800-16400-DCO-GT-75-Guía Técnica para Realizar Análisis de Riesgos de Proceso

Clave: 800-16400-DCO-GT-75
Direccin Corporativa de GUAS TCNICAS PARA REALIZAR Revisin: 1

Operaciones Fecha: 10/08/2012
Subdireccin de Disciplina
ANLISIS DE RIESGOS DE PROCESO
Operativa Seguridad, Salud y Pgina 2 de 167
Proteccin Ambiental
Tabla de Contenido
1. INTRODUCCIN. .................................................................................................................................... 3
2. OBJETIVO................................................................................................................................................ 3
3. ALCANCE. ............................................................................................................................................... 3
4. CAMPO DE APLICACIN. ................................................................................................................... 4
5. ACTUALIZACIN. .................................................................................................................................. 4
6. DEFINICIONES. ...................................................................................................................................... 4
7. ACRNIMOS. .......................................................................................................................................... 7
8. GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO ....................... 8

8.1 CONCEPTOS DE ANLISIS DE
RIESGOS...........8
8.2 PROCESO DE ANLISIS DE RIESGOS..........9
8.2.1 El Proceso de Gestin de Riesgo .................................................................................................... 9
8.2.2 El Proceso Identificacin, Anlisis y Evaluacin de Riesgos........................................................ 10
8.3 METODOLOGAS DE ANLISIS DE RIESGOS...15
8.3.1 Identificacin de Peligros .............................................................................................................. 16
8.3.2 Jerarquizacin de los Riesgos ...................................................................................................... 16
8.3.3 Seleccin de las Metodologas...................................................................................................... 17
8.3.4 Listas de Verificacin .................................................................................................................... 18
8.3.5 Qu pasa s? ............................................................................................................................... 18
8.3.6 Combinacin Lista de Verificacin y Qu pasa s? .................................................................... 18
8.3.7 Anlisis de Modos de Falla y sus Efectos (FMEA) ..................................................................... 188
8.3.8 Anlisis de Peligros y Operabilidad (HAZOP)............................................................................... 19
8.3.9 Caracterizacin y Jerarquizacin de los riesgos........................................................................... 19
8.3.9.1 Estimacin de las Frecuencias ......................................................................................... 19
8.3.9.2 Anlisis de Consecuencias .............................................................................................. 19
8.3.9.3 Matrices de Riesgo .......................................................................................................... 19
8.3.10 Anlisis de rboles de Eventos (AAE) ........................................................................................ 20
8.3.11 Anlisis de rboles de Fallas (AAF)............................................................................................ 20
8.3.12 Anlisis de Consecuencias (AC)................................................................................................. 20
8.4 INFORME DEL ANLISIS DE RIESGOS....21
9. BIBLIOGRAFA. .................................................................................................................................... 21
10. ANEXOS. ................................................................................................................................................ 22

Clave: 800-16400-DCO-GT-75
Proteccin Ambiental
1. INTRODUCCIN.
El manejo en las instalaciones y transporte de hidrocarburos por ducto en los diferentes Organismos
Subsidiarios de Petrleos Mexicanos, conlleva riesgos de fugas y derrames que pueden derivar en
accidentes que afecten al personal, la poblacin, al medio ambiente y/o al negocio (instalaciones -
produccin). Para determinar medidas que prevengan su ocurrencia o mitiguen sus posibles
consecuencias, se realizan los anlisis de riesgos de proceso.
Estos anlisis tienen como propsito identificar, analizar, evaluar y jerarquizar los riesgos que se
presentan en un determinado proceso, tomando en cuenta sus posibles consecuencias y su
probabilidad de ocurrencia. Posteriormente, la administracin de estos riesgos se logra a travs de la
implantacin de medidas preventivas y correctivas, que reduzcan obviamente su probabilidad de
ocurrencia y/o sus posibles consecuencias, soportndolas todas ellas con un efectivo anlisis costo-
beneficio que permitan integrar estos proyectos a la cadena productiva, de forma segura bajo niveles
de riesgo tolerables.
Por otra parte, otro uso prctico de las metodologas de anlisis de riesgos descritas en ste
documento, son su aplicacin en la investigacin y desarrollo de nuevos procesos, su diseo
conceptual, operacin en plantas piloto, ingeniera de detalle, construccin y arranque de instalaciones,
administracin de cambios de proceso, investigacin de incidentes y accidentes y finalmente, una vez
concluida la vida til de una instalacin, durante su desmantelamiento.
As mismo, durante la etapa de ingeniera de diseo de nuevos proyectos en la industria petrolera, los
anlisis de riesgos de proceso se conciben como un instrumento de alcance preventivo, que permiten
integrar estos proyectos a la cadena productiva de forma segura y bajo niveles de riesgo tolerables.
La Direccin Corporativa de Operaciones a travs de la Subdireccin de Disciplina Operativa,

Seguridad, Salud y Proteccin Ambiental, emite estas Guas Tcnicas para realizar Anlisis de
Riesgos de Proceso, con la finalidad de homologar la aplicacin de metodologas para desarrollar los
anlisis de riesgos de proceso en Petrleos Mexicanos y Organismos Subsidiarios.
2. OBJETIVO.
Homologar la seleccin y aplicacin de las metodologas de anlisis de riesgos de procesos en las

instalaciones de Petrleos Mexicanos y Organismos Subsidiarios. As mismo, asegurar la calidad y
consistencia en la planeacin y ejecucin de los anlisis de riesgos y en la presentacin de resultados y
conclusiones.
3. ALCANCE.
Contiene las guas para desarrollar anlisis de riesgos y se presenta como sigue; Conceptos de anlisis
de riesgos, proceso de anlisis de riesgos, metodologas de anlisis de riesgos e informe del anlisis de
riesgos. Las metodologas incluidas son las siguientes: Listas de verificacin, Qu pasa s?,
combinacin de Lista de verificacin/Qu pasa si?, Anlisis de Modos de Falla y Efectos (siglas en
Ingls FMEA), Anlisis de Peligros y Operabilidad (HAZOP), Anlisis de rbol de Eventos (AAE),
Anlisis de rbol de Fallas (AAF) y Anlisis de Consecuencias (AC). Asimismo, contiene los criterios
(matrices de riesgo), para caracterizar y valorar los riesgos identificados en los procesos.
Clave: 800-16400-DCO-GT-75
Proteccin Ambiental
Caso alterno. Es el evento creble de una liberacin accidental de un material o sustancia peligrosa que es
simulado, pero que no corresponde al peor caso ni al caso ms probable.
Combustin. Reaccin qumica de oxidacin de un material combustible con desprendimiento de llamas,

calor y gases.
Compuerta. Smbolo lgico booleano que se utiliza en los rboles de Fallas, para unir la salida de un
evento con sus correspondientes entradas (compuertas OR, AND, NOT, etc.).
Conjunto Mnimo de Corte. Combinacin mnima de eventos bsicos que provocan la ocurrencia del
evento tope. Se pueden considerar como los modos de ocurrencia del evento tope.
Consecuencias. Efectos que pueden causar eventos o accidentes que involucran fugas y derrames de
sustancias txicas, inflamables y/o explosivas.
Derrame. Cualquier descarga, evacuacin, rebose, achique, o vaciamiento de hidrocarburos u otras

sustancias peligrosas en estado lquido cuya presencia altere las condiciones naturales de un sitio y
pongan en peligro uno o varios ecosistemas; puede presentarse en tierra, aguas superficiales o en el
mar y se originan dentro o fuera de las instalaciones petroleras, durante las actividades de explotacin,
transformacin, comercializacin o transporte de hidrocarburos y sus derivados.
Desviacin. Condicin que se aparta de la intencin del diseo del sistema o proceso.
Escenario de riesgo. Determinacin de un evento hipottico, en el cual se considera la ocurrencia de un

accidente bajo condiciones especficas, definiendo mediante la aplicacin de modelos matemticos y
criterios acordes a las caractersticas de los procesos y/o materiales, las zonas que potencialmente puedan
resultar afectadas.
Estabilidad atmosfrica. Describe el nivel de turbulencia en la atmsfera. Depende de la velocidad de

viento, hora del da o de la noche y otras variables como la cantidad de radiacin solar y nubosidad.
Evento. Suceso relacionado a las acciones del ser humano, al desempeo del equipo o con sucesos
externos al sistema, que pueden causar interrupciones y/o problemas en el sistema. En este documento,
evento es causa o contribuyente de un incidente o accidente o, es tambin una respuesta a la ocurrencia
de un evento iniciador.
Evento Bsico. Describe una condicin normal o de falla en el rbol (falla de equipo, errores humanos,
etc.). Definen el nivel de resolucin del rbol de fallas.
Evento iniciador. Evento especfico indeseado que constituye la base fundamental del Anlisis de
rboles de Eventos. Est relacionado generalmente con un accidente o desviacin del sistema a
analizar.
Evento Intermedio. Falla que describe la seal de salida de una compuerta lgica.
Evento no Desarrollado. Falla especfica en la cual no se han desarrollado las causas de ocurrencia de
este evento por falta de informacin, o bien, por considerarse poco relevante.
Evento no deseado. Evento que implica la prdida de un valor: salud, vida, produccin, ambiente,
capital, etc.
Clave: 800-16400-DCO-GT-75
Proteccin Ambiental
Evento Tope. Evento especfico no deseado.
Explosin. Liberacin sbita y violenta de energa que causa un cambio transitorio en la densidad, presin
y velocidad del aire circundante a la fuente de energa. Esta liberacin de energa puede generar una onda
de presin con el potencial de causar dao en su entrono.
Fuga. Liberacin repentina o escape accidental por prdida de contencin, de una sustancia en estado
lquido o gaseoso.
Fuego. Consecuencia visible de la combustin.
HazOp, metodologa. Mtodo estructurado y sistemtico para examinar un sistema con el objetivo de
identificar peligros potenciales y problemas operativos; en particular para identificar las causas y sus
implicaciones.
Incendio. Combustin no controlada.
Inflamabilidad. Mayor o menor facilidad con la que una sustancia puede arder en aire o en algn otro
comburente.
Intencin de diseo. Ver propsito de diseo.
Lmite inferior de inflamabilidad; explosividad inferior (LIE). Es la concentracin mnima de cualquier

vapor o gas (% por volumen de aire), que se inflama o explota si hay una fuente de ignicin presente a la
temperatura ambiente.
Lmite superior de inflamabilidad; explosividad superior (LSE). Es la concentracin mxima de

cualquier vapor o gas (% por volumen de aire), que se inflama o explota si hay una fuente de ignicin
presente a la temperatura ambiente.
Nodo. Seccin del proceso o instalacin sujeta a estudio que se asla del resto para propsitos analticos.
Nube txica o inflamable. Porcin de la atmsfera con una concentracin de material txico o inflamable
que tiene el potencial de causar dao o entrar en combustin; su formacin se debe a la liberacin de una
sustancia peligrosa.
Palabra Gua. Palabra o frase que combinada con una variable o parmetro, expresa y define una
desviacin a partir de la intencin de diseo.
Peligro. Es toda condicin fsica o qumica que tiene el potencial de causar dao al personal, a las
instalaciones o al ambiente.
Peor Caso. Corresponde a la liberacin accidental del mayor inventario del material o sustancia peligrosa
contenida en un recipiente, lnea de proceso o ducto, la cual resulta en la mayor distancia hasta alcanzar
los lmites por toxicidad, sobre-presin o radiacin trmica, de acuerdo a los criterios para definir las zonas
intermedia de salvaguarda al entorno de la instalacin. Para identificar los perores casos, no se requiere de
un anlisis de riesgos formal, ni conocer las causas que pudieran provocarlo ni su probabilidad de
ocurrencia, simplemente consideramos que ste sucede.
Clave: 800-16400-DCO-GT-75
Proteccin Ambiental
Proceso. Serie continua y repetible de actividades relacionadas que a travs del uso de recursos convierte
una o ms entradas (insumos) en una o ms salidas (productos), creando valor para el cliente.
Propsito de diseo. Rango de valores deseados o especificados por el diseador sobre el

comportamiento de una porcin del sistema (incluye tanto las condiciones como las caractersticas de los
elementos constituyentes de un sistema).
Riesgo. Peligros a los que se expone el personal. Combinacin de la probabilidad de que ocurra un
accidente y sus consecuencias.
Simulacin. Representacin de un evento o fenmeno por medio de sistemas de cmputo, modelos fsicos
o matemticos u otros medios, para facilitar su anlisis.
Sustancia peligrosa. Es cualquier sustancia que cuando es emitida, puesta en ignicin o cuando su
energa es liberada (fuego, explosin, fuga txica) puede causar lesin, daos a las instalaciones
debido a sus caractersticas de toxicidad, inflamabilidad, explosividad, corrosin, inestabilidad trmica,
calor latente o compresin.
Toxicidad. Propiedad de las sustancias para producir un efecto indeseado cuando un compuesto qumico
ha alcanzado una cierta concentracin que afecta al cuerpo humano.
Umbral del dolor. Intensidad mxima de un estmulo a partir de la cual se experimenta sensacin de dolor.
Zona de amortiguamiento. rea donde pueden permitirse determinadas actividades productivas que
sean compatibles, con la finalidad de salvaguardar a la poblacin y al ambiente restringiendo el
incremento de la poblacin asentada.
Zona de riesgo. rea de restriccin total en la que no se debe permitir ningn tipo de actividad,
incluyendo asentamientos humanos, agricultura con excepcin de actividades de forestacin,
cercamiento y sealamiento de la misma, as como el mantenimiento y vigilancia.
Zona intermedia de salvaguarda. rea determinada del resultado de la aplicacin de criterios y

modelos de simulacin de riesgo que comprende las reas en las cuales se presentaran lmites
superiores a los permisibles para la salud del hombre y afectaciones a sus bienes y al ambiente en
caso de fugas accidentales de sustancias txicas y de la presencia de ondas de sobrepresin en caso
de formacin de nubes explosivas. Esta se conforma por la zona de alto riesgo y la zona de
amortiguamiento.
7. ACRNIMOS Y ABREVIATURAS.
AAE Anlisis de rboles de Eventos

AAF Anlisis de rboles de Fallas
AE rbol de Eventos
Clave: 800-16400-DCO-GT-75
Proteccin Ambiental
AIChE American Institute of Chemical Engineers

ALARP As Low as Reasonably Practicable Tan Bajo como sea Razonablemente Prctico
CCPS Center for Chemical Process Safety, pertenece al AIChE
CEI Comisin Electrotcnica Internacional
DEF Dimetro equivalente de fuga
ETA Event Tree Analysis
GAR Grupo de Anlisis de Riesgos
HazOp Hazard and Operability
IChemE Institution of Chemical Engineers
IEC International Electrotechnical Commission
PEMEX Petrleos Mexicanos
PEP PEMEX Exploracin y Produccin
PGPB PEMEX Gas y Petroqumica Bsica
PREF PEMEX Refinacin
8. GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO.
8.1 CONCEPTOS DE ANLISIS DE RIESGOS.
El riesgo est presente en toda actividad humana. El riesgo, en trminos prcticos, est relacionado
con la salud de las personas (ej. muerte, lesiones o daos a largo, mediano y corto plazo), con el
negocio (ej. dao a equipos, prdida de produccin, imagen) y con el medio ambiente. El objetivo de
realizar anlisis de riesgos es identificar peligros y riesgos para emitir recomendaciones tendientes a
controlar y prevenir incidentes/accidentes, mitigar las consecuencias para evitar prdidas humanas,
daos a la salud, a la propiedad, instalaciones y medio ambiente.
El anlisis de riesgos es una herramienta til para:
Identificar peligros, riesgos y estrategias para su manejo y control.

Proveer informacin objetiva para la toma de decisiones.
Cumplir con requisitos normativos y legales.
Los resultados del anlisis de riesgos se emplean para evaluar el nivel de tolerabilidad del riesgo, as
como para la toma de decisiones en cuanto a seleccionar la mejor o mejores opciones para su
administracin y control. Algunos otros beneficios del anlisis de riesgos son:
Identificacin sistemtica de peligros potenciales en los procesos.

Identificacin sistemtica de los modos de fallas de sistemas o sus componentes y equipos.
Evaluacin cuantitativa del riesgo o estimacin del rango de los riesgos.
Evaluacin de posibles modificaciones en instalaciones, proceso y/o controles administrativos
para reducir el riesgo.
Identificacin de los mayores contribuyentes al riesgo y puntos dbiles de un sistema, proceso
y/o control administrativo.
Mejor entendimiento del funcionamiento de los sistemas e instalaciones.
Comparacin del riesgo entre tecnologas y sistemas alternativos.
Clave: 800-16400-DCO-GT-75
Proteccin Ambiental
Identificacin y comunicacin de riesgos e incertidumbres asociadas a ellos.

Ayuda en el establecimiento de prioridades para mejorar la salud y operar de manera segura,
bajo un nivel de riesgo tolerable.
Ayuda en la revisin de programas de mantenimiento e inspeccin.
Elaboracin o actualizacin de planes de respuesta a emergencias.
El anlisis de riesgo a menudo requiere de un enfoque multidisciplinario ya que puede involucrar las
siguientes reas:
Anlisis de sistemas.
Probabilidad y estadstica.
Ingeniera qumica, mecnica, elctrica, estructural o instrumental.
Ciencias fsicas, qumicas o biolgicas.
Ciencias de la salud, incluyendo la toxicologa y la epidemiologa.
Ciencias de los factores humanos, ergonmicos y administrativos.
El riesgo tambin se puede presentar como consecuencia de los siguientes peligros:
Peligros naturales (inundaciones, sismos, huracanes, etc.).

Peligros tecnolgicos (instalaciones industriales, estructuras, sistemas de transporte,
sustancias peligrosas, pesticidas, herbicidas, medicamentos, etc.).
Peligros sociales (terrorismo, sabotaje, ataque armado, robo, secuestros, intentos de toma de
instalaciones, bloqueo de instalacin, amenaza de bomba).
Estos peligros ocasionan riesgos que no son mutuamente excluyentes. Esta Gua trata con los riesgos
asociados con los peligros tecnolgicos, es decir, con el manejo, procesamiento, almacenamiento y
transporte de sustancias txicas, inflamables y/o explosivas en las instalaciones de Petrleos
Mexicanos y Organismos Subsidiarios.
8.2 PROCESO DE ANLISIS DE RIESGOS.
El riesgo es inherente a todo lo que hacemos, nosotros enfrentamos riesgos continuamente, a veces
conscientemente y a veces sin darnos cuenta. La necesidad de administrar el riesgo de forma
sistemtica aplica a todas las organizaciones e individuos y a todas las funciones y actividades dentro
de una organizacin. Esta necesidad debe ser reconocida como de importancia fundamental. A
continuacin se tratar brevemente el proceso de gestin de riesgos con el objeto de establecer el
contexto de los anlisis de riesgos de proceso.
8.2.1 El Proceso de Gestin de Riesgo.
La gestin de riesgos es una parte integral de una buena administracin. Es un proceso iterativo de
mejora continua que est embebido dentro de las prcticas existentes o procesos del negocio. La
gestin del riesgo es la aplicacin sistemtica de polticas de administracin, procedimientos y prcticas
de ingeniera a las tareas de identificar, analizar, evaluar y controlar riesgos. Sus principales elementos
se muestran en la Figura 8-1.
Clave: 800-16400-DCO-GT-75
Proteccin Ambiental
a) Comunicacin y consulta
En cada etapa de la gestin del riesgo se deben establecer canales de comunicacin y consulta con
niveles directivos.
b) Definicin del contexto
Definir el contexto externo e interno en donde el proceso de gestin de riesgos tiene lugar. Se deben
establecer y estructurar los criterios contra los cuales se evala el riesgo.
c) Identificacin de los peligros y los riesgos
Identificar las todas las posibles fuentes de, peligros, as como las formas en las que dichos peligros
pueden salirse de control, identificando escenarios de riesgos o de posibles accidentes, as como
condiciones o situaciones que generen o induzcan riesgos.
d) Identificacin y evaluacin de los controles existentes
Determinar la probabilidad de ocurrencia del escenario de riesgo y sus posibles consecuencias, as

como estimar si los controles existentes, incluyendo todos los sistemas de seguridad, son suficientes
para el control y administracin del riesgo evaluado.
e) Jerarquizacin de los riesgos
Comparar los niveles estimados de riesgo contra los criterios preestablecidos y considerar el balance
entre los beneficios potenciales y los resultados adversos. Esto permite tomar decisiones sobre las
recomendaciones requeridas y sus prioridades de atencin.
f) Administracin de los riesgos
Desarrollar e implantar medidas o estrategias eficaces, as como planes de accin para mantener los
riesgos en niveles tolerables.
g) Monitoreo y revisin de riesgos
Con objeto de mantener la mejora continua, es necesario monitorear la efectividad de cada paso del
proceso de gestin de riesgo, considerando la definicin y supervisin de cumplimiento, en base a
responsables y fechas compromiso, de las recomendaciones surgidas del anlisis de riesgos.
An cuando el proceso de gestin de riesgos contempla todas estas etapas, la presente Gua se enfoca
nicamente a las etapas c), d) y e), las cuales engloban el proceso de identificacin, anlisis y
evaluacin de riesgos.
8.2.2 El Proceso de Identificacin, Anlisis y Evaluacin de Riesgos.
Este proceso debe realizarse de acuerdo con la secuencia de las siguientes etapas:
1. Definicin del alcance.

2. Identificacin de peligros y riesgos.
3. Estimacin del nivel de riesgo.
Clave: 800-16400-DCO-GT-75
Proteccin Ambiental
4. Verificacin del anlisis.

5. Documentacin del anlisis, y
6. Actualizacin del anlisis.
Contar con informacin actualizada, completa y vigente sobre la tecnologa del proceso a analizar, una
persona que dirija el anlisis de riesgos (Lder) y la aplicacin de la metodologa de anlisis de riesgos
seleccionada, la participacin de un grupo multidisciplinario de especialistas con amplia experiencia y
conocimientos sobre disciplinas como operacin, mantenimiento, seguridad, ingeniera y diseo, salud
en el trabajo, etc.
Definicin del alcance.
Se debe definir y documentar el alcance del anlisis de riesgos para crear un plan al inicio del proyecto.
Esta actividad implica:
a. Describir las razones y/o problemas que motivaron el anlisis de riesgos.

1. Formular los objetivos del anlisis de riesgos con base en los requerimientos identificados.
2. Definir los criterios de xito/falla del sistema.
b. Definir el sistema a analizar, que incluye:
1. Descripcin general del sistema.
2. Definicin de fronteras e interfaces con los sistemas relacionados tanto fsicas como
funcionales.
3. Descripcin del entorno del sistema.
4. Identificacin de entradas y salidas a travs de las fronteras del sistema de materiales y
energa.
5. Definicin de condiciones operativas consideradas en la evaluacin y cualquier limitante
importante.
c. Identificar circunstancias tcnicas, ambientales, legales, organizacionales y humanas, relevantes
a la actividad o problema analizado.
d. Definir las limitantes y suposiciones bajo las que se realiza el anlisis.
e. Identificar las decisiones que se deban tomar con base en los resultados obtenidos.
Dentro de las actividades de definicin del alcance tambin se debe considerar la familiarizacin con el
sistema en estudio.
Clave: 800-16400-DCO-GT-75
Proteccin Ambiental
Figura 8-1 El proceso de gestin del riesgo
Identificacin de peligros y riesgos.
Se deben identificar todos los peligros junto con las formas en las que estos pueden salirse de control
y, dar lugar a la ocurrencia de los riesgos. Esta identificacin tambin incluye aquellos peligros
registrados en el historial de incidentes/accidentes tanto propios como de instalaciones y/o procesos
similares, as como los que resulten del empleo de la(s) metodologa(s) formal(es) para el desarrollo de
los anlisis de riesgos de proceso, consideradas en la seccin 8.3 de esta Gua.
Debe llevarse a cabo una identificacin, anlisis y evaluacin inicial de los riesgos, considerando la
importancia de los peligros identificados. Esto implica alguna o algunas de las siguientes acciones:
Clave: 800-16400-DCO-GT-75
Proteccin Ambiental
Tomar acciones correctivas inmediatas para eliminar o reducir los riesgos ocasionados por los
peligros.
Despus de la accin anterior, detener el anlisis de riesgos debido a que los peligros y sus
riesgos son insignificantes, o
Continuar con el anlisis y con la estimacin del nivel de riesgo.
Estimacin del nivel de riesgo.
En esta etapa, se deben considerar los eventos iniciadores y su probabilidad de ocurrencia, la

combinacin de eventos que son de inters: errores humanos, fallas de equipos, dispositivos de
seguridad, sistemas de mitigacin activos y pasivos, as como sus posibles consecuencias, para
obtener una estimacin del riesgo analizado. En sta estimacin debe considerarse la reduccin al
mximo, del grado de incertidumbre involucrado.
Las metodologas usadas en la estimacin del riesgo son a menudo cuantitativas aunque el grado de
detalle requerido depende de cada aplicacin en particular. El anlisis totalmente cuantitativo no
siempre es posible debido a que normalmente no se dispone de suficiente datos e informacin sobre el
sistema, proceso o actividad analizada. En tales circunstancias se puede emplear una categorizacin
comparativa ya sea cualitativa o cuantitativa de riesgos realizada por especialistas. En el caso de que la
categorizacin sea cualitativa, se debe proporcionar una explicacin clara y detallada de todos los
criterios y trminos empleados, as como documentar las bases para la asignacin de las categoras de
frecuencia y consecuencias (ver seccin 8.3.9, matrices de riesgo).
Para la estimacin del riesgo, primero se analizan las posibles causas mediante las cuales los peligros
se salen de control y se determina su probabilidad de ocurrencia o frecuencia (para el caso de
sustancias peligrosas, considerar la duracin y naturaleza de su liberacin: inventario, composicin,
caractersticas de la descarga, etc.). Luego, se analizan las consecuencias derivadas de la prdida de
control del peligro. El anlisis de consecuencias implica estimar la severidad de las consecuencias
asociadas con el peligro. El anlisis tambin puede requerir la estimacin de la probabilidad de que el
peligro cause la(s) consecuencia(s) y por lo tanto puede involucrar el anlisis de la secuencia de
eventos mediante el cual el peligro puede resultar en esa consecuencia.
Anlisis de la frecuencia.
El anlisis de la frecuencia, se emplea para estimar la probabilidad de ocurrencia de cada evento no

deseado, identificado en la tercera etapa del proceso de gestin del riesgo. Generalmente se emplean
tres enfoques para la estimacin de dicha frecuencia:
El uso de datos histricos

Obtener frecuencias a travs del uso de metodologas analticas o simulaciones
Empleando juicios y experiencia del personal operativo familiarizado con los procesos y/o de
expertos.
El uso de estos puede ser particular o combinado. Generalmente se combinan el primero y el segundo,
con el objetivo de obtener datos ms confiables. En caso de que por alguna razn no sea esto posible,
se recurre al juicio de personal operativo familiarizado con los procesos y/o al de expertos.
Anlisis de consecuencias.
Clave: 800-16400-DCO-GT-75
Proteccin Ambiental
El anlisis de consecuencias descrito en el apartado 8.3.12 de esta Gua, se emplea para estimar el
impacto o dao que tendra el escenario de riesgo del evento no deseado, sobre el personal, la
poblacin, el medio ambiente y las instalaciones - produccin.
El anlisis de consecuencias debe:
Estar basado en eventos no deseados previamente seleccionados

Evaluar y describir los daos de cualquier consecuencia resultante de los escenarios de
riesgo simulados, sobre el personal, la poblacin, el medio ambiente y las instalaciones
produccin
Tomar en cuenta las medidas de seguridad y sistemas existentes para mitigar las
consecuencias, as como todos los controles administrativos y condiciones relevantes que
pudieran tener un efecto mitigador sobre estas
Documentar los criterios empleados para identificar y evaluar los efectos de las
consecuencias
Considerar las consecuencias inmediatas y aquellas resultantes despus de cierto tiempo, si
as lo considera el alcance del estudio
Clculo del riesgo.
Es necesario que l riesgo se exprese en trminos adecuados. Algunas formas de expresarlo son:
Frecuencia de muerte para un individuo (riesgo individual).

Grficas de frecuencia versus consecuencia para riesgo social (estas se conocen como
curvas F-N, donde F expresa la frecuencia y N el nmero de personas que sufren cierto grado
de dao especfico).
La tasa de prdidas esperadas estadsticamente en trminos de fatalidades, daos
econmicos o ambientales.
La distribucin del riesgo de un cierto grado de dao especfico.
Los datos para los clculos deben ser recolectados documentados y organizados, en tal forma que
facilite su manejo durante el desarrollo del anlisis de riesgos, permitiendo su trazabilidad.
Incertidumbre.
Dado que hay muchas incertidumbres en la estimacin del riesgo, se requiere entender las causas que
las originan, con objeto de interpretar efectivamente los niveles de riesgo estimados o calculados.
Siempre se debe tener en cuenta que las incertidumbres estn asociadas con los datos, las
metodologas y los modelos empleados en la estimacin del riesgo.
Clave: 800-16400-DCO-GT-75
Proteccin Ambiental
Verificacin del anlisis.
El anlisis se debe someter a un proceso formal de verificacin por personal no involucrado en su

elaboracin, de tal forma que la integridad y calidad del anlisis quede asegurada.
La verificacin debe incluir las siguientes etapas:
a. Verificar que el alcance sea consistente con los objetivos establecidos.

b. Revisar todas las suposiciones crticas y asegurar que stas son crebles con base en la
informacin disponible.
c. Asegurar que el analista emple las metodologas, mtodos, modelos y datos apropiados
d. Verificar que el anlisis puede ser repetible por otros analistas.
e. Verificar que los resultados del anlisis no dependen de la forma en la que se presentan los
datos o resultados.
As mismo, revisar la viabilidad tcnica y econmica de las recomendaciones resultantes del anlisis de
riesgos. Este paso se debe dar bajo las siguientes consideraciones:
Generar las diferentes opciones para la administracin del riesgo.

Evaluar tcnica y econmicamente cada opcin con el enfoque de costo/beneficio.
Presentar las conclusiones de la evaluacin del costo/beneficio, considerando aspectos como:
- Grado de riesgo remanente.

- Cumplimiento de la legislacin.
- Costo de la retencin del riesgo.
Documentacin del anlisis.
El informe del anlisis de riesgos documenta el proceso mismo y su contenido mnimo se presenta en la
seccin 8.4 de sta Gua.
Actualizacin del anlisis.
Dado que el anlisis de riesgos se requiere para soportar un proceso de administracin de riesgos
continuo, se debe realizar y documentar de tal forma que este pueda ser actualizado a travs del ciclo
de vida del proceso, sistema, instalacin o actividad. Los analistas deben actualizarlo cada cinco aos,
o bien antes en caso de que se presenten cambios en las condiciones de diseo, en la tecnologa de
proceso, o bien, como resultado de incidentes/accidentes mayores o, de acuerdo con las necesidades
del proceso de gestin, como lo estipula la NOM-028-STPS-2004 Organizacin del trabajo Seguridad
en los procesos de sustancias qumicas.
8.3 METODOLOGAS DE ANLISIS DE RIESGOS.

Clave: 800-16400-DCO-GT-75
Proteccin Ambiental
El anlisis de riesgos involucra la identificacin de los peligros presentes en el proceso bajo estudio y
posteriormente, el anlisis y la evaluacin de los riesgos asociados a esos peligros. Cabe mencionar
que el paquete de informacin sobre la tecnologa del proceso utilizado para la aplicacin de las
metodologas de anlisis de riesgo, es el referido en la GUA TCNICA PARA LA ELABORACIN DEL
PAQUETE DE TECNOLOGA DEL PROCESO, Clave: 800/16000/DCO/GT/005/10, vigente, disponible
en la intranet, http://sspa.pemex.com/ >> Manual Pemex SSPA >> Subsistema de Administracin de la
Seguridad de los Procesos.
8.3.1 Identificacin de peligros.
Implica la revisin sistemtica del sistema bajo estudio con el objetivo de identificar los peligros que se
encuentran presentes, as como las formas en las que esos peligros pueden salirse de control, dando
lugar a posibles escenarios de riesgo. Las metodologas empleadas para identificar peligros se pueden
agrupar en tres clases:
Metodologas comparativas, como las Listas de Verificacin.

Metodologas fundamentales, consistentes en mtodos estructurados para estimular a un
grupo multidisciplinario que aplican sus conocimientos sobre el sistema analizado, para
identificar peligros y prever la forma en la que se puede perder control sobre ellos. Ejemplos
de estas metodologas son: Qu pasa si?, Anlisis de Modos de Falla y sus Efectos FMEA y
Anlisis de Peligros y Operabilidad HazOp-
Razonamiento inductivo / deductivo, tal como el Anlisis de Arboles de Eventos (AAE) / y el
Anlisis de Arboles de Falla (AAF).
8.3.2 Jerarquizacin de los riesgos.
La identificacin de peligros en un proceso en particular puede dar origen a una gran cantidad de
escenarios de riesgo potenciales. Durante la aplicacin de alguna metodologa cualitativa (Lista de
verificacin, Qu pasa si?, FMEA o HAZOP) se deben identificar tanto su frecuencia de ocurrencia
como cada una de las posibles consecuencias (dao al personal, a la poblacin, al medio ambiente, a
las instalaciones y/o a la produccin), las cuales deben ser documentadas en la columna
correspondiente y valoradas de acuerdo con los criterios sealados en las matrices de riesgo,
establecidos en la seccin 8.3.9 de esta Gua. La aplicacin de metodologas para realizar anlisis
cuantitativo de riesgo (AAE, AAF y AC) se reserva para sistemas complejos o bien para aquellos casos,
en los que a juicio de los analistas, por el elevado nivel de riesgo obtenido, as lo requieren.
El anlisis cuantitativo de riesgos requiere del clculo de la frecuencia (F), o probabilidad de ocurrencia,
y de la severidad de las consecuencias (C).
Clave: 800-16400-DCO-GT-75
Proteccin Ambiental
8.3.3 Seleccin de las metodologas.
Los elementos que influyen sobre la seleccin de las metodologas a emplear son:
Normatividad aplicable o compromisos contractuales.

Los objetivos del estudio (si se desea identificar desviaciones respecto a determinada
normatividad o prcticas recomendadas, una lista de verificacin puede ser suficiente).
La fase del desarrollo del sistema (fases tempranas requieren anlisis menos detallados, pues
no se cuenta con toda la informacin tcnica requerida para aplicar otro tipo de evaluacin).
El tipo de sistema y peligro analizado (algunos sistemas implican un grado de complejidad que
pueden exceder las capacidades de algunas metodologas).
El nivel potencial de severidad (escenarios con niveles de severidad de consecuencias altos,
requieren de metodologas ms detalladas).
Los requisitos de experiencia, entrenamiento y horas dedicadas (una metodologa un poco
ms sencilla bien aplicada puede dar origen a mejores resultados que una metodologa ms
compleja deficientemente aplicada, siempre y cuando cumpla con el objetivo del estudio).
La disponibilidad de informacin (algunas metodologas requieren de mayor cantidad de
datos).
La necesidad de modificacin - actualizacin de los anlisis (algunas metodologas permiten
una actualizacin o modificacin ms sencilla que otras).
En trminos generales, la metodologa empleada para realizar el anlisis de riesgos debe ser la
adecuada para cumplir con las siguientes caractersticas:
Debe ser tcnicamente defendible.

