Curso HAZOP

ANÁLISIS DE RIESGOS INDUSTRIALES Y
SISTEMAS INSTRUMENTADOS DE SEGURIDAD
GABRIELA REYES DELGADO

VÍCTOR MANUEL MACÍAS JAÉN ABRIL, 2006
CURSO DE SISTEMAS DE SEGURIDAD
ESTUDIOS HAZOP
ÍNDICE
Página
1. ANTECEDENTES Y OBJETIVO.............................................................................................. 1
2. MARCO LEGISLATIVO BÁSICO DE LOS ANÁLISIS DE RIESGOS DE

PROCESOS (PHA'S) .................................................................................................................. 1
2.1 R.D. 1254/1999, DE 16 DE JULIO, R.D. 948/2005, DE 29 DE JULIO Y LA
DIRECTRIZ BÁSICA ..................................................................................................... 2
2.1.1 Campo de Aplicación......................................................................................... 2
2.1.2 Exclusiones ........................................................................................................ 4
2.1.3 Obligaciones de los establecimientos afectados ................................................ 5
2.1.4 Valores umbrales de daño.................................................................................. 7
2.1.5 Necesidad de un Análisis de Riesgos................................................................. 7
2.2 CFR 1910.119. PROCESS SAFETY MANAGEMENT OF HIGHLY
HAZARDOUS CHEMICALS....................................................................................... 10
3. MÉTODOS DE IDENTIFICACIÓN Y ANÁLISIS DE RIESGOS ........................................... 1

3.1 ANÁLISIS DE CAUSAS DE ACCIDENTES. SUCESOS INICIADORES................... 1
3.1.1 Principales enfoques .......................................................................................... 1
3.1.2 Principales causas de accidentes ........................................................................ 1
3.2 TÉCNICAS DE IDENTIFICACIÓN DE RIESGOS....................................................... 4
3.2.1 Introducción a las Técnicas de Identificación de Riesgos.................................. 4
3.2.2 Principales Técnicas de Identificación y Análisis de Riesgos ........................... 8
3.3 MÉTODOS CUALITATIVOS ........................................................................................ 9
3.3.1 Bases de datos o Análisis Histórico de Accidentes............................................ 9
3.3.2 Análisis Preliminar de Riesgos ........................................................................ 11
3.3.3 Análisis What if? ............................................................................................. 12
3.3.4 Análisis mediante listas de chequeo o Check list............................................. 14
3.3.5 Análisis de los Modos de Fallo y Efectos (FMEA) ......................................... 16
3.3.6 Estudios del Riesgo y Operabilidad (HAZOP) ................................................ 18
3.3.7 Análisis mediante Arboles de Fallo (FTA) ...................................................... 19
3.3.8 Análisis mediante Árboles de Sucesos............................................................. 25
3.3.9 Análisis de Causa-Consecuencia ..................................................................... 26
3.4 MÉTODOS SEMICUANTITATIVOS.......................................................................... 27
3.4.1 Análisis de riesgos con Evaluación del Riesgo Intrínseco............................... 28
3.4.2 Análisis de los Modos de Fallo, Efectos y Criticidad (FMECA)..................... 29
3.4.3 Indices de Riesgo ............................................................................................. 30
3.5 MÉTODOS CUANTITATIVOS ................................................................................... 31
3.5.1 Análisis Cuantitativo mediante Arboles de Fallo............................................. 32
3.5.2 Análisis Cuantitativos mediante Arboles de Sucesos ...................................... 32
3.6 CRITERIOS PARA LA SELECCIÓN DE LOS MÉTODOS DE
IDENTIFICACIÓN DE RIESGOS ............................................................................... 32
4 METODOLOGIA GENERAL DEL ESTUDIO HAZOP........................................................... 1

4.1 INTRODUCCIÓN Y OBJETIVO ................................................................................... 1
i
Página
4.2 OBJETIVOS DEL ESTUDIO HAZOP ........................................................................... 3

4.3 DESCRIPCIÓN DE LA METODOLOGÍA HAZOP ...................................................... 4
4.3.1 Procedimiento .................................................................................................... 4
4.3.2 Metodologías CBC, DBD y Basada en el Conocimiento................................... 8
4.3.3 Puntos Fuertes de la metodología Hazop......................................................... 10
4.3.4 Puntos Débiles de la Metodología Hazop ........................................................ 11
5. ORGANIZACIÓN Y DESARROLLO DEL ESTUDIO HAZOP .............................................. 1

5.1 PREPARACIÓN Y PLANIFICACIÓN INICIAL........................................................... 1
5.2 DOCUMENTACIÓN NECESARIA............................................................................... 2
5.3 REQUISITOS DE LOS MIEMBROS DEL EQUIPO HAZOP....................................... 4
5.4 DESARROLLO DEL ESTUDIO HAZOP ...................................................................... 7
5.4.1 Preparación y planificación inicial del estudio .................................................. 7
5.4.2 Actividades previas al inicio de las sesiones...................................................... 9
5.4.3 Desarrollo de una sesión Hazop....................................................................... 11
5.5 DESARROLLO DE ESTUDIOS PARA PLANTAS DE OPERACIÓN TIPO
BATCH.......................................................................................................................... 19
5.6 DOCUMENTACIÓN RESULTANTE DEL ESTUDIO ............................................... 20
5.7 TIEMPO NECESARIO PARA LLEVAR A CABO UN ESTUDIO HAZOP .............. 21
6. FUNCIONES Y CUALIDADES DEL COORDINADOR DE ESTUDIOS HAZOP ................ 1

6.1 FUNCIONES DEL COORDINADOR HAZOP.............................................................. 1
6.2 FORMACIÓN DEL COORDINADOR HAZOP ............................................................ 3
7. INTRODUCCIÓN A LOS SISTEMAS INSTRUMENTADOS DE SEGURIDAD.

DEFINICIONES Y NORMATIVAS.......................................................................................... 1
7.1 INTRODUCCIÓN ........................................................................................................... 1
7.2 ÍNDICE SIL..................................................................................................................... 4
7.2 NORMATIVAS Y ESTÁNDARES ................................................................................ 6
8. CICLO DE VIDA DE LOS SISTEMAS INSTRUMENTADOS DE SEGURIDAD................. 1

8.1 INTRODUCCIÓN ........................................................................................................... 1
8.2 DISEÑO CONCEPTUAL DEL PROCESO.................................................................... 1
8.3 ANÁLISIS DE RIESG0S (HAZOP) ............................................................................... 2
8.4 CALCULO DEL ÍNDICE SIL ........................................................................................ 2
8.5 DESARROLLOS Y REQUERIMIENTOS DE SEGURIDAD....................................... 3
8.5.1 Especificación Funcional................................................................................... 3
8.5.2 Especificación de Integridad.............................................................................. 5
8.6 DISEÑO CONCEPTUAL DEL SIS ................................................................................ 6
8.6.1 Independencia del SIS con otros sistemas ......................................................... 6
8.6.2 Probabilidad de Fallo del SIS ............................................................................ 8
8.7 DISEÑO DETALLADO DEL SIS .................................................................................. 9
8.8 VERIFICACIÓN DEL SIL............................................................................................ 10
8.9 INSTALACIÓN Y COMISIONADO ........................................................................... 10
8.10 OPERACIÓN Y MANTENIMIENTO .......................................................................... 11
8.11 MODIFICACIONES ..................................................................................................... 11
8.12 DESMANTELAMIENTO............................................................................................. 11
ii
Página
9. METODOLOGÍAS PARA EL CÁLCULO DEL ÍNDICE SIL.................................................. 1

9.1 METODOLOGÍAS CUALITATIVAS............................................................................ 1
9.1.1 Gráfico de Riesgo .............................................................................................. 2
9.2 METODOLOGÍAS SEMICUANTITATIVAS ............................................................... 4
9.2.1 Gráfico de Riesgo Calibrado.............................................................................. 4
9.2.2 Matrices de Riesgo............................................................................................. 6
9.3 METODOLOGÍAS CUANTITATIVAS......................................................................... 8
9.3.1 Análisis LOPA o Análisis de las Capas de Protección ...................................... 8
ANEXO I R.D. 1254/1999 Y R.D. 948/2005............................................................................. 1
ANEXO II CFR 1910.119.......................................................................................................... 2
ANEXO III TRANSPARENCIAS............................................................................................. 3
ANEXO IV CASOS PRÁCTICOS ANÁLISIS HAZOP........................................................... 4
ÍNDICE DE ANEXOS
ANEXO I R.D. 1254/1999 Y R.D. 948/2005
ANEXO II CFR 1910.119
ANEXO III TRANSPARENCIAS
ANEXO IV CASOS PRÁCTICOS ANÁLISIS HAZOP
iii
1. ANTECEDENTES Y OBJETIVO
El objetivo del curso es dar a conocer a los asistentes los conocimientos básicos necesarios para
realizar un estudio Hazop y determinación del nivel íntegro de seguridad (SIL) de un sistema instrumentado de
seguridad (SIS).
En este sentido, dentro del módulo A, comenzaremos con un acercamiento sobre la legislación básica
de referencia por afectar de alguna forma al desarrollo de los Análisis de Riesgos de Procesos (PHA's).
A continuación, presentaremos los distintos tipos de metodologías distintas de Análisis de Riesgos de

Procesos (PHA's), para finalmente centrarnos en la Metodología Hazop.
Dentro de la Metodología Hazop, se explicará claramente como se plantea, desarrolla y presenta un

Estudio Hazop, que es lo que hay que analizar y cómo, así como las tareas fundamentales de un Equipo Hazop.
En el módulo B del curso comenzará con un desarrollo de las distintas normativas referentes a los
Sistemas Instrumentados de Seguridad.
A continuación se describirá el Ciclo de Vida de un Sistema Instrumentado de Seguridad, definiendo

cada una de las etapas de que consta el mismo.
Por último, se desarrollarán las distintas metodologías para el cálculo de índices SIL basadas en las
normativas IEC-61508/61511.
I-1
2. MARCO LEGISLATIVO BÁSICO DE LOS ANÁLISIS DE RIESGOS DE PROCESOS (PHA'S)
La legislación básica de referencia en Europa en cuanto a la prevención de Accidentes Graves en los

que intervienen sustancias peligrosas la constituye la Directiva 96/82/CE del Consejo, de 9 de diciembre de
1996, conocida como Seveso II, traspuesto al ordenamiento jurídico español mediante el R.D. 1254/1999, de 16
de julio, por el que se aprueban las medidas de control de los riesgos inherentes a los accidentes graves en los
que intervengan sustancias peligrosas y el R.D. 948/2005 de 29 de julio por el que se modifica el R.D.
1254/1999.
La aparición de dicha Directiva y R.D. derrogó la legislación hasta ese momento en vigor,
consistentes en las Directivas 82/501/CEE, de 25 de junio, 87/216/CEE de 19 de marzo y la 88/610/CEE, de 24
de noviembre, todas ellas traspuestas a la legislación española mediante los R.D. 886/1988, de 15 de julio,
modificación a su vez por el R.D. 952/1990, de 29 de julio.
La Directriz Básica para la Elaboración y Homologación de los Planes Especiales del Sector Químico,
R.D. 1196/2003, mediante la cual se desarrolla técnicamente los contenidos de los R.D. 886/1988 y 952/1990,
que establece, entre otros, las zonas objeto de planificación denominadas Zona de Intervención (ZI) y Zona de
Alerta (ZA), así como los valores umbrales de daño para cada una de las tipologías distintas de consecuencias
que marcan la delimitación de dichas zonas.
La Directriz Básica también indica las bases y criterios para la correcta organización de las
emergencias derivadas de accidentes, estableciendo los criterios mínimos de contenidos de los Planes de
Emergencia Interior (PEI) y los Planes de Emergencia Exterior (PEE).
Otro documento, aunque no de obligado cumplimiento al no estar traspuestos a la legislación española

y que igualmente comentaremos pero solo ligeramente, es la CFR 1910.119 “Process safety management of
highly hazardous chemicals”, normativa de obligado cumplimiento en EE.UU. y de referencia en el resto del
mundo.
II-1
2.1 R.D. 1254/1999, DE 16 DE JULIO, R.D. 948/2005, DE 29 DE JULIO Y LA DIRECTRIZ
BÁSICA
De acuerdo con los citados Real Decretos, cuya copia integra puede encontrarse al final en el Anexo I,
el objeto del mismo es la prevención de accidentes graves en los que intervengan sustancias peligrosas, así como
la limitación de sus consecuencias con la finalidad de proteger a las personas, los bienes y el medio ambiente.
De dichos R.D. seguidamente destacaremos los aspectos más importantes por lo que afectan al control
de la seguridad en la instalación y a su ámbito de aplicación.
2.1.1 Campo de Aplicación
Las disposiciones del R.D. 1254/1999 se aplican a los establecimientos industriales en los que haya
presentes sustancias peligrosas en cantidades iguales o superiores a las especificadas en la columna 2 de las
partes 1 y 2 del Anexo I.
En la práctica, para determinar si un establecimiento industrial se va a ver afectado por el R.D.

1254/1999 hay que seguir el esquema de decisión mostrado en la Figura 2.1.
En el ámbito del R.D. 1254/1999, el concepto de "presencia de sustancias peligrosas" significa:
- materias primas, productos, subproductos, residuos o productos intermedios.
- su presencia real o prevista en el establecimiento;
- la presencia de aquéllas de las que se piensa que pueden generarse a consecuencia de la pérdida de
control de un proceso industrial químico.
Este segundo punto supone una importante novedad, por cuanto hay que tener en cuenta las posibles
cantidades de sustancias peligrosas que puedan formarse en situaciones de pérdida de control de un proceso o en
situaciones de accidente.
Esto va a obligar al industrial a comprobar posibles situaciones anómalas de sus procesos que puedan
dar origen a la generación de sustancias peligrosas cuya presencia no es prevista en situaciones operativas
habituales (incluidos arranques, operaciones transitorias, etc.).
II-2
Figura 2.1
Ámbito de Aplicación de la Directiva Seveso II
II-3
2.1.2 Exclusiones
En la Tabla 2.1 se muestran las instalaciones y/o actividades excluidas del ámbito de aplicación de los
R.D. 886/1988 y 952/1990, así como del R.D. 1254/1999.
Tabla 2.1
Exclusiones
R.D. 886/1988 y 952/1990 R.D. 1254/1999
1. Las instalaciones nucleares y de tratamiento de 1. Los establecimientos, las instalaciones o zonas de

sustancias y materiales radiactivos. almacenamiento militares.
2. Las instalaciones militares. 2. Los peligros creados por radiaciones ionizantes.
3. La fabricación y el almacenamiento separado de 3. El transporte de sustancias peligrosas, incluidas el
explosivos, pólvoras y municiones. almacenamiento temporal intermedio por carretera y
4. Las actividades de extracción y otras actividades ferrocarril, vía navegable interior y marítima o aérea,
mineras. incluidas las actividades de carga y descarga y el
traslado desde y hacia otro tipo de transporte con
5. Las instalaciones para la eliminación de residuos destino a muelles, embarcaderos o estaciones
tóxicos y peligrosos, sometidas a regulación ferroviarias de clasificación fuera de los
comunitaria en la medida en que ésta esté
establecimientos a que se refiere la Directiva.
encaminada a la prevención de accidentes graves.
4. El transporte de sustancias peligrosas por
canalizaciones, incluidas las estaciones de bombeo,
que se encuentren fuera de los establecimientos a
que se refiere la Directiva.
5. Las actividades de las instalaciones de extracción
dedicadas a la exploración y explotación de
minerales en minas y canteras, así como mediante
perforación.
6. Los vertederos de residuos.
7. Los establecimientos regulados por el
R.D. 230/1998, Reglamento de Explosivos
II-4
2.1.3 Obligaciones de los establecimientos afectados
Con carácter general, todos los establecimientos industriales que se vean afectados por el R.D.
1254/1999 tienen la obligación de demostrar ante la autoridad competente, en cualquier momento que le sea
requerido y específicamente durante inspecciones y controles a los que se vean sometidos, que han adoptado las
medidas necesarias para la prevención y la limitación de las consecuencias de accidentes graves.
En relación a las medidas de prevención de accidentes graves, todos los establecimientos afectados
por el R.D. 1254/1999, tanto en su nivel inferior como en el nivel superior, deberán:
P1. Enviar la Notificación a la autoridad competente.
P2. Definir e implantar una Política de Prevención de Accidentes Graves, y desarrollar e

implantar un Sistema de Gestión de la Seguridad, en el cual se integren la organización de
los recursos, las prácticas y los procedimientos, que permitan aplicar la Política de Prevención
de Accidentes Graves.
P3. Proceder al Control de las Modificaciones que pretendan acometer en sus instalaciones, que
afecten significativamente al riesgo de accidente grave.
P4. Someterse a inspecciones y controles periódicos por parte de la Autoridad Competente, de

manera que ésta verifique la adopción de las medidas de prevención de accidentes y limitación
de sus consecuencias.
P5. En caso de verse afectado por el efecto dominó, a indicación de la autoridad competente,
intercambiar información con otros establecimientos afectados y cooperar en la información a
la población.
Por otra parte, los establecimientos afectados por el R.D. 1254/1999 en su nivel superior
(art. 9), deben adoptar, adicionalmente, las siguientes medidas de prevención y control de
riesgos:
P6. Elaborar un Informe de Seguridad que demuestre documentalmente que ha adoptado las
medidas de prevención de accidentes y limitación de sus consecuencias.
En cuanto a las medidas tendentes a limitar las consecuencias de accidentes graves, todos los
establecimientos industriales afectados por el R.D. 1254/1999, tanto en su nivel inferior como en el superior,
deberán:
C1. Cumplir con las exigencias y requisitos formulados por la autoridad competente en las políticas
de ordenación y usos del suelo, y específicamente el mantener las distancias de seguridad
entre establecimientos peligrosos y las zonas residenciales.
C2. Desarrollar e implantar el Plan de Emergencia Interior.
II-5
C3. En caso de accidente grave, tan pronto como sea posible, informar y comunicar a la autoridad
competente las circunstancias y efectos del accidente, así como las medidas de emergencia
adoptadas o previstas.
Los industriales afectados por el R.D. 1254/1999 en su nivel superior (art. 9) deberán adoptar
adicionalmente las siguientes medidas tendentes a limitar las consecuencias de los potenciales
accidentes graves.
C4 Aportar información a la Autoridad Competente. Información necesaria para el desarrollo del

Plan de Emergencia Exterior.
C5. Información al público. El industrial colaborará con la autoridad competente para que el
público, conozca los riesgos a los cuales está sometido, así como las medidas de seguridad que
se deberán tomar y el comportamiento a seguir en caso de accidentes graves.
OBLIGACIONES DEL INDUSTRIAL
AFECCIÓN
PREVENCIÓN LIMITAR CONSECUENCIAS
R.D. 1254/99
· NOTIFICACIÓN
· POLÍTICA DE PREVENCIÓN DE
ACCIDENTES GRAVES · ORDENACIÓN DEL SUELO
NIVEL
· SISTEMA GESTIÓN DE SEGURIDAD · COMUNICAR ACCIDENTES
INFERIOR · CONTROL DE MODIFICACIONES · PLAN DE EMERGENCIA INTERIOR
· INSPECCIÓN Y CONTROL
· EFECTO DOMINÓ
· NOTIFICACIÓN
· POLÍTICA DE PREVENCIÓN DE · ORDENACIÓN DEL SUELO
ACCIDENTES GRAVES · COMUNICAR ACCIDENTES
NIVEL · SISTEMA GESTIÓN DE SEGURIDAD · PLAN DE EMERGENCIA INTERIOR
SUPERIOR · CONTROL DE MODIFICACIONES · INFORMACIÓN PARA PLAN DE
· INSPECCIÓN Y CONTROL EMERGENCIA EXTERIOR
· EFECTO DOMINÓ · INFORMACIÓN AL PÚBLICO
· INFORME DE SEGURIDAD
Figura 2.2
Resumen de las obligaciones del industrial
II-6
2.1.4 Valores umbrales de daño
Como vimos anteriormente, la Directriz Básica para la Elaboración y Homologación de Planes

Especiales en el Sector Químico no ha sido derogada con la aplicación del R.D. 1254/1999, de forma que los
valores umbrales de daño para la delimitación de las zonas de afección, siguen vigentes.
Los diversos tipos de accidentes a considerar en las instalaciones químicas pueden producir los
siguientes fenómenos peligrosos para personas, el medio ambiente y los bienes.
a) De tipo mecánico: Ondas de presión y proyectiles.
b) De tipo térmico: Radiación térmica.
c) De tipo químico: Fuga o vertido incontrolado de sustancias contaminantes tóxicas y muy

tóxicas.
2.1.5 Necesidad de un Análisis de Riesgos
De acuerdo con el contenido literal del R.D. 1254/1999, en ningún momento se habla de la necesidad
de realizar ningún Análisis de Riesgos como tal.
Ahora bien, los establecimientos afectados por el art. 9 del R.D. 1254/1999, tienen la obligación de
presentar el Informe de Seguridad con el fin de:
- Demostrar que ha establecido la Política de Prevención de Accidente Graves y el Sistema de

Gestión de la Seguridad.
- Demostrar que ha identificado los peligros de accidentes graves y que ha tomado las medidas
necesarias para su prevención y, en caso de ocurrir, la limitación de sus consecuencias.
- Demostrar que el diseño, la construcción, la explotación y el mantenimiento de toda instalación,

zona de almacenamiento y equipos, relacionados con el riesgo de accidentes graves, presenta
seguridad y fiabilidad suficientes.
- Demostrar que dispone de Plan de Emergencia Interior y que ha facilitado la información

necesaria para el desarrollo del Plan de Emergencia Exterior.
- Proporcionar información a las autoridades para que puedan desarrollar e implantar políticas de
ordenación y usos del suelo, teniendo en cuenta distancias de seguridad entre establecimientos
afectados y elementos vulnerables.
- En caso de verse afectada por el efecto dominó, colaborar para su gestión adecuada.
Para la elaboración del Informe de Seguridad, tal y como se ha indicado anteriormente, el industrial
deberá tener en cuenta los requisitos e información recogidos en la Directriz Básica para la Elaboración y
Homologación de Planes Especiales del Sector Químico.
Por otra parte, la Dirección General XI de la Comisión Europea ha elaborado una Guía para la
Preparación del Informe de Seguridad que cumpla los Requisitos de la Directiva 96/82/CE (UR 17690EN).
II-7
Como aspectos novedosos que recoge esta guía a contemplar en el Informe de Seguridad, que no son
exigidos por la Directriz Básica para la elaboración de la Declaración Obligatoria de Accidentes Mayores
(Informe de Seguridad), se deben destacar los siguientes:
I. Información sobre el sistema de gestión y la organización, con vistas a la prevención de accidentes

graves.
II. Entorno del establecimiento
- Descripción y análisis de la vulnerabilidad de elementos sensibles del entorno del establecimiento

(medio ambiente, lugares de pública concurrencia, monumentos de interés, servicios públicos,
etc.).
- Identificación y análisis de elementos externos que puedan agravar el riesgo del establecimiento
(riesgo natural, actividades industriales, transporte de mercancías peligrosas, etc.).
III. Descripción de la instalación
Descripción de las principales instalaciones, equipos y actividades relevantes desde el punto de vista
de la seguridad de las fuentes de riesgo de accidentes graves, las condiciones en las que se pueden producir
dichos accidentes, así como de las medidas preventivas y mitigadoras previstas.
Para ello, además del inventario pormenorizado de las sustancias peligrosas presentes en el
establecimiento, se deben contemplar los siguientes aspectos novedosos:
- Estudio de los procesos, operaciones básicas y reacciones químicas que pueden en una situación
fuera de control originar un accidente grave.
- Ingeniería de procesos y sistemas de seguridad.
- Procedimientos de operación en distintas fases de la actividad (operación normal, arranque/parada,

operaciones excepcionales, emergencias, etc.).
- Diseño e ingeniería de equipos y sistemas que procesan o almacenan sustancias peligrosas

(materiales, cimentaciones, estanqueidad, equipos a presión y temperatura, etc.).
- Sistemas de corrección y tratamiento de contaminantes y residuos, tanto en operación normal

como ante emergencias.
IV. Identificación y análisis de los riesgos de accidente y medios preventivos
Además de la identificación y análisis de accidentes mayores en condiciones de operación normal,

objeto fundamental de las Declaraciones Obligatorias presentadas por los industriales afectados por los art. 6º y
7º del R.D. 886/1988 a Protección Civil, el Informe de Seguridad amplía su ámbito y alcance en los siguientes
aspectos:
- Identificación de fuentes de riesgo de accidentes graves:
II-8
· En distintas fases de la actividad (diseño, ingeniería, montaje, explotación, cese de
actividad, abandono, etc.).
· Fallos o desviaciones de las condiciones normales de proceso.
· Fuentes de riesgo externas: fenómenos naturales, transporte de mercancías peligrosas, otras

actividades de riesgo.
· Seguridad de la planta: actuaciones prohibidas, intrusismo, sabotaje, etc.
· Efecto dominó en caso de ser requerido por la autoridad competente.
- Evaluación de consecuencias, teniendo en cuenta la finalidad que tiene el Informe de Seguridad

como elemento de prueba de la idoneidad de las medidas de seguridad adoptadas por el industrial,
podría ser requerida la realización de análisis de riesgos detallados (HAZOP, WHAT IF, etc.).
Adicionalmente, en el Informe de Seguridad se refuerza la importancia de la evaluación de las

consecuencias que sobre el medio ambiente se pueden inducir por un accidente grave.
V. Medidas de protección e intervención para limitar las consecuencias de un accidente
Atendiendo a la identificación y el análisis de los riesgos, se deberá inventariar las medidas y sistemas
de seguridad adoptados, determinando su fiabilidad, redundancia, operatividad, etc., de forma que se demuestre a
la autoridad competente su idoneidad.
El industrial afectado deberá demostrar la idoneidad de los Planes de Emergencia Interior de sus
establecimientos, para lo cual se deberán considerar los siguientes aspectos:
- Organización, responsabilidades y procedimientos de respuesta ante emergencias.
- Información y formación recibida por el personal implicado en una emergencia.
- Instalaciones o dependencias donde es necesario la protección o el rescate.
- Plan de evacuación y refugio.
- Procedimientos de parada de las instalaciones.
- Descripción de los recursos movilizables (internos y externos).
Se debe indicar que la aplicación de la Guía para la Preparación del Informe de Seguridad que cumpla
los Requisitos de la Directiva 96/82/CE es una recomendación de carácter voluntario, no siendo obligatorio su
seguimiento, aunque no es menos cierto que está pendiente la publicación de la Guía Técnica que desarrolla la
actual legislación, y que podría coincidir con los criterios de la D.G. XI.
Vemos pues, como a pesar de que el R.D. 1254/1999 no recalca la necesidad de realizar análisis de
riesgos sobre las instalaciones industriales, no es menos cierto que la obligación de demostrar que se han
identificado los peligros de accidentes graves, así como la obligatoriedad de implantar un Sistema de Gestión de
II-9
Seguridad, con su más que previsible Gestión de Cambios integrada, hace que en la práctica y para determinadas
instalaciones industriales sea, no ya beneficioso, sino casi obligatorio, la realización de estudios de riesgos.
2.2 CFR 1910.119. PROCESS SAFETY MANAGEMENT OF HIGHLY

