La Gestión del Riesgo Industrial, una herramienta para evitar

accidentes catastróficos
MANGA, Raúl (REPSOL) - Analista de Riesgos y Seguridad Unidad de Negocio Perú –
raularmando.manga@repsol.com

INTRODUCCIÓN

La extracción y producción de hidrocarburos, por la naturaleza de sus instalaciones y operaciones,

conlleva peligros inherentes que si no son controlados adecuadamente pueden desencadenar en
accidentes mayores con consecuencias incalculables, como lo ocurrido con la plataforma marina
“Piper Alpha” de Occidental Petroleum que en julio de 1988 tras un serie de explosiones quedó
completamente destruida y con un saldo de 167 muertos convirtiéndose en el mayor desastre
ocurrido en la industria de los hidrocarburos, no sólo por el número de víctimas, sino también por
la afectación económica y en la confianza empresarial de la indústria petrolera; el hundimiento
producto de una explosión, de la plataforma “Deepwater Horizon” de BP en abril del 2010
provocando el más importante vertido de petróleo de la historia estimado en 779000 ton de
petróleo crudo, o la explosión en la planta de gas de Reynosa de PEMEX en setimebre del 2012
con un saldo de alrededor de 30 fatalidades.

La gestión del riesgo está enfocada, precisamente, en el desarrollo de técnicas y herramientas

para la prevención de este tipo de accidentes mayores, aplicándolas a lo largo de toda la cadena
de valor del negocio de E&P. Estas técnicas y herramientas deberán identificar los peligros, evaluar
los riesgos y propiciar la implantación eficiente de las medidas preventivas y mitigatorias que sean
necesarias para la seguridad de los procesos.

UN PROCESO INTUITIVO

Día a día y de manera inherente analizamos nuestras actividades desde la contextualización del
entorno y la identificación de los peligros a los que estamos expuestos, analizamos y evaluamos
los riesgos asociados a los peligros identificados, y finalmente priorizamos y ejecutamos las
acciones necesarias para ponernos a salvo.
 Figura 1: Proceso intutivo de Gestión del Riesgo

Este proceso “intuitivo”, que desarrollamos cotidianamente, es la base de la gestión del riesgo
industrial como herramienta para evitar accidentes catastróficos, pero antes debemos
esquematizarlo y procedimentarlo adecuadamente. En este sentido la Política de Seguridad, Salud
y Medio Ambiente de Repsol contempla como principio fundamental la incorporación de la
gestión del riesgo a lo largo del ciclo de vida de las instalaciones (diseño, construcción, operación,
mantenimiento, desmantelamiento y abandono), con un enfoque en particular, definido y
procedimentado, en cada etapa. Es importante recalcar que el desarrollo de valores profesionales
y éticos relacionados con la responsabilidad, estilo de mando, formación, compromiso y
motivación de las personas implicadas es un factor trascendental.

Figura 2: Modelo genérico de Gestión del Riesgo

La incorporación de la gestión del riesgo desde la visualización de los proyectos, nos

garantizará una etapa operativa segura
ALGUNOS CONCEPTOS BÁSICOS

Recordemos algunos conceptos necesarios para ir entendiendo el proceso; entonces ¿qué es el

peligro?, es la fuente o situación potencial de daño, entérminos de lesiones o efectos negativos en
la salud de las personas, el medio ambiente, activos o la combinación de estos. El peligro es un
concepto siempre presente, no existe incertidumbre, los peligros se IDENTIFICAN. ¿Y el riesgo?, es
la combinación de la frecuencia de las consecuencias (daños), derivadas de la materialización de
un peligro, el riesgo es un concepto estadístico y por ende tiene incertidumbre asociada, los
riesgos se CALCULAN. El riesgo de acuerdo a la ISO 31000:2009 – Gestión de riesgos, define al
riesgo como el efecto de la incertidumbre sobre los objetivos. El entendimiento claro de estos
conceptos es el punto de partida en la gestión de riesgos, ya que un peligro no identificado, es un
riesgo no controlado.