Debe permitir identificar el peligro que lo origina y valorar la importancia del riesgo, as como
la forma en la que este debe ser controlado.
Debe ser trazable, reproducible y verificable.
En la Tabla 8-1 se muestra el uso tpico de las metodologas de acuerdo con la etapa de vida del
proceso, aunque en ocasiones en alguna de estas etapas se puede utilizar ms de una metodologa.
Tabla 8-1 Tpico de las metodologas de acuerdo a la etapa de vida del proceso
Qu pasa
Lista de Qu si?/Lista de
Etapa FMEA HAZOP AAE AAF AC
verificacin pasa si? verificacin
Investigacin y desarrollo 9 9
Diseo conceptual 9 9 9
Operacin de planta piloto 9 9 9 9 9 9 9 9
Ingeniera de detalle 9 9 9 9 9 9 9 9
Construccin y arranque 9 9 9
Operacin rutinaria 9 9 9 9 9 9 9 9
Expansin o modificacin 9 9 9 9 9 9 9 9
Desmantelamiento 9 9 9
Clave: 800-16400-DCO-GT-75
Proteccin Ambiental
8.3.4 Listas de verificacin.
Deben ser elaboradas a partir de cdigos, regulaciones y estndares aplicables y deben ser aprobadas
por el personal designado por PEMEX antes de ser aplicadas. El alcance debe cubrir Factores
Humanos, Sistemas e Instalaciones. Deben ser tan extensas como sea necesario para satisfacer la
situacin especfica que se analiza, debe ser aplicada de forma que permita identificar y evaluar los
problemas que requieren mayor atencin. Los resultados deben contener una lista de recomendaciones
(alternativas) de mejoras de la seguridad (reduccin del riesgo) a ser consideradas por PEMEX.
El detalle de su aplicacin se presenta en el Anexo A.
8.3.5 Qu pasa s?
Esta metodologa debe involucrar el anlisis de las desviaciones posibles del diseo, construccin,
modificacin u operacin, as como cualquier preocupacin acerca de la seguridad del proceso. Debe
promover la lluvia de ideas acerca de escenarios hipotticos con el potencial de causar consecuencias
de inters (eventos no deseados con impactos negativos).Debe ser aplicada con el apoyo de un grupo
multidisciplinario de la instalacin. El resultado debe ser una lista en forma de tabla de las situaciones
peligrosas, sus consecuencias, salvaguardas y opciones posibles para la prevencin y/o mitigacin de
consecuencias.
El detalle de su aplicacin se encuentra en el Anexo B.
8.3.6 Combinacin Lista de Verificacin y Qu pasa s?
Al aplicar est combinacin de metodologas, se deben considerar los criterios antes descritos en
particular para cada una de ellas. En base a las listas de verificacin, se debe promover la lluvia de
ideas acerca de escenarios hipotticos. Deben anexarse preguntas relacionadas con cualquier
preocupacin acerca de la seguridad del proceso, que el grupo considere pertinentes. El resultado debe
ser una lista en forma de tabla de las situaciones peligrosas, sus consecuencias, salvaguardas y
opciones posibles para la prevencin y/o mitigacin de consecuencias.
El detalle de su aplicacin se presenta en el Anexo C.
8.3.7 Anlisis de modos de falla y sus efectos (FMEA).
Los resultados deben ser una lista de referencia sistemtica y cualitativa de equipo, modos de falla y
efectos, que incluya un estimado de los peores casos de acuerdo a las consecuencias que resulten de
las fallas particulares. Se deben incluir recomendaciones orientadas a incrementar la confiabilidad de
los equipos para mejorar la seguridad del proceso. Todos los analistas involucrados en el estudio
FMEA deben estar familiarizados con las funciones y los modos de falla del equipo, y con el impacto
que estas fallas pueden tener en otras secciones del sistema o la instalacin.
En esta metodologa se evalan de manera sistemtica las posibles fallas de cada componente,
porcin de un equipo o proceso, identificando cmo stas pueden ocurrir, las medidas de seguridad con
las que se cuenta para prevenir su falla o mitigar sus consecuencias, considerando su ocurrencia y
permitiendo reforzar las medidas preventivas o de mitigacin.
El detalle de su aplicacin se presenta en el Anexo D.

Clave: 800-16400-DCO-GT-75
Proteccin Ambiental
8.3.8 Anlisis de peligros y operabilidad (HAZOP).
Debe identificar y evaluar riesgos en instalaciones de procesos, as como identificar problemas

operativos, que a pesar de no ser peligrosos, podran comprometer la capacidad de produccin de la
instalacin (cantidad, calidad y tiempo). Debe ser aplicada con el apoyo de un grupo multidisciplinario
de la instalacin. La definicin de los nodos debe ser conciliada con el grupo multidisciplinario. Las
palabras guas deben aplicarse a los parmetros o variables de acuerdo a la intencin de diseo del
nodo bajo estudio, para identificar y evaluar las desviaciones potenciales de la operacin de la
instalacin. Si las causas y las consecuencias son significativas y las salvaguardas son inadecuadas o
insuficientes, se deben recomendar acciones para reducir el riesgo. Los resultados deben ser una lista
en forma de tabla que contenga los hallazgos del equipo con la identificacin de los riesgos del
proceso, los problemas operativos, las causas, las consecuencias, las salvaguardas y las
recomendaciones. En aquellos casos en que no se llegue a una conclusin debido a la falta de
informacin se recomendar la realizacin de estudios posteriores.
En esta metodologa se evala de manera sistemtica cada porcin de un proceso, identificando

desviaciones respecto a la intencin de su diseo, cmo stas pueden ocurrir, medidas de seguridad
con las que se cuenta para prevenir fallas o mitigar sus consecuencias, determinando su importancia
de acuerdo a su probabilidad de ocurrencia y posibles consecuencias y proponiendo medidas
preventivas o de mitigacin para reforzar la seguridad.
El detalle de su aplicacin se presenta en el Anexo E.
8.3.9 Caracterizacin y jerarquizacin de los riesgos.
Tal y como se mencion con anterioridad, en los casos en que la categorizacin sea cualitativa se debe
proporcionar una explicacin clara de todos los criterios y trminos empleados, as como documentar
las bases para la asignacin de las categoras de frecuencia y consecuencias (ver seccin 8.3.9,
matrices de riesgo). Con objeto de evaluar los riesgos cuando se utilizan las metodologas de anlisis
de riesgos, se ha propuesto el uso de categoras de frecuencia, categoras de consecuencias y
matrices de riesgo, consensuadas y aprobadas durante la sptima reunin de la Red de Expertos en
Anlisis de Riesgos, celebrada el 5 de marzo del 2009. El detalle que describe su uso se ha
documentado en el Anexo F.
8.3.9.1 Estimacin de las frecuencias.
Se debe asignar una categora de frecuencia de ocurrencia de eventos como la que se presenta en el
Anexo F.
8.3.9.2 Anlisis de Consecuencias.
Se debe asignar una categora de consecuencia de los eventos no deseados como la que se presenta
en el Anexo F.
8.3.9.3 Matrices de Riesgo.

Clave: 800-16400-DCO-GT-75
Proteccin Ambiental
Las matrices que deben utilizarse para establecer el nivel de riesgo de los eventos no deseados se
muestran en el Anexo F.
8.3.10 Anlisis de rboles de Eventos (AAE).
En esta metodologa se explora de manera sistemtica la progresin de un evento iniciador y a partir de

la actuacin (xito o falla) de las medidas de seguridad con las que cuenta un sistema, para evitar o
mitigar resultados indeseables, se identifican todos los posibles resultados y se cuantifica la
probabilidad de ocurrencia de estos. Es un mtodo inductivo. El detalle de su aplicacin se presenta en
el Anexo G.
8.3.11 Anlisis de rboles de Fallas (AAF).
Para la aplicacin de esta tcnica se debe tener un entendimiento detallado acerca del funcionamiento
de la instalacin y del sistema, de los diagramas detallados y los procedimientos y de los modos de
falla de los componentes y sus efectos. Los resultados obtenidos deben ser revisados y validados por
personal de PEMEX. El contratista debe fundamentar y documentar cada uno de los valores de las
tasas de falla de los equipos y dispositivos que aparezcan en el rbol de fallas, as como explicar las
suposiciones, implicaciones y limitaciones del mtodo que usa para la solucin numrica (mtodos
rigurosos o aproximados) de los rboles de fallas analizados. La documentacin de esta tcnica debe
contener como mnimo:
La definicin del problema.

La construccin del rbol de fallas.
El anlisis del modelo de rbol de fallas.
Anlisis de los resultados.
El evento tope objeto de anlisis debe ser identificado previamente durante la etapa de identificacin de
riesgos y debe especificar el qu, dnde y cundo ocurre el evento.
En esta metodologa se Identifica de manera sistemtica las distintas combinaciones de eventos

(conjuntos mnimos de corte) que pueden dar origen a un evento indeseado (evento tope), puede
evaluar la actuacin de las medidas de seguridad con las que cuenta un sistema ya sean errores
humanos, fallas de equipo o eventos externos al sistema. Permite la cuantificacin de la probabilidad de
ocurrencia del evento indeseado. Es un mtodo deductivo.
El detalle de su aplicacin se presenta en el Anexo H.
8.3.12 Anlisis de Consecuencias (AC).
Con esta metodologa se estiman los posibles daos sobre el personal, la poblacin, el medio ambiente
y el negocio (instalaciones y produccin), derivados de la prdida de contencin de una sustancia
peligrosa (txica, inflamable y/o explosiva) a partir de la modelacin de nubes txicas, incendios y
explosiones. Es un mtodo deductivo. El detalle de su aplicacin se presenta en el Anexo I.
Anlisis de riesgos para los sistemas de transporte por ducto
Nota: Para el caso del anlisis de riesgo en los sistemas de transporte de hidrocarburos por
ducto, se deber cumplir con lo establecido en el MANUAL DE ADMINISTRACIN DE
INTEGRIDAD PARA DUCTOS DE PETRLEOS MEXICANOS, vigente.
Clave: 800-16400-DCO-GT-75
Proteccin Ambiental
8.4 INFORME DEL ANLISIS DE RIESGOS.
El reporte del anlisis de riesgos documenta el proceso mismo y debe incluir o referirse al plan de
trabajo. La presentacin de la informacin en ste reporte es una parte crtica del proceso de anlisis
de riesgos. La estimacin de riesgos debe expresarse en trminos entendibles, se deben explicar las
fortalezas y debilidades de las diferentes medidas de riesgo empleadas y se deben expresar en un
lenguaje apropiado las incertidumbres asociadas con la estimacin del riesgo.
La extensin del reporte depender de los objetivos y el alcance del anlisis. Excepto para anlisis muy
simples, la documentacin normalmente deber contener:
1. ndice
2. Objetivo
3. Alcance
4. Descripcin del proceso analizado
5. Descripcin del entorno a la instalacin
6. Premisas, consideraciones y criterios aplicados
7. Desarrollo de la(s) metodologa(s) seleccionada(s) para la identificacin de peligros en el
proceso
8. Relacin de riesgos identificados
9. Evaluacin y jerarquizacin de los riesgos
10. Recomendaciones para la administracin de los riesgos
11. Conclusiones
12. Referencias
9. BIBLIOGRAFA.
Guidelines for Consequence Analysis of Chemical Releases, CCPS, AICHE, 1999.

Guidelines for Chemical Process Quantitative Risk analysis, CCPS, AICHE, 1989.
NIOSH Pocket Guide to Chemical Hazards, Department of Health and Human Services, September
2007, DHHS (NIOSH) 2005-149.
Criterios tcnicos para simular escenarios de riesgo por fugas y derrames de sustancias peligrosas,
en instalaciones de Petrleos Mexicanos, vigente.
Gua para la presentacin del estudio de riesgo ambiental, ANLISIS DETALLADO DE RIESGO,
niveles 1, 2 y 3, SEMARNAT, noviembre 2002.
NOM010STPS1999, CONDICIONES DE SEGURIDAD E HIGIENE EN LOS CENTROS DE

TRABAJO DONDE SE MANEJEN, TRANSPORTEN, PROCESEN O ALMACENEN SUSTANCIAS
QUMICAS CAPACES DE GENERAR CONTAMINACIN EN EL MEDIO AMBIENTE LABORAL
Clave: 800-16400-DCO-GT-75
Proteccin Ambiental
NORMA Oficial Mexicana NOM-028-STPS-2004, Organizacin del trabajo-Seguridad en los

procesos de sustancias qumicas, Gua C (No Normativa), Administracin de Riesgos, 14 enero
2005.
PEMEX-PEP, Lineamiento para la determinacin del nivel de riesgo tolerable en las instalaciones de
proceso de la Regin Marina Noreste clave 250-22100-SI-212-0001, versin primera, enero 1993.
PEMEX-Refinacin, Gua para realizar Anlisis de Riesgos a instalaciones industriales, DG-
SASIPA-SI-02741, enero 2005.
Guidelines for Hazard Evaluation Procedures with worked examples, CCPS, AICHE, 1992.
Nigel Hyatt, Dyadem Press Guidelines for Process Hazards Analysis, Hazards Identification & Risk
Analysis CRC Press, 2003
Lees F. P., Loss Prevention in the Process Industries: Hazard Identification, Assessment and
Control, Butterworths-Heinemann, Londres, Second Edition, 1996.
USNRC: NUREG 0492, Fault Tree Handbook, January, 1981.
IEC 61025: International Standard, Fault Tree Analysis, 2006
IEC 60300-3-9, Risk Analysis of Technological Systems
IEC 60812, Analysis techniques for system reliability Procedure for failure mode and effects analysis
(FMEA), 2006.
Haast, D. F.; Goolberg, F. F.; Roberts, N. H.; Vesely W. E., Fault Tree Handbook, U. S. Nuclear
Regulatory Commission, NUREG-0492, 1981.
NASA Office of Safety and Mission Assurance: Fault Tree Handbook for Aerospace Applications,
Version 1.1, 2002
SAIC, CAFTA for Windows - Fault Tree Analysis System - User Manual, Science Applications
International Corporation, Los Altos, California, 1996.
Santamara J. M. Anlisis y reduccin de riesgos en la industria qumica, Editorial Mafre, Madrid,
1994.
Swain A. D., Accident Sequence Evaluation Program Human Reliability Analysis Procedure,
NUREG/CR-4772, 1987.
NUREG CR/2300, Vol. 1. PRA Procedures Guide. A Guide to the Performance of Probabilistic Risk
Assessments for Nuclear Power Plants, 1983
Hazard and operability studies (HAZOP studies) Application guide, CEI-IEC61882
Crawly, F., Preston, M., Tyler, B., HAZOP Guide to Best Practice, IChemE, 2000.
AS/NZS 4360:2004, Risk Management
MIL-STD-1629A, MILITARY STANDARD, Procedure for performing a failure mode, effects and
criticality analysis, 1980.
BS IEC 61882: Hazard and Operability Studies (HAZOP Studies) Application Guide. International
Electrotechnical Commission, Geneva.
American Petroleum Institute (API), Management of Process Hazards, API-RP750, 1990.
American Petroleum Institute (API), Recommended Practice for Design and Hazards Analysis for
Offshore Production Facilities, API-RP14J, Second Edition, 2001.
10. ANEXOS.
GUAS TCNICAS PARA REALIZAR Clave: 800-16400-DCO-GT-75
Direccin Corporativa de ANLISIS DE RIESGOS DE PROCESO Revisin: 1
Operativa Seguridad, Salud y
Proteccin Ambiental Pgina 23 de 167
ANEXO
A Listas de Verificacin
A.1 Propsito
Proporcionar una gua a los analistas de riesgos que requieran desarrollar un anlisis de riesgos utilizando
la metodologa Listas de Verificacin, para homologar su aplicacin en las instalaciones de Petrleos
Mexicanos.
A.2 Referencias
[1] Guidelines for Hazard Evaluation Procedures with worked examples, CCPS, AICHE, 1992.
[2] Nigel Hyatt, Dyadem Press Guidelines for Process Hazards Analysis, Hazards Identification & Risk
[3] Lees F. P., Loss Prevention in the Process Industries: Hazard Identification, Assessment and
A.3 Descripcin
Un Anlisis Lista de verificacin usa una lista de puntos de un procedimiento para verificar el estado de
un sistema. Las listas de verificacin varan ampliamente su nivel de detalle y son frecuentemente
usadas para indicar el cumplimiento con estndares y polticas. El Anlisis Lista de verificacin es fcil
de usar y puede ser aplicado a cualquier etapa del tiempo de vida de un proceso. Las listas de
verificacin pueden ser usadas para familiarizar al personal inexperto con el proceso por comparacin
de los atributos del proceso con varios requerimientos de la lista de verificacin. Las listas de
verificacin adems proveen una base comn para la revisin por parte de la direccin de las
evaluaciones del analista de un proceso u operacin.
Una lista de verificacin detallada provee las bases para una evaluacin estndar de los peligros de un
proceso. Puede ser tan extenso como necesario para satisfacer una situacin especfica, pero debe ser
aplicada rigurosamente para identificar problemas que requieren mayor atencin. Las listas de
verificacin de peligros genricas son frecuentemente combinadas con otras metodologas de
evaluacin de riesgos para evaluar situaciones peligrosas. Las listas de verificacin estn limitadas por
la experiencia del autor; por lo tanto, estas deben ser desarrolladas por autores que tengan amplia
experiencia con el sistema que se est analizando. Frecuentemente, las listas de verificacin son
creadas por simple organizacin de la informacin a partir de cdigos, estndares y regulaciones. Las
listas de verificacin deben ser vistas como documentos de vida y deben ser auditadas y actualizadas
regularmente.
Muchas organizaciones usan listas de verificacin estndares para controlar el desarrollo de un

proyecto, desde el diseo inicial hasta el desmantelamiento de la planta. La lista de verificacin
completa debe ser aprobada por varios miembros del personal y directivos antes de que un proyecto se
pueda mover a la siguiente etapa. En este sentido, la lista de verificacin sirve como medio de
comunicacin y como forma de control.
Utiliza una relacin de temas o puntos especficos para verificar el estado de un sistema con una
referencia externa, identifica tipos de riesgos conocidos, deficiencias de diseo y situaciones
potenciales de accidentes asociados con el proceso y su operacin comn. Esta tcnica tambin puede
utilizarse para evaluar materiales, equipos o procedimientos.
Esta metodologa hace uso de la experiencia acumulada por una organizacin industrial y est limitado
por la experiencia de sus autores.
A.4 Propsito
Las listas de verificacin tradicionales son usadas primeramente para asegurar que las organizaciones
estn cumpliendo con prcticas estndares. En algunos casos, los anlisis usan ms de una lista de
verificacin general en combinacin con otros mtodos de evaluacin de riesgos para descubrir
peligros comunes que las listas de verificacin podran omitir.
A.5 Tipo de Resultados
Para crear una lista de verificacin tradicional; el analista define el estndar de diseo o las prcticas de
operacin, y las utiliza para generar una lista de preguntas basadas en deficiencias o diferencias. Una
lista de verificacin completa contiene si, no, no aplica o necesita ms informacin como
respuestas a las preguntas. Los resultados cualitativos varan con la situacin especfica, pero
generalmente pueden llevar a una decisin de si o no acerca del cumplimiento con los
procedimientos estndares. Adems, el conocimiento de estas deficiencias generalmente lleva a
desarrollar fcilmente una lista de alternativas de posibles mejoras de seguridad a considerar por los
directivos.
A.6 Requerimientos de Recursos
Para la ejecucin apropiada de esta metodologa, se necesita una lista de verificacin apropiada,
procedimientos ingenieriles de diseo, manuales de prcticas operacionales, y alguien que complete la
lista de verificacin que sea quien tenga el conocimiento bsico del proceso a ser revisado. Si existe
una lista de verificacin disponible de un trabajo previo, los analistas deben tener la capacidad de
usarla como una gua, si es que as lo consideran necesario. Si no existe esta lista de verificacin, una
persona (generalmente varias personas) debe de preparar la lista de verificacin y ejecutar la
evaluacin. Un directivo experimentado o ingeniero deben entonces revisar los resultados del Anlisis
Lista de verificacin.
El mtodo de Anlisis Lista de verificacin es verstil. El tipo de evaluacin ejecutada con la lista de
verificacin puede variar: puede ser usada para evaluaciones simples o para evaluaciones ms
extensas. Esta es una manera altamente rentable para identificar de forma habitualmente peligros
reconocidos. La Tabla A.6-1.1 es un estimado del tiempo que toma ejecutar un estudio de evaluacin
de riesgos usando la metodologa de Anlisis Lista de verificacin.
Tabla A.6-1 Estimado de Tiempo para ejecutar un Anlisis Lista de verificacin

Alcance Preparacin Evaluacin Documentaci
n
Simple/Sistema pequeo 2-4 hrs 4-8 hrs 4-8 hrs
Complejo/Proceso Grande 1-3 das 3-5 das 2-4 das
A.7 Aplicacin de la Tcnica
La metodologa Anlisis Lista de verificacin comnmente se utiliza en las siguientes etapas de la vida
de un proyecto: diseo conceptual, operacin de la planta piloto, ingeniera de detalle, construccin y
arranque, operacin de rutina, expansin o modificacin y desmantelamiento.
A.8 Enfoque Tcnico
En el Anlisis Lista de verificacin el analista utiliza una lista de puntos especficos para identificar los
peligros, designar deficiencias y accidentes potenciales asociados con equipo de proceso y
operaciones. La metodologa de Anlisis Lista de verificacin puede ser usada para evaluar materiales,
equipo o procedimientos. Las listas de verificacin son mayormente utilizadas para evaluar diseos
especficos con los cuales una compaa o industria tiene una experiencia significativa, pero tambin
pueden ser usadas en las etapas tempranas de desarrollo de un proceso nuevo para la identificacin y
eliminacin de peligros que hayan sido reconocidos a travs de los aos en sistemas similares.
El uso apropiado de una lista de verificacin podra generalmente asegurar que una pieza de equipo
cumple con estndares aceptados y puede tambin identificar reas que requieren mayor evaluacin.
Para ser ms til, las listas de verificacin deben ser especficamente confeccionadas para una
compaa en individual, planta o producto. Un Anlisis Lista de verificacin de un proceso existente
normalmente incluye una visita al proceso y comparar el equipo con la lista de verificacin. Como parte
del Anlisis Lista de verificacin de un proceso que no est aun construido, personal experimentado
compara la documentacin de diseo contra las listas de verificacin pertinentes.
A.9 Procedimiento de Anlisis
Una vez que el alcance del anlisis ha sido definido, un Anlisis Lista de verificacin consiste
principalmente de tres pasos:
1. Seleccionar o desarrollar una lista de verificacin apropiada,

2. Ejecutar la revisin, y
3. Documentar los resultados.
A.9.1 Seleccionando una Lista de Verificacin
Un Anlisis Lista de verificacin tiene un enfoque basado en la experiencia. El analista de riesgos debe
seleccionar la lista de verificacin apropiada de las fuentes disponibles (ejemplo estndares
internacionales, cdigos, guas industriales, etc.). Si no hay una lista de verificacin especifica y
pertinente, entonces el analista debe usar su experiencia y la informacin disponible de referencias
autorizadas para generar una lista de verificacin apropiada.
Una lista de verificacin debe ser preparada por un ingeniero experto que sea familiar con la operacin
general de la planta, sus polticas, estndares y procedimientos. Una lista de verificacin es
desarrollada de manera que los aspectos del diseo del sistema u operacin que no cumplen con la
compaa o con las prcticas estndares comunes industriales sern descubiertos a travs de las
respuestas a las preguntas de la lista de verificacin. Una vez que la lista de verificacin ha sido
preparada, puede ser aplicada por ingenieros menos expertos como evaluacin independiente o parte
de otro estudio de revisin de riesgos. Una lista de verificacin detallada para un proceso en particular
debe de ser soportada por una lista de verificacin genrica para ayudar a asegurar rigurosidad.
A.9.2 Ejecucin de la revisin
El anlisis de los sistemas existentes debe incluir visitas e inspecciones visuales de los procesos por
los miembros del grupo multidisciplinario de anlisis de riesgos. Durante estas visitas los analistas
compararn el equipo de proceso y las operaciones con los puntos de la lista de verificacin. Los
revisores respondern a los puntos de la lista de verificacin basados en la observacin del sitio de las
visitas, documentacin de los sistemas, entrevistas con el personal de operacin, y las percepciones
del personal. Cuando los atributos observados del sistema o caractersticas operacionales no coincidan
con las caractersticas especificas deseadas de la lista de verificacin, el analista anotar las
deficiencias. Un Anlisis Lista de verificacin de un proceso nuevo, antes de la construccin es
generalmente ejecutado por un grupo multidisciplinario en una reunin y se enfocan a la revisin de los
diagramas de proceso y discusin de las deficiencias.
A.9.3 Seleccionando una Lista de Verificacin
El grupo de evaluacin de riesgos que ejecuta el anlisis podra resumir las deficiencias notadas
durante las visitas y/o reuniones. El reporte debe contener una copia de la lista de verificacin que fue
usada para ejecutar el anlisis. Cualquier recomendacin especfica para mejora de seguridad debe ser
suministrada junto con las explicaciones apropiadas.
A.10 Producto Esperado
Un anlisis tradicional de Anlisis Lista de verificacin usualmente genera una lista de respuestas a las
preguntas estndares de la lista de verificacin. Esto puede tambin resultar en una lista de peligros
identificados y un conjunto de acciones correctivas sugeridas.
A.11 Software
Se tiene el software PHA-Pro de la compaa Dyadem International Ltd.

(www.dyadem.com/products/phapro).
A.12 Conclusiones
Las listas de verificacin son usadas comnmente para verificar el cumplimiento con estndares e
identificar reas que requieren mayor evaluacin. Una lista de verificacin es fcil de usar y puede
emplearse durante cualquier etapa de la vida de un proyecto. Una lista de verificacin es un medio
conveniente para comunicar el nivel mnimo aceptable de evaluacin de riesgos que es requerido para
cualquier trabajo.
La lista de verificacin es preparada por personal con experiencia, familiarizado con el diseo y
operacin de las instalaciones y con los estndares de la compaa o industria y procedimientos. Una
vez que la lista de verificacin ha sido preparada, puede ser aplicada por personal menos
experimentado. Las listas de verificacin estn limitadas por la experiencia de los autores y la diligencia
de los usuarios. Las listas de verificacin deben de ser auditadas y actualizadas regularmente para
incorporar nuevas experiencias, incluyendo los resultados de investigaciones de accidentes o
incidentes.
Una lista de verificacin puede ser tan detallada como se necesite y debe de ser aplicada
rigurosamente para evaluar si los procedimientos y estndares se estn siguiendo y para identificar
problemas que requieren mayor atencin. Una lista de verificacin es generalmente el mtodo ms
rpido y fcil para analizar peligros y es muy efectivo para el control de peligros.
La lista de verificacin suministra una gua de temas a ser considerados en la ejecucin de

evaluaciones de riesgos.
A.13 Ejemplo
Listas de verificacin, otros datos y la experiencia propia pueden ser usadas para crear listas de
verificacin. Adicionalmente se puede usar lo siguiente para ayudar con la preparacin:
1. Qu es lo que el equipo hace? En qu maneras puede fallar el equipo?
2. Cules son los mayores peligros asociados con el material que est siendo manejado por el
equipo?
3. Cules son las iteraciones potenciales a la entrada del equipo y a la salida del equipo o las
condiciones que podran conducir a problemas?
4. Podra un evento externo causar problemas?
5. Podran las condiciones ambientales causar problemas ejemplo bajas temperaturas?
6. Hay problemas con el encendido o apagado?
7. Hay problemas para mantener el equipo o los componentes individuales?
8. Si fallan los sistemas de instrumentacin y control, que podra pasar?
9. Hay los sistemas de proteccin adecuados? Si es as, hay redundancias?
10. Ha considerado:
a. Falla de suministro elctrico?
b. Falla de suministro de aire?
c. Falla de suministro de agua de enfriamiento?
d. Falla de vapor?
e. Han sido considerados los efectos de todos ellos en relacin con el tamao de los
quemadores?
11. Los componentes del sistema fallan seguro ejemplo vlvulas de control?
12. Ha considerado:
a. Aislamiento del equipo?
b. Drenaje?
c. Venteo?
d. Bloqueos de emergencia?
13. Ha considerado operaciones especiales?
14. Ha buscado problemas comunes como:
a. Interfaces de alta presin/baja presin
b. Posible flujo reverso
c. Ruptura de sellos
d. Filtraciones de Gas en el control de nivel
e. Los baipases se dejaron abiertos cerca de las vlvulas de control
f. Rupturas de tubos en calderas e intercambiadores de calor?
g. Golpes de agua/flujo en dos fases que dae las lneas?
h. La corrosin rompe el acero en presencia de cloruros?
En la Tabla A-13.1, se muestra el ejemplo de una hoja de trabajo para aplicar la Lista de verificacin
Tabla A-13.1 Ejemplo de hoja de trabajo Lista de Verificacin
rea: Fecha de Reunin:

Plano No.: Miembros del Equipo:
Lista de Salvaguarda ndice de

Consecuencia Gravedad Frecuencia Recomendaciones Responsable
Verificacin (Medidas de Riesgo
seguridad)
ANEXO
B Qu pasa si?
B.1 Propsito
Proporcionar una gua a los analistas que requieran desarrollar un anlisis de riesgos utilizando la
metodologa Qu Pasa Si?, para homologar su aplicacin en las instalaciones de Petrleos Mexicanos.
B.2 Referencias
Control, Butterworths-Heinemann, London, Second Edition, 1996.
B.3 Descripcin
La metodologa de Anlisis Qu pasa si? tiene el enfoque de una lluvia de ideas en la cual el grupo
multidisciplinario familiarizado con el proceso formula preguntas o manifiesta preocupaciones acerca de
posibles eventos indeseados. Este anlisis no es un proceso estructurado como algunas otras
metodologas. En su lugar, este requiere que el analista adapte el concepto bsico a la aplicacin
especfica. Muy poca informacin se ha publicado acerca del mtodo de Anlisis Qu pasa si? o de su
aplicacin. De cualquier forma, es frecuentemente utilizado por la industria en sus etapas tempranas o
durante la vida de un proceso y tiene buena reputacin entre aquellos especialistas que lo aplican.
El concepto del Anlisis Qu pasa si? anima al grupo de evaluacin de riesgos a pensar en preguntas
que empiecen con Qu pasa si ?. Cualquier proceso puede ser manifestado, aun si no es
parafraseado como pregunta. Por ejemplo:
Me preocupa entregar el material equivocado

Qu pasa si la bomba A detiene su funcionamiento durante el arranque?
Qu pasa si el operador abre la vlvula B en lugar de la vlvula A?
Generalmente, se registran todas las preguntas y luego stas se dividen dentro de reas especficas de
investigacin (generalmente relacionadas con las consecuencias de inters), como la seguridad
elctrica, proteccin contra incendios o seguridad del personal. Cada rea es subsecuentemente
direccionada a un equipo de una o ms personas expertas. Las preguntas se formulan en base a la
experiencia y aplicando los diagramas y descripciones de procesos existentes. Para una planta en
operacin, la investigacin incluye entrevistas con el personal de la planta no representado en el grupo
multidisciplinario de evaluacin de riesgos. Puede no haber un patrn especfico u orden para las
preguntas, a menos que el lder suministre un patrn lgico como una divisin del proceso dentro de
sistemas funcionales. Las preguntas pueden direccionarse a cualquier condicin no normal relacionada
con la planta, no solo componentes de falla o variaciones de proceso.
B.4 Propsito
El propsito del Anlisis Qu pasa si? es identificar peligros, situaciones peligrosas o eventos de
accidentes especficos que pueden producir una consecuencia indeseable. Un grupo multidisciplinario y
experimentado identifica las posibles situaciones de accidente, sus consecuencias y las medidas de
seguridad existentes, entonces se sugieren alternativas de reduccin de riesgos. El mtodo puede
involucrar la revisin de posibles desviaciones del diseo, construccin, modificacin o de operaciones.
Esto requiere un entendimiento bsico de la intencin del proceso, junto con la habilidad de combinar
mentalmente las posibles desviaciones del diseo que podran resultar en un accidente. Este es un
procedimiento poderoso si el personal es experimentado; de otra manera, los resultados sern
probablemente incompletos.
B.5 Tipo de Resultados
En su forma ms simple, la metodologa del Anlisis Qu pasa si? genera una lista de preguntas y
respuestas acerca del proceso. Esto puede resultar adems en una lista tabular de situaciones
peligrosas (no categorizadas o con implicaciones cuantitativas para los escenarios de accidentes
potenciales), sus consecuencias, medidas de seguridad y opciones posibles para la reduccin de
riesgo.
B.6 Requerimientos de Recursos
Puesto que el Anlisis Qu pasa si? es muy flexible, se puede ejecutar en cualquier etapa de la vida
del proceso, usando cualquier informacin del proceso y conocimiento disponible. Para cada rea del
proceso, dos o tres personas deben ser asignadas para ejecutar el anlisis, aunque se prefiere un
equipo ms grande. Es mejor usar un equipo grande para procesos complejos, dividiendo los procesos
en piezas ms pequeas, que usar un grupo pequeo por largo tiempo en todo el proceso.
El tiempo y el costo de un Anlisis Qu pasa si? son proporcionales a la complejidad de la planta y el

nmero de reas a ser analizadas. Una vez que la organizacin ha ganado experiencia con l, el
mtodo del Anlisis Qu pasa si? puede volverse un medio rentable de evaluacin de riesgos durante
cualquier fase del proyecto. La Tabla B.6-1 lista los tiempos estimados necesarios para ejecutar un
estudio de evaluacin de riesgos usando la metodologa de Anlisis Qu pasa si?
Tabla B.6-1 Estimado de Tiempo para ejecutar un Anlisis Qu pasa si?

Alcance Preparacin Evaluacin Documentacin
Simple/Sistema Pequeo 4-8 hrs 4-8 hrs 1-2 das
Complejo/Proceso grande 1-3 das 3-5 das 1-3 semanas
B.7 Aplicacin de la Tcnica
La metodologa de Anlisis Qu pasa si? comnmente se utiliza en las siguientes etapas de la vida de
un proyecto: diseo conceptual, operacin de la planta piloto, ingeniera de detalle, construccin y
arranque, operacin de rutina, expansin o modificacin, investigacin de incidentes,
desmantelamiento.
B.8 Enfoque Tcnico
La metodologa del Anlisis Qu pasa si? es una revisin creativa a una lluvia de ideas de un proceso
u operacin. El analista de riesgos revisa el proceso o actividad en las reuniones que giran alrededor de
los temas de seguridad identificados por el analista. Cada miembro del grupo multidisciplinario de
anlisis de riesgos es animado a formular preguntas Qu pasa si? o traer a la mesa de discusin
temas especficos que les preocupan. La metodologa de Anlisis Qu pasa si? puede ser usada para
revisar virtualmente cualquier aspecto del diseo de la instalacin y operacin. Es una metodologa de
anlisis de riesgos muy poderosa si el personal que analiza tiene experiencia, de otra manera los
resultados sern probablemente incompletos. El Anlisis Qu pasa si? de sistemas simples puede
fcilmente ser dirigido por una o dos personas; un proceso ms complejo demanda de un equipo ms
grande y ms reuniones o bien ms largas.
Un Anlisis Qu pasa si? generalmente revisa el proceso, empezando con la introduccin del material
alimentado y siguiendo el flujo hasta el final del proceso (o el lmite definido por el alcance del analista).
Los Anlisis Qu pasa si? pueden tambin centrarse en un tipo particular de consecuencia (seguridad
personal, seguridad pblica o seguridad ambiental). El resultado de un Anlisis Qu pasa si?
generalmente direcciona a situaciones potenciales de accidente implicadas por las preguntas y temas
propuestos por el equipo. Estas preguntas y temas generalmente sugieren las causas especficas para
la identificacin de situaciones de accidente. Un ejemplo de de pregunta Qu pasa si? es:
Qu pasa si el material est en la concentracin incorrecta?
Las preguntas y las respuestas, incluyendo los peligros, consecuencias, medidas de seguridad y
posibles soluciones para los temas importantes, son todos documentados.
B.9 Procedimiento de Anlisis
Despus de que se ha definido el alcance de estudio el anlisis Qu pasa si? consiste en los
siguientes pasos:
1. Preparacin para la revisin,

2. Ejecucin de la revisin, y
3. Documentacin de los resultados.
B.9.1 Preparacin de la Revisin
La informacin necesaria para el Anlisis Qu pasa si? incluye la descripcin del proceso, diagramas
de tubera e instrumentacin, dibujos y procedimientos de operacin. Es importante que toda la
informacin est disponible para el grupo multidisciplinario de anlisis de riesgos, preferiblemente antes
de las reuniones del grupo.
Si una planta existente es revisada, el equipo revisor puede entrevistar adicionalmente a personal
responsable de las operaciones, mantenimiento, instalaciones u otros servicios. Adems, si el grupo
est llevando a cabo la reunin Qu pasa si? del anlisis en sitio, ellos pueden visitar la planta para
obtener una mejor idea de las instalaciones, construccin y operacin. As, antes de que la revisin
comience, las visitas y entrevistas deben ser concertadas.
La ltima parte es la preparacin de algunas preguntas preliminares para el Anlisis Qu pasa si?
para las juntas de anlisis. Si este anlisis es una actualizacin de una revisin anterior o una revisin
de una modificacin de la planta, cualquier pregunta listada en el reporte del estudio previo puede ser
usada. Para plantas nuevas o aplicaciones de primera vez, las preguntas preliminares deben ser
desarrolladas por los miembros del equipo antes de las reuniones, a pesar de que preguntas
adicionales formuladas durante las reuniones son esenciales. El pensamiento de causa y efecto usado
en otros tipos de estudios pueden ayudar a formular las preguntas.
B.9.2 Ejecucin de la Revisin

Las reuniones de revisin deben empezar con una explicacin bsica del proceso dado por el personal
de la planta quienes tienen todo el conocimiento de la misma y de sus procesos. La presentacin debe
tambin describir las medidas de seguridad de la planta, equipo de seguridad, y procedimientos de
control de salud.
El proceso es revisado por los miembros del grupo quienes comentan las principales preocupaciones
de seguridad. Sin embargo, el equipo puede no limitarse para preparar preguntas Qu pasa si?. En
lugar de eso, ellos deben usar su experiencia combinada con la interaccin de equipo para articular
cualquier tema que ellos crean necesario para asegurar que la investigacin es rigurosa. El equipo no
debe presionarse y no debe trabajar muchas horas consecutivamente. Idealmente, un equipo debe
reunirse por no ms de seis horas por da. Las reuniones del equipo Qu pasa si? que duren ms de
una semana consecutiva no son deseables.
Hay dos maneras de que las reuniones pueden ser llevadas a cabo. Una de ellas a veces preferida es
primero listar los temas de seguridad y preguntas, entonces empezar a considerarlas. Otra manera es
considerar cada pregunta y tema al mismo tiempo, con el equipo determinando lo significativo de cada
situacin. Ambas maneras pueden funcionar, pero es preferible listar las preguntas antes de
responderlas para prevenir interrupciones al momento creativo del grupo. Si el proceso es complejo o
largo, puede ser dividido en pequeos segmentos as el equipo no gasta varios das consecutivos solo
en listar las preguntas. A veces, el equipo pensar en preguntas adicionales como resultado de sus
consideraciones inciales.
Inicialmente, el lder del equipo debe delinear el alcance propuesto del estudio y el equipo debe de
estar de acuerdo con l. El equipo generalmente procede desde el principio del proceso hasta el final
del mismo, aunque el lder en evaluacin de riesgos puede ordenar el anlisis en cualquier orden lgico
que se ajuste a las necesidades. Entonces las respuestas del equipo se direccionan a un tema o se
indica que se requiere mayor informacin e identifica el peligro, consecuencias potenciales, medidas de
seguridad, y posibles soluciones. En el proceso, se aaden nuevas preguntas Qu pasa si? se
vuelven aparentes durante el anlisis. Algunas veces las respuestas propuestas son desarrolladas por
individuos fuera de la reunin inicial y se realizan modificaciones.
B.9.3 Documentacin de Resultados
Como en cualquier estudio, la documentacin es la clave para transformar los hallazgos del equipo en
medidas de prevencin, mitigacin o reduccin del peligro. La Tabla B.9.3-1 muestra un ejemplo de una
hoja de trabajo Qu pasa si? Esto hace la documentacin ms fcil y ms organizada. Adems para
completar las tablas el equipo de evaluacin de riesgos generalmente desarrolla una lista de
sugerencias para mejorar la seguridad del proceso de anlisis basado en resultados tabulares de
Anlisis Qu pasa si?. Algunas compaas documentan sus Anlisis Qu pasa si? con un estilo
narrativo en lugar de una tabla.
Tabla B.9.3-1 Ejemplo de hoja de trabajo Qu pasa si?

