MANUAL DE SEGURIDAD DE PROCESOS 1

M

ANU

AL DE SEGURID

AD DE PR

Seguridad funcional en

la industria de proceso

Principios, normas e implementación

AD DE PROCESOS 1 –

Segur idad funcional en la industr ia de pr ocesos/Pr incipios , nor mas e implementación

la maquinaria, además de la legislación, la teoría y la práctica. Número de publicación: SAFEBK-RM002B

Comuníquese con su representante de Rockwell Automation para obtener una copia de esta guía, o visite

Seguridad funcional en la industria de proceso

Contenido

Capítulo 1 Introducción a IEC 61511 ... 3

Capítulo 2 Ciclo de vida de seguridad general ... 11

Capítulo 3 Peligros e identificación de peligros ...19

Capítulo 4 Riesgo y reducción de riesgos ... 30

Capítulo 5 Principio ALARP ... 41

Capítulo 6 Determinación de objetivos del SIL ... 47

Capítulo 7 Diagramas de riesgos ... 62

Capítulo 8 Análisis de capas de protección (LOPA) ... 68

Capítulo 9 Asignación de funciones de seguridad ... 81

Capítulo 10 Especificación de requisitos de seguridad para el SIS ... 85

Capítulo 11 Diseño e ingeniería del SIS ... 87

Capítulo 12 Técnicas de fiabilidad ... 89

Capítulo 13 Verificación SIL ... 122

Capítulo 14 Probabilidad de fallo de SIF, IEC 61511-1 ...137

Capítulo 15 Instalación, puesta en servicio y validación, IEC 61511-1 ... 150

Capítulo 16 Funcionamiento y mantenimiento, IEC 61511-1 ... 153

Capítulo 17 Modificación y desmantelamiento, IEC 61511-1 ... 156

Capítulo 18 Gestión, evaluación y auditoría ... 158

Capítulo 19 Referencias ... 165

Capítulo 20 Definiciones ... 166

Prefacio

La norma IEC 61508 abarca la gestión de la seguridad de sistemas eléctricos, electrónicos y electrónicos programables (E/E/PE) a lo largo de su vida útil, desde el diseño hasta el desmantelamiento. Aplica los principios de seguridad en la gestión de sistemas y la ingeniería de seguridad en su desarrollo.

Como principio fundamental establece que, en la planificación de seguridad, deben fijarse objetivos de seguridad basados en la evaluación de riesgos y que el rigor de la gestión y de los procesos debe ser el adecuado para cumplir con ellos. Esto hace que la norma se base en objetivos en lugar de ser prescriptiva, lo que significa que la conformidad con la misma no exonera de culpa a los usuarios en caso de producirse un problema de seguridad.

La norma está pensada tanto como base para la preparación de normas más específicas, como para utilizarse de forma autónoma. Sin embargo se prefiere la primera aplicación; el segundo uso requiere la personalización de la norma, que la gerencia la comprenda de manera significativa y la planificación considerable de su introducción y uso.

Para muchos, la norma ha resultado difícil de leer y de comprender. No obstante, ya ha tenido una enorme influencia. Ha sido y continuará siendo la base de las normas de seguridad y de los marcos legales modernos, de modo que es esencial que todo el personal con alguna responsabilidad en cualquier fase de la vida útil de un sistema relacionado con la seguridad haga el esfuerzo de comprenderla bien.

El objetivo de este documento es ofrecer una introducción a la seguridad funcional y una guía para la aplicación de la norma IEC 61511, la implementación específica de la norma IEC 61508 en la industria de proceso. Aunque la norma americana ANSI/ISA-84.00.01 se basa en la norma IEC 61511, es prácticamente idéntica, por lo que esta guía se aplica a ambas. El objetivo de este documento es ofrecer información y orientación para poder comprender mejor las normas y sus requisitos. El documento intenta utilizar un lenguaje sencillo, ilustrado con ejemplos prácticos de proyectos reales, para explicar los principios y los requisitos básicos junto con las técnicas que pueden utilizarse para cumplir dichos requisitos.

Exención de responsabilidad

Aunque las técnicas presentadas en este documento se han utilizado correctamente para demostrar la conformidad en proyectos reales, debe tenerse en cuenta que la conformidad, las técnicas utilizadas para demostrar dicha conformidad y la recopilación

Introducción a IEC 61511

1. Introducción a la norma IEC 61511

1.1. ¿En qué consisten las normas IEC 61508 y IEC 61511?

IEC 61508 es una norma internacional publicada por la Comisión Electrotécnica

Internacional (IEC), cuyo objetivo principal es abordar los aspectos que deben tenerse en cuenta al utilizar sistemas eléctricos, electrónicos o electrónicos programables (E/E/PE) para desempeñar funciones de seguridad.

IEC 61508 [19.1] es una norma genérica aplicable a todos los sistemas E/E/PE relacionados con la seguridad, independientemente de su uso o aplicación. El título de la norma es:

IEC 61508:2010 Seguridad funcional de sistemas eléctricos/electrónicos/ electrónicos programables (E/E/PE) relacionados con la seguridad.

La norma se basa en el principio fundamental de que existe un proceso que puede suponer un riesgo a la seguridad o al medio ambiente, si algo pudiera ir mal en el proceso o en el equipo. El objetivo de la norma, por lo tanto, es resolver los contratiempos en los procesos y los fallos en los sistemas, a diferencia de los peligros relacionados con la salud y con la seguridad como tropiezos y caídas, y permitir manejar la seguridad de los procesos de forma sistemática y en base a los riesgos.

La norma da por supuesto que se deben facilitar funciones de seguridad para reducir dichos riesgos. Las funciones de seguridad pueden formar en conjunto un sistema instrumentado de seguridad (SIS), y su diseño y funcionamiento deben estar basados en la evaluación y la comprensión de los riesgos.

Un objetivo secundario de la norma IEC 61508 es permitir el desarrollo de sistemas E/E/PE relacionados con la seguridad cuando no existan normas de aplicación en el sector. Esta guía de segundo nivel en la industria de proceso queda cubierta por la norma

internacional IEC 61511 [19.2]. El título de esta norma es:

IEC 61511:2004 Seguridad funcional – Sistemas instrumentados de seguridad para el sector de la industria de proceso.

IEC 61511 no es una norma de diseño, sino una norma para la gestión de la seguridad a lo largo del ciclo de vida útil completo de un sistema, desde el diseño hasta el

desmantelamiento. En este enfoque es fundamental el ciclo de vida de seguridad general, que describe las actividades relacionadas con la especificación, el desarrollo, el

1.2. ¿Qué es la seguridad funcional?

La norma IEC 61511-1, 3.2.25 ofrece la siguiente definición.

“La seguridad funcional forma parte de la seguridad general relacionada con el proceso y con el sistema básico de control de proceso (BPCS), que depende del correcto funcionamiento del sistema instrumentado de seguridad (SIS) y de otras capas de protección.”

Dicho de forma más sencilla, la seguridad funcional es la reducción de riesgos que proporcionan las funciones implementadas para garantizar el funcionamiento seguro del proceso.

1.3. Comisión Electrotécnica Internacional (IEC)

La Comisión Electrotécnica Internacional se fundó en 1906, con el científico británico Lord Kelvin como primer presidente, y tiene su sede en Ginebra, Suiza. La IEC prepara y publica normas internacionales para electrotecnología, es decir, para los sectores de tecnologías eléctricas, electrónicas y otras afines.

La IEC apoya la seguridad y el rendimiento medioambiental de la electrotecnología, promueve la eficiencia energética y las fuentes de energía renovables, y se hace cargo de la evaluación del cumplimiento normativo de equipos, sistemas o componentes de acuerdo a sus normas internacionales.

