CII S6 Métodos Generalizados

Cap.
II, Sección 2, Parte 3

Métodos generalizados
a) Análisis ¿qué pasa si? T-2

b) Análisis de riesgos y operabilidad, T-35
c) Análisis de modos de falla y sus efectos, T-96
d) Análisis por árbol de eventos, T-120
e) Análisis por árbol de fallas, T-140
f) Análisis por capas de protección, T-171
1
a) Análisis ¿qué pasa si?
2
Análisis ¿qué pasa si?
 La técnica ¿qué pasa si? (del inglés What If) determina

las consecuencias no deseadas originadas por un
evento, sin importar cuál fue su causa,
causa con el fin de
poder recomendar medidas que eviten que se origine el
evento no deseado.
 La metodología involucra una lluvia de ideas que parte

de la pregunta ¿qué pasa si?.
si?
3
Continuación…
 Por ejemplo, nos podemos preguntar ¿qué pasa si?...
… no funciona el sistema de enfriamiento en una línea de gas combustible
caliente.
… se adicionan más reactivos de los que marca el diseño en un reactor.
… el procedimiento de mantenimiento a un equipo crítico es deficiente.
… se realiza un muestreo de un ácido y no se usa equipo autónomo de
protección
… etc.
 La técnica ¿qué pasa si?, es un método de análisis de riesgos

general que difiere de otros porque no es tan rígido y
sistemático,
sistemático sin embargo, por esta misma característica se
requiere de mayor experiencia en la identificación de riesgos y
peligros potenciales, pues es más factible que se omitan
aspectos importantes.
4
Características de la técnica ¿qué pasa
si?
1. Propósito:
 Examinar posibles desviaciones en el diseño, construcción,
operación o modificaciones del proceso, o sistema
estudiado.
2. Aplicación:
 Se aplica para evaluar el campo de los sistemas de
protección de los procesos químicos por lotes, continuos o
semicontinuos, por ejemplo:
 procesos petroquímicos como: descomposición,
deshidrogenación, polimerización, alquilación, isomerización,
hidrogenación y aromatización, o en
 procesos de refinación:
refinación destilación combinada, destilación de
alto vacío, desintegración catalítica, hidrodesulfuración, etc. )
5
Etapas del Proceso ¿Qué pasa si?
Aplicación Perfil
(Definición y diseño del 
proceso)
Ingeniería Conceptual
 Durante las etapas de (Experimentación planta 
diseño, construcción y piloto)
operación de Ingeniería básica y de detalle 
instalaciones
industriales, así como Arranque, Puesta en Marcha

(Ejecución de obra e inicio)
cuando se realiza
cualquier cambio en el Operación normal de la

planta
proceso o en los
procedimientos de Modificaciones 
operación. Estudio de incidentes 

Abandono del proceso o

Desmantelamiento
6
si?
3. Requerimientos:
 Esta técnica no requiere de métodos especiales o
de una planeación exhaustiva, sin embargo …
 Cuando se trata de analizar cualquier equipo, sección o

procedimiento en un proceso químico, es necesario
contar con:
 Diagramas representativos del sistema a evaluar:

diagramas de flujo de proceso, diagramas de tubería e
instrumentación, isométricos, diagramas de detalle,
etc.
7
Continuación…
 Procedimientos de operación actualizados.
 Información específica del proceso para generar el listado

exhaustivo de preguntas, que inicien con ¿que pasa si?, para
cuestionar las desviaciones de cualquier variable o condición en
el proceso en operación normal.
 Un grupo de trabajo compuesto de 2 a 3 personas

especializadas en el área de estudio, cuyos deberes principales
serán preparar la lista de preguntas y obtener las respuestas a
éstas (consecuencias), para finalmente poder emitir las
recomendaciones.
8
si?
4. Metodología:
 Se deben simular eventos que generen una falla en
algún elemento, sección o sistema completo del proceso
químico estudiado, sin considerar que fue lo que la causó.
 Para encontrar los riesgos en el proceso, el equipo debe:
 Cuestionar las desviaciones del proceso mediante las
preguntas “¿qué pasa si?”,
 Identificar las consecuencias que se ocasionarían de
efectuarse tales desviaciones,
 Identificar las herramientas o medidas de seguridad que
puedan prevenir estos eventos, y
 Evaluar el sistema para emitir recomendaciones que
mejoren la operación y seguridad del proceso.
9
Metodología (continuación…)
Básicamente se puede conseguir con el siguiente método:
 Preparar la revisión del proceso.

El líder del equipo de análisis de riesgos, determina los
alcances físicos y analíticos del estudio propuesto y las
actividades a desarrollar para dividir el proceso de estudio en
áreas de interés.
Por ejemplo: determinar si existe riesgo en una toma de
muestreo de gasolina o si existe riesgo en la
sobrealimentación de reactivos en un reactor por lotes.
10
 Desarrollar las preguntas de la técnica ¿qué
pasa si?.
¿QUÉ PASA SI…

...las torres de enfriamiento no envían agua a los
condensadores de gasolina?
...hay una descarga de una válvula de relevo o un disco de
ruptura...y no tiene la capacidad suficiente?
...la reacción de descomposición o polimerización no esta
controlada?
...hay falla del operador al efectuar alguna operación crítica?
11
 Evaluar cada una de las preguntas y obtener
respuestas.
 Encontrar las consecuencias de los eventos

propuestos que impliquen una desviación en el
sistema.
 Encontrar las salvaguardas o protecciones

que puedan ayudar a mitigar el daño o incluso
a evitar el accidente.
12
 Evaluar la importancia de las consecuencias
de cada evento, y determinar si para algún
caso en particular se recomiendan medidas de
seguridad.
 Llenar una hoja de trabajo con las preguntas

que simulen eventos riesgosos, las
consecuencias de estos eventos y las
recomendaciones propuestas.
13
Metodología - Hoja de trabajo
Formato 1
EMPRESA:
ANÁLISIS
DEPENDENCIA: ¿QUE PASA SI?
(WHAT IF)
PLANTA:
SISTEMA DE ESTUDIO: FECHA DE REALIZACIÓN:
DIAGRAMAS: ELABORÓ:
INTENCIÓN DE DISEÑO: REVISÓ:
¿QUÉ PASA SI? CONSECUENCIAS RECOMENDACIONES
14
Formato 2
EMPRESA:
ANÁLISIS
(WHAT-IF)
PLANTA:
SECCIÓN DE ESTUDIO: FECHA DE REALIZACIÓN:
No.
¿QUÉ PASA SI? CONSECUENCIAS SALVAGUARDAS RECOMENDACIONES
ESC.
15
Formato 3
EMPRESA:
ANÁLISIS
(WHAT-IF)
PLANTA:
NO.
¿QUÉ PASA SI? CONSECUENCIAS SALVAGUARDAS F G RECOMENDACIONES
ESC.
16
Formato 4
EMPRESA:
ANÁLISIS
DEPENDENCIA: ¿Qué PASA SI?
(WHAT-IF)
PLANTA:
No. RECOMENDACIONES
QUE PASA SI CONSECUENCIAS SALVAGUARDAS F G R
ESC
1
2
3
17
 Documentar los resultados.

Los documentos que respaldan el análisis
serán la evidencia que dé soporte a las
contestaciones de las preguntas y
recomendaciones para la eliminación o
reducción de riesgos, propuestas por el
equipo.
18
Características de la técnica ¿qué pasa si?
5. Tiempo estimado de realización:
Tamaño/complejidad Pequeño/simple Grande/complejo

del sistema
Preparación 4 a 8 hr. 1 a 3 días
Evaluación 4 a 8 hr. 3 a 5 días
Documentación 1 a 2 días 1 a 3 semanas
6. Apoyos:
 Existen dos programas disponibles en el mercado que apoyan al
usuario en la aplicación de la técnica ¿qué pasa si?: el
SAFEPLAN de la empresa DuPont y el SCRI Whatif/Checklist de
la empresa Dinámica Heurística de México.
 Un procesador de palabras o un programa de hoja de cálculo
pueden ayudar al analista a documentar los resultados del análisis
¿qué pasa si?
19
Características de la técnica ¿qué pasa si?
7. Resultados:
 Las respuestas a las preguntas, mostrarán una evaluación
de los efectos por fallas en: elementos del proceso,
procedimientos, comunicación entre las dependencias,
diseño, desastres naturales, etc.
 Las recomendaciones emitidas por el equipo,
encausadas a corregir las fallas encontradas en el proceso
estudiado, para evitar que ocurran los eventos no
deseados.
 Información recopilada sobre: comportamiento del equipo
o proceso (historiales), procedimientos, manual de
operación, arranque y paro del proceso o del equipo
estudiado, modificaciones al proceso, incidentes ocurridos,
etc.
20
VENTAJAS
Su eficiencia se debe a que es un método:
 Adaptable,
Adaptable tanto a un proceso completo como a uno parcial.
 Fácil de aplicar,
aplicar siempre y cuando se cuente con un
cuestionario adecuado, con la información substancial y el
apoyo del personal responsable del proceso estudiado.
 Flexible,
Flexible para agregar o eliminar preguntas que especifiquen
más el sistema de estudio.
 Creativo,
Creativo el cual permite que el equipo experimentado,
mejore el cuestionamiento de un proceso en función de sus
conocimientos adquiridos por su experiencia en el proceso o
formación profesional.
21
DESVENTAJAS
Su deficiencia se debe a que pasa por alto riesgos por:
 Carecer de una estructura más sistemática, pues las

preguntas por lo general están desordenadas.
 Depender netamente de la experiencia de los miembros
del equipo, si alguno de estos se muestra deficiente en
su especialidad puede que no detecte un riesgo
importante.
 No tener una manera de jerarquizar las
recomendaciones.
22
Ejemplo 1
“Toma de muestra de gasolina
primaria en las bombas de
gasolina primaria”
Por procedimiento es necesario hacer
un muestreo en las sustancias con
mayor importancia en un proceso, ya
sea por su peligrosidad o por saber si
se encuentra dentro de la
especificación que exige la
producción y el diseño.
23
Ejemplo 1
Intención de Diseño
 La gasolina primaria, es el producto más ligero que se desprende
por los domos de una torre de destilación atmosférica, en una
planta de Destilación Atmosférica, encargada de procesar el
crudo proveniente de los pozos petroleros.
 La gasolina es altamente inflamable y explosiva, y además si el
proceso sale de operación normal, es factible que la gasolina no
este dentro de las especificaciones requeridas (puede ser que se
esté obteniendo turbosina o gasóleos ligeros dentro de la línea
de gasolina primaria).
24
25
Ejemplo 1 Análisis
Preguntas Consecuencia Recomendaciones
¿Qué pasa si no se tiene una Se puede contaminar la gasolina Limpieza de las botellas de muestreo.
botella limpia para el primaria a analizar, pudiendo interpretar Capacitación y supervisión del personal
muestreo? presencia de contaminantes en el de operación y del laboratorio.
producto del acumulador de gasolina o Siempre tener disponible material limpio
productos fuera de especificación. para muestreo.
¿Qué pasa si se envía Se puede formar una nube explosiva y Usar la cantidad suficiente de muestreo de
gasolina primaria caliente al tóxica en el drenaje, que al encontrar un gasolina primaria.
drenaje cuando se drena la respiradero puede ser liberada, y Capacitación y supervisión del personal
encontrar un punto de ignición, de operación y del laboratorio.
línea para llenar la línea de
generando una explosión.
muestreo?
¿Qué pasa si no se notifica la Puede crecer la fuga y si encuentra un Instalar detectores de mezclas explosivas.
existencia de una fuga en la punto de ignición, puede generar un
línea de muestreo? dardo de fuego, un flamazo o una onda
de sobrepresión por explosión.
¿Qué pasa si no se identifica Se puede perder la información que Etiquetar las muestras.
la botella? proporciona tomar la muestra y su
especificación, para toma de decisiones
de operación oportunas.
26
Ejemplo 1
Análisis
¿Qué pasa si no se cierra la Se envía gasolina al drenaje, Instalar detectores de mezclas explosivas
válvula de la toma de formándose una nube explosiva y tóxica en el área.
muestra? que al encontrar un respiradero puede Capacitación y supervisión del personal de
ser liberada. operación y del laboratorio.
Contaminación ambiental.
¿Qué pasa si el operador no Inhalar H2S en altas concentraciones Usar equipo de protección autónomo.
utiliza su equipo de puede ocasionar pérdida de la siempre que se tome la muestra a pesar
protección autónoma? conciencia e incluso la muerte. de que se considere poco riesgo.
En bajas concentraciones puede Siempre tener disponible equipo de
ocasionar irritaciones en los ojos, piel y protección autónomo.
garganta o provocar vómito. Si la
gasolina se impregna de alguna forma a
la ropa del operador, puede incendiarse
y sufrir severas quemaduras.
27
Ejemplo 1
Análisis
¿Qué pasa si se forma una Inhalar H2S en altas concentraciones Evitar distracciones en la toma de muestra
nube tóxica de gasolina puede ocasionar pérdida de la de gasolina amarga y notificar la fuga a la
primaria? conciencia e incluso la muerte. brevedad posible.
En bajas concentraciones puede
Dar mantenimiento correctivo a la fuga
ocasionar irritaciones en los ojos, piel y
garganta o provocar vómito. Si inmediatamente de ser detectada, incluso
encuentra un punto de ignición se si es pequeña.
origina una explosión. Instalar detectores de mezclas explosivas
y de H2S.
¿Qué pasa si no se efectúa el Se realiza el procedimiento de Realizar el muestreo de gasolina primaria