Fecha de
rea: Reunin:
Miembros del
Plano No.: Equipo:
Consecuencia / Medidas de
Qu pasa si? F C R Recomendacin Responsable
Peligro seguridad
F= Frecuencia, C= Consecuencias, R= Riesgo
B.10 Producto Esperado
Las tablas Qu pasa si? o las preguntas en estilo narrativo y las respuestas generadas por el anlisis
son los productos normales del Anlisis Qu pasa si?. Estos resultados deben ser revisados con los
directivos para asegurar que los hallazgos se transmiten a aquellos que son los responsables finales de
cualquier accin llevada a cabo. A veces el equipo puede proveer a los directivos explicaciones ms
detalladas de las recomendaciones del anlisis.
B.11 Software
Hay tres programas comercialmente disponibles especficamente para disear la ejecucin del Anlisis
What-if: WHAT IF-PC (Primatech, Inc., Columbus, Ohio), SAFEPLAN (DuPont, Westlake Village,
California) y el software PHA-Pro de la compaa Dyadem International Ltd. Los procesadores de texto
estndares pueden tambin ayudar a documentar los resultados de los estudios de Anlisis Qu pasa
si?.
B.12 Conclusiones
El procedimiento de Anlisis Qu pasa si? es un mtodo no estructurado para considerar los

resultados de eventos inesperados que podran llevar a un resultado indeseado. Este mtodo usa
preguntas que empiezan con Qu pasa si ...?
El equipo analista debe evitar no ser realista ya que podra resultar en postular escenarios improbables.
Las preguntas deben ser realistas y seriamente investigadas. Las preguntas deben ser basadas en la
experiencia previa del equipo multidisciplinario y variaran para cada sistema del proceso. El anlisis es
tan bueno como experimentado sea el equipo que lo realiza.
El anlisis puede ser aplicado a las fases de diseo, modificacin u operacin. El resultado es una lista
de reas problemticas que pueden llevar a accidentes y mtodos sugeridos o cambios para prevenir o
mitigar los accidentes.
B.13 Ejemplo
Dado el siguiente diagrama de proceso para la unidad de refrigeracin de amoniaco anhdrido se
presenta su hoja de anlisis Qu pasa si? a continuacin.
Tabla B.13-1 Condiciones de operacin de la unidad de refrigeracin de amoniaco

Corriente 1 2 3 4 5 6
Descripcin Flujo a Descarga del Flujo al Gas Condensado Flash de
componente componente condensador reciclado liquido retorno
F 21.7 84 84 76 76 21.7
psig 35 140 140 138 138 36
lb/hrs 3930 3930 0 3930 0 3930 0 3930 0 430/3500
Estado Gas Gas Gas Liquido Liquido Gas/Liquido
1
2
T Condensador
V
C
W Compr
esor
1 T C-001
1 C
1
L L L 2
Recibidor C- G- T-
P
C 4
P
V
L
Acumulador V- G-
LA
H 201
LAL
201
L
V
8 1
6 0
T T
C T C T
V V
F F
V V
F F
C C
7
9
Enfriador Enfriador
de de
Aire AC- Aire AC-
Bomba P-001A/B
Figura B.13-1 Diagrama de Flujo para la unidad de refrigeracin de amoniaco

Formatos Qu pasa si?

Subsistema: 1.1 Recibidor V-001 Dibujo: ARU-A1
Tipo: Vasija
Condiciones de operacin/parmetros: 138 psig, 76F
Qu pasa si? Causas Consecuencias Matriz de Medidas de Recomendaciones Responsables

Riesgo seguridad
C F R
1. Sobrellenado 1.1 1.1 Flujo reverso al 1 3 3 1.1 Medidor de 1. Establecer Ana D.
Malfuncionamiento condensador y nivel (LG-101) procedimientos
de LV-201 o reduce el operacionales para
controlador LC-201 desempeo. control de inventario
de amoniaco.
1.2 Sobrellenado 1.2 Nivel de 2. Diseo que Miguel W.
del llenado inicial alarma alto asegure que los
de amoniaco (LAH-201) inventarios de
amonio en el
recibidor y
acumulador mas
tuberas son
compatibles y no
resultan en
inundacin.
2. Nivel muy 2.1 2.1 Tendencia del 1 3 3 2.1 Medidor de 3. El acumulador Jorge B.
bajo Malfuncionamiento acumulador a nivel (LG-101) debe ser
de LV-201 o llenar suficientemente
controlador LC-201 grande para
2.2 eliminacin del 1.2 Nivel de asegurar todo el
compresor alarma bajo contenido del
(LAL-201) recibidor.
3. La presin 3.1 Fuego 3.1 Emisin de 3.1 punto de 4. Asegurar que los Manuel L.
excede la amoniaco a travs ventilacin alto monitores de fuego y
especificacin del sistema de extinguidores estn
de diseo alivio. cercanos
3.2 Algunos 5. Ubicacin de los Anna D.
peligros de fuego venteos de la vlvula
en la vecindad de alivio en una
3.3 Peligro al 4 2 8 localizacin segura.
personal en la
vecindad
4.Medidor de 4.1Impacto fsico 4.1Peligro al 4 3 12 4.1 Ninguno 6.Proveer de Miguel W.
nivel fallado personal en la proteccin a los
(LG-101) vecindad medidores de nivel
5.falla 5.1Defecto de 5.1 Perdida de 1 3 3 5.1 Control de 7. No se requiere
transmisor de manufactura control en la nivel (LG-101) accin
nivel (LT-101) unidad
6. 6.1 6.1 El acero puede 6.1 Ninguno 8. Verificar la Jorge B
Desquebrajamie Despresurizacin hacerse aicos por necesidad de utilizar
nto por baja a la atmosfera impacto acero al carbn
temperatura durante el 6.2 Peligro al 4 1 4
mantenimiento personal en la
vecindad
7. Servicio 7.1 Emisin por 7.1 Peligro al 4 3 12 7.1 Ninguno 9. Aparato de Miguel W.
txico o uniones o bordes personal en la respiracin
peligroso durante el vecindad 10. Desarrollo de Anna D.
mantenimiento procedimientos
operacionales
8. Formacin de 8.1 Nivel bajo de 8.1 Perdida de 1 4 4 8.1 Control de 11. Instalar Raymundo S.
vrtices en la liquido en V-001 funcionamiento nivel (LG-101) rompedores de
descarga de 8.2 Alarma de vrtices
lquidos nivel bajo (LAL-
201)
F = categora de frecuencia, C = categora de consecuencia, R = categora de riesgo
Subsistema: 1.2. Acumulador V-002 Dibujo: ARU-A1

Tipo: Vasija
Condiciones de operacin/Parmetros: 35 psig, 21.7 F
Qu pasa si? Causas Consecuencias Matriz de Medidas de Recomendaciones Responsable

Riesgo seguridad
C F R
1.Sobrellenado 1.1.Malfuncionamiento 1.1.Flujo reverso 1 3 3 1.1.Indicador 1. Establecer Ana D.
de LV-201 o hacia el de nivel (LG- procedimientos
controlador LC-201 condensador 102) operacionales para
que reduce el el control de
desempeo inventario de
amoniaco.
1.2. Sobrellenado del 15. Diseo para Miguel W.
llenado inicial de asegurar que los
amoniaco. inventarios de
amoniaco en el
recibidor y
acumulador mas la
tubera sean
compatibles y no
resulte en una
inundacin.
1.3.Corte del 3.Instalar alarma de Jorge B.
compresor alto nivel V-002
2.Nivel my bajo 2.1. Malfuncionamiento 2.1. Acumulador 1 3 3 2.1 Indicador 3. Acumulador debe Jorge B.
de LV-201 o tiende a vacarse de nivel (LG- ser suficientemente
controlador LC-201 102) grande para
asegurar el
contenido total del
recibidor.
2.2. Dao a la bomba 16. Alarma de bajo Jorge B.
nivel (LAL-201)
3. La presin 3.1 Incendio 3.1 Emisin de 3.1 Punto de 4. Asegurar que los Esteban L.
excede las amoniaco a venteo alto monitores de fuego
especificaciones travs del y extinguidores
de diseo sistema de alivio estn cerca
3.2 Peligro de incendio 5. localizacin de Ana D.
en la vecindad los venteos de las
vlvulas en una
localidad segura
3.3 Peligro para el 4 2 8 6. Proveer de Miguel W.
personal en la proteccin a los
vecindada indicadores de nivel
4. Indicador de 4.1 Impacto fsico 4.1 Peligro al 4 3 12 4.1 Ninguno 6. Suministrar Miguel W.
nivel roto (LG- personal en la proteccin a los
102) vecindad indicadores de nivel
5. Baja 5.1 Despresurizacin a 5.1 El hacer se 5.1 Ninguno 8. Verificar la Jorge B.
temperatura de la atmosfera para puede necesidad de
ruptura despresurizar durante despedazar por utilizar acero al
el mantenimiento impacto carbn
5.2 Peligro al 4 1 4
personal en la
vecindad
6. Peligroso o 6.1 Emisin por 6.1 peligro para 4 3 12 6.1 Ninguno 9. Aparato de Miguel W.
toxico uniones o bordes el personal en la respiracin
durante el vecindad 10. Sistema buddy Miguel W.
mantenimiento 11. Desarrollo de Ana D.
procedimientos
operacionales
7. Vrtices en la 7.1 Bajo nivel de 7.1Bajo 1 4 4 7.1 Indicador 12. Instalar Raymundo S.
descarga de liquido en V-002 desempeo de nivel (LG- rompedora de
liquido 102) vrtice
16. Alarma nivel Jorge B.
bajo (LAL-201)
ANEXO
C Combinacin Lista de Verificacin y Qu
pasa si?
C.1 Prosito
Proporcionar de una gua a los analistas que requieran desarrollar un Anlisis Qu pasa si? Lista de
verificacin para homologar su aplicacin en las instalaciones de Petrleos Mexicanos
C.2 Referencias
Control, Butterworths-Heinemann, London, Second Edition, 1996.
C.3 Descripcin
La metodologa de Anlisis Qu pasa si?/Lista de verificacin combina la creatividad, las

caractersticas de la lluvia de ideas del mtodo de Anlisis Qu pasa si? con las caractersticas
sistemticas del mtodo de Anlisis Lista de verificacin. Este mtodo hibrido capitaliza las fortalezas y
compensa los defectos individuales de los enfoques por separado. Por ejemplo, el mtodo de Anlisis
Lista de verificacin es una metodologa basada en la experiencia y la calidad del estudio de la
evaluacin de los riesgos es altamente dependiente de la experiencia de los autores de la lista de
verificacin. Si la lista de verificacin no est completa, entonces el anlisis puede no dirigirse
efectivamente a la situacin peligrosa. Una porcin del Anlisis Qu pasa si? anima al grupo
multidisciplinario de evaluacin de riesgos a considerar los accidentes severos y consecuencias que
estn ms all de la experiencia de los autores de una buena lista de verificacin, y de este modo no
estn cubiertas por la lista de verificacin. En cambio, la porcin de la metodologa de Lista de
verificacin se presta a una naturaleza ms sistemtica que la del Anlisis Qu pasa si? La
metodologa del Anlisis Qu pasa si?/Lista de verificacin puede ser usada en cualquier etapa de la
vida de un proceso.
Como la mayora de otros mtodos de evaluacin de riesgos, el mtodo trabaja mejor cuando se
ejecuta por un grupo multidisciplinario de expertos en el proceso. Esta metodologa es generalmente
usada para analizar los riesgos ms comunes que existen en un proceso. A pesar de esto es posible
evaluar el significado de los accidentes a casi cualquier nivel de detalle, el mtodo de Anlisis Qu
pasa si?/Lista de verificacin generalmente se enfoca en un nivel de detalle de resolucin menor que
otras metodologas. A veces el Anlisis Qu pasa si?/Lista de verificacin es la primera evaluacin de
riesgos ejecutada en un proceso, y es, un precursor de estudios subsecuentes ms detallados.
C.4 Propsito
El propsito del Anlisis Qu pasa si?/Lista de verificacin es identificar peligros, considerando los
tipos generales de accidentes que pueden ocurrir en un proceso o actividad, evaluando de una manera
cualitativa los efectos de estos accidentes, y determinar si las medidas de seguridad contra estas
situaciones potenciales de accidente parecen adecuadas. Frecuentemente, los miembros del grupo
multidisciplinario de evaluacin de riesgos pueden sugerir maneras para reducir el riesgo de operar el
proceso.
C.5 Tipo de Resultados
El grupo de evaluacin de riesgos que usa la metodologa del Anlisis Qu pasa si?/Lista de
verificacin generalmente emplea una tabla de situaciones de accidentes potenciales, efectos, medidas
de seguridad y acciones. Los resultados de este estudio pueden tambin incluir una lista de verificacin
completa. De cualquier forma, algunas organizaciones usan un estilo narrativo de documentar los
resultados de estos estudios.
C.6 Requerimientos de Recursos
La mayora de los Anlisis Qu pasa si?/Lista de verificacin son ejecutados por un grupo
multidisciplinario de personal experimentado en el diseo, operacin y mantenimiento del proceso. El
nmero de personas necesarias para el estudio depende de la complejidad del proceso, y en algn
grado de la etapa de la vida en la cual el proceso est siendo evaluado. Normalmente, el estudio de
evaluacin de riesgos que usa esta metodologa requiere menos personal y menos reuniones que las
metodologas ms estructuradas. La Tabla C.6-1 lista los tiempos estimados necesarios para ejecutar
el estudio de evaluacin de riesgos usados en la metodologa de Anlisis Que pasa si?/Lista de
verificacin.
Tabla C.6-1 Estimado de tiempo para ejecutar un anlisis Que pasa si?/Lista de verificacin
Alcance Preparacin Evaluacin Documentacin
Simple/Sistema pequeo 6-12 hrs 6-12 hrs 4-8 hrs
Complejo/Proceso 1-3 das 4-7 das 1-3 semanas
grande
C.7 Aplicacin de la Tcnica
La metodologa de anlisis de riesgos Qu pasa si?/Lista de verificacin comnmente se utiliza en las

siguientes etapas de la vida de un proyecto: investigacin y desarrollo, diseo conceptual, operacin de
la planta piloto, ingeniera de detalle, construccin y arranque, operacin de rutina, expansin o
modificacin, desmantelamiento.
C.8 Enfoque Tcnico
La metodologa de Anlisis Qu pasa si?/Lista de verificacin es una combinacin de dos mtodos de

evaluacin de riesgos. El mtodo es generalmente ejecutado por un equipo multidisciplinario de
personas expertas en el proceso. El equipo usa la metodologa de Anlisis Qu pasa si? para tener
una lluvia de ideas de varios tipos de accidentes que pueden ocurrir en el proceso. Entonces el equipo
usa una o ms listas de verificacin para ayudar a llenar los huecos que ellos pudieron pasar por alto.
Las listas de verificacin utilizadas en esta parte del anlisis difieren algo de las listas de verificacin
tradicionales de diseo, procedimientos o atributos operacionales. En lugar de enfocarse en una lista
especfica de diseo o caractersticas de operacin, las listas de verificacin usadas en el Anlisis
Qu pasa si?/Lista de verificacin son ms generales y enfocadas en fuentes de peligros y
accidentes. Estas listas de verificacin intentan inspirar el pensamiento creativo acerca de los tipos de
fuentes de peligros asociados con el proceso.
El uso combinado de estos dos mtodos enfatiza sus caractersticas positivas principales mientras que
al mismo tiempo compensa sus defectos. Por ejemplo, una lista de verificacin tradicional de un
proceso, por definicin, est basada en la experiencia del autor. A veces particularmente, si hay poca
experiencia industrial o de la compaa disponible del proceso, la lista de verificacin es probablemente
un punto de vista incompleto y se necesita una lista de verificacin ms general. La parte Qu pasa
si? del anlisis usa la creatividad del equipo y la experiencia para la lluvia de ideas de situaciones
potenciales de accidente. Puesto que el mtodo de Anlisis Qu pasa si? es generalmente no tan
detallado, sistemtico o riguroso. El uso de las listas de verificacin permite al equipo de evaluacin de
riesgos llenar los huecos en su proceso de pensamiento.
La metodologa de Anlisis Qu pasa si?/Lista de verificacin puede ser usada para cualquier tipo de
proceso o actividad en cualquier etapa de la vida del proceso. Normalmente, el mtodo es usado para
examinar los efectos potenciales y significado de las situaciones de accidente al nivel ms general que
algunos de los enfoques ms detallados.
C.9 Procedimiento de Anlisis
Un Anlisis Qu pasa si?/Lista de verificacin consiste en los siguientes pasos:
1. Preparacin para la revisin,

2. Desarrollo de una lista y temas Qu pasa si?,
3. Uso de una lista de verificacin para cubrir cualquier hueco,
4. Evaluacin de cada una de las preguntas y temas, y
5. Documentacin de los resultados.
Una modificacin de este procedimiento es variar el orden de los pasos 2 y 3 para desarrollar las
preguntas Qu pasa si? al mismo tiempo que se progresa en la lista de verificacin detallada.
C.9.1 Preparacin de la Revisin
Para un Anlisis Qu pasa si?/Lista de verificacin el lder del equipo multidisciplinario de evaluacin
de riesgos forma un equipo calificado, determina el alcance fsico y analtico del estudio propuesto y, si
el proceso/actividad es muy grande, dividirlo en funciones, reas fsicas o tareas para suministrar algn
orden a la revisin del proceso. Para la porcin de la lista de verificacin de este anlisis, el lder del
equipo de evaluacin de riesgos obtiene o desarrolla una lista de verificacin apropiada para el equipo
para usarla en conjunto con el Anlisis Qu pasa si? La lista de verificacin se enfoca en
caractersticas peligrosas generales de los procesos u operacin.
C.9.2 Desarrollo de una lista de preguntas y temas Qu pasa si?
La seccin referente al Anlisis Qu pasa si? describe el enfoque que el equipo de evaluacin de
riesgos utiliza cuando se rene para desarrollar preguntas y temas involucrando situaciones de
accidentes potenciales.
C.9.3 Uso de la lista de verificacin
Una vez que el equipo ha identificado todas las preguntas y temas, que pueden ser de un rea
particular o del proceso o actividad, el lder del equipo multidisciplinario de evaluacin de riesgos
aplicar la lista de verificacin obtenida previamente o preparada. El equipo considera cada tema de la
lista para ver si cualquier otra situacin de accidente potencial o preocupacin aparece. Si esto pasa,
estos son evaluados en la misma forma que las preguntas Qu pasa si? originales (la lista de
verificacin es revisada para cada rea o etapa del proceso o actividad). En algunos casos es preferible
tener una lluvia de ideas en el equipo multidisciplinario de evaluacin de riesgos para obtener los
peligros y situaciones potenciales de accidente del proceso antes de usar la lista de verificacin. En
otras ocasiones, se pueden obtener resultados efectivos empezando con una lista de verificacin y usar
los temas en ella para crear preguntas Qu pasa si? y temas que podran no ser considerados de otra
manera. Sin embargo, si la lista de verificacin es usada primero, los lderes deben de tomar la
precaucin de evitar dejar una lista de verificacin que restrinja la creatividad y la imaginacin del
equipo.
C.9.4 Evaluacin de las preguntas y temas
Despus de desarrollar preguntas y temas que involucran situaciones potenciales de accidente, el

equipo considera cada situacin de accidente o preocupacin de seguridad; cualitativamente determina
los efectos potenciales que implica el accidente o la situacin preocupante, y se lista si existen medidas
de seguridad para prevenir, mitigar o contener los efectos del potencial accidente. El equipo entonces
evala el significado de cada situacin y determina si mejoras particulares a la seguridad deberan ser
recomendadas. Este proceso se repite para cada rea o paso del proceso o actividad. A veces esta
evaluacin es ejecutada por miembros especficos del equipo fuera de la reunin del equipo y es
posteriormente revisada por el equipo.
C.9.5 Documentacin de resultados
Los resultados del Anlisis Qu pasa si?/Lista de verificacin son documentados en la misma forma
que los resultados del Anlisis Qu pasa si?. Siguiendo la reunin, el lder del grupo multidisciplinario
de evaluacin de riesgos y el redactor resumirn los resultados en forma tabular. Para el Anlisis Qu
pasa si?/Lista de verificacin el grupo multidisciplinario de evaluacin de riesgos puede tambin
documentar completamente la lista de verificacin para ayudar a ilustrar la completes del estudio.
C.10 Producto Esperado
El reporte tpico contiene una lista de situaciones potenciales de accidente, efectos, medidas de
seguridad y acciones generadas en las reuniones, a veces en forma tabular. Sin embargo, algunos
analistas documentan los resultados en una forma narrativa.
C.11 Software
Los nicos software diseados para Anlisis Qu pasa si?/Lista de verificacin que se encuentra
comercialmente disponible son el SAFEPLAN (DuPont, Westlake Village, California) y el PHA-Pro de la
compaa Dyadem International Ltd.. Adicionalmente los procesadores de texto estndares y
programas de hojas electrnicas pueden ayudar al analista a documentar los resultados de los estudios
del Anlisis Qu pasa si?/Lista de verificacin.
C.12 Conclusiones
El propsito del Anlisis Qu pasa si?/Lista de verificacin es identificar riesgos, evaluando de una
manera cualitativa y determinar si las medidas de seguridad contra estas situaciones potenciales de
accidente son adecuadas.
La metodologa de Anlisis Qu pasa si?/Lista de verificacin capitaliza las fortalezas y compensa los
defectos individuales de los enfoques por separado. Como la mayora de otros mtodos de evaluacin
de riesgos, el mtodo trabaja mejor cuando se ejecuta por un grupo multidisciplinario de expertos en el
proceso. A veces el Anlisis Qu pasa si?/Lista de verificacin es la primera evaluacin de riesgos
ejecutada en un proceso, y es, un precursor de estudios subsecuentes ms detallados.
El reporte contiene una lista de situaciones potenciales de accidente, efectos, medidas de seguridad y
acciones generadas en las reuniones.
C.13 Ejemplo
C.13.1 Ejemplo A
A continuacin se cita un Qu pasa si?/Lista de verificacin aplicada a un calentador de aceite:
1. La funcionalidad del calentador de aceite
El horno calienta el aceite y lo vaporiza
Usa gas natural para calentar el aceite
Controla el flujo de aceite
Contiene el aceite en tubos
Controla la temperatura del aceite
Mantiene negativa la presin del calentador
Controla el aire de combustin a travs de una rejilla
Controla la presin del gas natural
La flama del piloto asegura la combustin
Los siguientes son algunas preguntas Qu pasa si? generales para el calentador de aceite:
a. Qu pasa si se pierde el calentamiento?
b. Qu pasa si el aceite se sobrecalienta?
c. Qu pasa si hay una interrupcin en el suministro de gas natural?

d. Qu pasa si el flujo de aceite es muy bajo?
e. Qu pasa si el flujo de aceite es muy alto?
f. Qu pasa si la temperatura del aceite es muy alta?
g. Qu pasa si la temperatura del aceite es muy baja?
h. Qu pasa si hay muy poco aire para la combustin?
i. Qu pasa si hay mucho aire para la combustin?
j. Qu pasa si la presin del gas es muy baja?
k. Qu pasa si la presin del gas es muy alta?
l. Qu pasa si el piloto se extingue?
m. Qu pasa si el piloto no inicia la flama?
2. Peligros mayores
a. Qu pasa si el tubo que contiene el aceite se rompe?
b. Qu pasa si hay una purga insuficiente?
3. Emisiones inflamables
a. Qu pasa si los tubos que contienen el aceite se rompen?
b. Qu pasa si es insuficiente la purga?
c. Hay proteccin contra fuego?
4. Control
a. Se controla a temperatura adecuadamente?
b. La presin se controla/regula?
5. Peor evento/pero escenario creble
a. Cules son los pasos de mitigacin tomados para reducir los efectos de una explosin?
b. Cules son los pasos de mitigacin tomados para reducir los efectos de una ruptura de
tubera?
c. Cules son los pasos de mitigacin tomados para reducir los efectos de una explosin de
nube de vapor?
6. Soporte
a. El aire de combustin se regula?
b. El suministro de gas natural es continuo? Hay interrupciones?
7. Proceso
a. Se monitorea la temperatura en el rea de proceso y se mantiene en nivel aceptable?
8. Fallas de componentes individuales
a. Hay controles para regular/detectar alta presin en un lado del tubo? Fallan seguras?
b. Podra ser el calentador fuente de ignicin para la nube de vapor o inflamable?
9. Encendido/apagado
a. Estn abiertas las vlvulas de control?
b. Hay monitores de temperatura extra para detectar las fluctuaciones de temperatura durante
un apagado de emergencia?
c. El sistema de agua de enfriamiento est relacionado con el apagado de emergencia?
10. Hay suficientes monitores/alarmas para detectar:
a. Tubera local sobrecalentada
b. Presin alta.
c. Perdida/escape de flama de piloto
11. Apagado de emergencia
a. Puede el calentador tener una falla de suministro de energa?
b. Puede el calentador tener una falla de suministro para los instrumentos de aire? Estn los
controles en falla segura si hay una interrupcin del suministro en los instrumentos de aire?
c. Puede el calentador tener una falla de suministro de prdida de flujos de proceso?
d. Puede el calentador tener una falla de suministro de vapor?
C.13.2 Ejemplo B
La planta de Qumicos ABC Inc se ha vuelto menos eficiente conforme los aos han pasado, y se ha
decidido reducir la produccin como un esfuerzo por reducir costos, las plantas nuevas de la compaa
incrementaran su produccin. Como parte de la reduccin de capacidad se desmantelara uno de los
hornos usados en el proceso. Antes del desmantelamiento se ha requerido un anlisis de riesgos.
Ninguno de los empleados ha participado o ejecutado un anlisis de riesgos de un desmantelamiento

de proceso. Por lo cual se ha pedido la ayuda del grupo de anlisis de riesgos de la compaa para que
les den soporte y asignaron al Ing. Snchez a este proyecto. El Ing. Snchez ha ejecutado numerosas
revisiones de riesgos incluyendo desmantelamientos. A travs de su experiencia y la experiencia de
otros grupos de anlisis de riesgos de la compaa, se ha desarrollado la siguiente lista de verificacin
para la revisin de las actividades de desmantelamiento y el Ing. Snchez piensa utilizar tentativamente
esta lista de verificacin.
Lista de Verificacin.
Apagado y aislamiento:
1. Existen procedimientos para paro de la unidad? El personal est familiarizado con estos
procedimientos? Se ha apagado la unidad anteriormente? Se ha informado al rea de
operaciones del desmantelamiento?
2. Existen procedimientos de desmantelamiento? Se ha revisado su contenido tcnico?
3. El equipo ha sido cambiado o modificado y estas no han sido reflejadas en la documentacin del
sistema? Se han incorporado los efectos potenciales de estos cambios en las acciones de
mantenimiento?
4. Se van a desconectar los suministros de la unidad? Existen procedimientos de desconexin
documentados? Las desconexiones pueden afectar otras unidades?
5. Alguna caracterstica de seguridad o control ser desconectada temporal o permanentemente?
Cmo afectara esto a otros equipos de operacin? Podra esto dar inicio a un apagado?
6. Habr alguien familiarizado con desmantelamientos siempre disponible para emergencias?
Existe un plan de emergencias?
7. Se requiere alguna vigilancia mdica especial durante el desmantelamiento?
8. Hay algn sistema de proteccin contra fuego deshabilitado como parte del desmantelamiento?
9. El equipo estar siempre aterrizado elctricamente?
10. Cmo sern aisladas las lneas de las unidades de proceso de otros sistemas de la planta?
Alguien verificara estos aislamientos?
11. Todos los recipientes aislados tienen la proteccin de alivio adecuada? Hay vas de alivio
despejadas y operables durante el desmantelamiento?
12. Algn recipiente requiere proteccin de vaci durante el desmantelamiento? Algn recipiente
aislado ser enfriado durante el desmantelamiento?
Drenaje:
1. Existen procedimientos para drenar el material de proceso de la unidad?

2. Hay alguna proteccin especial del engranaje durante las operaciones de drenaje?
3. Sern rotas las lneas para drenar la unidad? Existen medidas adecuadas para asegurar que
materiales muy calientes, muy fros o a alta presin no estn en la lnea? Existen las medidas
adecuadas para proteger contra emisiones toxicas o inflamables? Se requiere permiso para
trabajo en caliente o rompimiento de lnea?
4. Cmo ser dispuesto el material drenado? Esta vasija contendr materiales incompatibles?
5. El rea tendr ventilacin apropiada? tendr drenaje apropiado? Tendr proteccin
adecuada contra incendio?
6. El acceso al rea ser limitado durante las actividades de drenado?
7. El rea est libre de fuentes de ignicin? El rea est libre de materiales combustibles?
8. El equipo usado para drenar la unidad es compatible con estos materiales de proceso?
9. Se requiere confinar el espacio de entrada para drenar la unidad? Se han obtenido los
permisos?
10. Hay posibilidad de flujo reverso en la lnea de drenado?
Limpieza:
1. Ser el equipo de la unidad limpiado despus del drenado?

2. Los materiales de limpieza tienen reactividad potencial con cualquier material del proceso?
Se puede utilizar algn material menos peligroso?
3. Los materiales de limpieza requieren algn manejo especial? Se requiere algn equipo de
proteccin personal?
4. Podra utilizarse algn material de limpieza inapropiado inadvertidamente?
5. Cmo ser dispuesta la solucin de limpieza?
6. Si el material de limpieza es combustible, se han tomado las medidas de proteccin contra
incendio apropiadas?
7. Hay alguna preocupacin referente a los residuos despus de la limpieza?
Desmantelamiento:
1. Se usar equipo pesado durante el desmantelamiento de la unidad? Hay medidas

adecuadas en el lugar para monitorear los movimientos del equipo pesado en el lugar? Hay la
iluminacin adecuada?
2. Hay materiales peligrosos o inflamables en el rea que puedan ser emitidos en un accidente?
Hay las precauciones de seguridad en el lugar?
3. El equipo en la unidad ser reutilizado? Es adecuadamente diseado para el nuevo servicio?
4. Est el equipo etiquetado apropiadamente?
5. Dnde se almacenara el equipo? Hay requerimientos especiales de almacenamiento?
6. Se requieren procedimientos especiales para cumplir con la regulacin ambiental?
7. Hay otras unidades, lneas, etc., en las reas que puedan ser golpeadas por el equipo pesado
usado en el desmantelamiento?
El Ing. Snchez ha decidido complementar el Anlisis Lista de verificacin con un Anlisis Qu pasa
si?, para ello el Ing. Snchez anima al grupo revisor a plantear preguntas Qu pasa si? conforme el se
va moviendo a travs de la lista de verificacin. El Ing. Snchez espera que los miembros del equipo
formulen preguntas que revelen situaciones potencialmente peligrosas.
El Anlisis Qu pasa si?/Lista de verificacin se programa para las 9:00 AM y se ha convocado al

personal con las habilidades y experiencias requerida para analizar el desmantelamiento. La reunin
inicia con una visita al rea, mientras tanto los ingenieros de proceso les explican cmo ser aislada la
zona del resto del proceso. El grupo regresa al saln de reunin y antes de estudiar el material
disponible el Ing. Snchez les comunica las reglas del anlisis:
1. Todos los miembros del grupo tienen el derecho y la responsabilidad de poner en la mesa de
discusin cualquier tema que les preocupe
2. Todo es importante
3. El objetivo es identificar preocupaciones de seguridad no resolverlas
4. No se permite la critica entre los miembros del equipo
5. Todos los miembros del equipo son iguales.
Antes de iniciar la discusin se le pide a uno de los integrantes del grupo de anlisis familiarizado con el
proceso a desmantelar que de una revisin al proceso al resto del grupo para unificar el conocimiento.
Una vez hecha la revisin se procede con la lista de verificacin. Se analiza cada una las preguntas y
en su caso se plantean preguntas Qu pasa si? donde aplique para complementar la lista de
verificacin. Los integrantes del grupo dan opiniones y/o recomendaciones que se documentan como
parte del reporte de anlisis.
ANEXO
D Anlisis de Modos de Falla y sus Efectos
(FMEA)
D.1 Propsito
metodologa Anlisis de Modos de Falla y Efectos (FMEA), para homologar su aplicacin en las
instalaciones de Petrleos Mexicanos.
D.2 Referencias
IEC 60812, Analysis techniques for system reliability Procedure for failure mode and effects
analysis (FMEA), 2006.
D.3 Introduccin
El Anlisis de los Modos de Falla y sus Efectos (FMEA por sus siglas en ingls Failure Modes and Effect
Analysis) es un procedimiento sistemtico para el anlisis de sistemas e identificar sus modo de falla
potenciales, sus causas y efectos en el desempeo del sistema (en el entorno inmediato del componente y
el sistema o proceso en su conjunto) ya sea durante su diseo, construccin u operacin. Los anlisis
pueden iniciarse tan pronto como se defina suficientemente el sistema representado como un diagrama
funcional de bloques donde se encuentra definido el desempeo de sus elementos.
Un anlisis FMEA detallado es el resultado de un equipo compuesto por individuos calificados para
reconocer y evaluar la magnitud y consecuencias de varios tipos de deficiencias potenciales del sistema
que puedan conducir a fallas. Las ventajas del trabajo en equipo es que estimula el proceso de
pensamiento y permite la conjuncin de experiencia.
El FMEA es un mtodo para identificar la severidad de modos de falla potencial y permite identificar las
medidas para mitigar la severidad de las consecuencias y as reducir el riesgo. En algunas aplicaciones el
FMEA tambin incluye una estimacin de la probabilidad de ocurrencia de los modos de falla, de tal forma
que con base en esto se pueden identificar las medidas para reducir la probabilidad de ocurrencia de los
modos de falla y de esta forma reducir el riesgo. Antes de iniciar la aplicacin del FMEA se debe realizar
una descomposicin jerrquica de los sistemas en sus elementos ms bsicos. Es til emplear diagramas
de bloques para ilustrar esa descomposicin. El anlisis inicia con los elementos del ms bajo nivel. El
efecto de un modo de falla a un bajo nivel puede ser la causa de un modo de falla de un componente en el
siguiente nivel ms alto. El anlisis procede de abajo hacia arriba hasta que se identifique el efecto final en
el sistema.
El anlisis FMEA generalmente trata con modos de falla individuales y los efectos de esos modos de falla
en el sistema. Cada modo de falla se trata de manera independiente, sin relacin con otras fallas en el
sistema.
Tradicionalmente ha habido muchas variaciones en la forma en la que se conduce y se presenta el FMEA.

Sin embargo, el anlisis siempre debe estar basado en el anlisis de los modos de falla. Los resultados
analticos se presentan en formatos de trabajo que contienen la informacin esencial de un anlisis para un
sistema completo desarrollado para ese sistema especfico. El anlisis muestra las formas en las que el
sistema puede fallar potencialmente, los componentes y sus modos de falla que pueden causar la falla del
sistema y las causas de ocurrencia de cada modo de falla individual.
Cuando se trabaja sobre un FMEA ya existente, es esencial asegurarse que el sistema actual tiene las
mismas condiciones y caractersticas al momento en el cual se le realiz ese anlisis.
El procedimiento para realizar un FMEA se ilustra en la Figura D.3-1.