La norma y el resto de publicaciones de la IEC están protegidas y sujetas a determinadas condiciones en cuanto a copyright, pero pueden adquirirse o descargarse en el sitio web de la IEC [http://www.iec.ch].

1.4. Estructura de la norma

Introducción a IEC 61511

Requisitos técnicos

Elementos de respaldo Parte 1

IEC 61511-1, 8: Desarrollo de los requisitos globales de seguridad (concepto, definición del alcance, evaluación de peligros y de riesgos)

Parte 1

IEC 61511-1, 9, 10: Asignación de los requisitos de seguridad a las funciones instrumentadas de seguridad y desarrollo de la especificación de los requisitos de seguridad

Parte 1

IEC 61511-1, 11, 12

Fase de diseño para los sistemas instrumentados de seguridad

Fase de diseño para el software del sistema instrumentado de seguridad

Parte 1

IEC 61511-1, 13, 14, 15: Prueba de aceptación de fábrica, instalación y puesta en marcha y validación de seguridad de los sistemas instrumentados de seguridad

Parte 1

IEC 61511-1, 16, 17, 18: Funcionamiento y mantenimiento, modificación y readaptación, desmantelamiento o desecho de los sistemas instrumentados de seguridad

Parte 1

IEC 61511-1, 2: Referencias

IEC 61511-1, 3: Definiciones y abreviaturas IEC 61511-1, 4: Cumplimiento con la normativa IEC 61511-1, 5: Gestión de la seguridad funcional

IEC 61511-1, 6: Requisitos del ciclo de vida de la seguridad IEC 61511-1, 7: Verificación

IEC 61511-1, 19: Requisitos de información IEC 61511-1, Anexo A: Diferencias

Parte 2

IEC 61511-2: Guía para la aplicación de la parte 1

Parte 3

IEC 61511-3: Guía para la determinación de los niveles de integridad de seguridad requeridos

La Parte 1 subraya los requisitos de cumplimiento normativo. Se define la planificación del proyecto, la administración, la documentación y los requisitos de competencia, así como requisitos técnicos para garantizar la seguridad a lo largo del ciclo de vida de seguridad.

En general, la Parte 1 es normativa ya que define requisitos específicos de cumplimiento normativo y presenta una estructura consistente que permite demostrar dicho

cumplimiento normativo cláusula por cláusula. La Parte 2 ofrece una guía de uso de la Parte 1.

En la Parte 3 se dan ejemplos prácticos de evaluación de riesgos con el fin de asignar niveles de integridad de seguridad [4].

Las Partes 2 y 3 son informativas y proporcionan guía sobre los requisitos de cumplimiento normativo.

1.5. Cumplimiento normativo con la norma IEC 61511

1.5.1. Requisitos de la Ley de Salud y Seguridad en el Trabajo, etc. de 1974

La Ley de Salud y Seguridad en el Trabajo, etc. de 1974 (HASAW o HSW) es la principal legislación sobre salud y seguridad laboral existente en el Reino Unido. La Autoridad de Salud y Seguridad (HSE) es responsable de hacer cumplir dicha ley, así como otras leyes e instrumentos legales aplicables al entorno laboral.

Nota: En muchos países tienen una legislación o normativa similar a la “Health and Safety at Work Act etc. 1974” del Reino Unido, citada en el texto como referencia. Para simplificar en este documento, por favor asuma que cuando se cita la “Health and Safety at Work act”, también implica otras leyes y normativas pertinentes que puedan existir en su país. El texto completo de la ley puede obtenerse en la Oficina de Información del Sector Público (OPSI) o descargarse de forma gratuita. Los usuarios de información legal deben actuar con cierta precaución. Es posible que los documentos impresos o en línea no estén actualizados y, por lo tanto, lo usuarios deben solicitar asesoramiento legal independiente o consultar la línea informativa de la HSE [http://www.hse.gov.uk/contact/index.htm]. En términos sencillos, la Ley de Salud y Seguridad en el trabajo establece que la obligación de cualquier empleador es garantizar, en la medida en que resulte razonablemente práctico, la salud, la seguridad y el bienestar en el trabajo de sus

Introducción a IEC 61511

Además, debe ser responsabilidad del empleador llevar a cabo sus tareas de forma que garantice, en la medida en que resulte razonablemente práctico, que las personas a las que no emplea y que pudieran verse afectadas no queden expuestas a riesgos a su salud o a su seguridad.

1.5.2. Requisitos de conformidad

La norma IEC 61511 establece que para declarar la conformidad debe demostrarse que se hayan cumplido los requisitos de la norma de acuerdo a los criterios requeridos y que, en cada cláusula o subcláusula, se hayan cumplido todos los objetivos.

En la práctica, por lo general resulta difícil demostrar la conformidad total con cada cláusula y subcláusula de la norma y se precisa cierto juicio para determinar el nivel de rigor aplicado al cumplimiento de los requisitos. Normalmente, el grado de rigor necesario depende de determinados factores como, por ejemplo:

• la naturaleza de los peligros; • la gravedad de las consecuencias; • la reducción de riesgos necesaria; • la fase del ciclo de vida que corresponda; • la tecnología utilizada;

• la novedad del diseño.

En otras palabras debe tomarse una decisión basada en el riesgo. En caso de falta de experiencia, cierta participación externa aumentaría la credibilidad de la declaración. 1.5.3. Consecuencias de la falta de conformidad

Puesto que la norma no es una ley, ya sea que usted cumpla con sus requisitos o no, usted debe ser consciente de las consecuencias de la falta de conformidad. Como empleado, responsable a cargo o responsable del riesgo, usted tiene la obligación, conforme a la Ley de Salud y Seguridad en el Trabajo, de controlar el riesgo en su lugar de trabajo.

Esta norma proporciona un enfoque sistemático a la gestión de todas las actividades del ciclo de vida de seguridad para sistemas que acostumbran a desempeñar funciones de seguridad y constituye, por lo tanto, una fuente adecuada de información y de técnicas. En caso de que algo saliera mal y, como consecuencia, alguien resultara herido o enfermara y usted no hubiera utilizado la mejor información a su disposición sobre la gestión del riesgo en cuestión, estaría en riesgo de ser investigado y procesado de acuerdo con la Ley de Salud y Seguridad en el Trabajo.

1.5.4. Requisitos de conformidad en plantas nuevas

Está claro que, si usted está implicado en cualquier fase del ciclo de vida de seguridad, sería razonable esperar que aplique la mejor información a su disposición para garantizar que los riesgos asociados a su planta se controlen a un nivel tolerable. Podría argumentarse que la mejor información disponible es la norma IEC 61511 y, por lo tanto, en caso de que algo fuera mal, el incumplimiento podría interpretarse como negligencia. 1.5.5. Requisitos de conformidad en plantas existentes

Existen numerosas plantas que fueron diseñadas y construidas antes de que la norma IEC 61511 se publicara formalmente y se encontrara disponible. Sin embargo, esta situación no supone un cambio en sus responsabilidades y, si usted está implicado en alguna fase del ciclo de vida de seguridad de una planta antigua (por ejemplo, funcionamiento, mantenimiento, etc.), entonces sus obligaciones permanecen conforme a la Ley de Salud y Seguridad en el Trabajo y los riesgos deben seguir siendo controlados como corresponda. La norma, por lo tanto, sigue siendo aplicable a estas plantas antiguas.

