Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ÍNDICE
Página
1. ANTECEDENTES Y OBJETIVO.............................................................................................. 1
i
Página
ii
Página
ÍNDICE DE ANEXOS
iii
1. ANTECEDENTES Y OBJETIVO
El objetivo del curso es dar a conocer a los asistentes los conocimientos básicos necesarios para
realizar un estudio Hazop y determinación del nivel íntegro de seguridad (SIL) de un sistema instrumentado de
seguridad (SIS).
En este sentido, dentro del módulo A, comenzaremos con un acercamiento sobre la legislación básica
de referencia por afectar de alguna forma al desarrollo de los Análisis de Riesgos de Procesos (PHA's).
En el módulo B del curso comenzará con un desarrollo de las distintas normativas referentes a los
Sistemas Instrumentados de Seguridad.
Por último, se desarrollarán las distintas metodologías para el cálculo de índices SIL basadas en las
normativas IEC-61508/61511.
I-1
2. MARCO LEGISLATIVO BÁSICO DE LOS ANÁLISIS DE RIESGOS DE PROCESOS (PHA'S)
La aparición de dicha Directiva y R.D. derrogó la legislación hasta ese momento en vigor,
consistentes en las Directivas 82/501/CEE, de 25 de junio, 87/216/CEE de 19 de marzo y la 88/610/CEE, de 24
de noviembre, todas ellas traspuestas a la legislación española mediante los R.D. 886/1988, de 15 de julio,
modificación a su vez por el R.D. 952/1990, de 29 de julio.
La Directriz Básica para la Elaboración y Homologación de los Planes Especiales del Sector Químico,
R.D. 1196/2003, mediante la cual se desarrolla técnicamente los contenidos de los R.D. 886/1988 y 952/1990,
que establece, entre otros, las zonas objeto de planificación denominadas Zona de Intervención (ZI) y Zona de
Alerta (ZA), así como los valores umbrales de daño para cada una de las tipologías distintas de consecuencias
que marcan la delimitación de dichas zonas.
La Directriz Básica también indica las bases y criterios para la correcta organización de las
emergencias derivadas de accidentes, estableciendo los criterios mínimos de contenidos de los Planes de
Emergencia Interior (PEI) y los Planes de Emergencia Exterior (PEE).
II-1
2.1 R.D. 1254/1999, DE 16 DE JULIO, R.D. 948/2005, DE 29 DE JULIO Y LA DIRECTRIZ
BÁSICA
De acuerdo con los citados Real Decretos, cuya copia integra puede encontrarse al final en el Anexo I,
el objeto del mismo es la prevención de accidentes graves en los que intervengan sustancias peligrosas, así como
la limitación de sus consecuencias con la finalidad de proteger a las personas, los bienes y el medio ambiente.
De dichos R.D. seguidamente destacaremos los aspectos más importantes por lo que afectan al control
de la seguridad en la instalación y a su ámbito de aplicación.
Las disposiciones del R.D. 1254/1999 se aplican a los establecimientos industriales en los que haya
presentes sustancias peligrosas en cantidades iguales o superiores a las especificadas en la columna 2 de las
partes 1 y 2 del Anexo I.
- la presencia de aquéllas de las que se piensa que pueden generarse a consecuencia de la pérdida de
control de un proceso industrial químico.
Este segundo punto supone una importante novedad, por cuanto hay que tener en cuenta las posibles
cantidades de sustancias peligrosas que puedan formarse en situaciones de pérdida de control de un proceso o en
situaciones de accidente.
Esto va a obligar al industrial a comprobar posibles situaciones anómalas de sus procesos que puedan
dar origen a la generación de sustancias peligrosas cuya presencia no es prevista en situaciones operativas
habituales (incluidos arranques, operaciones transitorias, etc.).
II-2
Figura 2.1
II-3
2.1.2 Exclusiones
En la Tabla 2.1 se muestran las instalaciones y/o actividades excluidas del ámbito de aplicación de los
R.D. 886/1988 y 952/1990, así como del R.D. 1254/1999.
Tabla 2.1
Exclusiones
II-4
2.1.3 Obligaciones de los establecimientos afectados
Con carácter general, todos los establecimientos industriales que se vean afectados por el R.D.
1254/1999 tienen la obligación de demostrar ante la autoridad competente, en cualquier momento que le sea
requerido y específicamente durante inspecciones y controles a los que se vean sometidos, que han adoptado las
medidas necesarias para la prevención y la limitación de las consecuencias de accidentes graves.
En relación a las medidas de prevención de accidentes graves, todos los establecimientos afectados
por el R.D. 1254/1999, tanto en su nivel inferior como en el nivel superior, deberán:
P3. Proceder al Control de las Modificaciones que pretendan acometer en sus instalaciones, que
afecten significativamente al riesgo de accidente grave.
P5. En caso de verse afectado por el efecto dominó, a indicación de la autoridad competente,
intercambiar información con otros establecimientos afectados y cooperar en la información a
la población.
Por otra parte, los establecimientos afectados por el R.D. 1254/1999 en su nivel superior
(art. 9), deben adoptar, adicionalmente, las siguientes medidas de prevención y control de
riesgos:
P6. Elaborar un Informe de Seguridad que demuestre documentalmente que ha adoptado las
medidas de prevención de accidentes y limitación de sus consecuencias.
En cuanto a las medidas tendentes a limitar las consecuencias de accidentes graves, todos los
establecimientos industriales afectados por el R.D. 1254/1999, tanto en su nivel inferior como en el superior,
deberán:
C1. Cumplir con las exigencias y requisitos formulados por la autoridad competente en las políticas
de ordenación y usos del suelo, y específicamente el mantener las distancias de seguridad
entre establecimientos peligrosos y las zonas residenciales.
II-5
C3. En caso de accidente grave, tan pronto como sea posible, informar y comunicar a la autoridad
competente las circunstancias y efectos del accidente, así como las medidas de emergencia
adoptadas o previstas.
Los industriales afectados por el R.D. 1254/1999 en su nivel superior (art. 9) deberán adoptar
adicionalmente las siguientes medidas tendentes a limitar las consecuencias de los potenciales
accidentes graves.
C5. Información al público. El industrial colaborará con la autoridad competente para que el
público, conozca los riesgos a los cuales está sometido, así como las medidas de seguridad que
se deberán tomar y el comportamiento a seguir en caso de accidentes graves.
AFECCIÓN
PREVENCIÓN LIMITAR CONSECUENCIAS
R.D. 1254/99
· NOTIFICACIÓN
· POLÍTICA DE PREVENCIÓN DE
ACCIDENTES GRAVES · ORDENACIÓN DEL SUELO
NIVEL
· SISTEMA GESTIÓN DE SEGURIDAD · COMUNICAR ACCIDENTES
INFERIOR · CONTROL DE MODIFICACIONES · PLAN DE EMERGENCIA INTERIOR
· INSPECCIÓN Y CONTROL
· EFECTO DOMINÓ
· NOTIFICACIÓN
· POLÍTICA DE PREVENCIÓN DE · ORDENACIÓN DEL SUELO
ACCIDENTES GRAVES · COMUNICAR ACCIDENTES
NIVEL · SISTEMA GESTIÓN DE SEGURIDAD · PLAN DE EMERGENCIA INTERIOR
SUPERIOR · CONTROL DE MODIFICACIONES · INFORMACIÓN PARA PLAN DE
· INSPECCIÓN Y CONTROL EMERGENCIA EXTERIOR
· EFECTO DOMINÓ · INFORMACIÓN AL PÚBLICO
· INFORME DE SEGURIDAD
Figura 2.2
II-6
2.1.4 Valores umbrales de daño
Los diversos tipos de accidentes a considerar en las instalaciones químicas pueden producir los
siguientes fenómenos peligrosos para personas, el medio ambiente y los bienes.
De acuerdo con el contenido literal del R.D. 1254/1999, en ningún momento se habla de la necesidad
de realizar ningún Análisis de Riesgos como tal.
Ahora bien, los establecimientos afectados por el art. 9 del R.D. 1254/1999, tienen la obligación de
presentar el Informe de Seguridad con el fin de:
- Demostrar que ha identificado los peligros de accidentes graves y que ha tomado las medidas
necesarias para su prevención y, en caso de ocurrir, la limitación de sus consecuencias.
- Proporcionar información a las autoridades para que puedan desarrollar e implantar políticas de
ordenación y usos del suelo, teniendo en cuenta distancias de seguridad entre establecimientos
afectados y elementos vulnerables.
- En caso de verse afectada por el efecto dominó, colaborar para su gestión adecuada.
Para la elaboración del Informe de Seguridad, tal y como se ha indicado anteriormente, el industrial
deberá tener en cuenta los requisitos e información recogidos en la Directriz Básica para la Elaboración y
Homologación de Planes Especiales del Sector Químico.
Por otra parte, la Dirección General XI de la Comisión Europea ha elaborado una Guía para la
Preparación del Informe de Seguridad que cumpla los Requisitos de la Directiva 96/82/CE (UR 17690EN).
II-7
Como aspectos novedosos que recoge esta guía a contemplar en el Informe de Seguridad, que no son
exigidos por la Directriz Básica para la elaboración de la Declaración Obligatoria de Accidentes Mayores
(Informe de Seguridad), se deben destacar los siguientes:
- Identificación y análisis de elementos externos que puedan agravar el riesgo del establecimiento
(riesgo natural, actividades industriales, transporte de mercancías peligrosas, etc.).
Descripción de las principales instalaciones, equipos y actividades relevantes desde el punto de vista
de la seguridad de las fuentes de riesgo de accidentes graves, las condiciones en las que se pueden producir
dichos accidentes, así como de las medidas preventivas y mitigadoras previstas.
Para ello, además del inventario pormenorizado de las sustancias peligrosas presentes en el
establecimiento, se deben contemplar los siguientes aspectos novedosos:
- Estudio de los procesos, operaciones básicas y reacciones químicas que pueden en una situación
fuera de control originar un accidente grave.
II-8
· En distintas fases de la actividad (diseño, ingeniería, montaje, explotación, cese de
actividad, abandono, etc.).
Atendiendo a la identificación y el análisis de los riesgos, se deberá inventariar las medidas y sistemas
de seguridad adoptados, determinando su fiabilidad, redundancia, operatividad, etc., de forma que se demuestre a
la autoridad competente su idoneidad.
El industrial afectado deberá demostrar la idoneidad de los Planes de Emergencia Interior de sus
establecimientos, para lo cual se deberán considerar los siguientes aspectos:
Se debe indicar que la aplicación de la Guía para la Preparación del Informe de Seguridad que cumpla
los Requisitos de la Directiva 96/82/CE es una recomendación de carácter voluntario, no siendo obligatorio su
seguimiento, aunque no es menos cierto que está pendiente la publicación de la Guía Técnica que desarrolla la
actual legislación, y que podría coincidir con los criterios de la D.G. XI.
Vemos pues, como a pesar de que el R.D. 1254/1999 no recalca la necesidad de realizar análisis de
riesgos sobre las instalaciones industriales, no es menos cierto que la obligación de demostrar que se han
identificado los peligros de accidentes graves, así como la obligatoriedad de implantar un Sistema de Gestión de
II-9
Seguridad, con su más que previsible Gestión de Cambios integrada, hace que en la práctica y para determinadas
instalaciones industriales sea, no ya beneficioso, sino casi obligatorio, la realización de estudios de riesgos.
Dicha normativa estadounidense, cuya copia se adjunta en el Anexo 2.II, tiene por propósito
establecer los requerimientos necesarios para la prevención y minimización de consecuencias de fugas
catastróficas de productos químicos tóxicos, inflamables y reactivos que puedan causar un daño de dicha
naturaleza, en instalaciones industriales con cantidades de sustancias superiores a las establecidas en la propia
norma.
Para las instalaciones afectadas, el apartado (e) Process Hazard Analysis, obliga a lo siguiente:
1. Desarrollar un Análisis de Riesgos de Procesos, que identificará, evaluará y controlará los riesgos
derivados del proceso.
2. Se utilizará una o más de las siguientes metodologías, en función de la que se considere más
apropiada para determinar y evaluar los riesgos del proceso analizado: What-if, Check list, What-
if/Check list, Hazard and Operability Study (HAZOP), Failure Mode and Effects Analysis
(FMEA), Fault tree Analysis.
3. El PHA considerará: los riesgos del proceso, la identificación de incidentes que puedan tener
consecuencias catastróficas, las medidas administrativas o técnicas instaladas para la detección de
posibles fugas, como procedimientos, interlocks, etc.
4. El PHA se desarrollará por un equipo de expertos en ingeniería y procesos, así como por personal
propio de la planta con experiencia y conocimientos específicos del proceso evaluado. También
tiene que formar parte del equipo un especialista en la conducción del estudio PHA a llevar a cabo.
5. Se establecerá un mecanismo de forma que se asegure que las recomendaciones de estudio son
llevadas a cabo y que las personas afectadas son informadas.
Vemos pues, como, la CFR 1910.119 a diferencia de su homónima europea, la Directiva 96/82/CE, sí
obliga a los industriales afectados a desarrollar y mantener un estudio PHA en sus instalaciones.
II-10
3. MÉTODOS DE IDENTIFICACIÓN Y ANÁLISIS DE RIESGOS
Los diferentes enfoques que se han considerado a la hora de abordarlas pueden resumirse de la
siguiente manera:
a) Técnicas que parten de la ocurrencia del accidente, determinando sus causas básicas. Su
principal exponente lo constituye la técnica del árbol de fallos. Su principal aplicabilidad es la
determinación de cada una de las causas básicas, con objeto de priorizar la aplicación de medidas
correctoras, así como de cuantificar la probabilidad de que ocurra el accidente en base a la
probabilidad de fallo de cada una de las causas básicas.
b) Técnicas que parten de la ocurrencia del suceso inicial, determinando los diferentes desarrollos
accidentales. Su principal exponente lo constituye la técnica del árbol de sucesos. Su principal
aplicabilidad es la determinación de las diferentes evoluciones accidentales, así como la
influencia de las medidas correctoras o actuaciones del sistema en los sucesos finales a evaluar,
pudiendo incorporar un análisis probabilístico de los mismos.
Con independencia del enfoque escogido para el análisis de las causas, y de la interrelación que
pueda considerarse entre las mismas, pueden considerarse las siguientes causas genéricas de accidentes
industriales de origen químico:
III-1
La forma de medir este factor de riesgo es mediante las tasas de fallo de los diferentes elementos de
equipo y humanos que intervienen en el proceso o de su complemento a uno que se denomina fiabilidad.
Existen estadísticas y bancos de datos relativos a las tasas de fallo. Es importante tener en cuenta que éstas
pueden variar sensiblemente con la «vida» de cada componente, que puede recorrer etapas sucesivas de rodaje,
normalidad y envejecimiento.
- Diseño inapropiado frente a presión interna, fuerzas externas, corrosión del medio y temperatura.
- Fallos mecánicos de recipientes y conducciones debidos a la corrosión externa o a impactos.
- Fallos de elementos tales como bombas, compresores, ventiladores y agitadores.
- Fallos del sistema de control (sensores de presión y temperatura, controladores de nivel,
reguladores de flujo, unidades de control, procesos computerizados).
- Fallos de sistemas de seguridad (válvulas de seguridad, discos de ruptura, sistemas de alivio de
presiones, sistemas de neutralización).
