Consideremos el papel de las capas de seguridad en el desastre de Bhopal

A medida que la situación se desarrollaba, numerosas capas de protección fallaban. Eche un

vistazo a las capas de seguridad que funcionaron y las que no lo hicieron, y pregunte si hay
similitudes en su instalación.

La liberación de gases tóxicos de una planta química en Bhopal, India, hace 30 años, cambió la
manera en que se practica la seguridad del proceso químico en todo el mundo. Antes del incidente
de Bhopal, una liberación catastrófica de un gas tóxico de una planta química que podría matar a
miles de personas no se pensó que fuera posible (1-3).

Poco después de la medianoche del 3 de diciembre de 1984, 40 toneladas de un gas tóxico,

consistente principalmente de isocianato de metilo (MIC), entraron en la atmósfera desde una
planta de fabricación de plaguicidas. La liberación viajó con el viento prevaleciente hacia áreas
densamente pobladas cercanas. Aunque no existen cifras exactas de muertes y lesiones, se estima
que 2.000 personas murieron y 100.000 resultaron heridas o afectadas como consecuencia de la
exposición a gases tóxicos. Se produjeron daños significativos en el ganado y los cultivos. El pánico
prevaleció en la ciudad de 900.000 habitantes. En términos de pérdidas de vidas, sigue siendo el
mayor desastre químico registrado hasta la fecha (4).

Acerca de la instalación

La planta, ubicada a dos millas al norte de la estación de ferrocarril de Bhopal, era propiedad de
Union Carbide India Ltd. (UCIL), una empresa conjunta de Union Carbide Corp. USA, que poseía el
50,9% de las acciones, y un grupo de Instituciones Indias controladas por el gobierno (5). La
División de Productos Agrícolas de UCIL operaba la planta de Bhopal, que fabricaba productos
agrícolas tales como fungicidas, acaricidas, herbicidas e insecticidas. Un poco más del 8% de las
ventas de UCIL provenían de esta planta.

La UCIL entró en el mercado de plaguicidas a principios de la década de 1960 y la División de

Productos Agrícolas de la UCIL empezó a fabricar plaguicidas en una nueva planta en 1970.
Inicialmente, la planta solo realizaba la mezcla de formulación de plaguicidas. La instalación fue
poco a poco integrada y la producción de MIC comenzó en 1980. La planta tenía una capacidad de
5.250 m.t. de CMI por año (5).

La figura 1 es un esquema del bunker que contenía tres tanques de almacenamiento de 15.000 gal
para el MIC - un líquido con una presión de vapor muy alta en condiciones ambientales (su punto
de ebullición es 39.1 ° C). El tanque 610 fue la fuente del MIC liberado al medio ambiente. En las
especificaciones originales de Union Carbide, los tanques 610 y 611 estaban destinados a soportar
hasta la mitad de su capacidad de MIC. El tanque 619 proporcionó capacidad de reserva para
materiales excesivos y fuera de especificación.
Debido a su alta volatilidad, los tanques incluyeron una unidad de refrigeración (Figura 2) diseñada
para mantener las temperaturas del tanque de almacenamiento por debajo de 15 ° C y
preferiblemente cerca de 0 ° C. Debido a que la MIC es inflamable, una almohadilla de gas
nitrógeno (presión de diseño +15 psi de nitrógeno) proporcionó cobertura. Para proteger los
tanques de la sobrepresión, un sistema de alivio - que consta de un disco de rotura, seguido de un
indicador de presión revelador, seguido de una válvula de alivio del resorte - alimentado en un
cabezal de ventilación de la válvula de alivio (RVVH). Aguas abajo de la válvula de alivio del tanque
se encontraba un sistema de lavado de gases de ventilación que usaba una solución de NaOH
recirculante, un tambor de expulsión y una torre de bengalas (Figura 3). El cabezal de ventilación
del proceso (PVH) también alimentó el depurador.

Capas de protección y LOPA

Una capa de protección implica una barrera para prevenir y/o mitigar las consecuencias de un
evento. En la Edad Media, el foso alrededor de un castillo servía como una capa de protección,
evitando que los saqueadores llegaran al castillo. En un automóvil, los cinturones de seguridad y
las bolsas de aire mitigan lesiones cuando ocurre un accidente.

A finales de los años ochenta y principios de los noventa, se desarrollaron técnicas de análisis de
protección (LOPA) en la industria química para evaluar las capas principales que pueden mitigar las
lesiones y los daños causados por un evento de iniciación como una explosión, un incendio o una
liberación. LOPA es un enfoque holístico que identifica las salvaguardias principales, las categoriza,
determina si son independientes y evalúa su capacidad para realizar o demandar. Más información
de LOPA está disponible en Refs. 8-13

La Figura 4 muestra las siete capas de protección que se emplean típicamente en las industrias de
procesos químicos (CPI). La primera capa (interior) es el diseño del proceso, donde se aplican
conceptos de seguridad inherentes, como la minimización y alternativas más seguras, durante el
diseño de una planta. Después de la construcción de la planta, la primera capa también incluye la
capacitación del personal y las acciones tomadas por los operadores cuando se producen
desviaciones de proceso. La segunda capa consiste en sistemas de control básicos y alarmas que
interceden para prevenir un evento iniciador. La tercera capa incluye alarmas críticas e
intervención manual que son independientes del control de proceso normal.