La norma ANSI/ISA-84 se refiere de forma específica a los sistemas anteriores y establece que, para un sistema instrumentado de seguridad (SIS) existente, diseñado y construido de acuerdo a los códigos, las normas y las prácticas aplicables con anterioridad a la publicación de la norma, el propietario/operario debe determinar que el equipo haya sido diseñado, sometido a mantenimiento, inspeccionado, probado y puesto en funcionamiento de forma segura. En efecto, usted debe comprobar que los sistemas existentes sean seguros utilizando los mejores métodos a su disposición.

En realidad, puede que sienta la necesidad de volver a las fases iniciales del ciclo de vida de seguridad de la planta existente y revisar o incluso realizar un nuevo estudio de riesgos y operabilidad (HAZOP) partiendo de cero. Al llevar el proceso hasta su conclusión, es posible que usted identifique riesgos no protegidos por las funciones de seguridad existentes, y será responsabilidad suya controlar dichos riesgos de algún modo.

Es muy probablemente que no resulte rentable diseñar nuevas funciones instrumentadas de seguridad (SIF) para una planta con 20 años de antigüedad. No obstante, si su planta ha funcionado con seguridad durante un periodo razonable de tiempo, los riesgos que usted identifique y la posibilidad de que sucedan, teniendo en cuenta todos los dispositivos de seguridad existentes, pueden seguir siendo tolerables.

Introducción a IEC 61511

y puede cuantificar la frecuencia de los peligros de una forma más precisa, utilizando sus propios registros históricos, que si se tratara de una instalación nueva. Deberá, por lo tanto, poder demostrar mediante un análisis que los riesgos que ha identificado son tolerables.

En el peor de los casos, si se da la situación de que hay determinados peligros sin protección, o si se requiere una medida de reducción de riesgos adicional, deberá saberlo y poner en práctica los pasos necesarios.

1.5.6. Motivos para cumplir con la norma IEC 61511

Además de la obligación legal implícita conforme a la Ley de Salud y Seguridad en el Trabajo, existen otros motivos para cumplir con la norma:

• Requisitos contractuales;

• Optimización de la arquitectura del diseño; • Posible ventaja en lo que respecta a marketing.

Podría argumentarse que la primera obligación de un negocio es sobrevivir, y que su objetivo no debería ser maximizar las utilidades sino evitar las pérdidas. A este respecto, usted debe preguntarse si prefiere aprender de los errores de los demás o cometerlos usted mismo.

1.6. Aplicación de la norma IEC 61511

La seguridad funcional puede aplicarse únicamente a funciones completas que, por lo general, consisten de un sensor, un ordenador o un controlador lógico programable (PLC), y un dispositivo accionado. No tiene sentido aplicar el término a productos: elementos del equipo como sensores o ordenadores.

Por lo tanto, cuando un fabricante declara, por ejemplo, que su producto es un sensor de presión SIL2 o un PLC SIL3 en realidad significa que el sensor de presión es adecuado para ser usado en una función de seguridad SIL2 o que el PLC es adecuado para ser usado en una función de seguridad SIL3.

El fabricante debería calificar las declaraciones con advertencias y restricciones respecto a su uso como, por ejemplo, los requisitos de tolerancia a fallos [13.3.1] o de prueba de calidad [12.8] para obtener el nivel de integridad de seguridad (SIL) declarado. Las declaraciones del fabricante pueden respaldarse incluso con un certificado SIL emitido por un organismo de evaluación independiente, pero esto no significa que la función de seguridad original cumpla con los requisitos de nivel de integridad de seguridad (SIL). El certificado SIL no es sustituto de la demostración de conformidad,

y el responsable a cargo no puede utilizar dichas declaraciones del producto para satisfacer sus responsabilidades conforme a la Ley de Salud y Seguridad en el Trabajo.

1.7. ¿Es necesario cumplir la norma?

1.7.1. Nueva construcción

Como se ha explicado anteriormente, existe una obligación legal implícita de cumplir la norma. Esto significa que, aunque la norma no es una ley, la ley exige que el responsable a cargo o el responsable del riesgo controle el riesgo a un nivel aceptable. La norma proporciona un enfoque sistemático para lograrlo y, por lo tanto, en caso de que algo saliera mal y que alguien resultara herido, no haber utilizado la mejor información disponible podría considerarse como una indicación de negligencia y podría dar lugar a acciones penales.

1.7.2. Planta existente

La Ley de Salud y Seguridad en el Trabajo sigue rigiendo en la planta existente y, por lo tanto, es necesario seguir identificando y controlando los riesgos de la forma más adecuada [1.5.5]. La norma IEC 61511 sigue proporcionando un modelo aplicable para el control de riesgos en plantas anteriores diseñadas y utilizadas antes de que se publicara la norma.

Ciclo de vida de seguridad general

2. Ciclo de vida de seguridad general

2.1. Ciclo de vida de seguridad

El ciclo de vida de seguridad engloba todas las actividades necesarias, desde la especificación, el desarrollo, el funcionamiento y el mantenimiento del sistema instrumentado de seguridad (SIS). De acuerdo al alcance de sus actividades, puede que a su caso se apliquen únicamente algunas de las fases (por ejemplo, funcionamiento y mantenimiento), pero debe conocer el enfoque del ciclo de vida completo.

En la Figura 2 se presenta el ciclo de vida de seguridad.

2.2. Fases del ciclo de vida

En la fase 1 se define el alcance en términos de barreras físicas, sociales y políticas, y se

Gestión de la seguridad funcional,

evaluación y auditoría de la seguridad funcional

10

Estructura y planificación del ciclo de vida de la seguridad

11

Verificación

9 Evaluación de peligros y riesgos

1

Asignación de funciones de seguridad a capas de protección

Diseño y desarrollo de otros medios de reducción de riesgo 2 Requisitos de seguridad Especificación para el SIS 3

Diseño e ingeniería para el SIS 4

Instalación, puesta en marcha y validación 5 Funcionamiento y mantenimiento 6 Modificación 7 Desmantelamiento 8

riesgo. Esto resulta fundamental para comprender los peligros y los riesgos que entraña el proceso.

Una vez que se establece la reducción de riesgos necesaria, se especifican los medios para obtenerla durante la asignación (fase 2) y los requisitos de seguridad generales (fase 3). En la fase 4 se diseñan los requisitos de seguridad generales como funciones de

seguridad. En este punto se examinan la optimización de funciones, la separación y otros temas de diseño como la filosofía de pruebas, y la planificación de estas actividades se trata como parte de la fase 11.

En las fases de la 5 a la 10 se demuestra que la norma no está restringida al desarrollo de sistemas, sino que también cubre la gestión de la seguridad funcional durante la vida útil de un sistema.

Muchos de los requisitos de la norma son técnicos por naturaleza, pero el enfoque del ciclo de vida concede la misma importancia a actividades de gestión efectivas como la planificación, la documentación, el funcionamiento, el mantenimiento, etc. y la modificación, y éstas deben incluirse en todas las fases. Las actividades de documentación, gestión y evaluación son paralelas, y resultan aplicables, a todas las fases y a las actividades del ciclo de vida que se muestran en la Figura 2.

2.3. Requisitos de conformidad

Puesto que la norma es no prescriptiva, la conformidad no es sencilla. Cuánto o cuán poco haga usted al declarar su conformidad es una decisión personal, pero debe estar convencido de que ha hecho lo suficiente. Se recomienda utilizar un enfoque de conformidad cláusula por cláusula para asegurarse de que ha tenido en cuenta todo lo que razonablemente se esperaba de usted. En otras palabras, que ha adoptado un enfoque riguroso.

La conformidad con la norma requiere que demuestre, con evidencias, que se ha adoptado un enfoque sistemático para controlar el riesgo y que dicho enfoque se ha aplicado a las fases adecuadas del ciclo de vida. Este enfoque sistemático lo proporciona la norma, y está basado en el ciclo de vida de seguridad.