muestreo periódicamente muestreo inadecuadamente, corriendo periódicamente.
como indica el el riesgo de perder la toma de muestra Capacitación y supervisión del personal de
procedimiento? y no identificar la especificación de operación y del laboratorio.
dicha muestra para la toma de
decisiones de operación oportunas.
28
Ejemplo 2
“Proceso de obtención del Fosfato de amonio (FDA)”
2 NH3 + H3PO4 (NH4) 2 HPO4
En este proceso se envían una solución de amoniaco y una

solución de ácido fosfórico a un reactor agitado, reguladas por las
válvulas de control de flujo A y B, respectivamente, para obtener el
FDA. El producto de la reacción sale del fondo del reactor, regulado
por la válvula C, hacia su tanque de almacenamiento, que contiene
dos válvulas de relevo.
29
30
Ejemplo 2
 Si se alimenta al reactor una cantidad excesiva de ácido
fosfórico en comparación con el amoniaco, se forma un producto
fuera de especificación, pero la reacción es segura.
 Si es mayor el flujo de NH3 que de H3PO4, el amoniaco sin

reaccionar transportado hacia el tanque, puede ser peligroso.
31
Ejemplo 2
 Si aumenta el flujo de los reactivos, el calor de reacción será
muy alto y el reactor puede ser incapaz de manejar tan elevada
temperatura y presión.
 Como existe la posibilidad de que el FDA sea liberado en el área

de trabajo cerrada, causando exposición al personal, el sistema
cuenta con alarmas y detectores de amoniaco y FDA, en el área
de trabajo.
32
Ejemplo 2
Análisis
¿Qué pasa si? Consecuencias Recomendaciones
¿Qué pasa si se alimenta un Pueden efectuarse reacciones Asegurar el manejo adecuado
material equivocado en lugar entre el amoniaco o el ácido de material. Contar con
del ácido fosfórico? fosfórico con cualquiera de los procedimientos de etiquetado
contaminantes. Puede haber para evitar confusiones.
productos fuera de
especificación.
¿Qué pasa si la concentración El amoniaco que quede sin Verificar la concentración del
de ácido fosfórico es muy baja? reaccionar, al ser transportado ácido fosfórico antes de
al tanque de fosfato de amonio adicionarse al tanque de
puede desprenderse en el área almacenamiento. Contar con
de trabajo. detectores y alarmas de
amoniaco.
33
Ejemplo 2
Análisis
¿Que pasa si? Consecuencias Recomendaciones
¿Qué pasa si el ácido fosfórico está Pueden efectuarse reacciones entre Asegurar el manejo adecuado del
contaminado? el amoniaco o el ácido fosfórico con material. Contar con procedimientos
cualquiera de los contaminantes. de etiquetado para evitar
Puede haber productos fuera de confusiones. Contar con
especificación. procedimientos de manejo de
material.
¿Qué pasa si la válvula B esta El amoniaco que quede sin Instalar alarma por bajo flujo en la
cerrada o taponeada? reaccionar, al ser transportado al línea de ácido fosfórico. Instalar un
tanque de fosfato de amonio puede interlock que cierre la válvula A
desprenderse en el área de trabajo. cuando detecte bajo flujo de ácido
fosfórico por la válvula B.
¿Qué pasa si una porción elevada de El amoniaco que quede sin Instalar alarma por alto flujo en la
amoniaco se suministra al reactor? reaccionar, al ser transportado al línea de amoniaco. Instalar un
tanque de fosfato de amonio puede interlock que cierre la válvula A
desprenderse en el área de trabajo. cuando detecte bajo flujo de ácido
fosfórico por la válvula B.
34
b) Análisis de riesgos y operabilidad
35
Análisis de Riesgos y Operabilidad
(HazOp)
 La técnica de Análisis de Riesgos y Operabilidad, HazOp
(del inglés Hazard and Operability) es un estudio
sistemático llevado a cabo por un equipo
multidisciplinario que, mediante el uso de palabras
guía,
guía aplicadas a cada parámetro del proceso,
proceso de
nodos previamente seleccionados, identifica:
 Desviaciones de la intención del diseño de un sistema y
de sus procedimientos.
 Causas y consecuencias de dichas desviaciones.
 Sistemas de protección instalados para reducir la
probabilidad de la causa o la magnitud de la consecuencia.
 Y hace recomendaciones para mejorar la seguridad según
sea necesario.
36
Principios del análisis HazOp
PARÁMETRO
+
PALABRA GUIA
DESVIACION CAUSA CONSECUENCIAS IMPACTOS PROTECCIONES

De las Falla de equipo Sin o con Protecciones Cantidad y Administrativas, de
condiciones Factores humanos Fuego severidad ingeniería
normales de
Explosión
operación
Intoxicaciones
Etc. RECOMENDACIONES
37
Características de la técnica HazOp
1. Propósito:
 Identificar peligros y determinar su nivel (o índice)
de riesgo,
riesgo en la sección o unidad de proceso
analizado, para establecer las medidas correctivas de
los riesgos aceptados y reducir la frecuencia de las
causas que los originan y la gravedad de las
consecuencias provocadas.
 Mejorar la operabilidad de la sección o unidad de
proceso analizado, mediante la aplicación de las
medidas correctivas sugeridas y mediante la
concientización de los riesgos que implica la operación
del proceso, por parte del personal involucrado en la
operación, mantenimiento, seguridad y administración.
38
2. Aplicación:
 La técnica HazOp es la más aceptada por varias
empresas y entidades, para demostrar que una planta
puede operar de manera segura y que cuentan con
protecciones adecuadas para evitar incidentes y
accidentes.
 Generalmente se aplica a industrias de procesos
químicos, en las etapas de diseño, construcción,
arranque, operación, paro y desmantelamiento de las
plantas.
 Permite entender el proceso tanto en condiciones
normales o anormales de operación, debido a lo
sistemático de la técnica.
39
3. Requerimientos:
 El éxito o fracaso del HazOp depende, entre otros
factores, de la información disponible sobre el
proceso.
proceso
 DFP’s y DTI’s actualizados.
 Manuales de operación y mantenimiento.
 Procedimientos de operación.
 Registros históricos de accidentes.
 Registros de calibraciones y pruebas a equipos.
 Programas de capacitación y entrenamiento, etc.
 Así también depende del interés y participación de
cada uno de los integrantes del grupo
multidisciplinario, y de su habilidad para realizar
todos y cada uno de los puntos de la metodología del
análisis de riesgo.
40
4. Definiciones previas y Metodología:
 Antes de poder explicar en que consiste el
desarrollo de esta técnica, es conveniente
estar familiarizado con los siguientes
conceptos y sobre todo saber realizarlos o
detectarlos conforme se desarrolle el
estudio.
41
Conceptos clave en un estudio HazOp
Parámetro de Variable que enfoca la atención sobre un
aspecto de la intención de diseño (modo
proceso
normal de operación). Ejemplos: Flujo,
Presión, Temperatura, Composición, etc.
Se consideran también aspectos
operacionales como: Mantenimiento,
Arranque, Venteo, Paro, etc.
Palabras guía Son palabras que se utilizan junto con los

parámetros de proceso para sugerir
desviaciones posibles o problemas
potenciales. Ejemplo: No, más, menos, etc.
Desviación Es cualquier falla que cambia,

cambia modifica o
adultera la intención de diseño de un
proceso. Ejemplo: Alta temperatura, Bajo
flujo, etc.
42
Significado de algunas Palabras Guía empleadas
para obtener Desviaciones del Proceso
Palabra guía Significado Ejemplos
No Negación de la No hay flujo cuando debería haberlo
intención Se omitió un paso en la secuencia del proceso
Más Incremento cuantitativo Más de algún parámetro físico relevante que debería estar;
por ejemplo, más flujo (porción o cantidad), más presión, más
P, muy alta temperatura, muy alta viscosidad
Menos Decremento cuantitativo  Lo opuesto a “más”
Parte de Decremento cualitativo La composición del sistema es diferente a la
que debería de ser (en corrientes multicomponentes)
Además Aumento cualitativo Se presentan mayores cosas de las que
de/También deberían estar (impurezas, mayor número de fases,
como etc.)
Transferir de más de una fuente o a más de un destino
Inverso Opuesto lógico Flujoinvertido

Los pasos secuenciales del proceso se llevan a cabo en orden
inverso
Otro que Sustitución completa Que suceda otra cosa a la operación normal
(mantenimiento/limpieza, pruebas, etc.)
Transferencia de material equivocado
Transferencia desde un origen y/o destino equivocado
43
Guía de Desviaciones HazOp
PROPÓSITO DEL DISEÑO NO/NINGUNO MÁS DE MENOS DE
Aplicar las palabras guía a cada Pérdida de contención El procedimiento empezó muy El procedimiento empezó rápido
propósito. tarde Se paró un procedimiento
Una intención de diseño Se prolongó el tiempo de un demasiado pronto
completa para cada Brincarse un paso del
procedimiento procedimiento
línea/recipiente/nodo debe
incluir: No hay suficiente (función)
-Funciones No hay (función) Demasiado (función) No hay suficiente transferencia
-Variables controladas No hay transferencia Demasiada transferencia No hay suficiente agitación
-Composiciones esperadas No hay agitación Demasiada agitación
-Uso de los equipos No hay reacción Bajo (variable controlada)
Alto (variable controlada) Baja rapidez de reacción
Por ejemplo, la intención del Alta rapidez de reacción Bajo flujo
paso de una reacción podría ser Alto flujo Baja presión
“Contener y controlar la Alta presión Baja temperatura
reacción completa de 1,000 kg Alta temperatura
de A al 30% y 750 kg de B al
98% en EP-7 por 2 horas, con
agitación, mantener la
temperatura en 47-50°C y venteo
de gases para mantener una
presión menor de 15 psig”
PARTE DE TAMBIEN COMO INVERSO OTROS QUE