HAZARDOUS CHEMICALS
Dicha normativa estadounidense, cuya copia se adjunta en el Anexo 2.II, tiene por propósito
establecer los requerimientos necesarios para la prevención y minimización de consecuencias de fugas
catastróficas de productos químicos tóxicos, inflamables y reactivos que puedan causar un daño de dicha
naturaleza, en instalaciones industriales con cantidades de sustancias superiores a las establecidas en la propia
norma.
Para las instalaciones afectadas, el apartado (e) Process Hazard Analysis, obliga a lo siguiente:
1. Desarrollar un Análisis de Riesgos de Procesos, que identificará, evaluará y controlará los riesgos
derivados del proceso.
2. Se utilizará una o más de las siguientes metodologías, en función de la que se considere más
apropiada para determinar y evaluar los riesgos del proceso analizado: What-if, Check list, What-
if/Check list, Hazard and Operability Study (HAZOP), Failure Mode and Effects Analysis
(FMEA), Fault tree Analysis.
3. El PHA considerará: los riesgos del proceso, la identificación de incidentes que puedan tener
consecuencias catastróficas, las medidas administrativas o técnicas instaladas para la detección de
posibles fugas, como procedimientos, interlocks, etc.
4. El PHA se desarrollará por un equipo de expertos en ingeniería y procesos, así como por personal
propio de la planta con experiencia y conocimientos específicos del proceso evaluado. También
tiene que formar parte del equipo un especialista en la conducción del estudio PHA a llevar a cabo.
5. Se establecerá un mecanismo de forma que se asegure que las recomendaciones de estudio son
llevadas a cabo y que las personas afectadas son informadas.
6. Cada cinco años el Estudio debe ser revisado.
7. El industrial tiene la obligación de tener y mantener al día el PHA de su Unidad (Gestión de

Cambios).
Vemos pues, como, la CFR 1910.119 a diferencia de su homónima europea, la Directiva 96/82/CE, sí
obliga a los industriales afectados a desarrollar y mantener un estudio PHA en sus instalaciones.
II-10
3. MÉTODOS DE IDENTIFICACIÓN Y ANÁLISIS DE RIESGOS
3.1 ANÁLISIS DE CAUSAS DE ACCIDENTES. SUCESOS INICIADORES
3.1.1 Principales enfoques
Como se tendrá ocasión de comprobar, existen diferentes técnicas a la hora de abordar la

identificación de las causas generadoras de accidentes.
Los diferentes enfoques que se han considerado a la hora de abordarlas pueden resumirse de la
siguiente manera:
a) Técnicas que parten de la ocurrencia del accidente, determinando sus causas básicas. Su
principal exponente lo constituye la técnica del árbol de fallos. Su principal aplicabilidad es la
determinación de cada una de las causas básicas, con objeto de priorizar la aplicación de medidas
correctoras, así como de cuantificar la probabilidad de que ocurra el accidente en base a la
probabilidad de fallo de cada una de las causas básicas.
b) Técnicas que parten de la ocurrencia del suceso inicial, determinando los diferentes desarrollos
accidentales. Su principal exponente lo constituye la técnica del árbol de sucesos. Su principal
aplicabilidad es la determinación de las diferentes evoluciones accidentales, así como la
influencia de las medidas correctoras o actuaciones del sistema en los sucesos finales a evaluar,
pudiendo incorporar un análisis probabilístico de los mismos.
3.1.2 Principales causas de accidentes
Con independencia del enfoque escogido para el análisis de las causas, y de la interrelación que
pueda considerarse entre las mismas, pueden considerarse las siguientes causas genéricas de accidentes
industriales de origen químico:
- Fallos de componentes y equipos.

- Desviaciones de las condiciones normales de operación.
- Errores humanos y de organización.
- Injerencias de agentes externos al proceso.
- Fuerzas naturales.
- Actos dañinos intencionados o de sabotaje.
III-1
La forma de medir este factor de riesgo es mediante las tasas de fallo de los diferentes elementos de
equipo y humanos que intervienen en el proceso o de su complemento a uno que se denomina fiabilidad.
Existen estadísticas y bancos de datos relativos a las tasas de fallo. Es importante tener en cuenta que éstas
pueden variar sensiblemente con la «vida» de cada componente, que puede recorrer etapas sucesivas de rodaje,
normalidad y envejecimiento.
A continuación, describimos brevemente alguna de estas causas:
1. Fallos de componentes y equipos
- Diseño inapropiado frente a presión interna, fuerzas externas, corrosión del medio y temperatura.
- Fallos mecánicos de recipientes y conducciones debidos a la corrosión externa o a impactos.
- Fallos de elementos tales como bombas, compresores, ventiladores y agitadores.
- Fallos del sistema de control (sensores de presión y temperatura, controladores de nivel,
reguladores de flujo, unidades de control, procesos computerizados).
- Fallos de sistemas de seguridad (válvulas de seguridad, discos de ruptura, sistemas de alivio de
presiones, sistemas de neutralización).
- Fallos de juntas y conexiones.
2. Desviaciones de las condiciones normales de operación
- Fallos en el control de los parámetros fundamentales del proceso (presión, temperatura, flujo,
concentraciones) y en el tratamiento de los mismos.
- Fallos en la adición de componentes químicos.
- Fallos en los servicios, tales como:
· Agua de refrigeración, para reacciones exotérmicas.
· Insuficiente aporte de medio calefactor o de vapor.
· Corte del suministro eléctrico.
· Ausencia de nitrógeno.
· Ausencia de aire de instrumentación o aire para agitación.
- Fallos en los procedimientos de parada o puesta en marcha.
- Formación de subproductos, residuos o impurezas, causantes de reacciones colaterales
indeseadas.
3. Errores humanos y de organización
- Errores de operación (válvula errónea, botonera incorrecta).

- Desconexión de sistemas de seguridad a causa de frecuentes falsas alarmas.
- Confusión de sustancias peligrosas.
- Errores de comunicación.
- Incorrecta reparación o trabajos de mantenimiento.
- Trabajos no autorizados (soldadura, espacios confinados).
Los errores humanos suceden porque:
- Los operarios no conocen suficientemente los riesgos y su prevención.

- Los operarios están insuficientemente adiestrados en el trabajo.
- Se espera demasiado de los operarios de proceso.
III-2
4. Injerencias de agentes externos al proceso
- Transporte de materias peligrosas (carretera, ferrocarril,...).

- Carga de sustancias inflamables / explosivas.
- Tráfico aéreo.
- Proximidad a instalaciones peligrosas.
- Impactos mecánicos como proyectiles.
5. Fuerzas naturales
- Viento.
- Desbordamiento de cauces fluviales.
- Terremoto.
- Heladas.
- Calores extremos.
- Incendios.
6. Actos dañinos intencionados o de sabotaje
- Personal interno / personal foráneo.
Una vez indicadas las principales causas generadoras de accidente, veamos las principales técnicas
de identificación de riesgos utilizados en la identificación y Análisis de Riesgos en la Industria Química.
III-3
3.2 TÉCNICAS DE IDENTIFICACIÓN DE RIESGOS
3.2.1 Introducción a las Técnicas de Identificación de Riesgos
3.2.1.1 Preámbulo
Seguidamente, se repasan las técnicas más empleadas en la identificación de escenarios de accidente

y situaciones peligrosas en actividades industriales. El propósito de la utilización de estos métodos puede ser:
- Reconocer las situaciones peligrosas en actividades en las que se manejan materiales que
implican riesgos con objeto de revisar el diseño y establecer medidas correctoras o
preventivas.
- Identificar los escenarios de posibles accidentes, con el fin de evaluarlos y cuantificarlos en un

análisis de riesgos.
Los procedimientos de identificación y análisis de riesgos podrán ser aplicados durante todas las
fases del proyecto, es decir, durante el diseño, la construcción, la operación, así como para otro tipo de
requerimientos en instalaciones industriales.
La correcta identificación y análisis de riesgos no sólo permitirá tener un fiel reflejo de los aspectos
de seguridad propios de la instalación, sino que además permitirá eliminar aquellos puntos más conflictivos
mediante un proceso iterativo de mejoras y evaluación posterior de la instalación, hasta obtener un nivel
aceptable de riesgo. En la Figura 3.1 se facilita un esquema general en el que se señala la secuencia normal de
identificación y análisis de riesgos.
Dada la gran variedad de técnicas que se presentan, no cabe hablar de una técnica predominante
frente a las demás. La técnica seleccionada dependerá de los propósitos perseguidos con la identificación y
evaluación de riesgos, el grado de conocimiento que se tenga de la Unidad, así como de los datos y recursos
disponibles.
En cualquier caso, no se llegará a conseguir una adecuada identificación de escenarios sin el juicio de
expertos en Seguridad Industrial y el apoyo de técnicos familiarizados con las operaciones y plantas
involucradas.
III-4
Figura 3.1 Evaluación Predictiva del Riesgo
3.2.1.2 Objetivos de la identificación de escenarios
Tal como se ha mencionado en el primer punto, los objetivos de la identificación de escenarios

pueden ser muy variados:
1. Investigación de valores límites de consecuencias.
Para ello, se seleccionaría los peores accidentes entre los creíbles (Worst Credible Accident), que
determinarán valores límite en relación con los efectos asociados a accidentes que puedan ocurrir
en una instalación industrial, con objeto de fijar la aplicabilidad de estudios posteriores.
2. Aplicación de medidas correctoras de reducción del riesgo.
Dada la generalmente limitada disponibilidad de recursos existentes, las medidas correctivas de

reducción del riesgo se aplicarán a los seleccionados tras la aplicación de índices que sirvan para
priorizar las medidas correctoras.
III-5
3. Estimación de riesgos económicos.
Aún cuando no existan riesgos graves sobre los trabajadores o la población, cualquier accidente
puede generar graves consecuencias económicas en las instalaciones, bien por pérdidas de
equipos, o bien por días de trabajo, lo que tiene especial trascendencia para las aseguradoras. Para
ello, se seleccionan accidentes del catastrófico.
4. Evaluación del riesgo sobre empleados, derivados de accidentes.
5. Evaluación del riesgo sobre la población.
Los riesgos sobre la población deben ajustarse a las directrices marcadas por la administración
competente. Para la evaluación del nivel de riesgo generado por una instalación industrial, se hará
uso de una lista de accidentes representativos. En cualquier caso, la elección de escenarios se
realizará en función del ámbito del estudio: Estudio de Seguridad, Plan de Emergencia Interior o
Análisis Cuantitativo de Riesgos.
En relación a los procedimientos internos de emergencia, se precisan accidente de todas las

categorías, que puedan generar todo tipo de fenómenos.
En la Tabla 3.1 se especifica, para cada tipo de uso o propósito, el número y características de los
escenarios accidentales a identificar.
III-6
Tabla 3.1
Selección de accidentes según el propósito del estudio
PROPOSITO CARACTERISTICAS NUMERO DE ACCIDENTES A SELECCIONAR
Evaluación de medidas de reducción de Se tienen que identificar los accidentes que más Es necesario estudiar una lista exhaustiva de accidentes o al
riesgo. contribuyen al riesgo. menos un grupo representativo de ellos.
Normalmente, los accidentes catastróficos no suelen
III-7
Ha de comprobarse el cumplimiento con los contribuir en gran medida al riesgo total para los empleados.
Estimación del riesgo para los empleados.
límites fijados para los trabajadores. Se debe seleccionar una lista exhaustiva de accidentes con
efectos de corto y medio alcance.
Se tiene que comprobar el cumplimiento con los Se debe seleccionar un grupo representativo de los accidentes
Estimación del riesgo para el exterior.
límites fijados por las autoridades. con consecuencias para el exterior (catastróficos).
Normalmente, un grupo limitado de accidentes suele bastar

Se han de estimar las zonas de vulnerabilidad
Planificación de las emergencias. para este propósito. Este grupo debe incluir los peores
para la planificación de las emergencias.
accidentes creíbles y/o posibles (WCA y/o WPA).
3.2.1.3 Identificación de riesgos en I.S. y A.C.R.
Tal como se ha indicado, la selección de escenarios destinada a Informes de Seguridad (I.S.) o

Análisis Cuantitativos de Riesgo (A.C.R.) se realizará fundamentalmente en base a la lista de accidentes
representativos. Sin embargo, hay que hacer las siguientes premisas:
- Si el Estudio de Seguridad se concibe de manera independiente del Plan de Emergencia Interior

(P.E.I.), se podrá realizar una selección de escenarios basada fundamentalmente en los accidentes
mayores (aquellos cuyas consecuencias, Z.I. salen fuera de los límites de la Planta analizada).
- A la hora de abordar un P.E.I., se deberán identificar además escenarios que, si bien no son
catalogables como accidentes mayores, sí tendrán influencia sobre la activación de
procedimientos de emergencia.
- Los A.C.R. requieren una identificación de escenarios algo más exhaustiva, debido
fundamentalmente a la importancia que pueden llegar a tener en los niveles de riesgo en el
interior de la planta, aquellos accidentes con consecuencias calificables como no muy graves pero
con alta probabilidad de ocurrencia. En este caso, la lista de accidentes representativos no bastará,
y se tomarán otros pertenecientes a las categorías de accidentes mayores, así como los más
probables de los localizados.
Esto será especialmente aplicable en aquéllos casos en los que las zonas habitadas estén muy
próximas a la instalación industrial.
En cualquier caso, es de destacar la gran influencia que tendrá la correcta identificación de escenarios
en los resultados finales, por cuanto la omisión de escenarios de graves consecuencias y frecuencia no
despreciable hará inútiles los esfuerzos y dedicación empleados en las técnicas de cuantificación de efectos y
consecuencias sobre los demás escenarios identificados. Se debe, por tanto, vigilar que estos accidentes críticos,
que afectan sustancialmente al nivel de riesgo, no sean omitidos del estudio.
3.2.2 Principales Técnicas de Identificación y Análisis de Riesgos
Las distintas Técnicas pueden agruparse en tres grupos fundamentalmente:
a) Métodos Cualitativos: Tienen como objetivo establecer la identificación de los riesgos en el

origen, así como la estructura y/o secuencia con que se manifiestan cuando se convierten en
accidente. Se verá más adelante que realizan un escrutinio (más o menos conducido,
estructurado y/o secuencial) del proceso y del equipo incluidos en la planta o unidad objeto de
consideración. En ocasiones son preliminares y sirven de soporte estructural para los estudios
cuantitativos.
b) Métodos Semicuantitativos: Pretenden mediante la combinación de unos factores globales

(penalizadores o bonificadores) de riesgo establecer directamente el riesgo (R) o la severidad
(S). Casi siempre conducen a resultados globales y relativos que sirven para comparar riesgos
procedentes de plantas industriales diversas pero concretas (por ejemplo: dos refinerías de
petróleo con unidades, equipo y capacidades dados y diferentes; un mismo proceso en dos
versiones diferentes; una misma planta antes y después de modificaciones, etc.). Los factores
de riesgos y las escalas para enjuiciarlos proceden de la experiencia en casos similares al que
se estudie.
III-8
c) Métodos Cuantitativos: Tienen como objetivo recorrer completo el tracto de la evolución
probable del accidente desde el origen (fallos en equipos y/a operaciones) hasta establecer la
variación del riesgo (R) con la distancia, así como la particularización de dicha variación
estableciendo los valores concretos de riesgo para los sujetos pacientes (habitantes, casas,
otras instalaciones, etc.) situados en localizaciones a distancias concretas.
De entre todos los métodos, nos centraremos fundamentalmente en los métodos cualitativos, al
ser precisamente el Análisis Hazop uno de dichos métodos.
Igualmente, describiremos algunos métodos semicuantitativos y cuantitativos.
3.3 MÉTODOS CUALITATIVOS
Se trata de técnicas de análisis crítico que no recurren al análisis numérico. Su objetivo principal
es identificar:
a) Riesgos.
b) Efectos: incidentes y accidentes cuando se materializan los riesgos.
c) Causas: orígenes o fuentes de los riesgos.
Emplean diferentes herramientas lógicas y auxiliares.
Algunos de ellos establecen estructuras lógicas secuenciales, causas/riesgos/efectos que, además

de identificar, sirven como trama para análisis semicuantitativos o cuantitativos posteriores.
En otros casos el barrido sistemático de causas/riesgos/efectos conduce a detectar parte de los

sistemas (de proceso, de instrumentación de equipo, etc.) que, por ser complejas y/o delicadas, requieren el
análisis mediante métodos más penetrantes o más cuantitativos.
Dado que los análisis cualitativos sirven, muchas veces, como base para otros semicuantitativos o
cuantitativos, es importante la calidad de los primeros.
A continuación describiremos algunos de los métodos cualitativos más frecuentemente

utilizados:
3.3.1 Bases de datos o Análisis Histórico de Accidentes
Descripción
Una de las técnicas de identificación de accidentes más normalmente utilizadas son las bases de
datos de accidentes. Mediante esta técnica se podrá tener acceso a los accidentes más frecuentemente ocurridos
en relación con un proceso determinado o una sustancia peligrosa involucrada, conociendo sus causas, sus
consecuencias y en base a ellos extraer conclusiones y recomendaciones.
Los datos podrán ser usados tanto para cuantificar la probabilidad de fallo de accidentes, como para
conocer los equipos a los que suelen asociarse fallos, así como los desarrollos de accidentes más usuales y de
esta forma tomar medidas preventivas sobre las posibles causas iniciadoras, así como medidas mitigantes de los
efectos.
III-9
Principales bases de datos
Existen multitud de bases de datos que aportan información bien acerca de los ratios de fallos en
equipos, bien en relación a los accidentes ocurridos en el mundo, indicando sus causas y consecuencias, así
como en relación a sustancias peligrosas. Entre ellas, destacan las siguientes:
- Bases de datos de accidentes: FACTS (TNO), MARS (CEE), MHIDAS (UK), etc.
- Bases de datos de accidentes: NCSR (UK), IEEE (USA).
- Bases de datos sobre sustancias: UMPLIS (G), CHEMDATA (UK), ECDIN (CEE), R.D.
363/95, RTEC.
El empleo de bases de datos debe plantearse como una técnica de apoyo, de forma que una vez
conocido el historial de accidentes característico de un tipo de instalación, se puede prefijar el alcance del
estudio. En este sentido, es de gran utilidad el contar con datos de accidentes obtenidos de la propia instalación,
en aquellos casos en los que sea posible.
Procedimiento
1. Obtener información y datos de las bases de datos: informes sobre los accidentes.
2. Discernir qué informes son asimilables a la instalación que esté siendo objeto de
consideración: selección de informes aplicables.
3. Elaboración estadística (suele ser corta: medias, frecuencias) que permitan los informes.
4. Estudio técnico de cada accidente (y de sus orígenes, frecuencias y consecuencias) para

revisar los puntos críticos (de instalación y operación) que ponen de manifiesto.
5. Adopción de medidas técnicas que neutralicen los riesgos originados en dichos puntos
críticos. ¿Se sabe qué medidas se adoptaron en los accidentes estudiados para evitar su
repetición?
Puntos Fuertes
1. Basado en casos reales.

2. Simple y barato.
3. Directo a causas importantes.
Puntos Débiles
1. Sólo casos reales más importantes.
2. La documentación de los casos incluidos puede ser incompleta.
3. Puede haber causas críticas que no se han manifestado en los accidentes estudiados o que no
se han detectado.
III-10
4. La aplicación a instalaciones similares, pero diferentes, puede no ser acertada.
5. La cuantificación es mínima y dudosa. Predominantemente cualitativo.
6. Es frecuente que no estén claras las causas inmediatas de los accidentes reseñados en los
bancos de datos.
Idoneidad
1. Evaluación rápida, directa y económica de riesgos y causas más importantes en instalaciones

existentes y en proyecto.
2. Idóneo para identificar escenarios accidentales.
Recursos y tiempo necesario
1. Acceso a los bancos de datos (SONATA, TNO, etc.).
2. Equipo profesional experto en diseño, instalación, operación normalmente sin recurrir a

expertos ajenos a la organización de la compañía que diseña y/u opera la instalación.
3.3.2 Análisis Preliminar de Riesgos
Introducción
Es un método de identificación de escenarios surgido en EE.UU., y aplicado fundamentalmente a

programas de defensa, que trata de realizar una identificación previa de riesgos en la primera fase de diseño,
evitando de este modo el costo que supondría rediseños o modificaciones planteadas en la etapa de operación.
La aplicación del análisis del riesgo preliminar (Preliminary Hazard Analysis, PHA) será de especial
utilidad en aquellos casos en los que no se tenga información detallada sobre el historial de fallos, incidencias o
problemas potenciales relativos a seguridad industrial en plantas de proceso, tal como puede suceder con plantas
nuevas que empleen procesos industriales no aplicados hasta la fecha.
Procedimiento
1. Obtener información y datos sobre materiales, operaciones previstas.
2. Discernir si se puede aprovechar la semejanza con otros procesos u operaciones

experimentados anteriormente. Explorar y explotar tales semejanzas.
3. Exploración de las operaciones y equipo de las que cabe prever criticidad: riesgos implicados
(toxicidad, corrosividad, carga energética contenida y/o desarrollada, etc.).
4. Estudio técnico de los aspectos críticos que se hayan detectado en 3).
5. Adopción de medidas técnicas que disminuyan el riesgo previsto para los aspectos críticos.
¿Qué medidas se adoptaron (probabilidad y severidad) en casos semejantes?
III-11
Puntos Fuertes
1. Simple y barato.
Puntos Débiles
1. No es sistemático: puede no considerar algunas causas importantes pero poco aparentes.
2. Depende mucho de los conocimientos y experiencia de los ejecutantes.
3. Absolutamente cualitativo y desestructurado.
Idoneidad
Se usa para instalaciones y procesos en etapas de desarrollo y proyecto: cuando no hay otro
remedio y hay urgencia.
Ejecutantes que puedan suplir, con sus conocimientos y experiencia, la falta de información real
y concreta (sobre riesgos y sus consecuencias) procedente de experiencias concretas anteriores.
Resultados
Se dan en forma de lista o tabla, en la que se incluye:
- Riesgo o identificación del peligro.

- Causa.
- Consecuencias.
- Medidas o acciones correctivas.
3.3.3 Análisis What if?
Introducción
El análisis What if?, es un método de identificación de riesgos muy empleado en la práctica habitual
de las industrias químicas. Trata de llegar a determinar por medio de preguntas, qué posibles consecuencias se
darían ante un determinado fallo.
Descripción
La cuestión del ¿Qué ocurriría sí....? se puede aplicar a los distintos aspectos relacionados con la
seguridad industrial, es decir, equipos, instalaciones, sistemas eléctricos, materias primas, productos,
almacenamientos, procedimiento de operación, procedimientos de emergencia, etc. Sin embargo, la utilidad del
método dependerá en gran medida del grado de conocimiento sobre los procesos desarrollados y la habilidad
para encontrar los puntos críticos, de forma que si la experiencia del personal es escasa, el método generará
unos resultados necesariamente incompletos.
III-12
Las preguntas comenzarán, por lo general, contemplando un suceso iniciador, a lo que seguirá un
análisis de las consecuencias previsibles, que requerirá conocer el comportamiento del sistema, dando como
resultado recomendaciones en forma de medidas correctoras. Comparte elementos con el Hazop, si bien el
análisis What if es menos sistemático y estructurado.
Ejemplos:
- ¿Qué ocurriría si se introduce una sustancia equivocada en el reactor?
- ¿Qué ocurriría si el operario cierra mal la válvula?
- ¿Qué ocurriría si la tubería se obstruye?
- ¿Qué ocurriría si la temperatura ambiental supera los 30 °C?
- ¿Qué ocurriría si se produce fuego exterior involucrando al tanque?.
Procedimiento
1. Se elige un enfoque o alcance para cada parte del estudio (seguridad del propio proceso,
seguridad de las personas, seguridad eléctrica, DCI, etc.) o se decide llevar el estudio de manera
global con la sola referencia a la secuencia del proceso.
2. Se explica el funcionamiento el proceso.
3. Empezando por el principio del proceso (normalmente almacenamiento y admisión de materias

primas), avanzando a lo largo de las etapas del mismo (sobre el diagrama P&I, por ejemplo)
hasta el final (salida y almacenamiento de productos, subproductos y residuos) se plantean y
anotan todas las preguntas WF que se les ocurra a los participantes. No contestarlas durante esta
etapa. Puede ser conveniente, después de lo anterior, revisar estudios WF anteriores, si hay, para
comprobar si hay preguntas WF adicionales.
4. Contestación a las preguntas WF. Una por una. Por todo el equipo. Algunas requerirán estudio
aparte o la participación de especialistas (control, materiales, mantenimiento, etc.).
5. Consideración, para cada pregunta WF, de qué medidas existen y cuáles cabe tomar para prevenir
el riesgo, anulándolo o disminuyéndolo, en su origen.
6. Efectuar todo lo anterior para cada una de las partes decididas en 1, o, si se ha hecho el estudio
único sin partes, reagrupar preguntas, contestaciones y remedios según los enfoques que se
consideraron allí.
7. Redactar informe recogiendo: a) Breve descripción y esquema del proceso; b) Preguntas WF; c)
Su análisis y contestación; d) Descripción razonada de las mejoras (alternativas o
modificaciones) propuestas para neutralizar o reducir riesgos.
8. Comunicar el informe a los centros pertinentes de decisión (de la planta o del proyecto) para que
se adopten las medidas oportunas.
III-13
Puntos Fuertes
- Creativo, espontáneo e intuitivo.