La conformidad con la norma requiere comprender el ciclo de vida y que las actividades especificadas se lleven a cabo y se documenten. El seguimiento del ciclo de vida no es un ejercicio de papeleo que pueda satisfacerse generando informes y marcando casillas. La conformidad requiere que las actividades se lleven a cabo de forma efectiva y que se

Ciclo de vida de seguridad general

Rara vez se aplica un alcance de actividad limitado y se recomienda tener en cuenta todas las fases del ciclo de vida. Por ejemplo, para un operario, las modificaciones en las fases de funcionamiento y de mantenimiento pueden requerir decisiones y evaluaciones previas; por ejemplo, la re-evaluación del HAZOP y del análisis de riesgos volviendo atrás en el ciclo de vida.

2.4. Fases 1 y 2 del ciclo de vida de seguridad

Cada fase del ciclo de vida describe una actividad, y cada actividad cuenta con requisitos de información en forma de entradas. Cada fase consiste de una actividad, para la que usted debe disponer de procedimientos documentados, que produce información en forma de salidas para utilizar en las fases posteriores.

En la Figura 3 se muestran las actividades y los requisitos informativos de la fase 1 (Evaluación de peligros y riesgos) y de la fase 2 (Asignación de requisitos de seguridad). En la figura se muestra la información necesaria como una entrada (I/P) a la actividad y la información producida por la actividad para ser utilizada en una fase posterior. Debe tenerse en cuenta que, a pesar de que la norma describe las fases del ciclo de vida y los requisitos informativos de cada fase, en la práctica algunas de las fases y de los documentos asociados a ellas pueden combinarse si resulta apropiado. La claridad y la simplicidad son importantes, y las actividades deben llevarse a cabo y la información debe presentarse de la forma más efectiva posible.

El resultado de la fase 3 generalmente es un HAZOP y un análisis de riesgos, en el que se identifican los requisitos de las funciones de seguridad y los objetivos de reducción de riesgos.

En la fase 4 se trata la asignación de funciones de seguridad de acuerdo a los requisitos de seguridad identificados en la fase anterior. La asignación de requisitos de seguridad es el proceso de abordar cada uno de los requisitos de seguridad y de asignar funciones instrumentadas de seguridad. Se trata de un proceso repetitivo en el que se toma en cuenta el proceso y otras medidas de reducción de riesgos que puedan encontrarse disponibles para satisfacer los requisitos generales de integridad de seguridad. Es importante que, cuando comience la asignación de funciones de seguridad, se planifiquen también las fases siguientes, incluidas la instalación, la puesta en servicio y la validación, el funcionamiento y el mantenimiento (también consulte la Figura 5).

Toda la información relevante para cumplir con los requisitos de la subcláusula.

Familiaridad con el proceso, funciones de control, entorno físico; peligros y fuentes de peligro; información relativa a peligros, p. ej., toxicidad, duraciones y fuentes de peligro; información de peligro, p. ej., toxicidad, duraciones, exposición; reglamentos actuales; peligros como resultado de las interacciones con otros sistemas.

Información relativa al proceso, el entorno y los peligros.

Definir el límite del proceso, BPCS, otros sistemas, operadores; equipo físico; especificar el entorno, consideración de eventos externos; otros sistemas; tipos de eventos iniciadores: fallos de procedimiento, errores humanos, mecanismos de fallo.

Descripción de información relacionada con el análisis de peligros y riesgos.

Análisis de peligros y riesgos: Peligros; frecuencias de evento iniciador; otras medidas para reducir riesgos; consecuencias; riesgo; consideración del riesgo máximo tolerable;

disponibilidad de datos; supuestos relativos a la documentación. Especificación para los requisitos de seguridad globales en términos de requisitos de funciones de seguridad y requisitos de integridad de seguridad. Nota: las funciones de seguridad no son específicas en cuanto a tecnología. El objetivo del SIL debe especificar la fiabilidad específica.

Especificación de funciones de seguridad.

Información sobre la asignación de las funciones de seguridad globales, sus medidas de fallo específicas y los niveles de integridad de seguridad asociados. Supuestos relativos a otras medidas de reducción de riesgo que necesitan ser gestionadas a lo largo de la vida del proceso.

Definir el alcance del análisis de peligros.

11. Planifi-cación 1. Análisis de peligros y riesgos 2. Asignación de requisitos de seguridad. I/P O/P I/P O/P

Ciclo de vida de seguridad general

Especificación de funciones de seguridad.

Información sobre la asignación de las funciones de seguridad globales, sus medidas de fallo específicas y los niveles de integridad de seguridad asociados. Supuestos relativos a otras medidas de reducción de riesgo que necesitan ser gestionadas a lo largo de la vida del proceso.

Especificación de los requisitos de seguridad SIS.

Puede incluir C y E. Debe incluir:

a) especificación de estado de seguridad; b) requisito para pruebas de calidad; c) tiempo de respuesta;

d) interfaces de operador necesarias; e) interfaces a otros sistemas; f ) modos de operación;

g) comportamiento a la hora de detectar un fallo; h) requisitos para desactivación manual; i) requisitos de software de aplicación; j) medida de fiabilidad SIL y específica k) ciclo de servicio y vida útil;

l) condiciones medioambientales probables de encontrar; m) límites CEM;

n) limitaciones debido a CCF.

Ver IEC 61511-1, 10.3 para requisitos completos.

Realización de cada SIF conforme a la especificación de requisitos de seguridad SIS

Realización de cada medida de reducción de riesgos conforme a los requisitos de seguridad para dicha medida

Diseño y desarrollo de otras medidas 3. Especificación requisitos de seguridad 4. Diseño e ingeniería I/P O/P I/P O/P

2.5. Fases 3 y 4 del ciclo de vida de seguridad

En la fase 3 se trata la especificación de requisitos de seguridad (SRS), que permite que comience la fase de diseño e ingeniería (fase 4), Figura 4.

Es posible que su organización disponga de una lista de verificación de elementos que deben incluirse en la especificación del diseño. De este modo se garantiza que en cada proyecto se elabore una especificación completa y exhaustiva, y se contribuye a minimizar los fallos de la función de seguridad debidos a errores de especificación. La fase 4 se puede tratar adecuadamente en una especificación de diseño funcional (FDS) única o en un documento similar, en el que se defina la situación, el proceso y las consideraciones medioambientales y de funcionamiento, y en el que se establezca el alcance de las siguientes fases.

2.6. Fases 5 y 6 del ciclo de vida de seguridad

En las fases 5 y 6 se identifican los requisitos de instalación, puesta en servicio, validación, funcionamiento y mantenimiento del sistema instrumentado de seguridad (SIS)

(Figura 5).

2.7. Fases 7 y 8 del ciclo de vida de seguridad

Las entradas, las salidas y las actividades asociadas con la fase 7 (Modificación) son esencialmente las mismas que las asociadas con la fase 8 (Desmantelamiento). De hecho, el desmantelamiento es una modificación que tiene lugar al final del ciclo de vida que se inicia con los mismos controles y que se controla con los mismos dispositivos de seguridad (Figura 6).

Ciclo de vida de seguridad general

Plan para la validación de seguridad global del SIS.

Proporciona planificación para la validación de seguridad SIS con respecto a SRS y otra información de referencia, p. ej., diagramas de causa y efectos. La validación incluirá todos los modos relevantes de funcionamiento (puesta en marcha, desactivación, mantenimiento, condiciones anormales, etc.), los procedimientos, técnicas y medidas que se van a usar, así como el personal y los departamentos responsables. También incluirá la planificación de validación para el software de aplicación de seguridad.