- Fallos de juntas y conexiones.
- Fallos en el control de los parámetros fundamentales del proceso (presión, temperatura, flujo,
concentraciones) y en el tratamiento de los mismos.
- Fallos en la adición de componentes químicos.
- Fallos en los servicios, tales como:
· Agua de refrigeración, para reacciones exotérmicas.
· Insuficiente aporte de medio calefactor o de vapor.
· Corte del suministro eléctrico.
· Ausencia de nitrógeno.
· Ausencia de aire de instrumentación o aire para agitación.
- Fallos en los procedimientos de parada o puesta en marcha.
- Formación de subproductos, residuos o impurezas, causantes de reacciones colaterales
indeseadas.
III-2
4. Injerencias de agentes externos al proceso
5. Fuerzas naturales
- Viento.
- Desbordamiento de cauces fluviales.
- Terremoto.
- Heladas.
- Calores extremos.
- Incendios.
Una vez indicadas las principales causas generadoras de accidente, veamos las principales técnicas
de identificación de riesgos utilizados en la identificación y Análisis de Riesgos en la Industria Química.
III-3
3.2 TÉCNICAS DE IDENTIFICACIÓN DE RIESGOS
3.2.1.1 Preámbulo
- Reconocer las situaciones peligrosas en actividades en las que se manejan materiales que
implican riesgos con objeto de revisar el diseño y establecer medidas correctoras o
preventivas.
Los procedimientos de identificación y análisis de riesgos podrán ser aplicados durante todas las
fases del proyecto, es decir, durante el diseño, la construcción, la operación, así como para otro tipo de
requerimientos en instalaciones industriales.
La correcta identificación y análisis de riesgos no sólo permitirá tener un fiel reflejo de los aspectos
de seguridad propios de la instalación, sino que además permitirá eliminar aquellos puntos más conflictivos
mediante un proceso iterativo de mejoras y evaluación posterior de la instalación, hasta obtener un nivel
aceptable de riesgo. En la Figura 3.1 se facilita un esquema general en el que se señala la secuencia normal de
identificación y análisis de riesgos.
Dada la gran variedad de técnicas que se presentan, no cabe hablar de una técnica predominante
frente a las demás. La técnica seleccionada dependerá de los propósitos perseguidos con la identificación y
evaluación de riesgos, el grado de conocimiento que se tenga de la Unidad, así como de los datos y recursos
disponibles.
En cualquier caso, no se llegará a conseguir una adecuada identificación de escenarios sin el juicio de
expertos en Seguridad Industrial y el apoyo de técnicos familiarizados con las operaciones y plantas
involucradas.
III-4
Figura 3.1 Evaluación Predictiva del Riesgo
Para ello, se seleccionaría los peores accidentes entre los creíbles (Worst Credible Accident), que
determinarán valores límite en relación con los efectos asociados a accidentes que puedan ocurrir
en una instalación industrial, con objeto de fijar la aplicabilidad de estudios posteriores.
III-5
3. Estimación de riesgos económicos.
Aún cuando no existan riesgos graves sobre los trabajadores o la población, cualquier accidente
puede generar graves consecuencias económicas en las instalaciones, bien por pérdidas de
equipos, o bien por días de trabajo, lo que tiene especial trascendencia para las aseguradoras. Para
ello, se seleccionan accidentes del catastrófico.
Los riesgos sobre la población deben ajustarse a las directrices marcadas por la administración
competente. Para la evaluación del nivel de riesgo generado por una instalación industrial, se hará
uso de una lista de accidentes representativos. En cualquier caso, la elección de escenarios se
realizará en función del ámbito del estudio: Estudio de Seguridad, Plan de Emergencia Interior o
Análisis Cuantitativo de Riesgos.
En la Tabla 3.1 se especifica, para cada tipo de uso o propósito, el número y características de los
escenarios accidentales a identificar.
III-6
Tabla 3.1
Evaluación de medidas de reducción de Se tienen que identificar los accidentes que más Es necesario estudiar una lista exhaustiva de accidentes o al
riesgo. contribuyen al riesgo. menos un grupo representativo de ellos.
III-7
Ha de comprobarse el cumplimiento con los contribuir en gran medida al riesgo total para los empleados.
Estimación del riesgo para los empleados.
límites fijados para los trabajadores. Se debe seleccionar una lista exhaustiva de accidentes con
efectos de corto y medio alcance.
Se tiene que comprobar el cumplimiento con los Se debe seleccionar un grupo representativo de los accidentes
Estimación del riesgo para el exterior.
límites fijados por las autoridades. con consecuencias para el exterior (catastróficos).
- A la hora de abordar un P.E.I., se deberán identificar además escenarios que, si bien no son
catalogables como accidentes mayores, sí tendrán influencia sobre la activación de
procedimientos de emergencia.
- Los A.C.R. requieren una identificación de escenarios algo más exhaustiva, debido
fundamentalmente a la importancia que pueden llegar a tener en los niveles de riesgo en el
interior de la planta, aquellos accidentes con consecuencias calificables como no muy graves pero
con alta probabilidad de ocurrencia. En este caso, la lista de accidentes representativos no bastará,
y se tomarán otros pertenecientes a las categorías de accidentes mayores, así como los más
probables de los localizados.
Esto será especialmente aplicable en aquéllos casos en los que las zonas habitadas estén muy
próximas a la instalación industrial.
En cualquier caso, es de destacar la gran influencia que tendrá la correcta identificación de escenarios
en los resultados finales, por cuanto la omisión de escenarios de graves consecuencias y frecuencia no
despreciable hará inútiles los esfuerzos y dedicación empleados en las técnicas de cuantificación de efectos y
consecuencias sobre los demás escenarios identificados. Se debe, por tanto, vigilar que estos accidentes críticos,
que afectan sustancialmente al nivel de riesgo, no sean omitidos del estudio.
De entre todos los métodos, nos centraremos fundamentalmente en los métodos cualitativos, al
ser precisamente el Análisis Hazop uno de dichos métodos.
Se trata de técnicas de análisis crítico que no recurren al análisis numérico. Su objetivo principal
es identificar:
a) Riesgos.
b) Efectos: incidentes y accidentes cuando se materializan los riesgos.
c) Causas: orígenes o fuentes de los riesgos.
Dado que los análisis cualitativos sirven, muchas veces, como base para otros semicuantitativos o
cuantitativos, es importante la calidad de los primeros.
Descripción
Una de las técnicas de identificación de accidentes más normalmente utilizadas son las bases de
datos de accidentes. Mediante esta técnica se podrá tener acceso a los accidentes más frecuentemente ocurridos
en relación con un proceso determinado o una sustancia peligrosa involucrada, conociendo sus causas, sus
consecuencias y en base a ellos extraer conclusiones y recomendaciones.
Los datos podrán ser usados tanto para cuantificar la probabilidad de fallo de accidentes, como para
conocer los equipos a los que suelen asociarse fallos, así como los desarrollos de accidentes más usuales y de
esta forma tomar medidas preventivas sobre las posibles causas iniciadoras, así como medidas mitigantes de los
efectos.
III-9
Principales bases de datos
Existen multitud de bases de datos que aportan información bien acerca de los ratios de fallos en
equipos, bien en relación a los accidentes ocurridos en el mundo, indicando sus causas y consecuencias, así
como en relación a sustancias peligrosas. Entre ellas, destacan las siguientes:
- Bases de datos de accidentes: FACTS (TNO), MARS (CEE), MHIDAS (UK), etc.
- Bases de datos sobre sustancias: UMPLIS (G), CHEMDATA (UK), ECDIN (CEE), R.D.
363/95, RTEC.
El empleo de bases de datos debe plantearse como una técnica de apoyo, de forma que una vez
conocido el historial de accidentes característico de un tipo de instalación, se puede prefijar el alcance del
estudio. En este sentido, es de gran utilidad el contar con datos de accidentes obtenidos de la propia instalación,
en aquellos casos en los que sea posible.
Procedimiento
1. Obtener información y datos de las bases de datos: informes sobre los accidentes.
2. Discernir qué informes son asimilables a la instalación que esté siendo objeto de
consideración: selección de informes aplicables.
3. Elaboración estadística (suele ser corta: medias, frecuencias) que permitan los informes.
5. Adopción de medidas técnicas que neutralicen los riesgos originados en dichos puntos
críticos. ¿Se sabe qué medidas se adoptaron en los accidentes estudiados para evitar su
repetición?
Puntos Fuertes
Puntos Débiles
3. Puede haber causas críticas que no se han manifestado en los accidentes estudiados o que no
se han detectado.
III-10
4. La aplicación a instalaciones similares, pero diferentes, puede no ser acertada.
6. Es frecuente que no estén claras las causas inmediatas de los accidentes reseñados en los
bancos de datos.
Idoneidad
Introducción
La aplicación del análisis del riesgo preliminar (Preliminary Hazard Analysis, PHA) será de especial
utilidad en aquellos casos en los que no se tenga información detallada sobre el historial de fallos, incidencias o
problemas potenciales relativos a seguridad industrial en plantas de proceso, tal como puede suceder con plantas
nuevas que empleen procesos industriales no aplicados hasta la fecha.
Procedimiento
3. Exploración de las operaciones y equipo de las que cabe prever criticidad: riesgos implicados
(toxicidad, corrosividad, carga energética contenida y/o desarrollada, etc.).
5. Adopción de medidas técnicas que disminuyan el riesgo previsto para los aspectos críticos.
¿Qué medidas se adoptaron (probabilidad y severidad) en casos semejantes?
III-11
Puntos Fuertes
1. Simple y barato.
Puntos Débiles
Idoneidad
Se usa para instalaciones y procesos en etapas de desarrollo y proyecto: cuando no hay otro
remedio y hay urgencia.
Ejecutantes que puedan suplir, con sus conocimientos y experiencia, la falta de información real
y concreta (sobre riesgos y sus consecuencias) procedente de experiencias concretas anteriores.
Resultados
Introducción
El análisis What if?, es un método de identificación de riesgos muy empleado en la práctica habitual
de las industrias químicas. Trata de llegar a determinar por medio de preguntas, qué posibles consecuencias se
darían ante un determinado fallo.
Descripción
La cuestión del ¿Qué ocurriría sí....? se puede aplicar a los distintos aspectos relacionados con la
seguridad industrial, es decir, equipos, instalaciones, sistemas eléctricos, materias primas, productos,
almacenamientos, procedimiento de operación, procedimientos de emergencia, etc. Sin embargo, la utilidad del
método dependerá en gran medida del grado de conocimiento sobre los procesos desarrollados y la habilidad
para encontrar los puntos críticos, de forma que si la experiencia del personal es escasa, el método generará
unos resultados necesariamente incompletos.
III-12
Las preguntas comenzarán, por lo general, contemplando un suceso iniciador, a lo que seguirá un
análisis de las consecuencias previsibles, que requerirá conocer el comportamiento del sistema, dando como
resultado recomendaciones en forma de medidas correctoras. Comparte elementos con el Hazop, si bien el
análisis What if es menos sistemático y estructurado.
Ejemplos:
Procedimiento
1. Se elige un enfoque o alcance para cada parte del estudio (seguridad del propio proceso,
seguridad de las personas, seguridad eléctrica, DCI, etc.) o se decide llevar el estudio de manera
global con la sola referencia a la secuencia del proceso.
4. Contestación a las preguntas WF. Una por una. Por todo el equipo. Algunas requerirán estudio
aparte o la participación de especialistas (control, materiales, mantenimiento, etc.).
5. Consideración, para cada pregunta WF, de qué medidas existen y cuáles cabe tomar para prevenir
el riesgo, anulándolo o disminuyéndolo, en su origen.
6. Efectuar todo lo anterior para cada una de las partes decididas en 1, o, si se ha hecho el estudio
único sin partes, reagrupar preguntas, contestaciones y remedios según los enfoques que se
consideraron allí.
7. Redactar informe recogiendo: a) Breve descripción y esquema del proceso; b) Preguntas WF; c)
Su análisis y contestación; d) Descripción razonada de las mejoras (alternativas o
modificaciones) propuestas para neutralizar o reducir riesgos.
8. Comunicar el informe a los centros pertinentes de decisión (de la planta o del proyecto) para que
se adopten las medidas oportunas.
III-13
Puntos Fuertes
Puntos Débiles
- Al ser desestructurado: tensión para dirigir y centrar el debate constantemente hacia los objetivos
de cada etapa.
- Pueden pasar desapercibidos riesgos ocultos o procedentes de causas contaminantes.
- Depende mucho de la experiencia de los intervinientes y del conocimiento de su seguridad y
operación, no sólo de su Unidad, sino de otras similares.
- Como método único de estudio sólo sirve para instalaciones y procesos muy sencillos.
Idoneidad
Muy útil en revamping y duplicación de Plantas ya existentes, ya que se dispone de personal con
experiencia.
- Grupo profesional poco numeroso (¿3 ó 4?), pero con buenos conocimientos del proceso, del
equipo y de las operaciones.
Introducción
Las listas de chequeo de sistemas o procesos es una técnica de identificación aplicable para la
evaluación de equipos, materiales o procedimientos y utilizable durante cualquiera de las etapas de desarrollo de
un proyecto.
Deben ser preparadas por personal que esté familiarizado con el funcionamiento general de la planta
y los procedimientos estándares de la compañía. Una vez que está preparada, su aplicación puede corresponder
a personal menos experimentado, siempre que cuente con la supervisión de algún experto.
Las listas de chequeo se ajustan generalmente a unas normas mínimas, de forma que sean
susceptibles de evaluaciones posteriores. Dichas evaluaciones deben ser realizadas por personal ajeno al que
prepare las listas de chequeo y resultarán en actualizaciones, ampliaciones o modificaciones de las mismas.
III-14
Descripción
El método de las listas de chequeo, tal como se ha descrito, consiste en la elaboración de una lista de
aspectos a comprobar en relación con la seguridad de una instalación industrial y elaborada en función de la
etapa del proyecto: diseño, construcción, arranque, operación y parada.
Es, por tanto, un método de estructura lineal con lista de cuestiones concretas, relativas a los aspectos
de proceso y de riesgo, que cabe plantear para todas las etapas de un proyecto, de la operación de la planta, de
las paradas, etc.
Las listas deben cubrir todos los elementos de equipo (aparatos, tuberías, válvulas, instrumentos,
controles, alarmas, etc.). Es típico el empleo de este método en las auditorías de seguridad que se efectúan a
procesos y plantas.
Procedimiento
Puntos Fuertes
Puntos Débiles
1. Calidad muy dependiente de la de las listas de comprobación empleadas; pueden pasarse por
alto riesgos no incluidos.
2. El alcance está muy limitado a las regulaciones de referencia empleadas para preparar las
listas.
Idoneidad
Dentro de sus características, comentadas antes, las listas de chequeo pueden servir para
proyectos de plantas nuevas similares a las existentes o de modificaciones. También sirven como base para
enjuiciar, mediante auditoría, el cumplimiento o no de regulaciones de instalaciones existentes. Los casos
de no cumplimiento deben originar recomendaciones para modificar consecuentemente las instalaciones o
el proceso.
III-15
Recursos y tiempo necesario
Si bien realizar las listas de chequeo es un trabajo riguroso y lento, realizar la comprobación es
un método directo, rápido y barato.
