallas seguras no detectadas de acuerdo a la norma IEC 61508. Se debe
notar que estas fallas no afectan la confiabilidad o seguridad del sistema y no
son incluidas en clculos de activaciones espordicas.
4.4.7.6.
Modelado y confiabilidad de SIS
84
IV.4.7.6.1.
Medidas usuales en SIS
IV.4.7.6.2.
= Nmero de fallas por unidad de tiempo.

MTTF = Tiempo Medio para Fallas (Mean Time To Fail)
Sporious, falla segura)
PFD
RRF
SFF
Frmulas para el modelado de SIS
Las siguientes frmulas se muestran en su forma aproximada y completa para

sistemas con arquitectura 1oo1, 1oo2, 2oo2 y 2oo3 1.
Frmulas Aproximadas
Configuracin
1oo1
1
(2 )
1
1oo2
2oo2
(2 ) + ( )
1
2oo3
(6 ) + ( )
Dnde:
MTTR = Tiempo medio para reparacin (Mean Time To Repair, MTTR).
= Tasa
de fallas seguras.
= Factor de falla comn2.
85
Frmulas Completas [31, 13]

Configuraci
n
1oo1
+ +
2
2 ( ) + + ()()
2
1oo2
+2
2oo2
2oo3
((
2 +
+
2
2 + + [
] + [ ]
2
+ 2 +
6 () + + [() (
)]
2
+ [(
) ]
2 +
+6
+
2
En donde:
Intervalo de prueba automtico (Automatic Test Interval)
=Intervalo de prueba
manual (Manual Test Interval)
86
= Factor de falla comn

TD = Duracin de la prueba (Test Duration)
DD= Falla peligrosa detectada (Dangerous Detected)
DU= Falla peligrosa no detectada (Dangerous Undetected)
DN= Falla peligrosa nunca detectada (Dangerous No Detected)
Estas frmulas son vlidas mientras TI o MTTF TI.

Las ecuaciones antes mostradas constan de las siguientes partes:
La porcin peligrosa detectada (Tabla 2): Usualmente insignificante. Excepto en
el caso de bloqueo parcial de vlvulas (Porque el intervalo automtico de prueba
es importante en este caso).
Tabla 2. Porcin peligrosa detectada.
Configuracin
1oo1
1oo2
+
2 (
2oo2
+ 2
2 +
2oo3
6 () +
Fuente.
87
2
2
Tabla 3. La porcin peligrosa no detectada

Configuracin
1oo1
1oo2
[ ]
[( ) ( ])
2oo2
2oo3
Fuente.
La porcin peligrosa nunca detectada (Tabla 4): Es incluida cuando se asumen

pruebas manuales imperfectas.
Su impacto puede ser significativo, sin embargo, a menudo se ignora.
Tabla 4. Porcin peligrosa nunca detectada.
Configuracin
1oo1

1oo2
(
) )
[ ]
[( ) ( ])
2oo2
2oo3
Fuente.
88
La
porcin
debida a bypass (Tabla 5): Puede ser significativo
para
configuraciones 1oo1 y 2oo2, sin embargo este factor es a menudo ignorado.
Tabla 5. Porcin debida a bypass.
Configuracin
1oo1
1oo2
2oo2
2oo3
2 +
2 +
Fuente.
La porcin de causa comn (Tabla 6): Este factor es dominante para

configuraciones 1oo2 y 2oo3. No se aplica para 1oo1.
Tabla 6. Porcin de causa comn.