Realización de cada SIF conforme a la especificación de requisitos de seguridad SIS

Plan para la instalación y la puesta en marcha del SIS.

Proporciona planificación para las actividades de instalación y puesta en marcha; los procedimientos, las técnicas y las medidas que se van a usar; el programa, el personal y los departamentos responsables.

Confirmación de que el SIS cumple la especificación para los requisitos globales de seguridad en términos de requisitos SIF y los requisitos de integridad de seguridad, teniendo en cuenta la asignación de requisitos de seguridad. Los requisitos de documentación incluyen: actividades de validación cronológica; versión de los requisitos de seguridad; función de seguridad objeto de validación; herramientas y equipo; resultados; elemento objeto de prueba, procedimiento aplicado y entorno de prueba; discrepancias; decisiones adoptadas como resultado.

Un plan para el funcionamiento y el mantenimiento del SIS

Proporciona planificación para las actividades operacionales rutinarias y anormales; prueba de calidad, actividades de mantenimiento, procedimientos, técnicas y medidas que se van a usar, así como el programa, el personal y los departamentos responsables, el método de verificación con respecto al funcionamiento y los procedimientos de mantenimiento.

SIS totalmente instalado y puesto en marcha:

documentación de instalación; referencia a informes de fallo; resolución de fallos.

Logro constante de la seguridad funcional requerida para el SIS. Debe implementarse lo siguiente: Plan F y M; procedimientos de funcionamiento, mantenimiento y reparación; implementación de procedimientos; seguimiento de los programas de mantenimiento; documentación de mantenimiento; ejecución regular de auditorías FS; documentación de modificaciones; documentación cronológica del funcionamiento y el mantenimiento del SIS;

5. Instalación, puesta en marcha y validación 6. Funcionamiento, mantenimiento y reparación I/P O/P I/P O/P

Logro constante de la seguridad funcional requerida para el SIS. Debe implementarse lo siguiente: Plan F y M;

funcionamiento, mantenimiento y procedimientos de reparación.

implementación de procedimiento;

seguimiento de programas de mantenimiento; mantenimiento de documentación;

ejecución de auditorías regulares FS; documentación de modificaciones;

documentación cronológica del funcionamiento y el mantenimiento del SIS.

Logro de la seguridad funcional requerida para el SIS, durante y después de que se haya llevado a cabo el mantenimiento de la fase de modificación. La modificación solamente debe iniciarse tras una solicitud autorizada con arreglo al procedimiento para la Gestión FS. La solicitud debe incluir: los peligros que pueden verse afectados; cambio propuesto (hardware y software); razón del cambio. Debe llevarse a cabo un análisis de impacto. Documentación cronológica del funcionamiento y mantenimiento del SIS.

7. Modificación 8. Desmantelamiento I/P

O/P

Peligros e identificación de peligros

3. Peligros e identificación de peligros

3.1. Fases del ciclo de vida

En la Figura 7 se muestra la fase del ciclo de vida aplicable.

El objetivo de esta fase, tal y como se define en la norma IEC 61511-1, 8.1, es determinar: • Los peligros/eventos peligrosos del proceso y del equipo asociado, la secuencia

de eventos que lleva al peligro y a los riesgos del proceso implicados [3.2 – 3.7]; • Los requisitos de la reducción de riesgos [5 y 6];

• Las funciones de seguridad necesarias para conseguir la reducción de riesgos necesaria [7 y 8].

Gestión de la seguridad funcional,

evaluación y auditoría de la seguridad funcional

10

Estructura y planificación del ciclo de vida de la seguridad

11

Verificación

9

Evaluación de peligros y riesgos

1

Asignación de funciones de seguridad a capas de protección

Diseño y desarrollo de otros medios de reducción de riesgo 2 Requisitos de seguridad Especificación para el SIS 3

Diseño e ingeniería para el SIS 4

Instalación, puesta en marcha y validación 5 Funcionamiento y mantenimiento 6 Modificación 7 Desmantelamiento 8

3.2. Peligros

El significado de la palabra peligro puede resultar algo confuso. A menudo los

diccionarios no ofrecen definiciones específicas, o combinan esta palabra con el término “riesgo”, por ejemplo, como “peligro o riesgo”, lo que explica por qué muchas personas utilicen ambos términos de forma intercambiable.

En el contexto de la seguridad funcional, los peligros son eventos que tienen el potencial de ocasionar daños tales como lesiones personales, efectos nocivos en el medio ambiente o perjuicios al negocio.

Entre los ejemplos de peligros en casa se incluyen: • Cristal roto, ya que puede ocasionar cortes;

• Charcos de agua, ya que pueden causar resbalones y caídas;

• Demasiados enchufes en una toma, ya que pueden sobrecargarla y producir un incendio.

Entre los ejemplos de peligros en el trabajo se incluyen:

• Nivel de ruido elevado, ya que puede ocasionar pérdida auditiva; • Respirar polvo de asbesto, ya que puede ocasionar cáncer. Entre los ejemplos de peligros en la industria de proceso se incluyen:

• El nivel de líquido en una cámara: el nivel alto puede ocasionar derrames de líquido en los caudales de gas, o el desbordamiento de un producto químico o de un líquido inflamable; el nivel bajo puede ocasionar que las bombas funcionen en vacío, o un arrastre de gas hacia las cámaras anteriores en el proceso.

• La presión de líquido en una cámara: la presión alta puede ocasionar pérdidas de contención, fugas o la rotura de la cámara.

El primer paso para evaluar el riesgo es identificar los peligros. Aunque se utilizan diferentes técnicas para identificar peligros, la de uso más común es el Estudio de Peligros y Operabilidad (HAZOP).

3.3. Utilización de HAZOP en la industria

Los estudios HAZOP fueron desarrollados originalmente en el Reino Unido por la empresa química ICI después del desastre de Flixborough del año 1974, y empezaron a utilizarse más ampliamente en la industria de proceso como resultado de dicho desastre. El sábado 1 de junio de 1974, las instalaciones de Nypro (Reino Unido) en Flixborough

Peligros e identificación de peligros

bloque de oficinas central no estaba ocupado. Se registraron 53 casos de lesiones a terceros fuera de las instalaciones y también se produjeron daños en las propiedades de la zona circundante.

Las 18 víctimas de la sala de control fallecieron a consecuencia de la destrucción de las ventanas y del hundimiento del techo. Nadie pudo escapar. El incendio siguió activo durante varios días y dificultó el trabajo de los equipos de rescate durante los 10 días siguientes.

Desde la industria química, y a través del intercambio general de ideas y de personal, los HAZOP se adoptaron posteriormente en la industria petrolera, en la que existe un potencial similar de desastres importantes. Después fueron también adoptados por las industrias alimentaria y del agua, en las que el peligro potencial es grande, pero en las que la mayor preocupación son los problemas de contaminación en lugar de las explosiones o los escapes de productos químicos.

3.4. Motivos para utilizar un HAZOP

Aunque el diseño de la planta se basa en la aplicación de códigos y normas, el proceso HAZOP permitió la posibilidad de añadir a estos una anticipación imaginativa de las desviaciones que podrían producirse, por ejemplo, debido a condiciones o contratiempos en los procesos, fallos de funcionamiento de los equipos o errores de los operarios. Además, la presión debida a la planificación de proyectos puede traducirse en errores o descuidos y el HAZOP permite corregirlos antes de que estas modificaciones resulten muy caras. Al resultar muy sencillos de comprender y poder adaptarse a cualquier proceso o negocio, los HAZOP se han convertido en la metodología para la identificación de riesgos más ampliamente utilizada.