1. DEFINICIN
Definir propsito y objetivos del FMEA
Seleccionar el equipo de trabajo
Definir roles y responsabilidades de los miembros del equipo
2. PLANEAR Y PROGRAMAR ACTIVIDADES

Planeacin el estudio
Recolectar y procesar datos (Elaborar descripciones y diagramas
simplificados o de bloques, listado de componentes)
Definir formatos de registro del anlisis
Definir el tiempo para el anlisis
Programar actividades
3. ANLISIS
Seleccionar un componente y describir sus funciones y referencias de
desempeo
- Identificar modos de falla,
- Identificar efectos y consecuencias,
- Identificar causas de los modos de falla,
- Identificar medidas de seguridad o protecciones,
- Identificar posibles soluciones o medidas de mitigacin, en caso de
ser necesarias (emitir recomendaciones valorando la tolerabilidad
del riesgo).
Repetir el proceso para cada componente del sistema
4. DOCUMENTACIN
Documentacin:
Documentacin del anlisis (Llenar formatos FMEA y minutas de
reuniones)
Generacin del informe final
Liberacin del informe final
Tabla D.3-1 Procedimiento para realizar un FMEA

D.4 Procedimiento para realizar un FMEA
D.4.1 Definir alcance y objetivos del estudio
Las razones que motivan la realizacin de un FMEA pueden incluir entre otras, las siguientes:
1. Identificar aquellas fallas que puedan tener consecuencias indeseadas en la operacin (por ejemplo
comprometer o degradar significativamente la operacin o afectar la seguridad del personal).
2. Satisfacer los requerimientos contractuales de un cliente
3. Permitir mejoras en la confiabilidad o la seguridad de sistemas (resaltando las reas con alto riesgo)
Con base en lo anterior el objetivo al realizar un anlisis podra incluir lo siguiente:
Identificar de forma clara y evaluar todos los efectos no deseados dentro de las fronteras del
sistema y la secuencia de eventos que implica la ocurrencia de cada modo de falla a diferentes
niveles de la jerarqua funcional del sistema.
La determinacin de la criticidad o prioridad para administrar las acciones de mitigacin de cada
modo de falla con respecto al desempeo o a la correcta funcin del sistema y el impacto en el
proceso analizado.
Una clasificacin de los modos de falla identificados de acuerdo a sus caractersticas importantes,
incluyendo su facilidad de deteccin, capacidad para diagnosticar, facilidad de prueba, polticas de
mantenimiento, etc.
Identificacin de las fallas funcionales de sistemas y estimacin de la severidad y probabilidad de
falla.
Desarrollo o mejora del diseo de planes de mitigacin de modos de falla.
Apoyar el desarrollo de planes de mantenimiento efectivos para mitigar o reducir la probabilidad de
falla.
D.4.2 Definir roles, responsabilidades y formar equipo de trabajo
Se deben definir claramente los roles y responsabilidades de los miembros del equipo FMEA. Para esto
se toma en cuenta las habilidades necesarias de cada miembro que conformar el equipo de trabajo.
Un estudio FMEA es el resultado de un esfuerzo en equipo, cada miembro se selecciona para que
juegue un rol y tenga responsabilidades especficas. Normalmente requiere de al menos cuatro
personas y en raras ocasiones supera las siete personas.
Roles y responsabilidades:
Lder del estudio. Persona entrenada y experimentada en anlisis FMEA, responsable de:
- Planear el estudio,
- participar en la conformacin del equipo de trabajo,
- suministrar y requerir la informacin necesaria a los miembros del equipo,
- lograr la comunicacin entre los miembros del equipo,
- conducir el estudio, y
- asegurar la apropiada documentacin de resultados.
Auxiliar del lder. Persona entrenada y experimentada en anlisis FMEA, responsable de:
- Ayudar al lder en la planeacin y ejecucin del estudio,
- documentar el estudio.
Personal relacionado con el diseo del sistema. Persona que particip en la elaboracin del diseo
del sistema o que es competente en los aspectos del diseo del sistema por laborar en reas como
ingeniera de proceso. Responsable de:
- Explicar y aclarar dudas sobre el diseo (principalmente ayuda a establecer funciones y
referencias de desempeo de los equipos o componentes), y
- participar en la identificacin y evaluacin de modos de falla y sus causas.
Personal operativo. Persona competente en labores de operacin del sistema, su participacin se

centra en:
- Explicar el contexto operativo del sistema y los efectos de los modos de falla sobre la operacin
del sistema,
- participar en la identificacin y evaluacin de modos de falla desde el punto de vista de la
operacin, y
- participa en la emisin de recomendaciones.
Personal de mantenimiento. Persona competente en labores de mantenimiento del sistema:

- Explicar aspectos relacionados con el mantenimiento (correctivo, preventivo y predictivo,
pruebas, calibraciones y reemplazos de equipos), y posibles daos a equipos derivados de un
modo de falla, as mismo,
- participar en la identificacin y evaluacin de modos de falla desde el punto de vista del
mantenimiento.
Personal especialista (entre otros de seguridad). Persona competente en prevencin y mitigacin

de eventos no deseados:
- Explicar aspectos relacionados con la prevencin y mitigacin de eventos no deseados, como
lo pueden ser fuga de materiales peligrosos, incendios y explosiones,
- participar en la identificacin y evaluacin de modos de falla desde el punto de vista de las
consecuencias principalmente, y
- en general, personal con competencias especficas que puede participar de manera concreta, y
definida por el lder, en algunos aspectos del anlisis.
D.4.3 Preparativos para realizar un FMEA
Responsabilidades del lder durante la etapa de preparacin del FMEA:
- Obtencin de la informacin,
- convertir la informacin a un formato adecuado (descripciones y diagramas simplificados),
- definir un programa de trabajo con fechas establecidas para las reuniones FMEA, y
- gestionar las reuniones necesarias,
- generar el listado de los componentes del sistema a analizar,
- preparar listas de modos de falla al nivel adecuado,
- definir los formatos en los que se documentar el anlisis FMEA, y
- definir el formato y contenido del informe final.
D.4.3.1 Planeacin.
Se deben integrar dentro del plan de trabajo todas las actividades relacionadas con el anlisis FMEA
(actividades del FMEA, su seguimiento, acciones correctivas y su cierre).
El plan debe contener los siguientes puntos:
Definicin clara del propsito especfico del anlisis y sus resultados esperados
El alcance del anlisis en trminos de cmo debe enfocarse el FMEA
Si este forma parte de un proyecto mayor, la descripcin de cmo el anlisis FMEA lo complementa
Identificar las medidas a usar para controlar las revisiones del FMEA y la documentacin
relacionada
Asegurar la participacin de expertos en el anlisis
Establecer referencias que permitan evaluar el avance del anlisis con respecto al tiempo
El plan debe reflejar el consenso de todos los participantes y debe ser aprobado por el responsable del
proyecto.
Estructura del sistema
Informacin sobre la estructura del sistema
Los siguientes componentes deben incluirse dentro de la informacin sobre la estructura del sistema:
Los diferentes elementos del sistema con sus caractersticas, funciones dentro del contexto operativo y sus
referencias de desempeo.
Las conexiones lgicas entre los elementos (sus interacciones)

El nivel de redundancia y la naturaleza de esas redundancias
La posicin y la importancia de los sistemas dentro de la instalacin como un todo (si es posible)
Identificacin de entradas y salidas del sistema
Cambios en la estructura del sistema por variacin de los modos de operacin
Definicin de las fronteras del sistema para el anlisis

La frontera del sistema forma la interface fsica y funcional entre el sistema y su ambiente, incluyendo otros
sistemas con los que el sistema analizado interacta. La definicin de las fronteras del sistema para el
anlisis debe corresponder a las fronteras como se defini en el diseo y en el mantenimiento.
Al definir las fronteras del sistema en estudio se debe asegurar no olvidar otros sistemas o componentes
fuera de las fronteras del mismo, documentando explcitamente que estos se excluyen del anlisis.
Nivel de anlisis
Es importante definir el nivel de detalle en los componentes del sistema al cual se va a realizar el anlisis.
Por ejemplo los sistemas pueden subdividirse por funciones, por subsistemas, por unidades reemplazables
o por componentes individuales (ver la Figura D.4.3.1-1). Las reglas para seleccionar el nivel de detalle del
sistema para el anlisis dependen de los resultados deseados y de la disponibilidad de informacin.
Algunas guas tiles son:
1. El mayor nivel dentro del sistema, se selecciona a partir de los requerimientos de salida
especificados en el diseo.
2. El nivel ms bajo dentro del sistema al cual el anlisis es efectivo, es aquel en el cual la informacin
est disponible para establecer la descripcin de las funciones.
3. El mantenimiento deseado o especificado y el nivel de reparacin puede ser una buena gua para
identificar los niveles ms bajos del sistema
En el FMEA, la definicin de modos de falla, causas de falla y efectos de falla depende del nivel de anlisis
y de los criterios de falla del sistema. A medida que el anlisis progresa, los efectos de la falla identificados
al nivel ms bajo pueden convertirse en modos de falla en un nivel ms alto. Los modos de falla en un nivel
bajo pueden convertirse en causas de falla a un nivel mayor y as sucesivamente.
Cuando un sistema se descompone en sus elementos, los efectos de una o ms de las causas de una falla
hacen un modo de falla. Quien despus es causa de un efecto a un nivel mayor (falla de un componente).
La falla de un componente puede ser despus la causa de falla de un mdulo (efecto). Este por s mismo
es la causa de falla de un subsistema. El efecto de la falla de un subsistema puede ser la causa de falla de
un sistema (en otro nivel) y as sucesivamente, ver la Figura D.4.3.1-1.
Representacin de la estructura del sistema
La representacin del sistema a travs de diagramas de bloques y diagramas simplificados es muy til para
el anlisis, ya que estos proveen informacin sobre la funcin de los componentes del sistema, condiciones
de operacin, as como sobre la interaccin de estos con otros sistemas. Tambin son muy tiles las
descripciones simplificadas del sistema y sus componentes, en las cuales se describe claramente la
funcin de cada componente y las interacciones de estos con su entorno. Este tipo de informacin permite
que se identifiquen adecuadamente las fallas funcionales de los modos de falla potenciales y sus causas.
Considerar que se pueden requerir diferentes diagramas de bloques para cada modo de operacin. Los
diagramas de bloques deben contener como mnimo la siguiente informacin:
Identificacin de los subsistemas que conforman el sistema incluyendo su relacin funcional

Identificacin de todas las entradas y salidas e identificacin de cada bloque de tal forma que se
pueda hacer referencia a cada subsistema.
Las redundancias, trayectorias alternativas de seales o cualquier otra caracterstica que provea
proteccin contra las fallas del sistema.
Definir el estado operativo del sistema (arranque del sistema, operacin, mantenimiento, etc.)
Se deben especificar las diferentes condiciones de operacin del sistema, tanto los cambios en la
configuracin o la posicin del sistema y sus componentes durante los diferentes modos de operacin.
Tambin se deben establecer claramente los criterios tanto de xito, como de falla del sistema. La
informacin sobre la disponibilidad o niveles de seguridad debe permitirnos determinar la aceptabilidad de
posibles daos. En general se debe lograr un conocimiento adecuado de:
La duracin de cada funcin que el sistema pueda desarrollar

El intervalo de tiempo entre pruebas peridicas
El tiempo disponible para realizar acciones correctivas antes de que se presenten consecuencias
serias en el sistema
La instalacin en su conjunto, el ambiente y el personal incluyendo las interfaces y las interacciones
con operadores
Procedimientos de operacin durante arranque, paros y otros transitorios operacionales
El control durante las fases operacionales
El mantenimiento correctivo y/o preventivo
Procedimientos para pruebas de rutina, si son necesarios
Figura D.4.3.1-1Relacin entre modos de falla y efectos de la falla dentro de la jerarqua de un sistema
Ambiente del sistema
Se deben especificar las condiciones ambientales del sistema y aquellas condiciones creadas por otros
sistemas en su entorno. Tambin debe delimitarse con respecto a sus relaciones, dependencias o
interconexiones con otros sistemas auxiliares y sus interfaces con los humanos.
En el caso de aplicacin del FMEA durante la etapa de diseo alguna informacin no se conoce con
suficiente detalle, de tal forma que podra ser necesario trabajar con aproximaciones y suposiciones. A
medida que avanza el proyecto se podr modificar el anlisis para que refleje el diseo definitivo.
Normalmente el FMEA ayuda para definir las condiciones requeridas para el diseo.
D.4.3.2 Determinacin de modos de falla.
El xito en la operacin de un sistema depende del desempeo de ciertos elementos crticos del sistema.
La clave para evaluar el desempeo del sistema, es la identificacin y evaluacin de esos elementos
crticos. El procedimiento para identificar modos de falla, sus causas y efectos puede ser ms efectivo si se
prepara previamente una lista de modos de falla considerando lo siguiente:
El uso del sistema

El tipo de elemento particular del sistema
El modo de operacin
Las especificaciones operacionales
Limitantes por tiempo
Limitantes ambientales
Limitantes operacionales
Cada falla individual es considerada como una ocurrencia independiente, sin relacin con otras fallas en
el sistema excepto por los efectos subsecuentes que pudieran producir. Sin embargo, en situaciones
especiales, las fallas de causa comn ms de un componente del sistema pueden ser considerados
La Tabla D.4.3.2-1 muestra como ejemplo una lista de modos de falla generales
Tabla D.4.3.2-1 Ejemplo de un conjunto de modos de falla generales

1 Falla durante la operacin
2 Falla para operar a un tiempo preestablecido
3 Falla a detener la operacin a un tiempo preestablecido
4 Operacin anticipada
Prcticamente cualquier tipo de modo de falla puede clasificarse en una o ms de esas categoras, sin
embargo estas categoras generales son demasiado amplios en alcance para un anlisis definitivo, por lo
tanto la lista debe ampliarse para hacer que las categoras sean ms especificas. Cuando esta informacin
se emplea junto con las especificaciones de desempeo que determinan las entradas y salidas en los
diagramas de bloques, se pueden identificar y describir todos los modos de falla potenciales. Tomar en
cuenta que cada modo de falla puede tener varias causas.
Es importante que la evaluacin de todos los componentes dentro de las fronteras del sistema en el nivel
ms bajo sea consistente con los objetivos del anlisis para identificar todos los modos de falla potenciales.
Los proveedores de componentes pueden ser la fuente principal para identificar los modos de falla
potenciales de dichos componentes. Para apoyar la bsqueda de modos de falla se puede tomar en cuenta
lo siguiente:
a) Para componentes nuevos, se puede tomar como referencia otros componentes similares con la
misma estructura y funcin.
b) Para componentes nuevos, el intento por diseo y el anlisis funcional detallado puede conducir a
modos de falla potenciales y sus causas. Este mtodo es preferible al punto anterior, debido a que
aqu se toma en cuenta el esfuerzo y la misma operacin, que puede ser diferente para componentes
similares.
c) Para componentes en uso, se pueden consultar los registros de operacin y los datos de falla.
d) Se pueden deducir modos de falla potenciales a partir de los parmetros tpicos, tanto fsicos como
funcionales de la operacin del componente.
D.4.3.3 Causas de modos de falla.
Se deben identificar y describir las causas ms probables de cada modo de falla potencial. La identificacin
y descripcin de causas de falla no siempre es necesaria para todos los modos de falla identificados en el
anlisis. La identificacin y descripcin de causas de falla, tanto como sus recomendaciones para su
mitigacin se deben hacer con base en los efectos de la falla y su severidad. A medida que los efectos de
un modo de falla son ms severos, se deben identificar y describir con mayor precisin las causas de la
falla. De otro modo el analista puede dedicar esfuerzo innecesario en la identificacin de causas de fallas
de modos de falla que tiene poco o ningn efecto en la funcionalidad del sistema.
Cuando se analiza un diseo nuevo y si no se cuenta con experiencia previa las causas pueden
identificarse a travs de juicios de expertos.
Cuando se identifican las causas de cada modo de falla la evaluacin de las recomendaciones puede
basarse en la estimacin de la probabilidad de ocurrencia y la severidad de sus efectos.
D.4.3.4 Efectos y consecuencias de la falla.
El efecto de una falla es la consecuencia de un modo de falla en trminos de la operacin, funcin o estado
de un sistema. Un efecto de una falla puede ser causado por uno o ms modos de falla de uno o ms
componentes.
Se deben identificar, evaluar y registrar las consecuencias de cada modo de falla sobre la operacin, la
funcin o el estado del sistema. Los efectos de la falla tambin pueden influir el siguiente nivel y al final el
mayor nivel dentro del sistema. Por lo tanto, se deben evaluar en cada nivel los efectos de las fallas en el
nivel superior.
Cuando los efectos de una falla causan efectos en los componentes de los niveles bajos (en el nivel de
anlisis), se habla de efectos locales. El propsito de identificar efectos locales, es asegurar la disposicin
de la informacin necesaria para evaluar posibles alternativas de acciones preventivas o correctivas que
puedan recomendarse para enfrentar estos modos de falla.
Cuando los efectos de una falla causan efectos en el nivel ms alto del sistema se habla de efectos
finales. Estos efectos finales resultantes de fallas mltiples, tambin deben documentarse en las hojas de
trabajo.
Como parte de la identificacin de los efectos tambin se documentan los mtodos de deteccin de la falla.
As, para cada modo de falla el analista debe identificar la forma en que se detecta la falla y los medios
mediante los cuales el usuario o el mantenedor tienen para identificar su ocurrencia. Por ejemplo, la
deteccin de la ocurrencia de la falla puede estar basada en caractersticas inherentes del diseo (por
ejemplo, por pruebas durante la construccin), por la aplicacin de procedimientos de verificacin antes de
la operacin del sistema o mediante la inspeccin durante las actividades de mantenimiento. Esta puede
ser implantada en el arranque del sistema o continuamente durante la operacin o mediante intervalos
preestablecidos. En los casos anteriores, la deteccin de la falla y su indicacin debe anteceder a
condiciones operativas peligrosas.
Otros modos de falla diferentes al considerado que se manifiestan de la misma forma, deben ser
analizados y listados. Se deben considerar por separado los medios de deteccin de fallas de elementos
operativos redundantes.
D.4.3.5 Identificacin de medidas de seguridad o protecciones.
Es muy importante la identificacin de cualquier proteccin o medida de seguridad para prevenir o reducir el
efecto del modo de falla. As el FMEA debe mostrar claramente el comportamiento real de esas
protecciones o medidas de seguridad cuando ocurre ese modo de falla. Algunas de las protecciones que se
deben documentar incluyen:
Componentes redundantes que permiten la operacin continua si uno o ms elementos fallan.

Medios alternativos de operacin.
Dispositivos de monitoreo y alarma
Cualquier otro medio que permita la operacin efectiva o limite los daos
Clasificacin de la severidad
La severidad es una evaluacin de la importancia de los efectos de los modos de falla sobre la operacin
del componente. La clasificacin de la severidad es totalmente dependiente de la aplicacin del FMEA y su
aplicacin y desarrollo depende de diferentes factores:
Los efectos resultantes sobre los usuarios o el ambiente por la naturaleza del sistema, debido a la
ocurrencia de la falla.
El desempeo funcional del sistema o proceso
Cualquier requerimiento impuesto por el usuario o cliente
Cualquier requerimiento regulatorio en materia de seguridad
Requerimientos impuestos por garanta
En las GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO en PEMEX

presenta la forma en la que se clasifican la severidad de las consecuencias
Frecuencia o probabilidad de ocurrencia
Para cada modo de falla debe determinarse su frecuencia o probabilidad de ocurrencia a fin de evaluar el
efecto o la criticidad del modo de falla.
Para la determinacin de la probabilidad de ocurrencia del modo de falla, se debe considerar el contexto
operativo (que incluye los esfuerzos debido al ambiente, mecnicos y/o elctricos) de cada componente y
que tienen una contribucin importante a la probabilidad de ocurrencia.
D.4.4 Anlisis
El anlisis FMEA se realiza aplicando el protocolo indicado en la Figura D.4.3.1-1. Su aplicacin se inicia en
las fronteras del sistema y sistemticamente el anlisis contina sobre los componentes en el orden en que
estos aparecen en los diagramas del sistema o proceso analizado.
Los formatos FMEA documentan ente otra la siguiente informacin (ver la Figura D.4.4.7-1):
D.4.4.1 Identificador del equipo.
Se debe contar con un identificador nico del equipo que relacione el anlisis con la informacin contenida
en el diagrama de referencia, proceso o ubicacin. Este identificador permite distinguir entre piezas de
equipo similares que realizan funciones diferentes dentro del mismo sistema.
Cualquier codificacin sistemtica es aceptable si esta permite relacionar claramente el anlisis con los
diagramas, procesos o ubicaciones y puede ser clara para otros analistas que deben trabajar con los
resultados del anlisis FMEA.
D.4.4.2 Descripcin del equipo
Esta debe incluir el tipo de equipo, configuracin y otras caractersticas que puedan influir en los modos de
falla y sus efectos (por ejemplo altas temperaturas, altas presiones o caractersticas propias de los
materiales como naturaleza corrosiva).
D.4.4.3 Modos de falla
El analista debe listar todos los modos de falla de cada componente que sean consistentes con la
descripcin del equipo, considerando las condiciones de operacin normal del equipo y todas las posibles
condiciones que eviten que este cumpla con su funcin y que alteren el estado de operacin normal.
D.4.4.4 Efectos y consecuencias
Para cada modo de falla el analista debe identificar los efectos inmediatos en la falla y su efecto en otros
equipos y en el sistema o proceso.
Tpicamente el analista evala los efectos con base en el peor caso razonable, suponiendo que las
medidas de seguridad existentes fallan.
En esta parte tambin se documentan los medios con que se cuenta para detectar la ocurrencia de la falla.
D.4.4.5 Causas
Para cada modo de falla se identifican sus causas o mecanismos de falla (causas fsicas de la ocurrencia
del modo de falla), en muchas ocasiones la adecuada identificacin de estas causas permite establecer de
manera precisa las recomendaciones que reducirn los riesgos asociados con el modo de falla.
D.4.4.6 Medidas de seguridad
Para cada modo de falla identificado el analista debe describir cualquier dispositivo de seguridad o
procedimiento asociado con el sistema y que reduce la probabilidad de ocurrencia de una falla especfica o
que pueda mitigar sus consecuencias.
D.4.4.7 Recomendaciones
Para cada modo de falla identificado el analista debe listar cualquier accin correctiva sugerida para reducir
la probabilidad de ocurrencia del modo de falla o para minimizar sus consecuencias.
Los resultados deben documentarse en el formato indicado en la Figura D.4.5-1.

Figura D.4.4.7-1 Protocolo para realizar el anlisis FMEA

D.4.5 Documentacin
El reporte de un FMEA puede ser incluido en un estudio ms amplio o estar solo. En cualquier caso (ver
8.4), el reporte debe incluir un resumen y un registro detallado del anlisis y el diagrama funcional o de
bloques que define la estructura del sistema. El reporte tambin debe contener los diagramas simplificados
en los que se bas el anlisis FMEA.
La documentacin del anlisis FMEA incluye:
Alcance y objetivos del anlisis FMEA

Personal participante
Descripcin y diagramas simplificados o de bloques del proceso, as como referencias a diagramas
y procedimientos empleados.
Lista de componentes analizados
Formatos empleados para documentar el anlisis FMEA, elaborados durante las reuniones de
anlisis, ver Figura D.4.5-1.
Recomendaciones.
Instalacin: Sistema: Facilitador: Fecha:

Subsistema: Revisor: Fecha:
Ident Descripcin Funcin Modo de Efectos C Causas F Protecciones R Recomendaciones
falla
F = categora de frecuencia, C = categora de consecuencia, R = categora de riesgo Hoja____ de____
Figura D.4.5-1 Formato de Anlisis FMEA

D.5 Ejemplo de la aplicacin del FMEA
Alcance y objetivos del anlisis FMEA
Realizar el anlisis FMEA del sistema de aceite lubricante de la turbina de generacin de energa elctrica
que se muestra en el diagrama anexo, Figura D.5-1. El objetivo de este anlisis FMEA es identificar
deficiencias en el diseo, operacin y mantenimiento sistema de lubricacin de una turbina.
Lder del anlisis FMEA: Ing. A. Gonzlez C. (AGC)

Auxiliar del lder FMEA: Ing. L. Ramrez. O. (LRO)
Personal de ingeniera del proceso: Ing. J. Gutirrez R. (JGR)
Personal de operacin del proceso: Ing. M. Campos G. (MCG)
Personal de seguridad Industrial del proceso: Ing. R. Mndez F. (RMF)
Descripcin, diagramas del proceso y referencias
El sistema de aceite lubricante entre otros componentes consta de un tanque de almacenamiento del cual
se suministra el aceite a las chumaceras de la turbina y del generador a travs de una bomba principal
acoplada a la flecha de la turbina, durante las secuencias de arranque y paro el aceite es suministrado por
la bomba de pre/postlubricacin. Esta bomba de pre/postlubricacin de aceite lubricante (P902) de la
turbina provee aceite lubricante a los rodamientos de la turbina y el generador durante la secuencia de paro
y arranque del conjunto turbogenerador. La bomba es impulsada por un motor elctrico de 5 HP y
alimentada con corriente alterna de 460 V. Durante la secuencia de arranque se desactiva a 35 psi y
durante la secuencia de paro se activa a 25 psi, estas presiones medidas en el cabezal principal de aceite
lubricante. En caso de falla de esta bomba durante las secuencia de arranque o paro de la turbina se
genera una seal de disparo de la turbina y se arranca la bomba de respaldo alimentada con CD. El
sistema de aceite lubricante se muestra en la Figura 5.1; los componentes analizados se encuentran sobre
la lnea de la bomba de pre/postlubricacin, indicada con un crculo punteado en la propia Figura D.5-1.
Para evitar la presurizacin en la descarga de la bomba, esta se encuentra protegida por una vlvula de
alivio VR902 que retorna el aceite lubricante al tanque cuando la presin es mayor de 20 psi.
Diagrama simplificado
Ver Figura D.5-1.
Referencias
Manual de operacin y mantenimiento de la turbina, rev. 3.

Diagrama de proceso del sistema de propano PID-201 rev. 7.
Lista de componentes del sistema de lubricacin
La Figura D.5-2 muestra una forma de asignar identificadores a los componentes de un sistema. Algunos
de estos componentes son los siguientes:
TG.03.01 Tanque de almacenamiento de aceite lubricante

TG.03.02 Bomba de pre/postlubricacin
TG.03.03 Motor elctrico de la bomba de pre/postlubricacin
TG.03.04 Vlvula de alivio de la bomba de pre/postlubricacin
Formatos FMEA
Ver secciones ms adelante.
Recomendaciones.
1. Analizar la conveniencia de cambiar el tipo de acoplamiento motor-bomba (P902), actualmente es

de plstico.
2. Asegurar que en cada mantenimiento de la bomba P902 se verifique el buen estado del strainer.
3. Verificar peridicamente y llevar el registro de la operabilidad de la resistencia calefactora.
4. Asegurar que se registre la realizacin de la verificacin de la calibracin de la vlvula VR902.
Figura D.5-1 Sistema de aceite de lubricacin de la turbina de generacin

Figura D.5-2 Componentes y subsistemas de una turbina de generacin y ejemplo de identificadores de componentes
Instalacin: Central de compresin Sistema: TG. Turbina de generacin Facilitador: MSD Fecha: 23/05/08
Subsistema: 03.Sistema de aceite lubricante Revisor: ARR Fecha: 10/06/08
Ident Descrip. Funcin Modo de Efectos C Causas F Protecciones R Recomendaciones
falla
02 Bomba de Suministrar Descarga El bajo flujo de aceite provoca baja presin Falla del Se cuenta con el 1). Analizar la conveniencia
pre/postlubrica aceite lubricante baja durante la secuencia de arranque y causa acoplamiento disparo de la turbina de cambiar el tipo de
cin, P902 antes y durante el su interrupcin por seal de baja presin motor-bomba. por baja presin de acoplamiento motor-bomba
arranque y (Cuando no se alcanzan 6 psi durante 60 Falla en internos aceite lubricante. (P902), actualmente es de
durante y segundos a travs del TP380). Durante un de la bomba. plstico.
despus de un disparo de turbina y con bajo flujo de Obstruccin del Para asegurar la
paro (se aceite se pueden daar las chumaceras de strainer. lubricacin y el 2) Asegurar que en cada
desactiva a 35 la turbina. Para evitar el paso de partculas Engazamiento. enfriamiento en caso de mantenimiento de la bomba
psi y se activa a que puedan daar los impulsores se falla de esta bomba, se P902 se verifique el buen
25 psi) cuenta con el strainer FS902-2. Tambin, cuenta con bomba de estado del strainer.
se cuenta con bomba de respaldo de emergencia
pre/postlubricacin que arrancar cuando
la presin sea menor o igual a 6 psi.
Contener el Fuga Derrame de aceite lubricante en el interior Rotura de La bomba y sus
aceite lubricante externa del encabinado y posible incendio con mangueras. conexiones se
que bombea daos al equipo y al personal. Una fuga Falla de sellos. encuentran en la parte
puede provocar baja presin en el de baja temperatura del
suministro de aceite lubricante y daos a encabinado.
las chumaceras de la turbina. Se cuenta Durante los paros se
con el sistema de deteccin de incendios. inspeccionan el interior
del encabinado en
busca de fugas.
03 Motor elctrico Impulsar la Paro La falla del motor provoca la prdida del Corto circuito en
de la bomba de bomba de aceite inesperado bombeo de aceite lubricante. Durante el contactos.
aceite de de arranque se interrumpe la secuencia de Falla bobina del
pre/poslubricaci pre/poslubricaci arranque. Durante el paro de la turbina se contactor.
n de 5 HP, n con una pueden causar daos severos a la turbina. Fusibles abiertos
B321 potencia de 5 HP Se cuenta con bomba de respaldo, BP903 o relevador de
y 460 VCA para garantizar la lubricacin y sobrecarga
enfriamiento del equipo. descalibrado o en
falla.
Terminales flojas
o sulfatadas. Durante los
Corto circuito en mantenimientos se
los devanados del realiza el reapriete de
motor por bajo conexiones
ndice dielctrico.
Instalacin: Central de compresin Sistema: TG. Turbina de generacin Facilitador: MSD Fecha: 23/05/08
Subsistema: 03.Sistema de aceite lubricante Revisor: ARR Fecha: 10/06/08
Ident Descrip. Funcin Modo de Efectos C Causas F Protecciones R Recomendaciones
falla
03 Motor elctrico Impulsar la Falla a La falla del motor provoca la prdida del Falla de
de la bomba de bomba de aceite iniciar a la bombeo de aceite lubricante. Durante el mecanismo por mal
aceite de de demanda arranque se interrumpe la secuencia de ajuste o dao de la
pre/poslubricaci pre/poslubricaci arranque. Durante el paro de la turbina se palanca de
n de 5 HP, n con una pueden causar daos severos a la turbina. accionamiento.
B321 potencia de 5 HP Se cuenta con bomba de respaldo, BP903 Falla de
y 460 VCA para garantizar la lubricacin y permisivo de
enfriamiento del equipo. arranque/operacin
por causas propias.
Falla del PLC
que controla la
operacin del motor
por falla de tarjetas
de entrada/salida.
Fusibles
daados. El motor cuenta con 3) Verificar peridicamente
Corto circuito en resistencia calefactora y llevar el registro de la
los devanados del para reducir la operabilidad de la
motor por bajo condensacin dentro resistencia calefactora.
ndice dielctrico. del devanado.
04 Vlvula de Abrir para LOO - Alta presin en la descarga de la bomba Vlvula cerrada Durante el 4). Asegurar que se registre
alivio de la mantener una Salida baja P902, la alta presin en lnea de aceite por falla propia. mantenimiento la realizacin de la
bomba de presin de 20 psi lubricante puede provocar fugas en las Fuera de ajuste programado se verifica verificacin de la calibracin
pre/postlubrica (1.4 kg/cm2) en lneas de descarga, posible incendio con por descalibracin la operabilidad de esta de la vlvula VR902.
cin, VR902 la descarga de la daos al equipo. Se cuenta con sistema de o mala calibracin vlvula, as como su
bomba de deteccin de incendios dentro del calibracin.
pre/postlubricaci encabinado, que provoca el disparo de la
n turbina y la descarga del agente extintor.
Cerrar para HIO - Alto flujo de recirculacin de aceite hacia el Vlvula abierta Durante el 4). Asegurar que se registre
mantener una Salida alta tanque lo que provoca baja presin de por falla propia. mantenimiento la realizacin de la
presin de 20 psi aceite lubricante en la turbina. En arranque Fuera de ajuste programado se verifica verificacin de la calibracin
(1.4 kg/cm2) en se interrumpe la secuencia de arranque y por descalibracin la operabilidad de esta de la vlvula VR902.
la descarga de la en paro se puede daar severamente a la o mala calibracin vlvula, as como su
bomba de turbina (al no cumplirse el periodo de 55 calibracin.
pre/postlubricaci minutos de enfriamiento). Se cuenta con
n bomba de respaldo de pre/postlubricacin.
ANEXO
E Anlisis de Peligros y Operabilidad (HazOp)
E.1 Propsito
metodologa Anlisis de Peligros y Operabilidad (HAZOP), para homologar su aplicacin en las
instalaciones de Petrleos Mexicanos.
E.2 Referencias
[1] Hazard and operability studies (HAZOP studies) Application guide, CEI-IEC61882
[2] Crawly, F., Preston, M., Tyler, B., HAZOP Guide to Best Practice, IChemE, 2000.
[3] Lees, F.P., Loss Prevention in the process industries, 2nd. ed., 1996.
[4] Guidelines for Hazard Evaluation Procedures with worked examples, CCPS, AICHE, 1992-
E.3 Principios de la Metodologa
La metodologa HazOp (Hazard and Operability) es un mtodo estructurado y sistemtico para examinar un
sistema con el objetivo de identificar peligros potenciales y problemas operativos; en particular para
identificar las causas y sus implicaciones [1, 2].
El desarrollo de la metodologa de estudio o mtodo HazOp se atribuye a la ICI (Imperial Chemical

Industries) en la dcada de 1960. La metodologa, tal como se conoce actualmente, es el resultado de
varias metodologas desarrolladas por, entre otras, la ICI Chemical Division (Binsted, 1960) y la ICI Mond
Division (Elliott y Owen, 1968) [3].
Su uso y desarrollo fue impulsado fuertemente por la Chemical Industries Association del Reino Unido,
mediante la publicacin: A guide to Hazard and Operability Studies [2].
El propsito principal de un estudio HazOp es identificar y evaluar los peligros potenciales en un sistema
[1,2].
La metodologa HazOp tambin se puede emplear para identificar problemas de operabilidad, en particular
perturbaciones operativas y desviaciones que pueden llevar a productos fuera de especificaciones [1,2].
La metodologa HazOp es un proceso creativo en el cual se identifican las desviaciones potenciales de un

sistema, a partir de un rango de valores entre los que se espera se encuentre, de acuerdo al propsito del
diseo.
Esas desviaciones se emplean como estmulos para que los analistas examinen las posibles causas y las
consecuencias de cada desviacin [1].
El anlisis se realiza bajo la gua de un lder entrenado y con experiencia en la aplicacin de la

metodologa. El lder es apoyado por una persona que documente el anlisis.
El anlisis es apoyado por especialistas de diversas disciplinas con habilidades apropiadas y experiencia,
quienes deben poseer buenos juicios y ser intuitivos.
El anlisis debe desarrollarse en un clima de pensamiento creativo (lluvia de ideas), positivo y que permita
discusiones que lleven a resultados constructivos.
El procedimiento para realizar un HazOp se ilustra en la Figura E.3-1.
1. DEFINICIN
Definir alcance y objetivos del HazOp
Seleccionar el equipo de trabajo (Grupo Multidisciplinario)
Definir roles y responsabilidades de los miembros del equipo
2. PREPARACIN
Planear el estudio
Recolectar y procesar datos (Elaborar descripciones y diagramas
simplificados, propuesta de esquema de nodos y lista de variables y
palabras guas)
Definir formatos de registro del anlisis
Definir el tiempo para el anlisis
Programar actividades
3. ANLISIS
Definir y fraccionar el sistema en nodos o etapas
Seleccionar un nodo y describir el propsito de acuerdo al diseo
- Identificar variables y/o parmetros,
- Identificar palabras gua y obtener desviaciones,
- Identificar causas y consecuencias,
- Identificar protecciones ,
- Identificar posibles soluciones o medidas de mitigacin, en caso de
ser necesarias (emitir recomendaciones valorando la tolerabilidad
del riesgo).
Repetir el proceso para cada nodo del sistema
4. DOCUMENTACIN
Documentacin:
Documentacin del anlisis (Llenar formatos HazOp y minutas de
reuniones)
Generacin del informe final
Liberacin del informe final
Figura E.3-1 Procedimiento para realizar un HazOp

E.4 Procedimiento para realizar un HazOp
E.4.1 Definir alcance y objetivos del estudio
El responsable tcnico por parte de la instalacin y el lder del estudio deben establecer de forma conjunta
tanto el alcance como el objetivo del estudio. Ambos deben ser claramente descritos para asegurar:
Una definicin precisa de las fronteras del sistema en estudio, sus interfaces con otros sistemas y el
ambiente.
Que el equipo de anlisis se enfoque slo en las reas definidas en el alcance y relevantes al
estudio.
El alcance y objetivos del estudio dependen de:
Fronteras fsicas del sistema.

Alcance de estudios previos HazOp, o cualquier otra metodologa de anlisis de riesgo aplicada al
sistema.
Cualquier requisito regulatorio que aplique al sistema.
Los siguientes factores deben considerarse cuando se define el objetivo:
El propsito para el cual se utilizaran los resultados del estudio.