En Repsol se han definido corporativamente una serie de normas y procedimeintos como parte del
proceso de gestión de riesgos específicos en el negocio del Upstream, en estos documentos se
incluyen los roles y responsabilidades de los actores del proceso, los lineamientos específicos para
la utilización de las herramientas del proceso, y los conceptos necesarios sbre los cuales se basará
la gestión. También nos brindan los registros necesarios para el control y seguimeinto de la
implementación de las acciones de mejora y la demostración que los riesgos se encuentran
controlados.

MODELO GENÉRICO DE GESTIÓN DEL RIESGO

La norma 353-NO030MG “Gestión del riesgo de Seguridad y Medio Ambiente en Proyectos y

Activos Industriales” es el documento marco corporativo, a partir del cual, se han elaborado
directrices especificas para el negocio. Los requisitos de esta norma corporativa se complementan,
dentro de la Dirección General de E&P y para todas las actividades de E&P (exploración, estudios
sísmicos, perforación, producción, logística, construcción, abandono), con el proceso genérico de
gestión de riesgos, explicado en el documento 012 MR 03400 MN EP DGU “Gestión del peligro”

El proceso utiliza técnicas de evaluación cualitativa y cuantitativa de riesgos para llegar a unos
niveles de riesgo que sean tan bajos como es razonablemente práctico (ALARP). Los casos de
seguridad (safety cases) recogen la garantía del logro y mantenimiento de los niveles de riesgo
ALARP en las instalaciones de producción.

Los peligros y riesgos de Seguridad y Medio Ambiente, ya estén relacionados con la seguridad, la
salud, el medioambiente o con aspectos sociales, se gestionan de acuerdo con el modelo genérico,
tal y como se muestra a continuación:
Figura 3: Modelo genérico de Gestión del Riesgo

Los pasos se explican con mayor detalle en las tablas que se muestran a continuación:

Paso Descripcón
Se identifican peligros y aspectos medioambientales, sucesos iniciales y
Identificar
amenazas que puedan liberar un peligro.
Se eliminan todos los peligros que se puedan. Se evalúa el resto de peligros
Evaluar utilizando las técnicas más apropiadas, dependiendo de la probabilidad de
dichos riesgos.
Se utilizan las herramientas, técnicas y conocimientos adecuados para
identificar medidas de control para aquellas amenazas que puedan dar lugar
Controlar a la liberación de un peligro. Las medidas de control de amenazas pueden
estar relacionadas con la ingeniería de diseño, la construcción, el
mantenimiento, las operaciones, los procesos o la organización.
Se utilizan las herramientas, técnicas y conocimientos adecuados para
identificar medidas de recuperación que mitiguen las consecuencias de la
Recuperar
liberación de un peligro. Las medidas de recuperación minimizan los daños,
evitan que el suceso vaya a más y restablecen la estabilidad.

Este proceso genérico puede ampliarse y aplicarse cada vez más en detalle a medida que el
proyecto, diseño o plan de actividad se desarrolle. Cuando alcanza el máximo nivel de detalle,
conforma las bases de la evaluación de riesgos de tareas para el lugar de trabajo.
Para completar el proceso de gestión de peligros, es necesario llevar a cabo dos pasos adicionales:

Paso Descripcón
Las medidas de control y recuperación identificadas se programan y se
Implementar las incluyen en el presupuesto para ser implantadas. Se designa, para cada una
medidas de las medidas de control y recuperación, a una persona responsable de su
implantación.
Durante el ciclo de vida del proyecto o el activo, se analiza la eficacia del
proyecto cada cierto tiempo, para así:
 Asegurar la eficiencia y eficacia de los controles tanto en su diseño
como en su funcionamiento.
 Obtener más información para mejorar la gestión de peligros.
Supervisar y
 Detectar cambios en el contexto de la gestión de peligros.
revisar
 Asegurar que la gestión de peligros se actualiza de tal manera que se
refleje cualquier cambio en el contexto y los proyectos o en los
activos en sí.
Los resultados de la supervisión y la revisión deberán registrarse en un
informe.