3.5. Desviación respecto a la finalidad del diseño

Todos los procesos, equipos bajo control o plantas industriales tienen una finalidad en cuanto al diseño. Dicho propósito puede ser alcanzar una capacidad de producción objetivo en términos de tonelaje anual de un producto químico en particular o de un número específico de artículos fabricados.

No obstante, una importante finalidad secundaria del diseño puede ser llevar a cabo el proceso de forma segura y eficiente y, para hacerlo, se requiere que cada uno de los elementos del equipo funcione de forma efectiva. Este aspecto puede considerarse la finalidad del diseño para ese elemento específico del equipo.

Por ejemplo, como parte de los requisitos de producción de nuestra planta podemos necesitar unas instalaciones de enfriamiento de agua que contengan un circuito de enfriamiento de agua con una bomba de circulación y un intercambiador de calor, tal

La finalidad del diseño de esta pequeña sección de la planta podría ser hacer circular de forma continua agua de enfriamiento a una temperatura de X ºC y a una tasa de XXX litros/hora. Normalmente, los estudios HAZOP se dirigen a esta finalidad del diseño de nivel bajo. El uso de la palabra desviación resulta ahora más sencillo de comprender. Una desviación o divergencia respecto a la finalidad del diseño en el caso de nuestras instalaciones de enfriamiento de agua sería la reducción del flujo de circulación o el aumento de la temperatura del agua.

Tenga en cuenta la diferencia entre la desviación y su causa. En el caso anterior, el fallo de la bomba sería una causa, no una desviación.

En este ejemplo, el aumento en la temperatura del agua sería el peligro, ya que tendría el potencial de ocasionar daños como, por ejemplo, lesiones personales, efectos nocivos en el medio ambiente o perjuicios al negocio.

3.6. Técnica de estudios HAZOP

Los estudios HAZOP se utilizan para identificar peligros potenciales y problemas de operabilidad ocasionados por desviaciones respecto a la finalidad del diseño, tanto en plantas de procesos nuevas como existentes. Por lo general estos estudios se llevan a cabo periódicamente durante la vida útil de la planta. Por supuesto debe realizarse un estudio HAZOP inicial o preliminar en los momentos iniciales de la fase de diseño. El proceso debe revisarse a medida que progrese el desarrollo y siempre que se propongan

Intercambiador de calor Suministro de enfriamiento Bomba Depósito Ventilador de enfriamiento

Peligros e identificación de peligros

El estudio HAZOP se lleva a cabo en un foro de encuentro entre las partes interesadas con conocimientos y experiencia suficientes sobre el funcionamiento y el mantenimiento de la planta. La reunión es una sesión de tormenta de ideas estructurada, en la que se utilizan palabras guía para estimular ideas acerca de cuáles podrían ser los peligros. En el acta de la reunión se registran los temas de discusión y se reúne la información acerca de peligros potenciales, sus causas y sus consecuencias.

3.6.1. Equipo del estudio HAZOP

Es importante que el equipo del estudio HAZOP esté formado por personal que aporte al estudio el mejor equilibrio entre conocimientos y experiencia, teniendo en cuenta el tipo de planta. Un equipo del estudio HAZOP típico está formado del siguiente modo:

3.6.2. Información utilizada en el estudio HAZOP

Los siguientes elementos deben estar a disposición del equipo del estudio HAZOP para consultarlos:

• Diagramas de tuberías e instrumentación (P&ID) de las instalaciones; • Documentos de descripción de procesos o de filosofía;

• Procedimientos de funcionamiento y mantenimiento existentes; • Gráficas de causas y efectos (C&E);

Nombre Puesto

Presidente Explicar el proceso HAZOP, mantener conversaciones y facilitar el HAZOP.

Alguien con experiencia en HAZOP, pero no involucrado directamente en el diseño, para asegurarse de que el método se siga en detalle.

Secretaria Registrar el acta de la reunión sobre HAZOP y facilitar un registro visible

de las charlas. Registrar recomendaciones o acciones.

Ingeniero de procesos Generalmente el ingeniero responsable del diagrama de flujo de

proceso y del desarrollo de los diagramas de tuberías e instrumentación (P y ID).

Usuario/operario Asesorar sobre el uso y la operabilidad del proceso y el efecto de las

desviaciones.

Especialista C e I Alguien con conocimientos técnicos relevantes en materia de control e

instrumentación. Encargado de

mantenimiento

Persona encargada del mantenimiento del proceso.

Representante del equipo de diseño

Asesorar sobre cualquier detalle de diseño o facilitar información complementaria.

3.6.3. Procedimiento HAZOP

El procedimiento HAZOP implica partir de una descripción completa del proceso y cuestionar de forma sistemática cada una de las fases del mismo para establecer qué efecto negativo sobre el funcionamiento seguro y eficiente de la planta pueden tener la desviaciones respecto a la finalidad del diseño.

El equipo del estudio HAZOP aplica el procedimiento de forma estructurada y depende de que sus miembros recurran a su imaginación para identificar peligros creíbles. En la práctica, muchos de los peligros serán obvios, como el aumento de temperatura, pero el punto fuerte de la técnica reside en la capacidad de descubrir peligros menos obvios aunque pudieran parecer improbables a primera vista.

3.6.4. Palabras guía

En el proceso del estudio HAZOP se utilizan palabras guía para centrar la atención del equipo en las desviaciones respecto a la finalidad del diseño, sus posibles causas y consecuencias. Estas palabras guía se dividen en dos subgrupos:

• Palabras guía primarias, que centran la atención en un aspecto en particular de la finalidad del diseño o una condición o parámetro asociados al proceso como, por ejemplo, el flujo, la temperatura, la presión, el nivel, etc.;

• Palabras guía secundarias que, combinadas con una palabra guía, sugieren posibles desviaciones como, por ejemplo, mayor temperatura, menor nivel, ausencia de presión, flujo inverso, etc.

La técnica completa depende del uso efectivo de estas palabras guía, así que el equipo debe comprender con claridad su significado y su uso.

Debe tenerse en cuenta que las palabras guía se utilizan simplemente para estimular la imaginación sobre lo que podría ocurrir. No todas las palabras guía tendrán mucho sentido; no todos los peligros serán creíbles. En estos casos, se recomienda que en caso de que el equipo identifique eventos sin mucho sentido o no creíbles, se registren como tales y el equipo no pierda tiempo en continuar con su trabajo.

3.6.5. Modos de funcionamiento

Puesto que un HAZOP es un estudio de peligros y operabilidad, es importante tener en cuenta no solo el funcionamiento normal del proceso, sino también otros modos anormales como, por ejemplo, puesta en servicio, desactivación, llenado, vaciado,

Peligros e identificación de peligros

Para hacerlo se debe considerar cada uno de los modos de funcionamiento especificados en el alcance, como ejercicio independiente y produciendo un análisis HAZOP independiente para cada uno. Como alternativa, en el caso de sistemas relativamente sencillos, puede incluirse una columna adicional en las hojas de trabajo para identificar el modo. De este modo un solo análisis HAZOP puede considerar todos los modos de funcionamiento. 3.6.6. Registro del estudio HAZOP

Existen herramientas de software disponibles para guiarle a lo largo del proceso del estudio HAZOP. Como alternativa puede elaborarse una sencilla hoja de cálculo, para registrar los debates y los resultados. Las hojas de cálculo permiten realizar de forma sencilla la clasificación y la categorización, a la vez que proporcionan visibilidad y facilidad de rastreo entre las diferentes entradas, de modo que se puedan mantener referencias cruzadas con otros análisis.