La cuarta capa es un sistema automatizado de seguridad instrumentado (SIS) o un dispositivo de

apagado de emergencia (ESD). La quinta capa consta de dispositivos de alivio. La sexta capa es el
uso de diques para la contención en caso de un derrame importante o falla del tanque. La séptima
capa es el procedimiento de respuesta de emergencia de la planta. También hay una octava capa
que no se muestra aquí - respuesta de la comunidad; Cuando se ha alcanzado la octava capa, el
evento se considera catastrófico. Un requisito importante para estas capas es que cada una es
independiente de las otras. Por ejemplo, en el caso de que una interrupción eléctrica general haga
inoperable la capa de control básica, debe existir una fuente de alimentación de emergencia
separada para la capa SIS.

LOPA es una herramienta de análisis semi-cuantitativo para evaluar si existe una mitigación
adecuada para un incidente de seguridad de proceso particular, que se conoce como un evento
iniciador (IE). LOPA no es un análisis completo del árbol de eventos. Por el contrario, estima la
efectividad de las capas de protección existentes para prevenir y mitigar un IE, cuya frecuencia se
denomina IEF. Existen dos resultados dentro de cada capa: o la medida de protección funciona, o
no funciona cuando se necesita. Estos dos resultados se caracterizan por una probabilidad de
trabajar a la demanda (PWD) y una probabilidad de fallo a demanda (PFD), cuya suma debe ser 1
para cada capa de protección independiente (IPL). La discusión adicional de IPLs está disponible en
un nuevo centro para el libro de la seguridad de proceso químico (CCPS) (14).

El resto del artículo ilustra la aplicación de LOPA a la planta de plaguicidas de Bhopal. Describe las
capas de protección colocadas durante el diseño y la construcción de la planta, y discute el
desempeño de cada capa durante el incidente. También resume lecciones clave y ofrece consejos
sobre cómo evitar errores similares.

Capa de análisis de protección para tanque 610

LOPA comienza con un escenario y un evento de iniciación asociado. El escenario considerado aquí
es una liberación importante de vapor de MIC en la comunidad circundante. Esto puede ocurrir si
el tanque de almacenamiento falla, la pared del tanque de almacenamiento falla (como en una
explosión) o el sistema de alivio falla.

Aunque se pueden prever varios eventos iniciadores, un equipo experimentado de análisis de

riesgos debe identificar aquellos que importan. El evento de iniciación en este ejemplo es la
contaminación del contenido del tanque de almacenamiento. El evento real que inició el incidente
de Bhopal se ha rastreado hasta la entrada de aproximadamente 500 kg de agua en el tanque 610.

A continuación, se debe conocer o estimar la frecuencia del evento iniciador (IEF). El IEF actual en
el caso de Bhopal está sujeto a debate. La planta de MIC se abrió en 1980, y el evento iniciador
ocurrió 4.8 años después de que la planta comenzó a operar. Supongamos, sin embargo, que la
frecuencia de contaminación de un tanque de almacenamiento por agua es una vez cada 10 años.
Por conveniencia, este ejemplo usa IEF = 0,1 año-1.

Capas de protección diseñadas en la planta de Bhopal MIC

Capa 1 - Propósito del diseño corporativo.

El diseño incluyó dos tanques de almacenamiento de productos (tanques 610 y 611), cada uno
dimensionado para el doble del volumen requerido, así como un tercer tanque (tanque 619) para
el producto excesivo y fuera de la especificación (20). Estos tanques estaban equipados con
indicadores de control de nivel conectados a alarmas en la sala de control. La capacitación del
personal de operación también formó parte de esta primera capa. La probabilidad de fallo en la
demanda de estas medidas es PFD11 = 0,1.

Capa 2 - Controles básicos.

Los tanques fueron equipados con un sistema de control de temperatura. Se utilizó un sistema de
refrigeración externo para mantener la temperatura del contenido del tanque por debajo de 15 °
C. Para esta capa, PFD12 = 0,1.
Capa 3 - Alarmas críticas e intervención manual.