- Variado: considera riesgos de orígenes varios.
- Económico en tiempo y medios: se manifiestan y consideran de manera directa las consecuencias
causas/consecuencia/remedio más importantes.
- Muy útil para entrenar personal técnico en la identificación de riesgos.
- Eficaz para análisis cualitativo inicial: proporciona pistas relativas a los asuntos que deben ser
objeto de estudio mediante métodos más sofisticados.
Puntos Débiles
- Al ser desestructurado: tensión para dirigir y centrar el debate constantemente hacia los objetivos
de cada etapa.
- Pueden pasar desapercibidos riesgos ocultos o procedentes de causas contaminantes.
- Depende mucho de la experiencia de los intervinientes y del conocimiento de su seguridad y
operación, no sólo de su Unidad, sino de otras similares.
- Como método único de estudio sólo sirve para instalaciones y procesos muy sencillos.
Idoneidad
Muy útil en revamping y duplicación de Plantas ya existentes, ya que se dispone de personal con
experiencia.
- Grupo profesional poco numeroso (¿3 ó 4?), pero con buenos conocimientos del proceso, del
equipo y de las operaciones.
3.3.4 Análisis mediante listas de chequeo o Check list
Introducción
Las listas de chequeo de sistemas o procesos es una técnica de identificación aplicable para la
evaluación de equipos, materiales o procedimientos y utilizable durante cualquiera de las etapas de desarrollo de
un proyecto.
Deben ser preparadas por personal que esté familiarizado con el funcionamiento general de la planta
y los procedimientos estándares de la compañía. Una vez que está preparada, su aplicación puede corresponder
a personal menos experimentado, siempre que cuente con la supervisión de algún experto.
Las listas de chequeo se ajustan generalmente a unas normas mínimas, de forma que sean
susceptibles de evaluaciones posteriores. Dichas evaluaciones deben ser realizadas por personal ajeno al que
prepare las listas de chequeo y resultarán en actualizaciones, ampliaciones o modificaciones de las mismas.
III-14
Descripción
El método de las listas de chequeo, tal como se ha descrito, consiste en la elaboración de una lista de
aspectos a comprobar en relación con la seguridad de una instalación industrial y elaborada en función de la
etapa del proyecto: diseño, construcción, arranque, operación y parada.
Dicha metodología se utiliza igualmente para comprobar el cumplimiento de determinados

reglamentos y normas, en sus aspectos técnicos y de seguridad más relevantes.
Es, por tanto, un método de estructura lineal con lista de cuestiones concretas, relativas a los aspectos
de proceso y de riesgo, que cabe plantear para todas las etapas de un proyecto, de la operación de la planta, de
las paradas, etc.
Las listas deben cubrir todos los elementos de equipo (aparatos, tuberías, válvulas, instrumentos,
controles, alarmas, etc.). Es típico el empleo de este método en las auditorías de seguridad que se efectúan a
procesos y plantas.
Procedimiento
- Realizar las listas de chequeo.

- Realizar los controles de la lista sobre la instalación.
- Emitir informe.
Puntos Fuertes
1. Fácil, directo y controlado.
2. Bueno para adiestramiento de evaluadores de riesgos.
3. Proporcionan una demostrabilidad clara del cumplimiento de las regulaciones de referencia.
Puntos Débiles
1. Calidad muy dependiente de la de las listas de comprobación empleadas; pueden pasarse por
alto riesgos no incluidos.
2. El alcance está muy limitado a las regulaciones de referencia empleadas para preparar las
listas.
Idoneidad
Dentro de sus características, comentadas antes, las listas de chequeo pueden servir para
proyectos de plantas nuevas similares a las existentes o de modificaciones. También sirven como base para
enjuiciar, mediante auditoría, el cumplimiento o no de regulaciones de instalaciones existentes. Los casos
de no cumplimiento deben originar recomendaciones para modificar consecuentemente las instalaciones o
el proceso.
III-15
Si bien realizar las listas de chequeo es un trabajo riguroso y lento, realizar la comprobación es
un método directo, rápido y barato.
3.3.5 Análisis de los Modos de Fallo y Efectos (FMEA)
El análisis de los modos de fallo y efectos (Failure Modes a Effects Analysis) tiene como objetivos los
siguientes:
1. Establecer los fallos posibles en todos y cada uno de los elementos de equipo (de proceso y de
control) en una planta.
2. Analizar las consecuencias de los fallos establecidos en el paso anterior para detectar aquellas
que puedan ser origen de accidentes.
3. Establecer medidas de protección que eviten los fallos que sean significativos.
Descripción
En general, se parte de un listado de los equipos y componentes de la instalación susceptibles de

provocar un fallo, y, para cada uno de ellos, deben identificarse sus modos de fallo.
Algunos ejemplos de las desviaciones que se consideran modos de fallo, se pueden ver en la
Tabla 3.2.
Tabla 3.2
Desviaciones como fallos FMEA
Debe Fallo
Estar cerrado Estar abierto

Estar abierto Estar cerrado
Flujo No fluir
En marcha Parado
Estanco Fuga
Señal de indicación o mando Falta de señal
Accionamiento Sin accionamiento
Refrigeración Sin refrigeración
Abrir No abrir
Cerrar No cerrar
Sin fuga Fuga
Etc. No etc.
III-16
El desarrollo del FMEA se facilitará utilizando una tabla del tipo:
FECHA:
PLANTA: PAGINA DE
SISTEMA: REFERENCIA:
Medidas
Item Descripción Modo de fallo Detección Efectos
Correctoras
Procedimiento
1. Dividir la instalación en secciones de estudio.
2. Identificar y listar todos los elementos de equipo (de proceso y de control) dentro de una
sección del proceso en la planta.
3. Definir el funcionamiento de cada elemento de equipo.
4. Definir los fallos posibles.
5. Definir las consecuencias de los fallos definidos.
6. Establecer si los fallos definidos y las consecuencias definidas afectan a otros elementos de
equipo aparte del que se esté considerando. En caso afirmativo debe trasladarse la parte del
análisis correspondiente al elemento receptor de la influencia para determinar consecuencias
sobre el mismo.
7. Discernir y recomendar medidas preventivas viables que eviten los fallos definidos, que sean
significativos a efectos de seguridad.
8. Registro escrito (informe) del análisis.
III-17
Puntos Fuertes
1. Es económico: va directamente a los fallos importantes procedentes de la experiencia y del

funcionamiento de los aparatos. Requiere pocos analistas (1-2).
2. Puede servir como base para detectar sistemas, elementos y fallos que deban ser objeto de
análisis más profundos.
3. Documentación básica sencilla.
4. Pueden cuantificarse probabilidades de ocurrencia de los modos de fallo, haciendo que el

análisis sea semicuantitativo, como veremos más adelante.
Puntos Débiles
1. No es sistemático: pueden pasarse por alto fallos y consecuencias.
2. No considera combinaciones de fallos coincidentes o en secuencia.
Idoneidad
1. Aplicable a distintas etapas de proyecto y a la operación de plantas existentes.
2. Muy aplicable para el análisis de sistemas de control de procesos.
El equipo deben formarlo de 1 a 3 personas, y es un proceso más lento que los analizados
anteriormente.
3.3.6 Estudios del Riesgo y Operabilidad (HAZOP)
Los Estudios del riesgo de Operabilidad (HAZard and Operability Studies, HAZOP) constituyen
una de las técnicas más estructuradas para identificar los peligros asociados a una planta de proceso. Trata
de identificar las posibles desviaciones frente a las condiciones de diseño que pueden darse en una planta
química.
A pesar de que surgió como técnica de identificación de riesgos para procesos desconocidos, en
los que el diseño o la tecnología empleada era nueva, su uso se ha extendido a la mayoría de las fases de
desarrollo de una instalación.
El claro desarrollo de su metodología y su versatilidad a la hora de aplicarse a cualquier tipo de

instalación industrial, fundamentalmente en el campo de la industria química y petroquímica, ha hecho que
en los últimos tiempos sea, sin duda, la técnica de análisis de riesgos en procesos mas utilizados.
De hecho, es el núcleo central del curso, y en el desarrollo de su técnica nos detendremos

posteriormente.
III-18
3.3.7 Análisis mediante Arboles de Fallo (FTA)
Introducción
El análisis mediante árboles de fallos (Fault Tree Analysis, FTA), es una herramienta muy utilizada
en los análisis sobre la seguridad de sistemas o elementos en plantas químicas. Una de las principales ventajas
del método es su sistematización, que permite determinar los diversos factores que contribuyen a los accidentes,
si bien requiere un cierto grado de conocimiento tanto de la planta y del proceso, como del método en sí.
El uso de programas informáticos permite simplificar de manera considerable las tareas a realizar.
Descripción
El método del FT comienza con la identificación de un accidente dado. A partir de éste (suceso final
o top event), se llegan a determinar mediante un proceso inductivo los sucesos básicos o iniciadores, así como
las diferentes formas secuenciales que permiten, a través de las diferentes posibilidades, que el acontecimiento
final tenga lugar.
La interrelación entre los diferentes sucesos y sus causas se establece de forma gráfica mediante una
simbología basada en árboles lógicos, que facilite su análisis. El método permite determinar la probabilidad de
que el acontecimiento final suceda, en función de la probabilidad de ocurrencia de los sucesos básicos
identificados.
III-19
Tabla 3.3
Símbolos lógicos más usuales en FTA
Suceso final (SF)
Suceso intermedio (SI)
Suceso básico iniciador (SB)
Suceso no desarrollado (SND)
Suceso normal o externo (SN)
Y Puerta producto o “Y”: ocurre el suceso de salida si y solo si ocurren todos los de
entrada
O Puerta suma o “O”: ocurre el suceso de salida si y solo si ocurre alguno de los de
entrada
Puerta de inhibición: sólo se da la salida si se da la entrada y la condición de

INHIBICION
inhibición.
Puerta de transferencia: indica la continuación del árbol en otro lugar.
III-20
Procedimiento
1. Listar los sucesos finales (SF): son los más complejos, por eso se analizan, pero los más
fáciles de intuir y de obtener de la experiencia o de un banco de datos. Ejemplos: explosión
de un recipiente a presión (depósito, reactor, etc.), explosión e incendio en un horno, fallo de
un gran compresor, etc. Conviene listarlos todos ante de pasar a sucesos intermedios y
básicos. Cada SF será la cabecera de un árbol de fallos independiente. Posteriormente cabe la
posibilidad de agrupar los árboles de fallos tomando como nuevos SF los accidentes
fundamentales (emisión, incendio, explosión, etc.) para componer la probabilidad (cuando se
haga análisis cuantitativo según veremos) de cada uno de dichos accidentes fundamentales.
2. Establecer y listar los sucesos intermedios (SI) y básicos (SB) mediante el camino inductivo y
las preguntas:
- ¿Por qué ocurre el SF?: sucesos intermedios y básicos; relaciones efecto-causa.

- ¿Son alternativos?: puertas OR.
- ¿Son concurrentes?: puertas AND.
Conviene actuar en pasos cortos para no saltar sucesos intermedios y puertas, lo que afectaría
negativamente a la calidad del árbol y de su análisis.
3. Dibujar el árbol de fallos. Utilizando los símbolos de la Tabla 3.3. A efectos de referencia se
marcan las puertas (o los sucesos intermedios o finales) con letras y los sucesos básicos
con números. No conviene ahorrar el empleo de actividades intermedias: intercalarlas
siempre entre puertas. Será interesante definirlas en términos de las incidencias de proceso
y/o equipo: sentido físico.
4. Se determinan los conjuntos mínimos de fallos (CMF): es normal hacerlo mediante el

álgebra de Boole o mediante el método matricial y el empleo de ordenadores. Aquí vamos a
utilizar lógica artesanal para ilustrar el método, en base al caso de la figura 3.2.
a) Recorrer el árbol de arriba abajo pasando sólo por puertas (OR). Cada vez que se llega a
un SB éste será un conjunto mínimo de fallo (CMF) orden I, porque cada uno de ellos es
capaz de desencadenar el SF. En nuestro caso:
CMF (I): (A Æ B): (1) Y (2).
b) Recorrer el árbol de arriba abajo pasando por puertas OR y por una sola puerta AND de
dos salidas (D). Cada dos SB que se encuentren (uno por cada rama o salida) en la puerta
AND determinarán el desencadenamiento del SF (CMF de orden II).
CMF (II): (A Æ D) + (D Æ H): (3 + 9) Y (3 + 10).
- Orden: el número de salidas de la última (única en este caso) puerta AND que se ha
pasado (II = 2).
III-21
Figura 3.2 Árbol de fallos
c) Recorrer el árbol de arriba abajo pasando por puertas OR y por una sola puerta AND con
tres salidas (C). Cada tres SB (uno por cada rama o salida) en la puerta AND determinará
un CMF (de orden III) desencadenante del SF.
CMF (III): (4 + 6 + 7) (5 + 6 + 7) (4 + 6 + 8) (5 + 6 + 8).
- Orden: el número de salidas de la última (única en este caso) puerta AND que se ha
pasado en el descenso (III = 3).
d) Recorrer el árbol de arriba abajo pasando por puertas «OR» y por dos puertas «AND» (C
e I en la Figura 3.2). En esta Figura 3.2 cada cuatro SB (dos de la segunda puerta I más
dos [uno por cada una de las otras ramas] de C) que confluyan en la puerta C
determinarán un CMF (de orden IV) desencadenante del SC.
(A Æ C Æ I Æ):
CMF (IV): (4 + (11 + 12) + 7); (5 + (11 +12) + 7); (4 + (11 + 12) + 8); (5 + (11
+ 12) + 8).
- Orden: n2 salidas de la última puerta AND pasada más (n1-1) salidas de la puerta AND
anterior: 2 + (3-1) = IV.
5. Análisis del árbol de fallos. Establecidos los CMF cabe continuar el análisis cualitativo
mediante varios criterios:
a) Los CMF de orden inferior suelen ser de mayor riesgo que los de orden superior.
III-22
b) Añadir sucesos básicos resueltos (medidas protectoras) en confluencia AND: aumentan el
orden y disminuyen el riesgo, como se vio anteriormente.
c) Un suceso básico que aparece en muchos CMF debe ser objeto de atención preferente
porque está aportando su probabilidad de fallo a muchas alternativas. El número de veces
debe ponderarse con el inverso del orden de los CMF en que aparece.
En el ejemplo utilizado:
Importancia (total ponderado

SB Aparece en CMF de orden (veces)
mediante [1/orden)]
(nº) I II III IV
1 I - - - I
2 I - - - I
3 - 2 - - I
4 - - 2 2 0,91
5 - - 2 2 0,91
⎡ 1 ⎤ 1,33
⎢4 * III ⎥ ≡
6 - - 4 -
⎣ ⎦
7 - - 2 2 0,91
8 - - 2 2 0,91
9 - 1 - - 0,50
10 - 1 - - 0,50
11 - - - 4 I
12 - - - 4 I
Conclusión: Conviene investigar el SB 6 en primer lugar y los 1, 2, 3, 11 y 12 en segundo para

buscar mejoras.
III-23
Puntos Fuertes
1. Permite y prepara un análisis cuantitativo detallado ulterior.
2. La preparación y análisis de árboles de fallos hace que los analistas obtengan un

conocimiento muy profundo del proceso, así como de sus puntos fuertes y débiles en lo
relativo a la Seguridad.
3. Genera recomendaciones de mejora muy concretas (y de alcance medio si se hace el análisis

cuantitativo). Facilita el establecimiento de prioridades para proponer y ejecutar mejoras.
Permite comparar alternativas.
4. Muy útil para el análisis complejo de un accidente posible, detectado normalmente a través de
otra técnica de Evaluación e identificación de Riesgos.
Puntos Débiles
1. Requiere mucho tiempo: esto puede aliviarse mediante el empleo de programas de ordenador.
2. Pueden no detectarse fallos (SC o SB) que quedarían sin considerar.
3. Pueden darse errores en la lógica del árbol: no considerar fallos intermedios, relaciones-
causa-efecto y/o puertas incorrectas, etc.
4. Siendo una técnica binaria (considera posibilidades si/no) no tiene en cuenta la velocidad a
que puedan producirse los acontecimientos. Tal velocidad puede determinar que un evento
sea peligroso o no.
Idoneidad
Al ser un sistema tan complejo y que analiza con tanto rigor el fallo, es especialmente útil para el
análisis detallado de accidentes posibles.
- Necesidad del paquete completo de ingeniería básica y de detalle del sistema.
- Equipo analista multidisciplinar, incluido un especialista en la metodología de análisis.
- Se hace de importancia capital el uso de herramientas informáticas.
- El tiempo dedicado por Suceso Final es importante, de forma que analizar todos los posibles
accidentes mediante esta técnica sería muy costoso en tiempo y medios.
III-24
3.3.8 Análisis mediante Árboles de Sucesos
Introducción
Los árboles de suceso (Event Tree, ET) evalúan las posibles consecuencias asociadas al fallo en un
equipo o alteración en el proceso. Así como los árboles de fallo utilizaban la retrospección (a partir del
accidente final, se investigan las posibles causas), los árboles de suceso utilizan un análisis que va hacia adelante
(a partir de un suceso básico iniciador (SB), determinan sus posibles consecuencias).
Los árboles de sucesos establecen los posibles desarrollos de accidente que seguirán a uno prefijado,
lo que será de gran utilidad a la hora de identificar las posibles consecuencias que resultan tras un fallo.
Asimismo, su utilización permitirá conocer qué accidentes localizados, mayores o catastróficos, se podrán
generar a partir de un único suceso iniciador, lo que enriquecerá la profundidad de la identificación de
escenarios.
Procedimientos
1. Identificación de los sucesos básicos iniciadores (SB). Estudiando con detalle los elementos
del equipo (de proceso y de control) se contesta a las preguntas ¿Qué puede fallar de este elemento y de
cada una de sus partes? (Ejemplos: en un compresor: válvula de seguridad, lubricación, sellos,
accionamiento, rodete, etc.). Cada suceso básico iniciador relevante será la cabeza o suceso capital de un
árbol de sucesos separado.
2. Aplicación de la disyuntiva (si/no o fracaso/éxito) al suceso básico capital del árbol.
3. Deducción del suceso intermedio, sobre cada una de las alternativas de la disyuntiva, cuando
haya lugar (ejemplos: ignición, rotura de eje, etcétera).
4. Aplicación del factor condicionante (FC) que puede influir sobre cada alternativa de las
disyuntivas establecidas en 2 (ejemplos: alarma, intervención humana o automática derivada
de aquélla, alivio mediante dispositivo de seguridad, parada de emergencia, etc.).
5. Aplicación de la disyuntiva (si/no o fracaso/éxito) a cada suceso intermedio y/o factor

condicionante dispuesto en secuencia lógica de ocurrencia. [Ejemplo: ignición (si/no)-
detección (si/no)-alarma (si/no)-actuación DCI (si/no)-extinción (si/no).]
6. Representación gráfica de: suceso básico (SB), sucesos intermedios (SI), factores
condicionantes (FC) formando el árbol de sucesos.
7. Exploración crítica de todas las disyuntivas definidas para ver si hay más SI y más FC que
deban tenerse en cuenta en el análisis. Si aparecen: aplicar 3, 4, 5 y 6 como sea oportuno. Si
no aparecen: las disyuntivas últimas determinan las consecuencias finales del análisis.
8. Establecimiento y análisis de las consecuencias. Una consecuencia puede ser: «sin

consecuencia».
III-25
9. Determinación y registro escrito de las recomendaciones derivadas del análisis. Las mejoras
se traducirán en nuevos FC, o en la eliminación de FC anteriores, con los que conviene repetir
el análisis para observar la sensibilidad (resultado, sobre las consecuencias) del árbol a las
medidas recomendadas.
Puntos Fuertes
1. Permite y prepara un análisis cuantitativo ulterior.
2. Los analistas ganan conocimiento detallado del equipo y del proceso.
3. Genera recomendaciones de mejora muy concretas (y de alcance medido si se hace el análisis

cuantitativo).
4. El árbol es más sencillo de establecer y analizar que los de fallos.
5. Muy útil para determinar las diferentes hipótesis de consecuencias a las que puede dar lugar
un accidente determinado. Ver los árboles de sucesos en el Capítulo II.
Puntos Débiles
1. Requiere mucho tiempo: esto puede aliviarse mediante el empleo de programas de ordenador
(sobre todo cuando el análisis sea cuantitativo).
2. Puede no detectar fallos (SB, SI, FC) que quedarían sin considerarse.
3. Puede haber errores en la lógica del árbol.
Idoneidad
Sistemas complejos de procesos incluyendo muchos aparatos, instrumentos, equipo para control
y alarma, operadores humanos, etc.
Recursos y tiempo necesarios
Al igual que para el caso de los Análisis mediante Arboles de fallos, tanto los medios materiales
como humanos necesarios son abundantes, lo que hace que sean técnicas aplicadas a sucesos concretos.
3.3.9 Análisis de Causa-Consecuencia
Introducción
Es una técnica que combina las características de los árboles de fallo con los de consecuencias. La
ventaja para el analista es la posibilidad de utilizar un método gráfico que permita proceder hacia adelante (las
consecuencias de un suceso) y hacia atrás (las causas básicas del mismo). Como resultado, por tanto, relaciona
las consecuencias de un accidente específico con sus muchas causas posibles.
III-26
Procedimiento
1. Elección de un suceso capital para ser evaluado: puede ser complejo, como en el árbol de
fallos, o iniciador, como en el árbol de sucesos.
2. Identificación de factores condicionantes y sucesos intermedios: incluye los elementos de

seguridad.
3. Establecimiento de las consecuencias de acontecimiento entre los elementos definidos en 1 y

2, incluyendo sus salidas disyuntivas o no (hay sucesos intermedios que tienen una salida
única).
4. Aplicación del árbol de fallos a las salidas de las disyuntivas que los supongan (por ejemplo:
fallo de los elementos de seguridad, salidas únicas en fallo, etcétera).
5. Determinación de los conjuntos mínimos de fallo (CMF) tal y como se hace en los árboles de
fallos.
6. Evaluación y registro escrito de resultados.
7. Elaboración de recomendaciones.
Los Puntos Fuertes y Débiles, así como la Idoneidad y Medios necesarios para este método de
análisis son similares a los ya expuestos para los métodos mediante Arboles de fallos o sucesos.
3.4 MÉTODOS SEMICUANTITATIVOS
Se trata de técnicas de análisis críticos que emplean índices globales del potencial de riesgo
estimados a partir de las estadísticas. Estas pueden ser de disposición general o procedentes de la
experiencia de las compañías en el diseño y la operación de plantas semejantes a las que se trata de
enjuiciar.
En algún caso (método FMECA) se mezclan la estimación completamente cuantitativa de la

probabilidad con la semicuantitativa (índices globales) de la severidad.
Estos métodos suelen conducir a conclusiones comparativas:
- Entre distintas plantas existentes.

- Entre situaciones, en una misma planta, antes y después de modificaciones o ampliaciones.
- Entre procesos diferentes dirigidos a un mismo fin.
- Entre alternativas de diseño dentro de un mismo proceso.
- Entre cualesquiera de los anteriores y unos valores, también procedentes de la experiencia,
que se consideran aceptables.
III-27
3.4.1 Análisis de riesgos con Evaluación del Riesgo Intrínseco
El objetivo fundamental de esta técnica es facilitar una auditoría sistemática y semicuantitativa

de instalaciones químicas existentes, solicitando si fuese preciso análisis parciales más profundos de
algunas secciones o determinar que secciones pueden ser objeto de mejoras.
Descripción
Existen varios métodos de esta naturaleza. Participan del análisis preliminar de riesgos y de los
análisis mediante listas de chequeo. Además incorporan coeficientes para la elaboración semicuantitativa de
un índice de riesgo intrínseco que permite hacer comparaciones relativas entre diferentes plantas o entre
diferentes unidades de una planta. Hay un método, originado por Gretener, que se emplea para evaluar el
riesgo de incendio en edificios, sin embargo, tiene más interés para nosotros el que ha presentado en España
el Instituto Nacional de Seguridad e Higiene en el Trabajo a través de la publicación “Indices de procesos
químicos: guía de autoevaluación”.
Dicha guía incluye un cuestionario para información o comprobación de numerosos aspectos

relacionados con la seguridad de las instalaciones, como: Peligrosidad de las sustancias químicas,
peligrosidad del proceso, y otros muchos.
El cuestionario, para cada aspecto de la planta a analizar, como por ejemplo: “Condiciones
materiales de seguridad. Bombas” dispone de una lista de chequeo a cumplimentar.
Posteriormente, se realiza una valoración semicuantitativa en base a una puntuación o índice

individual de riesgo, y combinando todos ellos tal y como indica la guía se llega a obtener los índices
globales de riesgo (IGR) para cada capítulo analizado.
Procedimiento
1. Cumplimentar los cuestionarios para evaluación (Anexo I de la Guía ): marcar cuadrados.
2. Asignación de los índices individuales (IIR) dados (Anexo II) para los cuadrados marcados.
3. Evaluación de los índices globales (IGR), utilizando las ecuaciones dadas (Anexo II) para
cada capítulo.
4. Enjuiciamiento por capítulos según criterio establecido.
5. Revisión de los capítulos con IGR altos para detectar las contribuciones más significativas.
6. Definición de mejoras.
Puntos Fuertes
1. Simple, barato y controlado.