CRITERIO DE TOLERABILIDAD DE RIESGO (ALARP)

En esta parte, debemos recordar que el riesgo CERO no existe, por lo que es necesario fijar un
criterio de tolerabilidad, sin embargo el hecho de que un riesgo sea considerado tolerable no
significa que sea visto como algo insignificante o ue pueda ignorarse, sino como algo que hay que
revisar continuamente y reducir tan pronto como sea posible.

Hablemos del Criterio de Riesgos ALARP (As Low As Reazonable Practice), que se adopta para
marcar el punto en que la reducción de riesgos ha sido suficiente. Para reducir un riesgo a un nivel
tan bajo como sea razonablemente práctico (ALARP) es necesario compensar la reducción del
riesgo con el tiempo, el esfuerzo, la dificultad y el costo de conseguir dicha reducción. Este nivel
muestra en el punto en el que, según una evaluación objetiva, el tiempo, el esfuerzo, la dificultad y
el costo de las medidas adicionales de reducción se vuelven desproporcionados en comparación
con la reducción adicional del riesgo conseguido.
 Figura 4: Nivel de Riesgo y demosración ALARP

Los riesgos evaluados dentro de la región “Riesgo extremo o urgente/medidas obligatorias”

requieren una atención inmediata (incluyendo la elaboración de estudios detallados específicos, el
cese de la actividad o el abandono de la opción de desarrollo asociada) para minimizar la
exposición al riesgo, de forma que el riesgo residual se reduzca a una región más baja. En el
negocio de E&P está prohibido operar dentro de la región “Riesgo extremo o urgente/medidas
obligatorias”

Los riesgos evaluados dentro de la región “Riesgo alto o moderado/reducción del riesgo necesaria”
deberán analizarse y reducirse a niveles que sean manifiestamente ALARP. Las actividades de
gestión de reisgos ayudan a demostrar los niveles de riesgo ALARP durante las fases de un
proyecto y en las etapas de operación y abandono de una instalación. En particular, el desarrollo
de casos de seguridad (safety cases) de diseño y operaciones proporciona un planteamiento
estructurado para demostrar los ALARP. En la región “Riesgo leve/mejora continua” no se necesita
ningún tipo de trabajo específico para demostrar los ALARP. Los esfuerzos para analizar y reducir
aún más los riesgos forman parte de los programas de mejora continua.
GESTIÓN DE PELIGROS DE ACCIDENTES GRAVES (MAH)

Un MAH (Major Accident Hazard), es aquel peligro, cuya liberación o descontrol puede resultar en:
- un incidente que involucre una explosión, fuego, desctonrol de pozos, emisón de
sustancias peligrosas, con potencial para causar fatalidades o daños personales serios,
- un incidente que conduzca a serios daños en la instalación o infraestructura con potencial
para causar fatalidades o daños personales serios,
- cualquier otro incidente que conduzca a fatalidades o daños personales serios a 5 o más
personas dentro de la instalación donde ocurra la liberación del peligro, o donde hay una
fuente de liberación de sustancias peligrosas,
- cualquien incidente amebiental mayor, como resultado de los anteriores.

Los MAH son identificados durante las sesiones HAZID (Hazard Identification). La ISO 17776,
también es usada como iput para la identificación de MAH,brindándonos un listado pre elaborado.

La metodología Bow Tie es una técnica cualitativa de análisis y evaluación de riesgos , utilizada
como soporte para la demostración ALARP de los MAH. Se debe elaborar un Bow Tie específico en
los proyectos o activos, para cada MAH identificado.

Figura 5: Gestión del Riesgo de MAH

APLICACIÓN DE LA METODOLOGÍA BOW TIE

La metodología Bow Tie es usada para analizar MAH en las actividades y operaciones de E&P, esta
metodología es aplicada a los activos (durate todo el ciclo de vida: por ejemplo prospecciones
sísmicas, perforacón, desarrollo, producción y abandono) y los diferentes proyectos en ele
negocio.

El desarrollo de un Bow Tie nos permitirá idenificar:

- las causas con potencial para liberar el peligro produciendo el evento inciador,
- las consecuencias de la liberación del peligro,
- las barreras para controlas las causas (controles de causas) y mitigar las consecuencias
(medidas de recuperación),
- los factores de escalamiento, qe pueden debilitar la efectividad de las barreras, junto con
sus controles (controles de factoes de escalamiento) para disminuir sus efectos,
- la interacción enter las barreras y los sistemas de gestión.