Configuracin
1oo1
1oo2
2oo2
2oo3
Fuente.
89
IV.4.7.6.3.
Mtodos de determinacin del SIL
Una vez determinada la PFD actual y la PFD objetivo, se decide implementar

un SIS. Dicho SIS reduce la frecuencia de ocurrencia y con eso el riesgo
asociado (Figura 25).
Figura 25. Frecuencia vs. Gravedad de consecuencias
Fuente.
IV.4.7.6.4.
ALARP (As Low As Reasonably Practical)
El principio ALARP (Tan bajo como sea razonablemente factible) normalmente se

sita entre estos dos lmites y ALARP comprende tres regiones que van
asociadas a una clase de riesgo (figura 26):
90
Figura 26. Modelo ALARP [10]
Fuente.
IV.4.7.6.5.
Matriz de Riesgos
91
La matriz de riesgos (Figura 27) es uno de los mtodos ms utilizados en la

asignacin del SIL en industrias de proceso qumicas y petroqumicas. La
aplicacin
de
esta
metodologa consiste en la valoracin de la probabilidad de ocurrencia de un

accidente y la severidad de sus consecuencias. Esta metodologa se encuentra
en muchos estndares, recomendaciones prcticas y procedimientos internos
de compaas, por ejemplo la IEC 61511-3 [4].
Figura 27. Matriz de Riesgos
Fuente.
IV.4.7.6.6.
Matriz Tridimensional
Un nuevo eje est diseado para considerar las capas adicionales de

seguridad que se encuentran comnmente en los procesos industriales. Dicho
eje es llamado cantidad y/o efectividad de capas adicionales y se refiere a
capas fuera del SIS mostrado en el modelo de la cebolla (Figura 28).
92
Figura 28. Matriz Tridimensional de Riesgo para seleccin del SIL [10]
Fuente.
Los nmeros mostrados en los cuadros de la figura 1.13.5 representan

diferentes SIL, los mismos que disminuyen con la colocacin de una nueva
capa de seguridad.
Una dificultad asociada, es que la frecuencia de
ocurrencia debera ser elegida asumiendo que las capas de seguridad no estn
instaladas.
Una preocupacin al utilizar este mtodo tiene que ver con los juicios
cualitativos involucrados debido a que cada compaa puede tener la libertad
de definir los niveles y rangos de seguridad un poco diferentes, adems la
industria
simplemente
alcanzado
no
ha
tal
vez
nunca
alcance
un consenso
sobre
todas
las
decisiones
subjetivas y rangos involucrados.
93
IV.4.7.6.7.
Anlisis de la capa de proteccin (Layers Of Protection
Analysis, LOPA)
LOPA utiliza el concepto de capas de proteccin. Una salvaguarda puede ser
considerada como capa de proteccin cuando cumple cuatro caractersticas [10]:
1.
Especificidad.-
Est
diseada
nicamente
para
prevenir
mitigar
las consecuencias de un evento peligroso potencial. Causas Mltiples pueden

llevar al mismo evento peligroso.
2. Independencia.- Es independiente de otras capas de proteccin asociadas
con identificar el peligro. La falla de una capa no impedir que otra realice su
trabajo.
3.
Confiabilidad.- Se puede contar con ella para hacer aquello para lo que
fue diseada para hacer. Fallas aleatorias y sistemticas son abordados en el

diseo.
4.
Auditabilidad.- Est diseada para facilitar la validacin peridica de
las funciones de proteccin. Pruebas y/o mantenimiento son necesarios.
IV.4.7.6.8. Dispositivos de Campo

Los dispositivos de campo incluyen sensores, elementos finales de control,
cableado de campo y otros dispositivos conectados a las terminales de
entrada/salida del sistema lgico. Estos dispositivos son a menudo los
elementos ms crticos y aplicados en los sistemas de seguridad. El nfasis
prestado a los dispositivos de campo en el diseo y aplicacin de sistemas de
seguridad es bastante bajo en comparacin con el impacto potencial que
estos dispositivos pueden tener en el rendimiento general del sistema.
Figura 29. Datos de confiabilidad y desempeo
94
Fuente.
IV.4.7.6.9.
Como
Porcentaje de fallos en el sistema
regla
general,
los
dispositivos
de
campo
pueden
representar
aproximadamente el 90% de fallas del sistema, mientras que el sistema lgico