La etapa del ciclo de vida en la cual se realiza el estudio (diseo, construccin, operacin,
desmantelamiento).
Personas o propiedad que podran estar en riesgo (por ejemplo, el personal operativo, la poblacin,
el medio ambiente y el propio sistema).
Problemas operativos que se quieran analizar.
Los estndares requeridos del sistema, tanto en trminos de seguridad como de desempeo
operativo.
E.4.2 Definir roles, responsabilidades y formar equipo de trabajo
Se deben definir claramente los roles y responsabilidades de los miembros del equipo HazOp (Grupo
Multidisciplinario). Para esto se toma en cuenta las habilidades y especialidades necesarias de cada
miembro que conformar el equipo de trabajo.
Un estudio HazOp es el resultado de un esfuerzo en equipo, cada miembro se selecciona para que juegue
un rol y tenga responsabilidades especficas. Normalmente requiere de al menos cuatro personas y en
raras ocasiones supera las siete personas.
Roles y responsabilidades:
Lder del estudio. Persona entrenada y experimentada en la aplicacin de la metodologa y

desarrollo de estudios HazOp, responsable de:
- Planear el estudio,
- participar en la conformacin del equipo de trabajo,
- realizar una pltica de induccin al Grupo Multidisciplinario, para homologacin de criterios
- suministrar y requerir la informacin necesaria a los miembros del equipo,
- lograr la comunicacin entre los miembros del equipo,
- conducir el estudio, y
- asegurar la apropiada documentacin de resultados.
Auxiliar del lder. Persona entrenada y experimentada en estudios HazOp, responsable de:
- Ayudar al lder en la planeacin y ejecucin del estudio,
- documentar el estudio (peligros, causas, consecuencias y medidas de seguridad identificadas,
as mismo recomendaciones y problemas encontrados).
Personal relacionado con el diseo del sistema. Persona que particip en la elaboracin del diseo
del sistema o que es competente en los aspectos del diseo del sistema por laborar en reas como
ingeniera de proceso. Responsable de:
- Explicar y aclarar dudas sobre el diseo (principalmente ayuda a establecer el propsito del
diseo), y
- participar en la identificacin y evaluacin de desviaciones desde el punto de vista del diseo.
Personal operativo. Persona competente en labores de operacin del sistema, su participacin se

centra en:
- Explicar el contexto operativo del sistema y los efectos de una desviacin sobre la operacin
del mismo,
- participar en la identificacin y evaluacin de desviaciones desde el punto de vista de la
operacin, y
- participa en la emisin de recomendaciones.
Personal de mantenimiento (en caso necesario). Persona competente en labores de mantenimiento

del sistema:
- Explicar aspectos relacionados con el mantenimiento (correctivo, preventivo y predictivo,
pruebas, calibraciones y reemplazos de equipos), y posibles daos a equipos derivados de una
desviacin, as mismo,
- participar en la identificacin y evaluacin de desviaciones desde el punto de vista del
mantenimiento.
Personal especialista (entre otros de seguridad). Persona competente en prevencin y mitigacin

de eventos no deseados:
- Explicar aspectos relacionados con la prevencin y mitigacin de eventos no deseados, como
lo pueden ser fugas y derrames de materiales peligrosos, incendios y explosiones,
- participar en la identificacin y evaluacin de desviaciones desde el punto de vista de las
consecuencias principalmente, y
- en general, personal con competencias especficas que puede participar de manera concreta, y
definida por el lder, en algunos aspectos del estudio.
E.4.3 Preparativos para realizar un HazOp
- Obtencin de la informacin,
- convertir la informacin a un formato adecuado (descripciones y diagramas simplificados),
- definir un programa de trabajo con fechas establecidas para las reuniones HazOp, y
- gestionar las reuniones necesarias,
- descomponer el sistema en nodos,
- proponer una lista de palabras gua,
- definir los formatos en los que se documentar el estudio HazOp, y
- definir el formato y contenido del informe final.
Es necesario que el lder del anlisis HazOp predefina los nodos de estudio conjuntamente con personal de
operacin de la planta a analizar (seccionar el proceso) y prepare una lista preliminar de desviaciones
(identificacin de variables y palabras gua).
El esquema de nodos previo y la lista preliminar de desviaciones sern revisados y modificados en su caso,
por el equipo multidisciplinario de anlisis.
E.4.3.1 Recoleccin de Datos.
Los datos al ser recolectados incluyen (pero no estn limitados):
Datos de diseo y descripciones, diagramas de flujo, diagramas de bloques de proceso, diagramas de

control, diagramas elctricos, hojas de datos de ingeniera como balances de materia y energa y valores
de variables de proceso, especificacin de suministros y servicios y requisitos de operacin y
mantenimiento. Diagramas de tubera e instrumentacin, dibujos y planos de equipos y su disposicin en
planta, isomtricos y hojas de datos de seguridad de materiales. Condiciones ambientales de diseo y de
trabajo, procedimientos e instrucciones de trabajo, experiencia de accidentes y experiencia operacional y
de trabajo del sistema analizado y sistemas similares.
E.4.3.2 Procesamiento de Datos.
Elaborar una descripcin de la totalidad del proceso a ser analizado.
La descripcin debe contener:

- Valores de variables en los que se deba encontrar operando el proceso; lo anterior para que se
identifique de forma clara y precisa una desviacin.
- El enunciado claro del propsito o la intencin de acuerdo al diseo de cada etapa del proceso.
- Los equipos que componen cada etapa (recipientes, compresores, turbinas, motores, bombas,
entre otras), incluyendo su instrumentacin y dispositivos de control, con sus identificadores, ej.
separador FA5071B, vlvula LV3120A, etc.
Elaborar diagrama de bloques e interacciones y diagramas simplificados del proceso a ser analizado.
Los diagramas deben contener:

- Los equipos que componen cada etapa (recipientes, compresores, turbinas, motores, bombas,
entre otras), incluyendo su instrumentacin y dispositivos de control, con sus identificadores, ej.
separador FA5071B, vlvula LV3120A.
- Las interconexiones entre los equipos que sean relevantes al estudio, tuberas de proceso,
lazos de control y suministros, entre otras.
- Anotaciones pertinentes como dimetro de vlvulas, puntos de ajuste de lazos de control,
apertura de vlvulas de alivio y disparos por alto / bajo valor de las variables monitoreadas.
E.4.4 Anlisis
Al comenzar las reuniones se debe asegurar que los miembros del equipo multidisciplinario estn
familiarizados con el sistema a ser analizado, los objetivos y el alcance del estudio.
El lder del estudio HazOp conduce las reuniones de anlisis y su auxiliar documenta el proceso. Es
recomendable que el tiempo mximo de duracin de las reuniones sea acotado a valores razonables.
El anlisis del sistema se desarrolla de acuerdo con el protocolo de la metodologa HazOp, Figura E.4.4.2-1
[4], y se documenta en los formatos seleccionados para tal fin, en el ejemplo E.4.6 se muestra un ejemplo
de un formato HazOP. En el ejemplo E.4.7 se muestra un ejemplo de la aplicacin del HazOp.
E.4.4.1 Fraccionar el sistema en nodos o etapas.
Al comenzar las reuniones es importante que se realice una revisin de los nodos elaborados en los
preparativos y definicin del esquema final de nodos por parte del equipo multidisciplinario y se pueda emitir
una lista de nodos.
La definicin de los nodos es hasta cierto punto una decisin subjetiva en la que se debe tomar en cuenta:
El objetivo y el alcance del estudio.

La funcin que cumple el equipo (ya sea en forma individual o colectiva). Por ejemplo, un nodo
puede incluir uno o varios equipos, individuales o compuestos, que en su conjunto cumplen una
funcin en el sistema.
Secciones de un proceso que incluyen diferentes equipos, en donde las variables o parmetros que
los caracterizan tengan comportamientos similares.
Una vez definido el esquema de nodos se debe aplicar el protocolo que se muestra en la Figura E.4.4.2-1
[4].
E.4.4.2 Seleccionar un nodo y describir el propsito de acuerdo al diseo
La descripcin del propsito del nodo define la manera en cmo se espera que opere el sistema en
ausencia de desviaciones.
La descripcin debe incluir el rango de valores operativos en los que, de acuerdo al diseo, se espera se
encuentren las variables de proceso. Con base en esos valores, el grupo multidisciplinario puede identificar
ms claramente las desviaciones.
El propsito del nodo por diseo no slo se refiere a equipos, tambin a materiales, condiciones, cambios,
orgenes, destinos y medios de control.
Inicio
Lista de
nodos Fin
Si
Seleccionar una/otra seccin No ltimo

del proceso o nodo de nodo?
estudio
Describir el propsito del

diseo del nodo
Si
Seleccionar una/otra variable ltima

No
del nodo variable
del nodo?
Si
Aplicar una/otra palabra
gua a la variable No ltima
seleccionada y obtener la palabra
desviacin gua?
Listar las posibles causas

de la desviacin
Examinar las consecuencias

asociadas con la desviacin Emitir recomendaciones
(suponiendo que todas las valorando la
salvaguardias fallan) tolerabilidad del riesgo
Identificar las protecciones

existentes para prevenir la
desviacin o limitar sus
consecuencias
Figura E.4.4.2-1 Protocolo de anlisis para realizar un HazOp

E.4.4.3 Identificar variables y/o parmetros
El equipo examina cada nodo e identifica las variables y parmetros que sean relevantes en la bsqueda
de desviaciones del propsito por diseo y que puedan conducir a consecuencias indeseables. En las
Tablas E.4.4.3-1 y E.4.4.3-2 se muestran ejemplos de variables y parmetros.
Tabla E.4.4.3-1 Ejemplos de variables

- Flujo - Tiempo
- Presin - Fase
- Temperatura - Velocidad
- Mezclado - Medida
- Agitacin - Control
- Transferencia - pH
- Nivel - Seal
- Viscosidad - Inicio/paro
- Reaccin - Secuencia
- Composicin - Operar
- Adicin - Tamao de
- Separacin partcula
Tabla E.4.4.3-2 Ejemplos de parmetros
- Espesor
- Dimetro
- Longitud
- Altura
- Composicin de materiales
- Capacidad
- Rugosidad
E.4.4.4 Identificar palabras gua y generar desviaciones
Para cada variable o parmetro seleccionado, el equipo identifica las palabras gua que generen
desviaciones lgicas. En la Tabla E.4.4.4-1 se muestran ejemplos de palabras gua.
Cada palabra gua se aplica a cada variable relevante que caracteriza el nodo analizado. Para realizar una
identificacin detallada de riesgos es necesario que los nodos y las variables que los caracterizan cubran
todos los aspectos relevantes del propsito por diseo y que la combinacin de variables con palabras
guas cubran todas las desviaciones.
Evitar desviaciones ilgicas como: viscosidad inversa, nivel en lugar de o tamao de partcula lento.
Para generar las desviaciones se combinan las variables o parmetros con las palabras gua, en la Tabla
E.4.4.4-1 se muestra un ejemplo.
Tabla E.4.4.4-1 Ejemplos de palabras gua
Palabra gua Significado

No Negacin de la intencin del diseo
Ms / Alta Incremento cuantitativo
Menos / Baja Decremento cuantitativo
Inverso Opuesto lgico al propsito del diseo
Parte de Slo se logra parte del propsito del diseo
Otro Slo se logra parte del propsito del diseo
En lugar de Sustitucin
Antes / Despus Fuera de secuencia
Temprano / Tarde Antes o despus de tiempo
Rpido / Lento Fuera de velocidad
Tabla E.4.4.4-2 Ejemplos de desviaciones
Variable o parmetro Palabra gua Desviacin

Flujo No No flujo
Presin Alta Alta presin
Voltaje Bajo Bajo voltaje
E.4.4.5 Identificar causas de las desviaciones
Una vez que se ha identificado una desviacin, es recomendable estar atentos a desviaciones con
consecuencias evidentemente triviales, pues no tiene sentido buscar sus causas.
Para las consecuencias no triviales se deben buscar las causas usando el concepto de lluvia de ideas,
para identificar tantas causas como sea posible. Las causas pueden ser tanto fallas de equipo como
errores humanos.
Durante la identificacin de causas es importante que los miembros del equipo tomen una actitud positiva y
crtica, sin ser ofensiva ni defensiva.
E.4.4.6 Identificar consecuencias de las desviaciones
Es esencial identificar por completo las consecuencias; lo que ocurre en la cadena de eventos (desde la
ocurrencia de la desviacin hasta la prdida creble en materia de seguridad, ambiente y negocio).
Las consecuencias se deben enunciar considerando que todas las protecciones existentes fallan.
E.4.4.7 Identificar protecciones existentes
Se deben de enunciar los dispositivos disponibles para evitar la ocurrencia de la causa de la desviacin o
para minimizar las posibles consecuencias. Las protecciones incluyen las etapas de deteccin de la
condicin y medidas correctivas.
E.4.4.8 Emitir recomendaciones valorando la tolerabilidad del riesgo
Cuando el grupo estima que las protecciones existentes no mantienen el riesgo dentro de valores
tolerables, entonces se enuncian recomendaciones tendientes a fortalecer las protecciones existentes o a
adicionar protecciones, de acuerdo como lo decida el equipo multidisciplinario. Para valorar la tolerabilidad
al riesgo referirse al Anexo F.
Las recomendaciones deben representar el consenso de opiniones del equipo multidisciplinario. Dichas
recomendaciones pueden ser tan especficas como la competencia, metodologa y autoridad administrativa
lo permita, dentro del grupo multidisciplinario.
Cuando exista el consenso, la competencia tcnica y administrativa, entonces se documenta la

recomendacin. En caso contrario, la recomendacin se enuncia de manera genrica haciendo nfasis en
la problemtica, las funciones que se deben cumplir para resolver la problemtica y se deben de hacer
gestiones fuera del HazOp para dar solucin tcnica o administrativa especfica. En ocasiones, estudios
ms detallados, tanto tcnicos como administrativos, sern necesarios para llegar a las soluciones
requeridas.
En ocasiones se requiere el empleo de otras metodologas de anlisis de riesgos, ms detalladas, para

determinar con mayor precisin si es necesaria alguna mejora y especificar con mejores bases tcnicas el
tipo de mejora. Eso debe ser documentado y efectuado fuera del desarrollo del HazOp.
E.4.5 Documentacin
La documentacin del estudio HazOp (ver seccin 8.4) incluye:
Alcance y objetivos del estudio HazOp

Descripcin y diagramas simplificados del proceso, as como referencias a diagramas y
procedimientos empleados.
Lista de nodos
Formatos empleados para documentar el anlisis HazOp, elaborados durante las reuniones de
anlisis, Ejemplo E.4.6.
Recomendaciones.
E.4.6 Ejemplo de Formato de documentacin HazOp

Nombre del estudio: Rev.
Seccin o nodo: Fecha de reunin:
Propsito de acuerdo al diseo: Referencias1:
Equipo multidisciplinario2: Hoja: n de (total)
rea para comentarios o datos de control adicionales, en caso de requerirse.
Palabra
No. Variable Desviacin Causas Consecuencias Protecciones F C R Recomendaciones Fecha compromiso Responsable
gua
1
Referencias los diagramas y documentos empleados para el anlisis. F = categora de frecuencia, C = categora de consecuencia, R = categora de riesgo
2
Colocar iniciales de participantes de la reunin y en el cuerpo del informe indicar nombres completos.
E.4.7 Ejemplo de la aplicacin HazOp
Actualizar el estudio HazOp del rea de almacenamiento de propano del centro de procesamiento de gas
amargo, como parte de la actualizacin 2008 del Anlisis de Riesgos del centro de procesamiento de gas
amargo. EL objetivo de este estudio HazOp es analizar los riesgos a partir de las posibles desviaciones del
equipo e instalaciones que conforman el rea de almacenamiento de propano y emitir recomendaciones,
evaluar la tolerabilidad de los riesgos identificados y en su caso emitir recomendaciones tendientes a
mantener o reducir los riesgos dentro de valores tolerados.
Responsable tcnico por parte de la instalacin: Ing. A. Gallardo (AG)

Lder del estudio HazOp: Ing. R. C. Rodrguez (RCR)
Auxiliar del lder HazOp: Ing. R. R. Soto (RRS)
Personal de ingeniera del proceso: Ing. S. S. Valenzuela (SSV)
Personal de operacin del proceso: Ing. R. M. Campos G. (RMCG)
Personal de seguridad Industrial del proceso: Ing. R. V. Flores. (RVF)
Descripcin, diagramas del proceso y referencias
El rea de almacenamiento de propano cuenta con un tanque cilndrico de 12.8 m de largo y 2.7 metros de
dimetro, tiene una capacidad de 18 000 Gal (68137 L) de propano lquido y una presin de diseo de 17.6
kg/cm2 Descansa sobre dos soportes de concreto a 1.2 metros del piso.
Al nivel del piso hay dos pares de tuberas (L1, L2, L3 y L4) que salen del tanque. Un par de tuberas (L1 y
L2), paralelas a los extremos del tanque, conducen el propano de recarga desde el autotanque (una lnea
conduce vapor y la otra lquido). El punto de conexin para la carga est a 12 m del tanque.
El otro par de tuberas (L3 y L4) sale del tanque por uno de los costados, llega a los calentadores ubicados
a 11 m. La funcin de los calentadores de flama directa es llevar al propano a su fase gaseosa.
Ninguna de las lneas ubicadas a nivel del suelo, ni el tanque, tienen valla de proteccin o alguna otra
barrera destinada a protegerlas fsicamente debido a la circulacin de vehculos.
El primer componente de la lnea de lquido es una vlvula de sobreflujo de 3, soldada a la parte baja del
tanque. sta se encuentra conectada a una vlvula manual de corte a travs de un niple de 2. De la
vlvula de corte sale una tubera de 3/4 que una vez en el piso se extiende por 11 m hasta los
vaporizadores.
La lnea de vapor se conecta de la parte superior del tanque e inicia en una vlvula de sobreflujo de 2
soldada a un registro, al bajar al piso corre paralela a la lnea de lquido hasta los vaporizadores.
Las vlvulas de sobreflujo cierran en caso de que el flujo exceda un valor predeterminado, esta accin evita
que eventos como la ruptura en una lnea aguas abajo de la vlvula, libere sin control el material confinado.
El tanque cuenta con una vlvula de alivio por sobrepresiones que abre a 17.6 kg/cm2, mientras que la
presin normal en el tanque es de 9 kg/cm2, tambin cuenta con un manmetro.
El propano se emplea como suministro para el procesamiento de gas amargo. Este proceso se encuentra
en un sitio en donde la temperatura ambiente puede ser de -10C.
Diagrama simplificado
Vlvula de alivio
de 3
Vlvulas Vlvulas
de de sobreflujo
sobreflujo de 2
de 3
Lnea de Vlvulas de
propano corte
Lnea de
propano lquido
de 3/4
A Vaporiz
proceso ador a
fuego Lneas de
directo carga de
Referencias
Manual del sistema de almacenamiento de propano, M-PR-001, rev. 2.

Diagrama de proceso del sistema de propano PP-160-2 rev. 3.
Lista de nodos
1. Lnea de carga de propano lquido (flujo, presin)

2. Tanque de almacenamiento (presin)
3. Lnea de descarga de propano lquido (flujo, presin)
Formatos HazOp
Ver secciones ms adelante.
Recomendaciones.
1. Elaborar procedimiento de carga que indique que el personal que recibe la carga verifique el
funcionamiento de los sistemas de control de presin de carga del autotanque.
2. Verificar peridicamente la funcionalidad del indicador de presin del tanque.
3. Verificar de acuerdo a la normatividad la funcionalidad de la vlvula de alivio.
4. Elaborar un estudio para determinar si la capacidad de alivio del tanque es adecuada.
5. Analizar la conveniencia de reducir el punto de ajuste de apertura de la vlvula de alivio, ya que sta
se encuentra justo en el valor de diseo del tanque (17.6 kg/cm2).
6. Analizar la conveniencia de controlar el acceso al rea del tanque y sus accesorios.
7. Asegurar proteger las lneas se salida de gas (enterrarlas o usar barreras que eviten dao externo).
8. Cambiar las vlvulas de sobreflujo ya que estas son de 3 y la lnea es de , lo que evita que stas
cumplan con su funcin.
Nombre del estudio: HazOP del rea de almacenamiento de propano del centro de procesamiento de gas amargo. Rev. 0
Seccin o nodo: 2. Tanque de almacenamiento de propano Fecha de reunin: 15/Oct/2008
Propsito de acuerdo al diseo: Almacenar 18000 galones de gas propano licuado a 13 kg/cm2 para su consumo Referencias: PP-160-2 R3
en calentadores del proceso.
Equipo multidisciplinario2: RCR, RRS, RVF, RMCG, SSV Hoja: 6 de 18
El presente anlisis HazOp forma parte de la actualizacin 2008 del Anlisis de Riesgos del centro de procesamiento de gas amargo.
Palabra
No. Variable Desviacin Causas Consecuencias Protecciones F C R Recomendaciones
gua
1 Presin Alta Alta presin Sobrepresin Rotura catastrfica Los autotanques que 2 4 Ama- 1. Elaborar procedimiento de carga
en el llenado del recipiente que realizan la descarga de rillo 8 que indique que el personal que recibe
del tanque. puede ocasionar la propano cuentan con la carga verifique el funcionamiento de
fuga de gas, indicadores de presin los sistemas de control de presin de
provocando un de llenado y el sistema carga del autotanque.
incendio y explosin de carga evita la sobre- 2. Verificar la funcionalidad del
si se alcanza una presurizacin. indicador de presin del tanque cada
fuente de ignicin. semana.
Esto puede causar El tanque cuenta con
3. Verificar la funcionalidad y
dos fatalidades y indicador de presin y
calibracin de la vlvula de alivio cada
daos a la una vlvula de alivio
ao.
instalacin. cuyo punto de ajuste es
17.6 kg/cm2. 4. Elaborar un estudio para determinar
si la capacidad de alivio del tanque es
adecuada.
2 Presin Alta Alta presin Incendio en la Rotura catastrfica Cada dos aos se 2 4 Ama- 3. Verificar la funcionalidad y
parte inferior del recipiente que realiza una verificacin rillo 8 calibracin de la vlvula de alivio cada
del tanque. puede provocar la del estado de la ao.
fuga de gas integridad del tanque. 4. Elaborar un estudio para determinar
provocando un si la capacidad de alivio del tanque es
incendio y El tanque cuenta con adecuada.
explosin. Esto una vlvula de alivio
5. Hacer un anlisis de ingeniera para
puede causar dos cuyo punto de ajuste es
determinar un nuevo valor para el
fatalidades y daos 17.6 kg/cm2.
punto de ajuste de apertura de la
a la instalacin.
vlvula de alivio, ya que esta se
encuentra justo en el valor de diseo
del tanque (17.6 kg/cm2).
Nombre del estudio: HazOP del rea de almacenamiento de propano del centro de procesamiento de gas amargo. Rev. 0
Seccin o nodo: 3. lneas de salida Fecha de reunin: 15/Oct/2008
Propsito de acuerdo al diseo: Transportar gas propano para su consumo en calentadores del proceso. Referencias: PP-160-2 R3
Equipo multidisciplinario2: RCR, RRS, RVF, RMCG, SSV Hoja: 6 de 18
El presente anlisis HazOp forma parte de la actualizacin 2008 del Anlisis de Riesgos del centro de procesamiento de gas amargo.
3 Flujo Alto Alto flujo Lnea de Fuga de gas e incendio La conexin al tanque de 3 6 Rojo 7. Proteger las lneas se salida
salida rota. en la parte baja del la lnea cuenta con vlvula de gas (enterrarlas o usar
tanque que puede limitadora de flujo (3). barreras fsicas que eviten dao
provocar la falla por impacto externo).
catastrfica del El tanque cuenta con una 8. Cambiar las vlvulas de
recipiente. Esto puede vlvula de alivio cuyo sobreflujo ya que estas son de
causar dos fatalidades punto de ajuste es 17.6 3 y la lnea es de , lo que
y daos a la instalacin. kg/cm2. evita que estas cumplan con su
funcin.
4. Elaborar un estudio para
determinar si la capacidad de
alivio del tanque es adecuada.
4 Flujo No No flujo Vlvula de No arranque o paro del Dentro de la secuencia de 1 3 Verde 6. Establecer controles para el
corte cerrada. proceso productivo cuyo arranque del proceso, se acceso al rea del tanque.
costo es de 50,000 USD considera la verificacin
por hora. de apertura de la vlvula
de corte.
Nota: Considerar en ste ejemplo HAZOP del rea de almacenamiento de propano del centro de
procesamiento de gas amargo, la inclusin de las columnas correspondientes a Fecha compromiso
de cumplimiento de la(s) recomendacin(es) surgidas del HAZOP y, del Responsable de llevarla(s)
a cabo.
ANEXO
F Matrices de Riesgo
F.1 Propsito
Establecer las Matrices de Riesgo que deben utilizarse en Petrleos Mexicanos y Organismos Subsidiarios,
para su aplicacin en los Anlisis de Riesgos de Proceso.
F.2 Referencias
[1] NORMA Oficial Mexicana NOM-028-STPS-2004, Organizacin del trabajo-Seguridad en los

procesos de sustancias qumicas, Gua C (No Normativa), Administracin de Riesgos, 14 enero
2005.
[2] PEMEX-PEP, Lineamiento para la determinacin del nivel de riesgo tolerable en las instalaciones de
proceso de la Regin Marina Noreste clave 250-22100-SI-212-0001, versin primera, enero 2003.
[3] PEMEX-Refinacin, PREF, Gua para realizar Anlisis de Riesgos a instalaciones industriales, DG-
SASIPA-SI-02741, enero 2005.
[4] LINEAMIENTOS que debern observar Petrleos Mexicanos y sus Organismos Subsidiarios en
relacin con la implementacin de sus sistemas de seguridad industrial. SENER, Diario Oficial, 20 de
Enero 2011.
F.3 Introduccin
En diferentes tipos de industrias, incluida la petrolera, se realizan anlisis de riesgos de proceso por medio
de herramientas que permiten realizar una estimacin del riesgo. El riesgo tiene dos componentes: la
frecuencia de ocurrencia de un evento indeseado y la magnitud de las consecuencias de ese evento.
Debido a lo anterior, existen procesos en los que se identifican una gran cantidad de riesgos, como riesgo
de daos al personal, a la poblacin, al medio ambiente o al negocio, a los bienes de terceros o a los
bienes de la nacin.
Contar con una metodologa para valorar los niveles de riesgo es importante cuando el conjunto de riesgos
identificados es amplio y los recursos para su control o reduccin son limitados. El valorar los niveles de
riesgo y asignar prioridades a la atencin de las recomendaciones, permite un manejo adecuado de los
recursos.
F.4 Principio ALARP
Las siglas ALARP significan: Tan Bajo Como Sea Razonablemente Prctico, del Ingls As Low As
Reasonably Practicable.
El concepto ALARP fue desarrollado en el Reino Unido. La legislacin de ese pas estableci el trmino
ALARP por medio del Health and Safety at Work etc. Act 1974, el cual requiere que se mantengan las
instalaciones y sus sistemas seguros y sin riesgo a la salud hasta donde fuera razonablemente prctico.
Esta ltima frase se interpreta como una obligacin de los propietarios de las instalaciones para reducir el
riesgo a un nivel tan bajo como sea razonablemente prctico.
Existen riesgos que son tolerables y otros riesgos no tolerables. El principio ALARP se encuentra
precisamente entre los riesgos que se toleran y los que no. Esta idea se explica con un diagrama que
ilustra el principio, ver Figura F 4.1. En la mencionada Figura se explica que para que un riesgo se
considere dentro de la regin ALARP, debe demostrarse que el costo relacionado con la reduccin del
riesgo (su frecuencia y/o consecuencias) es desproporcionado con respecto al beneficio que se obtiene.
El principio ALARP surge del hecho de que sera posible emplear una gran cantidad de tiempo, dinero y
esfuerzo al tratar de reducir los niveles de riesgo a un valor de cero, lo cual en la prctica no es costeable ni
posible. Adicionalmente, este principio, no debe entenderse como simplemente una medida cuantitativa de
los beneficios contra los daos. Se debe entender como una buena prctica de juicio del balance entre
riesgo y el beneficio a la sociedad y al negocio.
Nivel de riesgo
no tolerable
Regin ALARP
(Se tolera el
riesgo, slo si el
anlisis costo -
beneficio lo
justifica)
Riesgo tolerable
Figura F.4-1 Principio ALARP

F.5 Matrices de Riesgo
Una escala de valores de riesgo se disea para contar con una medida de comparacin entre diversos
riesgos. Aunque un sistema de este tipo puede ser relativamente simple, la escala debe representar valores
que tengan un significado para la organizacin y que puedan apoyar la toma de decisiones.
Esa escala debe de cumplir con las siguientes caractersticas:
Ser simple de entender y fcil de usar,

Incluir todo el espectro de frecuencia de ocurrencia de escenarios de riesgo potenciales ,
Describir detalladamente las consecuencias en cada categora (personal, poblacin, medio
ambiente, negocio, bienes de terceros y bienes de la nacin),
Definir claramente los niveles de riesgo tolerable, ALARP y no tolerable.
Las matrices de riesgos normalmente se emplean para calificar inicialmente el nivel de riesgo y podra ser
la primera etapa dentro de un anlisis cuantitativo de stos. Esa matriz aplica nica y exclusivamente para
la organizacin que la desarrolla.
Las matrices de riesgos son grficas en dos dimensiones en cuyos ejes se presenta la categora de
frecuencia de ocurrencia y la categora de severidad de las consecuencias sobre l personal, la poblacin,
el medio ambiente, el negocio, bienes de terceros y bienes de la nacin. Esas matrices estn divididas en
regiones que representan los riesgos tolerables, en regin ALARP y los no tolerables.
Por un lado, las ventajas en el uso de las matrices de riesgos son, entre otras, las siguientes:
Son simples de entender y fciles de aplicar

Bajo costo de aplicacin
Por otro lado, algunas de las desventajas que se tienen al utilizar las matrices de riesgo son las siguientes:
La evaluacin de la frecuencia de ocurrencia es subjetiva, de Muy Frecuente a Extremadamente

raro
Las categoras de frecuencias y de consecuencias son cualitativas y generan un alto grado de
incertidumbre
F.6 Matrices de Riesgo para aplicacin en PEMEX y Organismos Subsidiarios.
Con base en la informacin que se ha presentado en la seccin anterior, las categoras de frecuencia, las
categoras de consecuencias, as como sus correspondientes matrices de riesgo, que deben utilizarse para
realizar los Anlisis de Riesgos de Proceso en Petrleos Mexicanos y sus Organismos subsidiarios, se
presentan a continuacin:
Tabla F.6-1 Categoras de frecuencia para aplicacin en PEMEX
Descripcin de la frecuencia
Categora de frecuencia Tipo
de ocurrencia
6 Muy Frecuente Ocurre una o ms veces por ao
Ocurre una vez en un periodo

5 Frecuente
entre 1 y 3 aos

4 Poco frecuente
entre 3 y 5 aos

3 Raro
entre 5 y 10 aos
Ocurre solamente una vez en la

2 Muy raro
vida til de la planta.
Evento que es posible que
1 Extremadamente raro ocurra, pero que a la fecha no
existe ningn registro.
Tabla F.6-2 Categoras de consecuencias para aplicacin en PEMEX
Daos a
Prdida de Daos a la bienes de
Categora de Daos al Efecto en la Impacto produccin instalacin terceros o de
consecuencia personal poblacin ambiental [Millones de [Millones de la nacin
USD] USD] [Millones de
USD]
Heridas o
Fuga o derrame
Heridas o daos daos fsicos
externo que no
fsicos que pueden que pueden
6 se pueda Mayor de 50 Mayor de 50 Mayor de 50
resultar en ms de resultar en ms
controlar en una
15 fatalidades de 100
semana
fatalidades
Heridas o
Heridas o daos Fuga o derrame
daos fsicos
fsicos que pueden externo que se
5 que pueden De 15 a 50 De 15 a 50 De 15 a 50
resultar de 4 a 15 pueda controlar
resultar de 15 a
fatalidades en una semana
100 fatalidades
Heridas o
daos fsicos
fsicos que pueden externo que se
4 que pueden De 5 a 15 De 5 a 15 De 5 a 15
resultar en hasta 3 pueda controlar
resultar de 4 a
fatalidades en un da
15 fatalidades
Heridas o
daos fsicos
que pueden
resultar en
fsicos que externo que se
hasta 3
3 generan pueda controlar De 0.500 a 5 De 0.500 a 5 De 0.500 a 5
fatalidades.
incapacidad en algunas
Evento que
mdica horas
requiere de
hospitalizacin
a gran escala.
Heridas o
daos fsicos
reportables y/o
Fuga o derrame
que se atienden
externo que se
Heridas o daos con primeros
pueda controlar
fsicos reportables auxilios.
en menos de De 0.250 a De 0.250 a De 0.250 a
2 y/o que se Evento que
una hora 0.500 0.500 0.500
atienden con requiere de
(incluyendo el
primeros auxilios evacuacin.
tiempo para
Ruidos, olores e
detectar)
impacto visual
que se pueden
detectar
No se esperan
heridas o daos
No se esperan No hay fuga o
fsicos.
1 heridas o daos derrame Hasta 0.250 Hasta 0.250 Hasta 0.250
Ruidos, olores e
fsicos externo
impacto visual
imperceptibles
Tabla F.6-3 Matrices de Riesgo para aplicacin en PEMEX