Se brincó parte de un Se realizó un paso extra Se realizaron pasos en un orden Procedimiento realizado de
procedimiento equivocado manera equivocada
Equivocada (función) se llevó a
Parte de (función) llevada a cabo Invertido (función) cabo
Extra (función)
Parte de (composición) Transferencia de más de una Flujo invertido Transferencia de un origen
equivocado
Componente extraño fuente Mezclado invertido
Fase extraña Transferencia hacia más de un Transferencia hacia un destino
destino equivocado
Catalizador desactivado 44
Una fase extra presente Mantenimiento/prueba/muestreo
en un equivocado
Matriz de desviaciones generalizada
PALABRAS GUÍA
También
PARÁMETRO No Inverso MÁS Menos Parte de Otro que
como
Material
Flujo No hay flujo Retroceso Más flujo Menos flujo Composición Contaminación
equivocado
Presión
Más Menos Presión de
Presión presión presión
diferencial Golpe de ariete
vacío (colapso)
(P)
Alta Baja Gradiente Oxidación ó
Temperatura temperatura temperatura (T) Fragilización
Alta Baja Cambio de
Viscosidad
viscosidad viscosidad fase
Nivel Vacío Alto nivel Bajo nivel
Alta Baja
Concentración
concentración concentración
Más Menos
Composición Impurezas
composición composición
Mezcla Mezcla
Mezcla No mezcla Espuma
excesiva insuficiente
No hay Menos Separación
Fase
separación separación incompleta
No hay Reacción Reacción Reacción Reacción Reacción
Reacción Cambio de fase
reacción inversa exotérmica incompleta secundaria equivocada
45
Otras combinaciones de parámetro y palabra
guía PALABRAS GUÍA
También
PARÁMETRO No Inverso MÁS Menos Parte de Otro que
como
Fuentes de Descarga
Aterrizamiento Ignición
ignición electrostática
Instrumentación Falla un Paro de
No hay Falla/daño
Instrumentación redundante elemento del Alarmas emergencia
instrumentación a instrumento
(confiabilidad) interlock (ESD)
Contaminación
Fuga del ambiente
Contenedor Ruptura Seguridad
pequeña por derrame
ó fuga
Falla de Corrosión ó Materiales A prueba de
Estructura
soporte erosión diferentes fuego
Giro Alta Baja
Velocidad No hay giro
inverso velocidad velocidad
Más Menos
Catalizador
catalizador catalizador
Medio
No hay Más Menos
Contaminación ambiente
contaminación contaminación contaminación
limpio
Frecuencia
No hay Menos Desmantela-
Mantenimiento no Operación
mantenimiento mantenimiento miento
establecida
Operación por
Falla de encima de la Arranque ó
Operación Espera Mantenimiento Muestreo
servicios capacidad de paro
diseño
Explosión
Efecto Joule-
Relevo Inadecuado (Bifásico) /ruptura por
thompson 46
sobrepresión
Combinaciones para procedimientos, programas o
normas
PALABRA GUÍA
También
PARÁMETRO No Inverso Más Menos Parte de Otro que
como
Mal
Información Pérdida Confusión Inadecuada Parcial Tensión Errónea
interpretada
Hacer más
Acción No hay Contrario de lo Subestimada Incompleta Errónea
requerido
Demasiado Demasiado
Tiempo Erróneo
largo corto
Paso
Paso hacia Paso Parte del paso Acción extra Acción
Secuencia Paso omitido demasiado
atrás anticipado omitido incluida equivocada
tarde
Falta de
Cumplimiento Protección del
No hay equipo de Daños ó
Seguridad parcial de las medio
cumplimiento protección y de pérdidas
normas ambiente
contra incendio
Cumplimiento
No hay Falta de Fallas
Controles parcial de
controles controles humanas ó
administrativos controles
administrativos administrativos de equipo
administrativos
47
Combinaciones para servicios auxiliares
PALABRA GUÍA
También
PARÁMETRO No Más que Menos que Parte de Reversa Otros que
como
Pérdida
Eléctrico Alto voltage Bajo voltage
de
Escape
Aire de Pérdida Alta Dentro del flujo ?? Usado en
Baja presión Contaminado dentro del
instrumentos de presión de proceso lugar de
proceso
Escape
Pérdida Alta Dentro del flujo ?? Usado en
Nitrógeno Baja presión Contaminado dentro del
de presión de proceso lugar de
proceso
Escape
Vapor Baja presión Contaminado dentro del
proceso
Escape
Agua de ciudad Baja presión Contaminado dentro del
proceso
Escape
Agua de río Baja presión Contaminado dentro del
proceso
Repetir paso; Cambiar el
Brincar
Paso del Brinco de Hacer más Hacer hacer parte orden de los Hacer otro
parte del
procedimiento un paso de menos de extra de un pasos o sin paso
paso
paso paso
48
Definición de nodo y aplicación de los principios
del estudio HazOp en cada nodo estudiado
 Se recomienda dividir la planta que se va a analizar
en circuitos.
 Un circuito es una sección de la planta claramente
definida; los circuitos se consideran como unidades
relativamente independientes, formadas por uno o
varios equipos que en conjunto cumplen una misión
en el proceso. Ejemplo: sección de preparación de
carga, reacción, separación, etc.
 Los circuitos a su vez deben ser divididos en nodos.
 Un nodo es una parte del proceso lo
suficientemente pequeña para ser significativa y
lo suficientemente grande para poderse
manejar.
manejar
49
¿Cómo identificar un nodo?
 En cada recipiente
 En líneas de transferencia
Estricto: Siempre que se
modifique un parámetro del
proceso.
Práctico: En general en donde
se produce una modificación
apreciable o significativa en
algún parámetro del proceso.
50
Ejemplo de un nodo de estudio
Tanque de
Almacenamiento
de combustible
Reactor
51
Bases del HazOp para una Unidad de
Proceso
Un estudio HazOp donde todos los nodos
estudiados están centrados en recipientes u
otro tipo de equipo tiene la ventaja de que:
Puede disminuir el tiempo total del estudio
HazOp cuando se consideran desviaciones
similares para todas las entradas y/o salidas de
línea al mismo tiempo. Esto es más efectivo
cuando se trata de plantas de proceso continuo.
52
Definición de Intención Diseño/Operación
 Es la descripción de cómo
debe de operar la planta en
términos de todos sus
parámetros en condiciones
“normales”.
 Esta descripción debe incluir
las funciones del nodo, la
composición de la corriente y
rangos (con valores
numéricos) para todos los
parámetros de importancia
del proceso.
53
Ejemplo: Intención de diseño de un
horno incinerador rotatorio
Contener y controlar la incineración térmica de corrientes residuales
(mayores de 4.76 t/h, 33.32 a 66.64 GJ/h (7.9 x106 a 15.8x 106
kcal/h carga caliente) para permitir que se logre al menos una
destrucción del 99.9% y una eficiencia de remoción de orgánicos en
el proceso de incineración a una temperatura dada (1,000 a 1,400
ºC corriente en el punto de inyección de aire secundario), tiempo de
residencia (por lo menos 2 segundos para gases), y oxígeno (9 al
13%, medido al final de la corriente baja de la zona de combustión)
a una presión negativa pequeña (-100 Pa (-0.015 psig) corriente en
el punto de inyección de aire secundario). Adicionalmente se
controlan las variables de rotación del horno (0.05 a 0.5 rpm), salida
hasta de 15% de cloro, hasta 3% de azufre, hasta 50% de agua y
hasta 30% de gases inertes que entran al horno.
54
1 1. Dividir la planta en circuitos
y los circuitos en nodos.
2
2. Seleccionar un nodo y
describir su intensión de
3
diseño.
3. Definir los parámetros

4 importantes del proceso.
6
4. Identificar
desviaciones
combinación
con
de
posibles
la
los
Metodología
HazOp
parámetros y palabras guía.
7
5. Identificar la causa de cada
desviación y determinar su
8
frecuencia.
9
6. Identificar las
consecuencias sin
protecciones y determinar su
Evaluar
Si R≤ C
NO
gravedad.
SI 7. Listar todas las

SI Más
protecciones existentes del
parámetros
nodo.
NO
8. Determinar el nivel de riesgo
Más nodos
SI
sin protecciones y con
protecciones usando la matriz
NO
de riesgo.
SI
Más circuitos
9. Dar recomendaciones.
NO
FIN
55
Para cada Desviación
 Identificar las posibles causas de la desviación.

 Determinar las consecuencias, asumiendo que
fallan las protecciones.
 Listar las salvaguardas o protecciones.
protecciones
 Evaluar la frecuencia de la desviación y el
riesgo sin y con protecciones.
56
Causas
 Las causas son típicamente provocadas por:

 Fallas del equipo.
 Fallas en la ejecución correcta de los
procedimientos (“fallas en el desempeño humano”).
 Como “consecuencia” de desviaciones en otros
parámetros o en otras partes de la unidad.
57
Algunas causas típicas
Desviación Causas típicas
Más flujo Incremento de presión corriente arriba

Disminución de presión corriente abajo
Ruptura de la línea (aumenta el flujo hacia fuera)
Válvula de control “abre”
Válvula de control del directo (bypass) abierta
Bomba adicional en línea
Menos presión Salida excesiva de flujo
Entrada insuficiente de flujo
Fugas de gas
Temperatura externa
Cambios químicos
Congelamiento
Menos nivel Sale más flujo del que entra
Falla del control
Error del operador
Dren que se dejó abierto
Parte de composición Pérdida de control de la relación
Falla de las bombas de dosificación
Cambios de carga 58
Causas
 El equipo HazOp (MAR ó GMAER)
someterá las causas a una “tormenta de
ideas” y es probable que se encuentre que
no hay una causa creíble para una
desviación particular.
 En estos casos, para demostrar que el
estudio ha sido exhaustivo, el registro
indicará “No se encontró ninguna causa” en
la desviación particular.
 Las causas también se asociarán con las
frecuencias de la desviación.
59
Frecuencia
 Es el número de eventos (fallas de un equipo, instrumento,
componente o de errores humanos) por año, día u hora. La
frecuencia es una estimación aproximada para cuantificar si
un evento puede suceder desde varias veces en un año o
hasta no ocurrir en varios años.
 Se puede obtener de dos formas, cuantitativa y
cualitativamente.
 Cuantitativamente: tomada de registros de informes específicos
de fallas, de las cuales se recopila la información para obtener
datos estadísticos que indiquen un valor “cercano” a la realidad.
 Cualitativamente: tomada de datos obtenidos de la experiencia
de las personas e industrias que han sufrido determinadas fallas.
60
Frecuencia (continuación …)
 En el HazOp basta con determinar un orden

de magnitud a la frecuencia, dentro de un
intervalo determinado, o sea el intervalo de
interés (0 a 25 años).
 Este intervalo de una planta de proceso se
puede contrastar con un presa o dique de
contención para un río dentro/alrededor de
una ciudad (0 a 100 años).
61
Criterios de asignación de
frecuencias
Frecuencia
1 No más de una vez en la vida de la planta.
Descripción
2 Hasta una vez en diez años.

3 Hasta una vez en cinco años.
4 Hasta una vez en un año.
5 Más frecuentemente que una vez al año
Frecuencia Descripción
1 Frecuente: Ocurre más de una vez por mes.
2 Poco frecuente: ocurre más de una vez por año.
3 Raro: ocurre una vez en 5 años.
4 Muy raro: Ocurre una sola vez cada 20 años o durante la vida útil.
5 Extremadamente raro: ocurre una sola vez en 100 años.
Frecuencia Descripción
1 Frecuente: Ocurre más de una vez al año
2 Ocasional: Ha ocurrido varias veces durante la vida de la planta
3 Posible: Se espera que ocurra no más de una vez en la vida de la planta
4 Improbable: No se espera que ocurra en la vida de la planta
62
Frecuencias de acuerdo al AICHE
Valor Orden de magnitud Descripción cualitativa
Frecuencia o Posibilidad
+1 Una vez por mes Se espera que ocurra frecuentemente o regularmente