solamente el 10%. Las fallas sistemticas como especificaciones inadecuadas,
pobres procedimientos de mantenimiento y errores de calibracin. Tambin
95
tienen un impacto significativo en el desempeo del sistema. Las fallas

sistemticas de los dispositivos de campo pueden ser ms elevadas que para el
equipo lgico ya que ms actividades son centradas en ellos.
IV.4.7.6.10. Sensores
Los sensores son usados para medir diversas variables como temperatura,
presin, flujo y nivel. Al igual que cualquier otro dispositivo pueden fallar de
diferentes maneras, pueden fallar de forma segura (activarse de manera
errnea) o de forma peligrosa (no activarse en un caso de emergencia).
Muchos sistemas de seguridad son diseados para dar fallas seguras, es
decir, cuando se retira la alimentacin elctrica el sistema de seguridad lleva el
proceso a un estado seguro. Algunas mediciones pueden ser inferidas de otras
variables, por ejemplo, si un sistema est diseado para realizar el apagado del
proceso debido a una alarma de alta presin, podra tambin ser efectivo
monitorear la temperatura ya que debido al proceso, una elevada temperatura
podra implicar una alta presin.
IV.4.7.6.11. Elementos finales

Son utilizados para ejecutar el apagado de un proceso. Los ms comunes son
vlvulas. Estos elementos tienen la tasa ms elevada de fallas que cualquier otro
componente dentro de un sistema ya que al ser elementos mecnicos estn
sujetos a condiciones extremas del proceso.
Algunos sistemas utilizan las vlvulas de control como vlvulas de apagado
debido a que la vlvula de control est normalmente movindose todo el
tiempo, esto se considera como una auto-prueba. Compartir elementos finales
de control as como sensores no es recomendable.
96
IV.4.7.6.12. Redundancia
La redundancia es la tcnica usada para conseguir un sistema tolerante a fallas.

El sistema ms comn de redundancia de hardware es la votacin por mayora.
Es adecuada para fallas imprevistas que afectan a las acciones del sistema y se
compensan con funciones redundantes en el sistema.
La redundancia del
sistema vendr definida por la arquitectura seleccionada, dicha seleccin es una

actividad que se debe ser definida durante el paso del diseo conceptual. La
arquitectura tiene un fuerte impacto sobre la integridad de la seguridad del
sistema. Se debe determinar qu nivel de redundancia se requiere para lograr el
SIL objetivo y la disponibilidad para todos los elementos que conforman el SIS.
La redundancia es un trmino que se utiliza en automatizacin para
conseguir esencialmente la disponibilidad de los elementos deseados.
En este captulo se analiz las normas y los conceptos bsicos para el diseo y
desarrollo de un SIS.
Se cit algunos eventos ocurridos que estuvieron
relacionados con la seguridad funcional, los cuales, son un claro ejemplo de las
consecuencias catastrficas que pueden resultar de un evento inesperado.
Se estudi los mtodos y tcnicas utilizados en la determinacin del SIL,
realizando un enfoque detallado en el mtodo del HazOp.
Se examin cada una de las etapas del ciclo de vida del SIS y tambin se
analiz ejemplos de fallas que tuvieron lugar en cada una de dichas etapas.
IV.5.
MARCO CONCEPTUAL
A continuacin se presentan los conjuntos de conceptos y mtodos que son

indispensables para llevar a cabo el presente trabajo, este marco conceptual es
parte del denominado marco terico, el mismo que incluye la revisin de los
97
antecedentes sobre los accidentes relacionados con sustancias qumicas

peligrosas.
Definiciones
A continuacin se presentan conceptos de los sistemas instrumentados de
seguridad y su relacin con el almacenamiento de sustancias qumicas
peligrosas para tener un mejor entendimiento de la importancia de este tipo de
sistema de seguridad y la relevancia de su correcto funcionamiento con respecto
a la aplicacin en el almacenamiento de sustancias qumicas peligrosas (Figura
30).
Figura 30. Pirmide de conceptos bsicos de Sistemas Instrumentados de