3. Buen adiestramiento de responsables de seguridad e higiene en las plantas.
4. Proporcionan demostrabilidad del cumplimiento de las regulaciones de referencia.
III-28
Puntos Débiles
1. No entra en las entrañas de los procesos.

2. Alcance limitado a lo incluido en las comprobaciones.
Idoneidad
Principalmente para el enjuiciamiento, auditoría y mejora en plantas existentes.
3.4.2 Análisis de los Modos de Fallo, Efectos y Criticidad (FMECA)
Los análisis de Modos de Fallo, Efectos y Criticidad (Failure Mode, Effects and Criticity
Analysis) se hará en los mismos principios que el Análisis ya visto FMEA, desarrollándose de forma
similar.
La diferencia fundamental entre ambos métodos es el tratamiento semicuantitativo que se realiza en el

FMECA, ya que a cada modo de fallo se le asigna un nivel de criticidad.
Los niveles de criticidad se pueden establecer mediante criterios subjetivos del equipo de trabajo,
como el establecido en la Tabla 3.4.
Tabla 3.4
Niveles de criticidad subjetivos
Efecto Nivel de criticidad
- Ninguno 1
- Leves perturbaciones 2
- Importantes perturbaciones 3
- Peligro inminente 4
Otra posibilidad es establecer el Indice de Criticidad en base a la severidad y la probabilidad de

ocurrencia del fallo, mediante la aplicación de una matriz como la siguiente:
índice de criticidad
Severidad
1 2 3 4 5
1 1 2 3 4 5
2 2 4 6 7 8
Probabilidad
3 3 6 7 8 9
4 4 7 8 9 10
5 5 8 9 10 10
III-29
Donde:
Severidad:
1. Catastrófica (accidente grave).
2. Alta (daño nuevo).
3. Media (daño moderado).
2. Bajo (daño ligero).
1. Sin daño.
Probabilidad:
1. Alta.
2. Moderada.
3. Media.
4. Baja.
5. Muy baja.
Evidentemente, la aplicación de estos modos de evaluación del Indice de Criticidad pueden

combinarse con datos probabilísticos de fallos de dichos componentes, de acuerdo con la bibliografía y los
datos existentes, así cono el daño causado, expresado este, por ejemplo, en pérdidas monetarias.
Los puntos fuertes, débiles y la idoneidad del FMECA es similar a la de los FMEA.
3.4.3 Indices de Riesgo
Dentro de las técnicas de identificación de riesgos, resultan de gran importancia aquéllas basadas en los
denominados índices de riesgo. Estos, mediante la utilización de unos determinados coeficientes, dependientes
de las características de peligrosidad de las sustancias involucradas, las condiciones de operación y las medidas
de seguridad instaladas, determinan qué equipos o unidades presentan unos mayores niveles de riesgo.
Las técnicas más representativas se corresponden con las siguientes:
- Indice DOW de incendio y explosión.

- Indice MOND.
- Método del grado de peligrosidad, o método FINE.
- Método de subselección.
El propósito es establecer un ranking relativo del riesgo sobre los equipos de una instalación
industrial, con objeto de centrar en ellos las medidas de protección.
Su utilización en el diseño, llevará a identificar las zonas más vulnerables. En operación, dan
información sobre qué equipos dan lugar a mayores niveles de riesgo.
Los Indices DOM y MOND se encuentran hoy en día claramente en desuso.
III-30
3.5 MÉTODOS CUANTITATIVOS
Son técnicas de análisis críticos que incluyen estructuras y cálculos para establecer la
probabilidad de sucesos complejos (siniestros) a partir de los valores individuales de la probabilidad de fallo
que corresponde a los elementos (equipo y humanos) implicados en los procesos (industriales en nuestro
caso).
Las herramientas fundamentales de estos métodos son:
- La lógica matemática: Estructuras lógicas y relaciones entre sus elementos.
- Estadísticas de frecuencia de ocurrencia de fallos y fiabilidad de equipos.
- Cálculos de probabilidades de interacciones entre sucesos.
Datos para métodos cuantitativos
La gran potencia de los métodos cuantitativos, así como su utilidad para conectar el origen y
destino del accidente, se ve ensombrecida cuando hay que alimentar los modelos con datos relativos a las
probabilidades de fallos. Por una parte hay diversidad de elementos y equipos con características variadas.
Por otra parte hay una gran diversidad en los tipos de averías. Tales diversidades complican el tratamiento
probabilístico de los datos.
Otra dificultad estriba, en el caso concreto de la industria química, en que no hay mucha cantidad
de datos y en que la calidad de los mismos puede verse afectada por diversidad de criterios a la hora de
recogerlos e interpretarlos. No obstante, hay datos procedentes de otros sectores (nuclear, electrónico,
plataformas marinas, etc.) que cabe aprovechar en nuestro campo de interés.
En la interpretación de los datos probabilísticos, siempre surgen las mismas preguntas:
- ¿es mi equipo igual de fiable que el modelo probabilístico?
- ¿Cómo mejora su fiabilidad al aumentar el mantenimiento?
- ¿Están condicionados los datos de fiabilidad con datos procedentes de países no

desarrollados?
Evidentemente, todo ello no hace más que ahondar en un mismo hecho: Probablemente los datos
estadísticos existentes no sean totalmente aplicables al caso suyo, pero es lo más cercano y fiable de lo que
se dispone.
III-31
3.5.1 Análisis Cuantitativo mediante Arboles de Fallo
Se trata evidentemente de una metodología similar en cuanto a su desarrollo a FTA, ya analizada

con los métodos cualitativos.
Mediante la aplicación cuantitativa de los árboles de fallo, y una vez localizadas las
probabilidades de ocurrencia de los Sucesos Básicos Iniciadores, se consigue cuantificar en términos
probabilísticos la frecuencia de ocurrencia del Suceso Final.
De la misma forma, el método permite el Análisis probabilístico de los conjuntos mínimos de
fallos (CMF), y en base a ello determinar cuales son críticos para la instalación.
En la Tabla 3.5 se observa el análisis probabilístico de los conjuntos mínimos de fallos (CMF)
del citado Arbol de fallos, cuya generación queda como ejercicio.
3.5.2 Análisis Cuantitativos mediante Arboles de Sucesos
También en este caso se trata de la misma metodología ya analizada en los Métodos Cualitativos,
pero a la que se incorpora el tratamiento probabilístico a través de la aplicación de las probabilidades de
ocurrencia de la disyuntiva de los sucesos básicos iniciadores, los sucesos intermedios y los factores
condicionantes.
3.6 CRITERIOS PARA LA SELECCIÓN DE LOS MÉTODOS DE

IDENTIFICACIÓN DE RIESGOS
Los principales criterios de selección son los siguientes:
1. Fase de desarrollo de la planta o proceso.
Aunque la fase de diseño es esencial en la evaluación de riesgos, también merecen atención las
fases de arranque, operación y parada. En muchos casos, lo más conveniente será identificar los
riesgos importantes tan pronto como sea posible, evitando costes de rediseño y modificación. A
dicha evaluación previa, le seguirá un análisis detallado de la instalación tan pronto como se
conozcan las condiciones principales y el diseño de las líneas del proceso.
2. Niveles potenciales de consecuencias.
La evaluación de la situación más desfavorable, dará lugar a los niveles más conservadores de
riesgo, que podrá justificar la elección de un estudio en mayor o menor profundidad.
3. Complejidad de la planta o proceso.
El grado de complejidad de la planta o proceso podrá condicionar la elección de la técnica

seleccionada. Las plantas que desarrollen un proceso de alta complejidad, y precisen, por tanto,
de un complicado sistema de seguridad, requerirán estudios en profundidad. Dichos estudios, en
cualquier caso, serán rentables considerando el costo asociado a dichas medidas de seguridad, al
centrarlas en los puntos con mayor nivel de riesgo.
4. Experiencia del personal: grado de conocimiento de las técnicas.
III-32
La experiencia del personal en el uso de una determinada técnica, resultará esencial para un buen
estudio. En general, será más apropiado emplear un método sencillo bien conocido, que tratar de
utilizar un método más complejo del que no se tenga experiencia.
5. Información y datos requeridos o disponibles.
Algunas de las técnicas requieren un mayor volumen de datos, los cuales no siempre estarán
disponibles. Si un sistema está escasamente documentado, o sólo está diseñado en su fase
preliminar, resultará poco efectivo, y de difícil realización, el intentar aplicar una detallada
evaluación del riesgo.
6. Requerimientos de tiempo y costo.
Aunque el tiempo y el costo no deben ser los factores más determinantes al realizar una
identificación de riesgos, los recursos empleados deben estar de algún modo en relación con el
coste de las modificaciones a introducir en la planta para reducir el riesgo.
A este respecto, la mayoría de los estudios resultarán rentables si se realizan o coordinan por
analistas con experiencia.
A continuación se presenta la Tabla 3.6, donde se recogen las diferentes técnicas de identificación y
evaluación, así como los atributos en base a los que se deben seleccionar.
Los atributos de selección serán:
- Fase de la planta o proceso. Se distinguirá entre:

· D: Diseño
· C: Construcción
· A: Arranque
· O: Operación
· P: Parada
· M: Modificación
- Propósito. Los propósitos, serán conocer:

· T: Fallos técnicos
· O: Fallos en operación
· H: Fallos humanos
· C: Grado de consecuencias
- Tipo y naturaleza de los resultados:

· Ql: Cualitativos
· Qn: Cuantitativos
· Rr: Herramienta para reducir riesgos
- Complejidad del sistema:

· B: Baja
· M: Mediana
· A: Alta
III-33
- Requerimientos de personal:
· P: Especialistas de planta
· S: Especialistas en seguridad
- Requerimientos de datos:
· G: Globales
· I: Intermedios
· D: Detallados
- Requerimientos de tiempo y costo:

· B: Bajos
· M: Moderados
· A: Altos
Ahora bien, si nos ceñimos únicamente en los Métodos Cualitativos para el análisis de Unidades de
proceso es necesario indicar que la técnica Hazop está considerada como la más rigurosa y estructurada de
todas, sobre todo cuando se hacen patentes las deficiencias más importantes de los otros métodos:
- El uso de las Check list únicamente puede no identificar todos los riesgos, si éstos no están
previamente establecidos en la lista.
- El uso de la técnica What if? únicamente no asegura que todas las posibilidades han sido
analizadas dado que no es un método suficientemente estructurado.
- El uso de las técnicas combinadas Check list/What if? combinadas se delata como una poderosa
combinación cuando el equipo de trabajo es suficientemente experimentado y las listas de
chequeo son muy completas.
- Por lo que respecta a la técnica FMEA se usa frecuentemente para identificar riesgos asociados
con elementos muy concretos de equipos, donde demuestra una potencia muy superior al resto de
los métodos de análisis, para el estudio de fallos eléctricos, electrónicos o mecánicos. Sin
embargo, para abordar estudios completos no resulta tan factible, dado que tampoco es una
técnica estructurada.
- La técnica PHA es muy útil pero sobre todo en etapas previas de diseño, cuando no hay
suficiente información de detalle para realizar ningún otro estudio. Mediante él se identifican los
principales riesgos a tener en cuenta. Sin embargo, para el análisis posterior de la Unidad de
Proceso, resulta igualmente una metodología poco estructurada.
- Finalmente, las técnicas de Arboles de Fallos y Sucesos, son métodos que demuestran toda su
potencia en análisis específicos; deductivos a partir de un Suceso Básico, en el caso de los
Arboles de Sucesos, o inductivos a partir de un Suceso Final en el caso de los FTA, pero poco
adecuados para el análisis Complejo de una Planta Industrial.
III-34
Tabla 3.6
Selección de las técnicas de identificación de riesgos
Requerimientos
Fase de la planta o Tipo de Grado de
Técnica de identificación Propósito
proceso resultado complejidad Personal Datos Tiempo y costo
Listas de chequeo. D+C+A+O+P+M T+O+H Q1 B-M P G+I B-M
Indices de riesgo. D+O T+C Q1+Qn B-M P+S G+I M
Análisis Preliminar de Riesgos D (1ª Fase) T+C Q1+Rr B-M-A P G+I M
III-35
Análisis What if?. D+A T+O+H+C Q1+Rr B-M P+S D+I B-M
HAZOP. D+O T+O Q1+Rr M-A P+S D A
FMECA. D+C+O T Q1 M-A P+S D M-A
Arbol de fallos. D+O T+H+C Q1+Qn M-A S D M-A
Arbol de sucesos. D+O T+H+C Q1+Qn M-A S D M-A
Análisis causa-consecuencia. D+O T+H+C Q1+Qn M-A S D M-A
Análisis del MCA. D+O C Qn B-M S G B-M
Bases de datos. D+C+A+O+P+M T+O+H+C Q1+Qn B-M S G M

4 METODOLOGIA GENERAL DEL ESTUDIO HAZOP
4.1 INTRODUCCIÓN Y OBJETIVO
Los problemas que mayormente conciernen a la industria química son aquellos relacionados con
la operación arranque y parada de la planta, la fiabilidad de los equipos y los sistemas de seguridad. En
muchas áreas bien definidas, fundamentalmente aquellas de mayor riesgo, ha sido posible reconocer durante
años, los sucesos que implicarían problemas de operación o de seguridad y establecer códigos y normas
para diseñar y operar los equipos. Sin embargo, con el avance de la tecnología y la mayor complejidad de
las instalaciones, lo anterior no siempre es posible en orden a alcanzar los niveles de seguridad y eficacia
deseados.
Hasta ahora, ha sido costumbre estudiar un proyecto, respecto a las insuficiencias o fallos en el
diseño, sobre unas bases "ad hoc", haciendo circular a éste por distintos departamentos o grupos interesados
para comentarios. Esto, inevitablemente, significaba que la atención se enfocaba, en principio, en aspectos
concernientes a cada departamento o parte interesada. Había sólo una tendencia mínima a considerar el
proyecto como una unidad dinámica; o sea, a aprovechar y coordinar la destreza y habilidad de los
departamentos en un estudio colectivo y sistemático del sistema como un todo en la prevención de fallos en
el diseño frente a requisitos inesperados o eventualidades.
Mientras, una aproximación "ad hoc" es aceptable, para sistemas muy simples en plantas
convencionales y con procesos bien establecidos; ésto está lejos de ser, sin embargo, el procedimiento
adecuado cuando tratamos de industrias complicadas, modernas (por ejemplo, la nueva industria química,
cambio a nuevos procesos tecnológicos, nuevos materiales de construcción, etc.), o si hay pequeños
márgenes de error (por ejemplo, especificaciones de productos muy ajustadas, control seguro de
condiciones esenciales, límites de diseño muy finos, etc.). Para tales proyectos en particular, se requiere
claramente un estudio sistemático, orientado al proceso y mucho más riguroso.
El método de estudio, idealmente, debería ser práctico, simple y capaz de cubrir un amplio
campo de aplicaciones; también, debería ser comprensivo y completo, considerar lo que no es normal y
esclarecer lo que está oculto, adecuarse fácilmente al tiempo y recursos disponibles y, finalmente, este
método de trabajo debería estar basado en la experiencia. Un procedimiento que satisface a todos o la
mayoría de esos requisitos es el método conocido como Estudio HAZOP.
El método HAZOP (HAZard and OPerability study), presentado por primera vez por ingenieros de la
ICI Chemicals en el Reino Unido a mediados de los 70, comprende la investigación de posibles desviaciones
frente a las condiciones de diseño para las líneas y elementos pertenecientes a una determinada unidad de
proceso.
El equipo sigue, dentro de un proceso de "brainstorming", una estructura analítica por medio de un
conjunto de palabras guía para examinar desviaciones de las condiciones normales de proceso en varios puntos
clave (en adelante NODOS) a lo largo del proceso. Estas palabras clave son aplicadas a los parámetros más
relevantes del proceso (p.e. caudal, temperatura, presión, composición) con el objeto de identificar las causas y
consecuencias de las desviaciones de estos parámetros con respecto a sus valores previstos. Finalmente, la
identificación de consecuencias no deseadas (o inaceptables) dan como resultado recomendaciones para mejoras
del proceso. Éstas pueden incluir modificaciones del diseño, revisión de procedimientos, modificaciones en la
documentación escrita, estudios adicionales, etc.
IV-1
Las sesiones HAZOP se recogen en tablas HAZOP, en las que se anotan los distintos NODOS
analizados. A continuación se indican los términos más usados en la metodología del análisis HAZOP:
NODO: Punto específico del proceso (tal como un equipo o una línea) en el que se evalúan posibles
desviaciones del proceso.
INTENCIÓN: Descripción de cómo se espera que se comporte el proceso en un determinado nodo.

Suele describirse cualitativamente como una actividad (p.e. alimentación, reacción, sedimentación)
y/o cuantitativamente por medio de parámetros del proceso, como temperatura, caudal, presión,
composición etc.
DESVIACIÓN: Forma en que las condiciones del proceso se alejan de su intención.
PARÁMETRO: El parámetro relevante para la(s) condición(es) del proceso; p.e. presión,
temperatura, composición, etc.
PALABRA GUÍA: Palabra que representa la desviación de la intención.
Las más usuales son: NO, MÁS ALTA, MÁS BAJA, DIFERENTE, PARTE DE, e INVERSO.
Además, palabras clave como DEMASIADO PRONTO, DEMASIADO TARDE, EN LUGAR DE,
etc., también se usan; las últimas principalmente para procesos de tipo discontinuo.
Las palabras guía se aplican de manera independiente a los distintos parámetros, con objeto de
identificar desviaciones inesperadas, pero posibles, respecto de la intención.
CAUSA: La(s) razón(es) por las que podría ocurrir una desviación. Pueden identificarse varias
causas para una misma desviación.
CONSECUENCIAS: Los resultados de la desviación en caso de que ocurra. Las consecuencias

pueden abarcar tanto riesgos asociados al proceso, como problemas de operatividad, tal como parada
de la planta o pérdida de calidad del producto. Pueden asociarse varias consecuencias para una
misma causa y, a su vez, una sola consecuencia puede ser originada por varias causas.
SALVAGUARDIA: Instrumentos o protecciones del sistema que pueden ayudar a reducir la

frecuencia de ocurrencia de la desviación o mitigar sus consecuencias. Es posible distinguir, en
principio, cinco tipos de protecciones:
1. Medios destinados a detectar la desviación. Incluyen, entre otros, la instrumentación de alarma y

detección o la supervisión por parte de operadores.
2. Instalaciones que compensan la desviación, p.e. sistemas automáticos de control que reducen la
alimentación a un depósito en caso de sobrellenado (aumento de nivel). Normalmente son una
parte integrada dentro del control del proceso.
3. Instalaciones que previenen que ocurra una desviación. Un ejemplo para ello es el
establecimiento de un "blanketing" de gas inerte para el almacenamiento de sustancias
inflamables.
IV-2
4. Instalaciones que previenen un agravamiento de la situación como consecuencia de la desviación,
tal como el disparo de una actividad. Estas instalaciones están a menudo enclavadas con varias
unidades del proceso, y controladas por computadores lógicos.
5. Instalaciones que alivian al proceso de la desviación peligrosa. Comprenden, por ejemplo:

válvulas de seguridad (PSV) y sistemas de venteo.
RECOMENDACIÓN: Actividades identificadas durante el análisis HAZOP para su seguimiento.

Incluyen propuestas de modificaciones o mejoras técnicas que afecten a los sistemas de control, de
señalización o de emergencia, a las condiciones de diseño de líneas y equipos, o a los procedimientos
y documentación escrita, pudiendo derivar en recomendaciones de estudio específicos de detalle.
COMENTARIOS: Cualquier aclaración a hacer a las recomendaciones o a aspectos surgidos

durante las sesiones HAZOP.
4.2 OBJETIVOS DEL ESTUDIO HAZOP
El objetivo fundamental que se persigue a la hora de la realización de un estudio HAZOP es

detectar cualquier suceso predecible e indeseable que pueda ocurrir en un proceso, tanto desde el
punto de vista de la Seguridad como de la Operabilidad, especialmente durante modos de operación
inusuales de la planta, como pueden ser las operaciones de arranque, parada programada, parada de
emergencia, preparación para mantenimiento, fallo de servicios, etc.
Este propósito se consigue con un estudio sistemático y estructurado de la Unidad, dividida en

elementos de estudio o NODOS, sobre los que, con ayuda de las palabras guía y los parámetros, se les
aplican las correspondientes desviaciones, para las cuales se analizan posibles Causas que la generan en
dicho NODO.
Finalmente, para cada una de esas Causas, se anotan las consecuencias a las que daría lugar, las
salvaguardias propias del sistema y finalmente las Recomendaciones o Comentarios que fuesen precisos.
IV-3
4.3 DESCRIPCIÓN DE LA METODOLOGÍA HAZOP
4.3.1 Procedimiento
El procedimiento consiste en un estudio sistemático y estructurado llevado a cabo por un equipo

multidisciplinar de profesionales liderados por un Coordinador, de una instalación equipo por equipo y
línea por línea, es decir, puntos específicos del proceso o NODOS, donde se van a evaluar las
correspondientes desviaciones.
Esto se lleva a cabo mediante la aplicación de una lista de palabras-guía, cuyo significado puede
verse en la Tabla 4.1, a un conjunto de parámetros de proceso a analizar, entre los que pueden encontrarse
flujo, presión, temperatura, nivel, concentración, ratio de reacción, viscosidad, pH, agitación, fase o
tiempo de residencia.
Tabla 4.1
Significado de las palabras guía
Palabras guía Significado
NO NEGACIÓN O AUSENCIA DE LAS ESPECIFICACIONES DE DISEÑO
AUMENTO O DISMINUCIÓN CUANTITATIVA

MÁS
Se refiere a variables de proceso como caudal, presión, temperatura, o a actividades
MENOS
(calentar, reaccionar, etc.).
MÁS DE
AUMENTO CUALITATIVO
o
Si bien se realiza la función deseada, junto a ella tiene lugar una actividad adicional.
ASÍ COMO
DISMINUCIÓN CUALITATIVA
PARTE DE
Se realiza solamente una parte de la función deseada.
OPOSICIÓN A LA FUNCIÓN DESEADA

INVERSO Utilizable preferentemente para actividades (flujo de retroceso, inversión de reacción
química, etc.).
DE OTRA FORMA SUSTITUCIÓN COMPLETA DE LA FUNCIÓN DESEADA
IV-4
De la combinación de las palabras guía con cada uno de los parámetros se obtienen las
desviaciones frente al comportamiento normal que el método pretende evidenciar.
Es necesario precisar que el estudio debe comprender, tal y como se indicó anteriormente, todos
los estados o modos de funcionamiento de la Unidad, como operación normal, arranque y parada, por lo que
los NODOS deben elegirse de forma que con ellos queden englobados todos los modos de operación o
intención.
Establecidas las desviaciones objeto de consideración, se investigan mediante un proceso

inductivo las causas que pueden provocar esa desviación en el NODO en ese modo de operación o
intención.
Para esa causa, se investigan deductivamente las consecuencias posibles de la desviación, así
como las salvaguardias que el proceso dispone para evitar la causa o mitigar las consecuencias. En ese caso,
llegaremos a una de las tres posibilidades siguientes:
a) Las consecuencias no entrañan riesgo: descartar la consideración de esta desviación en

concreto.
b) Las consecuencias entrañan riesgos menores o medianos: consideración de esta desviación en

la etapa siguiente.
c) Las consecuencias entrañan riesgos mayores: consideración de esta desviación en la tapa

siguiente.
En el caso de que la consecuencia no entrañe ningún riesgo, se obviará más pérdida de tiempo, o
bien se anotará que no tiene consecuencias.
Ahora bien, para aquellas consecuencias, que aún disponiendo de salvaguardias impliquen un
riesgo, será necesario adoptar acciones correctoras o Recomendaciones que de alguna forma palien la
consecuencia o la causa.
Las recomendaciones deben ser consensuadas entre el grupo de trabajo, y le será asignada por el
Coordinador de Estudio a un miembro del equipo de trabajo, que quedará encargado de contestarla e
implantarla.
Finalmente, Desviaciones, Causas, Consecuencias, Salvaguardias y Recomendaciones deben

quedar por escrito en un formato como el ilustrado en la Figura 4.1.
IV-5
CURSO DE COORDINADORES DE ESTUDIOS HAZOP
Figura 4.1
Nodo: Planos:
Desv Causas Consecuencias Salvaguardias Recomendaciones
Modelo de tabla HAZOP
IV-6
2002 1/-
Esta secuencia operativa deberá repetirse con todas las palabras guía, parámetros y desviaciones,
para cada Nodo, y finalmente para todos los Nodos de la Unidad a analizar.
Una secuencia lógica de trabajo puede verse en la Figura 4.2.
Dividir la Unidad en Nodos de estudio.