Los tanques de almacenamiento estaban equipados con indicadores de temperatura y de nivel

(Figura 5) que sonarían una alarma y luces de advertencia de flash. Un manual de seguridad para la
planta declaró: "Si el tanque de metil-isocianato se contamina o falla, transfiera parte o todo el
contenido al tanque de reserva vacío" (20) - es decir, intervenga para transferir manualmente el
material al tanque 619. Esta capa depende En la respuesta humana a una condición anormal, que
en las mejores circunstancias tiene un PFD13 = 0,1 (14).

Capa 4 - SIS o ESD.

La planta de MIC no parecía estar equipada con un SIS o ESD. Por tanto, PFD14 = 1,0.

Capa 5 - Dispositivos de alivio.

El sistema de alivio consistió en un disco de ruptura, una válvula de alivio y un sistema de

llamarada, en serie. El PFD total para esta combinación de dispositivos es PFD15 = 0,1. El
depurador de NaOH (Figura 6) también formaba parte del sistema de alivio; Sin embargo, se
diseñó para versiones pequeñas y, por lo tanto, no afecta al escenario de una versión importante
de MIC.

Capa 6 - Dique.

La planta no tenía un dique de contención secundaria, por lo que PFD16 = 1,0 para esta capa.
(Incluso si un dique estuviera presente, su PFD sería de 1. MIC es extremadamente volátil, y las
temperaturas en la India central puede superar su punto de ebullición 39.1 ° C. Si el tanque falló y
MIC líquido derramado en una zona contenida, los vapores evolucionarían En concentraciones que
son mortales tanto dentro de la planta como fuera de ella).

Capa 7 - Respuesta de emergencia de la planta. Algunos empleados de la planta fueron

entrenados en la respuesta de emergencia y trataron de responder, por lo que PFD17 = 0.1. Esta
capa también depende de la respuesta humana a una condición anormal.

Por lo tanto, se espera que estas capas mitiguen este escenario (una liberación de MIC de un
tanque de almacenamiento) a una frecuencia del orden de 10-6 años - es decir, una liberación
importante en un millón de años.

En su lugar, todas las capas estaban comprometidas, y por lo tanto el PFD para cada capa era 1,0.
Al leer las siguientes secciones, considere: ¿Existen analogías en sus instalaciones?

Capa 1: Diseño, procedimientos, entrenamiento

Las instrucciones de operación especificadas: "No llene excesivamente el depósito más allá del
50% con MIC". Alguien dentro de la supervisión de operación tomó la decisión de aprobar el
tanque de llenado 610 al 85% de capacidad. Esa persona puede haber razonado que el cierre
anticipado y el desmantelamiento de la planta (5) justificaban

Esa decisión porque el exceso de inventario sería temporal. Además, la intención de la instrucción
original puede haberse perdido en el tiempo entre los diseñadores, el equipo de análisis de riesgos
y los operadores de la planta. Como 1984 comenzó, la planta estaba perdiendo dinero y operando
a un tercio de su capacidad. Esto llevó a despidos y transferencias, y menos operadores de turno
fueron asignados para monitorear el proceso. El 50% de la regla de volumen podría haberse
perdido en las transiciones.

Lecciones: MIC fue un intermedio. Lo que usted no tiene no puede vaciar, tomar fuego, o causar
un problema (21). Diseñar la planta para producir y utilizar productos intermedios a demanda. La
mayoría de las plantas tienen normas cuyo origen no es conocido o entendido por el personal
actual. Con razón, algunas reglas pueden ser cambiadas; Sin embargo, se debe llevar a cabo un
análisis de la gestión del cambio (MOC). Más importante aún, a medida que se contratan nuevos
operadores y supervisores, es fundamental explicar el contexto de las reglas y procedimientos y
las consecuencias de empujar estas especificaciones más allá de su intención original. ¿Tiene su
instalación una regla tal que los operadores no tienen ni idea? Cualquier cierre anticipado coloca a
una planta en riesgo en términos de seguridad, y la planta es aún más vulnerable si los despidos
Ocurrir de antemano.

La gerencia debe examinar cuidadosamente cómo hacer esas transiciones. Funcionamiento seguro
y apagado debe comunicarse a todo el personal, con incentivos para Fomentar su buy-in. Si los
trabajadores son reasignados, asegúrese de que reciben formación. En Bhopal, los operadores
contratados para la nueva planta en 1979 recibió tres semanas de entrenamiento. Para 1984, ese
prácticamente habían desaparecido. Nunca subestimes El valor de la formación adecuada en las
principales plantas químicas. Hacer Sus nuevos empleados y transferencias internas reciben el
nivel del entrenamiento que se hizo cuando la planta fue puesta en marcha?

Capa 2: Sistema de enfriamiento

El sistema de refrigeración instalado para eliminar el calor exotérmico de reacción dentro del
tanque fue desactivado por el manejo de la planta. Esto se representó como una medida de
ahorro de costos y una forma de obtener divisas, ya que la administración de la planta estaba bajo
presión para reducir los costos para evitar el cierre de la planta.