El análisis de los modos de fallo y efectos (Failure Modes a Effects Analysis) tiene como objetivos los
siguientes:
1. Establecer los fallos posibles en todos y cada uno de los elementos de equipo (de proceso y de
control) en una planta.
2. Analizar las consecuencias de los fallos establecidos en el paso anterior para detectar aquellas
que puedan ser origen de accidentes.
3. Establecer medidas de protección que eviten los fallos que sean significativos.
Descripción
Algunos ejemplos de las desviaciones que se consideran modos de fallo, se pueden ver en la
Tabla 3.2.
Tabla 3.2
Debe Fallo
III-16
El desarrollo del FMEA se facilitará utilizando una tabla del tipo:
FECHA:
PLANTA: PAGINA DE
SISTEMA: REFERENCIA:
Medidas
Item Descripción Modo de fallo Detección Efectos
Correctoras
Procedimiento
2. Identificar y listar todos los elementos de equipo (de proceso y de control) dentro de una
sección del proceso en la planta.
6. Establecer si los fallos definidos y las consecuencias definidas afectan a otros elementos de
equipo aparte del que se esté considerando. En caso afirmativo debe trasladarse la parte del
análisis correspondiente al elemento receptor de la influencia para determinar consecuencias
sobre el mismo.
7. Discernir y recomendar medidas preventivas viables que eviten los fallos definidos, que sean
significativos a efectos de seguridad.
III-17
Puntos Fuertes
2. Puede servir como base para detectar sistemas, elementos y fallos que deban ser objeto de
análisis más profundos.
Puntos Débiles
Idoneidad
El equipo deben formarlo de 1 a 3 personas, y es un proceso más lento que los analizados
anteriormente.
Los Estudios del riesgo de Operabilidad (HAZard and Operability Studies, HAZOP) constituyen
una de las técnicas más estructuradas para identificar los peligros asociados a una planta de proceso. Trata
de identificar las posibles desviaciones frente a las condiciones de diseño que pueden darse en una planta
química.
A pesar de que surgió como técnica de identificación de riesgos para procesos desconocidos, en
los que el diseño o la tecnología empleada era nueva, su uso se ha extendido a la mayoría de las fases de
desarrollo de una instalación.
III-18
3.3.7 Análisis mediante Arboles de Fallo (FTA)
Introducción
El análisis mediante árboles de fallos (Fault Tree Analysis, FTA), es una herramienta muy utilizada
en los análisis sobre la seguridad de sistemas o elementos en plantas químicas. Una de las principales ventajas
del método es su sistematización, que permite determinar los diversos factores que contribuyen a los accidentes,
si bien requiere un cierto grado de conocimiento tanto de la planta y del proceso, como del método en sí.
El uso de programas informáticos permite simplificar de manera considerable las tareas a realizar.
Descripción
El método del FT comienza con la identificación de un accidente dado. A partir de éste (suceso final
o top event), se llegan a determinar mediante un proceso inductivo los sucesos básicos o iniciadores, así como
las diferentes formas secuenciales que permiten, a través de las diferentes posibilidades, que el acontecimiento
final tenga lugar.
La interrelación entre los diferentes sucesos y sus causas se establece de forma gráfica mediante una
simbología basada en árboles lógicos, que facilite su análisis. El método permite determinar la probabilidad de
que el acontecimiento final suceda, en función de la probabilidad de ocurrencia de los sucesos básicos
identificados.
III-19
Tabla 3.3
Y Puerta producto o “Y”: ocurre el suceso de salida si y solo si ocurren todos los de
entrada
O Puerta suma o “O”: ocurre el suceso de salida si y solo si ocurre alguno de los de
entrada
III-20
Procedimiento
1. Listar los sucesos finales (SF): son los más complejos, por eso se analizan, pero los más
fáciles de intuir y de obtener de la experiencia o de un banco de datos. Ejemplos: explosión
de un recipiente a presión (depósito, reactor, etc.), explosión e incendio en un horno, fallo de
un gran compresor, etc. Conviene listarlos todos ante de pasar a sucesos intermedios y
básicos. Cada SF será la cabecera de un árbol de fallos independiente. Posteriormente cabe la
posibilidad de agrupar los árboles de fallos tomando como nuevos SF los accidentes
fundamentales (emisión, incendio, explosión, etc.) para componer la probabilidad (cuando se
haga análisis cuantitativo según veremos) de cada uno de dichos accidentes fundamentales.
2. Establecer y listar los sucesos intermedios (SI) y básicos (SB) mediante el camino inductivo y
las preguntas:
Conviene actuar en pasos cortos para no saltar sucesos intermedios y puertas, lo que afectaría
negativamente a la calidad del árbol y de su análisis.
3. Dibujar el árbol de fallos. Utilizando los símbolos de la Tabla 3.3. A efectos de referencia se
marcan las puertas (o los sucesos intermedios o finales) con letras y los sucesos básicos
con números. No conviene ahorrar el empleo de actividades intermedias: intercalarlas
siempre entre puertas. Será interesante definirlas en términos de las incidencias de proceso
y/o equipo: sentido físico.
a) Recorrer el árbol de arriba abajo pasando sólo por puertas (OR). Cada vez que se llega a
un SB éste será un conjunto mínimo de fallo (CMF) orden I, porque cada uno de ellos es
capaz de desencadenar el SF. En nuestro caso:
b) Recorrer el árbol de arriba abajo pasando por puertas OR y por una sola puerta AND de
dos salidas (D). Cada dos SB que se encuentren (uno por cada rama o salida) en la puerta
AND determinarán el desencadenamiento del SF (CMF de orden II).
- Orden: el número de salidas de la última (única en este caso) puerta AND que se ha
pasado (II = 2).
III-21
Figura 3.2 Árbol de fallos
c) Recorrer el árbol de arriba abajo pasando por puertas OR y por una sola puerta AND con
tres salidas (C). Cada tres SB (uno por cada rama o salida) en la puerta AND determinará
un CMF (de orden III) desencadenante del SF.
- Orden: el número de salidas de la última (única en este caso) puerta AND que se ha
pasado en el descenso (III = 3).
d) Recorrer el árbol de arriba abajo pasando por puertas «OR» y por dos puertas «AND» (C
e I en la Figura 3.2). En esta Figura 3.2 cada cuatro SB (dos de la segunda puerta I más
dos [uno por cada una de las otras ramas] de C) que confluyan en la puerta C
determinarán un CMF (de orden IV) desencadenante del SC.
(A Æ C Æ I Æ):
CMF (IV): (4 + (11 + 12) + 7); (5 + (11 +12) + 7); (4 + (11 + 12) + 8); (5 + (11
+ 12) + 8).
- Orden: n2 salidas de la última puerta AND pasada más (n1-1) salidas de la puerta AND
anterior: 2 + (3-1) = IV.
5. Análisis del árbol de fallos. Establecidos los CMF cabe continuar el análisis cualitativo
mediante varios criterios:
a) Los CMF de orden inferior suelen ser de mayor riesgo que los de orden superior.
III-22
b) Añadir sucesos básicos resueltos (medidas protectoras) en confluencia AND: aumentan el
orden y disminuyen el riesgo, como se vio anteriormente.
c) Un suceso básico que aparece en muchos CMF debe ser objeto de atención preferente
porque está aportando su probabilidad de fallo a muchas alternativas. El número de veces
debe ponderarse con el inverso del orden de los CMF en que aparece.
En el ejemplo utilizado:
(nº) I II III IV
1 I - - - I
2 I - - - I
3 - 2 - - I
4 - - 2 2 0,91
5 - - 2 2 0,91
⎡ 1 ⎤ 1,33
⎢4 * III ⎥ ≡
6 - - 4 -
⎣ ⎦
7 - - 2 2 0,91
8 - - 2 2 0,91
9 - 1 - - 0,50
10 - 1 - - 0,50
11 - - - 4 I
12 - - - 4 I
III-23
Puntos Fuertes
4. Muy útil para el análisis complejo de un accidente posible, detectado normalmente a través de
otra técnica de Evaluación e identificación de Riesgos.
Puntos Débiles
1. Requiere mucho tiempo: esto puede aliviarse mediante el empleo de programas de ordenador.
3. Pueden darse errores en la lógica del árbol: no considerar fallos intermedios, relaciones-
causa-efecto y/o puertas incorrectas, etc.
4. Siendo una técnica binaria (considera posibilidades si/no) no tiene en cuenta la velocidad a
que puedan producirse los acontecimientos. Tal velocidad puede determinar que un evento
sea peligroso o no.
Idoneidad
Al ser un sistema tan complejo y que analiza con tanto rigor el fallo, es especialmente útil para el
análisis detallado de accidentes posibles.
- El tiempo dedicado por Suceso Final es importante, de forma que analizar todos los posibles
accidentes mediante esta técnica sería muy costoso en tiempo y medios.
III-24
3.3.8 Análisis mediante Árboles de Sucesos
Introducción
Los árboles de suceso (Event Tree, ET) evalúan las posibles consecuencias asociadas al fallo en un
equipo o alteración en el proceso. Así como los árboles de fallo utilizaban la retrospección (a partir del
accidente final, se investigan las posibles causas), los árboles de suceso utilizan un análisis que va hacia adelante
(a partir de un suceso básico iniciador (SB), determinan sus posibles consecuencias).
Los árboles de sucesos establecen los posibles desarrollos de accidente que seguirán a uno prefijado,
lo que será de gran utilidad a la hora de identificar las posibles consecuencias que resultan tras un fallo.
Asimismo, su utilización permitirá conocer qué accidentes localizados, mayores o catastróficos, se podrán
generar a partir de un único suceso iniciador, lo que enriquecerá la profundidad de la identificación de
escenarios.
Procedimientos
1. Identificación de los sucesos básicos iniciadores (SB). Estudiando con detalle los elementos
del equipo (de proceso y de control) se contesta a las preguntas ¿Qué puede fallar de este elemento y de
cada una de sus partes? (Ejemplos: en un compresor: válvula de seguridad, lubricación, sellos,
accionamiento, rodete, etc.). Cada suceso básico iniciador relevante será la cabeza o suceso capital de un
árbol de sucesos separado.
3. Deducción del suceso intermedio, sobre cada una de las alternativas de la disyuntiva, cuando
haya lugar (ejemplos: ignición, rotura de eje, etcétera).
4. Aplicación del factor condicionante (FC) que puede influir sobre cada alternativa de las
disyuntivas establecidas en 2 (ejemplos: alarma, intervención humana o automática derivada
de aquélla, alivio mediante dispositivo de seguridad, parada de emergencia, etc.).
6. Representación gráfica de: suceso básico (SB), sucesos intermedios (SI), factores
condicionantes (FC) formando el árbol de sucesos.
7. Exploración crítica de todas las disyuntivas definidas para ver si hay más SI y más FC que
deban tenerse en cuenta en el análisis. Si aparecen: aplicar 3, 4, 5 y 6 como sea oportuno. Si
no aparecen: las disyuntivas últimas determinan las consecuencias finales del análisis.
III-25
9. Determinación y registro escrito de las recomendaciones derivadas del análisis. Las mejoras
se traducirán en nuevos FC, o en la eliminación de FC anteriores, con los que conviene repetir
el análisis para observar la sensibilidad (resultado, sobre las consecuencias) del árbol a las
medidas recomendadas.
Puntos Fuertes
5. Muy útil para determinar las diferentes hipótesis de consecuencias a las que puede dar lugar
un accidente determinado. Ver los árboles de sucesos en el Capítulo II.
Puntos Débiles
1. Requiere mucho tiempo: esto puede aliviarse mediante el empleo de programas de ordenador
(sobre todo cuando el análisis sea cuantitativo).
2. Puede no detectar fallos (SB, SI, FC) que quedarían sin considerarse.
Idoneidad
Sistemas complejos de procesos incluyendo muchos aparatos, instrumentos, equipo para control
y alarma, operadores humanos, etc.
Al igual que para el caso de los Análisis mediante Arboles de fallos, tanto los medios materiales
como humanos necesarios son abundantes, lo que hace que sean técnicas aplicadas a sucesos concretos.
Introducción
Es una técnica que combina las características de los árboles de fallo con los de consecuencias. La
ventaja para el analista es la posibilidad de utilizar un método gráfico que permita proceder hacia adelante (las
consecuencias de un suceso) y hacia atrás (las causas básicas del mismo). Como resultado, por tanto, relaciona
las consecuencias de un accidente específico con sus muchas causas posibles.
III-26
Procedimiento
1. Elección de un suceso capital para ser evaluado: puede ser complejo, como en el árbol de
fallos, o iniciador, como en el árbol de sucesos.
4. Aplicación del árbol de fallos a las salidas de las disyuntivas que los supongan (por ejemplo:
fallo de los elementos de seguridad, salidas únicas en fallo, etcétera).
5. Determinación de los conjuntos mínimos de fallo (CMF) tal y como se hace en los árboles de
fallos.
7. Elaboración de recomendaciones.
Los Puntos Fuertes y Débiles, así como la Idoneidad y Medios necesarios para este método de
análisis son similares a los ya expuestos para los métodos mediante Arboles de fallos o sucesos.
Se trata de técnicas de análisis críticos que emplean índices globales del potencial de riesgo
estimados a partir de las estadísticas. Estas pueden ser de disposición general o procedentes de la
experiencia de las compañías en el diseño y la operación de plantas semejantes a las que se trata de
enjuiciar.
III-27
3.4.1 Análisis de riesgos con Evaluación del Riesgo Intrínseco
Descripción
Existen varios métodos de esta naturaleza. Participan del análisis preliminar de riesgos y de los
análisis mediante listas de chequeo. Además incorporan coeficientes para la elaboración semicuantitativa de
un índice de riesgo intrínseco que permite hacer comparaciones relativas entre diferentes plantas o entre
diferentes unidades de una planta. Hay un método, originado por Gretener, que se emplea para evaluar el
riesgo de incendio en edificios, sin embargo, tiene más interés para nosotros el que ha presentado en España
el Instituto Nacional de Seguridad e Higiene en el Trabajo a través de la publicación “Indices de procesos
químicos: guía de autoevaluación”.
El cuestionario, para cada aspecto de la planta a analizar, como por ejemplo: “Condiciones
materiales de seguridad. Bombas” dispone de una lista de chequeo a cumplimentar.
Procedimiento
2. Asignación de los índices individuales (IIR) dados (Anexo II) para los cuadrados marcados.
3. Evaluación de los índices globales (IGR), utilizando las ecuaciones dadas (Anexo II) para
cada capítulo.
5. Revisión de los capítulos con IGR altos para detectar las contribuciones más significativas.
6. Definición de mejoras.
Puntos Fuertes
III-28
Puntos Débiles
Idoneidad
Los análisis de Modos de Fallo, Efectos y Criticidad (Failure Mode, Effects and Criticity
Analysis) se hará en los mismos principios que el Análisis ya visto FMEA, desarrollándose de forma
similar.
Los niveles de criticidad se pueden establecer mediante criterios subjetivos del equipo de trabajo,
como el establecido en la Tabla 3.4.
Tabla 3.4
- Ninguno 1
- Leves perturbaciones 2
- Importantes perturbaciones 3
- Peligro inminente 4
índice de criticidad
Severidad
1 2 3 4 5
1 1 2 3 4 5
2 2 4 6 7 8
Probabilidad
3 3 6 7 8 9
4 4 7 8 9 10
5 5 8 9 10 10
III-29
Donde:
Severidad:
1. Catastrófica (accidente grave).
2. Alta (daño nuevo).
3. Media (daño moderado).
2. Bajo (daño ligero).
1. Sin daño.
Probabilidad:
1. Alta.
2. Moderada.
3. Media.
4. Baja.
5. Muy baja.
Los puntos fuertes, débiles y la idoneidad del FMECA es similar a la de los FMEA.