Elegir un Nodo.
Explicar la intención de diseño del Nodo.
Elegir una variable de proceso o Parámetro.
Aplicar una Palabra guía.
Deducir una Desviación pertinente que tenga sentido.
Analizar una Causa posible de la Desviación considerada.
Examinar las Consecuencias posibles de dicha Causa.
Identificar las Salvaguardia Administrativas o tecnológicas existentes para detectar la

Causa o prevenir las Consecuencias.
En base a las Consecuencias y Salvaguardias existentes, establecer, si es preciso,

Recomendaciones que mejoren la Seguridad de la Instalación.
Establecer registro escrito de los pasos 7 a 10.
Repetir 7 a 11 para todas las Causas posibles de la Desviación.
Repetir 5 a 12 para todas las Desviaciones que se obtengan de la aplicación de las

Palabras Guía.
Repetir de 4 a 13 para cada Parámetro a analizar.
Marcar el Nodo en el P&I como analizado.
Repetir de 2 a 15 para todos los Nodos de estudio.
Figura 4.2 Secuencia Operativa de un Estudio HAZOP
IV-7
4.3.2 Metodologías CBC, DBD y Basada en el Conocimiento
Dentro de la Técnica Hazop mediante palabras guía, es posible distinguir dos metodologías
distintas:
- La metodología Causa por Causa (CBC)
- La metodología Desviación por Desviación (DBD)
En la metodología Causa por Causa, los nodos son analizados de forma que para cada Desviación
se analizan consecutivamente las distintas causas que las provocan, y para cada una de ellas se determinan
las posibles consecuencias y salvaguardias así como las recomendaciones que sean pertinentes, tal y como
se ve en la Figura 4.3. Es decir, cada causa está relacionada claramente con sus consecuencias, sus
salvaguardias y recomendaciones.
Consecuencias Salvaguardias Recomendaciones

Salvaguardia 1
Consecuencia 1
Causa 1 Salvaguardia 2 No necesarias
Consecuencia 2
Salvaguardia 3
Causa 2 Consecuencia 1 Salvaguardia 1 Recomendación 1
Consecuencia 1
Causa 3 No identificadas Recomendación 2
Consecuencia 2
Figura 4.3 Tabla HAZOP tipo CBC
Por contra, en la metodología Desviación por Desviación, para cada desviación se anotan las
causas que pueden provocarla, las consecuencias de cualquiera de las causas, las salvaguardias y las
recomendaciones, sin que en ningún momento estén relacionadas con su causa. En la Figura 4.4 puede verse
un ejemplo de una Tabla Hazop según metodología DBD.
IV-8
Consecuencias Salvaguardias Recomendaciones
Salvaguardia 3
Causa 3 Consecuencia 3
Salvaguardia 4
Figura 4.4 Tabla HAZOP tipo DBD
La metodología CBC tiene una evidente ventaja frente a la metodología DBD, y es que al
relacionar cada causa con sus desviaciones, salvaguardias y recomendaciones, es una metodología
claramente trazable en su desarrollo y por tanto, auditable, a diferencia de la metodología DBD.
Muy al contrario que las metodologías CBC y DBC, la metodología Hazop Basada en el
Conocimiento es una variación de la metodología mediante palabras guía, en la que el proceso deductivo de
buscar causas para cada desviación es reemplazado por el conocimiento y experiencia del equipo de trabajo,
así como en la aplicación de detalladas bases de datos o librerías como check list para cada desviación.
Esta combinación es usada fundamentalmente para comparar el diseño de nuevas instalaciones

frente a diseños anteriores o bases de diseño preestablecidas.
El uso de esta metodología se basa en la idea de que las soluciones técnicas bien estudiadas,
documentadas y aplicadas pueden ser usadas como base para la evaluación de Unidades, siempre y cuando
éstas sean similares a otras ya analizadas:
Las desventajas de esta metodología son:
- No se debe aplicar a nuevos procesos.
- Asume que las bibliotecas utilizadas con listas de chequeo para cada desviación son
estándares correctos y aplicables…
IV-9
4.3.3 Puntos Fuertes de la metodología Hazop
Las principales ventajas que presenta la metodología Hazop frente a las restantes metodologías
cualitativas de análisis de riesgos, son las siguientes:
1. Es un método analítico y estructurado, que al ser desarrollado en modo Causa por Causa, es
fuertemente trazable su desarrollo y, por tanto, auditable.
2. Es aplicable a procesos continuos, procesos tipo Batch o a la revisión de procedimientos,

instrucciones de operación, etc.
3. Tiene gran utilidad en cualquier etapa de desarrollo: nuevo diseño, proceso existente,
Revamping de una Unidad existente, Modificación de una Planta, etc.
4. Al desarrollarse por un grupo multidisciplinar de profesionales, facilita la concurrencia de

juicios sectoriales y distintos pero todos ellos implicados en el proyecto y operación de la
planta.
5. Permite volver atrás, de forma sistemática y controlada, si en un momento dado, se descubren

nuevas desviaciones que puedan afectar a Nodos analizados con anterioridad.
6. Considera los elementos de la Unidad integrados en su conjunto, que es como van a operar
realmente, y no de forma aislada.
7. Puede ser utilizado conjuntamente con otras técnicas cualitativas o semicuantitativas más
específicas para el análisis de un riesgo determinado para el que dichas técnicas son más
específicas, como por ejemplo: el uso de una check list para comprobación del cumplimiento
reglamentario de una instalación, o el uso de FMECA aplicado al modo de fallo de un
componente electrónico.
8. Por su desarrollo estructurado, suele constituir la última verificación de las condiciones de

diseño, adecuación del proceso y materiales de la instalación previamente a su construcción.
9. Dado que el grupo de trabajo es multidisciplinar, suele constituir el único foro, durante toda la
etapa de diseño y construcción de la Unidad, en el que todos se sientan en una mesa y
discuten abiertamente sobre el diseño realizado.
10. En el estudio no se parte de estándares o listas de chequeo inamovibles, todo es analizable y

discutible.
IV-10
4.3.4 Puntos Débiles de la Metodología Hazop
Sus principales puntos débiles son los siguientes:
1. La calidad y contenido del resultado del análisis dependerá mucho de los conocimientos,
experiencia y compenetración del equipo de trabajo.
2. Como veremos posteriormente, consume tiempo y recursos muy importantes.
3. No es una técnica cuantitativa.
4. El estudio no puede desarrollarse durante un gran número de horas seguidas, ya que el

agotamiento del equipo de trabajo, hace que disminuya la calidad del mismo.
IV-11
5. ORGANIZACIÓN Y DESARROLLO DEL ESTUDIO HAZOP
En el siguiente capítulo analizaremos apartado por apartado, y desde la organización inicial del
Estudio hasta su finalización, como deben desarrollarse cada una de las etapas básicas del estudio.
5.1 PREPARACIÓN Y PLANIFICACIÓN INICIAL
Para el correcto desarrollo del estudio son básicas unas buenas planificación y organización
inicial del mismo.
Entre las muchas tareas a desarrollar, y en casi todos los casos serán competencia directa, al
menos su control, del Coordinador del equipo Hazop, cabe destacar las siguientes:
1. Delimitar y acordar con el Jefe del Proyecto el alcance del estudio Hazop, tanto en cuanto a lo
que se refiere a equipos e instalaciones, como a parámetros a incluir en el estudio, salvo que
esto último esté previamente acordado corporativamente.
2. Seleccionar, o controlar que se hace, a un equipo inicial de estudio, que deberá verificar, su
disponibilidad para realizar el estudio.
3. Planificar los días en los que habrá sesiones Hazop y la duración de las mismas, e informar a
los miembros del equipo Hazop y al jefe del Proyecto, que por su parte deberán responder
confirmando su disponibilidad total para asistir.
4. Acordar con el Jefe del Proyecto donde se realizarán las sesiones Hazop. En principio, debe
escogerse un lugar en el que se trastoque al mínimo la actividad principal que desarrolle la
mayoría del personal asistente.
5. Estimar si bien fuese preciso el coste de realización del estudio para incluirlo dentro del
Proyecto.
6. Solicitar del Jefe del Proyecto la información necesaria que tendrá que tener disponible cada
miembro del equipo. Dicha información deberá estar en poder de cada uno de ellos con la
suficiente antelación.
Para la correcta planificación del estudio es necesario tener en cuenta que debe desarrollarse una
vez que la Ingeniería de Detalle está suficientemente adelantada como para que no sean previsibles cambios
importantes, pero al mismo tiempo con suficiente antelación como para que la realización del estudio no
paralice o retrase la construcción de la Unidad debido a la implementación de las recomendaciones.
Si por cualquier razón se produjesen cambios en la Unidad con posterioridad, estos deberán ser
igualmente analizados por el equipo Hazop.
V-1
5.2 DOCUMENTACIÓN NECESARIA
Como se indicó anteriormente, es obligación del Coordinador del estudio Hazop recabar del Jefe
del Proyecto ordenar y aportar a los miembros del equipo Hazop la siguiente documentación con
anterioridad suficiente al inicio de las sesiones:
1. Descripción lo más detallada y completa posible del proceso, incluyendo:
- Termodinámica y cinética de la reacción.

- Posibles venenos de la reacción o catalizador.
- Posibles subproductos generados, y en que condiciones.
- Posibles variaciones de composición de la corriente de entrada.
2. Diagrama de Proceso (PFD’S), de la Unidad.
3. Balance de Materia y Energía, incluyendo si es preceptivo, los valores para inicio y final del
ciclo de reacción.
4. Diagramas de Tuberías e Instrumentos (P&I’s), tanto de la nueva Unidad como de las

conexiones con la instalación existente y de los Servicios Auxiliares.
5. Planos de implantación de los equipos en la Unidad y de ésta en el resto del complejo.
6. Planos de clasificación eléctrica de áreas con riesgo de incendio y explosión.
7. Procedimientos de Operación, arranque y parada normal y de emergencia.
8. Fichas de seguridad de las sustancias que se incluyen o puedan incluirse en el proceso.
9. Descripción de la Lógica de los sistemas de control.
10. Descripción de los sistemas automáticos de enclavamientos.
11. Informes de accidentes o incidentes en instalaciones similares.
12. Hojas de especificaciones de equipos incluyendo:
12. a. Bombas y Compresores:
- Tipo, presión, temperatura y caudal de diseño, presión máxima, caudal máximo,

material. Indicar si los equipos disponen de rearranques automáticos, dobles
cierres, etc.…
12. b. Hornos y Calderas:
- Tipo, temperatura y presión de diseño y operación, calor intercambiado, material

de los tubos y código de diseño.
12. c. Recipientes a presión:

V-2
- Dimensiones (diámetro, longitud, volumen total y espesores de chapa), presión y
temperatura de operación y diseño, material, aislamiento y código de diseño.
12. d. Recipientes atmosféricos y Silos:
- Dimensiones (diámetro, longitud, volumen total y espesores de chapa) presión y

temperatura de operación y diseño, material de aislamiento y código de diseño.
12. e. Intercambiadores y Aerorefrigerantes
- Tipo, dimensiones, presión y temperatura de operación y diseño y material de los

distintos elementos (carcasa y tubos). Indicar si los aerorefrigerantes disponen de rearranque automático.
13. Lista de Líneas.
14. Hojas de especificaciones de tuberías, bridas y accesorios.
15. Hojas de especificaciones de los instrumentos.
16. Estándares de Ingeniería utilizados en el diseño de la Unidad.
17. Lista de Válvulas de Control, incluyendo:
- Fluido, estado y componentes corrosivos contemplados.

- Caudal mínimo/operación/máximo/diseño.
- Presión mínima/operación/máxima/diseño.
- Presión diferencial/mínima/operación/máxima/diseño.
- Cv mínimo/operación/máximo/diseño.
- Acción a fallo de aire o electricidad.
- Tipo de obturador y característica de control.
- Material del cuerpo, asiento, vástago, guía y prensa.
- Conexiones de entrada-salida.
- Comportamiento de la válvula ante fugas.
18. Lista de válvulas de seguridad, tapas de fuego y discos de ruptura, incluyendo:
- Sistema sobre el que descarga.

- Presión de disparo.
- Causa para la que ha sido diseñado y causas para las que ha sido comprobado.
- Caudal, MW o densidad, y temperatura de fluido de diseño y comprobación.
V-3
5.3 REQUISITOS DE LOS MIEMBROS DEL EQUIPO HAZOP
El personal del equipo de trabajo debe ser cuidadosamente elegido de forma que proporcione el
conocimiento y la experiencia apropiados a los objetivos del estudio y al desarrollo del proyecto. Esto es
fundamental para garantizar el éxito del estudio, ya que la técnica no compensará las deficiencias o falta de
conocimiento.
Es por ello por lo que es necesario contar con personas cuyos conocimientos técnicos amplias en
su campo, aunque no tenga experiencia en el desarrollo de Estudios Hazop.
También es importante mantener el equipo lo suficientemente pequeño para ser eficiente,

siempre que se mantenga una base suficiente de conocimientos en las disciplinas necesarias para cubrir
todos los aspectos del estudio de forma global. Como regla general, lo deseable es tener un sólo
representante de cada departamento con suficientes conocimientos y capacidad para tomar decisiones en
cada momento, y poder evaluar los efectos de las desviaciones de las operaciones deseadas. En cualquier
caso. El equipo Hazop no debe tener más de seis representantes, con objeto de evitar al máximo larga
discusiones sobre cada uno de los temas.
De igual forma, cada representante procurará asistir a todas las reuniones del equipo, ya que se ha
comprobado que la presencia ocasional de un suplente del personal del equipo de trabajo es,
frecuentemente, insatisfactoria. Por esto, es esencial un firme compromiso y una necesaria disponibilidad de
tiempo por parte del personal seleccionado para que el progreso del análisis sea adecuado.
En este sentido, es necesario recalcar la importancia que tiene el que cada miembro del equipo
deje bien claro a su personal que NO se le debe interrumpir durante las sesiones Hazop.
La composición típica del equipo Hazop será lo siguiente:
a) Coordinador del Estudio: generalista con experiencia en el método a emplear, en seguridad,

en proyectos y, sobre todo, en la conducción de reuniones. Debe tener en cuenta en todo
momento los objetivos generales a cubrir, así como los particulares y estructurales del método
que se vaya a emplear.
b) Secretario: debe ser una persona con perfil semejante al anterior, con experiencia menor
quizá, que forma parte del equipo del coordinador y cuyos cometidos son:
- Reunir, ordenar y aportar la documentación de partida que se requiere para el estudio.

- Recoger documentalmente (actas) el desarrollo, de las sesiones de estudio en lo que
concierne a éste.
- Manejar las herramientas informáticas que conducen, guían y auxilian el método elegido.
- Preparar la documentación (informes) resultante del estudio.
c) Representante de Ingeniería de proceso: con conocimiento profundo y detallado del proceso

objeto de análisis. En algunos casos puede ser necesario la presencia del licenciatario del
proceso.
d) Representante de Ingeniería de Proyectos involucrado en la ingeniería en detalle de la Unidad.
V-4
e) Ingeniero de operación: que conozca y tenga experiencia en la operación de la planta y/o
proceso. Deberá aportar los aspectos relativo al factor humano como elemento de riesgo, de
control y de acción en caso de emergencia.
f) Especialistas: quizá en dedicación parcial cuando se requiera. Pueden ser:
- Expertos en materiales.
- Expertos en diseño de detalles: recipientes a presión, tuberías, bombas, equipo para
protección pasiva (distribución en planta, etc.) y activa (sistemas para DCI, DCE, etc.).
- Ingenieros de seguridad y/o mantenimiento.
- Representantes del Departamento de Medio Ambiente.
De la misma forma que es importantísima la capacidad de decisión de cada uno de los miembros
del equipo Hazop, también es especialmente importante la independencia del coordinador, que no debe
depender, orgánicamente, de ninguno de los miembros del equipo Hazop ni depender siquiera del mismo
Departamento, con objeto de garantizar que la técnica es sistemática y rigurosamente aplicada.
Por lo que respecta al grupo de trabajo, es necesario y muy conveniente que todos ellos
mantengan durante las sesiones Hazop una actitud abierta y dialogante, como corresponde a un proceso
de brainstorming, en el que nadie se crea en posesión de la absoluta verdad, o quiera o intente imponer su
criterio en cualquier caso.
En este sentido, en la Tabla 5.1 se reflejan algunas frases que muestran una actitud negativa de
algún miembro del equipo y los posibles comentarios al respecto.
Tabla 5.1
Frases que reflejan una actitud negativa
Frases Comentarios aplicables (*)
- «No tengo tiempo para estos asuntos» 1,2

- «Existen problemas de seguridad en la Industria, pero no me afectan» 6,7,8
- «No hemos tenido un accidente en n años. A mí no me ocurren» 2,17
- «Los accidentes se deben a mala suerte y a operarios estúpidos» 3,2,17
- «No hay dinero para ello. Los programas de Seguridad son muy caros» 4,5
- «Han denegado mi propuesta» 4,20
- «Tenemos unos manuales de normas perfectos» 9,11,15,16,18,19,21
- «Tengo un asesor de Seguridad en el que delego estos asuntos» 10,11,15,16,18,19,21
- «Solamente cumplir los Reglamentos» 2,12
- «Ya he invertido x millones de pesetas en Seguridad» 13,16
- «Llevamos 20 años» 22
- «No me van a enseñar ahora que….» 23
- «Niño, yo operaba esta Unidad antes de que nacieses» 24
- «Yo no tengo por que…» 25
V-5
1. Las Compañías descollantes en el mundo de los negocios tienen niveles altos de Seguridad.
2. Niveles bajos de Seguridad determinan probabilidad muy elevada de accidentes muy caros
que ponen en peligro la existencia y el negocio de la Compañía.
3. La mayoría (80 por 100) de los accidentes se deben al error humano y suelen incluir fallos en
la gestión de la Seguridad. Información, formación, entrenamiento, motivación, ejemplo, etc.
4. Se pueden adoptar planes graduales a medio plazo para inversiones y gastos en Seguridad,
evitando la acumulación excesiva de necesidades no satisfechas. ¿Hay, además, un
aseguramiento adecuado?.
5. ¿Por qué no incentivos financieros y fiscales para inversiones en Seguridad? (Ejemplo:
renovación en curso del parque de automóviles).
6. ¿De dónde viene esa distinción milagrosa? La actividad industrial supone unos riesgos
objetivos que deben medirse y controlarse.
7. La política de Seguridad incluye contactos con organismos oficiales y con otras Empresas.
8. Es importante favorecer de diversas formas una mejor imagen pública de la actividad
industrial.
9. LOS MANUALES: ¿Son leídos, actualizados, comprendidos, asimilados, ensayados y
respaldados con motivación?.
10. Escúchalo además y define política y planes concretos para actuación.
11. ¿Es o hay un «gestor» de la Seguridad? ¿Tiene la cualificación, la experiencia y las
atribuciones oportunas?.
12. LOS REGLAMENTOS: Sólo definen mínimos y no cubren todos los aspectos (riesgos) de la
actividad industrial. Se deben complementar con normas de uso interior, formación,
motivación, etc.
13. INVERSIONES EN SEGURIDAD: ¿Dónde? ¿Cómo? ¿Con qué prioridades? ¿Se dedica a
prevenir riesgos de mayor esperanza matemática?.
14. ¿Se han abordado las acciones complementarias sobre el elemento humano?
15. ¿Se hacen auditorías de Seguridad atendiéndose sus resultados?.
16. ¿Supone ello la existencia de una política real explícita de Seguridad?.
17. La actividad industrial supone la toma obligada de (más o menos) «papeletas en la rifa de
accidentes»: riesgo que se incluye entre los propios del negocio.
18. ¿Existen planes de emergencia? ¿Se ensayan?.
19. ¿Se cumplen siempre las instrucciones?.
20. Insiste, preséntala de otra forma, enriquece los argumentos, propón un plan gradual. ¿Incluye
sólo inversiones o es (o forma parte de) una política explícita, completa y real de Seguridad?.
21. ¿Se convierten los resultados de las Auditorías en planes de acción? ¿Se controla la ejecución
de los mismos?.
22. Alguna vez hay que empezar a hacerlo bien.
23. La Técnica avanza todos los días con objeto de disminuir los índices de siniestrabilidad.
24. Y yo que me alegro, pero no por ello tiene usted más razón.
25. Las reuniones Hazop son precisamente reuniones multidisciplinares y abiertas, en las que
todo el mundo debe dar su opinión abierta, sincera y sin deseos de dañar a nadie.
V-6
5.4 DESARROLLO DEL ESTUDIO HAZOP
En el presente apartado, complementaremos la Metodología General de la Técnica Hazop, ya

analizada en un capítulo precedente, pasando por todos y cada unas de las fases de desarrollo, con objeto de
remarcar lo más importante de cada una de ellas, a la luz de la experiencia en la realización de los citados
estudios.
5.4.1 Preparación y planificación inicial del estudio
Esta actividad, ya explicada en el apartado 6.1 constituye una de las fases más importantes del
estudio Hazop, y por ser responsabilidad del Coordinador adquieren por nosotros mayor importancia si
cabe.
En este sentido es necesario realizar las siguientes precisiones.
Delimitación del estudio:
Es importante delimitar el alcance del estudio con el Jefe del Proyecto con objeto de no
extenderlo a equipos o instalaciones no afectados por la nueva instalación. Sin embargo, el hecho concreto
de decidir si afecta o no afecta a la nueva instalación y, por tanto, si debe o no debe ser incluido un equipo o
línea concreta en el estudio debe ser del Coordinador del Estudio.
Es bastante frecuente que el Jefe del Proyecto no quiera extender el alcance del estudio fuera de
los L.B. de su proyecto, ya que las actuaciones que habría que realizar no están contempladas en
presupuesto.
En concreto deben analizarse todas las instalaciones cuya operación o seguridad se vea
modificada con la nueva instalación.
Selección del Equipo de trabajo
En este sentido, remarcar únicamente las características del grupo humano multidisciplinar que
formará el equipo:
- Forman parte de un equipo multidisciplinar.

- Cada miembro será especialista en su sector de conocimiento.
- Deben mantener una actitud positiva y dialogante.
- Cada miembro debe comprometerse con el estudio, y asistir a todas las reuniones.
- Deben tener capacidad de decisión y de adquisición de compromisos.
- El Coordinador debe ser totalmente independiente del resto de los miembros del equipo.
Horarios y desarrollos de las sesiones
Dado que la técnica es ardua y necesita de gran concentración por parte de los integrantes del
equipo Hazop, no es conveniente programar sesiones Hazop de más de tres horas seguidas, ya que está
demostrado que no por estar más horas sentado se obtienen ni más rendimiento ni velocidad en la
resolución de los Hazop.
V-7
Muy al contrario, la extensión de las reuniones por encima de dicho número de horas hace que se
pierda la tensión en el trabajo y, concretamente, exista riesgo de pasar por alto causas y consecuencias de
importancia.
Por otra parte, y dado que algunos estudios Hazop pueden tener duraciones largas, de incluso
meses, es necesario que las personas del equipo Hazop tengan tiempo suficiente para realizar sus tareas
normales.
En este sentido, las sesiones se pueden programar de la siguiente forma:
- Sesión Mañana: de 9:30 h a 12:30 h.
- Sesión Tarde: de 14:00 h a 17:00 h.
De esta forma, el personal de planta podrá asistir a la reunión matinal y reunirse con el turno de
mañana antes de su salida, aparte de quedarle algo de tiempo para resolver temas de menor importancia.
Las sesiones puede desarrollarse de la siguiente forma:
1. Para estudios pequeños: puede plantearse sin problemas al atacar el estudio con sesiones
diarias hasta acabarlo.
2. Para estudios grandes: en estos casos, y dado que no es posible separar al personal de su
trabajo casi totalmente durante grandes períodos de tiempo, es necesario llegar al siguiente
compromiso:
a. Tener sesiones en días alternos: por ejemplo: lunes, miércoles y viernes.
b. Tener sesiones dos o tres días consecutivos todas las semanas.
c. Tener sesiones todos los días de la semana, intercalando entre cada dos semanas de
sesiones una sin reuniones.
Para decidir que solución adoptar, es necesario tener en cuenta los siguientes aspectos:
- La extensión del estudio no puede ser más prolongada de lo permisible por el desarrollo de la
Ingeniería de detalle. En ese caso, es posible que sea necesario dividir la instalación en dos y
dejar cada una de las partes al análisis de cada equipo Hazop.
- El lugar de procedencia de cada uno de los miembros del equipo Hazop, ya que si son
necesarios desplazamientos importantes, se hacen más viables las opciones b y c.
V-8
5.4.2 Actividades previas al inicio de las sesiones
Selección de sistemas y NODOS de estudio
Previamente al inicio de las sesiones, y un a vez acordado el alcance del estudio, es tarea del
Coordinador la delimitación y subdivisión de la instalación en Sistemas y NODOS de estudio.
Un sistema puede definirse como una parte o sección de una Unidad, y es bastante frecuente que
los P&I’s de desarrollo de la instalación ya estén divididos por sistemas distintos.
Por ejemplo, en una Unidad de Cracking Catalítico de una Refinería de Petróleos, podrían
distinguirse algunas de las siguientes secciones: Alimentación de carga, Reacción, Destilación principal,
Tratamiento de cortes ligeros, Merox de gasolinas, Merox de LPG, Amina, Regeneración de aminas,
Stripping de aguas ácidas, etc.
Sin embargo, por NODO se entiende un punto específico del proceso (tal y como un equipo o
una línea) en el que se evalúan posibles desviaciones del proceso.
En principio deben considerarse como NODOS de estudio todas las líneas principales de
alimentación a nuestro proceso, todos los equipo principales de la Unidad y todas las líneas de trasiego de
producto a almacenamientos intermedio o finales no incluidos en el alcance del estudio inicialmente.
El criterio esencial para determinar y seleccionar un NODO de estudio debe ser, en principio,
escoger aquella parte de la instalación en la que las palabras guía son aplicables uniformemente a
través de todas las partes del elemento.
De acuerdo con lo anterior, prácticamente toda línea de la instalación debe considerarse un

NODO, y, por tanto, se le debe aplicar el método Hazop con toda su potencia.
En la práctica algunos elementos relacionados, como pueden ser: línea + bomba + recipiente,
pueden ser unificados y considerados un sólo NODO, con objeto de mantener la continuidad del estudio,
evitar repeticiones de desviaciones similares en dos NODOS consecutivos y mantener el centro de atención.
Ahora bien, en la definición de los NODOS, tendremos que tener en cuenta los modos de
operación de la instalación o Intención. Con ello se quiere decir que puede ocurrir que un mismo equipo
sea necesario analizarlo en dos o más NODOS independientes en función de sus modos de funcionamiento.
En este sentido, es necesario recordar que la instalación debe ser igualmente analizada en sus
operaciones de arranque, parada programada y de emergencia.
En la Figura 5.1 puede verse un ejemplo de lo anterior llevado al máximo extremo.
V-9
Figura 5.1 Nodos y modos de operación
NODO 1: Tanque OS-T-01 en operación de llenado desde Almacenamiento Final.
NODO 2: Tanque OS-T-01 en operación de llenado desde proceso.
NODO 3: Tanque OS-T-01 en operación de vaciado hacia almacenamiento final.
NODO 4: Tanque OS-T-01 en operación de bombeo hacia Pantalán.
NODO 5: Tanque OS-T-01 en operación de bombeo a cargadero.
Lo que sí es verdaderamente importante es evitar, supuestamente con objeto de minimizar el

tiempo destinado al estudio Hazop, utilizar como NODOS los propios sistemas.
Esta actitud desvirtúa desde el origen la técnica Hazop, convirtiéndose a todo lo más en un
Análisis Preliminar de Riesgos guiado. Es precisamente de esta forma como se dan casos de realización de
estudios Hazop de instalaciones importantes en sólo una tarde, o de nuevas unidades de Refinerías en solo
tres días.
En este sentido, no debemos caer en la trampa de engañarnos a nosotros mismos, y realizar en

realidad un sucedáneo de estudio bien por seleccionar NODOS demasiado amplios, bien por los pocos
parámetros analizados.
En este sentido, la obligatoriedad de realizar Hazop's a partir de un determinado nivel de

inversión industrial, de complejidad del proceso o estimación inicial del riesgo existente en las grandes
compañías químicas y petroquímicas no debe hacernos caer en la tentación, dado “lo pesados que son los
estudios Hazop”, de buscar caminos intermedios que sólo llevan a una disminución real de la seguridad de
la instalación.
V-10
Elección de una Sala de Reuniones adecuada
Los requisitos que debe tener la sala son los siguientes:
- Debe contar con una mesa de reuniones amplia, donde se puedan despegar con comodidad los
planos y la documentación de trabajo.
- Debe contar con sillas suficientes y amplitud suficiente para no “asfixiar” a los miembros del
equipo de trabajo.
- Buena iluminación, dado que se van a estar revisando planos continuamente.
- Conexión eléctrica cercana y mesa de ordenador para poder ejecutar el programa de asistencia
a la realización del estudio.
- En la medida de lo posible “aislada”, con objeto de evitar interrupciones.
5.4.3 Desarrollo de una sesión Hazop
La primera actividad del Coordinador de un estudio Hazop una vez iniciada la sesión Hazop será
la de anotar los asistentes a la reunión por cada departamento:
También éste será el momento de dialogar abiertamente con el grupo de trabajo sobre temas
generales:
- Necesidad de puntualidad al inicio de las sesiones.