Figura 7: El Bow Tie en el Proceso de Gestión del Riesgo

APLICACIÓN DE LA METODOLOGÍA BOW TIE

El software utlilizado para la construcción de un diagramaBow Tie es el Bow Tie XP. El proceso
genérico para a construcción de un diagrama Bow Tie está basado en las siguientes preguntas que
deberán ser contestdas y el siguiente esquema secuencial.

Paso Pregunta
MAH y Evento iniciador ¿Cuál es el MAH?, ¿Qué psas si el peligro es liberado?
¿Qué puede causar la liberación del peligro?, ¿Cómo se puede
Causas perder el control?, ¿Las causas pueden producir diectmente el
evento iniciador?, ¿Las causas actúan de manera independiente?
¿Cómo se puede desarrollar el evento?, ¿Cuáles son las potenciales
Consecuencias
consecuencias?
¿Cómo se puede prevenir la liberación del peligro?, ¿Cómo se
Control de Causas
mantiene el control?
¿Cómo se puede limitar la severidad del evento?, ¿Cómo s pueden
Medidas de Recuperación
minimizar los efectos?
¿Cómo pueden los controles de causas y medidas de recuperación
Factores de escalamiento
fallar?, ¿Cómo puede ser minimizada su efectividad?
Control de los Factores de ¿Cómo se puede evitar el efecto de los factores de escalamiento?
Escalamiento
¿Cuán amenudo no funciona la barrera?, ¿Cuán confiable es la
Evaluación de la
barrera?, ¿Es independiente?, ¿Qué tán independiente es del fctor
efectividad
humano?
Evaluación de la ¿Las barreras proveen el control adecuado de las causas y las
aceptación consecuencias?
 Figura 8: Proceso de construcción de un Bow Tie

i. Evento iniciador
Es el punto en el tiempo en que la contención de la sustancia o el control de la actividad se
pierde, sin que la consecuencia se haya materializdo aún. Otros eventos iniciadores pueden
ser la pérdida de la integridad estrcutural o la pérdida de la estabilidad.

ii. Causas
Son las posibles causas que pueden liberar el peligro, producir el evento iniciador y
subsecuentemente una de las consecuencias o combinación de ellas. Las causas
identificadas deben ser creibles .

iii. Consecuencias
Las consecuencias están definidas en términos de eventos que pueden causar daños a las
personas, al medio ambiente o a los activos y consecuentemete a la reputación.
iv. Barreras
Las barreras son los medios para evitar que las causas tengan éxito a liberar el peligro y
minimizar la severidad de las consecuencias una vez que el pleigro haya sido liberado.

Las barreras (control de amenzas, medidas de recuperación y control de factores de

escalamiento) se clasifican en 2 grupos:

a) Barreras basadas en Hardware, conocidas como Safety and Environmental Critical

Elements SECE, que son instalaciones o partes de estas (incluye programas de
computadora) cuyo fallo puede causar o contribuir a un MAH y/o que su finalidad es
prevenir o mitigar lso efectos de un MA. Estos se dividen en 2 tipos:
- SECE Activos: requieren una activación (automática, lógica o manual) para cumplir
su objetivo, por ejemplo sistemas de relevamiento, emergency shutdown,
sistemas de blowdown, sistemas de contra incendio, etc.
- SECE Pasivos: no requieren una activación para cumplir su objetivo. Por ejemplo
tuberías, tanques, muros contra incendio, contención secundaria, protección anti
explosión, etc.

b) Barreras basadas en personas, que también pueden ser de 2 tipos:

- Tareas críticas: acciones que recaen directamente en personas para prevenir o
mitigar directamente los MAH. Implican interacción con equipos y sistemas. Las
tareas no deben ser confundidas cn actividades que tienen influencia directa en el
performance de lso SECE (pruebas, inspeccions y mantenimiento)
- Procesos críticos: básicamente procediemitos, estándares, programas, sistemas,
que necesitan una acci´no asociada para ser efectivos, por ejemplo
implementación de planes de izaje, etc.