Seguridad (SIS) y su relacin con el almacenamiento de Sustancias Qumicas
Peligros (SQP).
Fuente.
Ingeniera de Seguridad.
Es una rama de la ingeniera, que usa todo tipo de ciencias para desarrollar los
procesos y diseos en cuanto a las caractersticas de seguridad, controles y
sistemas de seguridad. La principal motivacin de esta ingeniera ha de ser, el
dar soporte a los procesos y diseos de tal manera que impidan
comportamientos malintencionados.
98
El campo de esta rama de la ingeniera puede ser muy amplio, podra

desarrollarse en muchas tcnicas:
Equipos: como el diseo de cerraduras, cmaras, sensores, etc.
Procesos: polticas de control, procedimientos de acceso, etc.
Informtico: control de passwords, criptografa, etc.
Seguridad en el trabajo: Conjunto de acciones que permiten localizar y evaluar

los riesgos, y establecer las medidas para prevenir los accidentes de trabajo.
Accidente: Evento no deseado e insuficientemente controlado que resulta en
daos a las personas y/o a la propiedad y perdidas en los procesos.
Incidente: Evento que puede dar como resultado un accidente o tiene el
potencial para ocasionar un accidente.
Peligro: Fuente o situacin con potencial de dao en trminos de lesin o dao
a la salud, la propiedad, al ambiente de trabajo o la combinacin de stos.
Riesgos: Combinacin de la probabilidad y consecuencias de un evento
identificado como peligroso y su relacin con los procesos de trabajo.
Evaluacin del riesgo: Todo proceso para estimar la magnitud del riesgo y
decidir si es tolerable o no.
Identificacin de peligro: Proceso de reconocimiento de un peligro existente y
la definicin de sus caractersticas.
Actos inseguros: Son las causas que dependen de las acciones del trabajador
y que pueden dar como resultado un accidente.
Condiciones inseguras: Son las causas que se derivan del medio en que los
trabajadores realizan sus labores (ambiente de trabajo) y se refieren al grado de
inseguridad que pueden tener los locales, la maquinaria, los equipos y los puntos
de operacin.
99
Actividad peligrosa: Conjunto de tareas derivadas de los procesos de trabajo,

que generan condiciones inseguras y sobre exposicin a los agentes qumicos
capaces de provocar daos a la salud de los trabajadores o al centro de trabajo.
Sustancia peligrosa: Es todo aquel elemento, compuesto, material o mezcla de
ellos que independientemente de su estado fsico, represente un riesgo potencial
para la salud, el ambiente, la seguridad de los usuarios y la propiedad de
terceros; tambin se consideran bajo esta definicin los agentes biolgicos
causantes de enfermedades.
Sustancias inflamables: Son aquellas en estado slido, lquido o gaseoso con
o
un punto de inflamacin menor o igual a 37.8 C, se prenden fcilmente y se
queman rpidamente, generalmente de forma violenta.
Sustancias irritantes: Son aquellas en estado slido, lquido o gaseoso que
causan un efecto inflamatorio reversible en el tejido vivo por accin qumica en el
sitio de contacto.
Sustancias Qumicas Peligrosas: Son aquellas que por sus propiedades
fsicas y qumicas al ser manejadas, almacenadas, transportadas o procesadas,
presentan la posibilidad de inflamabilidad, explosividad, toxicidad, reactividad,
radiactividad, corrosividad o accin biolgica daina, y afectan a la salud de las
personas expuestas o causar daos a instalaciones o equipos.
rbol de fallas: Representacin grfica lgica y organizada de las condiciones
factores que causan o contribuyen a que ocurra un evento no deseado definido.
Hazop: Es una tcnica de identificacin de riesgos inductiva basada en la
premisa de que los riesgos, los accidentes o los problemas de operabilidad, se
producen como consecuencia de una desviacin de las variables de proceso con
respecto a los parmetros normales de operacin en un sistema dado y en una
etapa determinada.
Capas de proteccin: Cualquier mecanismo independiente que reduce el riesgo
por control, prevencin o mitigacin y que pueden ser entre otros: equipo de
100
proceso, sistema de control bsico de proceso, procedimientos administrativos,