- Necesidad de compromiso de asistencia de algunos miembros.
- Aparición de nuevos NODOS, de acuerdo con las conversaciones mantenidas con el Jefe del
Proyecto.
- Revisión del Planning de reuniones, y solventar problemas, con sustitución o traslado de la
sesión a otro día, si parte del grupo no puede asistir.
- Necesidad de aumentar la velocidad de análisis para alcanzar los objetivos trazados.
- Necesidad de retoca un NODO en el que no se ha analizado determinado Parámetro.
- Etc.
Una vez solventados los temas generales, entraremos en el Primer NODO de estudio.
Aplicación de las palabras-guía para la generación de desviaciones
Antes de que el equipo de trabajo examine detalladamente cada sección del proyecto, resultará
conveniente que un miembro especialista del equipo haga un resumen de las funciones de cada sección,
incluyendo las condiciones normales del proceso y sus especificaciones si están disponibles, para asegurar
que todos los miembros del equipo conocen suficientemente bien el proceso objeto del análisis.
Asimismo, y en el caso de que algún miembro del grupo sea la primera vea que participa en un
estudio, será obligación del Coordinador del estudio él introducirle en la metodología.
V-11
A partir de aquí, se aplicarán una a una todas las palabras-guía y parámetros establecidos y
acordados, NODO por NODO, con lo que se inducirán las desviaciones del proceso sobre todas las
variables posibles.
En este sentido, de nuevo hacemos hincapié en la necesidad de acordar entre el Coordinador del
Estudio y el Jefe del Proyecto el listado definitivo de desviaciones a analizar, aunque quizás sería más
conveniente, para evitar que sean obviadas desviaciones comprometidas, llegar aun listado definitivo de
desviaciones corporativo para todos los Hazop's desarrollados por la compañía.
De esta forma, se estandariza el alcance y calidad de todos los Hazop's desarrollados. En este
sentido, en la Tabla 5.2 se presenta el listado de desviaciones que se aplica en todos los Hazop's que
desarrolla.
Análisis de causas y consecuencias de las desviaciones
Esta es la etapa creativa del procedimiento. En ella hay que reconocer las posibles causas y
consecuencias de cada una de las desviaciones generadas por las palabras-guía. Se pone completamente de
relieve el conocimiento, experiencia, habilidad, nivel del equipo de trabajo y actitud sobre lo que podría ir
mal frente a todas las eventualidades concebibles.
Esta etapa del procedimiento deberá ser minuciosa y exhaustiva; por ejemplo, allí donde se haga
una previsión que anule alguna contingencia, se preguntará si la previsión es la adecuada: ¿Es suficiente una
simple válvula de no retorno? ¿Será necesaria una alarma de alto nivel además de disparo? ¿Hay suficiente
venteo?, etc. Por esto, la experiencia de los integrantes del equipo de trabajo, así como una buena capacidad
de dirección del líder, son imprescindibles para no perder el tiempo en la búsqueda de soluciones
inadecuadas bien por afán de protagonismo de los integrantes, bien por su falta de conocimiento, bien por lo
sofisticado del tema, etc.
En este sentido puede ayudar conocer cuales son los aspectos más relevantes a verificar en
función del Area de diseño o el tipo de equipo con el que estemos trabajando.
A la hora de analizar las posibles causas que provocan una desviación, es oportuno hacerse la
pregunta siguiente:
¿Qué causa se considera creíble?
En general, podemos indicar que puede, y deben, considerarse posibles causas de una desviación
las siguientes:
1. Un error humano de una actividad recogida o no en los manuales de operación.
2. Dos errores humanos simultáneos, de actividades recogidos o no en los manuales de

operación.
3. Un fallo en un instrumento o mecanismo.
4. Un error humano unido a un error o fallo en un instrumento o mecanismo.
V-12
Otras causas menos creíbles y que en principio no debe analizarse, salvo que las consecuencias
de las mismas sean catastróficas son las siguientes:
1. Fallo simultáneo de dos instrumentos o mecanismos independientes.

2. Fallo de apertura de una PSV o un PSE.
Por otra parte y por lo que respecta a las consecuencias, es necesario indicar que deben recogerse
y analizarse tanto las que tienen asociada una componente de riesgo como las que delatan un fallo o
problema en la operabilidad de la instalación. De hecho, está suficientemente comprobado que en la
mayoría de los estudios se suelen identificar muchos más problemas de operabilidad que riesgos.
Por último, no debemos olvidar que el estudio debe tener en cuenta diversas instalaciones que
normalmente no aparecen en los P&I’s, como son:
- Drenajes
- Protección contra incendios
- Otras necesidades inherentes al proceso, como duchas lavaojos, cortinas de agua, etc.
Registros de todo lo anterior deberá quedar en las Tablas Hazop, ya presentadas en la Figura 5.1.
Tabla 5.2
Listado de desviaciones
PALABRA GUÍA PARÁMETRO DESVIACIÓN

No Flujo No Flujo
Inverso Flujo Flujo Inverso
Más Flujo Más Flujo
Menos Flujo Menos Flujo
Diferente Flujo Flujo Distinto
No Nivel No hay nivel
Más Nivel Nivel más alto
Menos Nivel Nivel más bajo
No Nivel de platos No hay nivel de platos
Más Nivel de platos Nivel de platos más alto
Menos Nivel de platos Nivel de platos más bajo
Más Nivel de Interfase Nivel de interfase más alto
Menos Nivel de Interfase Nivel de interfase más bajo
Más Temperatura Temperatura más alta
Menos Temperatura Temperatura más baja
Más Presión Presión más alta
Menos Presión Presión más baja
Diferente Composición Diferente composición
Diferente Fase Fase diferente
V-13
TABLA 5.2
LISTADO DE DESVIACIONES
PALABRA GUÍA PARÁMETRO DESVIACIÓN

Otros Otros Mto. Mecánico
Otros Otros Mto. Eléctrico
Otros Otros Instrumentación
Otros Otros Puesta en marcha
Otros Otros Parada
Otros Otros Motores
Otros Otros Fallo eléctrico
Otros Otros Fallo de vapor
Otros Otros Fallo de aire instrumentos
Otros Otros Fallo de agua refrigeración
Otros Otros Fallo nitrógeno
Otros Otros Inspección y pruebas
Otros Otros Cumplimiento reglamentario
Otros Otros Reboses
Otros Otros Tomamuestras
Otros Otros Seguridad
Otros Otros Medio Ambiente
Otros Otros Clasificación de áreas
Otros Otros Corrosión
Otros Otros Electricidad estática
Ingeniería Ingeniería Diseño
Ingeniería Ingeniería Soportes
Ingeniería Ingeniería Expansiones
Ingeniería Ingeniería Accesibilidad
V-14
Evaluación de Consecuencias y establecimiento de Recomendaciones
Una vez establecidas las consecuencias e identificadas las salvaguardias existentes, tanto
tecnológicas como administrativas, para mitigar el alcance de las consecuencias o evitar la propia causa,
puede que sea necesario realizar alguna recomendación.
La implantación de una recomendación determinada debe estar fundada en la consecución de un

menor riesgo de la situación analizada, bien para disminuir su severidad o bien por disminuir la
probabilidad de ocurrencia.
En algunos casos, la necesidad de Recomendación posterior está perfectamente definida y el

mejor remedio resulta ser bastante obvio; por ejemplo, instalar una válvula de no retorno para prevenir
caudal inverso. Una recomendación, entonces, se debe acordar y anotar rápidamente antes de pasar en el
estudio al punto siguiente.
En otros casos, donde la necesidad de recomendación posterior es clara pero la solución

satisfactoria no es inmediata, el equipo de trabajo deberá evitar el mantener largas discusiones sobre cómo
resolver el problema; es suficiente con anotar el punto problemático para requerir la solución fuera del
equipo de estudio antes de pasar al punto siguiente.
De la misma manera, si no es posible ponerse de acuerdo en si es necesario o no acción posterior,

bien porque el problema es dudosamente significativo, o bien porque se requiere información exterior al
grupo, el punto en cuestión se debe de nuevo anotar para considerarlo fuera del equipo de trabajo. Esto es
realmente importante pues reduce el coste del estudio.
Sin embargo, y en la medida de lo posible, las soluciones a los problemas identificados deben ser
consensuados en el grupo de trabajo.
Al respecto del grado o alcance de la recomendación en función del Riesgo identificado, lo que
se denomina criterio de recomendaciones, se emplea el criterio de la Tabla 5.5 para marcar sus
correspondientes Recomendaciones en los estudios que desarrolla.
Tabla 5.5
Criterio de recomendaciones
Nivel de Riesgo Recomendación
· Daños importantes sobre

· Alarma independiente en SCD y enclavamiento de parada
equipos relevantes
· Daños medios en equipos · Alarma independiente en SCD sin enclavamiento si se dispone de tiempo de
relevantes actuación suficiente para evitar daños
· Alarma independiente en SCD sin enclavamiento si se dispone de tiempo de
· Daños operativos graves
actuación suficiente para evitar daños
· Daños operativos medios · Alarma en SCD no independiente y procedimiento de revisión periódica
· Daños operativos leves o
· Procedimiento de actuación tras la detección
medios no inmediatos
V-15
Anotación de las Recomendaciones
Al respecto de la anotación de las Recomendaciones en las Tablas Hazop, es necesario hacer las
siguientes puntualizaciones:
1. Las recomendaciones consensuadas por el equipo de trabajo, ya sea en el sentido de realizar

una modificación de diseño o en el sentido de realizar un procedimiento operativo, se
anotarán en las Tablas Hazop.
2. De la misma forma, cuando no haya un acuerdo real de recomendación por parte del grupo y
la decisión final deba ser externalizada igualmente se anotará esta solución como
recomendación.
3. Tanto en el caso de recomendaciones consensuadas como en aquellas que dejan la solución

para un análisis externo, se debe anotar un responsable único de su contestación, con
independencia de que la contestación final deba ser dada por un grupo de trabajo.
4. La redacción de las recomendaciones debe ser clara, directa, concisa, y muy importante,
independiente de lo escrito en las casillas de causa y consecuencias, es decir, debe ser
autoexplicativa.
En este sentido, se utilizarán verbos como: Verificar, Analizar, Instalar, Modificar, Eliminar, al
comienzo de cada recomendación, con objeto de que no queden dudas al respecto del acuerdo adoptado por
el grupo.
Seguimiento de las acciones
Una vez terminada la sesión, el Coordinador del Equipo Hazop, imprimirá y distribuirá las
recomendaciones que cada miembro del equipo Hazop tenga asignadas.
Para ello se utilizará un formato como el de la Figura 5.2 en el que quedan patentes, los
siguientes datos:
- Estudio del que se trata.

- Nº de recomendación.
- Recomendación.
- Responsable de la Resolución.
- Fecha de emisión.
- Firma de emisión por el Coordinador.
- Fecha de Resolución.
- Firma del responsable de la resolución.
- Vº Bº del Coordinador a la resolución.
V-16
En aquellos casos en los que la contestación sea negativa a implantar un acuerdo del equipo
Hazop, o bien la contestación de un grupo de trabajo o una recomendación abierta no satisfaga los criterios
de seguridad seguidos por el equipo, será decisión del Coordinador del Equipo Hazop no dar el visto bueno
a la contestación y volver a reunir al grupo con el objeto de consensuar una solución al caso.
Una vez terminado el estudio y contestadas adecuadamente todas las Recomendaciones, el

Coordinador del Estudio procederá a la edición del mismo, con objeto de hacerle entrega del mismo al Jefe
del Proyecto.
V-17
Curso de Coordinadores de Estudios Hazop
Figura 5.2
Número de Recomendación: Responsable de la Resolución:
Recomendación Resolución de la Recomendación
V-18
Formato de distribución de recomendaciones
Fecha de Emisión Firma del Coordinador Fecha Resolución Firma del Responsable Vº Bº Coordinador
2002 1/-
5.5 DESARROLLO DE ESTUDIOS PARA PLANTAS DE OPERACIÓN TIPO BATCH
Las características generales de una planta con proceso tipo batch comparada con una de proceso
continuo, son las siguientes:
1. Por definición, el estado de varias partes de la planta cambian secuencialmente con el tiempo
y por ello un solo Diagrama de Flujo da una información incompleta del proceso.
2. Suele ocurrir que los procesos son multietapas, y las plantas multiproductos.
3. Los operadores realizan en algunos procesos parte de las actividades propias del mismo,
como la eliminación de producto de un filtro, etc.
Para el estudio Hazop de este tipo de unidades se hacen especialmente importantes las
instrucciones de operación, que en este tipo de instalaciones consisten en tablas que, para cada número de
secuencia de operación indica:
- El estado de bombas y válvulas.
- Una descripción de la operación que lleva a cabo.
- Funciones de paso a la siguiente etapa o secuencia, ya bien sea por tiempo o por lograr algún
valor dado un parámetro de referencia.
También, para cada secuencia de operación, puede ocurrir que los interloks varíen.
Para estos casos, la primera tarea encomendada al Coordinador del estudio es si estudiar la planta
mediante la secuencia lógica del Diagrama de Procesos o mediante la Secuencia de operación.
En el primero de los casos, los nodos serán seleccionados de igual forma a una planta de proceso
en continuo, y la diferencia estribará en que para cada una de las desviaciones analizadas, buscaremos todas
las posibles causas que la generen en cada uno de los modos de operación, es decir, para la resolución de
cada desviación tendremos que plantear la búsqueda de causas en cada uno de los modos de operación del
equipo.
En el segundo de los casos, el nodo lo construirá el equipo funcionando en cada una de las
secuencias de trabajo.
La diferencia fundamentalmente es que en el primero de los casos el método pierde su

componente estructural y auditable en parte, si no se es suficientemente cuidadoso, mientras que en el
segundo de los casos si se mantiene la estructura a cambio de analizar los equipos tantas veces como
secuencias distintas tenga la planta.
V-19
5.6 DOCUMENTACIÓN RESULTANTE DEL ESTUDIO
De las sesiones de estudio se deriva una documentación cuya calidad es importante para
conseguir los objetivos prácticos del estudio y que no se quede en letra muerta. También la documentación
sirve para guiar revisiones futuras del estudio o el desarrollo de otros estudios más afinados y/o
cuantitativos.
Por una parte se deberá guardar ordenadamente toda la documentación que, siguiendo la
estructura del método, recoja en detalle, los pasos seguidos en el análisis y evaluación.
Ello incluye las hojas de datos, cálculos, actas de reuniones, etc.
Por otra parte, el estudio debe resultar en un informe que incluya apartados como los siguientes:
1. Introducción.
2. Descripción de la Metodología Hazop.
3. Identificación del Estudio Hazop, incluyendo:

3.1 Descripción de las instalaciones objeto de estudio.
3.2 Descripción de los principales enclavamientos.
3.3 Alcance del estudio analizado, incluyendo los Nodos.
3.4 Documentación disponible para la realización del estudio, memorias, P&I's, Hojas de
datos, etc.
4. Principales Hipótesis accidentales y seguimiento de las recomendaciones (Opcional).
5. Principales Riesgos Considerados.
6. Conclusiones, incluyendo recomendaciones de carácter general.
Anexos:
1. Identificación del estudio.
2. Miembros del equipo Hazop.
3. Resumen de asistencia.
4. Listado de Nodos y desviaciones analizadas.
5. Tablas Hazop.
6. Listado de recomendaciones.
7. Formatos de distribución de Recomendaciones.
V-20
5.7 TIEMPO NECESARIO PARA LLEVAR A CABO UN ESTUDIO HAZOP
Para conocer el tiempo necesario para llevar a cabo un estudio Hazop, es necesario tener en
consideración los siguientes datos:
- Se puede considerar que el tiempo necesario para realizar un Nodo se encuentra entre 1,5 h.
en el caso de que la instalación sea similar a otra ya existente, y 3 h. en el caso de que esto no
sea así. En el caso de Nodos en los que el número de desviaciones analizadas sea muy alto,
ese tiempo puede oscilar en torno a 4 h. por nodo de media.
- Como vimos en el apartado 5.4, no es conveniente tener sesiones de más de tres horas
seguidas, siendo factible realizar dos sesiones en el día, una de mañana y otra de tarde.
- Las sesiones Hazop se organizan normalmente a ritmo de tres días alternos o consecutivos a
la semana, o bien cuatro o cinco días consecutivos a la semana en semanas alternas, para
Hazop's largos, o bien sesiones todos los días para Hazop cortos.
Al tiempo estrictamente necesario para realizar el estudio Hazop es necesario sumar el siguiente:
- Organización y planificación del estudio por parte del Coordinador: suele estar en torno a las
10 ÷ 30 h. por estudio.
- Tiempo necesario para estudiar la documentación: entorno a 40 ÷ 80 h.
- Gestión del estudio: suele oscilar en torno a dos horas adicionales por día de sesiones hazop.
- Contestación de todas las recomendaciones: en torno a las 2 ÷ 4 semanas.
- Presentación del informe Hazop: el Coordinador tardará en torno a las 40 h para editar el
documento, una vez obtenidas todas las contestaciones adecuadas de las recomendaciones.
V-21
6. FUNCIONES Y CUALIDADES DEL COORDINADOR DE ESTUDIOS HAZOP
A lo largo de los capítulos precedentes hemos ido desgranando aproximadamente cuales deber
ser tanto las funciones del coordinador como su aptitud y actitud ante el estudio.
Sin embargo, y dada su importancia capital para los futuros coordinadores, a continuación
indicaremos más detalladamente cuáles son sus funciones y los conocimientos que son de desear.
6.1 FUNCIONES DEL COORDINADOR HAZOP
1. Planificación inicial del estudio, y dentro de ella:
1.a Acordar el alcance del estudio con el jefe del Proyecto así como los parámetros a analizar en
cada Nodo.
1.b Coordinar las selección del grupo de trabajo, así como asegurarse de la disponibilidad
de sus miembros.
1.c Planificación del estudio Hazop: nº de sesiones necesarias en función de los nodos
aproximados, propuesta al grupo de los días y horas de reunión y propuestas de calendario
de reuniones.
1.d Estimar el coste en horas de la realización del estudio, si fuera preciso.
1.e Solicitar del Jefe del Proyecto la documentación relativa a la Unidad y cerciorarse de que
ésta llega a todos los miembros del equipo.
2. Previamente al inicio de las sesiones, el coordinador Hazop elaborará la lista de Nodos.
3. De la misma forma, y antes del comienzo de cada sesión:
3.1 Tomará nota de los asistentes a la reunión.
3.2 Tratará temas generales del estudio, si fuese preciso.
3.3 Explicará la metodología Hazop a aquellos asistentes que no tengan experiencia

anterior.
3.4 Se preocupará de que antes del inicio de cada nodo, el representante de Ingeniería de
Procesos explica a todos el funcionamiento del Sistema.
4. Durante las sesiones, el Coordinador tendrá las siguientes misiones fundamentalmente:
4.1 Dirigir al grupo de trabajo, de forma que se puedan detectar las posibles causas
motivadoras de desviaciones en el proceso respecto a las condiciones normales de
operación, identificar posibles problemas asociados a dicha situación, y llegar a
conclusiones que permitan su solución, caso de ser necesario.
VI-1
4.2 Moderar y limitar la discusión. Para ello, el coordinador debe mantener una actitud
suficientemente flexible, para no romper la atmósfera de la reunión de brainstorning pero
sin embargo lo suficientemente riguroso, que no inflexible, para limitar el tiempo de las
discusiones.
4.3 Mantener al grupo sobre el punto de discusión.
4.4 Tomar notas precisas durante la reunión, plasmándolas en las tablas Hazop. Esta función
puede ser asumida por el Secretario Hazop caso de existir.
4.5 Actuar como asesor en temas relativos a la implantación de soluciones a problemas de

seguridad y operabilidad, basada en su experiencia en la realización de estudios Hazop a
instalaciones químicas y petroquímicas.
4.6 Motivar al grupo de trabajo y requerir de ésta una actitud positiva en todo momento.
4.7 Lograr, en la medida de lo posible, que las sesiones Hazop no sean interrumpidas
constantemente, que los miembros sean puntuales y mantengan su grado de
compromiso no faltando a las sesiones.
5. Gestionar adecuadamente el Estudio:
5.1 Planificando y revisando la planificación del estudio de forma continua, manteniendo

informado al jefe del Proyecto y demandando de los integrantes del equipo el
cumplimiento de los compromisos.
5.2 Distribuyendo las recomendaciones a las personas responsables de contestarlas y

llevando el seguimiento de las mismas.
5.3 Aprobando la resolución de las Recomendaciones, o en caso contrario volver a reunir al

grupo Hazop para llegar a un acuerdo al respecto.
5.4 Finalmente, editando la copia del estudio.
Para realizar dicha tarea, es de especial significación la necesidad de que el Coordinador Hazop
sea independiente tanto orgánicamente como económicamente.
VI-2
6.2 FORMACIÓN DEL COORDINADOR HAZOP
La formación del Coordinador del Estudio Hazop es, junto con su actitud ante el estudio, uno de
los factores más importantes a la hora de obtener éxito en la realización del estudio.
El hecho de que el Coordinador del estudio tenga amplios conocimientos de Ingeniería en general
no es del todo obligatorio ni necesario, ya que en concreto su misión dentro del grupo Hazop es coordinar y
liderar, no marcar las consecuencias de un determinado hecho ni marcar cuáles son las recomendaciones a
adoptar para responder a una determinada causa o consecuencia.
Si bien lo anterior es cierto, no es menos cierto que sí es obligación del Coordinador lograr un
buen rendimiento del estudio y, dentro de dicha labor, verificar en todo momento si algún miembro del
grupo permanece ocioso.
Es en ese momento en el que el Coordinador, apoyado en sus conocimientos sectoriales debe

“suplir” a ese miembro y hacerle ver, sin decírselo directamente, que algunas causas o consecuencias que
debería haber detectado no lo han sido. Para ello son importantes frases como: Por cierto, si falla ese PIC
¿no es posible que finalmente afecte a la operación del botellón siguiente? Con frases de este tipo, daremos
a entender que puede ocurrir, cuando en realidad estamos seguros de ello, no afectando negativamente al
grupo.
La formación del Coordinador debe abarcar, al menos, las siguientes áreas de conocimiento:
- Cálculo de efectos y consecuencias

- Distintas Metodologías de Análisis de Riesgos
- Expertos en la aplicación práctica de la Técnica Hazop
- Conocimientos básicos de Ingeniería, Procesos, Control e Instrumentación, Seguridad y
Medio Ambiente
- Conocimientos básicos de la normativa legal aplicable.
Adicionalmente a lo anterior, es de gran importancia conocimientos amplios de las siguientes

disciplinas:
- Propiedades físicas y químicas de sustancias

- Distintos criterios de clasificación de sustancias, como el R.D. 363/95, Legislación de
carreteras, etc.
- Procesos químicos unitarios
- Fenómenos de transporte
- Cinética química
- Integridad mecánica de quipos
- Instalaciones eléctricas y de instrumentación
- Instalaciones contra incendios
- Modos de fallos de equipos
- Probabilidades de ocurrencia de fallos
- Materiales: como y cuando se usan
- Conocimientos de Implantación de Unidades
- Sistemas de enclavamiento y seguridad
- Diseño de sistemas de alivio de presión y sistemas de evacuación y antorchas
VI-3
- Códigos de diseño: como los códigos ASME de cálculo de recipientes a presión, o líneas en
centrales térmicas y plantas químicas; Normas NFPA, Normas API, etc.
- Importantes conocimientos de la reglamentación de Seguridad Industrial, como los