Consecuencia Consecuencia
1 2 3 4 5 6 1 2 3 4 5 6
6 C B A A A A 6 C B A A A A
Frecuencia/ao
Frecuencia/ao
5 C B B A A A 5 C B A A A A
4 C C B A A A 4 C B A A A A
3 C C B A A A 3 C B A A A A
2 C C C B B A 2 C B A A A A
1 C C C C B B 1 C C B A A A
Daos al personal Daos a la poblacin
Consecuencia Consecuencia
1 2 3 4 5 6 1 2 3 4 5 6
6 C B A A A A 6 B B A A A A
Frecuencia/ao
Frecuencia/ao
5 C B B A A A 5 C B B A A A
4 C B B B A A 4 C C B B A A
3 C C C B A A 3 C C C B B A
2 C C C C B A 2 C C C C B A
1 C C C C C B 1 C C C C C B
Impacto Ambiental Daos a la instalacin/produccin/bienes

de terceros/bienes de la nacin
Regin de Riesgo No Tolerable A (regin roja): Los riesgos de este tipo deben provocar acciones
inmediatas para implantar las recomendaciones generadas en el anlisis de riesgos. El costo no debe
ser una limitacin y el hacer nada no es una opcin aceptable. Estos riesgos representan situaciones
de emergencia y deben establecerse Controles Temporales Inmediatos. Las acciones deben
reducirlos a una regin de Riesgo ALARP y en el mejor de los casos, hasta riesgo tolerable.
Regin de Riesgo ALARP B (As Low As Reasonably Practicable - Tan bajo como sea razonablemente
prctico), (regin amarilla): Los riesgos que se ubiquen en esta regin deben estudiarse a detalle
mediante anlisis de tipo costo-beneficio para que pueda tomarse una decisin en cuanto a que se tolere el
riesgo o se implanten recomendaciones que permitan reducirlos a la regin de riesgo tolerable.
Regin de Riesgo Tolerable C (regin verde): El riesgo es de bajo impacto y es tolerable, aunque
pudieran tomarse acciones para reducirlo. Se debe continuar con las medidas preventivas que permiten
mantener estos niveles de riesgo en valores tolerables.
Nota 1. La clasificacin del riesgo analizado, corresponder al que resulte de la evaluacin de su

frecuencia consecuencia, en cualquiera de las cuatro matrices, en primer lugar como Riesgo No
Tolerable A, en segundo lugar como Riesgo ALARP B y finalmente, en tercer lugar como Riesgo
Tolerable C.
ANEXO
G Anlisis de Arboles de Eventos (AAE)
G.1 Propsito
Proporcionar una gua a los analistas que requieran desarrollar un Anlisis de rboles de Eventos, para
homologar su aplicacin en las instalaciones de Petrleos Mexicanos.
G.2 Referencias
[1] NUREG CR/2300, Vol. 1. PRA Procedures Guide. A Guide to the Performance of Probabilistic
Assesments for Nuclear Power Plants, 1983
[2] Guidelines for Hazard Evaluation Procedures with worked examples, CCPS, AICHE, 1992
[3] SAIC, CAFTA for Windows - Fault Tree Analysis System - User Manual, Science Applications
G.3 Principios de la Metodologa
El Anlisis de rbol de Eventos es una herramienta analtica que ha sido frecuentemente usada para
caracterizar el potencial de un accidente [1].
Un rbol de Eventos grficamente muestra los posibles resultados de un accidente a partir de un evento
iniciador (la falla de un equipo especfico o error humano). Un Anlisis de rboles de Eventos (ETA, Event
Tree Analysis) considera las respuestas de los sistemas de seguridad y de los operadores hacia el evento
iniciador cuando se est determinando los resultados del accidente potencial. Los resultados del Anlisis de
rboles de Eventos son secuencias de accidentes; que son un conjunto de fallas o errores que llevan a un
accidente. Estos resultados describen los posibles resultados del accidente en trminos de la secuencia de
eventos (xitos o fallas de las funciones de seguridad) que sigue un evento iniciador. Un Anlisis de
rboles de Eventos es muy adecuado para analizar un proceso complejo que tiene varias capas de
seguridad o procedimientos de emergencia para responder a especficos eventos iniciadores.
Propsito
Los rboles de eventos su usan para identificar los diversos accidentes que pueden ocurrir en un proceso
complejo. Despus de que estas secuencias de accidentes individuales se identifican, las probabilidades de
ocurrencia de las combinaciones especficas de las fallas que pueden desencadenar los accidentes, se
pueden determinar usando el Anlisis de rboles de Fallas [2].
Tipos de resultados
Los resultados de un Anlisis de rboles de Eventos son las secuencias de eventos en las que se
consideran el xito o la falla de los sistemas de seguridad que llevan a un resultado definido. Las
secuencias de accidentes descritas en el rbol de eventos representan combinaciones lgicas AND de
eventos; por consiguiente, estas secuencias pueden ponerse en forma de un modelo de rboles de falla
para un anlisis ms cualitativo. El anlisis usa estos resultados para identificar debilidades de diseo y
de procedimiento, y normalmente da recomendaciones para reducir la probabilidad y/o las
consecuencias de los accidentes potenciales analizados [2].
G.4 Enfoque Tcnico
El Anlisis de rboles de Eventos evala el potencial de un accidente que es el resultado de un tipo

general de falla de equipo o un proceso alterado (conocido como un evento iniciador). A diferencia de
un Anlisis de rboles de Fallas (un proceso de razonamiento deductivo), el Anlisis de rboles de
Eventos es un proceso de razonamientos inductivo donde el analista comienza con un evento iniciador
y desarrolla las posibles secuencias de eventos que llevan a un accidente potencial explicando tanto los
xitos como las fallas de cualquiera de las funciones de seguridad asociadas cuando el accidente
progresa. Los rboles de Eventos dan una manera sistemtica de registrar las secuencias de los
accidentes y definen las relaciones entre los eventos iniciadores y los eventos subsecuentes que
resultan en accidentes.
Los rboles de Eventos son apropiados para analizar los eventos iniciadores que podran resultar en
una variedad de resultados. Un rbol de Eventos resalta la causa inicial de accidentes potenciales y los
mecanismos desde el evento iniciador hasta los efectos finales del evento. Cada rama del rbol de
eventos representa una secuencia separada del accidente que es un conjunto claramente definido de
las relaciones funcionales entre las funciones de seguridad de un evento iniciador.
G.5 Procedimiento para realizar un Anlisis de Arboles de Eventos
El Anlisis de rboles de Eventos es una metodologa inductiva que evala las consecuencias que
podran presentarse a partir de un evento determinado (evento iniciador). El anlisis parte del evento
iniciador y desarrolla las posibles secuencias de eventos que llevarn a consecuencias potenciales.
Esto permite analizar los escenarios posibles y establecer entre ellos una jerarqua en cuanto a su
gravedad y posibilidad de ocurrencia, seleccionar situaciones de emergencia para su evaluacin
cuantitativa y preparar respuestas a las mismas.
Los rboles de Eventos son diagramas que muestran el desarrollo de secuencias de accidentes que
comienzan con la ocurrencia del evento iniciador y progresan segn las respuestas de las acciones de
mitigacin, principalmente de los sistemas de seguridad. El desarrollo del rbol de Eventos muestra los
posibles resultados (estados finales) que pueden causar la ocurrencia del evento iniciador.
El procedimiento general para realizar el Anlisis de rboles de Eventos (AAE) se muestra en la Figura
G.5.1. A continuacin se describe el proceso que tiene como base el procedimiento propuesto en las
Guas del AICHE [2] y la experiencia que el Grupo de Anlisis de Riesgos (GAR) ha adquirido en la
realizacin de AAE, las etapas principales son:
1. Identificacin del (los) evento(s) iniciador(es) de inters.
2. Seleccin de un evento iniciador.
3. Recoleccin de informacin especfica.
4. Identificacin de las funciones de seguridad diseadas para mitigar el evento iniciador
y de los fenmenos que afectan la progresin fsica del evento.
5. Construccin/Modificacin del rbol de eventos.
6. Evaluacin cualitativa del rbol de eventos
7. Evaluacin cuantitativa del rbol de eventos.
8. Anlisis de Sensibilidad.
9. Documentacin.
G.5.1 Identificacin del (los) evento(s) iniciador(es) de inters.
El objetivo de esta etapa es identificar uno o varios eventos iniciadores que se utilizarn en la
construccin de los rboles de eventos. Los eventos iniciadores se pueden identificar mediante el uso
de metodologas como el HAZOP, FMEA, Qu pasa si? (What if?), entre otras, o bien a partir de
necesidades especficas del estudio.
La identificacin de los eventos iniciadores es una parte importante del AAE. El evento iniciador es
considerado como la base del rbol de eventos y puede tener consecuencias muy diferentes
dependiendo de las medidas de seguridad del sistema, de las acciones de los operadores del mismo y
de las condiciones del medio.
Para que la aplicacin del anlisis del rbol de eventos tenga sentido, el evento iniciador no debe estar
demasiado cerca de los escenarios finales del rbol. Las diferentes progresiones que vayan resultando
de desarrollar el rbol son consideradas como las ramas del rbol que conducen a diferentes estados
finales (consecuencias).
INICIO
Se requiere AAE
Eventos definidos con el

Identificacin de eventos iniciadores cliente u otras tcnicas
Seleccin del evento iniciador
Recoleccin de informacin especfica
Identificacin de las funciones de seguridad y a la fenomenologa que

afecta progresin fsica del evento
Construccin/ Modificacin del rbol de eventos
Existe
algn cambio propuesto SI
durante la construccin del AE?
NO
Evaluacin cualitativa del rbol de eventos
Asignacin de probabilidades de xito/falla de Anlisis de

encabezados correspondientes a funciones de seguridad Sensibilidad
o fenmenos fsicos
SI
Evaluacin cuantitativa del rbol de eventos Se requiere

hacer Anlisis de NO
Sensibilidad?
NO
Las
funciones de seguridad
son suficientes para mitigar las Emisin de
consecuencias del evento
recomendaciones
iniciador ?
SI
Aceptacin del sistema
SI Otro evento NO
FIN
iniciador?
Figura G.5.1 Procedimiento para realizar AAE

El evento iniciador puede ser una falla de algn equipo del sistema, un error humano o un evento
externo. Ejemplos de eventos iniciadores pueden ser:
Ruptura de un cabezal de descarga de gas de turbocompresoras.

Fuga de gas por vlvula de carga a un reactor.
Prdida del sistema de remocin de calor de un reactor.
Dosificacin incorrecta de la alimentacin a un reactor.
G.5.2 Seleccin de un evento iniciador.
Se selecciona un evento iniciador, de los identificados en la actividad anterior, y se realizan las

actividades descritas de los incisos 3 al 9 de acuerdo con los alcances del proyecto.
G.5.3 Recoleccin de informacin especfica.
Es importante que la informacin especfica referente al proceso sea lo ms actualizada posible. La

informacin se puede obtener de visitas e inspecciones a las instalaciones sujetas al anlisis, as como
de entrevistas con el personal del grupo multidisciplinario (rea elctrica, mantenimiento, ingeniera de
procesos, operacin, mecnica, diseo, seguridad, etc.) para conocer la respuesta del mismo ante
situaciones de emergencia. Se debe contar con la siguiente documentacin: Diagramas de operacin
(Diagramas de Tubera e Instrumentacin, Diagramas de Flujo de Proceso, Diagramas Unifilares, etc.),
manuales de operacin, etc.
G.5.4 Identificacin de las funciones de seguridad diseadas para mitigar el evento iniciador y de
los fenmenos que afectan la progresin fsica del evento.
El xito o falla de las funciones de seguridad as como los fenmenos que afectan la progresin fsica
del evento, determinan los posibles estados finales del rbol de eventos.
Las funciones de seguridad y los fenmenos fsicos deben ordenarse en la forma cronolgica en la que
se espera acten o se presenten.
Los fenmenos fsicos son los sucesos que podran modificar la progresin del evento iniciador y que
puede conducir a estados finales distintos.
Las funciones de seguridad (sistemas de seguridad, acciones de operadores, etc.) que responden al
evento iniciador son las defensas o las protecciones de las plantas contra las consecuencias del evento
iniciador. Estas funciones de seguridad generalmente incluyen:
Sistemas activos de respuesta automtica, sistemas de cierre automtico, sistemas

contraincendio, sistemas de alivio de presin, etc.
Alarmas que alertan al operador cuando el evento iniciador ocurre
Acciones del operador diseadas a realizarse en respuesta a alarmas o a lo requerido en los
procedimientos
Sistemas pasivos, barreras o mtodos de contencin que tienen la intencin de limitar los
efectos de los eventos iniciadores
G.5.5 Construccin/Modificacin del rbol de eventos.
El objetivo de esta etapa es desarrollar el rbol de eventos que representa la progresin del evento
iniciador evaluando las funciones de seguridad y obteniendo los estados finales.
La construccin de un rbol de eventos se realiza de la siguiente manera:
Se elabora un formato como el que se muestra en la Figura 5.5-1, Se escribe en la parte superior
izquierda el evento iniciador, seguido de acuerdo al orden cronolgico, las funciones de seguridad o
fenmenos fsicos, llamados encabezados. La lnea (rama) sobre el texto del evento iniciador
representa la ocurrencia de ste hasta la actuacin u ocurrencia del segundo encabezado.
Para la construccin del AE en cada encabezado se evala la falla (no ocurrencia, falso o negacin) y
el xito (ocurrencia, verdadero o afirmacin) de los encabezados con respecto a la progresin del
evento iniciador. Cada una de las evaluaciones da como resultado una rama del rbol. Normalmente la
falla es desarrollada en la parte inferior y el xito constituye la rama superior.
Si el encabezado no afecta la progresin del evento iniciador, la lnea se contina hasta el punto donde se
encuentre la actuacin del siguiente encabezado. Para el caso del ejemplo genrico utilizado en este
documento, las letras A, B, C y D son usadas para indicar la ocurrencia del encabezado y las letras
testadas ( A , B , C y D ) indican la no ocurrencia del encabezado. Todas las ramas del AE deben
evaluarse hasta un estado final. En las Figura G.5.6-1, G.5.7-1 y G.5.7-2 se representan las evaluaciones
de las funciones de seguridad 1, 2, y 3 respectivamente del ejemplo genrico del rbol de eventos.
La construccin del modelo del rbol de eventos se puede hacer mediante el uso de alguna herramienta
computacional, tal como el cdigo ETA for Windows [3], entre otros.
EVENTO FUNCIN DE FUNCIN DE FUNCIN DE DESCRIPCIONES DE LA

INICIADOR SEGURIDAD SEGURIDAD SEGURIDAD SECUENCIA DEL ACCIDENTE
(A) 1 2 3 (ESTADO FINAL)
(B) (C) (D)
XITO
EVENTO INICIADOR A
FALLA
Figura G.5.5-1 Primera etapa de la construccin del rbol de eventos
G.5.6 Evaluacin cualitativa del rbol de eventos.
La siguiente etapa del procedimiento del Anlisis de rboles de Eventos es describir los estados
finales. Los estados finales representan la variedad de resultados que puede seguir el evento iniciador.
La importancia del anlisis cualitativo radica en que:
En esta etapa se analizan los estados finales para conocer sus consecuencias y valorar su
importancia cualitativa.
Algunas secuencias llevan a estados similares y estas pueden agruparse, en la Figura

G.5.8-1 se presenta un ejemplo genrico de la agrupacin de estados similares.

(B) (C) (D)
XITO
EVENTO INICIADOR A
FALLA
Figura G.5.6-1 Desarrollo de la primera funcin de seguridad en el ejemplo genrico del rbol de eventos.
G.5.7 Evaluacin cuantitativa del rbol de eventos.
El objetivo de esta etapa es determinar la probabilidad o frecuencia de ocurrencia de cada uno de los
estados finales.
En esta etapa del proceso es necesario obtener las probabilidades de xito y falla de los encabezados
correspondientes a las funciones de seguridad o fenmenos fsicos. Es importante mencionar que las
probabilidades son complementarias entre s, lo que significa que si se asigna la probabilidad de xito
de una rama, la probabilidad de falla ser el complemento de la unidad para ese encabezado.
Estas probabilidades pueden ser calculadas a partir de:
Bases de datos especficas para los componentes del sistema de seguridad.

rboles de fallas
Registros de mantenimiento.
Registro de operacin del sistema.
Datos proporcionados por el fabricante.
Anlisis de Consecuencias
Anlisis de confiabilidad humana.

(B) (C) (D)
XITO
EVENTO INICIADOR A
FALLA
Figura G.5.7-1 Desarrollo de la segunda funcin de seguridad en el ejemplo genrico del rbol de eventos
En la Tabla G.5.7-1 se presentan los modelos empleados para el clculo de probabilidad de falla de un
componente.
Tabla G.5.7-1. Modelos empleados para el clculo de probabilidad de falla de un

componente.
Tipo de componente
Datos Frmula
- Operacin continua (Modelo )
* No reparable Q = 1 e -t t, t < 0.1
* Reparable con vigilancia , TD Q= TD, TD< 0.1

(monitoreo) TD
1+
* Reparable con pruebas ,T, Q= + TR , TR< 0.1T
peridicas TR T T
- Operacin por demanda (Modelo , n(t) Q = 1- (1 - ) n(t) n(t) , n(t)<0.1

)
Donde :
Q = Indisponibilidad.
= Tasa de falla del componente por hora (aplicable en operacin o

en espera)
t = Tiempo misin
TD = Tiempo promedio de reparacin por falla.
T = Tiempo entre pruebas.
TR = Tiempo de reparacin de la falla.
= Tasa de falla del componente a la demanda.
n(t) = Nmero de demandas esperadas del componente en el tiempo t
Con las probabilidades asignadas a cada una de las ramas (xito y falla), se calcula la probabilidad o
frecuencia para cada estado final. Este valor es el producto de las probabilidades de las ramas que
aparecen en la trayectoria de cada una de las secuencias por la probabilidad o frecuencia del evento
iniciador.
La probabilidad condicional de los estados finales se obtiene cuando se asigna un valor de probabilidad
igual a la unidad al evento iniciador. La frecuencia de los estados finales se obtiene cuando se asigna la
frecuencia de ocurrencia del evento iniciador.
El analista debe definir de manera precisa lo que implica cada uno de los estados finales, para con
base en ello poder realizar las recomendaciones adecuadas para el sistema.

(B) (C) (D)
ABCD DESCRIPCIN DE LA SECUENCIA

DE ACCIDENTE PARA
ABCD

DE ACCIDENTE PARA
XITO ABCD
EVENTO INICIADOR A
DE ACCIDENTE PARA
ABCD
FALLA
ABD DESCRIPCIN DE LA SECUENCIA
DE ACCIDENTE PARA
ABD

DE ACCIDENTE PARA
ABD
Figura G.5.7-2. Descripcin de la tercera funcin de seguridad en el ejemplo genrico del rbol de eventos
G.5.8 Anlisis de Sensibilidad.
El objetivo del Anlisis de Sensibilidad es cuantificar la reduccin de la probabilidad o frecuencia de

ocurrencia de los estados finales con consecuencias ms relevantes al aplicar una o varias
recomendaciones.
Cuando el alcance del proyecto as lo contemple, esta actividad se desarrolla de la siguiente forma:
A juicio del analista se selecciona una o ms de las recomendaciones. La aplicacin de las

recomendaciones en el sistema puede ser evaluada realizando un nuevo rbol de eventos, o bien,
modificando las probabilidades del xito o falla de los encabezados correspondientes. De esta forma se
determina la reduccin en la frecuencia o probabilidad de los estados finales del AE.

(B) (C) (D)
ABCD DESCRIPCIN DE LA SECUENCIA xito

DE ACCIDENTE PARA
ABCD

DE ACCIDENTE PARA
XITO ABCD
EVENTO INICIADOR A
DE ACCIDENTE PARA
ABCD
FALLA Fracaso
DE ACCIDENTE PARA
ABD

DE ACCIDENTE PARA
ABD
Figura G.5.8-1. Ejemplo genrico de la agrupacin de estados similares en un rbol de eventos
G.5.9 Documentacin.
La documentacin (ver seccin 8.4) de los resultados obtenidos en este anlisis debe incluir la versin
final de:
Descripcin del sistema analizado.

Una discusin de la definicin del sistema.
Identificacin y seleccin de eventos iniciadores.
Para cada rbol de Eventos, el diagrama desarrollado.
Para cada rbol de Eventos, la descripcin del evento iniciador y los encabezados. Esta
descripcin debe incluir las bases de asignacin de la probabilidad de xito o falla de los
encabezados (frecuencia del evento iniciador si fuera el caso).
Los resultados obtenidos del anlisis cuantitativo (descripcin de los estados finales).
Los resultados obtenidos del anlisis cuantitativo (frecuencia o probabilidad de ocurrencia de los
estados finales).
Un listado de las recomendaciones generadas de este anlisis y el resultado del anlisis de
sensibilidad.
En la seccin G.6 se presentan algunos ejemplos de la aplicacin de los Anlisis de rboles de

Eventos.
G.6 Ejemplos
G.6.1 Ejemplo 1
Identificacin del evento iniciador de inters.
El Ing. R. C. Rodrguez tiene el inters de calcular la probabilidad de xito que implica el cambiar la
llanta de su auto dado que ha sufrido una ponchadura de llanta.
Seleccin de un evento iniciador.
El evento iniciador es la ponchadura de llanta.
Recoleccin de la informacin especfica
Lo que se necesita para cambiar con xito una llanta es: una llave, un gato hidrulico, y la llanta de
refaccin.
Identificacin de las funciones de seguridad
Al momento de presentarse la ponchadura de la llanta, lo primero que hace el Ing. R. C. Rodriguez es

revisar si cuenta con una llave, en seguida si cuenta con el gato hidrulico y finalmente si cuenta con la
refaccin.
Construccin del rbol de Eventos
En la Figura G.6.1-1 se presenta el rbol de Eventos correspondiente a la ponchadura de la llanta.
El estado final que corresponde a la secuencia ABC, significa que al presentarse el evento iniciador y al
contar con la llave disponible (A), el gato hidrulico disponible (B) y la refaccin disponible (C), el
estado final es el cambio exitoso de la llanta.
La secuencia AB C , significa que no es posible el cambio de la llanta porque aunque se tenga la llave
disponible y el gato hidrulico disponible, no se cuenta con la refaccin disponible ( C ).
La secuencia A B , significa que no es posible el cambio de llanta porque aunque se cuente con la llave
disponible, no se cuenta con el gato hidrulico disponible.
La secuencia A , significa que no es posible el cambio de llanta porque no se cuenta con la llave
disponible.
Ponchadura de Llave Gato disponible Refaccin Estados

llanta disponible (A) (B) disponible (C) finales
ABC
ABC
Evento AB
iniciador
Figura G.6.1-1 rbol de Eventos de la ponchadura de llanta
Evaluacin cuantitativa del rbol de eventos.
Se puede emplear una frecuencia de ocurrencia del evento iniciador y se calcula la frecuencia
de ocurrencia de los estados finales.
Se puede emplear la probabilidad de ocurrencia del evento iniciador y se calcula la probabilidad
de ocurrencia de los estados finales.
Tambin se puede suponer que el evento iniciador ya ha ocurrido (P = 1) y se calcula la
probabilidad condicional de ocurrencia de los estados finales.
Se necesitan datos para estimar la probabilidad de ocurrencia de los encabezados.
En el caso de la llanta, y con base en la prctica a lo largo de varios aos, en el auto no se

dispone de llave en promedio 15 das por ao. Los mismos en los que no se dispone del gato.
Con base en estos datos la probabilidad de no disponer de la llave y del gato en un momento
determinado a lo largo del ao son:
PFA = PFB = (15 das/365 das) = 0.041

Y la probabilidad de disponer de la llave y del gato es el complemento de la probabilidad de

falla:
PA = (1- PFA ) = 0.959
PB = (1- PFB ) = 0.959
Debido a diversos factores propios del entorno, no se dispone de llanta de refaccin en

promedio 60 das al ao. As, la probabilidad de no disponer de la refaccin en un momento
determinado a lo largo del ao es:
PFC = (60 das/365 das) = 0.164
Y la probabilidad de disponer de la refaccin es:
PC = (1- PFC ) = 0.836
En la Figura G.6.1-2 se muestra el rbol de eventos cuantificado
Ponchadura Llave Gato Refaccin Estados Frecuencia Probabilidad

disponible disponible (B) disponible (C)
de llanta (A) finales (ev/ao) condicional
0.836
ABC 0.384 0.768
0.959
0.164
ABC 0.075 0.152
0.959
0.041
0.5 ev/ao AB 0.019 0.039
0.041
A 0.020 0.041
Figura G.6.1-2 rbol de Eventos de la ponchadura de llanta cuantificado
La probabilidad del estado final deseado es 77%, mientras que los no deseados es del 23%,
aproximadamente.
Anlisis de sensibilidad
Con base en los resultados cuantitativos se recomienda que cada vez que se cargue gasolina al auto,
se verifique la disponibilidad de la llanta de refaccin. En promedio se recarga gasolina cada 7 das, por
lo tanto:
PFC = (7 das/365 das) = 0.019
PC = (1- PFC ) = 0.981
En la Figura G.6.1-3 se muestra el rbol de eventos cuantificado que se obtuvo en el anlisis de

sensibilidad.
Ponchadura Llave Gato Refaccin Estados Frecuencia Probabilidad

disponible disponible disponible
de llanta (A) (B) (C) finales (ev/ao) condicional
0.981
ABC 0.451 0.902
0.959
0.019
ABC 0.009 0.018
0.959
0.041
0.5 ev/ao AB 0.019 0.039
0.041
A 0.021 0.041
Figura G.6.1-3 Anlisis de sensibilidad del rbol de Eventos de la ponchadura de llanta
La probabilidad del estados final deseado es 90%, mientras que los no deseados es del 10%,
aproximadamente. Si an la probabilidad del estado final deseado es baja, es necesario identificar otras
acciones para su reduccin.
G.7 Ejemplo 2
Identificacin del evento iniciador de inters.
Fuga grande en cabezal de descarga de gas de proceso (16 ), de una estacin de compresin de gas
dulce.
Comprime 55 MMPCD de 4 kg/cm2 a 24 kg/cm2
En la Figura G.7-1 se presenta el diagrama simplificado de la estacin de compresin de gas dulce.
DESCARGA
GENERAL
COMPRESORA 1
SEPARADOR 1
LLEGADA 1
COMPRESORA 2
SEPARADOR 2
LLEGADA 2
COMPRESORA 3
LLEGADA 3
QUEMADOR
CABEZAL DE CABEZAL DE
DESCARGA RECEPCI
RECEPCIN
Figura G.7-1 Diagrama simplificado de la estacin de compresin de gas dulce
Seleccin de un evento iniciador.
El evento iniciador es la Fuga grande en cabezal de descarga de gas de proceso (16 )
Recoleccin de la informacin especfica
Cuenta con procedimiento de paro de emergencia pero no cuenta con dispositivos automticos
de aislamiento
No cuenta con detectores de mezcla explosiva
Cuenta con equipo de comunicacin a central contraincendio
Puede contar con auxilio calificado, externo a la instalacin, hasta aproximadamente una hora
despus de reportar un evento
Identificacin de las funciones de seguridad
Los fenmenos que afectan a la progresin fsica del evento son:
a) Progresin fsica
Ignicin inmediata
- Dardo de fuego (jet fire)
Formacin de nube
- Nube inflamable
+ Incendio de nube
+ Explosin de nube no confinada
Y los sistemas de seguridad son:
Aislamiento manual de la fuga por el operador

Notificacin a la central contraincendio por operador
Aislamiento de la fuga en localidades externas a la instalacin
Construccin del rbol de Eventos
El rbol de eventos se construy empleando el software ETA, ver Figura G.7-1.
Algunos de los estados finales que se obtienen son:
Operador Afectado por ignicin, imposibilitado para tomar acciones, fuga no controlada
(IGN_OP_AFEC)
El operador no logra el aislamiento manual en el largo plazo (Nube_LP, IGN_LP, IGN_MLP)
Fenmenos fsicos (Dardo de fuego, Nube)
Evaluacin cuantitativa del rbol de eventos.

En la Figura G.7-2 se presenta rbol de eventos ya cuantificado. A continuacin se presentan algunos
resultados:
(IGN_OP_AFEC), 89.70%
El operador no logra el aislamiento manual en el largo plazo: Nube_LP, 4.97%; IGN_LP, 4.67%;
IGN_MLP, 0.05%
Fenmenos fsicos, Dardo de fuego 0.59%; Nube 1x10-6 %
Algunas inferencias a partir de los resultados:

La secuencia con mayor probabilidad condicional es aquella en la que el operador se afecta y

est imposibilitado a tomar acciones correctivas.
El control del incidente radica en gran medida en acciones del operador.
Las secuencias en las que el operador asla la fuga con xito son poco probables. Lo anterior
debido a que la accin de aislamiento tiene que ser manual, lo que toma mucho tiempo,
demanda un esfuerzo fsico considerable bajo condiciones muy adversas.
Algunas recomendaciones
Instalar dispositivo automtico de aislamiento rpido en la descarga

Instalar alarma por demanda de aislamiento e indicador de actuacin de aislamiento
Instalar interruptor de aislamiento remoto en cuarto de control
Instalar vlvula anti-retorno en la descarga
Desarrollar programa de mantenimiento y pruebas a dispositivo de aislamiento en la descarga,
as como a vlvula anti-retorno
Desarrollar procedimiento de aislamiento de emergencia
Figura G.7-2 rbol de eventos cuantificado para la fuga en el cabezal de descarga de proceso (16 ) de
una estacin de compresin de gas dulce.
Anlisis de sensibilidad
En el anlisis de sensibilidad se implement en el modelo del rbol de eventos, que el sistema cuente
con un dispositivo automtico de aislamiento en la descarga. En la Figura G.7-3 se presenta el anlisis
de sensibilidad.
Figura G.7-3 Anlisis de sensibilidad para la fuga en el cabezal de descarga de proceso (16 ) de una
estacin de compresin de gas dulce.
Algunos resultados que se obtuvieron al aplicar el anlisis de sensibilidad son:
Aislamiento exitoso de la fuga por ESD, 99%.

(IGN_OP_AFEC), 0.90 %
El operador no logra el aislamiento manual en el largo plazo: Nube_LP, 0.05%; IGN_LP, 0.05%;
IGN_MLP, 5 x 10 -4 %
Fenmenos fsicos, Dardo de fuego 0.01%; Nube 1x10-8 %
ANEXO
H Anlisis de Arboles de Fallas
(AAF)
H.1 Propsito
Proporcionar una gua a los analistas que requieran desarrollar un Anlisis de rboles de Fallas (AAF), para
homologar la aplicacin de la metodologa en las instalaciones de Petrleos Mexicanos.
H.2 Referencias
[1] USNRC: NUREG 0492, Fault Tree Handbook, January, 1981.

[2] IEC 61025: International Standard, Fault Tree Analysis, 2006
[3] NASA Office of Safety and Mission Assurance: Fault Tree Handbook for Aerospace Applications,
Version 1.1, 2002
[4] SAIC, CAFTA for Windows - Fault Tree Analysis System - User Manual, Science Applications
[5] Santamara J. M. Anlisis y reduccin de riesgos en la industria qumica, Editorial Mafre, Madrid,
1994.
[6] Swain A. D., Accident Sequence Evaluation Program Human Reliability Analysis Procedure,
NUREG/CR-4772, 1987.
H.3 Principios de la Metodologa
El Anlisis de rboles de Fallas (AAF) es una metodologa deductiva y sistemtica para analizar la
seguridad de sistemas complejos durante sus etapas de diseo, construccin y operacin. El fundamento
del AAF es representar fallas en sistemas mediante diagramas lgicos o rboles de Fallas.
Algunas aplicaciones del AAF son las siguientes:

Cuantificar la seguridad y confiabilidad de sistemas.
Localizar los puntos dbiles de sistemas.
Determinar la mejor ubicacin de sensores de diagnstico.
Establecer polticas de inspeccin y mantenimiento.
Generar estrategias de localizacin de fallas.
Analizar accidentes.
Un rbol de fallas es un diagrama lgico-grfico en el cual se describen todas las combinaciones crebles
de fallas o eventos normales que causan un evento indeseado (denominado evento tope). Algunos
ejemplos de eventos tope son los siguientes:
Incendio de un transformador.
Incendio de un tanque de almacenamiento.
Explosin de un generador de vapor.

Paro del turbogenerador.
Las fallas que se incluyen en un rbol de fallas pueden ser originadas por:
Errores humanos.
Fallas en el equipo.
Eventos de otra ndole (ejemplos: condiciones climatolgicas, acciones de sabotaje, etc.).
Las fallas de equipo se clasifican, a su vez, en tres categoras:
Falla primaria: involucra la falla de un componente operando bajo las condiciones normales de
diseo u operacin.
Falla secundaria: involucra la falla de un componente operando fuera de las condiciones
normales de diseo u operacin.
Falla de comando: involucra la operacin inadecuada del componente, esto es, fuera de lugar o
del tiempo de operacin normal. Se debe interpretar como la falla del comando que controla la
operacin del componente.
Al construir un rbol de fallas es importante hacer una clara determinacin de las interrelaciones entre
eventos. Para este fin, es de particular utilidad tener presentes los siguientes conceptos:
Efectos de falla: son las consecuencias que originan la falla de un componente.

Modos de falla: son los que especifican el cmo un equipo deja de cumplir su funcin.
Mecanismos de falla: consideran la forma en que un modo de falla puede ocurrir, es decir
especifica el por qu de la falla.
El procedimiento para realizar un AAF se ilustra en la Figura H.3-1

INICIO
Se requiere AAF
Identificacin de eventos tope Eventos definidos

con el cliente u
otras tcnicas
Seleccin del evento tope
Recoleccin de datos sobre

equipo y componentes del sistema
Construccin / Modificacin del rbol de

fallas basada en la configuracin del sistema
Existe
algn cambio propuesto durante SI
la construccin del rbol?
NO
Evaluacin cualitativa del rbol de fallas
Existe algn
cambio propuesto? SI
NO
Se
NO requiere evaluar
A cuantitativamente el
rbol?
SI
Anlisis de
Recopilacin datos de falla
Sensibilidad
Evaluacin cuantitativa del rbol de fallas SI
Es Se requiere NO
SI aceptable la probabilidad o hacer Anlisis de
frecuencia de ocurrencia del Sensibilidad?
evento tope?
NO
Se SI Emisin de
A requiere emitir recomendaciones
recomendaciones?
NO
Aceptar el sistema
SI NO
Otro evento FIN
tope?
Figura H.3-1. Procedimiento para realizar un AAF

H.4 Procedimiento para realizar un AAF
Las etapas principales para realizar el Anlisis de rboles de Fallas. Son las siguientes:
Identificacin de eventos tope.

Seleccin del evento tope.
Recoleccin de datos sobre el equipo y componentes del sistema.
Construccin/Modificacin del rbol de fallas basado en la configuracin del sistema.
Evaluacin cualitativa del rbol de fallas.
Evaluacin cuantitativa del rbol de fallas.
Anlisis de Sensibilidad.
Documentacin.
H.4.1 Identificacin de eventos tope
El evento tope est relacionado generalmente con una falla catastrfica del sistema a analizar. La
informacin proporcionada por el rbol de Fallas depende de la seleccin del evento tope e influye
sobre la estructura del rbol.
Los eventos tope pueden ser identificados mediante:
La aplicacin de metodologas cualitativas como: HAZOP, Qu pasa si??, FMEA, etc.

Los encabezados de los rboles de Eventos.
Por necesidades especficas.
H.4.2 Seleccin del evento tope.
Se selecciona un evento tope, de los identificados en la actividad anterior, y se realizan las actividades
descritas en las secciones H.4.3 a H.4.8 de acuerdo con el alcance del proyecto.
H.4.3 Recoleccin de datos sobre el equipo y componentes del sistema.
En esta etapa de recopilacin de informacin se definen las fronteras del sistema de estudio. Es
importante que la informacin especfica referente al proceso sea lo ms actualizada posible, alguna de
la informacin podra obtenerse a partir de visitas e inspeccin a las instalaciones sujetas al anlisis,
as como de entrevistas con el personal de operacin para conocer sus acciones sobre el equipo y
componentes del sistema. Adicionalmente se requiere la verificacin de programas de mantenimiento.
Entre la informacin que es necesario obtener, en esta etapa del anlisis, se encuentra la siguiente:
Diagramas de operacin (Diagramas de Tubera e Instrumentacin, Diagramas de Flujo del

Proceso, Diagramas Unifilares, etc.).
Manuales de operacin.
Equipo de personal multidisciplinario (rea elctrica, mantenimiento, ingeniera de procesos,
operacin, mecnica, diseo, seguridad, etc.).
H.4.4 Construccin/Modificacin del rbol de fallas basado en la configuracin del sistema.
El objetivo de esta etapa es desarrollar el rbol de fallas que represente las secuencias de fallas que
llevan a la ocurrencia del evento tope.
Existen cuatro reglas fundamentales para la construccin de rboles de fallas las cuales se enuncian a
continuacin:
Regla declaracin del evento.

Escribir dentro del smbolo del evento el enunciado que describa de manera precisa y concreta las
causas que provocan la falla. Este enunciado debe de responder a las cuestiones en dnde y en qu
parte del sistema se encuentra la desviacin o falla. Se permiten abreviaciones de palabras pero no de
ideas.
Regla No milagros.
Si la operacin normal del sistema propaga la secuencia de la falla, se supone que el equipo funciona
normalmente. No se debe suponer que un evento inesperado (milagro), fuera de la funcin normal del
equipo, evite la secuencia de la falla.
Regla compuerta completa.

Todos los eventos de una compuerta se deben definir antes de continuar con el desarrollo de otra
compuerta.
Regla no compuerta a compuerta.

Las compuertas no deben ser directamente unidas a otras compuertas sin que exista entre ellas un
evento intermedio. El evento intermedio debe contener la descripcin de las entradas de la compuerta.
Para la construccin del modelo del rbol de fallas se utilizan los smbolos de eventos que se presentan
en la Tabla H.4.4-1 y los smbolos de compuertas que se presentan en la Tabla H.4.4-.2.
Evento Bsico.
Describe una condicin normal o de falla en el rbol (falla de equipo,
errores humanos, etc.). Los eventos bsicos definen el nivel de resolucin del
rbol.
Evento no desarrollado.
Falla especfica en la cual no se han desarrollado las causas de ocurrencia
de este evento por falta de informacin, o bien, por considerarse poco
relevante.
Evento Condicionante.
Indica una condicin o restriccin aplicada a cualquier compuerta lgica.
Evento Externo.
Evento tipo switch (tambin conocido como evento casa). A este evento
slo puede asignrsele el valor de verdadero (el evento ocurre), o bien un
valor de falso (el evento no ocurre).
Evento Intermedio.
Falla que describe la seal de salida de una compuerta lgica.
Tabla H.4.4-1 Smbolos de eventos utilizados en la construccin de rboles de fallas

Compuerta OR.
El evento de salida ocurre si uno o ms de los eventos de entrada ocurren.
Compuerta AND.
El evento de salida ocurre si todos los eventos de entrada ocurren.
Compuerta INHIBIT.
Existe slo un evento de entrada, pero para que el evento de salida ocurra
debe cumplirse una condicin especfica.
Compuerta EXCLUSIVE OR.

El evento de salida ocurre slo uno de los eventos de entrada ocurre (no
ambos).
Compuerta PRIORITY AND.