Dentro de las técnicas de identificación de riesgos, resultan de gran importancia aquéllas basadas en los
denominados índices de riesgo. Estos, mediante la utilización de unos determinados coeficientes, dependientes
de las características de peligrosidad de las sustancias involucradas, las condiciones de operación y las medidas
de seguridad instaladas, determinan qué equipos o unidades presentan unos mayores niveles de riesgo.
El propósito es establecer un ranking relativo del riesgo sobre los equipos de una instalación
industrial, con objeto de centrar en ellos las medidas de protección.
Su utilización en el diseño, llevará a identificar las zonas más vulnerables. En operación, dan
información sobre qué equipos dan lugar a mayores niveles de riesgo.
III-30
3.5 MÉTODOS CUANTITATIVOS
Son técnicas de análisis críticos que incluyen estructuras y cálculos para establecer la
probabilidad de sucesos complejos (siniestros) a partir de los valores individuales de la probabilidad de fallo
que corresponde a los elementos (equipo y humanos) implicados en los procesos (industriales en nuestro
caso).
La gran potencia de los métodos cuantitativos, así como su utilidad para conectar el origen y
destino del accidente, se ve ensombrecida cuando hay que alimentar los modelos con datos relativos a las
probabilidades de fallos. Por una parte hay diversidad de elementos y equipos con características variadas.
Por otra parte hay una gran diversidad en los tipos de averías. Tales diversidades complican el tratamiento
probabilístico de los datos.
Otra dificultad estriba, en el caso concreto de la industria química, en que no hay mucha cantidad
de datos y en que la calidad de los mismos puede verse afectada por diversidad de criterios a la hora de
recogerlos e interpretarlos. No obstante, hay datos procedentes de otros sectores (nuclear, electrónico,
plataformas marinas, etc.) que cabe aprovechar en nuestro campo de interés.
Evidentemente, todo ello no hace más que ahondar en un mismo hecho: Probablemente los datos
estadísticos existentes no sean totalmente aplicables al caso suyo, pero es lo más cercano y fiable de lo que
se dispone.
III-31
3.5.1 Análisis Cuantitativo mediante Arboles de Fallo
Mediante la aplicación cuantitativa de los árboles de fallo, y una vez localizadas las
probabilidades de ocurrencia de los Sucesos Básicos Iniciadores, se consigue cuantificar en términos
probabilísticos la frecuencia de ocurrencia del Suceso Final.
De la misma forma, el método permite el Análisis probabilístico de los conjuntos mínimos de
fallos (CMF), y en base a ello determinar cuales son críticos para la instalación.
En la Tabla 3.5 se observa el análisis probabilístico de los conjuntos mínimos de fallos (CMF)
del citado Arbol de fallos, cuya generación queda como ejercicio.
También en este caso se trata de la misma metodología ya analizada en los Métodos Cualitativos,
pero a la que se incorpora el tratamiento probabilístico a través de la aplicación de las probabilidades de
ocurrencia de la disyuntiva de los sucesos básicos iniciadores, los sucesos intermedios y los factores
condicionantes.
Aunque la fase de diseño es esencial en la evaluación de riesgos, también merecen atención las
fases de arranque, operación y parada. En muchos casos, lo más conveniente será identificar los
riesgos importantes tan pronto como sea posible, evitando costes de rediseño y modificación. A
dicha evaluación previa, le seguirá un análisis detallado de la instalación tan pronto como se
conozcan las condiciones principales y el diseño de las líneas del proceso.
La evaluación de la situación más desfavorable, dará lugar a los niveles más conservadores de
riesgo, que podrá justificar la elección de un estudio en mayor o menor profundidad.
III-32
La experiencia del personal en el uso de una determinada técnica, resultará esencial para un buen
estudio. En general, será más apropiado emplear un método sencillo bien conocido, que tratar de
utilizar un método más complejo del que no se tenga experiencia.
Algunas de las técnicas requieren un mayor volumen de datos, los cuales no siempre estarán
disponibles. Si un sistema está escasamente documentado, o sólo está diseñado en su fase
preliminar, resultará poco efectivo, y de difícil realización, el intentar aplicar una detallada
evaluación del riesgo.
Aunque el tiempo y el costo no deben ser los factores más determinantes al realizar una
identificación de riesgos, los recursos empleados deben estar de algún modo en relación con el
coste de las modificaciones a introducir en la planta para reducir el riesgo.
A este respecto, la mayoría de los estudios resultarán rentables si se realizan o coordinan por
analistas con experiencia.
A continuación se presenta la Tabla 3.6, donde se recogen las diferentes técnicas de identificación y
evaluación, así como los atributos en base a los que se deben seleccionar.
III-33
- Requerimientos de personal:
· P: Especialistas de planta
· S: Especialistas en seguridad
- Requerimientos de datos:
· G: Globales
· I: Intermedios
· D: Detallados
Ahora bien, si nos ceñimos únicamente en los Métodos Cualitativos para el análisis de Unidades de
proceso es necesario indicar que la técnica Hazop está considerada como la más rigurosa y estructurada de
todas, sobre todo cuando se hacen patentes las deficiencias más importantes de los otros métodos:
- El uso de las Check list únicamente puede no identificar todos los riesgos, si éstos no están
previamente establecidos en la lista.
- El uso de la técnica What if? únicamente no asegura que todas las posibilidades han sido
analizadas dado que no es un método suficientemente estructurado.
- El uso de las técnicas combinadas Check list/What if? combinadas se delata como una poderosa
combinación cuando el equipo de trabajo es suficientemente experimentado y las listas de
chequeo son muy completas.
- Por lo que respecta a la técnica FMEA se usa frecuentemente para identificar riesgos asociados
con elementos muy concretos de equipos, donde demuestra una potencia muy superior al resto de
los métodos de análisis, para el estudio de fallos eléctricos, electrónicos o mecánicos. Sin
embargo, para abordar estudios completos no resulta tan factible, dado que tampoco es una
técnica estructurada.
- La técnica PHA es muy útil pero sobre todo en etapas previas de diseño, cuando no hay
suficiente información de detalle para realizar ningún otro estudio. Mediante él se identifican los
principales riesgos a tener en cuenta. Sin embargo, para el análisis posterior de la Unidad de
Proceso, resulta igualmente una metodología poco estructurada.
- Finalmente, las técnicas de Arboles de Fallos y Sucesos, son métodos que demuestran toda su
potencia en análisis específicos; deductivos a partir de un Suceso Básico, en el caso de los
Arboles de Sucesos, o inductivos a partir de un Suceso Final en el caso de los FTA, pero poco
adecuados para el análisis Complejo de una Planta Industrial.
III-34
Tabla 3.6
Requerimientos
Fase de la planta o Tipo de Grado de
Técnica de identificación Propósito
proceso resultado complejidad Personal Datos Tiempo y costo
III-35
Análisis What if?. D+A T+O+H+C Q1+Rr B-M P+S D+I B-M
Los problemas que mayormente conciernen a la industria química son aquellos relacionados con
la operación arranque y parada de la planta, la fiabilidad de los equipos y los sistemas de seguridad. En
muchas áreas bien definidas, fundamentalmente aquellas de mayor riesgo, ha sido posible reconocer durante
años, los sucesos que implicarían problemas de operación o de seguridad y establecer códigos y normas
para diseñar y operar los equipos. Sin embargo, con el avance de la tecnología y la mayor complejidad de
las instalaciones, lo anterior no siempre es posible en orden a alcanzar los niveles de seguridad y eficacia
deseados.
Hasta ahora, ha sido costumbre estudiar un proyecto, respecto a las insuficiencias o fallos en el
diseño, sobre unas bases "ad hoc", haciendo circular a éste por distintos departamentos o grupos interesados
para comentarios. Esto, inevitablemente, significaba que la atención se enfocaba, en principio, en aspectos
concernientes a cada departamento o parte interesada. Había sólo una tendencia mínima a considerar el
proyecto como una unidad dinámica; o sea, a aprovechar y coordinar la destreza y habilidad de los
departamentos en un estudio colectivo y sistemático del sistema como un todo en la prevención de fallos en
el diseño frente a requisitos inesperados o eventualidades.
Mientras, una aproximación "ad hoc" es aceptable, para sistemas muy simples en plantas
convencionales y con procesos bien establecidos; ésto está lejos de ser, sin embargo, el procedimiento
adecuado cuando tratamos de industrias complicadas, modernas (por ejemplo, la nueva industria química,
cambio a nuevos procesos tecnológicos, nuevos materiales de construcción, etc.), o si hay pequeños
márgenes de error (por ejemplo, especificaciones de productos muy ajustadas, control seguro de
condiciones esenciales, límites de diseño muy finos, etc.). Para tales proyectos en particular, se requiere
claramente un estudio sistemático, orientado al proceso y mucho más riguroso.
El método de estudio, idealmente, debería ser práctico, simple y capaz de cubrir un amplio
campo de aplicaciones; también, debería ser comprensivo y completo, considerar lo que no es normal y
esclarecer lo que está oculto, adecuarse fácilmente al tiempo y recursos disponibles y, finalmente, este
método de trabajo debería estar basado en la experiencia. Un procedimiento que satisface a todos o la
mayoría de esos requisitos es el método conocido como Estudio HAZOP.
El método HAZOP (HAZard and OPerability study), presentado por primera vez por ingenieros de la
ICI Chemicals en el Reino Unido a mediados de los 70, comprende la investigación de posibles desviaciones
frente a las condiciones de diseño para las líneas y elementos pertenecientes a una determinada unidad de
proceso.
El equipo sigue, dentro de un proceso de "brainstorming", una estructura analítica por medio de un
conjunto de palabras guía para examinar desviaciones de las condiciones normales de proceso en varios puntos
clave (en adelante NODOS) a lo largo del proceso. Estas palabras clave son aplicadas a los parámetros más
relevantes del proceso (p.e. caudal, temperatura, presión, composición) con el objeto de identificar las causas y
consecuencias de las desviaciones de estos parámetros con respecto a sus valores previstos. Finalmente, la
identificación de consecuencias no deseadas (o inaceptables) dan como resultado recomendaciones para mejoras
del proceso. Éstas pueden incluir modificaciones del diseño, revisión de procedimientos, modificaciones en la
documentación escrita, estudios adicionales, etc.
IV-1
Las sesiones HAZOP se recogen en tablas HAZOP, en las que se anotan los distintos NODOS
analizados. A continuación se indican los términos más usados en la metodología del análisis HAZOP:
NODO: Punto específico del proceso (tal como un equipo o una línea) en el que se evalúan posibles
desviaciones del proceso.
PARÁMETRO: El parámetro relevante para la(s) condición(es) del proceso; p.e. presión,
temperatura, composición, etc.
Las más usuales son: NO, MÁS ALTA, MÁS BAJA, DIFERENTE, PARTE DE, e INVERSO.
Además, palabras clave como DEMASIADO PRONTO, DEMASIADO TARDE, EN LUGAR DE,
etc., también se usan; las últimas principalmente para procesos de tipo discontinuo.
Las palabras guía se aplican de manera independiente a los distintos parámetros, con objeto de
identificar desviaciones inesperadas, pero posibles, respecto de la intención.
CAUSA: La(s) razón(es) por las que podría ocurrir una desviación. Pueden identificarse varias
causas para una misma desviación.
2. Instalaciones que compensan la desviación, p.e. sistemas automáticos de control que reducen la
alimentación a un depósito en caso de sobrellenado (aumento de nivel). Normalmente son una
parte integrada dentro del control del proceso.
3. Instalaciones que previenen que ocurra una desviación. Un ejemplo para ello es el
establecimiento de un "blanketing" de gas inerte para el almacenamiento de sustancias
inflamables.
IV-2
4. Instalaciones que previenen un agravamiento de la situación como consecuencia de la desviación,
tal como el disparo de una actividad. Estas instalaciones están a menudo enclavadas con varias
unidades del proceso, y controladas por computadores lógicos.
Finalmente, para cada una de esas Causas, se anotan las consecuencias a las que daría lugar, las
salvaguardias propias del sistema y finalmente las Recomendaciones o Comentarios que fuesen precisos.
IV-3
4.3 DESCRIPCIÓN DE LA METODOLOGÍA HAZOP
4.3.1 Procedimiento
Esto se lleva a cabo mediante la aplicación de una lista de palabras-guía, cuyo significado puede
verse en la Tabla 4.1, a un conjunto de parámetros de proceso a analizar, entre los que pueden encontrarse
flujo, presión, temperatura, nivel, concentración, ratio de reacción, viscosidad, pH, agitación, fase o
tiempo de residencia.
Tabla 4.1
MÁS DE
AUMENTO CUALITATIVO
o
Si bien se realiza la función deseada, junto a ella tiene lugar una actividad adicional.
ASÍ COMO
DISMINUCIÓN CUALITATIVA
PARTE DE
Se realiza solamente una parte de la función deseada.
IV-4
De la combinación de las palabras guía con cada uno de los parámetros se obtienen las
desviaciones frente al comportamiento normal que el método pretende evidenciar.
Es necesario precisar que el estudio debe comprender, tal y como se indicó anteriormente, todos
los estados o modos de funcionamiento de la Unidad, como operación normal, arranque y parada, por lo que
los NODOS deben elegirse de forma que con ellos queden englobados todos los modos de operación o
intención.
Para esa causa, se investigan deductivamente las consecuencias posibles de la desviación, así
como las salvaguardias que el proceso dispone para evitar la causa o mitigar las consecuencias. En ese caso,
llegaremos a una de las tres posibilidades siguientes:
En el caso de que la consecuencia no entrañe ningún riesgo, se obviará más pérdida de tiempo, o
bien se anotará que no tiene consecuencias.
Ahora bien, para aquellas consecuencias, que aún disponiendo de salvaguardias impliquen un
riesgo, será necesario adoptar acciones correctoras o Recomendaciones que de alguna forma palien la
consecuencia o la causa.
Las recomendaciones deben ser consensuadas entre el grupo de trabajo, y le será asignada por el
Coordinador de Estudio a un miembro del equipo de trabajo, que quedará encargado de contestarla e
implantarla.
IV-5
CURSO DE COORDINADORES DE ESTUDIOS HAZOP
Figura 4.1
Nodo: Planos:
IV-6
2002 1/-
Esta secuencia operativa deberá repetirse con todas las palabras guía, parámetros y desviaciones,
para cada Nodo, y finalmente para todos los Nodos de la Unidad a analizar.
IV-7
4.3.2 Metodologías CBC, DBD y Basada en el Conocimiento
Dentro de la Técnica Hazop mediante palabras guía, es posible distinguir dos metodologías
distintas:
En la metodología Causa por Causa, los nodos son analizados de forma que para cada Desviación
se analizan consecutivamente las distintas causas que las provocan, y para cada una de ellas se determinan
las posibles consecuencias y salvaguardias así como las recomendaciones que sean pertinentes, tal y como
se ve en la Figura 4.3. Es decir, cada causa está relacionada claramente con sus consecuencias, sus
salvaguardias y recomendaciones.