12  /año = 1.2 X 101
0 (1) Una vez por año Probable que ocurra ocasionalmente/varias veces durante la
vida de la planta
1  /año = 1 X 10 0
-1 (2) 10% veces por año Probablemente sucederá más de una vez en la vida de la
planta 0.1  /año = 1 X 10-1
-2 (3) 1% veces por año No se espera que ocurra, pero, podría ocurrir durante la vida
de la planta
-3 (4) 1 en 1,000 veces por año Sería una sorpresa que ocurriera durante la vida de la planta
-4 1 en 10,000 veces por año Extremadamente remota, no se espera que sea posible
Log10 (f)=-1 63
Consecuencias
 Se derivan naturalmente de las causas.
 Las consecuencias que no colocan a la planta física
en riesgo pueden provocar la mala calidad del
producto y dichas circunstancias podrían aumentar el
riesgo de un incidente en una unidad corriente abajo,
además de que se provoquen pérdidas económicas
por la mala calidad del producto.
 Las consecuencias se evalúan asumiendo que
cualquier sistema de protección instalado es
inefectivo o no existe.
existe
64
Continuación…
 No se consideran como consecuencias, la respuesta de los
sistemas de protección/mitigación.
 Por ejemplo, para alta presión en el reactor, no es una
consecuencia que se active el sistema de regaderas.
 Puede haber una consecuencia derivada de la entrada en operación
de un sistema de protección/mitigación.
 Por ejemplo, la válvula de relevo abre y libera gases tóxicos a la
atmósfera.
 Puede ser más de una consecuencia.
 Incluir el impacto cualitativo (utilizar índices de severidad)
 trabajadores
 público
 medio ambiente
 La consecuencia puede ser “no significativa”.
65
Ejemplo de consecuencias
Nivel Peligro (agudo) o Evento Perdido Ejemplos
I. Consecuencia insignificante Insignificantes efectos adversos en el personal, proceso o

producción
II. No hay consecuencias locales Los efectos son muy lejanos para analizarlos localmente
III. Interrupción de negocios Paro temporal
IV. Daño al equipo Daños al revestimiento interno
V. Producto sub-especificado N/A
VI. Explosiones
a. Explosión por estallamiento de recipiente Sobrepresión, deflagración interna
b. Deflagración en un área confinada Dispersión de vapores/polvos, nieblas dentro del lugar
c. Rápido cambio de fase BLEVE
d. Explosión por nube de vapor Nubes de vapor en exceso
e. Detonación Nitrocelulosa, peróxidos
f. Implosión Bombeo del tanque
66
Ejemplo de Consecuencias
Nivel Peligro (agudo) o Evento Perdido Ejemplos
VII. Fuego (deflagración) Charco de fuego (pool fire), Llamarada (flash fire), Dardo de fuego
(jet fire)
VIII. Pérdida de contención térmica/radiación

a. Material caliente liberado Fuga de vapor
b. Material criogénico liberado Fuga de salmuera refrigerada
c. Radiación nuclear liberada Fuga de instrumentación nivel nuclear
IX. Pérdida de contención reactivos químicos Fuga/derrame de material radioactivo
X. Pérdida de contención tóxico/corrosión Vapor/líquido tóxico/corrosivo en el ambiente
XI. Asfixia Entrada a los recipientes purgados
X!I. Otros efectos indeseados para el personal fuera de sitio

a. Olor Mercaptanos, aminas, etc.
b. Niebla,/bruma/humo Dioxido de titanio, etc
c. Ruido Explosión
d. Flamas Fuego fuera de sitio, fuego grande
67
Índices de severidad o gravedad
 La gravedad es la calificación que se le

asigna a una consecuencia para evaluar la
importancia de su impacto a las personas, al
medio ambiente y a las instalaciones.
 Depende del criterio que se use para calificar
una consecuencia desde un evento
catastrófico hasta un evento de importancia
insignificante.
68
Criterios de asignación de
gravedades
Gravedad Descripción
1 No tiene impacto en la planta, personal ó equipo.
2 Daños sólo al equipo ó fugas menores.
3 Lesiones al personal de la unidad, todas las consecuencias se contienen en la instalación.
4 Daños/destrucción mayores a la instalación, consecuencias limitadas fuera de la instalación.
5 Daños/destrucción mayores a la instalación, y/o consecuencias extensivas fuera de la instalación
Catastrófico: Una muerte dentro o fuera del sitio/daños irreversibles y pérdidas de producción mayores a $20
1
millones que generen paro total de la planta.
Severa: Lesiones múltiples/daños mayores a propiedades y pérdidas entre $2 millones y $20 millones que
2
generen paros temporales.
Moderado: Heridas ligeras/daños menores a propiedades y pérdidas de producción entre $500 mil y $2 millones
3
generando un paro parcial.
Baja: No hay heridas/daños mínimos a propiedades y pérdidas de producción menores a $500 mil, que generen
4
un paro, sólo sustitución o reparación de accesorios.
69
Continuación …
Personas Pérdida de una o más vidas fuera de la refinería
Instalaciones Daños por más de $25,000,000
1 Catastrófico
Medio ambiente Fuga mayor que requiere limpieza fuera de la refinería
Operación Paro de la refinería
Personas Un lesionado fuera de la refinería y/o una pérdida de vida dentro
Instalaciones Daños por un monto entre $2,500,000 y $25,000,000
2 Mayor
Medio ambiente Fuga mayor que no requiere limpieza fuera de la refinería
Operación Paro de más de una planta
Personas Varios lesionados dentro de la refinería
Instalaciones Daños por un monto entre $250,000 y $2,500,000
3 Significativo
Medio ambiente Fuga menor que requiere limpieza dentro de la refinería
Operación Paro de una planta
Personas Un lesionado dentro de la refinería
Instalaciones Daños por menos de $250,000
4 Importante
Medio ambiente Fuga menor
Operación Paro del equipo o sección de planta
70
Gravedad de acuerdo al AICHE
EN SITIO Efectos que se esperan sí Ejemplo de efectos Ejemplo de efectos por Ejemplo de efectos FUERA DE SITIO
ocurre evento accidental. por exposición a la onda expansiva por exposición
Dar medidas de mitigación radiación térmica tóxica/corrosiva
SEV Descripción SEV Descripción
existentes
cualitativa cualitativa
6+ Extremada- Fatalidades múltiples 7+ desastroso

mente alta
5 Muy alta Fatalidades o múltiples Quemaduras de tercer Edificio colapsado; Inhalación de dosis 6 Extremada-
(1) (Catastrófico) efectos a la salud grado, en la mayor parte derrumbe de estructuras letal, resucitación sin mente alto
>107 permanentes del cuerpo elevadas éxito
4 Alta Daño intermedio/efectos a la Quemaduras de tercer Pérdida de miembros, Capacidad de pulmón 5 Muy alta
(2) (Mayor) salud permanentes o múltiples grado muy severas pérdida de oídos total, reducida, lesión
tratamientos médicos pulmones colapsados permanente de químicos
3 Intermedia Pérdida de tiempo significativa, Quemaduras de tercer Laceraciones severas o Permanencia larga en el 4 Alta
(3) (Significativa) daños severos con grado y/o quemaduras rompimiento de hospital, extensa pero
hospitalización o múltiples de segundo grado miembros, daño a no permanente
casos de tratamiento médico severas órganos internos
2 Baja Tratamientos médicos o Quemaduras de Laceraciones por Irritación severa, terapia 3 Intermedia
(4) (Importante) primeros auxilios segundo grado y/o proyectiles con oxígeno,
quemaduras de primer quemaduras químicas
104
grado severas menores
1 Muy baja Daños menores, primeros Quemaduras de primer Heridas menores o Irritación de piel y 2 Baja
auxilios grado contusiones por caídas pulmón
0 Insignificante Probablemente ninguna; olor Fuego visible o gran Ruido fuerte Olor molesto y nubes 0-1 Insignificante o
molesto, columna de humo fuego (inusual) visibles muy baja
visible u otra causa de
importancia
71
Protecciones
 Son todos aquellos dispositivos o estrategias de control
(alarmas visuales o sonoras, válvulas de seguridad, válvulas
de no retorno, indicadores de nivel, presión o temperatura,
disparos de arranque y paro, etc.) o aquellas medidas
preventivas (programas de capacitación al personal,
programas de mantenimiento, rotación de equipos, rutinas y
recorridos operacionales, muestreos, etc.) que permiten evitar
que se den las condiciones anormales de operación de un
equipo o proceso.
 De haberse efectuado por cualquier circunstancia, avisan o
alarman al operador o al equipo para realizar inmediatamente
las medidas correctivas y evitar un descontrol significativo en
el proceso, un incidente o un accidente mayor.
72
Eficacia de las protecciones
Valor Probabilidad de falla Eficiencia de la Ejemplo SIL
salvaguarda
0 100% 0% Sin salvaguardas
1 10% 90% Operación simple, respuesta

con tiempo adecuado
2 1% 99% Equipo de hardware simple 1

con pruebas funcionales
3 0.1% 99.9% Protección pasiva (válvula de 2

relevo), (protección de valor 1
junto con una de valor 2)
4 0.01% 99.99% Dos lazos de control 3

independientes en el mismo
equipo
73
Evaluación del nivel o índice de riesgo
Criterio 1
 El índice de riesgo (IR) es la combinación
matemática entre la frecuencia y la gravedad de un
evento determinado, es decir:
IR (pérdida/año) = Frecuencia (accidente/año)

x Gravedad (pérdida/accidente)
Su valor está en función de los rangos con los que se

definan a la frecuencia y gravedad, para lo cual se
hace uso de una matriz de índices de riesgos.
74
Matriz de índices de riesgo
 Es un arreglo rectangular de los elementos
matemáticos, frecuencia y gravedad, que combinados
entre sí dan como resultado el índice de riesgo.
Gravedad
IR
1 2 3 4
1 1 3 4 6
Frecuencia
2 3 4 6 7
3 4 6 7 9
4 6 7 9 10
75
Aceptabilidad del riesgo
 Es el criterio para tomar la decisión de aceptar o no
aceptar el riesgo evaluado, por el índice de riesgo
en función de la frecuencia y gravedad.
 Aceptar el riesgo: es poder vivir con el riesgo latente,

porque puede ser que tenga una frecuencia muy poco
probable de ocurrir y/o sus consecuencias sean de
gravedad baja.
 No aceptar el riesgo: implica que de ninguna manera se
puede seguir operando en tales condiciones del escenario,
ya que éste tiene una frecuencia muy alta de ocurrencia
y/o una gravedad con consecuencias catastróficas.
76
Continuación …
 Si se decide aceptar el riesgo, es preciso analizar de acuerdo
al nivel de riesgo asignado, si se pueden dar algunas
recomendaciones o acciones para mitigarlo y mejorar la
seguridad de la instalación y su operabilidad.
 Las recomendaciones o acciones para mitigar el riesgo

deben ser jerarquizadas con el propósito de asignarles
recursos y que éstas puedan ser implementadas.
 Dicha jerarquización se basa en una matriz de clase de

riesgo.
77
Matriz de clase de riesgo
 Al igual que la matriz de índice de riesgo,

considera la combinación de los niveles de
frecuencia y gravedad, pero esta vez se les
asigna una letra que representa un nivel de
prioridad, que dependerá de los criterios que se
utilicen para jerarquizar las recomendaciones.
78
Matriz de clase de riesgo (continuación
A…)
– Inaceptable – IR (1 a 3) B – Indeseable – IR (4)
Mitigarlo hasta tener un riesgo C o menor Mitigarlo hasta tener un riesgo C o menor
dentro de un periodo máximo de 6 meses. dentro de un periodo máximo de 12 meses.
Gravedad
Clase
1 2 3 4
1 A A B C
Frecuencia
2 A B C D
3 B C D D
4 C D D D
C – Aceptable con controles – IR (6) D – Aceptable como está – IR (7 a 10)

Verificar que los controles estén en uso y No se requiere mitigar el riesgo.
sean efectivos.
79
Evaluación del nivel o índice de riesgo
Criterio 2
 Si se considera al riesgo como una función de un “valor”
numérico, entonces
“Riesgo” = f (Probabilidad, Severidad)
“Riesgo” = f
Frecuencia de la causa
Eficacia de las
salvaguardas
, Severidad de la
consecuencia
80
Continuación …
“Riesgo” =
Valor de frecuencia
de la causa
Valor de eficacia de
las salvaguardas
, Valor de severidad
de la consecuencia
o bien,
= Valor de frecuencia
de causa
Valor de eficacia de
las salvaguardas
Valor de severidad
de la consecuencia
Riesgo = (Frecuencia) x (Gravedad)

= (Valor de la causa – Valor de las salvaguarda
+ Valor del impacto del escenario)
81
Ejemplo de un criterio para evaluar el
riesgo, en base a la expresión anterior:
R < -1 no se necesita acción correctiva