y/o respuestas planeadas para proteccin contra un riesgo inminente.
Ciclo de vida de seguridad: Secuencia de actividades involucradas en la
implantacin de las funciones instrumentadas de seguridad desde el diseo
conceptual hasta el desmantelamiento de todas las funciones instrumentadas de
seguridad.
Confiabilidad: Probabilidad de que un sistema pueda desempear una funcin
definida bajo condiciones especificadas para un periodo de tiempo dado.
Consecuencia: Resultado real o potencial de un evento no deseado, medido por
sus efectos en las personas, en el ambiente, en la produccin y/o instalaciones,
as como la reputacin e imagen.
Dao: Lesiones fsicas o en la salud de las personas, ya sea directa o
indirectamente, como consecuencia de los daos a la propiedad o el medio
ambiente.
Disponibilidad: Probabilidad de que un SIS es capaz de desempear un
servicio de seguridad bajo demanda (en operacin). Un SIS no est disponible si
se encuentra en un estado de falla (seguro o peligroso), o que se encuentre en
mantenimiento.
Documento normativo equivalente: Es el documento normativo alterno al
que se cita en una NRF, emitido por una entidad de normalizacin, y que se
puede utilizar para la determinacin de los valores y parmetros tcnicos del
bien o servicio que se est especificando, siempre y cuando presente las
evidencias documentales, que demuestren que cumple como mnimo, con las
mismas caractersticas tcnicas y de calidad que establezca el documento
original de referencia.
Especificacin de Requisitos de Seguridad (ERS): La que contiene los
requisitos de seguridad (funcionales y de integridad) de las funciones
instrumentadas de seguridad y como se deben disear e implementar en el
sistema instrumentado de seguridad.
101
Estado seguro: Estado que debe tener el equipo o proceso bajo control
despus de la operacin requerida del SIS.
Evaluacin de la seguridad funcional: Investigacin, basada en evidencias,
para evaluar la seguridad funcional alcanzada por una o ms capas de
proteccin.
Falla: Terminacin de la capacidad de una unidad funcional para desempear
una funcin requerida.
Falla peligrosa: Falla que tiene el potencial de poner el sistema instrumentado
de seguridad en un estado peligroso o de falla en su operacin.
Falla segura: Es una falla la cual no tiene el potencial para poner el Sistema
Instrumentado de Seguridad en un estado peligroso o de falla para funcionar.
Fallas sistemticas: Fallas debido a errores (incluyendo equivocaciones y
omisiones) en las actividades del ciclo de vida de seguridad, las cules causan
que el SIS falle bajo alguna combinacin particular de entradas o bajo ciertas
condiciones ambientales, que slo pueden ser eliminada por una modificacin
del diseo o del proceso de fabricacin, procedimientos operacionales,
documentacin u otros factores relevantes.
Fase: Periodo dentro del ciclo de vida de seguridad donde las actividades
descritas en esta norma se deben llevar a cabo.
Funcin Instrumentada de Seguridad-FIS (SIF): Funcin de seguridad con un
NIS (SIL) especfico para lograr la seguridad funcional y que puede ser una FIS
(SIF) de proteccin o una FIS (SIF) de control.
Funcin instrumentada de seguridad de control: FIS (SIF) con un NIS (SIL)
especfico operando en modo continuo que es requerido para prevenir que surja
una condicin peligrosa y/o para mitigar sus consecuencias.
Funcin de seguridad: Funcin para ser implementada por un SIS, u otros
sistemas relacionados con la tecnologa de seguridad los cuales son destinados
para lograr o mantener un estado seguro para el proceso, con respecto a un
evento especfico peligroso.
102
Funcin instrumentada de seguridad en modo bajo demanda: Accin