Se recomienda registrar cada evento y la combinación de palabras guía considerada. En los casos en que resulte aplicable, puede anotarse: Causa no creíble; Sin consecuencias; Sin peligro. Esto representa un registro completo y se traduce en un informe HAZOP que demuestra que se ha llevado a cabo un estudio exhaustivo y riguroso. Esto será

inapreciable en la evaluación de la seguridad y de la operabilidad de modificaciones posteriores a la planta.

Además de lo anterior, con frecuencia se utilizan las palabras secundarias “Todo” y “Resto”. Por ejemplo, determinadas combinaciones de palabras guía primarias pueden identificarse como representantivas de causas creíbles (por ejemplo, Flujo/No Flujo/Retroceso. En el caso de otras combinaciones (Flujo/Menos, Flujo/Más, Flujo/Otro), en las que no pueden utilizarse causas creíbles, puede utilizarse la combinación “Flujo/Resto”.

3.6.7. Identificación de peligros – Encabezados de las hojas de trabajo del estudio HAZOP En la siguiente tabla se presenta un ejemplo de hoja de trabajo del estudio HAZOP para la cámara de descompresión. Tenga en cuenta que se trata de un ejemplo meramente figurativo que no está pensado para ilustrar el sistema real.

Referencia

Siempre vale la pena incluir una columna de referencia de modo que pueda hacerse referencia a cada entrada desde otros análisis, lo que hace posible también la facilidad de rastreo para un análisis posterior (por ejemplo, un LOPA [8]).

Palabras guía

Deben utilizarse palabras guía primarias y secundarias. En Internet pueden encontrarse varias listas de palabras guía aplicables a diferentes negocios e industrias.

Desviación

La desviación es la divergencia respecto a la finalidad del diseño iniciada por las palabras guía primarias y secundarias, y representa el peligro identificado.

Causa

Causas potenciales que podrían ocasionar una desviación. Es importante incluir información específica sobre la causa. Por ejemplo, si nos preocupara un aumento en la concentración de oxígeno ocasionada por un fallo en el sensor de O2, el sensor podría fallar de diferentes formas, pero únicamente leer una concentración falsa baja de O2 tendría como resultado la condición peligrosa.

Consecuencia

Las consecuencias que podrían surgir del efecto de la desviación y, si resulta apropiado, de la propia causa. Siempre sea explícito al registrar las consecuencias. No dé por hecho que el lector comprenderá más adelante cuál es el peligro o cómo se desarrollarán las consecuencias.

Al documentar consecuencias es importante recordar que el estudio HAZOP puede utilizarse para determinar el riesgo, por lo que resulta esencial una descripción total y completa de cómo podría desarrollarse el peligro y ocasionar consecuencias. Por ejemplo, las consecuencias pueden describirse como:

“Sobrepresión potencial que provoca la ruptura de tuberías de descarga de gas y la pérdida de contención. Liberación de un gran volumen de gas que se enciende en el escape caliente de la máquina y que produce una explosión o un fuego repentino con un número potencial de víctimas de hasta dos miembros del personal de mantenimiento. Daños en el compresor valorados de hasta €2 million, y pérdida de producción durante hasta 1 año.”

Al evaluar las consecuencias es importante no contabilizar los sistemas o instrumentos de protección que ya están incluidos en el diseño.

Dispositivos de seguridad

En esta columna se registran todos los dispositivos de protección existentes que ya sea eviten la causa o que protejan contra las consecuencias. Es necesario que los dispositivos de seguridad no se limiten al hardware; si resulta adecuado, pueden contabilizarse aspectos de procedimiento tales como inspecciones regulares de la planta (si está seguro

Peligros e identificación de peligros

3.7. Ejemplo de HAZOP

3.7.1. Cámara separadora

En el siguiente ejemplo se muestra un esquema simplificado de una cámara separadora de procesamiento. La cámara recibe el líquido de proceso, que se calienta por medio de un quemador a gas. El vapor se separa del líquido de proceso y se libera para ser exportado. El líquido concentrado restante se extrae de la parte inferior de la cámara una vez que finaliza la reacción (Figura 9).

La cámara incorpora un sistema de control distribuido (DCS), que controla el nivel de líquido dentro de la cámara, así como la presión y la temperatura del gas.

En el siguiente diagrama se muestra un ejemplo de HAZOP para esta cámara separadora. Exportación líquido Suministro gas combustible Importación líquido Exportación gas XV101 LL101 TT100 FCV100 FCV100 XV100 T P Quemador LH101 FCV102 XV102 PT102 LH LL

3.7.2. HAZOP de la cámara separadora

Ref.

Palabra guía primaria Palabra guía secundaria

Desviación Peligro Consecuencia 01 Flu jo ele vado de líq uido de proceso en la cámara. Un fl u jo ele vado en la cámara puede dar lugar a un ni vel ele vado , con arrastre de líq uido a la e xportaci ón de gas. Los da ños del e quipo en la rama descendente re quieren la sustituci ón de la cámara v alorada en € 1 0M y una interrupci ón del proceso de 6 meses. 02 Flu jo ele vado del líq uido de proceso fuera desde la e xportaci ón de líq uido de la cámara. Un fl u jo ele vado desde la cámara puede dar lugar a un ni vel b a jo , fuga de gas en la e xportaci ón de líq uido. Los da ños del e quipo en la rama descendente re quieren la limpie za de la cámara valorada en € 2M y una interrupci ón del proceso de 6 semanas. 03 Flu jo ele vado de gas h acia fuera desde la e xportaci ón de gas de la cámara. Ning ún peligro cre íb le Ninguna. 04 Flu jo b a jo de líq uido de proceso en la cámara. Un fl u jo b a jo h acia la cámara puede dar lugar a un ni vel ba jo , fuga de gas en la e xportaci ón de líq uido. Los da ños del e quipo en la rama descendente re quieren la limpie za de la cámara valorada en € 2M y una interrupci ón del proceso de 6 semanas. 05 Flu jo b a jo del líq uido de proceso fuera desde la e xportaci ón de líq uido de la cámara. Un fl u jo b a jo desde la cámara puede dar lugar a un ni vel ele vado , con arrastre de líq uido a la e xportaci ón de gas. Los da ños del e quipo en la rama descendente re quieren la sustituci ón de la cámara v alorada en € 1 0M y una interrupci ón del proceso de 6 meses. 06 Flu jo b a jo de gas h acia fuera desde la e xportaci ón de gas de la cámara. Ning ún peligro cre íb le Ninguna. 07 Retroceso No cre íb le. Ning ún peligro cre íb le Ninguna. 08 Tam bi énN o cre íb le. Ning ún peligro cre íb le Ninguna. 09 Otro No cre íb le. Ning ún peligro cre íb le Ninguna. 0 Más Presi ón ele vada en la cámara. Rotura de la cámara y li beraci ón del gas. La li beraci ón del gas prende en el q uemador y las super ficies calientes. Posi blemente dos ví ctimas entre el personal de mantenimiento. Los da ños del e quipo re quieren la sustituci ón de la cámara v alorada en € 1 0M y una interrupci ón del proceso de 1 a ño. Emisi ón le ve al medio am biente. Menos Presi ón b a ja en la cámara. Rotura de la cámara y li beraci ón del gas. La li beraci ón del gas prende en el q uemador y las super ficies calientes. Posi blemente dos ví ctimas entre el personal de mantenimiento. Los da ños del e quipo re quieren la sustituci ón de la cámara v alorada en € 1 0M y una interrupci ón del proceso de 1 a ño. Emisi ón le ve al medio am biente. Retroceso No cre íb le. Ning ún peligro cre íb le Ninguna. Tam bi énN o cre íb le. Ning ún peligro cre íb le Ninguna. 4 Otro No cre íb le. Ning ún peligro cre íb le Ninguna. 5 Más Temperatura ele vada en la cámara. Una temperatura ele vada conlle va una presi ón ele vada , la rotura de la cámara y la li beraci ón del gas. La li beraci ón del gas prende en el q uemador y las super ficies calientes. Posi blemente dos ví ctimas entre el personal de mantenimiento. Los da ños del e quipo re quieren la sustituci ón de la cámara v alorada en € 1 0M y una interrupci ón del proceso de 1 a ño. Emisi ón le ve al medio am biente. 6 Menos Temperatura b a ja en la cámara. Congelaci ón potencial del líq uido (solidi ficaci ón ), rotura de la cámara y p érdida de contenci ón. Los da ños del e quipo re quieren la sustituci ón de la cámara v alorada en € 1 0M y una interrupci ón del proceso de 6 meses. Emisiones al medio am biente q ue re quieren noti ficaci ón. Retroceso No cre íb le. Ning ún peligro cre íb le Ninguna. Tam bi énN o cre íb le. Ning ún peligro cre íb le Ninguna. 9 Otro No cre íb le. Ning ún peligro cre íb le Ninguna. 0 Más Ni vel ele vado en la cámara. Un ni vel ele vado en la cámara puede dar lugar a arrastre de líq uido en la e xportaci ón de gas. Los da ños del e quipo en la rama descendente re quieren la sustituci ón de la cámara v alorada en € 1 0M y una interrupci ón del proceso de 6 meses. Menos Ni vel b a jo en la cámara. Un ni vel b a jo en la cámara puede dar lugar a fuga de gas en la e xportaci ón de líq uido. Los da ños del e quipo en la rama descendente re quieren la limpie za de la cámara valorada en € 2M y una interrupci ón del proceso de 6 semanas. Retroceso No cre íb le. Ning ún peligro cre íb le Ninguna. Tam bi énN o cre íb le. Ning ún peligro cre íb le Ninguna. 4 Otro No cre íb le. Ning ún peligro cre íb le Ninguna. Ni vel Flu joM ás Menos Presi ón Temperatura