Reglamentos de Aparatos a Presión, Almacenamiento de productos Químicos, Electrotécnico
de baja Tensión, Centros de transformación, Instalaciones a gas, Instalaciones Contra
Incendios, etc.
VI-4
7. INTRODUCCIÓN A LOS SISTEMAS INSTRUMENTADOS DE SEGURIDAD.
DEFINICIONES Y NORMATIVAS
7.1 INTRODUCCIÓN
Las instalaciones industriales de proceso que almacenan, procesan y generan sustancias

peligrosas, tienen asociado un determinado nivel de riesgo, dado que existe la posibilidad de inducir
consecuencias adversas sobre receptores vulnerables (personas, bienes materiales y medio ambiente), como
resultado de los efectos dañinos (térmicos, físicos y/o químicos) originados por sucesos incontrolados en
sus instalaciones.
Estos riesgos potenciales exigen que estas plantas adopten estrictos criterios tanto en el diseño de
las instalaciones y equipos, como en la adopción de medidas de seguridad. Dichas medidas de seguridad se
traducen en múltiples capas de protección de las instalaciones.
Cada capa de protección está compuesta de equipos y/o procedimientos de control que actúan
conjuntamente con otras capas de protección para controlar y/o mitigar los riesgos de los procesos.
Las capas de protección (Ver Figura 7.1) se pueden dividir en:
- Aquéllas destinadas a prevenir el accidente, como pueden ser el sistema de control, las
alarmas críticas, las actuaciones por parte del operador y los Sistemas Instrumentados de
Seguridad (SIS).
- Aquéllas destinadas a introducir medidas de mitigación, como pueden ser los Sistemas
Fuego&Gas, los sistemas de alivio, de protección física, la respuesta de la planta ante
emergencia o la respuesta de la población ante emergencia.
Las medidas de seguridad o capas de protección más adecuadas a adoptar en las instalaciones se
derivarán de la elaboración de un Análisis de Riesgos específico en las mismas, mediante la aplicación de
una o varias técnicas de identificación de riesgos.
VII-1
Figura 7.1 CAPAS DE PROTECCIÓN EN INSTALACIONES DE PROCESO
Existe una gran variedad de técnicas de identificación de riesgos, tales como bases de datos de
accidentes, análisis de peligros y operatividad (HAZOP), análisis what if?, listas de chequeo, análisis de los
modos de fallo, efectos y consecuencias (FCMEA), análisis mediante árboles de fallo y árboles de suceso,
etc. La técnica de identificación seleccionada dependerá de los propósitos perseguidos con la identificación
de riesgos, así como de los datos y recursos disponibles.
En este sentido, la metodología HAZOP, tal y como hemos analizado en los capítulos
precedentes, se presenta como una de las técnicas más rigurosas y estructurada para la identificación de los
peligros asociados a una planta de proceso. La aplicación principal de esta técnica se encuentra en la
identificación de riesgos en las primeras etapas del diseño, al ser el mejor momento para introducir cambios
o modificaciones, dado que los resultados son recomendaciones de mejora que modificarán el diseño final
de los equipos o sistemas.
Entre otras medidas de seguridad o capas de protección que se derivarán de la aplicación de una
metodología HAZOP, cabe destacar la implementación de Sistemas Instrumentados de Seguridad (SIS) o
sistemas de interlocks (Ver Figura 7.2) que conducen a la planta a estado seguro cuando se vulneran unas
condiciones predeterminadas, así como de Sistemas Fuego-Gas (F&G) (Ver Figura 7.3) que activan
medidas de mitigación en caso de incendio o fuga de gas en las instalaciones.
De esta forma, y como continuación de la elaboración de un Estudio HAZOP, el Análisis SIL

(Safety Integrity Level) permitirá evaluar cual es el nivel de seguridad exigible a los distintos Sistemas
Instrumentados de Seguridad y Sistemas Fuego-Gas de las instalaciones, así como verificar que éstos
cumplen los requisitos establecidos en la normativa de aplicación de acuerdo a dicho nivel.
VII-2
¾SISTEMA
¾ SISTEMACOMPUESTO
COMPUESTOPORPORSENSORES,
SENSORES,CONVERTIDOR
CONVERTIDOR
LÓGICOYYELEMENTOS
LÓGICO ELEMENTOSDE DECONTROL
CONTROLFINALES
FINALESCON
CON
OBJETO DE LLEVAR EL PROCESO A UN ESTADO SEGURO
OBJETO DE LLEVAR EL PROCESO A UN ESTADO SEGURO
CUANDO SE VULNERAN UNAS CONDICIONES
CUANDO SE VULNERAN UNAS CONDICIONES
PREDETERMINADAS.
PREDETERMINADAS.
ARQUITECTURADEL
ARQUITECTURA DELSIS
SIS
SENSOR LÓGICA ACTUADOR
Figura 7.2 SISTEMAS INSTRUMENTADOS DE SEGURIDAD
¾¾SISTEMA
SISTEMACOMPUESTO
COMPUESTOPOR PORDETECTORES
DETECTORESDE
DEFUEGO/GAS,
FUEGO/GAS,
CONVERTIDOR LÓGICO
CONVERTIDOR LÓGICOYYSISTEMAS
SISTEMASDE
DEMITIGACIÓN
MITIGACIÓNCON
CON
OBJETO DE MINIMIZAR LAS CONSECUENCIAS DE
OBJETO DE MINIMIZAR LAS CONSECUENCIAS DE UNUN
POSIBLEINCENDIO
POSIBLE INCENDIOOOPOSIBLE
POSIBLEFUGA
FUGADE
DEGAS
GAS
DETECTORES NOTIFICACIÓN/
FUEGO SISTEMA
SISTEMA ALARMAS
FUEGO/
FUEGO/
DETECTORES
GAS
GAS SISTEMAS DE
GAS MITIGACIÓN
Figura 7.3 SISTEMAS FUEGO&GAS
VII-3
7.2 ÍNDICE SIL
A continuación, se definirá el concepto y analizará la necesidad de desarrollar un Análisis SIL en

instalaciones de proceso.
Para ello, estudiaremos la evolución de un parámetro de proceso (presión, temperatura, caudal,

nivel, etc) con respecto al tiempo, y el comportamiento de dicha evolución cuando en el proceso aparecen
causas de fallo que generan desviaciones de dicha variable respecto a sus condiciones normales de
operación.
Analizando como ejemplo el control de nivel en un equipo de proceso, las distintas capas de
protección instrumentadas para el control de dicha variable se muestran en la Figura 7.4, y se resumen a
continuación:
- Actuación del sistema de control: En caso de comportamiento normal del nivel a lo largo del
tiempo, el sistema de control del proceso haría evolucionar a dicha variable entre sus valores
normales de operación. Si en el proceso aparecen causas que generan una desviación de
dicho parámetro, el nivel alcanzaría un valor tal que el sistema de control activaría una
alarma de alto nivel que avisaría que dicho parámetro se encuentra fuera de sus valores
normales de operación.
- Actuación del operador: Si el operador detecta esta situación anómala, deberá realizar las
actuaciones operativas necesarias tendentes a disminuir el nivel en el equipo. En caso de que
el operador, bien no detecte la alarma de alto nivel o bien no realice las actuaciones
correctas, el nivel seguiría aumentando hasta llegar al punto de enclavamiento o punto de
trip.
- Actuación del Sistema Instrumentado de Seguridad: Una vez que el SIS detecta que la
variable de proceso ha alcanzado el punto de enclavamiento, éste realizará las actuaciones
correctas para conducir las instalaciones a estado seguro. En caso de que no se disponga de
SIS en las instalaciones, o bien se disponga del mismo pero no actúa o lo hace
incorrectamente, se generará en el proceso una situación de riesgo que finalmente puede
provocar la ocurrencia de un accidente grave en las instalaciones.
- Actuación del Sistema Fuego-Gas: En caso de que se de la ocurrencia de un accidente en las

instalaciones, el Sistema Fuego-Gas detectará la posible aparición de una situación de
incendio o fuga de gas en la planta y activará los sistemas de mitigación (cortinas de agua,
rociadores, etc).
VII-4
Acción
Sistema
Fuego-Gas
Acción mecánica de paro
Acción SIS
Punto de Trip
Acción Operador
Alarma de alto nivel
Variable Sistema de
de proceso control
Bajo nivel
Tiempo
Figura 7.4 Capas de protección instrumentadas en el control de una variable de proceso
Dado que los Sistemas Instrumentados de Seguridad así como los Sistemas Fuego-Gas,
constituyen medidas de seguridad que deben actuar en caso de fallo del control del proceso y de una
actuación incorrecta por parte del operador, dichos sistemas deben disponer de unas condiciones de
seguridad y fiabilidad suficiente que garanticen su correcto funcionamiento cuando se les demanden. El
Análisis SIL (Ver Figura 7.5) permitirá evaluar cual es el nivel de seguridad exigible a estos sistemas, así
como verificar que éstos están conformes a dicho nivel.
¾NIVEL
¾ NIVELÍNTEGRO
ÍNTEGRODE
DESEGURIDAD
SEGURIDADEXIGIBLE
EXIGIBLEAALOS
LOS
SISTEMASINSTRUMENTADOS
SISTEMAS INSTRUMENTADOSDE
DESEGURIDAD
SEGURIDADYYAA
LOSSISTEMAS
LOS SISTEMASFUEGO-GAS
FUEGO-GAS
1 2 3
ANSI/ISA S.84
1 2 3 4
IEC 61511/ 61508
Figura 7.5 ÍNDICE SIL (sAFETY INTEGRITY LEVEL)
VII-5
Tal y como se muestra a continuación, el Índice SIL presenta una correlación directa de las
consecuencias asociadas al fallo del sistema y la probabilidad de fallo en demanda del mismo:
Tabla 7.1
Relación de Indices SIL con Probabilidad de Fallo en Demanda
Disponibilidad
SIL Consecuencias PFD media2
requerida (%)
41 Daños catastróficos en el exterior > 99,99 10-5 - 10-4
Daños humanos en el interior y daños en
3 99,90 – 99,99 10-4 - 10-3
el exterior
Daños materiales y posibles daños
2 99,00 – 99,90 10-3 - 10-2
humanos en el interior
1 Pequeños daños materiales en el interior 90,00 – 99,00 10-2 - 10-1
1
El Índice SIL = 4 sólo se contempla en los estandares IEC 61508/61511, pero no en el estándar
ANSI/ISA-S84 que sólo contempla hasta SIL = 3.
2
Probabilidad de fallo en demanda media.
7.2 NORMATIVAS Y ESTÁNDARES
A continuación, se resumen los estándares y normativas de referencia existentes en materia de

seguridad funcional de los procesos:
- ANSI/ISA-S84.01-1996: "Application of Safety Instrumented Systems for the process

industries": Es una norma de la “American National Standards Institute” en la que se establece una base
para el diseño de Sistemas Instrumentados de Seguridad en la industria de proceso, incluyendo tecnología
eléctrica, electrónica y electrónica programable. Establece asimismo cuales son los pasos en el ciclo de vida
de un SIS desde su concepción inicial hasta el desmontaje del mismo. Está dirigida fundamentalmente al
personal que participa en el desarrollo y fabricación de los SIS, en la instalación, en el commissioning y en
todas las otras fases del ciclo de vida de un sistema de seguridad.
- IEC 61508: "Funcional Safety of electrical/electronic/programmable electronic safety

related systems". Es un estándar de la “International Electrotechnical Commission” en el que se establece
una base para el uso de dispositivos eléctricos y/o electrónicos programables en el diseño de Sistemas
Instrumentados de Seguridad en aplicaciones médicas, de transporte, en industria de proceso, etc. Establece
asimismo cuales son los pasos en el ciclo de vida de un SIS desde su concepción inicial hasta el desmontaje
del mismo. Está dirigida al personal involucrado en cualquier fase del proyecto desde el concepto hasta la
explotación.
VII-6
- IEC 61511: "Funcional Safety of electrical/electronic/programmable electronic safety
related systems for the process industry sector": Es un estándar de la “International Electrotechnical
Commission” en el que se establece una base para el uso de dispositivos eléctricos y/o electrónicos
programables en el diseño de Sistemas Instrumentados de Seguridad en la industria de proceso. Establece
asimismo cuales son los pasos en el ciclo de vida de un SIS desde su concepción inicial hasta el desmontaje
del mismo. Está dirigida fundamentalmente al usuario final de los sistemas de seguridad.
En los siguientes capítulos se establecen cuales son los principales requerimientos que establecen
las normas citadas para el diseño y evaluación de Sistemas Instrumentados de Seguridad
VII-7
8. CICLO DE VIDA DE LOS SISTEMAS INSTRUMENTADOS DE SEGURIDAD
8.1 INTRODUCCIÓN
Las normativas y estándares sobre Seguridad Funcional, ANSI-ISA-S84 e IEC-61511/61508

establecen las distintas etapas a cubrir en el Ciclo de Vida de Seguridad de un Sistema Instrumentado de
Seguridad, desde la concepción inicial del mismo hasta su desmontaje. Las distintas etapas a considerar se
esquematizan en la Figura 8.1.
PROCEDIMIENTOS
PROCEDIMIENTOS
DISEÑODEL
DELPROCESO
PROCESO DESARROLLO
DESARROLLO DEOPERACIÓN
OPERACIÓNYY
DISEÑO SEGURIDAD DE
SEGURIDAD MANTENIMIENTO
MANTENIMIENTO
ANÁLISISRIESGOS
ANÁLISIS RIESGOS
DISEÑODEL
DISEÑO DELSIS
SIS
(HAZOP)
(HAZOP) PUESTAEN
PUESTA EN
MARCHA, OPER.,
MARCHA, OPER.,
NO MANT.YYTEST
MANT. TEST
NO
IMPLANTACIÓN
IMPLANTACIÓN
¿SIS? DELSIS
SIS
DEL SI
SI
SI
SI
FIN
FIN
MODIF.
DEFINIRSIL
DEFINIR SIL
DESINSTALACIÓN
DESINSTALACIÓN
Figura 8.1 CICLO DE VIDA DE UN SISTEMA INSTRUMENTADO DE SEGURIDAD
A continuación en los siguientes Apartados se describen cada una de las fases dentro del Ciclo de
Vida de Seguridad de los Sistemas.
8.2 DISEÑO CONCEPTUAL DEL PROCESO
En esta primera fase del Ciclo de Vida de Seguridad de los Sistemas Instrumentados de
Seguridad, se debe desarrollar la Ingeniería Básica y de Detalle del proceso en cuestión. Dicho desarrollo
debe incluir, entre otros aspectos, los Diagramas de Instrumentación y Control (P&ID) las filosofías de
operación, el sistema de control del proceso, hojas de datos de equipos, etc.
VIII-1
8.3 ANÁLISIS DE RIESG0S (HAZOP)
El segundo paso en el Ciclo de Vida es la aplicación de una metodología de Análisis de Riesgos

al diseño de las instalaciones, para identificar y reconocer las situaciones peligrosas en actividades en las
que se manejan materiales que implican riesgos con objeto de revisar el diseño y establecer medidas
correctoras o preventivas.
Existe una gran variedad de técnicas de identificación de riesgos, tales como bases de datos de
accidentes, análisis de peligros y operatividad (HAZOP), análisis what if?, listas de chequeo, análisis de los
modos de fallo, efectos y consecuencias (FCMEA), análisis mediante árboles de fallo y árboles de suceso,
etc. La técnica de identificación seleccionada dependerá de los propósitos perseguidos con la identificación
de riesgos, así como de los datos y recursos disponibles.
En este sentido, la metodología HAZOP se presenta como una de las técnicas más rigurosas y
estructurada para la identificación de los peligros asociados a una planta de proceso. La aplicación principal
de esta técnica se encuentra en la identificación de riesgos en las primeras etapas del diseño, al ser el mejor
momento para introducir cambios o modificaciones, dado que los resultados son recomendaciones de
mejora que modificarán el diseño final de los equipos o sistemas.
En los Capítulo 3 a 6 del presente documento, se presentan los distintos tipos de metodologías de
Análisis de Riesgos de Procesos (PHA's), centrándose fundamentalmente en la Metodología Hazop.
8.4 CALCULO DEL ÍNDICE SIL
Dentro de las etapas del Ciclo de Vida de Seguridad, debe realizarse la asignación o definición
del Índice SIL para todos los Sistemas Intrumentados de Seguridad de las instalaciones, considerando no
sólo los definidos en la Ingeniería Básica y de Detalle sino también los que se introducen nuevos como
consecuencia del Estudio Hazop desarrollado para las instalaciones en cuestión.
El cálculo del Índice SIL se realiza aplicando una metodología de análisis de riesgos. En el
Capítulo 9 se describen las principales metodologías existentes para el desarrollo de Análisis SIL.
VIII-2
8.5 DESARROLLOS Y REQUERIMIENTOS DE SEGURIDAD
En este paso se debe desarrollar la especificación de los requerimientos de seguridad,

esencialmente la filosofía de operación del sistema. Cada función de seguridad debe tener un requerimiento
de SIL asociado y requerimientos de confiabilidad para disparos en falso. Se deben incluir todas las
condiciones de operación del proceso, desde el arranque hasta el paro, incluyendo el mantenimiento para
cada modo de operación del proceso.
Los requerimientos del SIS deben ser expresados y estructurados, de tal modo que sean claros,
precisos, verificables, sostenibles, factibles y escritos de modo que puedan ser comprendidos y aplicados.
La especificación de los requerimientos de diseño para el SIS debe incluir :
a) La función del sistema o componente del sistema.
b) Acciones que el sistema o componente debe realizar bajo circunstancias establecidas
(especificación funcional).
c) Integridad requerida (confiabilidad y disponibilidad) para operar en dichas circunstancias
(especificación de integridad).
d) Requerimientos de sobrevivencia una vez que un incidente mayor ha sucedido (especificación
de sobrevivencia).
La información requerida para el desarrollo de la especificación de los requerimientos de

seguridad, debe incluir:
a) Lista de las funciones instrumentadas de seguridad requeridas y el SIL de cada función de
seguridad.
b) Diagramas de proceso e instrumentación, hojas de datos de proceso.
c) Información del proceso (filosofía de operación, elementos finales, entre otros) e información
del análisis de riesgo (causa y secuencia de cada evento potencial de peligro que requiera un
SIS).
d) Consideraciones de fallOS de causa común del proceso tales como corrosión, taponamiento,
etc.
e) Requerimientos regulatorios que aplican al SIS.
f) Consideraciones de confiabilidad, calidad y ambientales.
g) Lista de consideraciones operacionales y de mantenimiento.
8.5.1 Especificación Funcional
Los requerimientos funcionales deben describir las características de cada función instrumentada
de seguridad. La especificación funcional debe incluir la definición de los parámetros relevantes tales como:
a) Rango de operación normal de las variables del proceso y sus límites máximo y mínimo.
b) El estado seguro del proceso, para cada uno de los eventos identificados.
c) Las entradas de proceso al SIS y sus acciones.
d) Las salidas de proceso del SIS y sus acciones.
e) Interfases e interacciones con otros sistemas (incluyendo el sistema de control básico de
proceso y operadores).
f) Punto de referencia (setpoint) de las variables del proceso y su tolerancia.
g) La relación funcional entre la detección y actuación de los elementos finales (entradas y
salidas del proceso), incluyendo la lógica, las funciones matemáticas y cualquier otro
permisivo que se requiera mediante las representaciones de diagramas lógicos y diagramas
causa-efecto.
VIII-3
h) Selección de los modos de energizar o desenergizar para disparo. Generalmente las
aplicaciones SIS se encuentran normalmente en el modo energizado y son desenergizadas
para disparo. Cuando el proceso específico requiera que alguna aplicación SIS sea
normalmente desenergizada y energizada para disparo deberá fundamentarse y demostrarse.
i) Consideraciones para disparo manual.
j) Las acciones a tomar en caso de pérdida de la(s) fuente(s) de energía del SIS.
k) La Respuesta de acción a cualquier fallo detectado.
l) Requerimientos de interfase humano-máquina.
m) Funciones de restablecimiento del SIS después de un paro.
n) Los tiempos de respuesta y las tolerancias permisibles de las funciones y de los componentes
relevantes.
o) Si la función de seguridad es aplicable a sistemas instrumentados de seguridad operando en
modos de operación de baja demanda (no mayor a una demanda por año y una frecuencia de
prueba no mayor a 2 veces por año), o de alta demanda/ continua (mayor a una demanda por
año y una frecuencia de prueba mayor a dos veces por año).
p) Los modos de operación relevantes del equipo bajo control, lo cuál debe incluir: arranque
automático, y manual, semiautomático; estado estacionario, estado estacionario de no
operación, reestablecimiento, paro, mantenimiento, y la identificación de las funciones
instrumentadas de seguridad requeridas para operar dentro de cada modo.
q) La importancia de las interacciones de los componentes físicos del sistema
(hardware)/programas de cómputo (software), e identificar y documentar cualquier restricción
para dichas interacciones.
r) Cualquier requerimiento específico referente a los procedimientos de arranque y
reestablecimiento del SIS.
VIII-4
8.5.2 Especificación de Integridad
Los requerimientos de integridad, es decir, el nivel de integridad de cada función de seguridad

del SIS deben ser usados para establecer una arquitectura aceptable del sistema para lograr el nivel de
desempeño, seguridad e integridad requerida para que el SIS ejecute las funciones necesarias. Los
requerimientos de integridad de seguridad deben incluir una definición de los siguientes parámetros de
integridad:
a) La tasa de demanda supuesta para cada una de las funciones de seguridad.

b) Una descripción de todas las funciones instrumentadas de seguridad para lograr la seguridad
funcional requerida y el SIL para cada una de ellas.
c) El factor de reducción de riesgo (FRR) para cada función de seguridad.
d) Requerimientos de diagnóstico para lograr el SIL requerido.
e) Requerimientos de mantenimiento y prueba para lograr el SIL requerido (intervalo mínimo de
prueba).
f) Requerimientos de confiabilidad en caso de presentarse disparos en falso (máxima tasa de
disparo en falso permisible).
g) Detallar todos los modos requeridos de comportamiento del SIS, particularmente ante fallos y
la respuesta requerida (por ejemplo, alarmas, paro automático, entre otros).
h) Las condiciones ambientales extremas probables a ocurrir durante todo el ciclo de vida de
seguridad del SIS. Se deben considerar como mínimo las siguientes variables: temperatura,
humedad, contaminantes, interferencia electromagnética/interferencia de frecuencia,
vibración, descarga electrostática, inundación, clasificación eléctrica de áreas.
i) Los límites de inmunidad electromagnética requeridos para lograr compatibilidad
electromagnética, los cuáles deben ser fijados considerando tanto el ambiente
electromagnético como los niveles de integridad de seguridad requeridos.
j) La iniciación manual de funciones protectoras sustituye en muchos casos a la iniciación
automática, por esta razón es importante en funciones iniciadas manualmente considerar la
confiabilidad humana, ya que la integridad de los componentes físicos (hardware) de la
iniciación manual no debe ser menor a aquélla de la iniciación automática.
La especificación constituye la guía para definir los requerimientos de diseño, por esta razón, se
debe incluir toda a información requerida como un paquete completo. Además de la información requerida
y citada con anterioridad, debe incluirse la siguiente información para integrar el paquete de documentos de
la especificación funcional y de integridad:
VIII-5
a) Diagramas causa-efecto: También conocidos como matrices de causa efecto (cause and
effects Matrix "CEM") se ha convertido en una herramienta muy familiar para documentar
los requisitos de seguridad de un SIS - es una manera muy intuitiva de representar la lógica.
Una descripción detallada se puede encontrar en la Norma ISO-10418 de la industria
petrolera Estos diagramas se usan para documentar los requerimientos funcionales y de
integridad. Deben ser documentos claros para todas las disciplinas.
b) Diagramas lógicos: Estos diagramas se deben usar en adición de los diagramas causa-efecto
para funciones complejas y basadas en tiempo, así como para secuencias complejas que no
pueden ser descritas fácilmente mediante un diagrama de causa-efecto.
8.6 DISEÑO CONCEPTUAL DEL SIS
El propósito del diseño conceptual es definir las características técnicas para la realización y
mantenimiento bajo estándares de los Sistemas Instrumentados de Seguridad SIS. Los sistemas de
protección deben estar constituidos de los siguientes elementos:
a) Elementos primarios.
b) Sistemas eléctricos, electrónicos o electrónicos programables.
c) Elementos finales.
d) Hardware y software adicionales necesarios para el correcto funcionamiento del SIS.
8.6.1 Independencia del SIS con otros sistemas
La separación del sistema de control básico de proceso SCBP (BPCS) y las funciones del
Sistema Instrumentado de Seguridad SIS reducen la probabilidad de que el control y las funciones de
seguridad no estén disponibles al mismo tiempo, ya que cambios inadvertidos afectarían la funcionalidad de
seguridad del SIS. Debe existir una separación total entre estos dos sistemas, en casos donde no sea posible
separar dichos sistemas en un proceso o equipo especifico se debe fundamentar y demostrar que no se
compromete la integridad de las funciones de seguridad.
La separación idéntica, debe constar de dos o más unidades o componentes idénticos e

independientes entre si. La separación diversa debe constar de dos o más unidades o componentes
diferentes (con diferente tecnología, configuración, entre otros factores) e independientes entre sí, además
este tipo de separación reduce la probabilidad de fallos sistemáticos y los fallos de causa común.
VIII-6
La separación debe considerarse y evaluarse para cumplir con la funcionalidad de seguridad y los
requisitos de integridad en las siguientes áreas:
a) Aplicación a sensores de campo.
b) Aplicación a elementos finales de control.
c) Procesador lógico.
d) Comunicación entre SIS y el sistema de control básico de proceso SCBP (BPCS) u otro
equipo.
A. Sensores de campo:
- Para SIL 1 y SIL 2, es necesaria la separación idéntica entre el sistema de control básico de
proceso SCBP (BPCS) y el SIS para alcanzar la integridad de seguridad requerida.
- Para SIL 3, la separación puede ser idéntica o diversa entre el sistema de control básico de
proceso SCBP (BCPS) y el SIS para cumplir con la integridad de seguridad requerida.
B. Válvulas de cierre y control:
- Para SIL 1, puede usarse una sola válvula para ambos sistemas SCBP (BPCS) y SIS, con la
condición de que la tasa de fallo, cumpla los requisitos de integridad de seguridad. El diseño
debe asegurar que las acciones del SIS prevalezcan sobre las acciones del SCBP (BPCS).
- Para SIL 2, se requiere la separación idéntica entre SCBP(BPCS) y SIS, para cumplir el nivel
de integridad de seguridad requerida. El uso de una sola válvula para SCBP (BPCS) y SIS
requiere un análisis y revisión de seguridad, ya que de lo contrario puede no cumplirse la
integridad de seguridad requerida.
- Para SIL 3, la separación debe ser idéntica o diversa entre el SCBP (BPCS) y SIS para
alcanzar la integridad de seguridad requerida.
Consideraciones adicionales para determinar los requisitos de una válvula son:

a) Los requerimientos de corte.
b) La experiencia de confiabilidad con la válvula.
c) Los modos de fallo de la válvula.
d) Procedimientos operativos que contribuyan a que la válvula sea menos efectiva.
VIII-7
C. Procesador lógico:
- Para SIL 1, la separación entre el sistema de control básico de proceso SCBP (BPCS) y SIS
debe ser idéntica o diversa para lograr la integridad de seguridad requerida.
- Para SIL 2, se requiere separación diversa entre el sistema de control básico de proceso SCBP
(BPCS) y el SIS para cumplir con la integridad de seguridad requerida.
- Para SIL 3, debe existir una separación diversa entre el sistema de control básico de proceso
SCBP (BPCS) y el SIS para cumplir con la integridad de seguridad requerida.
Existen casos especiales dónde no es posible separar el sistema de control básico de proceso
SCBP (BPCS) del SIS. Algunas consideraciones mínimas para estos casos especiales son:
a) Evaluación de las fallas de los componentes comunes y programas de cómputo (software) y
su impacto en el desempeño del SIS.
b) El ciclo de vida debe soportar al sistema completo como un SIS con respecto a los cambios,
mantenimiento, pruebas, y documentación.
c) Limitar el acceso a la programación o la configuración de las funciones del sistema.
8.6.2 Probabilidad de Fallo del SIS
En el diseño conceptual de los Sistemas Instrumentados de Seguridad se debe garantizar una