especfica que debe tomar una funcin instrumentada de seguridad FIS (SIF) en
respuesta a las condiciones de demanda del proceso. En presencia de falla
peligrosa de la Funcin Instrumentada de Seguridad FIS (SIF) un peligro
potencial solo ocurrir si existe un evento de falla en el proceso o en el SCBP
(BPCS) o SDMC (Ver definicin modo de operacin).
Funcin instrumentada de seguridad en modo contino: Es aqulla en la
cual en presencia de una falla peligrosa de la Funcin Instrumentada de
Seguridad FIS (SIF) ocurrir un peligro potencial sin que se presente una falla
adicional a menos que se tome accin para prevenirlo. (Ver definicin modo de
operacin).
Integridad de seguridad: Probabilidad promedio de que una FIS (SIF) se
desempee satisfactoriamente bajo las condiciones y perodo de tiempo
Modo de operacin: Existen dos modos de operacin de un Sistema
Instrumentado de Seguridad, dependiendo de la frecuencia de demanda los
cuales son:
Modo de demanda baja (En demanda): Es el modo en el cual la frecuencia de
demandas para la operacin del SIS no es mayor de una por ao y no es mayor
que el doble de la frecuencia de pruebas.
Modo de demanda alta (Continuo): Es el modo en el cual la frecuencia de
demandas para la operacin del SIS es mayor de una por ao o es mayor que el
doble de la frecuencia de pruebas.
Nivel de Integridad de Seguridad-NIS (SIL): Es un nivel discreto para la
especificacin de los requisitos de integridad de las funciones instrumentadas de
seguridad a ser asignadas a sistemas instrumentados de seguridad. Cada nivel
discreto se refiere a cierta probabilidad de que un sistema referido a seguridad
realice satisfactoriamente las funciones de seguridad requeridas bajo todas las
condiciones establecidas en un periodo de tiempo dado.
Probabilidad de Falla bajo Demanda (PFD): Un valor que indica la probabilidad
de que un SIS falle para responder a una demanda.
103
Reduccin de riesgo objetivo: Reduccin requerida del riesgo a un nivel

tolerable.
Redundancia: Uso de mltiples elementos o sistemas, para desempear la
misma funcin. Puede ser implementada por elementos idnticos (redundancia
idntica) o por elementos diferentes (redundancia diversa).
Riesgo del proceso: Los riesgos derivados de las condiciones del proceso
causados por eventos anormales [incluyendo mal funcionamiento del SCBP
(BPCS) o SDMC].
Riesgo tolerable: Riesgo que es aceptado en un contexto determinado sobre la
base de los valores actuales de la sociedad.
Seguridad: Libre de un riesgo inaceptable.
Seguridad funcional: Parte de la seguridad total relacionada con el proceso y el
SCBP (BPCS) o SDMC que depende del correcto funcionamiento del SIS y otras
capas de proteccin.
Sensor: Dispositivo o combinacin de dispositivos que miden las condiciones del
proceso (transmisores, interruptores de proceso, interruptores de posicin, entre
otros).
Elementos finales de control: En el control automtico de los procesos
industriales la vlvula de control juega un papel muy importante en el bucle de la
regulacin. Realiza la funcin de variar el caudal del fluido de control que
modifica a su vez el caudal de la variable medida comportndose como un
orificio de rea continuamente variable. Dentro del bucle de control tiene tanta
importancia como el elemento primario, el transmisor y el controlador.
Sistema: Conjunto de elementos, que interactan de acuerdo a un diseo, un
elemento de un sistema puede ser otro sistema, llamado un subsistema, que
puede ser un sistema de control o un sistema controlado y puede incluir el
equipo, programas y la interaccin humana.
Sistema de control bsico de proceso-SCBP (BPCS) o SDMC: Sistema que
responde a seales de entrada del proceso, sus equipos asociados, a otros
104
sistemas programables y/o un operador y genera seales de salida causando