Consecuencia 1
Causa 3 No identificadas Recomendación 2
Consecuencia 2
Por contra, en la metodología Desviación por Desviación, para cada desviación se anotan las
causas que pueden provocarla, las consecuencias de cualquiera de las causas, las salvaguardias y las
recomendaciones, sin que en ningún momento estén relacionadas con su causa. En la Figura 4.4 puede verse
un ejemplo de una Tabla Hazop según metodología DBD.
IV-8
Consecuencias Salvaguardias Recomendaciones
Salvaguardia 3
Causa 3 Consecuencia 3
Salvaguardia 4
La metodología CBC tiene una evidente ventaja frente a la metodología DBD, y es que al
relacionar cada causa con sus desviaciones, salvaguardias y recomendaciones, es una metodología
claramente trazable en su desarrollo y por tanto, auditable, a diferencia de la metodología DBD.
Muy al contrario que las metodologías CBC y DBC, la metodología Hazop Basada en el
Conocimiento es una variación de la metodología mediante palabras guía, en la que el proceso deductivo de
buscar causas para cada desviación es reemplazado por el conocimiento y experiencia del equipo de trabajo,
así como en la aplicación de detalladas bases de datos o librerías como check list para cada desviación.
El uso de esta metodología se basa en la idea de que las soluciones técnicas bien estudiadas,
documentadas y aplicadas pueden ser usadas como base para la evaluación de Unidades, siempre y cuando
éstas sean similares a otras ya analizadas:
- Asume que las bibliotecas utilizadas con listas de chequeo para cada desviación son
estándares correctos y aplicables…
IV-9
4.3.3 Puntos Fuertes de la metodología Hazop
Las principales ventajas que presenta la metodología Hazop frente a las restantes metodologías
cualitativas de análisis de riesgos, son las siguientes:
1. Es un método analítico y estructurado, que al ser desarrollado en modo Causa por Causa, es
fuertemente trazable su desarrollo y, por tanto, auditable.
3. Tiene gran utilidad en cualquier etapa de desarrollo: nuevo diseño, proceso existente,
Revamping de una Unidad existente, Modificación de una Planta, etc.
6. Considera los elementos de la Unidad integrados en su conjunto, que es como van a operar
realmente, y no de forma aislada.
7. Puede ser utilizado conjuntamente con otras técnicas cualitativas o semicuantitativas más
específicas para el análisis de un riesgo determinado para el que dichas técnicas son más
específicas, como por ejemplo: el uso de una check list para comprobación del cumplimiento
reglamentario de una instalación, o el uso de FMECA aplicado al modo de fallo de un
componente electrónico.
9. Dado que el grupo de trabajo es multidisciplinar, suele constituir el único foro, durante toda la
etapa de diseño y construcción de la Unidad, en el que todos se sientan en una mesa y
discuten abiertamente sobre el diseño realizado.
IV-10
4.3.4 Puntos Débiles de la Metodología Hazop
1. La calidad y contenido del resultado del análisis dependerá mucho de los conocimientos,
experiencia y compenetración del equipo de trabajo.
IV-11
5. ORGANIZACIÓN Y DESARROLLO DEL ESTUDIO HAZOP
En el siguiente capítulo analizaremos apartado por apartado, y desde la organización inicial del
Estudio hasta su finalización, como deben desarrollarse cada una de las etapas básicas del estudio.
Para el correcto desarrollo del estudio son básicas unas buenas planificación y organización
inicial del mismo.
Entre las muchas tareas a desarrollar, y en casi todos los casos serán competencia directa, al
menos su control, del Coordinador del equipo Hazop, cabe destacar las siguientes:
1. Delimitar y acordar con el Jefe del Proyecto el alcance del estudio Hazop, tanto en cuanto a lo
que se refiere a equipos e instalaciones, como a parámetros a incluir en el estudio, salvo que
esto último esté previamente acordado corporativamente.
2. Seleccionar, o controlar que se hace, a un equipo inicial de estudio, que deberá verificar, su
disponibilidad para realizar el estudio.
3. Planificar los días en los que habrá sesiones Hazop y la duración de las mismas, e informar a
los miembros del equipo Hazop y al jefe del Proyecto, que por su parte deberán responder
confirmando su disponibilidad total para asistir.
4. Acordar con el Jefe del Proyecto donde se realizarán las sesiones Hazop. En principio, debe
escogerse un lugar en el que se trastoque al mínimo la actividad principal que desarrolle la
mayoría del personal asistente.
5. Estimar si bien fuese preciso el coste de realización del estudio para incluirlo dentro del
Proyecto.
6. Solicitar del Jefe del Proyecto la información necesaria que tendrá que tener disponible cada
miembro del equipo. Dicha información deberá estar en poder de cada uno de ellos con la
suficiente antelación.
Para la correcta planificación del estudio es necesario tener en cuenta que debe desarrollarse una
vez que la Ingeniería de Detalle está suficientemente adelantada como para que no sean previsibles cambios
importantes, pero al mismo tiempo con suficiente antelación como para que la realización del estudio no
paralice o retrase la construcción de la Unidad debido a la implementación de las recomendaciones.
Si por cualquier razón se produjesen cambios en la Unidad con posterioridad, estos deberán ser
igualmente analizados por el equipo Hazop.
V-1
5.2 DOCUMENTACIÓN NECESARIA
Como se indicó anteriormente, es obligación del Coordinador del estudio Hazop recabar del Jefe
del Proyecto ordenar y aportar a los miembros del equipo Hazop la siguiente documentación con
anterioridad suficiente al inicio de las sesiones:
3. Balance de Materia y Energía, incluyendo si es preceptivo, los valores para inicio y final del
ciclo de reacción.
V-3
5.3 REQUISITOS DE LOS MIEMBROS DEL EQUIPO HAZOP
El personal del equipo de trabajo debe ser cuidadosamente elegido de forma que proporcione el
conocimiento y la experiencia apropiados a los objetivos del estudio y al desarrollo del proyecto. Esto es
fundamental para garantizar el éxito del estudio, ya que la técnica no compensará las deficiencias o falta de
conocimiento.
Es por ello por lo que es necesario contar con personas cuyos conocimientos técnicos amplias en
su campo, aunque no tenga experiencia en el desarrollo de Estudios Hazop.
De igual forma, cada representante procurará asistir a todas las reuniones del equipo, ya que se ha
comprobado que la presencia ocasional de un suplente del personal del equipo de trabajo es,
frecuentemente, insatisfactoria. Por esto, es esencial un firme compromiso y una necesaria disponibilidad de
tiempo por parte del personal seleccionado para que el progreso del análisis sea adecuado.
En este sentido, es necesario recalcar la importancia que tiene el que cada miembro del equipo
deje bien claro a su personal que NO se le debe interrumpir durante las sesiones Hazop.
b) Secretario: debe ser una persona con perfil semejante al anterior, con experiencia menor
quizá, que forma parte del equipo del coordinador y cuyos cometidos son:
V-4
e) Ingeniero de operación: que conozca y tenga experiencia en la operación de la planta y/o
proceso. Deberá aportar los aspectos relativo al factor humano como elemento de riesgo, de
control y de acción en caso de emergencia.
- Expertos en materiales.
- Expertos en diseño de detalles: recipientes a presión, tuberías, bombas, equipo para
protección pasiva (distribución en planta, etc.) y activa (sistemas para DCI, DCE, etc.).
- Ingenieros de seguridad y/o mantenimiento.
- Representantes del Departamento de Medio Ambiente.
De la misma forma que es importantísima la capacidad de decisión de cada uno de los miembros
del equipo Hazop, también es especialmente importante la independencia del coordinador, que no debe
depender, orgánicamente, de ninguno de los miembros del equipo Hazop ni depender siquiera del mismo
Departamento, con objeto de garantizar que la técnica es sistemática y rigurosamente aplicada.
Por lo que respecta al grupo de trabajo, es necesario y muy conveniente que todos ellos
mantengan durante las sesiones Hazop una actitud abierta y dialogante, como corresponde a un proceso
de brainstorming, en el que nadie se crea en posesión de la absoluta verdad, o quiera o intente imponer su
criterio en cualquier caso.
En este sentido, en la Tabla 5.1 se reflejan algunas frases que muestran una actitud negativa de
algún miembro del equipo y los posibles comentarios al respecto.
Tabla 5.1
V-5
1. Las Compañías descollantes en el mundo de los negocios tienen niveles altos de Seguridad.
2. Niveles bajos de Seguridad determinan probabilidad muy elevada de accidentes muy caros
que ponen en peligro la existencia y el negocio de la Compañía.
3. La mayoría (80 por 100) de los accidentes se deben al error humano y suelen incluir fallos en
la gestión de la Seguridad. Información, formación, entrenamiento, motivación, ejemplo, etc.
4. Se pueden adoptar planes graduales a medio plazo para inversiones y gastos en Seguridad,
evitando la acumulación excesiva de necesidades no satisfechas. ¿Hay, además, un
aseguramiento adecuado?.
5. ¿Por qué no incentivos financieros y fiscales para inversiones en Seguridad? (Ejemplo:
renovación en curso del parque de automóviles).
6. ¿De dónde viene esa distinción milagrosa? La actividad industrial supone unos riesgos
objetivos que deben medirse y controlarse.
7. La política de Seguridad incluye contactos con organismos oficiales y con otras Empresas.
8. Es importante favorecer de diversas formas una mejor imagen pública de la actividad
industrial.
9. LOS MANUALES: ¿Son leídos, actualizados, comprendidos, asimilados, ensayados y
respaldados con motivación?.
10. Escúchalo además y define política y planes concretos para actuación.
11. ¿Es o hay un «gestor» de la Seguridad? ¿Tiene la cualificación, la experiencia y las
atribuciones oportunas?.
12. LOS REGLAMENTOS: Sólo definen mínimos y no cubren todos los aspectos (riesgos) de la
actividad industrial. Se deben complementar con normas de uso interior, formación,
motivación, etc.
13. INVERSIONES EN SEGURIDAD: ¿Dónde? ¿Cómo? ¿Con qué prioridades? ¿Se dedica a
prevenir riesgos de mayor esperanza matemática?.
14. ¿Se han abordado las acciones complementarias sobre el elemento humano?
15. ¿Se hacen auditorías de Seguridad atendiéndose sus resultados?.
16. ¿Supone ello la existencia de una política real explícita de Seguridad?.
17. La actividad industrial supone la toma obligada de (más o menos) «papeletas en la rifa de
accidentes»: riesgo que se incluye entre los propios del negocio.
18. ¿Existen planes de emergencia? ¿Se ensayan?.
19. ¿Se cumplen siempre las instrucciones?.
20. Insiste, preséntala de otra forma, enriquece los argumentos, propón un plan gradual. ¿Incluye
sólo inversiones o es (o forma parte de) una política explícita, completa y real de Seguridad?.
21. ¿Se convierten los resultados de las Auditorías en planes de acción? ¿Se controla la ejecución
de los mismos?.
22. Alguna vez hay que empezar a hacerlo bien.
23. La Técnica avanza todos los días con objeto de disminuir los índices de siniestrabilidad.
24. Y yo que me alegro, pero no por ello tiene usted más razón.
25. Las reuniones Hazop son precisamente reuniones multidisciplinares y abiertas, en las que
todo el mundo debe dar su opinión abierta, sincera y sin deseos de dañar a nadie.
V-6
5.4 DESARROLLO DEL ESTUDIO HAZOP
Esta actividad, ya explicada en el apartado 6.1 constituye una de las fases más importantes del
estudio Hazop, y por ser responsabilidad del Coordinador adquieren por nosotros mayor importancia si
cabe.
Es importante delimitar el alcance del estudio con el Jefe del Proyecto con objeto de no
extenderlo a equipos o instalaciones no afectados por la nueva instalación. Sin embargo, el hecho concreto
de decidir si afecta o no afecta a la nueva instalación y, por tanto, si debe o no debe ser incluido un equipo o
línea concreta en el estudio debe ser del Coordinador del Estudio.
Es bastante frecuente que el Jefe del Proyecto no quiera extender el alcance del estudio fuera de
los L.B. de su proyecto, ya que las actuaciones que habría que realizar no están contempladas en
presupuesto.
En concreto deben analizarse todas las instalaciones cuya operación o seguridad se vea
modificada con la nueva instalación.
En este sentido, remarcar únicamente las características del grupo humano multidisciplinar que
formará el equipo:
Dado que la técnica es ardua y necesita de gran concentración por parte de los integrantes del
equipo Hazop, no es conveniente programar sesiones Hazop de más de tres horas seguidas, ya que está
demostrado que no por estar más horas sentado se obtienen ni más rendimiento ni velocidad en la
resolución de los Hazop.
V-7
Muy al contrario, la extensión de las reuniones por encima de dicho número de horas hace que se
pierda la tensión en el trabajo y, concretamente, exista riesgo de pasar por alto causas y consecuencias de
importancia.
Por otra parte, y dado que algunos estudios Hazop pueden tener duraciones largas, de incluso
meses, es necesario que las personas del equipo Hazop tengan tiempo suficiente para realizar sus tareas
normales.
De esta forma, el personal de planta podrá asistir a la reunión matinal y reunirse con el turno de
mañana antes de su salida, aparte de quedarle algo de tiempo para resolver temas de menor importancia.
1. Para estudios pequeños: puede plantearse sin problemas al atacar el estudio con sesiones
diarias hasta acabarlo.
2. Para estudios grandes: en estos casos, y dado que no es posible separar al personal de su
trabajo casi totalmente durante grandes períodos de tiempo, es necesario llegar al siguiente
compromiso:
c. Tener sesiones todos los días de la semana, intercalando entre cada dos semanas de
sesiones una sin reuniones.
Para decidir que solución adoptar, es necesario tener en cuenta los siguientes aspectos:
- La extensión del estudio no puede ser más prolongada de lo permisible por el desarrollo de la
Ingeniería de detalle. En ese caso, es posible que sea necesario dividir la instalación en dos y
dejar cada una de las partes al análisis de cada equipo Hazop.
- El lugar de procedencia de cada uno de los miembros del equipo Hazop, ya que si son
necesarios desplazamientos importantes, se hacen más viables las opciones b y c.
V-8
5.4.2 Actividades previas al inicio de las sesiones
Previamente al inicio de las sesiones, y un a vez acordado el alcance del estudio, es tarea del
Coordinador la delimitación y subdivisión de la instalación en Sistemas y NODOS de estudio.
Un sistema puede definirse como una parte o sección de una Unidad, y es bastante frecuente que
los P&I’s de desarrollo de la instalación ya estén divididos por sistemas distintos.
Por ejemplo, en una Unidad de Cracking Catalítico de una Refinería de Petróleos, podrían
distinguirse algunas de las siguientes secciones: Alimentación de carga, Reacción, Destilación principal,
Tratamiento de cortes ligeros, Merox de gasolinas, Merox de LPG, Amina, Regeneración de aminas,
Stripping de aguas ácidas, etc.
Sin embargo, por NODO se entiende un punto específico del proceso (tal y como un equipo o
una línea) en el que se evalúan posibles desviaciones del proceso.
En principio deben considerarse como NODOS de estudio todas las líneas principales de
alimentación a nuestro proceso, todos los equipo principales de la Unidad y todas las líneas de trasiego de
producto a almacenamientos intermedio o finales no incluidos en el alcance del estudio inicialmente.