El evento de salida ocurre slo si los eventos de entrada ocurren con una
secuencia especfica
Smbolos de TRANSFERENCIA.
OUT Son usados como una forma conveniente de evitar duplicados.
IN
Tabla H.4.4-2. Smbolos de compuertas utilizados en la construccin de rboles de fallas

En esta etapa se siguen los siguientes lineamientos:
Se construye para un modo de falla especfico del sistema (evento tope seleccionado).
Los mecanismos de fallas no son exhaustivos. Slo incluyen las fallas crebles, determinadas
por el evento tope y el juicio de los analistas.
La construccin se realiza mediante el anlisis de las causas inmediatas que ocasionan el
evento tope.
Los eventos intermedios se unen mediante el uso de compuertas lgicas (Tabla H.4.4-2).
Los eventos bsicos y no desarrollados (Tabla H.4.4-1) determinan el nivel de resolucin del
rbol de fallas.
Las modificaciones del rbol dependen de las revisiones que se realicen conforme avanza la
construccin del mismo. Pueden agregarse o borrarse eventos, o bien, modificarse la estructura
del rbol (ramas del rbol).
En esta etapa se recomienda iniciar la documentacin de eventos bsicos, para la cual debe hacerse
uso del formato ilustrado en la Tabla H.4.4-.3. Esta informacin incluye:
Formato de documentacin de eventos bsicos

rbol de Fallas de (Nombre del Evento Tope)
Nombre
Descripcin
Tipo
Explicacin
Probabilidad
Bases para
asignacin de
probabilidad
Tabla H.4.4-3. Formato de documentacin de eventos bsicos
Nombre. En este campo se escribe el nombre del evento asignado durante la construccin del rbol
(descriptor corto del evento bsico).
Descripcin. Texto del evento tal cual se presenta en el rbol de fallas, incluyendo abreviaciones. En la
construccin del rbol se permite abreviacin de palabras pero no de ideas.
Tipo. Especifica la clase de evento:

Probabilstico (eventos que involucran la falla de equipo o componentes).
9 Humano (eventos que involucran las acciones del personal de la instalacin).
9 Externo o fenomenolgico (eventos que involucran condiciones que pueden provocar una falla
en el sistema).
Explicacin. Describe de manera detallada las condiciones que se tomaron como base para la
ocurrencia del evento. Si existe una abreviacin en la descripcin del evento, se debe escribir el
significado completo del texto.
Probabilidad. Este campo contiene la probabilidad de falla del evento bsico.
Bases para la asignacin de probabilidad. Este campo describe los criterios empleados para la
asignacin de la probabilidad del evento bsico. Detalla las referencias utilizadas para obtener los datos
y tasas de fallas, mtodos y modelos matemticos aplicados para evaluar la probabilidad de ocurrencia.
H.4.5 Evaluacin cualitativa del rbol de Fallas
El objetivo de esta etapa es obtener los Conjuntos Mnimos de Corte (CMC) del rbol desarrollado y
hacer una valoracin de los eventos ms importantes en trminos cualitativos.
Una vez construido el rbol puede evaluarse para obtener resultados cualitativos y cuantitativos. Para
obtener esos resultados se requiere aplicar reglas del lgebra Booleana y algunos conceptos de
Probabilidad [1,2,3]. Para reducir considerablemente el tiempo empleado para realizar los clculos de
forma manual, puede hacerse uso de alguna herramienta computacional, por ejemplo el cdigo CAFTA
for Windows [4].
En la evaluacin cualitativa se obtienen los Conjuntos Mnimos de Corte (CMC) y el orden de los
mismos. Los CMC son combinaciones mnimas de eventos bsicos que provocan la ocurrencia del
evento tope. Se pueden considerar como los modos de ocurrencia del evento tope.
El orden de un CMC est determinado por el nmero de eventos bsicos que incluye, de esta forma, un
CMC de orden dos (o segundo orden) est integrado por dos eventos bsicos; un CMC de orden tres (o
tercer orden) est integrado por tres eventos bsicos, y as sucesivamente.
La importancia cualitativa de un CMC es determinada por el orden, es decir, el nmero de eventos

bsicos incluidos en el CMC. Estos CMC son relevantes, puesto que se considera ms probable que
ocurra el CMC de menor orden.
La evaluacin cualitativa permite verificar de manera sistemtica la consistencia del modelo, ya que es
un excelente mecanismo de revisin entre los analistas y personal con experiencia operacional.
H.4.6 Evaluacin cuantitativa del rbol de fallas.
El objetivo de esta etapa es obtener la probabilidad de ocurrencia del evento tope, as como de cada
uno de los CMC del rbol desarrollado e identificar los eventos de mayor contribucin en la ocurrencia
del evento tope.
Una vez obtenidos los CMC, la evaluacin cuantitativa se desarrolla de una manera secuencial, primero
se asignan las probabilidades de falla de los eventos bsicos, luego se calcula la probabilidad de falla
de los CMC (el clculo se obtiene multiplicando las probabilidades de los eventos bsicos incluidos en
el CMC); y por ltimo se obtiene la probabilidad de falla del evento tope (el resultado aproximado se
obtiene con la sumatoria de las probabilidades de los CMC).
Para llevar a cabo esta cuantificacin es necesario obtener las tasas de fallas para la asignacin de
probabilidades de los eventos bsicos.
La informacin requerida es obtenida de diversas fuentes:
Bibliografa especializada (bases de datos genricas y especficas).

Tablas de programas de mantenimiento.
Registros de operacin del sistema.
Datos proporcionados por el fabricante.
Resultados del Anlisis de Consecuencias.
Anlisis de confiabilidad humana.
Alguna de la bibliografa especializada en donde se encuentran datos de falla de componentes son las
siguientes:
CCPS/AICHE, Guidelines for process equipment reliability data, 1989

IEEE, Guide to the Collection and Presentation of Electrical, Sensing Component, and Mechanical
Equipment Reliability Data for NPG stations, IEEE std 500-1984
OREDA, Offshore Reliability Data, SINTEF, 4th Edition, 2002
IAEA Survey of Ranges of Component Reliability Data for Use in PSA, IAEA-TECDOC-508,1998
Para calcular la probabilidad de falla de un componente es necesario conocer su modo de operacin

(continua o por demanda), si el componente es reparable, si su funcionamiento es monitoreado, si
cuenta con un programa de mantenimiento y la frecuencia del mismo. Estos datos determinan el
modelo que se emplear para calcular la probabilidad de falla del componente. En la Tabla H.6-1 se
encuentra una tabla con los modelos matemticos que se utilizan para calcular la probabilidad de falla
de equipos.
Tipo de componente Datos Frmula
- Operacin continua
(Modelo )
* No reparable Q = 1 e -t t, t < 0.1
* Reparable con vigilancia , TD Q= TD, TD< 0.1

(monitoreo) TD
1+
* Reparable con pruebas ,T, Q= + TR , TR< 0.1T
peridicas TR T T
- Operacin por demanda (Modelo , n(t) Q = 1- (1 - ) n(t) n(t) , n(t)<0.1

)
Tabla H.4.6-1. Modelos empleados para el clculo de la probabilidad de falla de un componente
Donde:
= Tasa de falla del componente por hora (aplicable en operacin o en reserva)

TD = Tiempo promedio de reparacin por falla.
T = Tiempo entre pruebas.
TR = Tiempo requerido para llevar a cabo la prueba.
= Tasa de falla del componente por demanda.
n(t) = Nmero esperado de demandas del componente por hora.
Para asignar el valor de probabilidad a eventos ocasionados por error humano, se sugiere emplear
mtodos para evaluacin de la confiabilidad humana, tal como el TESEO [5] o ASEP [6], o bien,
utilizarse datos genricos (Ver Referencia: [7], pg. 14/09, Tabla 14.15; y [5], pg. 297, Tabla 6.3).
Despus de asignar las probabilidades de los eventos bsicos (se debe hacer uso del formato de la
Tabla H.4.4-.3 para su documentacin) se procede a calcular la probabilidad de ocurrencia del evento
tope y se analizan los CMC que tienen una mayor contribucin a la ocurrencia de dicho evento.
Cuando el rbol de fallas posee un nmero muy extenso de CMC se requiere definir un criterio de corte
tanto para el anlisis cualitativo y cuantitativo. Esto es con el objeto de facilitar la identificacin de los
eventos de mayor importancia para la ocurrencia del evento tope y reducir el tiempo de anlisis [1,2,3].
Este criterio de corte puede ser definido por el orden de los CMC, o bien, puede ser determinado por un
valor de corte de acuerdo a la probabilidad de ocurrencia de los CMC. El analista es responsable de
determinar estos valores de corte.
H.4.7 Anlisis de Sensibilidad.
El objetivo de esta etapa es evaluar la probabilidad de ocurrencia del evento tope, dada la
incorporacin de recomendaciones tendientes a reducir la probabilidad de falla del sistema. Cuando el
alcance del proyecto as lo contemple, esta actividad es desarrollada.
Una vez realizados las evaluaciones cualitativas y cuantitativas del rbol de fallas desarrollado en el
anlisis, se identifican los eventos bsicos que tienen mayor relevancia en la ocurrencia del evento
tope. De acuerdo con esto, se proponen acciones correctivas o recomendaciones tendientes a
disminuir la probabilidad de ocurrencia de estos eventos bsicos, y por consiguiente, la reduccin en la
probabilidad del evento tope.
En esta etapa se evala la aplicacin de las recomendaciones en el rbol de fallas mediante la

incorporacin de las modificaciones pertinentes:
Se modifican las probabilidades de ocurrencia para los eventos bsicos en que se han aplicado las
recomendaciones.
Se modifica la estructura del rbol de fallas (se agregan ramas al rbol).
Con estas modificaciones se obtiene el anlisis de la proporcin de la reduccin de la probabilidad de

ocurrencia de este evento tope y las conclusiones finales del anlisis.
H.4.8 Documentacin.
La documentacin de los resultados obtenidos en este anlisis, de acuerdo con el alcance del proyecto,
debe incluir:
Las suposiciones hechas para desarrollar el(los) rbol(es).

El(los) rbol(es) de fallas desarrollado(s).
La lista de los CMC obtenidos en las evaluaciones.
La documentacin de eventos bsicos del rbol de fallas.
Los resultados obtenidos del anlisis de sensibilidad.
Un listado con las recomendaciones generadas de este anlisis.
H.5 Ejemplo de Aplicacin del AAF
Se cuenta con un sistema que suministra agua a travs de la lnea primaria hacia la descarga de la Bomba
D (Ver Figura H.5-1). Se cuenta con una lnea secundaria de respaldo de suministro de agua. La funcin
del sistema es proveer ininterrumpidamente agua al sistema de seguridad por tres horas.
(Normalmente
cerrada)
LINEA SECUNDARIA
TANQUE A VALVULA
MANUAL A1
BOMBA D
MEDIDOR
(Normalmente DE FLUJO
abierta)
F
TANQUE B LINEA PRIMARIA

VALVULA
MANUAL B1
Figura H.5-1. Sistema de suministro de agua
A continuacin se presenta el rbol de fallas (Ver Figura H.5-2) construido para el evento tope: Falla a
mantener el flujo de agua por tres horas. En esa figura se presentan los datos de falla que han sido
utilizados para cuantificar los eventos bsicos. El clculo de la probabilidad del evento tope se realiza por
tres mtodos:
Por compuertas
Con aproximacin de la compuerta OR (sumatoria)
Por Conjuntos Mnimos de Corte (CMC)
** La asignacin de probabilidad de estos eventos se

hace con tcnicas de anlisis de Confiabilidad
Humana
1.08E-02 8.76E-04
n(t)
n(t) t,t=3h
= 1.08E-02 /d = 2.92E-04/h
4.31E-02 3.28E-04 3.28E-04 4.31E-02

t T/2 T/2 t
t = 5 aos T = 6 meses T = 6 meses t = 5 aos
= 9.85E-07/h = 1.52E-07/h = 1.52E-07/h = 9.85E-07/h
3.0E-05 4.78E-04 TD = 16 h 3.0E-02

TD / (1+ TD) = 3E-04/h
** **
Figura H.5-2. rbol de Fallas para el sistema de suministro de agua
Clculo de la Probabilidad del evento tope por compuertas

m k
POR = 1- (1- Pi) PAND = Pi
i=1 i=1
P(G4) = 1- (1-P(TB))(1-P(B1H))(1-P(B1C))
= 1- (1-4.31E-02) (1- 3.0E-05) (1-3.28E-04) = 4.34E-02
P(G8) = 1- (1-P(FF))(1-P(A1H)) = 3.046E-02
P(G7) = 1- (1-P(G8))(1-P(A1C))(1-P(TA)) = 7.25E-02
P(G2) = (P(G4)) (P(G7)) = 3.15E-03
P(G1) = 1- (1-P(BA))(1-P(BO))(1-P(G2))
P(G1)
P(G1) = 1.478E-
1.478E-02
Clculo de la Probabilidad del evento tope con

aproximaciones de la compuerta OR
m k
P OR = P
i
PAND = Pi
i=1 i=1
P(G4) = P(TB) + P(B1H) + P(B1C)

= 4.31E-02 + 3.0E-05 + 3.28E-04 = 4.3458E-02
P(G8) = P(FF) + P(A1H) = 3.0478E-02
P(G7) = P(G8) + P(A1C) + P(TA) = 7.3906E-02
P(G2) = P(G4) * P(G7) = 3.2118E-03
P(G1) = P(BA) + P(BO) + P(G2)
P(G1)
P(G1) = 1.4887E-
1.4887E-02
Clculo de la Probabilidad del evento tope por CMC

w
PCMCi = Pij PTOPE 1- (1- PCMCi)
j=1
CMC Prob. CMC Prob. (1-PCMC) P(G1) = 1- 0.984978
BA 1.08E-02 0.9892
P(G1)
P(G1) =1.50E-
=1.50E-02
TA TB 1.86E-03 0.99814
A1H TB 1.29E-03 0.99871
B0 8.76E-04 0.999124
FF TB 2.06E-04 0.999794
A1C TB 1.41E-05 0.9999859
B1C TA 1.41E-05 0.9999859
A1H B1C 9.84E-06 0.99999016
B1C FF 1.57E-06 0.99999843
B1H TA 1.29E-06 0.99999871
A1H B1H 9.00E-07 0.9999991
B1H FF 1.43E-07 0.999999857
A1C B1C 1.08E-07 0.999999892
A1C B1H 9.84E-09 0.99999999016
De acuerdo con el sistema y su respectivo rbol de fallas del ejemplo mostrado en el anlisis
cuantitativo se desarroll el anlisis de sensibilidad. Dado el anlisis cuantitativo se identifican los
eventos de mayor relevancia. Los eventos que tienen una contribucin importante a la probabilidad del
evento tope se han sealado en el recuadro en amarillo siguiente:
CMC Prob. CMC Prob. (1-PCMC)

BA 1.08E-02 0.9892
TA TB 1.86E-03 0.99814
A1H TB 1.29E-03 0.99871
B0 8.76E-04 0.999124 P(G1) = 1- 0.984978
FF TB 2.06E-04 0.999794
A1C TB 1.41E-05 0.9999859 P(G1)
P(G1)B =1.50E-
=1.50E-02
B1C TA 1.41E-05 0.9999859
A1H B1C 9.84E-06 0.99999016
B1C FF 1.57E-06 0.99999843
B1H TA 1.29E-06 0.99999871
A1H B1H 9.00E-07 0.9999991
B1H FF 1.43E-07 0.999999857
A1C B1C 1.08E-07 0.999999892
A1C B1H 9.84E-09 0.99999999016
Para el evento BA (Bomba D falla a arrancar) se recomienda instalar otra bomba de relevo (R) que
deber actuar cuando falle la bomba D. As el sistema cambiara de la siguiente forma que se ilustra en
la Figura H.5-3:
Figura H.5-3. Modificacin del sistema de suministro de agua

Dado que hay un cambio en la configuracin del sistema, se requiere modificar la estructura del rbol
de fallas para realizar el anlisis de sensibilidad. El nuevo rbol de fallas, con la recomendacin
implantada, se presenta en la Figura H.5-4.
Esta rama permanece

igual que en el caso
base.
Figura H.5-4. rbol de fallas modificado del sistema de suministro de agua
Realizando la cuantificacin del rbol se obtiene: P(G1)R1 =3.53E-03
Para los eventos TA y TB (Ruptura en el tanque de almacenamiento de agua A, B) se recomienda

disminuir el tiempo entre mantenimiento de los tanques (operacin continua) de 5 aos a 3 aos. Esto
no afecta la estructura del rbol del sistema base, slo es necesario cambiar las probabilidades de los
eventos bsicos TA y TB.
TAB = TBB = t = 9.85E-07/h * 5 aos = 4.31E-02

TAR2 = TBR2 = t = 9.85E-07/h * 3 aos = 2.59E-02
Realizando la cuantificacin del rbol se obtiene: P(G1)R2 =1.32E-02
De esta forma se determina cunto se reduce la probabilidad al implantar cada recomendacin.

Prob. Prob. Caso Factor de % de

RECOMENDACIN Caso
Caso sensib. red. red.
Base
Instalar otra bomba de reserva R1 1.50E-2 3.53E-3 4.249 76.4

(R) a falla de la bomba D.
Disminuir el tiempo entre R2 1.50E-2 1.32E-2 1.136 12.0
mantenimiento del tanque de 5
aos a 3 aos.
Ambas recomendaciones (R1 y R1 y 1.50E-2 1.73E-3 8.670 88.4
R2) R2
ANEXO
I Anlisis de Consecuencias (AC)
I.1 Alcance
Proporcionar una gua a los analistas que requieran desarrollar un Anlisis de Consecuencias de
escenarios de riesgo por fugas o derrames de sustancias peligrosas, para homologar la aplicacin de
criterios en su desarrollo.
I.2 Referencias
[1] Guidelines for Consequence Analysis of Chemical Releases, CCPS, AICHE, 1999.
[2] Guidelines for Chemical Process Quantitative Risk analysis, CCPS, AICHE, 1989.
[3] Lees, F.P., Loss Prevention in the process industries, 2nd., ed., 1996.
[4] NIOSH Pocket Guide to Chemical Hazards, Department of Health and Human Services, September
2007, DHHS (NIOSH) 2005-149.
[5] Criterios tcnicos para simular escenarios de riesgo por fugas y derrames de sustancias peligrosas,
en instalaciones de Petrleos Mexicanos, vigente.
[6] Gua para la presentacin del estudio de riesgo ambiental, ANLISIS DETALLADO DE RIESGO,
niveles 1, 2 y 3, SEMARNAT, noviembre 2002.
[7] NOM010 STPS1999, Condiciones de seguridad e higiene en los centros de trabajo donde se
manejen, transporten, procesen o almacenen sustancias qumicas capaces de generar
contaminacin en el medio ambiente laboral
I.3 Principios de la Metodologa
Se entiende por anlisis de consecuencias la evaluacin cuantitativa de la evolucin espacial y temporal de

las variables fsicas representativas de los fenmenos peligrosos en los que intervienen sustancias
peligrosas, y sus posibles efectos sobre las personas, el medio ambiente y los bienes, con el fin de estimar
la naturaleza y magnitud del dao.
El Anlisis de Consecuencias (AC) de incendios, explosiones y nubes txicas es una metodologa de

Anlisis de Riesgos que permite estimar la medida de los efectos esperados de la ocurrencia de un evento
potencialmente peligroso.
Mediante el AC permite estimar los posibles daos debido a la prdida de control sobre sustancias
peligrosas.
Los diversos tipos de accidentes graves a considerar en las instalaciones en las que haya sustancias
peligrosas, pueden producir determinados fenmenos peligrosos para las personas, el medio ambiente y
los bienes materiales:
Fenmenos de tipo mecnico: ondas de presin y proyectiles

Fenmenos de tipo trmico: radiacin trmica
Fenmenos de tipo qumico: fugas o derrames incontrolados de sustancias txicas o
contaminantes.
El procedimiento para realizar un anlisis de consecuencias se ilustra en la Figura I.3-1.
Seleccin y especificacin de escenarios de accidente

Obtencin de lista de escenarios para analizar.
Llenado de formatos para especificar y documentar los
escenarios de accidente.
Determinacin del trmino fuente

(Modelos para liberacin de sustancias)
Determinacin de la masa liberada
Determinacin del flujo de liberacin y de la fase de
liberacin.
Determinacin de la dispersin del material

(Modelos de dispersin del material)
Obtencin de la longitud y rea de las zonas de riesgo y
amortiguamiento por toxicidad.
Obtencin de la longitud y rea de la nube inflamable hasta la
concentracin del LFL y 0.5 LFL.
Determinacin de intensidad de radiacin y onda de

presin
(Modelos de incendios o explosiones)
amortiguamiento por intensidad de radiacin trmica.
amortiguamiento por onda de presin.
Cuantificacin de posibles daos

(Modelos de consecuencias)
Estimacin de posibles daos a personas, ambiente y
negocio a partir de las longitudes reas perfiles de
concentracin de intensidad de radiacin y onda de presin.
Documentacin del anlisis de consecuencias

Emisin de recomendaciones
Escritura del informe final
Figura I.3-1 Procedimiento para realizar un anlisis de consecuencias

I.4 Procedimiento para realizar un anlisis de consecuencias
I.4.1 Seleccin y especificacin de escenarios de riesgo
El responsable tcnico de realizar los anlisis de consecuencias, conjuntamente con el lder del Anlisis de
Riesgos, y en acuerdo con el responsable tcnico - operativo por parte de la instalacin, definen una lista
de escenarios de accidente. Esa lista puede provenir de:
La aplicacin de metodologas para identificacin de peligros y riesgos, como HazOp, FMEA, Que
pasa si?, lista de verificacin (checklist).
La aplicacin de metodologas para realizar anlisis cuantitativo de riesgos, como el anlisis de
rboles de eventos y de fallas.
La aplicacin de definiciones tal como Peor Caso
Necesidades particulares surgidas de otros estudios, peticiones especiales o la inquietud de
conocer las posibles afectaciones derivadas de un escenario de riesgo.
El responsable tcnico de realizarlos anlisis de consecuencias, conjuntamente con personal de apoyo que
puede provenir del grupo multidisciplinario que realiza un anlisis de riesgos, especifica cada escenario de
riesgo en la lista. Esa lista de escenarios debe contener (Figura I.4.1-1):
Una clave nica para el escenario

Un nombre para cada escenario
Una referencia al origen del escenario (nmero de desviacin del HazOp, nmero de mecanismo de
falla del FMEA, identificador de la secuencia del rbol de eventos, etc.)
Especificar el escenario significa recabar y documentar la informacin necesaria para realizar las
simulaciones o clculos requeridos para realizar el anlisis de consecuencias. La especificacin de los
escenarios de accidente se hace empleando el formato de la Figura I.4.1-1.
La seleccin de los escenarios de accidente depende del objetivo del anlisis de

consecuencias. Un anlisis de consecuencias se puede realizar para uno de varios propsitos
entre los que se encuentran los requeridos por la normatividad, los empleados por otros
estudios como los relacionados con la seguridad fsica o para disear los planes de emergencia
externos e internos. Para esos casos, la aplicacin de la definicin de peor caso, seccin 5.2,
conjuntamente con la definicin de caso alterno (dentro de los cuales pueden encontrarse los
casos considerados como ms probables), podra requerirse.
Nombre del estudio que origina el AC: Actualizacin 2008 del Anlisis de Riesgos de Proceso de la central
de compresin El asoleadero II.
Nmero del proyecto o actividad bajo el cual se realiza el AC: 09845
Nombre del organismo o centro de trabajo, planta o rea de trabajo: Central de compresin El asoleadero
II
Propsito del anlisis de consecuencias:
(Describa el motivo que origina el AC y el uso que se le dar a los resultados, ej.. como parte de un Anlisis de
Riesgos de Proceso, Anlisis de Riesgo de Seguridad Fsica, entre otros)
Datos de los escenarios:
Clave Nombre Ref. de Origen
Fuga de gas natural amargo de filtro separador FA-4562B Desviacin 4.3.2 del
ARP08_AsoII01
por un orificio equivalente a 2 HazOp
Figura I.4.1-1. Formato para documentar la lista de escenarios para realizar Anlisis de Consecuencias
I. Datos del escenario.

Clave: Nombre: Fuga de gas natural amargo de filtro separador FA-4562B Peor Caso
ARP08_AsoII01 por un orificio equivalente a 2 de dimetro Caso alterno
Descripcin: Fuga por brida de alimentacin de gas al filtro Fecha:
Elabor: SS
separador FA-4562B por un orificio equivalente a 2 11/dic/2008
Determinar el perfil de intensidad de radiacin trmica para evaluar la Nombre y versin
Objetivo posibilidad de xito o falla de las acciones indicadas en el paso 3.4 del simulador
del procedimiento de emergencia de la instalacin. empleado
II. Sustancias involucradas.
Nombre de la sustancia: Composicin: % molar , % msico , % volumtrico
Compuesto % Tox. Inf. IDLH STEL TWA
III. Condiciones de confinamiento y caractersticas de liberacin.

Presin: Temperatura: Estado: Vapor , lquido abajo de su p.e. , lquido arriba de su p.e. .
Fase del material liberado: Vapor , lquido , vapor y lquido
Contenedor: Cilindro , esfera , Tipo de fuga: Falla catastrfica , vlvula de alivio , orificio en cuerpo
tubera , otro : o tubera , cizalla de tubera, otro :
Alto del recipiente: Dimetro o ancho del recipiente: Largo del recipiente:
rea del orificio: Coef. de prdida del orificio: Elevacin del punto de liberacin:
Direccin de la fuga: Vertical , horizontal , hacia abajo , golpea contra , inclinada (ngulo___)
Tiempo estimado de liberacin: Masa estimada de liberacin:
IV. Condiciones atmosfricas y del entorno.
Pares (velocidad de viento, estabilidad atmosfrica):
Temperatura atmosfrica
Temperatura del suelo (si distinta a la atmosfrica)
Humedad atmosfrica
Tipo de suelo (rugosidad empleada)
Direcciones dominantes del viento
V. Lugares de particular inters (Descripcin y distancia del punto de fuga).
Sitio 1 Sitio 2 Sitio 3 Sitio 4
VI. Estados finales para anlisis.
Dardo, antorcha o jet de fuego , Charco de fuego , incendio de nube , explosin de nube , BLEVE / bola
de fuego . Nube txica
VII. Memoria de clculo y Suposiciones. Utilice este espacio si requiere realizar la documentacin detallada
o memoria de clculo de algunos parmetros que juzgue necesarios, tpicamente el tiempo de liberacin o la
masa liberada deben ser documentados a extenso. Documente las suposiciones que realiz al especificar,
simular o valorar las consecuencias del escenario.
VIII. Resumen de resultados (Distancias y afectaciones)
Alcance de la radiacin
Alcance por toxicidad1 del compuesto: 2 Alcance de la sobre-presin (kg/cm2)
trmica (kw/m )
IDLH STEL TWA 1.4 5 0.035 (0.5 psi) 0.07 (1 psi)
Alcance por inflamabilidad de la mezcla o compuesto: LFL ___ m LFL ____ m

Evaluacin de posibles prdidas: (Describa la cantidad de personas y equipos que pueden ser afectados,
indique el valor de la concentracin (ppm), sobre presin (psi), o radiacin trmica (kW/m2) con la que seran
afectados y la forma en la que se cree pueden ser afectados (valor Probit o efecto esperado de acuerdo a
tablas). No omita incluir los sitios de inters declarados anteriormente. Haga referencia a ilustraciones,
descripciones anexas y tablas como lo considere apropiado).
Recomendaciones: Emita las recomendaciones pertinentes asignndole un nmero identificador nico a cada
una de ellas.
Figura I.4.1-2. Ejemplo de formato para especificacin de escenario para anlisis de consecuencias
I.4.2 Determinacin del trmino fuente
El objetivo de esta actividad es determinar la masa liberada, el flujo y la fase de liberacin. Estos
parmetros son muy importantes pues determinan la cantidad de material toxico que se dispersa y
combustible que explota o se incendia, que son fundamentales para calcular la concentracin, intensidad
de radiacin y onda de presin a partir de los cuales se determinan las zonas de riesgo y amortiguamiento
y se evalan los posibles daos.
Para el Peor Caso, la simulacin debe contemplar los aspectos que se muestran en la Tabla I.4.2-1
Tabla I.4.2-1 Definicin de Peor Caso para especificar un escenario de riesgo

Peor Caso. Corresponde a la liberacin accidental del mayor inventario del material o sustancia
contenida en un recipiente, lnea de proceso o ducto, la cual resulta en la mayor distancia hasta
alcanzar los lmites por toxicidad, sobre-presin o radiacin trmica, de acuerdo a los criterios para
definir las zonas de riesgo y amortiguamiento.
Para tal efecto se deben tomar en consideracin incluso las condiciones especiales de
almacenamiento, ej. almacenamiento por mal tiempo, en las que los inventarios pueden ser
inusualmente altos.
De acuerdo al tipo de sustancia, se deben aplicar los siguientes criterios para especificar el
escenario
Tipo de sustancia Criterios a considerar para especificar el escenario
Txica Gases: Se debe considerar que la liberacin se realiza durante un
periodo de 10 minutos.
Lquidos: Se debe considerar que la cantidad total es derramada al
instante. Para lquidos que se fugan de tuberas se debe suponer que
forman un charco. Se deben tomar en cuenta medidas de mitigacin
pasivas, como lo son diques de contencin.
Inflamable / explosiva Rotura catastrfica del recipiente o de la lnea de proceso o ducto (si se
emplea el modelo TNT se debe usar una eficiencia de conversin de
energa del 10%).
En el caso de la falla catastrfica de un recipiente, la totalidad de la masa se incorpora con gran rapidez, es
una liberacin puntual.
En el caso de una fuga paulatina, los principios de la mecnica de fluidos y de la termodinmica nos
proporcionan las herramientas necesarias para conocer la masa liberada y el flujo de material que escapa.
En este caso, para determinar el trmino fuente se emplean modelos matemticos que se encuentran
comnmente en los simuladores para realizar anlisis de consecuencias.
En la seccin III, condiciones de confinamiento, del formato para especificar un escenario de riesgo, Figura
I.3 se encuentran los parmetros que se requieren para los modelos de la mecnica de fluidos. De esos
parmetros, existen algunos que tienen cierto grado de incertidumbre y estos son:
rea del orificio.

Coeficiente de prdida del orificio.
Tiempo de liberacin y masa liberada.
rea del orificio. El rea y forma del orificio es uno de los parmetros que tienen gran incertidumbre. Por lo
general se supone un orificio circular y lo simuladores cuentan con modelos de fuga para orificios
circulares. En ocasiones se simulan eventos ya ocurridos con orificios de geometra distinta a la circular.
Para el caso de orificios con geometras distintas a la circular se debe calcular un rea equivalente a un
crculo a partir del rea del orificio considerado. Este clculo debe ser documentado en la seccin
correspondiente del formato de la Figura I.3.
La gran mayora de los escenarios de riesgo a analizar no han ocurrido por lo que existe incertidumbre
sobre el valor del rea del orificio. Para seccionar el valor del rea del orificio ver Tabla I.4.2-2.
Tabla I.4.2-2 Dimetro equivalente de la fuga

Lneas de proceso: DEF= 1.00 veces del dimetro nominal (DN) de la lnea de
DN 2 proceso.
Lnea de proceso: DEF= 0.30 veces del dimetro nominal (DN) de la lnea de
2 < DN 4 proceso.
Lnea de proceso o
DEF= 0.20 veces del dimetro nominal (DN) de la lnea de
ductos de transporte: 6
proceso.
DN
Segn el dimetro de la lnea de proceso, aplican los criterios
Para el caso Bridas
anteriores [1.0*(DN), 0.3*(DN) y 0.2*(DN)].
alterno:
Sellos mecnicos en
Para todos los tamaos de flechas,
equipo rotatorio de
DEF= Calcularlo con el 100% del rea anular.
proceso
Sellos o
Para todos los tamaos de vstagos,
empaquetaduras en
DEF= Calculatorio con el 100% del rea anular.
vlvulas de proceso
El DEF en el cuerpo de un recipiente, ser aquel que sea determinado por el Grupo
Multidisciplinario de Anlisis y Evaluacin de Riesgos.
Lneas de proceso: DEF= 0.20 veces del dimetro nominal (DN) de la lnea de
DN 4 proceso.
Lnea de proceso: DEF= 0.6 [por corrosin, prdida de material, golpe o falla en
2 < DN 4 soldadura]
DEF= 0.75 para DN de 6 a 14
Lnea de proceso o
DEF= 1.25 para DN de 16 a 24
ductos de transporte: 6
DEF= 2.0 para DN mayores de 30
DN
[por corrosin, prdida de material, golpe o falla en soldadura]
Para el caso
Aplican los mismos criterios de las lneas de proceso para los
ms probable: Bridas
casos ms probables.
Sellos mecnicos en el
equipo de proceso
rotatorio. DEF= Calcularlo con el 40% del rea anular que resulte.
Empaquetaduras en
vlvulas de proceso
El DEF en el cuerpo de un recipiente, ser aquel que sea determinado por el Grupo
Multidisciplinario de Anlisis y Evaluacin de Riesgos
Coeficiente de prdida del orificio. Un enfoque sugerido por el CCPS del AICHE es:
Para descargas con Nmero de Rynolds, Re > 30,000 use Cd = 0.61 (para estas condiciones la
velocidad del fluido es independiente del tamao del orificio)
Para orificios redondeados y suaves Cd ~ 1
Para secciones de tubera cortas unidas a la vasija, l/d < 3, Cd = 0.81
Para casos donde Cd es desconocido utilice el valor 1 para ser conservador.
Tiempo de liberacin y masa liberada. En el caso de una liberacin paulatina, la masa total liberada
depender del tiempo en el cual termina la fuga, ya sea porque el inventario se termina o porque los
dispositivos pasivos, activos o acciones de mitigacin aislaron la fuga. Este parmetro debe ser
cuidadosamente calculado y documentado en la seccin correspondiente del formato de la Figura I.4.2-1
Una gua para el clculo se muestra en la Figura I.4.2-1.
Estimar tiempo de aislamiento de fuga o derrame TA

TA= T1 + T2
Estimar tiempo de T1= Tiempo requerido para identificar la condicin
liberacin de todo el anormal.
inventario Ti T2= Tiempo transcurrido al efectuar acciones
correctivas.
S
Tiempo de liberacin TL = I Ti >
TA TA
N
O
Tiempo de liberacin
TL= Ti
Figura I.4.2-1. Formato para especificacin de escenario para anlisis de consecuencias
El tiempo de liberacin del total del material se puede calcular empleando los modelos de los simuladores
para realizar anlisis de consecuencias o empleando otros simuladores o clculos, siempre y cuando sean
suficientemente detallados para el propsito. Un parmetro importante para el clculo es el flujo de
liberacin y pueden hacerse dos suposiciones.
El flujo msico de fuga inicial (cuando la energa que impulsa al fluido a salir del recipiente,
tpicamente la presin de confinamiento o columna del fluido, no cambian significativamente o para
hacer un clculo conservador).
Un flujo msico de la fuga variable.
Si se considera que la fuga es aislada, para el clculo del tiempo de aislamiento tome en cuenta lo
siguiente (puede haber otros factores a tomar en cuenta dependiendo de la situacin):
Tiempo para la deteccin de la fuga (considere los medios por los que identificara la fuga):
- Detectores de mezcla inflamable y toxicidad
- Variables de proceso
- Actividades rutinarias de personal operativo
- Disponibilidad de medios de alerta o comunicacin
Tiempo para el control de la fuga (Considere las acciones de respuesta a emergencias):
- Dispositivos remotos y automatizados para aislar la fuga y programa de mantenimiento aplicado
- Existencia de procedimientos de respuesta a emergencias
- Existencia de grupos de respuesta a emergencias
- Realizacin de simulacros
- Dificultad para acceder al sitio y tomar acciones de control
- Los vehculos y equipo en general estn en buenas condiciones
I.4.3 Determinacin de la dispersin del material
Las sustancias liberadas pueden ser lquidos, gases o mezclas bifsicas.
En el caso de los lquidos se expanden formando acumulaciones que se les llama charcos. La expansin
de los lquidos puede ser limitada por diques, muros o singularidades en el terreno, o puede ser no limitada.
En el caso de los charcos limitados, el rea superficial del charco y su profundidad viene dada por la
geometra de las estructuras o singularidades que los contienen. A partir de esa geometra se puede
estimar la tasa de evaporacin, en caso de que aplique. En el caso de las fugas no limitadas estas
evolucionan hasta formar un charco cuyas dimensiones mximas en el tiempo dependen del equilibrio entre
la absorcin y tipo de suelo, la evaporacin del lquido y el flujo de la fuga.
A partir de la evaporacin del lquido se puede calcular la forma y tamao de una nube txica o inflamable y
aplicar los modelos de dispersin de gases. Para el caso de las sustancias inflamables a partir de la
geometra del charco, y de otros parmetros, se calculan, con modelos de incendios, las intensidades de
radiacin trmica.
Todos los escenarios de riesgos anteriormente mencionados son modelados en simuladores y el usuario
slo provee el valor de los parmetros requeridos, que se documentan en las secciones correspondientes
del formato para la especificacin de escenarios de accidente de la Figura I.4.2-1.
En el caso de las mezclas bifsicas, una parte se comportar como gas y la otra como lquido,
dependiendo de las caractersticas del lquido se podr transformar a la fase de vapor y nutrir la formacin
de la nube originada por la fraccin gaseosa.
Cuando se produce una emisin de un gas o vapor a la atmsfera, ya sea procedente de una fuga de gas
propiamente dicha o como consecuencia de la evaporacin de un charco de lquido, el gas en contacto con
la atmsfera sufre una dispersin por dilucin del gas en la atmsfera y se extiende en ella arrastrado por el
viento y las condiciones meteorolgicas. Otra caracterstica importante es la duracin del escape, que
puede dar lugar a escapes instantneos, formando una bocanada (puf), escapes continuos, formando un
penacho (plume), escapes variables con el tiempo.
Los modelos tratan de calcular las concentraciones de gases que se encuentran a una determinada
distancia del foco emisor, tanto para gases txicos como inflamables, as como las cantidades de gas
inflamable que se encuentran entre los lmites de inflamabilidad de sustancias inflamables.
La dispersin de un gas puede proceder de una fuga de gas de un depsito o tubera a presin y como
consecuencia de la fuga de lquido que se evapora. Esto implica dos fenmenos:
Dispersin de chorro o tipo jet.