que el proceso y sus equipos asociados operen en el modo deseado, pero que
no desempea ninguna funcin instrumentada de seguridad.
Sistemas de seguridad: Es todo aqul sistema que implanta las funciones de
seguridad requeridas para mantener un estado seguro en el equipo bajo control.
Sistema Instrumentado de Seguridad (SIS): Es un sistema compuesto por
sensores, resolvedores lgicos y elementos finales que tiene el propsito de
llevar al proceso a un estado seguro cuando se han violado condiciones
predeterminadas. Otros trminos comnmente usados son Sistema de Paro por
Emergencia (ESD) o Sistema de Seguridad del Proceso o Interlocks de
seguridad.
IV.6.
V.
JUSTIFICACION E IMPORTANCIA DE LA INVESTIGACION
OBJETIVOS,
HIPOTESIS,
VARIABLES
INDICADORES
V.1.
OBJETIVOS
V.1.1. OBJETIVOS GENERALES
Mejorar la confiabilidad en Plantas de proceso continuo mediante auditoras a sus

sistemas instrumentados de seguridad funcional.
V.2.
HIPOTESIS
V.2.1. HIPOTESIS GENERAL

Mediante auditoras a los sistemas instrumentados de seguridad se lograra
mejorar la confiabilidad en las planta de proceso continuo
V.3.
VARIABLES E INDICADORES
V.3.1. Variable Independiente
105
Auditoria a los sistemas Instrumentados de Seguridad

V.3.2. Indicadores de la Variable Dependiente
V.3.3. Variable Dependiente

Mejorar la confiabilidad en Plantas de proceso continuo
V.3.4. Indicadores de la Mejora Variable Dependiente
VI.
METODOLOGIA D ELA INVESTIGACION
VI.1. UNIDADES DE ANALISIS

Todos los sensores, vlvulas de control, PLCs involucrados en
los sistemas instrumentados de seguridad funcional, sistemas de
control de Presin, Nivel, Flujo, Temperatura.
VI.2. TIPO Y NIVEL DE LA INVESTIGACION
VI.2.1. Tipo
VI.2.2. Nivel
VI.2.3. PERIODO DE ANALISIS

Ao 2016-2017
VI.3. FUENTES D E INFORMACION E INSTRUMENTOS UTILIZADOS
VI.3.1. Fuentes de Informacin Primaria
VI.3.2. Fuentes de Informacin Secundaria
106
VI.4. TECNICAS DE RECOLECCION Y PROCESAMIENTO DE DATOS

VI.4.1. Tcnicas de Recoleccin de Datos
VI.4.2. Procesamiento de Datos
VII.
VIII.
CRONOGRAMA
PRESUPUESTO
7.1.
Estructura Presupuestal
BIENES / CAPITAL
COSTO TOTAL
(Estimado $USD)
Computadora Porttil
1850.00
1850.00
Cmara fotogrfica
450.00
450.00
Escritorio
Libros y material impreso
100.00
100.00
Curso On Line ISA
7700.00
7700.00
SUB TOTAL
10100.00
BIENES FUNGIBLES
IX.
CANT. COSTO UNIT.
CANT.
COSTO
COSTO TOTAL
UNIT.
(Estimado $USD)
Papel
2 Millar
10
10.00
50.00
Tinta
Unid.
10.00
100.00
SUB TOTAL
3050.00
BIBLIOGRAFIA
107
ANEXOS
108

Tesis de Universidad Nacional de Ingenieria2

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tesis de Universidad Nacional de Ingenieria2