El criterio esencial para determinar y seleccionar un NODO de estudio debe ser, en principio,
escoger aquella parte de la instalación en la que las palabras guía son aplicables uniformemente a
través de todas las partes del elemento.
En la práctica algunos elementos relacionados, como pueden ser: línea + bomba + recipiente,
pueden ser unificados y considerados un sólo NODO, con objeto de mantener la continuidad del estudio,
evitar repeticiones de desviaciones similares en dos NODOS consecutivos y mantener el centro de atención.
Ahora bien, en la definición de los NODOS, tendremos que tener en cuenta los modos de
operación de la instalación o Intención. Con ello se quiere decir que puede ocurrir que un mismo equipo
sea necesario analizarlo en dos o más NODOS independientes en función de sus modos de funcionamiento.
En este sentido, es necesario recordar que la instalación debe ser igualmente analizada en sus
operaciones de arranque, parada programada y de emergencia.
V-9
Figura 5.1 Nodos y modos de operación
Esta actitud desvirtúa desde el origen la técnica Hazop, convirtiéndose a todo lo más en un
Análisis Preliminar de Riesgos guiado. Es precisamente de esta forma como se dan casos de realización de
estudios Hazop de instalaciones importantes en sólo una tarde, o de nuevas unidades de Refinerías en solo
tres días.
V-10
Elección de una Sala de Reuniones adecuada
- Debe contar con una mesa de reuniones amplia, donde se puedan despegar con comodidad los
planos y la documentación de trabajo.
- Debe contar con sillas suficientes y amplitud suficiente para no “asfixiar” a los miembros del
equipo de trabajo.
- Conexión eléctrica cercana y mesa de ordenador para poder ejecutar el programa de asistencia
a la realización del estudio.
La primera actividad del Coordinador de un estudio Hazop una vez iniciada la sesión Hazop será
la de anotar los asistentes a la reunión por cada departamento:
También éste será el momento de dialogar abiertamente con el grupo de trabajo sobre temas
generales:
Una vez solventados los temas generales, entraremos en el Primer NODO de estudio.
Antes de que el equipo de trabajo examine detalladamente cada sección del proyecto, resultará
conveniente que un miembro especialista del equipo haga un resumen de las funciones de cada sección,
incluyendo las condiciones normales del proceso y sus especificaciones si están disponibles, para asegurar
que todos los miembros del equipo conocen suficientemente bien el proceso objeto del análisis.
Asimismo, y en el caso de que algún miembro del grupo sea la primera vea que participa en un
estudio, será obligación del Coordinador del estudio él introducirle en la metodología.
V-11
A partir de aquí, se aplicarán una a una todas las palabras-guía y parámetros establecidos y
acordados, NODO por NODO, con lo que se inducirán las desviaciones del proceso sobre todas las
variables posibles.
En este sentido, de nuevo hacemos hincapié en la necesidad de acordar entre el Coordinador del
Estudio y el Jefe del Proyecto el listado definitivo de desviaciones a analizar, aunque quizás sería más
conveniente, para evitar que sean obviadas desviaciones comprometidas, llegar aun listado definitivo de
desviaciones corporativo para todos los Hazop's desarrollados por la compañía.
De esta forma, se estandariza el alcance y calidad de todos los Hazop's desarrollados. En este
sentido, en la Tabla 5.2 se presenta el listado de desviaciones que se aplica en todos los Hazop's que
desarrolla.
Esta es la etapa creativa del procedimiento. En ella hay que reconocer las posibles causas y
consecuencias de cada una de las desviaciones generadas por las palabras-guía. Se pone completamente de
relieve el conocimiento, experiencia, habilidad, nivel del equipo de trabajo y actitud sobre lo que podría ir
mal frente a todas las eventualidades concebibles.
Esta etapa del procedimiento deberá ser minuciosa y exhaustiva; por ejemplo, allí donde se haga
una previsión que anule alguna contingencia, se preguntará si la previsión es la adecuada: ¿Es suficiente una
simple válvula de no retorno? ¿Será necesaria una alarma de alto nivel además de disparo? ¿Hay suficiente
venteo?, etc. Por esto, la experiencia de los integrantes del equipo de trabajo, así como una buena capacidad
de dirección del líder, son imprescindibles para no perder el tiempo en la búsqueda de soluciones
inadecuadas bien por afán de protagonismo de los integrantes, bien por su falta de conocimiento, bien por lo
sofisticado del tema, etc.
En este sentido puede ayudar conocer cuales son los aspectos más relevantes a verificar en
función del Area de diseño o el tipo de equipo con el que estemos trabajando.
A la hora de analizar las posibles causas que provocan una desviación, es oportuno hacerse la
pregunta siguiente:
En general, podemos indicar que puede, y deben, considerarse posibles causas de una desviación
las siguientes:
V-12
Otras causas menos creíbles y que en principio no debe analizarse, salvo que las consecuencias
de las mismas sean catastróficas son las siguientes:
Por otra parte y por lo que respecta a las consecuencias, es necesario indicar que deben recogerse
y analizarse tanto las que tienen asociada una componente de riesgo como las que delatan un fallo o
problema en la operabilidad de la instalación. De hecho, está suficientemente comprobado que en la
mayoría de los estudios se suelen identificar muchos más problemas de operabilidad que riesgos.
Por último, no debemos olvidar que el estudio debe tener en cuenta diversas instalaciones que
normalmente no aparecen en los P&I’s, como son:
- Drenajes
- Protección contra incendios
- Otras necesidades inherentes al proceso, como duchas lavaojos, cortinas de agua, etc.
Registros de todo lo anterior deberá quedar en las Tablas Hazop, ya presentadas en la Figura 5.1.
Tabla 5.2
Listado de desviaciones
V-13
TABLA 5.2
LISTADO DE DESVIACIONES
V-14
Evaluación de Consecuencias y establecimiento de Recomendaciones
Una vez establecidas las consecuencias e identificadas las salvaguardias existentes, tanto
tecnológicas como administrativas, para mitigar el alcance de las consecuencias o evitar la propia causa,
puede que sea necesario realizar alguna recomendación.
Sin embargo, y en la medida de lo posible, las soluciones a los problemas identificados deben ser
consensuados en el grupo de trabajo.
Al respecto del grado o alcance de la recomendación en función del Riesgo identificado, lo que
se denomina criterio de recomendaciones, se emplea el criterio de la Tabla 5.5 para marcar sus
correspondientes Recomendaciones en los estudios que desarrolla.
Tabla 5.5
Criterio de recomendaciones
V-15
Anotación de las Recomendaciones
Al respecto de la anotación de las Recomendaciones en las Tablas Hazop, es necesario hacer las
siguientes puntualizaciones:
2. De la misma forma, cuando no haya un acuerdo real de recomendación por parte del grupo y
la decisión final deba ser externalizada igualmente se anotará esta solución como
recomendación.
4. La redacción de las recomendaciones debe ser clara, directa, concisa, y muy importante,
independiente de lo escrito en las casillas de causa y consecuencias, es decir, debe ser
autoexplicativa.
En este sentido, se utilizarán verbos como: Verificar, Analizar, Instalar, Modificar, Eliminar, al
comienzo de cada recomendación, con objeto de que no queden dudas al respecto del acuerdo adoptado por
el grupo.
Una vez terminada la sesión, el Coordinador del Equipo Hazop, imprimirá y distribuirá las
recomendaciones que cada miembro del equipo Hazop tenga asignadas.
Para ello se utilizará un formato como el de la Figura 5.2 en el que quedan patentes, los
siguientes datos:
V-16
En aquellos casos en los que la contestación sea negativa a implantar un acuerdo del equipo
Hazop, o bien la contestación de un grupo de trabajo o una recomendación abierta no satisfaga los criterios
de seguridad seguidos por el equipo, será decisión del Coordinador del Equipo Hazop no dar el visto bueno
a la contestación y volver a reunir al grupo con el objeto de consensuar una solución al caso.
V-17
Curso de Coordinadores de Estudios Hazop
Figura 5.2
Número de Recomendación: Responsable de la Resolución:
V-18
Formato de distribución de recomendaciones
Fecha de Emisión Firma del Coordinador Fecha Resolución Firma del Responsable Vº Bº Coordinador
2002 1/-
5.5 DESARROLLO DE ESTUDIOS PARA PLANTAS DE OPERACIÓN TIPO BATCH
Las características generales de una planta con proceso tipo batch comparada con una de proceso
continuo, son las siguientes:
1. Por definición, el estado de varias partes de la planta cambian secuencialmente con el tiempo
y por ello un solo Diagrama de Flujo da una información incompleta del proceso.
2. Suele ocurrir que los procesos son multietapas, y las plantas multiproductos.
3. Los operadores realizan en algunos procesos parte de las actividades propias del mismo,
como la eliminación de producto de un filtro, etc.
Para el estudio Hazop de este tipo de unidades se hacen especialmente importantes las
instrucciones de operación, que en este tipo de instalaciones consisten en tablas que, para cada número de
secuencia de operación indica:
- Funciones de paso a la siguiente etapa o secuencia, ya bien sea por tiempo o por lograr algún
valor dado un parámetro de referencia.
También, para cada secuencia de operación, puede ocurrir que los interloks varíen.
Para estos casos, la primera tarea encomendada al Coordinador del estudio es si estudiar la planta
mediante la secuencia lógica del Diagrama de Procesos o mediante la Secuencia de operación.
En el primero de los casos, los nodos serán seleccionados de igual forma a una planta de proceso
en continuo, y la diferencia estribará en que para cada una de las desviaciones analizadas, buscaremos todas
las posibles causas que la generen en cada uno de los modos de operación, es decir, para la resolución de
cada desviación tendremos que plantear la búsqueda de causas en cada uno de los modos de operación del
equipo.
En el segundo de los casos, el nodo lo construirá el equipo funcionando en cada una de las
secuencias de trabajo.
V-19
5.6 DOCUMENTACIÓN RESULTANTE DEL ESTUDIO
De las sesiones de estudio se deriva una documentación cuya calidad es importante para
conseguir los objetivos prácticos del estudio y que no se quede en letra muerta. También la documentación
sirve para guiar revisiones futuras del estudio o el desarrollo de otros estudios más afinados y/o
cuantitativos.
Por una parte se deberá guardar ordenadamente toda la documentación que, siguiendo la
estructura del método, recoja en detalle, los pasos seguidos en el análisis y evaluación.
Por otra parte, el estudio debe resultar en un informe que incluya apartados como los siguientes:
1. Introducción.
Anexos:
1. Identificación del estudio.
2. Miembros del equipo Hazop.
3. Resumen de asistencia.
4. Listado de Nodos y desviaciones analizadas.
5. Tablas Hazop.
6. Listado de recomendaciones.
7. Formatos de distribución de Recomendaciones.
V-20
5.7 TIEMPO NECESARIO PARA LLEVAR A CABO UN ESTUDIO HAZOP
Para conocer el tiempo necesario para llevar a cabo un estudio Hazop, es necesario tener en
consideración los siguientes datos:
- Se puede considerar que el tiempo necesario para realizar un Nodo se encuentra entre 1,5 h.
en el caso de que la instalación sea similar a otra ya existente, y 3 h. en el caso de que esto no
sea así. En el caso de Nodos en los que el número de desviaciones analizadas sea muy alto,
ese tiempo puede oscilar en torno a 4 h. por nodo de media.
- Como vimos en el apartado 5.4, no es conveniente tener sesiones de más de tres horas
seguidas, siendo factible realizar dos sesiones en el día, una de mañana y otra de tarde.
- Las sesiones Hazop se organizan normalmente a ritmo de tres días alternos o consecutivos a
la semana, o bien cuatro o cinco días consecutivos a la semana en semanas alternas, para
Hazop's largos, o bien sesiones todos los días para Hazop cortos.
Al tiempo estrictamente necesario para realizar el estudio Hazop es necesario sumar el siguiente:
- Organización y planificación del estudio por parte del Coordinador: suele estar en torno a las
10 ÷ 30 h. por estudio.
- Gestión del estudio: suele oscilar en torno a dos horas adicionales por día de sesiones hazop.
- Presentación del informe Hazop: el Coordinador tardará en torno a las 40 h para editar el
documento, una vez obtenidas todas las contestaciones adecuadas de las recomendaciones.
V-21
6. FUNCIONES Y CUALIDADES DEL COORDINADOR DE ESTUDIOS HAZOP
A lo largo de los capítulos precedentes hemos ido desgranando aproximadamente cuales deber
ser tanto las funciones del coordinador como su aptitud y actitud ante el estudio.
Sin embargo, y dada su importancia capital para los futuros coordinadores, a continuación
indicaremos más detalladamente cuáles son sus funciones y los conocimientos que son de desear.
1.a Acordar el alcance del estudio con el jefe del Proyecto así como los parámetros a analizar en
cada Nodo.
1.b Coordinar las selección del grupo de trabajo, así como asegurarse de la disponibilidad
de sus miembros.
1.c Planificación del estudio Hazop: nº de sesiones necesarias en función de los nodos
aproximados, propuesta al grupo de los días y horas de reunión y propuestas de calendario
de reuniones.
1.e Solicitar del Jefe del Proyecto la documentación relativa a la Unidad y cerciorarse de que
ésta llega a todos los miembros del equipo.
3.4 Se preocupará de que antes del inicio de cada nodo, el representante de Ingeniería de
Procesos explica a todos el funcionamiento del Sistema.
4.1 Dirigir al grupo de trabajo, de forma que se puedan detectar las posibles causas
motivadoras de desviaciones en el proceso respecto a las condiciones normales de
operación, identificar posibles problemas asociados a dicha situación, y llegar a
conclusiones que permitan su solución, caso de ser necesario.
VI-1
4.2 Moderar y limitar la discusión. Para ello, el coordinador debe mantener una actitud
suficientemente flexible, para no romper la atmósfera de la reunión de brainstorning pero
sin embargo lo suficientemente riguroso, que no inflexible, para limitar el tiempo de las
discusiones.
4.4 Tomar notas precisas durante la reunión, plasmándolas en las tablas Hazop. Esta función
puede ser asumida por el Secretario Hazop caso de existir.
4.6 Motivar al grupo de trabajo y requerir de ésta una actitud positiva en todo momento.
4.7 Lograr, en la medida de lo posible, que las sesiones Hazop no sean interrumpidas
constantemente, que los miembros sean puntuales y mantengan su grado de
compromiso no faltando a las sesiones.
Para realizar dicha tarea, es de especial significación la necesidad de que el Coordinador Hazop
sea independiente tanto orgánicamente como económicamente.
VI-2
6.2 FORMACIÓN DEL COORDINADOR HAZOP
La formación del Coordinador del Estudio Hazop es, junto con su actitud ante el estudio, uno de
los factores más importantes a la hora de obtener éxito en la realización del estudio.
El hecho de que el Coordinador del estudio tenga amplios conocimientos de Ingeniería en general
no es del todo obligatorio ni necesario, ya que en concreto su misión dentro del grupo Hazop es coordinar y
liderar, no marcar las consecuencias de un determinado hecho ni marcar cuáles son las recomendaciones a
adoptar para responder a una determinada causa o consecuencia.
Si bien lo anterior es cierto, no es menos cierto que sí es obligación del Coordinador lograr un
buen rendimiento del estudio y, dentro de dicha labor, verificar en todo momento si algún miembro del
grupo permanece ocioso.