Dispersin de la nube.
Para gases inflamables el modelo de chorro se puede emplear para determinar la longitud de un dardo de
fuego, si se produjese la ignicin del chorro, adems para la determinacin de la dispersin de gas que
formara una hipottica explosin de vapor. Para gases txicos el modelo de chorro se puede acoplar a un
modelo de dispersin de contaminantes.
Un modelo gaussiano de dispersin de contaminantes permite conocer la concentracin de los

contaminantes en funcin de la localizacin de un punto respecto a la fuente, de la variable tiempo,
condiciones meteorolgicas y topografa del terreno, entre otras. Este modelo describe el comportamiento
de los gases o vapores de fuerza ascensional neutra, dispersados en la direccin del viento y arrastrados a
la misma velocidad, eso es lo que se denomina modelo tipo Pasquill-Guifford.
Ese tipo de modelos calculan la concentracin en los tres ejes espaciales (x,y,z) con una funcin
matemtica correspondiente a distribucin estadstica de Gauss en donde, entre otros, los parmetros
empleados para calcular sus dimensiones, requiere del uso de una clase de estabilidad atmosfrica
conocida como Pasquill.
Todos los fenmenos anteriormente mencionados son modelados en simuladores y el usuario slo provee
el valor de los parmetros requeridos, que se documentan en las secciones correspondientes del formato
para la especificacin de escenarios de accidente de la Figura I.4.1-2. Algunos de esos parmetros se
requieren calcular o estimar y a continuacin se presenta una gua para la estimacin de los parmetros:
Estabilidad atmosfrica
Velocidad de viento
Rugosidad del terreno
Estabilidad atmosfrica. Los modelos empleados para simular el complejo comportamiento de una nube
de gas que se diluye en el aire requiere de la especificacin de un parmetro llamado Pasquill. En la Tabla
I.4.3-1 se presentan las clases de estabilidad atmosfrica que se seleccionan dependiendo de las
condiciones atmosfricas, incluyendo el grado de insolacin, el cual se selecciona con la Tabla I.4.3-1.
Rugosidad del terreno. El movimiento de una nube de contaminantes en el aire, como cualquier fluido se
ve influenciado por la friccin de la superficie sobre la que se desplaza, algunos simuladores ya tienen en
sus bases de datos valores de rugosidad para distintos tipos de terreno, en la Tabla I.4 se muestran
algunos valores para que el usuario cuente con una referencia.
Tabla I.4.3-1. Condiciones meteorolgicas para la definicin de clases de estabilidad Pasquill

Velocidad del Radiacin Solar Recibida Cobertura de Nubes Nocturna
viento(1) Delgada Moderada Nublada
Fuerte Moderada Ligera
(m/s) <3/8 >3/8 >4/5
<2 A A-B B - - D
2-3 A-B B C E F D
3-5 B B-C C D E D
5-6 C C-D D D D D
>6 C D D D D D
(1) A 10 metros de altura.
Tabla I.I.4.3-2. Condiciones meteorolgicas para la definicin del grado de insolacin

ngulo de ngulo de elevacin ngulo de elevacin
Nubosidad elevacin del sol del sol del sol
> 60 35 60 15 35
Nubes cubriendo un rea menor que 4/8
del cielo o cualquier grado de nubosidad Fuerte Moderada Ligera
con altas y poco espesas
Nubes cubriendo un rea entre 5/8 y 7/8
del cielo y las nubes ocupan una altura Moderada Moderada Ligera
media (entre 2100 m y 4900 m)
Nubes cubriendo un rea entre 5/8 y 7/8
del cielo y las nubes ocupan una altura Ligera Ligera Ligera
baja (< 2100 m)
Tabla I.I.4.3-3. Factores de rugosidad para distintos tipos de terreno
Tipo de Superficie Factor de

rugosidad
Valles con pocos rboles 0.06
Tierras de cultivo 0.09
Tierras con vegetacin y rboles 0.11
rea rural o industrial 0.17
rea urbana 0.33
Si el material liberado es txico solamente el resultado de la aplicacin de los modelos de dispersin es

informacin que permite determinar el perfil de concentraciones, el alcance mximo y el rea de la nube
cuyas concentraciones son mayores o iguales a los valores empleados para evaluar los posibles daos,
ver seccin I.4.5.
En caso de no contar con informacin sobre las condiciones atmosfricas del sitio durante los
ltimos tres aos, se debe usar la velocidad de 1.5 m/s y clase de estabilidad F.
No existe un solo par de condiciones velocidad de viento, clase de estabilidad atmosfrica

(Pasquill) que describa correctamente la dispersin de una nube para todas las estaciones del
ao y horas del da (da / noche). Por lo anterior y en caso de contar con informacin
meteorolgica confiable, se sugiere seleccionar al menos tres pares de velocidad, clase de
estabilidad atmosfrica y realizar la evaluacin de consecuencias empleando los resultados
ms desfavorables. El empleo de los valores 1.5 m/s y F favorecen la formacin de nubes
extensas en el plano horizontal y que para el caso de nubes inflamables en sitios donde pueden
existir fuentes de ignicin elevadas se sugiere investigar condiciones atmosfricas que
favorezcan mayores concentraciones en la direccin vertical, para evitar omisiones importantes.
I.4.4 Determinacin de intensidad de radiacin y onda de presin
Si el material es txico, para evaluar las consecuencias ser suficiente conocer las concentraciones de la
nube txica, en cambio, para el material inflamable, se debe conocer la distribucin de la energa liberada
por el incendio o la explosin, en trminos de la intensidad de radiacin trmica o de sobre-presin.
A partir de la fuga de un material inflamable existen distintos tipos de incendios que se pueden presentar. Si
el material emerge como chorro (jet), tambin conocido como flujo snico o crtico, y se encuentra con una
fuente de ignicin cercana, se incendia y se puede establecer un incendio tipo jet (jet fire), tambin llamado
dardo de fuego y antorcha. Los mayores daos del dardo de fuego son la intensidad de radiacin trmica.
Si el material liberado, ya sea mediante una liberacin de chorro o no, no se incendia de inmediato, si es
liquido y no se evapora rpidamente, puede formar un charco. Si es gas o un lquido que se evapora
rpidamente, se puede formar una nube. Si el charco inflamable se pone en contacto con una fuente de
ignicin se establece un incendio tipo charco (pool fire). Los mayores daos del dardo de fuego son la
intensidad de radiacin trmica.
Cuando una masa de material inflamable forma una nube encuentra una fuente de ignicin antes de
haberse diluido por abajo de su lmite inferior de inflamabilidad puede entrar en ignicin. Esa ignicin puede
ser una deflagracin, formando una onda de presin, llamndosele explosin de nube VCE (Vapor cloud
explosion) o puede que slo se origine un incendio sbito de nube de gas (flash fire). La frontera entre este
tipo de situaciones no est muy clara y depende de la velocidad de combustin de la mezcla y de las
caractersticas del vapor. Por lo anterior ambos fenmenos deben ser investigados.
El mayor peligro de los incendios tipo flash es la radiacin trmica y ese tipo de incendios no dura ms all
de algunos momentos. Los modelos de los incendios tipo flash requieren del conocimiento de la radiacin
de la flama, que depende de la cuarta potencia de la temperatura, por lo que cualquier error en el clculo de
esa temperatura propaga la incertidumbre fuertemente en los resultados obtenidos. Por lo anterior algunos
simuladores reportan para este fenmeno la extensin de la nube hasta la dilucin correspondiente al lmite
inferior de inflamabilidad y el 50% de ese mismo lmite. Para el caso de la explosin de la nube, se reporta
la onda de sobre-presin.
Existe la posibilidad de que la liberacin del material inflamable no sea paulatina sino sbita. Al respecto,
existe un caso de particular inters que es la bola de fuego que se conoce en ingls como BLEVE (Boiling
Liquid Evaporating Vapor Explosion). La ocurrencia de este fenmeno puede provocar dao tanto por onda
de presin como por intensidad de radiacin trmica.
En la Figura I.4.4-1 se muestra un diagrama de flujo como gua para saber los tipos de fenmeno que
deben evaluarse dependiendo de las caractersticas del escenario de riesgo y que deben documentarse en
la seccin correspondiente del formato mostrado en la Figura I.4.1-2.
Prdida de control sobre una sustancia

peligrosa
Fuga de Fuga de Ruptura

gas lquido catastrfica del
Flujo NO SI NO Incendio
Nube Evaporacin?
snico? inmediato?
NO SI
SI
Ignicin? NO
Ignicin? NO
Ignicin NO
inmediata? SI
Material SI SI NO
Material
txico?
txico?
SI
NO SI
Dardo Incendio Explosin Nube Incendio Charco Bola

de fuego de nube de nube txica tipo charco txico de fuego
RT RT OP RT OP RT
Estados Finales que Dispersin sin Acumulacin

pueden causar daos consecuencias de lquido
RT = Radiacin trmica
OP = onda de presin
Figura I.4.4-1 . Diagrama de flujo con el que se pueden identificar los tipos de fenmenos que deben
evaluarse en el anlisis de consecuencias de un escenario de riesgo
Como parte de los modelos disponibles para calcular los perfiles de presin resultado de una explosin se
tienen el equivalente de TNT, el TNO y el Baker extendido.
El modelo TNT se basa en observaciones experimentales que indican que si se obtiene el cociente de la
distancia a partir del centro de la explosin y la raz cbica de la masa del combustible en trminos de su
equivalente energtico de TNT, se obtiene una distancia reducida o escalada. As mismo, que los efectos
de dos explosiones son los mismos sobre puntos que se encuentren a la misma distancia reducida o
escalda. Un parmetro importante en este modelo es la eficiencia de transformacin de energa trmica en
mecnica el cual de acuerdo con resultados experimentales puede oscilar entre el 15 y el 10%. De acuerdo
con la Gua para la presentacin del estudio de riesgo ambiental, , niveles 0. 1, 2 y 3, de la SEMARNAT, se
debe usar el valor de 10%.
Los modelos TNO y Baker extendido se basan en la premisa de que en las explosiones de vapor, la
cantidad de energa liberada se limita al volumen parcialmente confinado de la nube (si la nube es mayor
que la regin confinada) o al volumen completo de la nube de vapor (si la nube es menor que el espacio de
confinamiento). El modelo TNO utiliza un parmetro de fuerza de la explosin, de muy baja, 1, a muy alta
10. El modelo de Baker extendido emplea la velocidad de la flama en la nube, en trminos de su nmero de
Mach, para calcular la fuerza de la explosin. Los modelos TNO y Baker extendi exceden el alcance de
la presente gua y en caso de que se quiera realizar simulaciones con este detalle de modelado se pide al
lector consultar textos ms avanzados.
Para cada escenario de riesgo seleccionado y especificado se deben evaluar las

consecuencias de todos los posibles estados finales que apliquen de acuerdo a la Figura I.4.4-
1, y deben ser evaluados para las variables que apliquen: intensidad de radiacin trmica, onda
de sobepresin y concentracin de sustancias txicas. Para el caso de las explosiones se debe
emplear el valor de 10% como factor de eficiencia de conversin de energa.
I.4.5 Cuantificacin de posibles daos
Una vez obtenida la estimacin de la dispersin de los materiales, de las distribuciones de concentracin y
de energa, se pueden emplear dos mtodos complementarios para estimar los posibles daos.
Relaciones magnitud efecto (Efectos directos).

Dosis respuesta y funciones Probit (Efectos probabilsticos).
Las tablas magnitud efecto permiten establecer un vnculo entre la intensidad de una variable
(concentracin, intensidad de radiacin trmica o presin) con efectos observados o valores usados como
referencia en documentos de diseo o normativos.
Una ventaja de las relaciones de efecto directo es que se pueden evaluar distintos daos observados o
referencias disponibles. Una desventaja es que est construida con valores discretos (ej. existe un valor
especfico y no siempre se puede conocer la extensin de un mismo dao con distintos valores de
intensidad de la variable que los provoca). Otra desventaja es que no toma en cuenta la variacin de la
respuesta de los organismos vivos a una misma dosis.
Para tomar en cuenta la variacin de la respuesta de los organismos vivos a una misma dosis se puede
emplear la metodologa de Probit (unidad de probabilidad).
Dosis respuesta y funciones Probit.
Es difcil evaluar de manera precisa la respuesta humana ante la exposicin severa a una dosis de algo que
puede causar dao y ser letal, ej. a un compuesto txico. Lo anterior debido a la variacin de la severidad
de los efectos con la intensidad de la exposicin y la duracin. Tambin debido a que existe una respuesta
variable entre individuos. Factores como la edad y estado de salud fsica afectan la respuesta. Como
resultado se espera una variacin de respuestas ante dosis determinadas. Lo anterior se puede modelar
empleando un modelo probabilstico y el parmetro estadstico Probit, ecuaciones 1 y 2.
Y 5
P = 0.5 1 + erf ..(1)
2
Y = A + B ln(I ) ..(2)
Donde: Y es la unidad de probabilidad Probit.
P es la probabilidad de ocurrencia de algn efecto.

I es la intensidad de la causa.
erf es la funcin error.
A y B son constantes de la funcin para un efecto particular.
Aunque algunos simuladores ya reportan el comportamiento de la ecuacin 2 con la distancia, para el uso
de la ecuacin 2 en una hoja de clculo puede emplear la ecuacin 1b.
Y 5 Y 5
P = 50 1 + erf ..(1b)

Y 5 2
La expresin de la unidad Probit para los casos de probabilidad de muerte exposicin a material txico,
ecuacin 2a [2], muerte por intensidad de radicacin trmica [2], ecuacin 2b, muerte por hemorragia
pulmonar por onda de presin 2c [2] y rotura de tmpano por onda de presin 2d [3].
(
Y = A + B ln C N t
60
) ..(2a)
43
I t
Y = 14.9 + 2.56 ln 4 ..(2b)
1x10

Y = 77.1 + 6.91 ln (P0 ) ..(2c)
Y = 15.9 + 1.93 ln (P0 ) ..(2c)
Donde:
Y es la unidad de probabilidad Probit.

P es la probabilidad de ocurrencia de algn efecto.
C es la concentracin en ppm volumtricas.
A, B y N son constantes que dependen de cada sustancia qumica.
Ln es la funcin logaritmo natural
t es el tiempo de exposicin en segundos
I es la intensidad de radiacin trmica en W/m2.
Po es la presin en Pascales manomtricos
Para determinar las variables A, B y N se puede consultar las referencias [2] y [3]. Adicionalmente, alguno
de los simuladores comerciales, como Phast, cuentan con valores para A, B y N para varios compuestos
txicos.
Relaciones magnitud efecto.
Para intensidad de radiacin trmica por incendios:
En la Tabla I.4.5-1 se encuentra una relacin de efectos esperados u observados con un valor de
intensidad de radiacin trmica. En la Tabla I.6 se encuentran valores de exposicin en segundos para
alcanzar el umbral del dolor.
Para onda de presin por explosiones:
En la Tabla I.6 se encuentra una relacin de efectos esperados u observados con un valor de presin.
Para sustancias txicas:
En la NOM 010 STPS 1999, Condiciones de seguridad e higiene en los centros de trabajo donde se
manejen, transporten, procesen o almacenen sustancias qumicas capaces de generar contaminacin en el
medio ambiente laboral se establecen los lmites mximos permisibles de exposicin en los centros de
trabajo donde se manejen, transporten, procesen o almacenen sustancias qumicas que por sus
propiedades, niveles de concentracin y tiempo de exposicin, sean capaces de contaminar el medio
ambiente laboral y alterar la salud de los trabajadores.
En la NOM 010 STPS 1999 se establecen los lmites:
Lmite mximo permisible de exposicin (LMPE): es la concentracin de un contaminante del

medio ambiente laboral, que no debe superarse durante la exposicin de los trabajadores en
una jornada de trabajo en cualquiera de sus tres tipos. El lmite mximo permisible de
exposicin se expresa en mg/m3 o ppm, bajo condiciones normales de temperatura y presin.
Lmite mximo permisible de exposicin de corto tiempo (LMPECT): es la concentracin
mxima del contaminante del medio ambiente laboral, a la cual los trabajadores pueden estar
expuestos de manera continua durante un periodo mximo de quince minutos, con intervalos
de al menos una hora de no exposicin entre cada periodo de exposicin y un mximo de
cuatro exposiciones en una jornada de trabajo y que no sobrepase el LMPEPPT.
Lmite mximo permisible de exposicin pico (P): es la concentracin de un contaminante del
medio ambiente laboral, que no debe rebasarse en ningn momento durante la exposicin
del trabajador.
Lmite mximo permisible de exposicin promedio ponderado en tiempo (LMPEPPT): es la
concentracin promedio ponderada en tiempo de un contaminante del medio ambiente
laboral para una jornada de ocho horas diarias y una semana laboral de cuarenta horas, a la
cual se pueden exponer la mayora de los trabajadores sin sufrir daos a su salud.
En las guas para la presentacin del estudio de riesgo ambiental, niveles 0, 1, 2 y 3 de SEMARNAT, se
especifica el uso de los ndices IDLH, TLV8 y TLV15. Esos ndices deben ser empleados en el anlisis de
consecuencias cuando se realice con propsitos que impliquen apegarse a la NOM0 10 STPS 1999.
ndices IDLH, TLV e ndices auxiliares
Algunas asociaciones y agencias gubernamentales extranjeras emplean ndices de toxicidad para medir la
peligrosidad de las sustancias.
El National Institute for Ocupational Safety and Health establece el ndice IDLH como:
En el evento de una exposicin accidental a una sustancia qumica, este lmite representa la concentracin
abajo de la cual un individuo puede escapar, dentro de 30 minutos, sin experimentar dificultades para el
escape o efectos irreversibles a su salud.
Los valores IDLH son publicados en la NIOSH Pocket Guide to Chemical Hazards y sus valores pueden
llegar a cambiar por lo que es importante que el analista revise la ltima versin disponible.
La Association Conference Government Industry Higienyc (ACGIH) establece los ndices TLV (TWA, STEL,
C), como los valores lmite umbral (Threshold Limit Values) para condiciones que corresponden ms al
campo de la salud ocupacional que de los accidentes y se definen como:
TLV-TWA (Time Weighted Average), concentracin media a la cual la mayora de

trabajadores expuestos durante su vida laboral no sufren efectos adversos.
TLV-STEL (Short Term Exposure Limit), concentracin a la que la mayora de

trabajadores pueden exponerse por hasta 15 min. sin sufrir adormecimiento que les
predisponga a accidente o dificulte mecanismos de defensa.
TLV-C (Ceiling), concentracin que no debe ser rebasada incluso instantneamente.
Los valores TLV son publicados por la ACGIH en TLV`s and Bels values y sus valores pueden llegar a
cambiar por lo que es importante que el analista revise la ltima versin disponible.
En caso extremo y de no encontrar disponibles los valores TLV, se puede recurrir a los valores PEL o REL,
publicados por OSHA y NIOSH, con una slida justificacin tcnica. Esos valores se encuentran en la
NIOSH Pocket Guide to Chemical Hazards y sus valores pueden llegar a cambiar por lo que es importante
que el analista revise la ltima versin disponible.
Las definiciones de los ndices PEL (exposicin mxima permitida por OSHA bajo el CFR (Code of Federal
Regulations) ttulo 29, seccin 1910, subparte Z) son:
TWA (time-Weighted Average), indica una concentracin promediada durante hasta 8

h de trabajo en un turno de una semana laboral de 40 h.
STEL / ST (Short Term Exposure Limit), exposicin promediada durante 15 min.,
que no debe ser excedida durante todos los das de trabajo.
C (Ceiling), valor mximo que no debe ser excedido ni por algn instante durante un
turno.
Los ndices REL son lmites de exposicin mxima recomendada. Los REL son valores sugeridos para las
actividades industriales pero, con excepcin de algunas jurisdicciones en EUA, no son valores normativos.
TWA (Time-Weighted Average) indica una concentracin promediada durante hasta

10 h de trabajo de una semana laboral de 40 h.
STEL, ST, (Short Term Exposure Limit) exposicin promediada durante 15 min., que
no debe ser excedida durante todos los das de trabajo.
C (Ceiling); valor mximo que no debe ser excedido ni por algn instante.
Tabla I.4.5-1. Efectos esperados u observados para radiacin trmica
Intensidad de radiacin
Efecto esperado u observado
trmica en kW/m2
37.5 Suficiente para causar dao en equipos de proceso (Banco Mundial).
Intensidad de energa mnima requerida para provocar la ignicin de la madera
25 en exposiciones prolongadas, no requirindose fuente de ignicin alterna (Banco
Mundial).
Intensidad en reas con estructuras en donde no es deseable tener personal y
15.77
en donde se cuenta con blindaje a la radiacin trmica (API 521).
Intensidad de energa mnima requerida para fundicin de conductos de plstico
12.5
(Banco Mundial).
El umbral del dolor se alcanza con 8 seg. de exposicin; las quemaduras de
9.5 segundo grado se presentan con perodos de exposicin de 20 seg. (Banco
Mundial).
La exposicin debe ser limitada a pocos segundos, suficientes para escapar.
9.46
(API 521).
6.31 Intensidad en reas donde acciones de emergencia, con duracin hasta de un
minuto, pueden ser realizadas con equipo apropiado (API 521).
4.73 Intensidad de calor en reas donde acciones de emergencia, con duracin hasta
de varios minutos, se pueden realizar por parte de personal sin blindaje, pero
con ropa apropiada (API 521).
4 Suficiente para causar dolor al personal, en caso de que ste no se resguarde
en 20 seg.; Sin embargo es probable la formacin de ampollas en la piel (Banco
Mundial).
1.58 Valor empleado para localidades donde el personal es expuesto continuamente
(API 521).
1.4 No se presentan molestias, aunque durante largos periodos de exposicin
equivale a la intensidad del sol de verano a medio da.
Tabla I.4.5-2 Umbral del dolor de acuerdo al API RP 521:1990

Intensidad de radiacin Tiempo para alcanzar el umbral
trmica en kW/m2 del dolor* en segundos
1.74 60
2.33 40
2.9 30
4.73 16
6.94 9
9.46 6
11.67 4
19.87 2
* Intensidad mxima de un estmulo a partir de la cual se
experimenta sensacin de dolor.
Tabla I.4.5-3. Efectos esperados u observados por sobrepresin
kPa Psig Efecto

0.14 0.02 Ruido fuerte (equivalente a 137 dB a bajas frecuencias, 10-15 Hz).
0.21 0.03 Ruptura ocasional de vidrio en ventanas grandes y bajo tensin.
0.28 0.04 Ruido muy fuerte (143 dB), rotura de vidrios por onda sonora.
0.69 0.1 Rotura de ventanas pequeas bajo tensin.
1.03 0.15 Presin tpica para rotura de vidrio.
Probabilidad de 0.95 de no sufrir dao serio debajo de este valor de presin;
2.07 0.3
10% de vidrios rotos.
2.76 0.4 Dao estructural menor.
3.4-6.9 0.5-1.0 Dao a ventanas pequeas y grandes.
4.8 0.7 Dao menor a estructuras de casa.
6.9 1.0 Demolicin parcial de casas (tal que son inhabitables).
Asbesto corrugado, acero corrugado y paneles de madera desplazados y
6.9-13.8 1-2
daados.
13.8 2 Colapso parcial de paredes y techos de casas.
13.8-20.7 2-3 Muros no reforzados ladeados y parcialmente daados.
15.8 2.3 Lmite inferior para dao estructural serio.
17.2 2.5 Destruccin del 50% de construcciones de ladrillo.
20.7 3 Daos a edificios con estructura metlica, equipo pesado sufre poco dao.
20.7-27.6 3-4 Rotura de tanques de almacenamiento de crudo.
27.6 4 Recubrimiento de edificios industriales fracturado.
34.5 5 Rotura de postes de madera
34.5-48.2 5-7 Destruccin prcticamente completa de casas.
48.2 7 Volcado de carros de ferrocarril
48.2-55.1 7-8 Muros de ladrillo, de 8 a 12 pulgadas de espesor y no reforzados, fallan.
62 9 Demolicin completa de carros de ferrocarril cargados
Probable destruccin total de casas, maquinaria de 7000 lb desplazada y
68.9 10
daada severamente, sobrevive la maquinaria de 12,000 lb.
2068 300 Formacin de crter.
Equipo Sobrepresin en psi

0.5 1.0 1.5 2.0 2.5 3.0 3.5 4.0 4.5 5.0 5.5 6.0 6.5 7.0 7.5 8.0 8.5 9.0 9.5 10 12 14 16 18
Cuarto de control de techo
A C D N
de lmina
Cuarto de control de techo
A E P D N
de concreto
Torre de enfriamiento B F O
Tanque de domo cnico D K U
Cubculo de instrumentos A IM T
Caldera de fuego G I T
Reactor qumico A I P T
Filtro H F V T
Regenerador I IP T
Tanque de domo flotante K U D
Rector de craqueo I I T
Soportes P SO
Servicios: Medidor de gas Q
Servicios: transformador
H I T
elctrico
Motor elctrico H I V
Soplador Q T
Columna fraccionadora R T
Vasija presurizada horizontal PI T
Servicios: regulador de gas I MQ
Columna de extraccin I V T
Turbina de vapor I M S V
Intercambiador de calor I T
Tanque esfrico I I T
Vasija presurizada vertical I T
Bomba I V
A. Se rompen ventanas y cartulas de cristal. H. Ocurren daos por fragmentos que actan O. Colapso de estructuras.
B. Las rejillas se desplazan y caen entre 0.3 y como proyectiles. P. Deformacin de estructuras.
0.5 psi. I. Unidades movidas y se rompen las tuberas. Q. Cajas daadas.
C. Tableros, buses, centros de control daados J. Falla de soportera. R. Estructura agrietada.
por colapso de techo. K. Unidades desplazadas (a la mitad de su S. Rotura de tubera.
D. Colapso de techo. capacidad). T. La unidad vuelca o se destruye.
E. Instrumentos daados. L. Lneas de corriente se rompen. U. Unidades desplazadas (con 90% de su
F. Internos daados. M. Controles daados. capacidad).
G. El ladrillo se rompe. N. Fallan muros de hechos con block. V. La unidad se desplaza de sus cimientos}
Las Guas para la presentacin del estudio de riesgo ambiental niveles 1, 2 y 3 de la

SEMARNAT. indican que los Radios Potenciales de Afectacin para definir y justificar las
zonas de seguridad debern utilizar los siguientes valores:
Zona de:
Amortiguamie
Alto riesgo
nto
Toxicidad (concentracin) IDLH TLV8
Inflamabilidad (radiacin
5 kW/m2 1.4 kW/m2
trmica)
Explosividad (sobre-presin) 0.070 kg/cm2 0.035 kg/cm2
Los anlisis de consecuencias practicados bajo las direcciones de esta gua deben reportar
los radios de afectacin tal como se piden por SEMARNAT. Adicionalmente y dependiendo del
objetivo del anlisis deben incluir estimaciones de consecuencias usando las herramientas
descritas en la seccin I.5.5.
I.4.6 Documentacin del anlisis de consecuencias
El objetivo de esta actividad es materializar el AC en un documento o formato nico que sirva para:
Transmitir informacin detallada a otros grupos del AR.

Justificar las conclusiones obtenidas en el estudio.
Rastrear suposiciones y clculos.
Reproducir del estudio.
El contenido mnimo sugerido para el reporte final de un anlisis de consecuencias es:
Objetivo.
Datos de seguridad de las sustancias.
Formato de Lista de escenarios analizados.
Formatos de Especificacin de escenarios para anlisis de consecuencias.
Resultados (presentacin de resultados y discusin de los mismos).
Conclusiones.
Recomendaciones.
Bibliografa.
Tablas y figuras.
I.4.7 Ejemplo de aplicacin del anlisis de consecuencias
En el HAZOP de una instalacin se identificaron los escenarios de accidente:
Incendio en parte superior de tanque TV-1 de gasolina tipo2.

Incendio en dique de tanque TV-1 de gasolina tipo2.
Realice el anlisis de consecuencias que podra ocasionar este evento en la instalacin que se muestra a
continuacin.
I. Datos del escenario.

Nombre: Incendio en parte superior y en dique de tanque TV-1 de
Clave: Gas01 Tipo se caso1: CA
gasolina tipo2
Descripcin: Se postula el colapso del domo del tanque TV-1 y su
Fecha:
Elab: SS posterior incendio, as mismo, la falla del tanque TV-1 tal que se
19/Oct/08
derrama en el dique y se incendia.
Objetivo Evaluar las posibles afectaciones en el entorno. Phast 6.53.1
II. Sustancias involucradas.
Nombre: Composicin: % molar X, % msico , % volumtrico
Compuesto % Tox. Inf. IDLH STEL TWA
n-Butano 0.673 X
n-Pentano 53.786 X
n-Hexano 29.266 X
n-Heptano 13.326 X
n-Octano 2.73 X
Tolueno 0.020 X
Benceno 0.200 X
III. Condiciones de confinamiento y caractersticas de liberacin.
Estado: Vapor , lquido abajo de su p.e. X,
Presin: 1 bar Temperatura: 18 C
lquido arriba de su p.e.
Fase del material liberado: Vapor , lquido X, vapor y lquido
Tipo de fuga: Falla catastrfica , vlvula de
Contenedor: Cilindro , esfera , tubera , otro :
alivio , orificio en cuerpo o tubera , cizalla
Dique
de tubera, otro X: Incendio en el dique
Alto del recipiente: 1.8 m Dimetro o ancho del recipiente: 20m Largo del recipiente: 20m
rea equivalente del orificio: N/A Elevacin del punto de liberacin: N/A
Direccin de la fuga: Vertical , horizontal , hacia abajo , golpea contra , inclinada
(ngulo___) N/A
Tiempo estimado de liberacin:
Masa que participa: 600 m3
Instantneo
IV. Condiciones atmosfricas y del entorno.
Pares (velocidad de viento, estabilidad atmosfrica): F 1.5
Temperatura atmosfrica 24 C
Temperatura del suelo (si distinta a la atmosfrica) 20 C
Humedad atmosfrica 70%
Tipo de suelo: terreno abierto con objetos aislados
Direcciones dominantes del viento: N/A
V. Lugares de particular inters (Descripcin y distancia del punto de fuga).
Sitio 1 Sitio 2 Sitio 3 Sitio 4
VI. Estados finales para anlisis.
Dardo, antorcha o jet de fuego , Charco de fuego X, incendio de nube , explosin de nube ,
BLEVE / bola de fuego , Nube txica
V. Resumen de resultados (Distancias y afectaciones)
Alcance por toxicidad1 del Alcance de la radiacin
Alcance de la sobrepresin (kg/cm2)
compuesto: trmica (kw/m2)
IDLH STEL TWA 1.4 5 0.035 (0.5 psi) 0.07 (1 psi)
Alcance por inflamabilidad de la mezcla o compuesto: LFL ___ m LFL ____ m
Recomendaciones:
1 2
PC = Peor, CA = Alterno El peor alcance en caso de participar ms de un compuesto txico.
5m 15 m 15 m
TV-1 TV-2
TE-1 30.9 m
22.352 m 22.352 m
TE-2
43.80 m
15 m
12.192 m
1.80 m
Incendio en parte superior TV-1
30
Intensidad de Radiacin
25
20 2m
(kW/m^2
5m
15
10 m
10 15 m
0
0 5 10 15 20 25 30 35 40 45 50
Distancia (m)
Incendio en la parte superior del tanque TV-1
Intensidad
Otros Referencia de radiacin
Evaluacin
equipos espacial trmica
kW/m2
Tanque TV-2 15 m al este y 49 Esta intensidad de radiacin podra ocasionar el
entre 0 - 15 m calentamiento del combustible almacenado, incrementando
de altura la presin y cantidad de gas en el tanque; en
consecuencia, la cantidad de vapores desalojados por el
tanque se podra ver incrementada.
El umbral del dolor se encuentra entre 16 y 4 segundos.
Separado- 20 m al oeste y 47 Esta intensidad de radiacin podra ocasionar el
res elevados entre 0 - 15 m calentamiento del combustible almacenado, incrementando
de altura la presin y cantidad de gas en el tanque; en
TE-1 y TE-2
consecuencia, la cantidad de vapores desalojados por el
tanque se podra ver incrementada.
Incendio en parte superior dique TV-1
25
Intensidad de Radiacin
20
2m
(kW/m^2
15
5m
10 m
10
15 m
5
0
0 5 10 15 20 25 30 35 40 45 50
Distancia (m)
Incendio en la parte superior en el dique del tanque TV-1
Intensidad de
Otros Referencia
radiacin Evaluacin
equipos espacial
trmica kW/m2
Tanque TV-2 6.5 m al este y 11 18 Intensidad de radiacin suficiente para fundir conductos
entre 0 - 15 m de plstico, se podra calentar considerablemente los
de altura. tanques de almacenamiento.
Separado- 5 m al oeste y 12 20 Los almacenes elevados se encuentran
res elevados entre 0 - 15 m aproximadamente a 5 metros de distancia a partir del
de altura. dique del tanque y a 15 metros respecto al piso. En
TE-1 y TE-2
caso de que el viento oriente la flama del dique en
direccin a estos almacenes, los almacenes y las
estructuras que los soportan se veran expuestos al
contacto directo de la flama. Se podra presentar la falla
catastrfica de separadores o las estructuras que los
soportan.
Probabilidad de muerte (Probit) a 10 m, en

direccin horizontal de la frontera de la flama
1.2
1.0
Probabilidad
0.8
0.6
0.4
0.2
P (Tanque)
P (Dique)
0.0
0 5 10 15 20 25 30
Tiempo (min)

800-16400-DCO-GT-75-Guía Técnica para Realizar Análisis de Riesgos de Proceso

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

800-16400-DCO-GT-75-Guía Técnica para Realizar Análisis de Riesgos de Proceso

Cargado por

Copyright:

Formatos disponibles

Clave: 800-16400-DCO-GT-75

Direccin Corporativa de GUAS TCNICAS PARA REALIZAR Revisin: 1

4. CAMPO DE APLICACIN. ................................................................................................................... 4

8. GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO ....................... 8

10. ANEXOS. ................................................................................................................................................ 22

La Direccin Corporativa de Operaciones a travs de la Subdireccin de Disciplina Operativa,

Homologar la seleccin y aplicacin de las metodologas de anlisis de riesgos de procesos en las

Combustin. Reaccin qumica de oxidacin de un material combustible con desprendimiento de llamas,

Derrame. Cualquier descarga, evacuacin, rebose, achique, o vaciamiento de hidrocarburos u otras

Escenario de riesgo. Determinacin de un evento hipottico, en el cual se considera la ocurrencia de un

Estabilidad atmosfrica. Describe el nivel de turbulencia en la atmsfera. Depende de la velocidad de

Evento Tope. Evento especfico no deseado.

Fuego. Consecuencia visible de la combustin.

Incendio. Combustin no controlada.

Intencin de diseo. Ver propsito de diseo.

Lmite inferior de inflamabilidad; explosividad inferior (LIE). Es la concentracin mnima de cualquier

Lmite superior de inflamabilidad; explosividad superior (LSE). Es la concentracin mxima de

Propsito de diseo. Rango de valores deseados o especificados por el diseador sobre el

Zona intermedia de salvaguarda. rea determinada del resultado de la aplicacin de criterios y

AAE Anlisis de rboles de Eventos

AIChE American Institute of Chemical Engineers

8. GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO.

8.1 CONCEPTOS DE ANLISIS DE RIESGOS.

El anlisis de riesgos es una herramienta til para:

Identificar peligros, riesgos y estrategias para su manejo y control.

Identificacin sistemtica de peligros potenciales en los procesos.

Identificacin y comunicacin de riesgos e incertidumbres asociadas a ellos.

El riesgo tambin se puede presentar como consecuencia de los siguientes peligros:

Peligros naturales (inundaciones, sismos, huracanes, etc.).

8.2 PROCESO DE ANLISIS DE RIESGOS.

8.2.1 El Proceso de Gestin de Riesgo.

b) Definicin del contexto

c) Identificacin de los peligros y los riesgos

d) Identificacin y evaluacin de los controles existentes

Determinar la probabilidad de ocurrencia del escenario de riesgo y sus posibles consecuencias, as

e) Jerarquizacin de los riesgos

f) Administracin de los riesgos

g) Monitoreo y revisin de riesgos

8.2.2 El Proceso de Identificacin, Anlisis y Evaluacin de Riesgos.

1. Definicin del alcance.

4. Verificacin del anlisis.

Definicin del alcance.

a. Describir las razones y/o problemas que motivaron el anlisis de riesgos.

Figura 8-1 El proceso de gestin del riesgo

Identificacin de peligros y riesgos.

Estimacin del nivel de riesgo.

En esta etapa, se deben considerar los eventos iniciadores y su probabilidad de ocurrencia, la

El anlisis de la frecuencia, se emplea para estimar la probabilidad de ocurrencia de cada evento no

El uso de datos histricos

El anlisis de consecuencias debe:

Estar basado en eventos no deseados previamente seleccionados

Clculo del riesgo.

Frecuencia de muerte para un individuo (riesgo individual).

Verificacin del anlisis.

El anlisis se debe someter a un proceso formal de verificacin por personal no involucrado en su

La verificacin debe incluir las siguientes etapas:

a. Verificar que el alcance sea consistente con los objetivos establecidos.

Generar las diferentes opciones para la administracin del riesgo.

- Grado de riesgo remanente.

Documentacin del anlisis.

Actualizacin del anlisis.

8.3 METODOLOGAS DE ANLISIS DE RIESGOS.

8.3.1 Identificacin de peligros.