R ≥ -1 & < 0 acción de mejora completada dentro de 24 meses
R ≥ 0 & < 1 acción de mejora completada dentro de 12 meses
R ≥ 1 & < 3 acción de mejora completada dentro de 3 meses
R ≥ 3 inmediata acción correctiva o paro de unidad
82
Plan de trabajo
 Las recomendaciones o acciones correctivas de los
riesgos aceptados, que mejorarán la operabilidad y
la seguridad del proceso, deberán ser plasmadas
en un plan de trabajo, en el cual se debe
establecer:
 El responsable (persona, departamento o entidad) de
realizarlas.
 La fecha compromiso en la que ya debe estar terminada la
corrección, o un estudio costo-beneficio, o un estudio de
factibilidad para implementarla.
83
Resumen de pasos para realizar un análisis
HazOp
PREPARACIÓN DEL ESTUDIO HAZOP
a) Delimitar un nodo dentro del circuito que se ha seleccionado para
el estudio HazOp y explicar su intención de diseño.
MANEJO DEL ESTUDIO HAZOP

a) Seleccionar el nodo de estudio (comenzar por el inicio del circuito).
b) Definir los parámetros importantes del proceso.
c) Identificar posibles desviaciones con la combinación de los
parámetros y palabras guía.
d) Identificar la causa que afecta la intención de diseño y determinar
su frecuencia (las causas pueden ser cualquier cosa entre el nodo
actual y el nodo previo).
84
Resumen de pasos para realizar un análisis
HazOp
e) Identificar las consecuencias sin protecciones y
determinar su gravedad.
f) Listar todas las protecciones existentes del nodo.
g) Determinar el nivel de riesgo sin protecciones y con
protecciones usando la matriz de riesgo.
h) Verificar, evaluar y decidir si se acepta o no, el
riesgo remanente con salvaguardas.
i) Si es necesario sugerir recomendaciones.
j) Elaborar un plan de trabajo basándose en la lista de
recomendaciones para efectuar las medidas
correctivas para mitigar el riesgo.
85
 Está en función del cumplimiento eficiente de los
requerimientos para llevar a cabo el análisis, es
decir, el tiempo de recopilación de la información
y el tiempo de duración de las sesiones.
 Depende del tamaño del proceso a estudiar, el
número de nodos en que se subdividirá, de la
capacidad del equipo multidisciplinario, de la
asistencia de cada una de las disciplinas de
interés, su participación activa y sustanciosa,
estado de ánimo, grado de dominio de
conocimientos, etc.
86
Ejemplo de tiempo de realización
Com paración de asistencia de disciplinas por tam año de planta
Operación
Seguridad Planta Chica

Disciplinas
Planta Mediana
Mantenimiento
Planta Grande
Secretario
Facilitador
0 10 20 30 40 50 60
Dias asistidos
Tamaño de planta Número de nodos Tiempo de realización
Chica 17 2 meses
Mediana 20 3 meses
Grande 33 4 meses
87
6. Apoyos:
 Aplicando la técnica secuencial y apropiadamente se asegura el
éxito de los resultados y sobre todo se puede hacer una búsqueda
minuciosa de los escenarios potenciales de accidentes que
requieren ser mitigados.
 En la actualidad se cuenta con el apoyo de software desarrollado
por diversas firmas, para agilizar más el proceso de análisis.
 SCRI-HAZOP de Dinámica Heurística SA de CV (N. L. México);
 PHA-Pro 5 de Dyadem Internacional Ltd. (Toronto, Canada);
PHAWorks 5 de Primatech Inc. (Ohio, US);
 HAZ1508 de Rowan House Ltd. (Monmouth, UK);
 PHA-Pro6 de Reliass-Reliability;
 Safety Solutions (Fareham, England), entre otros.
 La Facultad de Química de la Universidad Nacional Autónoma de
México desarrolló el HAZOP Wizard, basado en los principios
básicos de la metodología HazOp.
88
7. Resultados:
 Listado final de recomendaciones aceptadas por
el grupo multidisciplinario y orientadas a mitigar o
erradicar los escenarios de riesgos potenciales a
los que se haya encontrado expuesto la sección
o planta de proceso analizada y mejorar la
operabilidad de la misma.
 Elaboración de un plan de trabajo.
89
Formato para el reporte del HazOp
 Los resultados del análisis HazOp se plasmarán en
un documento que incluya como mínimo los
siguientes puntos.
90
Formato para el plan de trabajo
 Se sugiere que el plan de trabajo resultado del HazOp tenga
como mínimo los siguientes datos.
 Las buenas prácticas de operación también deberán ser
listadas como parte de los resultados del HazOp.
Plan de trabajo para dar cumplimiento a las recomendaciones
Clase Recomendación Escenario Responsable Fecha de

compromiso
Lista de buenas prácticas de operación que se realizan

y deben seguir fomentándose
Buenas prácticas Escenario
91
Beneficios de realizar estudios
HazOp
 En algunos casos los problemas pueden ser solucionados fácil y
económicamente.
 En las instalaciones existentes, los problemas previamente identificados
pueden convertirse en incidentes, por lo que pueden ser tratados
razonablemente antes de que esto ocurra.
 Proporciona una rigurosa aproximación a la identificación de problemas
potenciales.
 Después del análisis se tendrá un profundo conocimiento del sistema.
 En instalaciones nuevas se asegura un arranque oportuno y con
seguridad de acuerdo al tipo de diseño del proceso.
 Se pueden hacer cambios de ingeniería en el arranque y en las etapas
de construcción y puesta en operación.
 Si no se realiza se tendrán costosos paros de operación.
92
Ejemplo del costo que representa para
una planta realizar un HazOp
Costo del capital total 100%
Costo del estudio 0.20%
Costo de correcciones 1.7%
Costo de correcciones si
el estudio no se lleva a cabo 3.9%
Ahorros 2.0%
Ahorros en costos continuos 0.7/año
93
Preguntas que surgen en los
Estudios HazOp
nuevo diseño % planta existente %

Seguridad 26 40
Operabilidad 57 33
Seguridad y Operabilidad 17 27
94
Ejercicio HazOp en un
proceso continuo
95
c) Análisis de modos de falla y
sus efectos
96
Análisis de modos de falla y sus efectos (AMFE)
 Corresponde al acrónimo en inglés

Failure Mode and Effects Analysis,
FMEA.
 Fue desarrollado en el ejército de los
Estados Unidos por los ingenieros de
la National Aeronautics and Space
Administration (NASA) el 9 de
noviembre de 1949 (procedimiento
militar MIL-P-1629).
 En el ámbito de la industria química,
existe una descripción de la técnica
en el AIChE J. de 1971.
97
Técnica de AMFE
 El método establece que fallas
individuales contribuyen de forma
importante en el desarrollo de un
accidente mayor en la planta.
 Es un método cualitativo ya que
establece una lista de fallas
sistemática, con sus consiguientes
efectos.
 La técnica se puede extender para
dar un índice de prioridad basado
en la severidad de la falla.
98
Continuación …
 El AMFE consiste en un análisis de los componentes
individuales de un sistema con el objetivo de:
1. Identificar todos los modos de falla y,
2. Estimar los efectos resultantes de los modos de falla.
PEGADA
Modo de falla Descripción de cómo falla

RUPTURA FUGAS el equipo (abierto, cerrado,
arranque, paro, fugas, etc.)
ABIERTA CERRADA
Efecto de la falla Respuesta del sistema o la
consecuencia resultante de la
falla.
99
Características de la técnica AMFE
1. Propósito:
 Identificar los diferentes equipos que constituyen
la planta, las formas de fallas de cada equipo y

los efectos de estas fallas en el sistema o en la
planta.
 Este análisis típicamente genera
recomendaciones para incrementar la
confiabilidad del equipo, de esta forma se mejora
la seguridad del proceso.
100
2. Aplicación:
 El método AMFE puede ser utilizado en las etapas de
diseño, construcción y operación.
 En la etapa de diseño es útil para la identificación de
protecciones adicionales, que puedan ser fácilmente
incorporadas para la mejora de equipos y secciones.
 En la etapa de construcción puede ser utilizado para
una evaluación de modificaciones que puedan surgir
por cambios inducidos en campo.
 En el período de operación o de proceso, el AMFE es
útil para la evaluación de fallas individuales que
puedan inducir a accidentes potenciales.
101
Aplicación (continuación…)
Etapas de vida de una planta FMEA
Perfil (Definición y diseño del proceso) 
(Experimentación planta piloto)

Ingeniería básica y de detalle 
Arranque, Puesta en Marcha

x
Operación normal de la planta 
Modificaciones 
Estudio de incidentes 
Abandono del proceso o Desmantelamiento x
102
3. Requerimientos:
 Puede llevarse a cabo por un mínimo de 2 analistas que
conozcan tanto el proceso en estudio como la técnica.
 El uso del AMFE requiere de los siguientes puntos:
 Lista de equipo de la planta o de las secciones.
 Diagramas de tubería e instrumentación.
 Información acerca del funcionamiento de los equipos,

así como sus modos de falla.
 Información acerca del funcionamiento de las
secciones y/o de la planta, así como las respuestas a
los efectos de los modos de falla.
103
4. Metodología:
 Los pasos para realizar un
AMFE son:
 Determinación del nivel de
detalle del análisis.

 Definición del problema y el
alcance.
 Completar la tabla del
AMFE con un formato
previamente desarrollado.
 Documentación de los
resultados.
104
Metodología (continuación …)
 Determinación del nivel de detalle.

 El nivel de resolución determina los detalles de la
tabla del AMFE.
Nivel de riesgo Enfocarse en

en la planta secciones
Nivel de riesgo Enfocarse en los

en la sección equipos
105
 Definición del problema y alcance
 Identificar puntos específicos, estados, secciones,
equipo que se va a incluir en el AMFE. Los elementos
mínimos para la definición del problema son:
 Identificar la planta y/o la sección.
 Establecer los alcances físicos:
 Incluir procesos así como interfase con otros procesos.
 Sistemas auxiliares o de soporte.
 Condiciones de operación.
 Referencias de actualizaciones realizadas en la planta.
 Recoger la información necesaria para identificar tanto los
equipos como su relación con la sección o la planta.
106
Modos de falla (continuación…)
 Los modos de falla que se consideran son, típicamente, las
situaciones de anormalidad tales como:
 Abierto cuando normalmente debe estar cerrado.
 Cerrado cuando normalmente deba estar abierto.
 Marcha cuando normalmente deba estar parado.
 Paro cuando normalmente deba estar en marcha.
 Fugas cuando normalmente no debe haber, etc.
 Por ejemplo, los modos de falla de una válvula normalmente

cerrada pueden incluir:
 La válvula atascada o cerrada (o falla al abrirse cuando es
requerida).
 La válvula inadvertidamente se mueve a una posición de abierto.
 La válvula fuga al medio ambiente.
 La válvula fuga internamente.
 El cuerpo de la válvula se rompe.
107
Modos de falla (continuación…)
Descripción Modos de Falla
del equipo
Bomba,  Dejó de operar cuando
normalmente se requería
operando  No hay transferencia
 Derrame/ruptura de
sello
 Bomba con
ruptura/derrame
Intercambiador  Derrame/ruptura, lado
de calor, alta tubos a lado coraza.
presión en lado  Derrame/ruptura, lado
tubos coraza a ambiente
externo
 Taponamiento lado
tubos
 Taponamiento lado
coraza
 Ensuciamiento
108
Información que debe incluir el AMFE
 Efectos. Para cada modo de falla
identificado, se deben describir
tanto los efectos inmediatos de una
falla en donde se halla localizado,
como los efectos probables de
dicha falla en otro equipo, así
como en la sección o planta
entera.
 Salvaguardas. Para cada modo
de falla identificado, se debe
describir cualquier aspecto o
procedimiento de seguridad
asociado con la sección que pueda
reducir la posibilidad de ocurrencia
de una falla específica o que
pueda mitigar las consecuencias
de dicha falla.
109
Información que debe incluir el AMFE
 Acciones. Para cada

modo de falla
identificado, se deben
listar las acciones
correctivas sugeridas
para reducir la
posibilidad de los
efectos asociados con
el modo de falla.
110
 El tiempo y costo del AMFE es proporcional al tamaño del
proceso y al número de componentes analizados. En
promedio, una hora es suficiente para analizar de dos a
cuatro equipos.
Tamaño/complejidad Pequeño/simple Grande/complejo

del sistema
Preparación 2 a 6 hr. 1 a 3 días
Evaluación 1 a 3 días 1 a 3 semanas
111
6. Apoyos:
 Los siguientes son softwares comerciales disponibles
especialmente diseñados para elaborar el estudio de
AMFE:
 CARA (Technica, Inc., Columbus, Ohio).
 FMEA-PC (Primatech, Inc., Columbus, Ohio).
 HAZOPtimizer (A. D. Little, Cambridge,