La formación del Coordinador debe abarcar, al menos, las siguientes áreas de conocimiento:
VI-3
- Códigos de diseño: como los códigos ASME de cálculo de recipientes a presión, o líneas en
centrales térmicas y plantas químicas; Normas NFPA, Normas API, etc.
VI-4
7. INTRODUCCIÓN A LOS SISTEMAS INSTRUMENTADOS DE SEGURIDAD.
DEFINICIONES Y NORMATIVAS
7.1 INTRODUCCIÓN
Estos riesgos potenciales exigen que estas plantas adopten estrictos criterios tanto en el diseño de
las instalaciones y equipos, como en la adopción de medidas de seguridad. Dichas medidas de seguridad se
traducen en múltiples capas de protección de las instalaciones.
Cada capa de protección está compuesta de equipos y/o procedimientos de control que actúan
conjuntamente con otras capas de protección para controlar y/o mitigar los riesgos de los procesos.
- Aquéllas destinadas a prevenir el accidente, como pueden ser el sistema de control, las
alarmas críticas, las actuaciones por parte del operador y los Sistemas Instrumentados de
Seguridad (SIS).
- Aquéllas destinadas a introducir medidas de mitigación, como pueden ser los Sistemas
Fuego&Gas, los sistemas de alivio, de protección física, la respuesta de la planta ante
emergencia o la respuesta de la población ante emergencia.
Las medidas de seguridad o capas de protección más adecuadas a adoptar en las instalaciones se
derivarán de la elaboración de un Análisis de Riesgos específico en las mismas, mediante la aplicación de
una o varias técnicas de identificación de riesgos.
VII-1
Figura 7.1 CAPAS DE PROTECCIÓN EN INSTALACIONES DE PROCESO
Existe una gran variedad de técnicas de identificación de riesgos, tales como bases de datos de
accidentes, análisis de peligros y operatividad (HAZOP), análisis what if?, listas de chequeo, análisis de los
modos de fallo, efectos y consecuencias (FCMEA), análisis mediante árboles de fallo y árboles de suceso,
etc. La técnica de identificación seleccionada dependerá de los propósitos perseguidos con la identificación
de riesgos, así como de los datos y recursos disponibles.
En este sentido, la metodología HAZOP, tal y como hemos analizado en los capítulos
precedentes, se presenta como una de las técnicas más rigurosas y estructurada para la identificación de los
peligros asociados a una planta de proceso. La aplicación principal de esta técnica se encuentra en la
identificación de riesgos en las primeras etapas del diseño, al ser el mejor momento para introducir cambios
o modificaciones, dado que los resultados son recomendaciones de mejora que modificarán el diseño final
de los equipos o sistemas.
Entre otras medidas de seguridad o capas de protección que se derivarán de la aplicación de una
metodología HAZOP, cabe destacar la implementación de Sistemas Instrumentados de Seguridad (SIS) o
sistemas de interlocks (Ver Figura 7.2) que conducen a la planta a estado seguro cuando se vulneran unas
condiciones predeterminadas, así como de Sistemas Fuego-Gas (F&G) (Ver Figura 7.3) que activan
medidas de mitigación en caso de incendio o fuga de gas en las instalaciones.
VII-2
¾SISTEMA
¾ SISTEMACOMPUESTO
COMPUESTOPORPORSENSORES,
SENSORES,CONVERTIDOR
CONVERTIDOR
LÓGICOYYELEMENTOS
LÓGICO ELEMENTOSDE DECONTROL
CONTROLFINALES
FINALESCON
CON
OBJETO DE LLEVAR EL PROCESO A UN ESTADO SEGURO
OBJETO DE LLEVAR EL PROCESO A UN ESTADO SEGURO
CUANDO SE VULNERAN UNAS CONDICIONES
CUANDO SE VULNERAN UNAS CONDICIONES
PREDETERMINADAS.
PREDETERMINADAS.
ARQUITECTURADEL
ARQUITECTURA DELSIS
SIS
¾¾SISTEMA
SISTEMACOMPUESTO
COMPUESTOPOR PORDETECTORES
DETECTORESDE
DEFUEGO/GAS,
FUEGO/GAS,
CONVERTIDOR LÓGICO
CONVERTIDOR LÓGICOYYSISTEMAS
SISTEMASDE
DEMITIGACIÓN
MITIGACIÓNCON
CON
OBJETO DE MINIMIZAR LAS CONSECUENCIAS DE
OBJETO DE MINIMIZAR LAS CONSECUENCIAS DE UNUN
POSIBLEINCENDIO
POSIBLE INCENDIOOOPOSIBLE
POSIBLEFUGA
FUGADE
DEGAS
GAS
DETECTORES NOTIFICACIÓN/
FUEGO SISTEMA
SISTEMA ALARMAS
FUEGO/
FUEGO/
DETECTORES
GAS
GAS SISTEMAS DE
GAS MITIGACIÓN
VII-3
7.2 ÍNDICE SIL
Analizando como ejemplo el control de nivel en un equipo de proceso, las distintas capas de
protección instrumentadas para el control de dicha variable se muestran en la Figura 7.4, y se resumen a
continuación:
- Actuación del sistema de control: En caso de comportamiento normal del nivel a lo largo del
tiempo, el sistema de control del proceso haría evolucionar a dicha variable entre sus valores
normales de operación. Si en el proceso aparecen causas que generan una desviación de
dicho parámetro, el nivel alcanzaría un valor tal que el sistema de control activaría una
alarma de alto nivel que avisaría que dicho parámetro se encuentra fuera de sus valores
normales de operación.
- Actuación del operador: Si el operador detecta esta situación anómala, deberá realizar las
actuaciones operativas necesarias tendentes a disminuir el nivel en el equipo. En caso de que
el operador, bien no detecte la alarma de alto nivel o bien no realice las actuaciones
correctas, el nivel seguiría aumentando hasta llegar al punto de enclavamiento o punto de
trip.
- Actuación del Sistema Instrumentado de Seguridad: Una vez que el SIS detecta que la
variable de proceso ha alcanzado el punto de enclavamiento, éste realizará las actuaciones
correctas para conducir las instalaciones a estado seguro. En caso de que no se disponga de
SIS en las instalaciones, o bien se disponga del mismo pero no actúa o lo hace
incorrectamente, se generará en el proceso una situación de riesgo que finalmente puede
provocar la ocurrencia de un accidente grave en las instalaciones.
VII-4
Acción
Sistema
Fuego-Gas
Acción SIS
Punto de Trip
Acción Operador
Alarma de alto nivel
Variable Sistema de
de proceso control
Bajo nivel
Tiempo
Dado que los Sistemas Instrumentados de Seguridad así como los Sistemas Fuego-Gas,
constituyen medidas de seguridad que deben actuar en caso de fallo del control del proceso y de una
actuación incorrecta por parte del operador, dichos sistemas deben disponer de unas condiciones de
seguridad y fiabilidad suficiente que garanticen su correcto funcionamiento cuando se les demanden. El
Análisis SIL (Ver Figura 7.5) permitirá evaluar cual es el nivel de seguridad exigible a estos sistemas, así
como verificar que éstos están conformes a dicho nivel.
¾NIVEL
¾ NIVELÍNTEGRO
ÍNTEGRODE
DESEGURIDAD
SEGURIDADEXIGIBLE
EXIGIBLEAALOS
LOS
SISTEMASINSTRUMENTADOS
SISTEMAS INSTRUMENTADOSDE
DESEGURIDAD
SEGURIDADYYAA
LOSSISTEMAS
LOS SISTEMASFUEGO-GAS
FUEGO-GAS
1 2 3
ANSI/ISA S.84
1 2 3 4
IEC 61511/ 61508
VII-5
Tal y como se muestra a continuación, el Índice SIL presenta una correlación directa de las
consecuencias asociadas al fallo del sistema y la probabilidad de fallo en demanda del mismo:
Tabla 7.1
Disponibilidad
SIL Consecuencias PFD media2
requerida (%)
41 Daños catastróficos en el exterior > 99,99 10-5 - 10-4
Daños humanos en el interior y daños en
3 99,90 – 99,99 10-4 - 10-3
el exterior
Daños materiales y posibles daños
2 99,00 – 99,90 10-3 - 10-2
humanos en el interior
1 Pequeños daños materiales en el interior 90,00 – 99,00 10-2 - 10-1
1
El Índice SIL = 4 sólo se contempla en los estandares IEC 61508/61511, pero no en el estándar
ANSI/ISA-S84 que sólo contempla hasta SIL = 3.
2
Probabilidad de fallo en demanda media.
VII-6
- IEC 61511: "Funcional Safety of electrical/electronic/programmable electronic safety
related systems for the process industry sector": Es un estándar de la “International Electrotechnical
Commission” en el que se establece una base para el uso de dispositivos eléctricos y/o electrónicos
programables en el diseño de Sistemas Instrumentados de Seguridad en la industria de proceso. Establece
asimismo cuales son los pasos en el ciclo de vida de un SIS desde su concepción inicial hasta el desmontaje
del mismo. Está dirigida fundamentalmente al usuario final de los sistemas de seguridad.
En los siguientes capítulos se establecen cuales son los principales requerimientos que establecen
las normas citadas para el diseño y evaluación de Sistemas Instrumentados de Seguridad
VII-7
8. CICLO DE VIDA DE LOS SISTEMAS INSTRUMENTADOS DE SEGURIDAD
8.1 INTRODUCCIÓN
PROCEDIMIENTOS
PROCEDIMIENTOS
DISEÑODEL
DELPROCESO
PROCESO DESARROLLO
DESARROLLO DEOPERACIÓN
OPERACIÓNYY
DISEÑO SEGURIDAD DE
SEGURIDAD MANTENIMIENTO
MANTENIMIENTO
ANÁLISISRIESGOS
ANÁLISIS RIESGOS
DISEÑODEL
DISEÑO DELSIS
SIS
(HAZOP)
(HAZOP) PUESTAEN
PUESTA EN
MARCHA, OPER.,
MARCHA, OPER.,
NO MANT.YYTEST
MANT. TEST
NO
IMPLANTACIÓN
IMPLANTACIÓN
¿SIS? DELSIS
SIS
DEL SI
SI
SI
SI
FIN
FIN
MODIF.
DEFINIRSIL
DEFINIR SIL
DESINSTALACIÓN
DESINSTALACIÓN
A continuación en los siguientes Apartados se describen cada una de las fases dentro del Ciclo de
Vida de Seguridad de los Sistemas.
En esta primera fase del Ciclo de Vida de Seguridad de los Sistemas Instrumentados de
Seguridad, se debe desarrollar la Ingeniería Básica y de Detalle del proceso en cuestión. Dicho desarrollo
debe incluir, entre otros aspectos, los Diagramas de Instrumentación y Control (P&ID) las filosofías de
operación, el sistema de control del proceso, hojas de datos de equipos, etc.
VIII-1
8.3 ANÁLISIS DE RIESG0S (HAZOP)
Existe una gran variedad de técnicas de identificación de riesgos, tales como bases de datos de
accidentes, análisis de peligros y operatividad (HAZOP), análisis what if?, listas de chequeo, análisis de los
modos de fallo, efectos y consecuencias (FCMEA), análisis mediante árboles de fallo y árboles de suceso,
etc. La técnica de identificación seleccionada dependerá de los propósitos perseguidos con la identificación
de riesgos, así como de los datos y recursos disponibles.
En este sentido, la metodología HAZOP se presenta como una de las técnicas más rigurosas y
estructurada para la identificación de los peligros asociados a una planta de proceso. La aplicación principal
de esta técnica se encuentra en la identificación de riesgos en las primeras etapas del diseño, al ser el mejor
momento para introducir cambios o modificaciones, dado que los resultados son recomendaciones de
mejora que modificarán el diseño final de los equipos o sistemas.
En los Capítulo 3 a 6 del presente documento, se presentan los distintos tipos de metodologías de
Análisis de Riesgos de Procesos (PHA's), centrándose fundamentalmente en la Metodología Hazop.
Dentro de las etapas del Ciclo de Vida de Seguridad, debe realizarse la asignación o definición
del Índice SIL para todos los Sistemas Intrumentados de Seguridad de las instalaciones, considerando no
sólo los definidos en la Ingeniería Básica y de Detalle sino también los que se introducen nuevos como
consecuencia del Estudio Hazop desarrollado para las instalaciones en cuestión.
El cálculo del Índice SIL se realiza aplicando una metodología de análisis de riesgos. En el
Capítulo 9 se describen las principales metodologías existentes para el desarrollo de Análisis SIL.
VIII-2
8.5 DESARROLLOS Y REQUERIMIENTOS DE SEGURIDAD
Los requerimientos del SIS deben ser expresados y estructurados, de tal modo que sean claros,
precisos, verificables, sostenibles, factibles y escritos de modo que puedan ser comprendidos y aplicados.
La especificación de los requerimientos de diseño para el SIS debe incluir :
a) La función del sistema o componente del sistema.
b) Acciones que el sistema o componente debe realizar bajo circunstancias establecidas
(especificación funcional).
c) Integridad requerida (confiabilidad y disponibilidad) para operar en dichas circunstancias
(especificación de integridad).
d) Requerimientos de sobrevivencia una vez que un incidente mayor ha sucedido (especificación
de sobrevivencia).
Los requerimientos funcionales deben describir las características de cada función instrumentada
de seguridad. La especificación funcional debe incluir la definición de los parámetros relevantes tales como:
a) Rango de operación normal de las variables del proceso y sus límites máximo y mínimo.
b) El estado seguro del proceso, para cada uno de los eventos identificados.
c) Las entradas de proceso al SIS y sus acciones.
d) Las salidas de proceso del SIS y sus acciones.
e) Interfases e interacciones con otros sistemas (incluyendo el sistema de control básico de
proceso y operadores).
f) Punto de referencia (setpoint) de las variables del proceso y su tolerancia.
g) La relación funcional entre la detección y actuación de los elementos finales (entradas y
salidas del proceso), incluyendo la lógica, las funciones matemáticas y cualquier otro
permisivo que se requiera mediante las representaciones de diagramas lógicos y diagramas
causa-efecto.
VIII-3
h) Selección de los modos de energizar o desenergizar para disparo. Generalmente las
aplicaciones SIS se encuentran normalmente en el modo energizado y son desenergizadas
para disparo. Cuando el proceso específico requiera que alguna aplicación SIS sea
normalmente desenergizada y energizada para disparo deberá fundamentarse y demostrarse.
i) Consideraciones para disparo manual.
j) Las acciones a tomar en caso de pérdida de la(s) fuente(s) de energía del SIS.
k) La Respuesta de acción a cualquier fallo detectado.
l) Requerimientos de interfase humano-máquina.
m) Funciones de restablecimiento del SIS después de un paro.
n) Los tiempos de respuesta y las tolerancias permisibles de las funciones y de los componentes
relevantes.
o) Si la función de seguridad es aplicable a sistemas instrumentados de seguridad operando en
modos de operación de baja demanda (no mayor a una demanda por año y una frecuencia de
prueba no mayor a 2 veces por año), o de alta demanda/ continua (mayor a una demanda por
año y una frecuencia de prueba mayor a dos veces por año).
p) Los modos de operación relevantes del equipo bajo control, lo cuál debe incluir: arranque
automático, y manual, semiautomático; estado estacionario, estado estacionario de no
operación, reestablecimiento, paro, mantenimiento, y la identificación de las funciones
instrumentadas de seguridad requeridas para operar dentro de cada modo.
q) La importancia de las interacciones de los componentes físicos del sistema
(hardware)/programas de cómputo (software), e identificar y documentar cualquier restricción
para dichas interacciones.
r) Cualquier requerimiento específico referente a los procedimientos de arranque y
reestablecimiento del SIS.