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD NACIONAL DE

AUDITORIA A LOS SISTEMAS INSTRUMENTADOS DE SEGURIDAD

: ROGER MARTIN VIVANCO REBAZA

LIMA, DICIEMBRE - 2015

NOMBRE DEL GRADUANDO...........................................................................1

AMBITO DEL DESARROLLO DE LA INVESTIGACION................................1

DESCRIPCION DEL PLAN.............................................................................1

TESIS DE MAESTRIA: LA SEGURIDAD FUNCIONAL EN LA

INDUSTRIA DE PROCESOS: CONCEPTOS Y METODOLOGIAS DE

DESCRIPCION DE LA REALIDAD PROBLEMTICA..............................11

Seguridad (Safety Instrumented

Nivel de Integridad de Seguridad (Safety Integrity Level, SIL)...........51

Sistemas Instrumentados de Seguridad (Safety Instrumented

Evaluacin de seguridad y confiabilidad.....................................53

Guas Industriales, Estndares y Regulaciones.........................55

Diseo del Ciclo de Vida de Seguridad......................................59

Definiciones Generales en Anlisis de Riesgos.................................73

Tcnicas de Anlisis e Identificacin de Riesgos...............................76

4.4.6.1. Etapas de un HazOp........................................................................77

Determinacin del SIL.........................................................................81

Niveles tolerables de riesgo........................................................81

Riesgo tolerable en la industria de procesos.............................82

4.4.7.5.1. Fallas Seguras/Peligrosas.......................................................83

Modelado y confiabilidad de SIS.................................................84

4.4.7.6.1. Medidas usuales en SIS.........................................................84

4.4.7.6.7. Anlisis de la capa de proteccin (Layers Of Protection

JUSTIFICACION E IMPORTANCIA DE LA INVESTIGACION................104

V. OBJETIVOS, HIPOTESIS, VARIABLES E INDICADORES..........................104

Indicadores de la Variable Dependiente...........................................105

Indicadores de la Mejora Variable Dependiente..............................105

METODOLOGIA D ELA INVESTIGACION.................................................105

TIPO Y NIVEL DE LA INVESTIGACION.................................................105

FUENTES D E INFORMACION E INSTRUMENTOS UTILIZADOS......106

Fuentes de Informacin Primaria......................................................106

Fuentes de Informacin Secundaria.................................................106

TECNICAS DE RECOLECCION Y PROCESAMIENTO DE DATOS......106

Tcnicas de Recoleccin de Datos..................................................106

Tabla 1. Principales accidentes industriales.............................................................5

Tabla 4. Porcin peligrosa nunca detectada..........................................................88

FUNCIONAL PARA MEJORAR LA CONFIABILIDAD Y REDUCIR LOS RIESGOS

NOMBRE DEL GRADUANDO

Roger Martin Vivanco Rebaza

AMBITO DEL DESARROLLO DE LA INVESTIGACION

est desarrollada para ser aplicada a cualquier

industria de Hidrocarburos, Industrias Qumicas, Petroqumicas, Refineras,

DESCRIPCION DEL PLAN

IV.1.1. TESIS DE MAESTRIA: LA SEGURIDAD FUNCIONAL EN LA

proceso a su estado seguro, con la finalidad de proteger vidas humanas, activos

Figura 1. Sistema de control

Es un sistema compuesto de sensores, procesadores lgicos y elementos finales

mantengan dentro de los lmites de diseo, naturalmente si todos los

instrumentado de seguridad SIS, cuyas siglas en ingles significa Safety

el sistema instrumentado de seguridad cuando las

condiciones pre-definidas han sido violadas.

Importancia de Implementar los Sistemas Instrumentados de Seguridad en

generando productos, para ello se han utilizado

materias primas de toda ndole, si por un momento nos centramos en las

cuidadosamente pueden provocar explosiones,

muertes y daos al medio ambiente.

Tabla 1. Principales accidentes industriales

Flixborough (UK), 1974

Explosin de vapor no confinada

28 muertos y cientos de heridos

Reaccin qumica fuera de control que Evacuacin de ms de 1.000