Probabilidad de Fallo en Demanda (PFD) acorde al Índice SIL establecido o calculado en la etapa anterior del
Ciclo de Vida. Los distintos componentes del SIS (sensor, lógica y actuador) deben tener una PFD tal que la
PFD del sistema global sea inferior a la recogida en la Tabla 8.1.
VIII-8
Tabla 8.1
Relación de Indices SIL con Probabilidad de Fallo en Demanda
Disponibilidad
SIL Consecuencias PFD media2
requerida (%)
41 Daños catastróficos en el exterior > 99,99 10-5 - 10-4
Daños humanos en el interior y daños en
3 99,90 – 99,99 10-4 - 10-3
el exterior
Daños materiales y posibles daños
2 99,00 – 99,90 10-3 - 10-2
humanos en el interior
1 Pequeños daños materiales en el interior 90,00 – 99,00 10-2 - 10-1
1
El Índice SIL = 4 sólo se contempla en los estandares IEC 61508/61511, pero no en el estándar
ANSI/ISA-S84 que sólo contempla hasta SIL = 3.
2
Probabilidad de fallo en demanda media.
La Probabilidad de Fallo en Demanda de un SIS se obtendrá aplicando Álgebra de Boole a partir

de las PFD de los distintos elementos que conforman el Sistema (sensor, lógica y actuador). A su vez, estas
probabilidades individuales son función de las siguientes variables:
A. Parámetros de diseño
- λ: Tasa de fallo.
- C: Tasa de autodiagnóstico.
B. Parámetros de mantenimiento
- T: Período de prueba.
- MTTR: Tiempo medio para reparación.
Se deben por tanto ajustar estos parámetros para cada uno de los elementos del SIS, sensor,
lógica y actuador, para garantizar la PFD del sistema global de acuerdo al Índice SIL calculado.
En caso de que la PFD global se encuentre por encima de la exigible para el SIL en cuestión, se
deberán mejorar los siguientes aspectos:
- Los parámetros de diseño de los elementos del SIS (λ menores y C mayores).

- Los parámetros de mantenimiento (T y MTTR menores).
- El diseño del SIS mediante la implementación de elementos redundantes (NooM),
aumentando además de esta forma la disponibilidad del proceso.
8.7 DISEÑO DETALLADO DEL SIS
El propósito de la etapa del diseño detallado es finalizar y documentar el diseño conceptual. Una
vez que se ha elegido un diseño, el sistema debe ser construido siguiendo procedimientos estrictos y buenas
prácticas de ingeniería, para evitar errores en el diseño e implantación. En esta etapa el sistema debe ser
VIII-9
programado y probado de acuerdo a la lógica determinada, cualquier error cometido durante esta etapa
influirá en el resto del diseño.
8.8 VERIFICACIÓN DEL SIL
En esta etapa debe verificarse que cada uno de los elementos que constituyen el diseño propuesto
del SIS cumplen con el SIL objetivo. La operación del Sistema Instrumentado de Seguridad (SIS) se basa
en un nivel de integridad de seguridad objetivo SIL que debe ser definido durante el desarrollo de la
especificación de los requerimientos de seguridad.
El proceso de validación a implantar para la verificación del NIS (SIL) propuesto debe incluir los
siguientes puntos:
a) Arquitectura y configuración de votación.

b) La instrumentación a utilizar.
c) Descripción del proceso.
d) Sistemas auxiliares o de apoyo (aire de instrumentos, agua de enfriamiento, central hidráulica,
central eléctrica, entre otros) involucradas con las operaciones del SIS.
e) Frecuencia de prueba y definir si se realiza en línea o fuera de línea.
f) Procedimientos de prueba y equipo usados así como la probabilidad de que el equipo que
integra el SIS comprometa su operación debido a las pruebas.
g) Modos de fallo.
h) Tasas de fallo.
i) Cobertura de diagnóstico.
j) Intervalos de reparación y si la reparación se realiza en línea o fuera de línea.
k) Procedimientos de mantenimiento y la probabilidad de que el SIS comprometa su operación
debido a la reparación.
l) Procedimientos de administración de cambios, frecuencia de cambios, y la probabilidad de
que se introduzca un error durante el cambio.
m) Disciplina de operación y mantenimiento, incluyendo una estimación de la frecuencia de error
humano y circunstancias en las cuáles puedan ocurrir una maniobra incorrecta.
n) Procedimientos administrativos.
o) Fallos de causa común.
p) Fallos sistemáticos.
q) Identificación de las funciones de seguridad, sus entradas/salidas y sus dispositivos de campo.
8.9 INSTALACIÓN Y COMISIONADO
En esta etapa, se debe asegurar que el sistema sea instalado de acuerdo al diseño y opere de
acuerdo a la especificación de los requerimientos de seguridad. Antes de que el sistema sea llevado al sitio
debe ser probado hasta su correcta operación, una vez en el sitio, el contratista debe verificar que el sistema
esté de acuerdo al diseño detallado incluyendo los dispositivos de campo (comisionado).
Asimismo deben de llevarse a cabo las pruebas de prearranque y aceptación del sistema. Se debe
elaborar un procedimiento que dicte los pasos a seguir para la instalación detallada y cada función y etapa
deben ser verificadas y documentadas.
VIII-10
8.10 OPERACIÓN Y MANTENIMIENTO
El propósito de esta etapa es que se asegure que el sistema funcione correctamente de acuerdo al
diseño original y se mantenga durante todas las etapas del ciclo de vida de seguridad, asegurando con esto
que responderá efectivamente en caso de una demanda real. La frecuencia de inspección y prueba se
determina en una etapa anterior en el Ciclo de Vida (Ver Apdo. 8.5).
8.11 MODIFICACIONES
Conforme existan cambios en las condiciones del proceso será necesario realizar cambios al
sistema de seguridad. Todos los cambios propuestos requieren de un retorno al inicio del Ciclo de Vida de
Seguridad. Por lo tanto, se debe proporcionar un procedimiento y registro de implantación formal para el
control y evaluación de cambios al sistema y darle un seguimiento al mismo.
8.12 DESMANTELAMIENTO
El desmantelamiento de un SIS debe seguir un proceso de revisión para garantizar que la

remoción del servicio de dicho sistema no influya en el proceso o unidades circundantes y que existan los
medios necesarios para proteger al personal, equipo y ambiente durante el desarrollo del desmantelamiento.
VIII-11
9. METODOLOGÍAS PARA EL CÁLCULO DEL ÍNDICE SIL
De acuerdo a lo indicado en el Capítulo 8, uno de las etapas a cubrir en el Ciclo de Vida de un Sistema
Instrumentado de Seguridad consiste en el cálculo del Índice SIL (Safety Integrity Level) para todos los SIS
existentes en la instalación.
De esta forma, se debe calcular este índice de seguridad, no sólo para los SIS definidos en la
Ingeniería Básica y de Detalle, sino también para los que se introducen nuevos como consecuencia del Estudio
Hazop desarrollado para el proyecto en cuestión. El desarrollo de un Estudio Hazop se debe elaborar, dentro del
Ciclo de Vida del SIS, de forma previa al cálculo del Índice SIL.
El cálculo del Índice SIL se realiza aplicando una metodología de análisis de riesgos. En el presente
capítulo se describirán las principales metodologías existentes para el desarrollo de Análisis SIL, las cuales se
pueden dividir en:
- Metodologías cualitativas
- Metodologías semicuantitativas
- Metodologías cuantitativas
9.1 METODOLOGÍAS CUALITATIVAS
Se tratan de técnicas de análisis crítico que no recurren al análisis numérico. Su objetivo principal es
identificar:
a) Riesgos.
b) Efectos: incidentes y accidentes cuando se materializan los riesgos.
c) Causas: orígenes o fuentes de los riesgos.
Dado que los análisis cualitativos sirven, muchas veces, como base para otros semicuantitativos o
cuantitativos, es importante la calidad de los primeros.
A continuación describiremos uno de los métodos cualitativos más frecuentemente utilizados:
IX-1
9.1.1 Gráfico de Riesgo
La aplicación de la presente metodología emplea el Gráfico que se recoge en la Norma IEC-61511

Parte 3 y que se detalla en la Figura 9.1. En dicha Figura se expresa el Índice SIL de acuerdo a la normativa
alemana (que lo clasifica desde AK1 a AK8).
Asimismo, en la Figura 9.2 se detalla la relación existente entre el Índice SIL de acuerdo a dicha
normativa, y el correspondiente según las normativas IEC-61508/61511 que consideran el Índice de 1 a 4.
Figura 9.1 ÍNDICE SIL. GRÁFICO DE RIESGO NORMA IEC-61511 PARTE 3
IX-2
Figura 9.2 RELACIÓN ÍNDICE SIL NORMATIVA ALEMANA CON NORMAS IEC-61511/61508
El Índice SIL se determina a partir de dicho gráfico, valorando de forma cualitativa los siguientes
cuatro parámetros:
- Consecuencias (C):
· C1: Daños mínimos
· C2: Daños serios/permanente a una o más personas.
· C3: Muerte de varias personas.
· C4: Muerte de muchas personas.
- Frecuencia o tiempo de exposición (F):

· F1: Raro o poco expuesto en la zona de riesgo.
· F2: Frecuente a permanente en la zona de riesgo.
- Posibilidad de evitar el evento (P):

· P1: Posible en determinadas circunstancias.
· P2: Casi imposible.
- Probabilidad de ocurrencia del evento (W):

· W1: Poco probable.
· W2: Probable.
· W3: Muy probable.
IX-3
9.2 METODOLOGÍAS SEMICUANTITATIVAS
Se tratan de técnicas de análisis críticos que emplean índices globales del potencial de riesgo
estimados a partir de las estadísticas. Estas pueden ser de disposición general o procedentes de la experiencia de
las compañías en el diseño y la operación de plantas semejantes a las que se trata de enjuiciar.
9.2.1 Gráfico de Riesgo Calibrado
La aplicación de la presente metodología consiste en calibrar o dar valores, de forma semicuantitativa

o mediante índices globales, a los cuatro parámetros C, F, P y W del Gráfico de Riesgo (Ver Apartado 9.1 del
presente capítulo).
En la Figura 9.3 se detalla el Gráfico de Riesgo Calibrado que se recoge en la Norma IEC-61511 Parte
3.
IX-4
Figura 9.3 ÍNDICE SIL. GRÁFICO DE RIESGO CALIBRADO NORMA IEC-61511 PARTE 3
La calibración de los valores del Gráfico C, F, P y W debe ser una decisión corporativa. No obstante,
en la Norma IEC-61511 Parte 3 se recogen unas referencias para la valoración de dichos parámetros, que se
resumen a continuación:
A. Consecuencias (C)
Se puede calcular como el número de muertes en las instalaciones, mediante la determinación del número de
personas presentes en la zona cuando el área expuesta al riesgo está ocupada multiplicándolo por la
vulnerabilidad del suceso accidental.
La vulnerabilidad (V) puede calcularse en función de la naturaleza del riesgo teniendo en cuenta los
siguientes criterios:
· V=0.01: Pequeña fuga de sustancia tóxica o inflamable.
· V=0.1: Fuga de grandes dimensiones de sustancia tóxica o inflamable.
· V=0.5: Fuga de grandes dimensiones de sustancia inflamable con alta probabilidad de ocasionarse
un incendio o fuga de grandes dimensiones de sustancia altamente tóxica.
· V=1: Ruptura o explosión.
Finalmente, las consecuencias se pueden clasificar en:
IX-5
· CA: Daños menores.
· CB: De 0.01 a 0.1.
· CC: De 0.1 a 1.0.
· CD: Mayor de 1.0.
B. Frecuencia o tiempo de exposición (F)

Se puede calcular determinando el tiempo proporcional que el área expuesta al riesgo está ocupada por
personas durante un día normal de trabajo.
· FA: Raro o poco expuesto en la zona de riesgo. Ocupación menor de 0.1.
· FB: Frecuente a permanente en la zona de riesgo. Ocupación mayor de 0.1.
C. Posibilidad de evitar el evento (P)

· PA: Se adopta este valor si todas las condiciones que se citan a continuación son verdaderas.
· PB: Se adopta este valor si no todas las condiciones que se citan a continuación son verdaderas.
Las condiciones serían las siguientes:

- El sistema alerta al operador sobre un fallo en el SIS.
- Existen sistemas independientes que permiten activar el shutdown de las instalaciones para evitar el
riesgo o para conseguir que el personal presente puede alcanzar un área segura.
- El tiempo que transcurre desde que el operador es alertado de la situación de riesgo hasta que el
suceso indeseado ocurre, excede de una hora o se considera tiempo suficiente para realizar las
actuaciones necesarias.
D. Probabilidad de ocurrencia del evento (W)

Se puede calcular como el número de veces al año que una situación de riesgo puede ocurrir en ausencia del
SIS que estamos analizando o clasificando.
· W1: Tasa de demanda menor que 0.1*D al año.
· W2: Tasa de demanda entre 0.1*D y D al año.
· W3: Tasa de demanda entre D y 10*D al año,
siendo D un factor de calibración cuyo valor debe ser establecido en función del criterio de riesgo
establecido corporativamente.
9.2.2 Matrices de Riesgo
La aplicación de esta metodología consiste en la valoración semicuantitativa de la probabilidad de

ocurrencia de un accidente y de la severidad de sus consecuencias, para obtener mediante el uso de una Matriz
de Riesgo el Índice SIL asociado.
IX-6
Para el uso de esta metodología, podemos emplear las matrices de riesgo que se recogen en la Norma
ANSI-ISA-S84, ver Figura 9.4, o en el estándar IEC-61511 Parte 3, ver Figura 9.5. Para ambos casos, la matriz
de riesgos se trata de una matriz tridimensional que adicionalmente a la valoración de la probabilidad de
ocurrencia y la severidad de las consecuencias, como tercer eje considera:
- La efectividad de los sistemas de protección. Norma ANSI-ISA-S84.

- Número de capas de protección incluyendo el SIS que vamos a clasificar. Estándar IEC-61511.
El estándar IEC-61511 Parte 3 recoge unos criterios para la estimación semicuantitativa de la

probabilidad de ocurrencia y severidad de las consecuencias que se detallan a continuación:
- Severidad de las consecuencias:

· Baja: Genera pequeños daños materiales en el interior de las instalaciones.
· Media: Genera daños materiales y posibles daños humanos en el interior de las instalaciones.
· Alta: Genera daños materiales y daños humanos en el exterior de las instalaciones.
- Probabilidad de ocurrencia:
· Baja: Frecuencia de fallo menor de 10-4 año-1.
· Media: Frecuencia de fallo mayor de 10-4 año-1 y menor de 10-2 año-1.
· Alta: Frecuencia de fallo mayor de 10-2 año-1.
La frecuencia de fallo se puede calcular mediante el empleo de un árbol de fallos.
Figura 9.4 ÍNDICE SIL. MATRICES DE RIESGO ANSI ISA S-84
IX-7
Figura 9.5 ÍNDICE SIL. MATRICES DE RIESGO ANSI ISA S-84 NORMA IEC-61511 PARTE 3
9.3 METODOLOGÍAS CUANTITATIVAS
Son técnicas de análisis críticos que incluyen estructuras y cálculos para establecer la probabilidad de
sucesos complejos (siniestros) a partir de los valores individuales de la probabilidad de fallo que corresponde a
los elementos (equipo y humanos) implicados en los procesos (industriales en nuestro caso).
9.3.1 Análisis LOPA o Análisis de las Capas de Protección
De acuerdo a lo analizado en el Capítulo 7, las capas de protección en una instalación de proceso (Ver
Figura 9.6) se pueden dividir en:
- Aquéllas destinadas a prevenir el accidente, como pueden ser el sistema de control, las alarmas
críticas, las actuaciones por parte del operador y los Sistemas Instrumentados de Seguridad (SIS).
- Aquéllas destinadas a introducir medidas de mitigación, como pueden ser los Sistemas Fuego&Gas,
los sistemas de alivio, de protección física, la respuesta de la planta ante emergencia o la respuesta
de la población ante emergencia.
De entre las metodologías para calcular el Índice SIL reflejadas en los estándares y normativas IEC
61508/61511 y ANSI-ISA-S84, el Análisis LOPA (Layer of Protection Analysis) o Análisis de la Capas de
Protección se presenta como la técnica más exhaustiva por su carácter cuantitativo.
IX-8
Dicha técnica constituye un análisis objetivo de las distintas capas de protección de que dispone un
proceso, evaluando el riesgo del mismo y comparándolo con el criterio de riesgo tolerable definido por la
propiedad, para decidir si las capas de protección son adecuadas o, por el contrario, si es necesario mejorar las
existentes o introducir capas adicionales. Por todo ello, el análisis LOPA se presenta como una técnica que
permite una comparación directa de la contribución de las distintas capas de protección del proceso a la
reducción del nivel global de riesgo.
El método consiste en el desarrollo de las siguientes actuaciones:

a) Identificar los eventos iniciadores de sucesos indeseados.
b) Listar las causas de cada suceso.
c) Estimar las frecuencias de cada evento iniciador.
d) Listar las capas de protección diseñadas o existentes (control de proceso, alarmas, SIS, válvulas de
seguridad, etc).
e) Determinar la probabilidad de fallo en demanda de cada capa de protección.
f) Calcular la frecuencia de todas las rutas que se originan desde el evento iniciador, multiplicando la
frecuencia del evento iniciador por cada una de las probabilidades que apliquen.
g) Comparar la frecuencia final de resultados indeseados contra el criterio de riesgo tolerable. Si no
se cumple con dicho criterio, entonces adicionar capas de protección.
IX-9
Respuesta población ante emergencia
Respuesta planta ante emergencia
Sistemas mitigación
PSV, PSE
SIS
Alarmas, Operador
Sistema control
Figura 9.6 CAPAS DE PROTECCIÓN EN INSTALACIONES DE PROCESO
IX-10
ANEXO I
R.D. 1254/1999 Y R.D. 948/2005

ANEXO II
CFR 1910.119
ANEXO III
TRANSPARENCIAS
ANEXO IV
CASOS PRÁCTICOS ANÁLISIS HAZOP

Curso HAZOP

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Curso HAZOP

Cargado por

Copyright:

Formatos disponibles

ANÁLISIS DE RIESGOS INDUSTRIALES Y

SISTEMAS INSTRUMENTADOS DE SEGURIDAD

GABRIELA REYES DELGADO

2. MARCO LEGISLATIVO BÁSICO DE LOS ANÁLISIS DE RIESGOS DE

3. MÉTODOS DE IDENTIFICACIÓN Y ANÁLISIS DE RIESGOS ........................................... 1

4 METODOLOGIA GENERAL DEL ESTUDIO HAZOP........................................................... 1

4.2 OBJETIVOS DEL ESTUDIO HAZOP ........................................................................... 3

5. ORGANIZACIÓN Y DESARROLLO DEL ESTUDIO HAZOP .............................................. 1

6. FUNCIONES Y CUALIDADES DEL COORDINADOR DE ESTUDIOS HAZOP ................ 1

7. INTRODUCCIÓN A LOS SISTEMAS INSTRUMENTADOS DE SEGURIDAD.

8. CICLO DE VIDA DE LOS SISTEMAS INSTRUMENTADOS DE SEGURIDAD................. 1

9. METODOLOGÍAS PARA EL CÁLCULO DEL ÍNDICE SIL.................................................. 1

ANEXO I R.D. 1254/1999 Y R.D. 948/2005

ANEXO II CFR 1910.119

ANEXO III TRANSPARENCIAS

ANEXO IV CASOS PRÁCTICOS ANÁLISIS HAZOP

A continuación, presentaremos los distintos tipos de metodologías distintas de Análisis de Riesgos de

Dentro de la Metodología Hazop, se explicará claramente como se plantea, desarrolla y presenta un

A continuación se describirá el Ciclo de Vida de un Sistema Instrumentado de Seguridad, definiendo

La legislación básica de referencia en Europa en cuanto a la prevención de Accidentes Graves en los

Otro documento, aunque no de obligado cumplimiento al no estar traspuestos a la legislación española

2.1.1 Campo de Aplicación

En la práctica, para determinar si un establecimiento industrial se va a ver afectado por el R.D.

En el ámbito del R.D. 1254/1999, el concepto de "presencia de sustancias peligrosas" significa:

- materias primas, productos, subproductos, residuos o productos intermedios.

- su presencia real o prevista en el establecimiento;

Ámbito de Aplicación de la Directiva Seveso II

R.D. 886/1988 y 952/1990 R.D. 1254/1999

1. Las instalaciones nucleares y de tratamiento de 1. Los establecimientos, las instalaciones o zonas de

P1. Enviar la Notificación a la autoridad competente.

P2. Definir e implantar una Política de Prevención de Accidentes Graves, y desarrollar e

P4. Someterse a inspecciones y controles periódicos por parte de la Autoridad Competente, de

C2. Desarrollar e implantar el Plan de Emergencia Interior.

C4 Aportar información a la Autoridad Competente. Información necesaria para el desarrollo del

OBLIGACIONES DEL INDUSTRIAL

Resumen de las obligaciones del industrial

Como vimos anteriormente, la Directriz Básica para la Elaboración y Homologación de Planes

a) De tipo mecánico: Ondas de presión y proyectiles.

b) De tipo térmico: Radiación térmica.

c) De tipo químico: Fuga o vertido incontrolado de sustancias contaminantes tóxicas y muy

2.1.5 Necesidad de un Análisis de Riesgos

- Demostrar que ha establecido la Política de Prevención de Accidente Graves y el Sistema de

- Demostrar que el diseño, la construcción, la explotación y el mantenimiento de toda instalación,

- Demostrar que dispone de Plan de Emergencia Interior y que ha facilitado la información

I. Información sobre el sistema de gestión y la organización, con vistas a la prevención de accidentes

II. Entorno del establecimiento

- Descripción y análisis de la vulnerabilidad de elementos sensibles del entorno del establecimiento

III. Descripción de la instalación

- Ingeniería de procesos y sistemas de seguridad.

- Procedimientos de operación en distintas fases de la actividad (operación normal, arranque/parada,

- Diseño e ingeniería de equipos y sistemas que procesan o almacenan sustancias peligrosas

- Sistemas de corrección y tratamiento de contaminantes y residuos, tanto en operación normal

IV. Identificación y análisis de los riesgos de accidente y medios preventivos

Además de la identificación y análisis de accidentes mayores en condiciones de operación normal,

- Identificación de fuentes de riesgo de accidentes graves:

· Fallos o desviaciones de las condiciones normales de proceso.

· Fuentes de riesgo externas: fenómenos naturales, transporte de mercancías peligrosas, otras

· Seguridad de la planta: actuaciones prohibidas, intrusismo, sabotaje, etc.

· Efecto dominó en caso de ser requerido por la autoridad competente.

- Evaluación de consecuencias, teniendo en cuenta la finalidad que tiene el Informe de Seguridad

Adicionalmente, en el Informe de Seguridad se refuerza la importancia de la evaluación de las

V. Medidas de protección e intervención para limitar las consecuencias de un accidente

- Organización, responsabilidades y procedimientos de respuesta ante emergencias.

- Información y formación recibida por el personal implicado en una emergencia.