VIII-4
8.5.2 Especificación de Integridad
La especificación constituye la guía para definir los requerimientos de diseño, por esta razón, se
debe incluir toda a información requerida como un paquete completo. Además de la información requerida
y citada con anterioridad, debe incluirse la siguiente información para integrar el paquete de documentos de
la especificación funcional y de integridad:
VIII-5
a) Diagramas causa-efecto: También conocidos como matrices de causa efecto (cause and
effects Matrix "CEM") se ha convertido en una herramienta muy familiar para documentar
los requisitos de seguridad de un SIS - es una manera muy intuitiva de representar la lógica.
Una descripción detallada se puede encontrar en la Norma ISO-10418 de la industria
petrolera Estos diagramas se usan para documentar los requerimientos funcionales y de
integridad. Deben ser documentos claros para todas las disciplinas.
b) Diagramas lógicos: Estos diagramas se deben usar en adición de los diagramas causa-efecto
para funciones complejas y basadas en tiempo, así como para secuencias complejas que no
pueden ser descritas fácilmente mediante un diagrama de causa-efecto.
El propósito del diseño conceptual es definir las características técnicas para la realización y
mantenimiento bajo estándares de los Sistemas Instrumentados de Seguridad SIS. Los sistemas de
protección deben estar constituidos de los siguientes elementos:
a) Elementos primarios.
b) Sistemas eléctricos, electrónicos o electrónicos programables.
c) Elementos finales.
d) Hardware y software adicionales necesarios para el correcto funcionamiento del SIS.
La separación del sistema de control básico de proceso SCBP (BPCS) y las funciones del
Sistema Instrumentado de Seguridad SIS reducen la probabilidad de que el control y las funciones de
seguridad no estén disponibles al mismo tiempo, ya que cambios inadvertidos afectarían la funcionalidad de
seguridad del SIS. Debe existir una separación total entre estos dos sistemas, en casos donde no sea posible
separar dichos sistemas en un proceso o equipo especifico se debe fundamentar y demostrar que no se
compromete la integridad de las funciones de seguridad.
VIII-6
La separación debe considerarse y evaluarse para cumplir con la funcionalidad de seguridad y los
requisitos de integridad en las siguientes áreas:
a) Aplicación a sensores de campo.
b) Aplicación a elementos finales de control.
c) Procesador lógico.
d) Comunicación entre SIS y el sistema de control básico de proceso SCBP (BPCS) u otro
equipo.
A. Sensores de campo:
- Para SIL 1 y SIL 2, es necesaria la separación idéntica entre el sistema de control básico de
proceso SCBP (BPCS) y el SIS para alcanzar la integridad de seguridad requerida.
- Para SIL 3, la separación puede ser idéntica o diversa entre el sistema de control básico de
proceso SCBP (BCPS) y el SIS para cumplir con la integridad de seguridad requerida.
- Para SIL 1, puede usarse una sola válvula para ambos sistemas SCBP (BPCS) y SIS, con la
condición de que la tasa de fallo, cumpla los requisitos de integridad de seguridad. El diseño
debe asegurar que las acciones del SIS prevalezcan sobre las acciones del SCBP (BPCS).
- Para SIL 2, se requiere la separación idéntica entre SCBP(BPCS) y SIS, para cumplir el nivel
de integridad de seguridad requerida. El uso de una sola válvula para SCBP (BPCS) y SIS
requiere un análisis y revisión de seguridad, ya que de lo contrario puede no cumplirse la
integridad de seguridad requerida.
- Para SIL 3, la separación debe ser idéntica o diversa entre el SCBP (BPCS) y SIS para
alcanzar la integridad de seguridad requerida.
VIII-7
C. Procesador lógico:
- Para SIL 1, la separación entre el sistema de control básico de proceso SCBP (BPCS) y SIS
debe ser idéntica o diversa para lograr la integridad de seguridad requerida.
- Para SIL 2, se requiere separación diversa entre el sistema de control básico de proceso SCBP
(BPCS) y el SIS para cumplir con la integridad de seguridad requerida.
- Para SIL 3, debe existir una separación diversa entre el sistema de control básico de proceso
SCBP (BPCS) y el SIS para cumplir con la integridad de seguridad requerida.
Existen casos especiales dónde no es posible separar el sistema de control básico de proceso
SCBP (BPCS) del SIS. Algunas consideraciones mínimas para estos casos especiales son:
a) Evaluación de las fallas de los componentes comunes y programas de cómputo (software) y
su impacto en el desempeño del SIS.
b) El ciclo de vida debe soportar al sistema completo como un SIS con respecto a los cambios,
mantenimiento, pruebas, y documentación.
c) Limitar el acceso a la programación o la configuración de las funciones del sistema.
VIII-8
Tabla 8.1
Disponibilidad
SIL Consecuencias PFD media2
requerida (%)
41 Daños catastróficos en el exterior > 99,99 10-5 - 10-4
Daños humanos en el interior y daños en
3 99,90 – 99,99 10-4 - 10-3
el exterior
Daños materiales y posibles daños
2 99,00 – 99,90 10-3 - 10-2
humanos en el interior
1 Pequeños daños materiales en el interior 90,00 – 99,00 10-2 - 10-1
1
El Índice SIL = 4 sólo se contempla en los estandares IEC 61508/61511, pero no en el estándar
ANSI/ISA-S84 que sólo contempla hasta SIL = 3.
2
Probabilidad de fallo en demanda media.
A. Parámetros de diseño
- λ: Tasa de fallo.
- C: Tasa de autodiagnóstico.
B. Parámetros de mantenimiento
- T: Período de prueba.
- MTTR: Tiempo medio para reparación.
Se deben por tanto ajustar estos parámetros para cada uno de los elementos del SIS, sensor,
lógica y actuador, para garantizar la PFD del sistema global de acuerdo al Índice SIL calculado.
En caso de que la PFD global se encuentre por encima de la exigible para el SIL en cuestión, se
deberán mejorar los siguientes aspectos:
El propósito de la etapa del diseño detallado es finalizar y documentar el diseño conceptual. Una
vez que se ha elegido un diseño, el sistema debe ser construido siguiendo procedimientos estrictos y buenas
prácticas de ingeniería, para evitar errores en el diseño e implantación. En esta etapa el sistema debe ser
VIII-9
programado y probado de acuerdo a la lógica determinada, cualquier error cometido durante esta etapa
influirá en el resto del diseño.
En esta etapa debe verificarse que cada uno de los elementos que constituyen el diseño propuesto
del SIS cumplen con el SIL objetivo. La operación del Sistema Instrumentado de Seguridad (SIS) se basa
en un nivel de integridad de seguridad objetivo SIL que debe ser definido durante el desarrollo de la
especificación de los requerimientos de seguridad.
El proceso de validación a implantar para la verificación del NIS (SIL) propuesto debe incluir los
siguientes puntos:
En esta etapa, se debe asegurar que el sistema sea instalado de acuerdo al diseño y opere de
acuerdo a la especificación de los requerimientos de seguridad. Antes de que el sistema sea llevado al sitio
debe ser probado hasta su correcta operación, una vez en el sitio, el contratista debe verificar que el sistema
esté de acuerdo al diseño detallado incluyendo los dispositivos de campo (comisionado).
Asimismo deben de llevarse a cabo las pruebas de prearranque y aceptación del sistema. Se debe
elaborar un procedimiento que dicte los pasos a seguir para la instalación detallada y cada función y etapa
deben ser verificadas y documentadas.
VIII-10
8.10 OPERACIÓN Y MANTENIMIENTO
El propósito de esta etapa es que se asegure que el sistema funcione correctamente de acuerdo al
diseño original y se mantenga durante todas las etapas del ciclo de vida de seguridad, asegurando con esto
que responderá efectivamente en caso de una demanda real. La frecuencia de inspección y prueba se
determina en una etapa anterior en el Ciclo de Vida (Ver Apdo. 8.5).
8.11 MODIFICACIONES
Conforme existan cambios en las condiciones del proceso será necesario realizar cambios al
sistema de seguridad. Todos los cambios propuestos requieren de un retorno al inicio del Ciclo de Vida de
Seguridad. Por lo tanto, se debe proporcionar un procedimiento y registro de implantación formal para el
control y evaluación de cambios al sistema y darle un seguimiento al mismo.
8.12 DESMANTELAMIENTO
VIII-11
9. METODOLOGÍAS PARA EL CÁLCULO DEL ÍNDICE SIL
De acuerdo a lo indicado en el Capítulo 8, uno de las etapas a cubrir en el Ciclo de Vida de un Sistema
Instrumentado de Seguridad consiste en el cálculo del Índice SIL (Safety Integrity Level) para todos los SIS
existentes en la instalación.
De esta forma, se debe calcular este índice de seguridad, no sólo para los SIS definidos en la
Ingeniería Básica y de Detalle, sino también para los que se introducen nuevos como consecuencia del Estudio
Hazop desarrollado para el proyecto en cuestión. El desarrollo de un Estudio Hazop se debe elaborar, dentro del
Ciclo de Vida del SIS, de forma previa al cálculo del Índice SIL.
El cálculo del Índice SIL se realiza aplicando una metodología de análisis de riesgos. En el presente
capítulo se describirán las principales metodologías existentes para el desarrollo de Análisis SIL, las cuales se
pueden dividir en:
- Metodologías cualitativas
- Metodologías semicuantitativas
- Metodologías cuantitativas
Se tratan de técnicas de análisis crítico que no recurren al análisis numérico. Su objetivo principal es
identificar:
a) Riesgos.
b) Efectos: incidentes y accidentes cuando se materializan los riesgos.
c) Causas: orígenes o fuentes de los riesgos.
Dado que los análisis cualitativos sirven, muchas veces, como base para otros semicuantitativos o
cuantitativos, es importante la calidad de los primeros.
IX-1
9.1.1 Gráfico de Riesgo
Asimismo, en la Figura 9.2 se detalla la relación existente entre el Índice SIL de acuerdo a dicha
normativa, y el correspondiente según las normativas IEC-61508/61511 que consideran el Índice de 1 a 4.
IX-2
Figura 9.2 RELACIÓN ÍNDICE SIL NORMATIVA ALEMANA CON NORMAS IEC-61511/61508
El Índice SIL se determina a partir de dicho gráfico, valorando de forma cualitativa los siguientes
cuatro parámetros:
- Consecuencias (C):
· C1: Daños mínimos
· C2: Daños serios/permanente a una o más personas.
· C3: Muerte de varias personas.
· C4: Muerte de muchas personas.
IX-3
9.2 METODOLOGÍAS SEMICUANTITATIVAS
Se tratan de técnicas de análisis críticos que emplean índices globales del potencial de riesgo
estimados a partir de las estadísticas. Estas pueden ser de disposición general o procedentes de la experiencia de
las compañías en el diseño y la operación de plantas semejantes a las que se trata de enjuiciar.
En la Figura 9.3 se detalla el Gráfico de Riesgo Calibrado que se recoge en la Norma IEC-61511 Parte
3.
IX-4
Figura 9.3 ÍNDICE SIL. GRÁFICO DE RIESGO CALIBRADO NORMA IEC-61511 PARTE 3
La calibración de los valores del Gráfico C, F, P y W debe ser una decisión corporativa. No obstante,
en la Norma IEC-61511 Parte 3 se recogen unas referencias para la valoración de dichos parámetros, que se
resumen a continuación:
A. Consecuencias (C)
Se puede calcular como el número de muertes en las instalaciones, mediante la determinación del número de
personas presentes en la zona cuando el área expuesta al riesgo está ocupada multiplicándolo por la
vulnerabilidad del suceso accidental.
La vulnerabilidad (V) puede calcularse en función de la naturaleza del riesgo teniendo en cuenta los
siguientes criterios:
· V=0.01: Pequeña fuga de sustancia tóxica o inflamable.
· V=0.1: Fuga de grandes dimensiones de sustancia tóxica o inflamable.
· V=0.5: Fuga de grandes dimensiones de sustancia inflamable con alta probabilidad de ocasionarse
un incendio o fuga de grandes dimensiones de sustancia altamente tóxica.
· V=1: Ruptura o explosión.
IX-5
· CA: Daños menores.
· CB: De 0.01 a 0.1.
· CC: De 0.1 a 1.0.
· CD: Mayor de 1.0.
IX-6
Para el uso de esta metodología, podemos emplear las matrices de riesgo que se recogen en la Norma
ANSI-ISA-S84, ver Figura 9.4, o en el estándar IEC-61511 Parte 3, ver Figura 9.5. Para ambos casos, la matriz
de riesgos se trata de una matriz tridimensional que adicionalmente a la valoración de la probabilidad de
ocurrencia y la severidad de las consecuencias, como tercer eje considera:
- Probabilidad de ocurrencia:
· Baja: Frecuencia de fallo menor de 10-4 año-1.
· Media: Frecuencia de fallo mayor de 10-4 año-1 y menor de 10-2 año-1.
· Alta: Frecuencia de fallo mayor de 10-2 año-1.
IX-7
Figura 9.5 ÍNDICE SIL. MATRICES DE RIESGO ANSI ISA S-84 NORMA IEC-61511 PARTE 3
Son técnicas de análisis críticos que incluyen estructuras y cálculos para establecer la probabilidad de
sucesos complejos (siniestros) a partir de los valores individuales de la probabilidad de fallo que corresponde a
los elementos (equipo y humanos) implicados en los procesos (industriales en nuestro caso).
De acuerdo a lo analizado en el Capítulo 7, las capas de protección en una instalación de proceso (Ver
Figura 9.6) se pueden dividir en:
- Aquéllas destinadas a prevenir el accidente, como pueden ser el sistema de control, las alarmas
críticas, las actuaciones por parte del operador y los Sistemas Instrumentados de Seguridad (SIS).
- Aquéllas destinadas a introducir medidas de mitigación, como pueden ser los Sistemas Fuego&Gas,
los sistemas de alivio, de protección física, la respuesta de la planta ante emergencia o la respuesta
de la población ante emergencia.
De entre las metodologías para calcular el Índice SIL reflejadas en los estándares y normativas IEC
61508/61511 y ANSI-ISA-S84, el Análisis LOPA (Layer of Protection Analysis) o Análisis de la Capas de
Protección se presenta como la técnica más exhaustiva por su carácter cuantitativo.
IX-8
Dicha técnica constituye un análisis objetivo de las distintas capas de protección de que dispone un
proceso, evaluando el riesgo del mismo y comparándolo con el criterio de riesgo tolerable definido por la
propiedad, para decidir si las capas de protección son adecuadas o, por el contrario, si es necesario mejorar las
existentes o introducir capas adicionales. Por todo ello, el análisis LOPA se presenta como una técnica que
permite una comparación directa de la contribución de las distintas capas de protección del proceso a la
reducción del nivel global de riesgo.
IX-9
Respuesta población ante emergencia
Sistemas mitigación
PSV, PSE
SIS
Alarmas, Operador
Sistema control
IX-10
ANEXO I
CFR 1910.119
ANEXO III
TRANSPARENCIAS
ANEXO IV