Lecciones: La gerencia busca continuamente maneras de reducir costos. Los ingenieros necesitan
comunicarse con la gerencia

Que no se deberían realizar reducciones de costos para los sistemas de seguridad críticos. Todos
los sistemas de seguridad fueron instalados por una razón. Evaluar la eliminación de cualquier
sistema de seguridad a través de un análisis de MOC para entender los riesgos y recompensas. A
continuación, debe explicar a la dirección que la inhabilitación de estos como medidas de
reducción de costos puede incurrir en un costo grave.

Capa 3: Instrumentación e intervención manual La planta contaba con indicadores y alarmas de

alta temperatura y alto nivel para alertar al personal.

Los operadores eran conscientes de la creciente presión y temperatura en el Tanque 610. No hay
registro de una intervención manual para transferir material al Tanque 619.

Lecciones: Esta capa se basa en factores humanos y requiere que la gente tome medidas
correctivas en una emergencia. La práctica cuenta, al igual que en los deportes y la música. Los
ejercicios de entrenamiento que simulan las acciones correctivas apropiadas deben ser
desarrollados dentro de la planta y practicados por los operadores. ¿Cuándo fue la última vez que
simuló una situación anormal dentro de su sala de control y los operadores practicaron tomando
acciones correctivas?

Capa 4: Automatización

Ningún SIS o ESD fue evidente en el diseño de la planta de Bhopal. Por ejemplo, no existía un
dispositivo de disparo automatizado que pudiera sofocar una reacción desbocada dentro del
tanque de almacenamiento. (Es cierto que 40 toneladas son una cantidad considerable de material
- demasiado para saciar eficazmente.)

Lecciones: ¿Debe su sistema tener un SIS o ESD? Bajo las condiciones de diseño adecuadas, estos
dispositivos pueden tener un PFD de 0,01. Un factor importante es que el SIS o ESD debe ser
completamente independiente y trabajar sin intervención humana. Hecho bien, esta capa ahorra
plantas y vidas.

Capa 5: Sistema de socorro

El disco de rotura seguido por la válvula de alivio (Figura 7) funcionó a demanda. El RVVH tenía
suficiente capacidad. Esto evitó lo que podría haber sido una explosión aún más catastrófica. Sin
embargo, el sistema de alivio fracasó porque la llamarada (Figura 8) estaba fuera de servicio
esperando el reemplazo de una sección de 4 pies de tubería corroída. Con el sistema de bengalas
fuera de servicio, el material en el RVVH no tenía ningún lugar para ir sino en el aire.

Lecciones: Tómese un momento para pensar en su seguridad Sistemas. ¿Hay algún servicio fuera
de servicio en espera de reparación? En caso afirmativo, ¿Hay una sensación de urgencia para
hacer la reparación para que la sistemas de seguridad están disponibles para hacer su trabajo a la
demanda?

Capa 6: Dique

La existencia de un dique no es relevante, ya que se trata de una liberación de gases tóxicos.

Diking alrededor de los tanques de almacenamiento no habría afectado el resultado de este
desastre.

Lecciones: Desde un prospecto más amplio, el dique es fundamental para mitigar un accidente
cuando se liberan líquidos. ¿Sus tanques de almacenamiento de líquidos tienen diking? ¿Se ha
inspeccionado? ¿Recientemente? Si sus tanques no están equipados con un dique o cuenca, ¿le
preocuparía si ocurriera una liberación importante?

Capa 7: Respuesta de emergencia.

Unos cuantos operadores trataron de rociar agua sobre la columna de gas dejando el depurador.
Las mangueras estaban insuficientemente presurizadas, y el arroyo de 100 pies de altura no podía
llegar a la pluma, que estaba saliendo a 120 pies.

Lecciones: Se debe practicar una respuesta de emergencia. El equipo de respuesta de la planta

necesita ejecutar simulacros de escenarios y prácticas para que estén preparados para responder
a un evento importante. De esta manera, cosas como la baja presión de agua o la necesidad de
máscaras de gas se descubrirán de antemano. Durante un ejercicio a gran escala de respuesta a la
fusión de plantas y comunidades en una planta en funcionamiento, observé que el detector de gas
inflamable en un tanque de almacenamiento de butano estaba en reposo. La pérdida de
producción ese día fue de cientos de miles de dólares. Sin embargo, el cuerpo de bomberos local
practicó la colocación de espuma en un tanque de butano que no se quemaba, preparándolos
para responder en caso de un incendio real. Lo que es más importante, la dirección reforzó a todo
el personal de la planta que cada empleado tiene la autoridad para cerrar la planta si un posible
evento inseguro parece estar desplegando.

¿Sus operadores tienen esa autoridad? Muchos accidentes ocurrieron porque los operadores
temían cerrar la operación cuando deberían haberlo hecho.