Figura 9: Tipos de barreras

 Durante el proceso de contrucción de un diagrama Bow Tie, es recomndable organizar las barreras
de acuerdo al siguiente esquema:

Figura 10: Lógica para la identificación de Barreras durante el desarrollo de un Bow tie

v. Factores de Escalamiento
Cualquier factor que otencialmente puede hacer fallar o reducir la efectividad de las
barreras. Estos no pueden por simismos liberr el peligro ni dar lugar al evento iniciador.
Deben ser específicos de a instalación en estudio, por lo que noe s necesario que todas las
barreras tengan factores de escalamiento. Generalmente están relacionados a factores
humanos, condiciones anormales, fallas mecánicas, servicios de soporte, pérdida de
servicios auxiliares críticos, etc.

Figura 11: Factores de Escalamiento

vi. Evaluación de la aceptación

Es el proceos refrido a hacer un juicio sobre si las causas, consecuencias, barreras y factores
de escalamiento cumplen con el criterio definido para la elaboración del diagrama.
vii. Evaluación de la efectividad de las barreras
Este proces está referido a la evaluación de la funcionalidad, disponibilidad, confiabilidad,
interacción, etc. De las barreras. Asignar una barrera como parcialmente efectiva o con
efectividad limitada es un indicador de que es necesario ejecutar acciones (reemplzar
barreras, reforzar barreas, etc.) para mejorar esta efectividad.

Figura 12: Diagrama Bow Tie

BARRERAS BASADAS EN H ARDWARE

Los SECE son considerados el corazón de la gestión de la integirdad de las instalaciones, por lo que
su gestión requiere de acciones específicas, que nos permitan asegurar su adecuada identificación
(a partor de lso Bow Ties y estudios técnicos de seguridad) y su consecuente y exitosa gestión.

La elaboración de listado SECE (categorías) de una instalación industrial se inicia en los análisis
Bow Tie, en el proceso de identificación y clasificación de barreas, pero también son fuentes de
SECE (a nivel de tags) los estudios técnicos de seguridad (HAZOP, SIL, QRA), en función de las
consecuencias (desastrosas o catastróficas).
 Figura 13: Identificación de SECE

Por la complejidad y la importancia de los SECE para la integridad y seguridad de los procesos en
las instalaciones industriales, es necesario asegurar su funcionalidad, confiabilidad, disponibilidad,
sobrevivencia y adecuada interacción entre si, y que las rutinas de mantenieminto de estos
elementos estén diseñadas para el cumpliemiento de estos “requisitos”. Esta información debe
estar clara y detalladamente descrita y definida en los Performance Standards, que son
documentos que describen, como esperamos que sea el funcionamiento de los SECE. Es necesario
comentar que TODOS los SECE, necesitan un Performance Standard.

LISTA MAESTRA DE SECE Y PERFORMACE STANDARDS (PS)

Como mencionamos en las primeras líneas del artículo, esl proceso “intuitivo” de gestión del
riesgo, al ser aplicado a la indústria se debe esquematizar y procedimentar, y de manera particular
la gestión de SECE, y en vista de esto, en Respol, se ha elaborado un listado maestro de SECE en
basado en el modelo del queso suizo, que sirve como guía durante las sesiones Bow Te para la
identificación de los mismos. Este listado maestro ha permitido organizar los SECE en categorías
(que son las que se identifican en los Bow Ties), codificarlos y organizar dentro de cada categoría
los equipos y esructuras típicas de las instalaciones de hidrocarburos en E&P.
En este listado maestro se han definido las siguientes categorías de SECE:

1. Integridad estructural
2. Integridad marítima (off shore)
3. Contención del proceso
4. Control de ignición
5. Sistemas de detección
6. Sistemas de parada de planta
7. Sistemas de protección
8. Respuesta a emergencias
9. Equipos de salvamento

Figura 14: Categorías de SECE – Modelo Queso Suizo

 Figura 15: Shut Down SECE Category
Notes SHUTDOWN SYSTEMS BARRIER ELEMENTS (SD)
SD001 SD002 SD003 SD004 SD005 SD006

Emergency Shut Down (ESD) High Integrtiy Pressure

Barrier List Blowdown System Well Isolation Equipment Drilling Well Control Equipment Utility Air Systems
System Protection System (HIPPS)

HIPPS provide instrumented Utility air systems will only be

over pressure protection to safety critical if their failure
pipelines and equipment that could result in the failure of
do not have sufficient another piece of safety critical
Notes
mechanicalprotection for the equipment.
maximum possible fluid
pressure.