Massachussetts)
 SAFEPLAN (Du Pont, Westakle Village, California).
 Un procesador de palabras o un programa de hoja de

cálculo puede servir como herramienta para el llenado de
los formatos del AMFE.
112
7. Resultados:
 Listado de equipos, modos de fallas y sus
efectos.
 Habitualmente se incluye el peor escenario
estimado como consecuencia de una falla.
 Los analistas de riesgos usualmente incorporan
una columna en donde incluyen sugerencias
para mejorar la seguridad de la planta/sistema.
113
Ventajas del AMFE 
 El método es relativamente rápido frente a otros

más complejos como pueden ser el HazOp.
 El AMFE sirve de complemento al análisis de
árbol de falla y a otras técnicas.
 El AMFE ayuda a:
 Optimizar la confiabilidad del sistema.
 Guiar en la evaluación y mejora de su diseño.
114
Desventajas del AMFE 
 Frecuentemente, los errores humanos y los entornos
hostiles son ignorados.
 No toma en consideración las diferentes combinaciones
de fallas de equipos o secuencias de los mismos que
pueden llegar a provocar un accidente final de mayores
consecuencias.
 Si la planta o sección es del todo complejo y si el
análisis se extiende a un gran número de subsistemas,
el proceso puede ser extraordinariamente tedioso y
consumir mucho tiempo.
 Algunas veces, por la sencillez del AMFE, se realiza con
el afán simplista de que se esta haciendo solo análisis
de riesgos sin tomar en cuenta lo poderoso de esta
técnica.
115
Ejemplo-Proceso esquemático para el
FDA
ALIMENTACION
ALIMENTACION
DE ACIDO
DE AMONIACO
FOSFORICO
TANQUE DE TANQUE DE
ALMACENAMIENTO ALMACENAMIENTO
DE SOLUCION DE ACIDO
DE AMONIO FOSFORICO
LI LI
FI FI
A B
REACTOR
DE
FOSFATO
FUERA DE AREA DIAMONIO
LIMITE CERRADA DE
DE BATERIA TRABAJO
C
TANQUE DE 
ALMACENAMIENTO 
DE FOSFATO DESCARGA A
DIAMONIO

ESTACIONES


D
116
Tabla de un AMFE
FECHA: 1/21/91 PAGINAS: X
PLANTA: DAP REFERENCIA: Diagrama de proceso FDA
SISTEMA: SISTEMA DE REACCIÓN ANALISTA: ING. PÉREZ
No IDENTIFICADOR DESCRIPCION MODO EFECTOS PROTECCIONES ACCIONES
DE
FALLA
1.1 Válvula B sobre la Motor operado Falla en Flujo en exceso de Indicador de flujo Considerar
línea de solución normalmente abierto ácido fosfórico al en la línea de instalar
de ácido fosfórico abierto en el reactor. ácido fosfórico. alarmas/cierre del
servicio de ácido Alta presión y La válvula de sistema por alto
fosfórico elevada relevo del reactor flujo de ácido
temperatura en el ventea a la fosfórico.
reactor si la atmósfera. Considerar
alimentación del Observación del instalar
amoniaco es operador del alarmas/cierre del
también elevada. tanque de sistema por alta
Puede causar un almacenamiento presión y elevada
alto nivel en el del FDA. temperatura en el
reactor o en el reactor.
tanque de Considerar
almacenamiento del instalar
FDA. alarmas/cierre del
Producción fuera de sistema por alto
especificación (por nivel en el tanque
ejemplo: elevada de
concentración de almacenamiento
ácido). del DAP. 117
Tabla de un AMFE
DE
FALLA
1.2 Válvula B sobre la Motor operado Falla en No hay flujo de Indicador de flujo en Considerar instalar
línea de solución de normalmente cerrado ácido fosfórico al la línea de ácido alarmas/cierre del
ácido fosfórico abierto en el reactor. fosfórico. sistema por bajo
servicio de ácido Exceso de Detector y alarma de flujo de ácido
fosfórico solución de amoníaco. fosfórico.
amoníaco al Considerar el uso
tanque de de un tanque
almacenamiento cerrado para el
de FDA y almacenamiento de
liberación al FDA y/o asegurar
cerrada de una adecuada
trabajo. ventilación del área
cerrada de trabajo.
1.3 Válvula B sobre la Motor operado Fuga Pequeños alivios Mantenimiento Verificar que el
línea de solución de normalmente (externa) de ácido periódico. mantenimiento e
ácido fosfórico abierto en el fosfórico al área Válvula diseñada inspección
servicio de ácido cerrada de para el servicio de periódicos son
fosfórico trabajo. ácido fosfórico. adecuados para
esta válvula.
118
Tabla de un AMFE

DE
FALLA
1.4 Válvula B sobre la Motor operado Ruptura Grandes alivios Mantenimiento Verificar que el
línea de solución de normalmente de ácido periódico. mantenimiento e
ácido fosfórico abierto en el fosfórico al área Válvula diseñada inspección
servicio de ácido cerrada de para el servicio de periódicos son
fosfórico trabajo. ácido fosfórico. adecuados para
esta válvula.
119
d) Análisis por árbol de eventos
120
Análisis por árbol de eventos (AAE)
 Corresponde al acrónimo en inglés Event Tree Analysis, ETA.
 Esta técnica muestra gráficamente las posibles

consecuencias de un accidente que resultan de un evento
iniciador (una falla de equipo específico o un error humano).
 Rastrea la progresión del accidente considerando las

respuestas de los sistemas y operadores de seguridad al
evento iniciador, hasta obtener las secuencias de accidentes,
es decir, el conjunto de fallas o errores que conducen a un
accidente.
121
Características de la técnica AAE
1. Propósito:
 Identificar las secuencias de accidentes
individuales.
 Determinar las combinaciones específicas de
fallas que pueden conducir a dichos accidentes.
2. Aplicación:
 Un AAE resulta adecuado para el análisis de
procesos complejos que tienen varios niveles de
sistemas de seguridad.
122
3. Requerimientos:
 Conocimiento de los eventos iniciadores potenciales y

de las funciones de los sistemas de seguridad o
procedimientos de emergencia que potencialmente
mitigan los efectos de cada evento iniciador.
 Un AAE puede ser realizado por un solo analista
siempre y cuando tenga un detallado conocimiento del
sistema, aunque se prefiere que sea realizado por un
equipo de dos a cuatro personas.
123
4. Metodología:
 El procedimiento general para el análisis de árbol de
eventos consiste en seis pasos:
 Identificación de los eventos iniciadores de interés que
puedan resultar en el tipo de accidente de incumbencia.
 Identificación de las funciones de seguridad diseñadas para
mitigar el evento iniciador.
 Elaboración del árbol de eventos.
 Descripción de las secuencias de salida resultantes del
accidente.
 Evaluación del árbol de eventos.
 La documentación de los resultados.
124
 Identificación del evento iniciador.

 Este evento debe ser una falla de equipo o de
sistema, un error humano o una desviación del
proceso que podría resultar en los efectos de
interés, dependiendo de qué tan bien respondan
el sistema o los operadores al evento.
 Ejemplo de evento iniciador:
 Pérdida de agua de enfriamiento en un reactor de
oxidación.
125
Reactor de oxidación
Sistema de enfriamiento
súbito (Quench) de
emergencia Inicializa el sistema
de enfriamiento
súbito manualmente
Oxidante
Alarma de
temperatura
Combustible
Alarma
de presión
Reactor
126
 Identificación de las funciones de seguridad.
 Son las defensas de la planta contra las consecuencias
del evento iniciador, con frecuencia incluyen:
 Sistemas de seguridad automáticos.
 Alarmas.
 Acciones del operador.
 Sistemas de mitigación.
 Barreras de contención para limitar los efectos.
 Estas funciones de seguridad deben identificarse en
orden cronológico y al describirlas se debe especificar
claramente su propósito deseado.
127
 Ejemplo de funciones de seguridad:

 En un reactor de oxidación existe alarma por alta
temperatura la cual alerta al operador a la
temperatura T1.
 El operador restablece el agua de enfriamiento al
reactor de oxidación.
 Si el operador no logra restablecer el agua de
enfriamiento existe un sistema de paro automático
el cual detiene la reacción a la temperatura T2.
128
 Elaboración del árbol de eventos.
 Colocar de izquierda a derecha la cronología de eventos.
 Del lado izquierdo se coloca el evento iniciador y a lo largo de la
parte superior de la página se listan las funciones de seguridad.
 Evaluar las funciones de seguridad. Normalmente son
consideradas dos posibilidades: el éxito o la falla.
 Se colocan los resultados positivos o exitosos (“S”) en la parte de
arriba.
 Se colocan los resultados negativos o de falla (“N”) en la parte de
abajo.
 Si la función de seguridad no afecta el curso del accidente, el
trayecto de la función procede, sin punto de ramificación, a la
siguiente función de seguridad.
 Seguir hacia delante con cada uno de los eventos descritos en
la cronología.
129
Continuación …
Alarma de alta temperatura en el El operador reestablece el Sistema de paro automático
reactor de oxidación alerta al flujo de agua de enfriamiento detiene la reacción a la
Causa operador a la temperatura T1 al reactor de oxidación temperatura T2
Pérdida de
agua de
resultados
Buenos
enfriamiento
al reactor de
oxidación
resultados
Malos
130
 Descripción de las secuencias de salida.

 Las secuencias representarán la variedad de
salidas que puede seguir el evento iniciador.
 Una o más de las secuencias pueden
representar una reactivación segura y un
regreso a la operación normal o un cierre
sistemático.
131
Continuación …
Descripción
de la
secuencia
Condición segura,
regresar a
operación normal
Condición
segura paro
Pérdida de de proceso
agua de
resultados
Buenos
enfriamiento Condición
al reactor de insegura, reacción
oxidación fuera de control
(runaway),
Operador
resultados
informado del
Malos
problema
Condición
segura paro
de proceso
Condición insegura,
reacción fuera de
control (runaway),
Operador no
informado del
problema
132
 Evaluación del árbol de eventos.

 El evento iniciador viene determinado por una
frecuencia expresada normalmente en ocasiones
por año.
 A las funciones de seguridad normalmente se les
asigna una probabilidad de ocurrencia.
 La evaluación de las secuencias de salida es
obtenida como producto de la frecuencia del evento
iniciador y la probabilidad de ocurrencia de las
funciones de seguridad.
133
Continuación …
Descripción
de la
secuencia
LDA 1 LDA 2 LDA 3 Condición segura,

regresar a LDC 1
S operación normal
P=0.9
Condición
S segura paro LDC 2
P=0.9 S de proceso
Pérdida de P=0.9
agua de
enfriamiento Condición
al reactor de N
P=0.1 insegura, reacción
oxidación fuera de control
(runaway), LDC 3
N
P=0.1 Operador
F=1/año informado del
problema
Condición
S segura paro LDC 4
P=0.9 de proceso
N
Condición insegura,
P=0.1
reacción fuera de
control (runaway), LDC 5
N Operador no
P=0.1 informado del
problema
LDA= Línea de aseguramiento LDC= Línea de consecuencia

134
Continuación …
Descripción Frecuencia F
de la evento/año Pérdida por el evento
Gravedad
secuencia para que ocurra
Condición segura, 0.81 Sin Menor de 10 M

regresar a LDC 1
operación normal (1.2 años) consecuencias
Pérdidas de
Condición 0.081 producción; no hay
LDC 2 10 M - 100 M
segura paro (12.3 años) lesionados; hacer
de proceso informe de incidente
Condición
insegura, reacción Pérdidas de
0.009 producción; hay un
fuera de control
(runaway), LDC 3 (111 años) lesionado; hacer 100 M - 1,000 M
Operador informe de incidente
informado del
problema
Pérdidas de
Condición 0.09 producción; no hay 10 M - 100 M
segura paro LDC 4 (11 años) lesionados; hacer
de proceso
informe de incidente
Condición insegura, Pérdidas de

reacción fuera de 0.01 producción; hay uno o
LDC 5 1000 M - 10,000 M
control (runaway), (100 años) más lesionados; hacer
Operador no informe de incidente
informado del
problema
LDC= Línea de consecuencia

135
 Documentación de los resultados.

 Se debe proveer una descripción del sistema analizado,
una discusión de la definición del problema, incluyendo

los eventos iniciadores del accidente analizados, una
lista de suposiciones, los modelos de árbol de evento
que fueron desarrollados, la evaluación de la secuencia
de accidente y una discusión de las consecuencias de
las varias secuencias de accidente.
 Además, se deben presentar todas las recomendaciones
que surgieron del análisis del árbol de eventos.
136
 Dependen del número y complejidad de los eventos
iniciadores y de las funciones de seguridad incluidas en el
análisis.
Tamaño/complejidad del Pequeño/simple Grande/complejo

sistema
Preparación 1 a 2 días 4 a 6 días
Construcción del modelo 1 a 3 días 1 a 2 semanas
Evaluación cuantitativa 1 a 2 días 1 a 2 semanas
137
6. Apoyos:
 Algunos de los programas disponibles diseñados para
llevar a cabo estudios de AAE son:
 CHEM–RISK (NUS Corporartion, San Diego, California).
 ETA–II (SAIC, Los Altos, California).
 IRRAS–PC 2.5 (Idaho National Engineering Laboratory, Idaho
Falls, Idaho).
 RISKMAN (PLG, Inc., Newport Beach, California).
 Los paquetes de dibujo disponibles comercialmente
pueden también ser usados para dibujar los modelos
lógicos de árbol de eventos.
 Los software para el análisis de árbol de fallas son también
útiles para la realización de análisis cualitativo de los
modelos de árbol de eventos.
138
7. Resultados:
 Los árboles de eventos proveen una manera sistemática de
registro de las secuencias de accidentes y la definición de
las relaciones entre los eventos iniciadores y los eventos
subsecuentes que resultan en accidentes.
 Después de identificar los varios accidentes que pueden
ocurrir en un proceso con la técnica de AAE, se proponen
una serie de recomendaciones enfocadas a mejorar la
seguridad en la instalación.
 Los resultados que se pueden obtener con esta técnica son:
 Estimación de la seguridad del sistema.
 Estimación de probables consecuencias de accidentes.
 Evaluación de la efectividad de sistemas de protección.
139
e) Análisis por árbol de fallas
140
Análisis por árbol de fallas (AAF)
 El análisis por árbol de fallas corresponde al

acrónimo en inglés Fault Tree Analysis, FTA.
 El AAF fue desarrollado en los laboratorios Bell
Telephone por H. A. Watson entre los años de
1960 y 1961.
 Fue a finales de los 70’s que el AAF se aplicó
en la industria estadounidense.
141
Técnica de AAF
 Es un método que consiste en
Evento no deseado
o el desarrollo de un diagrama
Evento culminante
lógico Booleano de símbolos
Y
Puerta
lógica para deducir las fallas en un
sistema determinado.
Sucesos Sucesos
intermedios intermedios  Supone que un suceso no
Puerta deseado (un accidente o una
O
lógica
Condición
desviación peligrosa de
cualquier tipo) ya ha ocurrido, y
Suceso
Suceso no Suceso básico
Suceso no
desarrollado busca la cadena de sucesos
desarrollado externo
que le dan lugar (sucesos
intermedios),
intermedios hasta llegar a las
causas raíz que lo originan
(sucesos básicos).
básicos
142
Simbología
SÍMBOLO SIGNIFICADO
Sucesos intermedios: Resultan de la interacción de otros sucesos, que a
su vez se desarrollan mediante puertas lógicas. El situado en la parte
superior del árbol es el denominado “Evento Principal”.
Sucesos básicos: Constituyen la base de la raíz del árbol. No necesitan

desarrollo posterior en otros sucesos.
Sucesos no desarrollados: No son sucesos básicos y podrían

desarrollarse más, pero el desarrollo no se considera necesario, o no se
dispone de la suficiente información.
O Puertas “O”: Representan la operación lógica que requiere la ocurrencia
de cualquiera de los sucesos de entrada para producir el suceso de
salida. Corresponde al operador booleano .
Puertas “Y”: Representan la operación lógica que requiere la ocurrencia
Y simultánea de todos los sucesos de entrada para producir el suceso de
salida. Corresponde al operador booleano .
Suceso externo: Se utiliza para indicar una condición o un suceso que

existe como parte del escenario en que se desarrolla el árbol de fallas.
Símbolos de transferencia: el símbolo de entrada indica que el árbol de

fallas se desarrolla más allá de su correspondiente símbolo de salida (por
ejemplo, en otra página). Los símbolos son etiquetados usando números o
un código para asegurar que puedan ser diferenciados.
143
Continuación …
 El análisis de árbol de fallas puede ser tanto
cualitativo como cuantitativo.
 Análisis cualitativo: consiste en determinar la

secuencia lógica de sucesos que pueden
originar un incidente.
 Análisis cuantitativo: comprende la obtención
de la probabilidad de los sucesos básicos,
intermedios y del suceso no deseado, también
llamado evento culminante.
144
Álgebra de Boole
NOTACIÓN DE NOTACIÓN NOMBRE O
CONJUNTOS ALGEBRAICA DESIGNACIÓN
xy = yx x  y = yx

Ley conmutativa
xy = yx x + y =y + x
x(yz) = (xy) z x(yz) = (xy)z

Ley asociativa
x(yz) = (xy) z x+(y+z) = (x+y) + z
x(yz) = (xy)  (x z) x(y+z) = xy+xz

Ley distributiva
x(yz) = (xy) (xz) x+yz =(x+y) (x+z)
xx =x xx=x Ley de

xx =x x+x=x idempotencia
x(xy) =x x(x+y)=x
Ley de absorción
x(xy) = x x+ (xy)=x
145
Ley de idempotencia
 Sean dos conjuntos A = {1,2,3,4} & B = {1,2,3,4}
 La unión de A y B es:
A  B = {1,2,3,4} = A
como B = A entonces
AA=A ó AA=A
 La intersección de A y B es:
A  B = {1,2,3,4} = A
como B = A entonces
AA=A ó AA=A
146
Ley de absorción
 Sean dos conjuntos A = {1,2,3,4} & B = {3,4,5,6}
 Demostrar A  (A  B) = A
A  B = {1,2,3,4,5,6} = C
A  C = {1,2,3,4} = A por lo tanto
A  (A  B) = A ó A  (A  B) = A es cierto
 Demostrar A  (A  B) = A
A  B = {3,4} = D
A  D = {1,2,3,4} = A por lo tanto
A  (A  B) = A ó A  (A  B) = A es cierto
147
Características de la técnica AAF
1. Propósito:
 Determinar las combinaciones de fallas de equipos,

condiciones de operación, condiciones ambientales
y/o errores humanos que contribuyen a la ocurrencia
del evento no deseado, también denominado evento
culminante o accidente.
 Identificar las medidas correctivas para la mejora de la
confiabilidad o la seguridad del sistema, así como
identificar cuáles de estas medidas tienen un mayor
impacto a un costo más bajo.
148
2. Aplicación:
 Es frecuentemente utilizado en situaciones en donde

otra técnica de identificación de riesgos haya señalado
un peligro que pudiera dar origen a un accidente
importante y se requiere de un análisis más detallado.
 Puede ser utilizado en el diseño de un proyecto o en la
modificación y operación de una instalación industrial.
 Se le puede utilizar para analizar proyectos nuevos de
los cuales no existe historia, pero se debe contar con
una base de datos de instalaciones similares.
149
Aplicación (continuación …)
Etapas de vida de una planta AAF
Perfil (Definición y diseño del proceso) x
(Experimentación planta piloto)

Ingeniería básica y de detalle 
Arranque, Puesta en Marcha

x
Operación normal de la planta 
Modificaciones 
Estudio de incidentes 
Abandono del proceso o Desmantelamiento x
150
3. Requerimientos:
 El uso del AAF requiere de los siguientes puntos:
 Un conocimiento detallado del funcionamiento de la
planta/sistema.
 Propiedades de materiales peligrosos.
 Diagramas de tubería e instrumentación, de flujo de
proceso y de localización general de equipo.
 Información acerca del funcionamiento de los equipos.
 Procedimientos de operación.
 Factores humanos.
 Factores ambientales.
 Es importante contar con al menos un analista bien entrenado
y con experiencia en el desarrollo de la técnica.
151
4. Metodología:
 Los pasos para realizar un AAF son:

 Descripción del sistema y elección
de sus límites (alcance del análisis
AAF).
 Identificación de peligros y
selección del evento culminante.
 Construcción del árbol de fallas.
 Evaluación o análisis cualitativo del

árbol de fallas.
 Evaluación o análisis cuantitativo
del árbol de fallas.
152
 Descripción del sistema y elección de sus

límites (alcance del análisis AAF).
 El primer paso para la construcción de un árbol
de fallas es un estudio previo del sistema o
proceso que se quiere analizar con el fin de
determinar los incidentes susceptibles de ser
analizados y evaluados.
153
 Identificación de peligros y selección del

evento culminante.
 El evento culminante regularmente es una
situación peligrosa identificada mediante
técnicas de identificación de riesgos como el
análisis HazOp, el análisis ¿Qué pasa si …? o
el análisis de los modos de fallas y sus efectos.
 Los eventos culminantes son usualmente
accidentes mayores tales como la fuga de
material tóxico o inflamable, ruptura de tanques
o reacciones fuera de control.
154
 Construcción del árbol de fallas.
 Normalmente un árbol de fallas se construye de arriba
hacia abajo.
 En la parte de arriba se define el evento culminante.
 Se determina el o los eventos que pueden dar origen al
evento culminante (eventos intermedios). Para llevar a

cabo esto, el analista puede preguntar “¿cómo puede
suceder esto?” o “¿cuáles son las causas de este
evento?”.
evento?”
 Se determina la relación entre los eventos intermedios y
el evento culminante con las entradas “O” e “Y”.