PS or Spec PS PS PS PS PS PS

Pipeline isolation valves Blow down valves. Christmas trees. Drilling Blow Out Preventors
(BOP)

Sub-sea isolation valves Pneumatic / hydraulic Sub-surface safety valves. BOP hydraulic control systems
actuators and local control
circuits.

Process emergency shut
down valves
Typical Equipment Types
Rate determining elements, Actuated gas lift isolation Diverters.
e.g., orifice plates, that are valves.
essential for the system to
achive required performance.

Pneumatic and hydraulic Injection check valves / strom Kelly cocks and stub-in valves.
actuators chokes.

Local control circuits Well kill system.

ESD initiators such as Flow and gas detection

pressure, temperature and (including kick detection) for
level switches. drilling operations.

ESD logic solvers. Cement system.

Outputs (including cabling) to Mud circulating system.

end elements.

Outputs to circuits which trip

electrical equipment, e.g.,
pump motors, process
heaters.

En cada una de las categorías y para cada uno de los sistemas identificados, se ha determinado
la necesidad de elaboración de los performance standards, lo que ayudó, basándonos en las
buenas prácticas de la industria, a elaborar plantillas tipo para cada uno de los perfromace
standards, con información general e información específica a ser completada por cada activo
(en función las particularidades de diseño, operación y mantenimiento).

Figura 16: Plantilla Performace Standard

CASO DE SEGURIDAD

Finalmente, todo este proceso del que hemso hablado, desde lo intuitivo hasta los esquemas y
procediemientos más complejos, se plasma en una “declaración” formal y refrendada por el
Gerente del Activo, en al cual en resumen se dice y sustenta que la operación es segura. Este
documento recibe el nombre de CASO DE SEGURIDAD (Safety Case).

Este documento está estructurado de la siguiente manera:

- Introducción: Una visión general del prosceso de gestión del riesgo y la declarcion de
aptitud para operar de manera segura.
- Facilidades y Operaciones: Descripción detallada de las facilidades (equipos) y
operaciones (proceso, envolvente operacional)
- Sistema de Gestión de Personas y HSE: descirbe las funciónes y responsabilidades de las
personas en el proceso de Gestión del Riesgo.
- Sistema de Gestión del Riesgo: Descrioción detallada de la Gestión de los MAH (motivo de
este artículo).
- Proceso de Implemetación: Principales planes de acción elaborados identificando acciones
específicas, responsables y fechas de implementación
- Apéndices: La parte más importante del documento, aquí se anexa el registeo de peligros
del activo, los diagramas Bow Tie elaborados, la lista de SECE, los Performace Standards
elaborados, etc.

CONCLUSIONES

Finalmente me gustaría dejarles algunas conclusiones formuladas en función a la experiencia

en la implementación (aún en marcha) de este proceso esquematizado.

La inclusión de una adecuada Gestión del Riesgo en nuestras actividades nos permitirá:
- Identificar los escenarios de peligro mayor (con consecuencias desastrosas o catastróficas)
en instalaciones industriales.
- Asegurar la confiabilidad de los Sistemas de Seguridad de Procesos en instalaciones
industriales.
- Documentar cronológica y exhaustivamente el proceso de gestión de riesgo y cambios en
instalaciones industriales.
- Disminuir los costos generados por incidentes de procesos u optimización de los mismos
durante la ejecución de acciones preventivas y/o correctivas.
- Mantener la trazabilidad de la gestión de riesgos y cambios, asegurando a lo largo de la
línea de tiempo que las instalaciones industriales operen de forma segura
- Generar una base de datos que pueda servir de consulta para futuros proyectos y para la
industria

Y no podemos olvidar que “el desempeño pasado… no es garantía hacia el futuro”