 Se continúa de esta manera sucesivamente hasta
alcanzar el nivel de detalle elegido.
155
 Evaluación o análisis cualitativo del árbol

de fallas.
 Comprende la obtención de los conjuntos
mínimos de corte (CMC), con el propósito de
entender o comprender los mecanismos o
modos de falla del sistema.
 Los CMC son las combinaciones mínimas de
sucesos cuya ocurrencia simultanea garantiza
que ocurra el suceso no deseado.
156
Probabilidad Descripción
 Evaluación o análisis (P)
cuantitativo del árbol de Inminente (puede ocurrir
1
fallas. en cualquier momento)
Muy probable (ha
 Comprende la obtención 1x10-1 ocurrido o puede ocurrir
de la probabilidad de los varias veces al año
eventos básicos y del 1x10-3
Probable (ha ocurrido o
evento culminante. puede ocurrir en un año)
Poco probable (no se ha
 La probabilidad de los 1x10-5
presentado en 5 años)
eventos se puede Improbable (no se ha
1x10-7
obtener con la siguiente presentado en 10 años)
tabla. 1x10-9
No se ve probabilidad de
que ocurra
157
Reglas para el cálculo de compuerta a
compuerta del AAF
Compuerta Entrada de datos Cálculo de salida Unidades
PA O PB P (A O B) =1-(1-PA)(1-PB)
= PA + PB - PAPB
= PA +PB
O
FA O FB F (A O B) = FA + FB t-1
PA O FB No se permite este cálculo

PA Y PB P (A Y B) = PAPB
Y Pareja inusual, generalmente

F A Y FB
es FA Y PB
FA Y PB F (A Y B) = FAPB t-1
158
Ejemplo 1 de un AAF
Sistema de suministro de agua (caso
hipotético)
Reactor
DC-100
Bomba
GA-100
Válvula
Bomba
GA-100/R
Fuente de agua
inagotable
FB-100
159
Desarrollo del AAF
 Ignorando la contribución de las líneas, se
puede proponer el siguiente árbol de fallas
de acuerdo a los siguientes eventos:
 T: No hay flujo de agua en el reactor DC-100.
 A: La bomba GA-100 falla al arrancar.
 B: La bomba GA-100/R falla al arrancar.
 C: La válvula falla al abrir.
 T será el evento no deseado o evento
culminante y A, B y C serán los eventos
básicos.
160
Árbol de fallas (ejemplo 1)
T: No hay flujo de
agua en DC-100
E1 E2
O O
E3 A C E4
O Y
B C A B
161
Análisis cualitativo
 Se plantean las ecuaciones para la solución

del AAF:
T = E1E2 (1)
E1 = E3 +A (2)
E2 = C+E4 (3)
E3 = B+C (4)
E4 = AB (5)
162
Análisis cualitativo (continuación…)
 Sustituyendo (2) y (3) en (1) tenemos
T=(A+E3)  (C+E4)
T=AC + AE4 + CE3 + E3E4 (6)
 Sustituyendo E3 en (6)
T=AC + AE4 + C (B + C) + (B + C) E4
T=AC + AE4 + CB +CC + E4B + CE4 (7)
 Sustituyendo E4 en (7)
T=AC + A(AB) + CB +CC + (AB)B + C(AB) (8)
163
Análisis cualitativo (continuación..)
 Aplicando la ley de la idempotencia en (8)
T=AC + A(AB) + CB + CC
C + (AB)B + C(AB) (8)
 Aplicando la ley de la absorción en (8)
T= AC + A(AB) + CB + C + (AB)B + C(AB)
T= C + A(AB) + (AB)B (9)

 Redistribuyendo y aplicando ley de idempotencia en (9)
A
T= C + (AA)B B
+ A(BB)
AB+ AB
T= C + AB (10)
 Los CM son C y AB, siendo CM primario y secundario
respectivamente.
164
Análisis cualitativo (continuación..)
 Mediante la aplicación
de las leyes del álgebra
de Boole podemos
reducir el tamaño de
los árboles.
 También sirve para
hallar los conjunto
mínimos y mediante el
análisis cuantitativo, se
pueden obtener los
conjuntos mínimos de
corte.
165
Análisis cuantitativo
 Asignando probabilidades a los eventos básicos y sustituyendo
en la ecuación (10).
 A: La bomba GA-100 falla al arrancar P = 1x10-1
 B: La bomba GA-100/R falla al arrancar P = 1x10-3
 C: La válvula falla al abrir P = 1x10-1
Resolviendo la ecuación (10)
T = 1x10-1 +(1x10-1  1x10-3)
T = 0.1001 = P
 Usando la ecuación siguiente se puede obtener la frecuencia.
P = 1 – e-f*t
Si t = 1 año y P = 0.1001 se despeja f y se obtiene que
f = 0.1055 eventos/año
166
 El tiempo y costo para un AAF depende de la
complejidad del sistema a analizar y el nivel de
resolución del análisis.
Tamaño/complejidad del Pequeño/simple Grande/complejo

sistema
Preparación 1 a 3 días 4 a 6 días
Construcción del modelo 3 a 6 días 2 a 3 semanas
Evaluación cuantitativa 2 a 4 días 1 a 4 semanas
167
6. Apoyos:
 Algunos de los programas disponibles diseñados para
llevar a cabo estudios de AAF en forma cuantitativa
son:
 BRAVO (JBF Associates)
 CARA-FaultTree
 FaultrEASE
 Risk Spectrum Fault Tree
 Los paquetes de dibujo disponibles comercialmente
pueden también ser usados para dibujar los modelos
lógicos de árbol de fallas.
168
7. Resultados:
 El análisis de árbol de fallas descompone un evento no

deseado o accidente en sus elementos contribuyentes,
ya sean éstos fallas humanas, de equipos de la planta,
sucesos externos, etc.
 Permite asimismo la cuantificación de la probabilidad o
frecuencia con que puede producirse el evento no
deseado.
 Lista de recomendaciones para disminuir la
probabilidad de que el evento no deseado ocurra.
169
Ventajas:
 La ventaja principal de esta técnica es su representación gráfica,

que facilita la comprensión de la causalidad.
 Como método de análisis de riesgos es de los más
estructurados, y puede aplicarse a un solo sistema o a sistemas
interconectados.
 Es, además, una de las pocas técnicas capaces de tratar
adecuadamente las fallas por causa común.
Desventajas:
 La aplicación del análisis AAF a sistemas complejos puede

revestir dificultades matemáticas considerables para el no
iniciado.
170
Ejemplos de las técnicas
AAE, AAF y ACP
171
Caso de estudio 1
Fuego en un salón de eventos (fiesta,

convención, cursos de capacitación,
etc.) de un Hotel.
172
Ejemplo 1 de Análisis por Árbol de
Eventos
173
Fallas
174
AAF (Análisis por Árbol de Fallas)
El anterior evento tope, T, es de acuerdo al Álgebra

Booleana igual a:
T = (EI-1)(EI-2)(EI-3)(EI-4)(EI-5)
F P P P P
PEI-2= PEB-2 + PEI-7=0.05+0.05=0.10

PEI-3= PEB-3 + PEI-8=0.05+0.05=0.10
PEI-4= PEB-4 + PEI-9=0.05+0.05=0.10
PEI-5= 0.5
T = (1/año)(0.1)3(0.5)=0.0005/año
175
Continuación…
 Si en un momento el Ing. de Mantenimiento deja de
trabajar en el Hotel, en su lugar se queda un
técnico, quien no sabe ni le interesa dar
mantenimiento a: 1) Extinguidores, 2) Detectores y
3) Sistema de rociadores. En muy poco tiempo, la
probabilidad de que al ser requeridos no funcionen,
va a subir; por ejemplo de 0.05 a 0.55 entonces
PEI-2 = PEI-3 = PEI-4 = 0.55+0.05 =0.6 y
T = (1/año)(0.6)3(0.5)=0.108/año
[=] 1 vez /9.3 años
176
Por Análisis de Capas de Protección se
tiene
IPL-1 IPL-2 IPL-3 IPL-4

FCki= Frecuencia de la consecuencia “k” para el evento inciador “i”
IPL-1= Extinguidor (es) manual (es)
IPL-2= Sistema de detección con alarma y mangueras de CI
IPL-3= Sistema de rociadores
IPL-4= El cuerpo de bomberos de la ciudad
Ck = LDC-5 = Línea de consecuencia cuando todo falla
FEI-1= Frecuencia del evento iniciador 1= fuego en el salón de eventos del hotel = 1/año
PFODij = PFOD de la “j” IPL contra la consecuencia “k” para el evento iniciador “i”.
j n
FCki  FEI i *  PFODij
j 1 177
Continuación …
Si todo funciona normal

FCki = (1/año)(0.1)3(0.5)=0.0005
= 1 vez/2000 años
Si no se le da mantenimiento a ninguna de
las tres IPL’s (Independent protection layer)
FCki = (1/año)(0.6)3(0.5)=0.108/año
= 1 vez/9.3 años
178
Caso de estudio 2
Al hacer sus rondines el operador de turno entró al

cuarto de magma e inhaló vapores de cloro
provenientes de la válvula en la descarga de una
bomba que estaba fugando. No había ninguna alerta de
que los vapores estuvieran en el cuarto.
179
Eventos
180
Fallas
181
Por Análisis de Capas de Protección se
obtiene j n
FC  FEI * PFOD
ki i 
j 1
ij
 2 / año * (0.1)  0.2veces / año

Si se hacen las siguientes mejoras
1. Se instalan líneas soldadas en todas las partes posibles, para
EB-2, F = 0.05/año
2. Se compra una mejor válvula de inyección de Cl2 y se le da
mantenimiento cada 6 meses, con refacciones originales, para
EB-1, F = 0.2/año
3. Se instala una bomba de relevo de mayor calidad y/o se le da
mantenimiento cada 3 meses a una de las bombas y se hace
programa de rotación semanal de las bombas en uso para
EB-3, F = 0.25/año
o sea que FEIi = 0.2+0.05+0.25 = 0.5/año
182
Por ACP se obtiene
4. Se instala un detector y alarma redundante
y se hace un programa de verificación
mensual (SIL=1), la
PFODij  de 0.1 a 0.01 entonces
j n
FCki  FEI i *  PFODij
j 1
 0.5 / año * (0.01)  0.005veces / año
183

CII S6 Métodos Generalizados

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CII S6 Métodos Generalizados

Cargado por

Copyright:

Formatos disponibles

Cap.

II, Sección 2, Parte 3

a) Análisis ¿qué pasa si? T-2

 La técnica ¿qué pasa si? (del inglés What If) determina

 La metodología involucra una lluvia de ideas que parte

 La técnica ¿qué pasa si?, es un método de análisis de riesgos

operación. Estudio de incidentes 

 Cuando se trata de analizar cualquier equipo, sección o

 Diagramas representativos del sistema a evaluar:

 Información específica del proceso para generar el listado

 Un grupo de trabajo compuesto de 2 a 3 personas

Básicamente se puede conseguir con el siguiente método:

 Preparar la revisión del proceso.

¿QUÉ PASA SI…

 Encontrar las consecuencias de los eventos

 Encontrar las salvaguardas o protecciones

 Llenar una hoja de trabajo con las preguntas

INTENCIÓN DE DISEÑO: REVISÓ:

¿QUÉ PASA SI? CONSECUENCIAS RECOMENDACIONES

INTENCIÓN DE DISEÑO: REVISÓ:

INTENCIÓN DE DISEÑO: REVISÓ:

INTENCIÓN DE DISEÑO: REVISÓ:

 Documentar los resultados.

5. Tiempo estimado de realización:

Tamaño/complejidad Pequeño/simple Grande/complejo

 Carecer de una estructura más sistemática, pues las

¿Qué pasa si no se efectúa el Se realiza el procedimiento de Realizar el muestreo de gasolina primaria

En este proceso se envían una solución de amoniaco y una

 Si es mayor el flujo de NH3 que de H3PO4, el amoniaco sin

 Como existe la posibilidad de que el FDA sea liberado en el área

DESVIACION CAUSA CONSECUENCIAS IMPACTOS PROTECCIONES

Palabras guía Son palabras que se utilizan junto con los

Desviación Es cualquier falla que cambia,

Inverso Opuesto lógico Flujoinvertido

Transferencia desde un origen y/o destino equivocado

PARTE DE TAMBIEN COMO INVERSO OTROS QUE

Nivel Vacío Alto nivel Bajo nivel

3. Definir los parámetros

SI 7. Listar todas las

 Identificar las posibles causas de la desviación.

 Las causas son típicamente provocadas por:

Más flujo Incremento de presión corriente arriba

 En el HazOp basta con determinar un orden

2 Hasta una vez en diez años.

+1 Una vez por mes Se espera que ocurra frecuentemente o regularmente

I. Consecuencia insignificante Insignificantes efectos adversos en el personal, proceso o

III. Interrupción de negocios Paro temporal

IV. Daño al equipo Daños al revestimiento interno

V. Producto sub-especificado N/A

VIII. Pérdida de contención térmica/radiación

IX. Pérdida de contención reactivos químicos Fuga/derrame de material radioactivo

X. Pérdida de contención tóxico/corrosión Vapor/líquido tóxico/corrosivo en el ambiente

XI. Asfixia Entrada a los recipientes purgados

X!I. Otros efectos indeseados para el personal fuera de sitio

 La gravedad es la calificación que se le

6+ Extremada- Fatalidades múltiples 7+ desastroso

1 10% 90% Operación simple, respuesta

2 1% 99% Equipo de hardware simple 1

3 0.1% 99.9% Protección pasiva (válvula de 2

4 0.01% 99.99% Dos lazos de control 3

IR (pérdida/año) = Frecuencia (accidente/año)

Su valor está en función de los rangos con los que se

 Aceptar el riesgo: es poder vivir con el riesgo latente,

 Las recomendaciones o acciones para mitigar el riesgo