Peligros e identificación de peligros

3.7.3. Resultados del HAZOP

En resumen, los peligros identificados son:

La lista de peligros identificados forma un registro de peligros del sistema. El registro de peligros debe ser un documento activo durante el ciclo de vida del sistema, al que se puedan añadir datos o que pueda ser revisado a medida que se completen otros estudios. Cada uno de los peligros identificados podría tener consecuencias en la seguridad, medioambientales o comerciales pero, con el fin de responder a nuestras obligaciones conforme a la Ley de Salud y Seguridad en el Trabajo [1.5.1], debemos determinar el nivel de riesgo asociado a cada uno de los peligros [4].

Peligro Consecuencia

Un nivel elevado en la cámara puede dar lugar a arrastre de líquido a la exportación de líquido.

Los daños al equipo en la rama descendente requieren sustituir la cámara, valorada en €10M, e interrupción del proceso de 6 meses.

La presión elevada causa la rotura de la cámara y la liberación de gas.

Gas liberado prende en el quemador y en superficies calientes. Posiblemente dos víctimas del personal de mantenimiento. Daños al equipo requieren sustituir la cámara, valorada en €10M, e interrupción del proceso de 1 año. Emisión leve al medio ambiente. La temperatura elevada

conlleva presión elevada, rotura de la cámara y liberación de gas.

Gas liberado prende en el quemador y en superficies calientes. Posiblemente dos víctimas del personal de mantenimiento. Daños al equipo requieren sustituir la cámara, valorada en €10M, e interrupción del proceso de 1 año. Emisión leve al medio ambiente. Un nivel bajo en la cámara

puede dar lugar a fuga de gas a la exportación de líquido.

Los daños al equipo en la rama descendente requieren limpieza de la cámara, valorada en €2M, e interrupción del proceso de 6 semanas.

Una presión baja causa la rotura de la cámara y la liberación de gas.

Gas liberado prende en el quemador y en superficies calientes. Posiblemente dos víctimas del personal de mantenimiento. Daños al equipo requieren sustituir la cámara, valorada en €10M, e interrupción del proceso de 1 año. Emisión leve al medio ambiente. Baja temperatura,

congelación potencial del líquido (solidificación), rotura de la cámara y pérdida de contención.

Daños al equipo requieren sustituir la cámara, valorada en €10M, e interrupción del proceso de 6 meses. Emisiones al medio ambiente que requieren notificación.

4. Riesgo y reducción de riesgos

4.1. Concepto de riesgo

Un riesgo es la posibilidad de que un peligro cause un efecto adverso que pueda medirse. Se trata, por lo tanto, de un concepto con dos partes y, para que tenga sentido, es necesario contar con ambas partes. Las posibilidades pueden expresarse de diferentes formas como, por ejemplo, una probabilidad: 1 caso de cada 1000; como frecuencia o tasa: 1000 casos al año; o de forma cualitativa: insignificantes o significativas. El efecto puede describirse de muchas formas diferentes. Por ejemplo:

• Lesiones graves o fallecimiento de un único empleado; • Múltiples lesiones a terceros;

• Población general expuesta a un gas tóxico.

El riesgo anual de que un empleado sufra un accidente mortal [efecto] en su puesto laboral debido al contacto con maquinaria en movimiento [peligro] es inferior a 1 por cada 100,000 [posibilidad].

Es necesario, por lo tanto, cuantificar el riesgo en dos dimensiones. Debe valorarse el impacto, o sea las consecuencias del peligro, y debe evaluarse la probabilidad de suceso. Para simplificar, valore cada uno en una escala del 1 al 4, tal y como se muestra en la Figura 10, en la que, cuanto mayor es el número, mayor es el impacto o la probabilidad de suceso. Como principio general, al utilizar una matriz de riesgos como esta, puede establecerse una prioridad y evaluarse el riesgo.

Gravedad de la consecuencia Baja 1 1 2 3 4 2 3 4 Alta Media Crítica Probabilidad de que ocurra

Riesgo y reducción de riesgos

probabilidad de suceso es baja, el riesgo podría considerarse “Alto”. Por lo general, una oportunidad remota de que se produzca un evento catastrófico debería requerir mayor atención que una molestia menor que se da con frecuencia.

Hasta ahora, los ejemplos de riesgos están relacionados únicamente a la seguridad del personal, pero no existe ninguna razón para no adoptar el mismo enfoque con riesgos medioambientales, al negocio en términos de riesgos a un activo o a la capacidad de obtener ingresos o incluso a la reputación de una empresa, además de para la seguridad en lo que respecta a los problemas de suministro que pueden afectar a las empresas de generación energética.

4.2. Análisis de peligros (HAZAN)

A primera vista, puede llevarse a cabo una evaluación de riesgos como parte del HAZOP, lo que se conoce como análisis de peligro (HAZAN). Como se muestra en la Figura 10, cada peligro puede categorizarse en términos de su gravedad (normalmente del 1 al 4, siendo el 4 el más grave) y de su probabilidad de suceso, o frecuencia (del 1 al 4, siendo el 4 el más probable).

Es posible desarrollar el ejemplo de HAZOP [3.7.2] y al multiplicar las categorías de gravedad y frecuencia se obtiene una medición preliminar de riesgo en forma de un número de prioridad del riesgo (RPN) que puede utilizarse para priorizar acciones de reducción de riesgos, [4.3].

4.3. HAZAN de la cámara separadora

La columna “Acción” ofrece la oportunidad de realizar recomendaciones para iniciar una acción correctiva, tal como investigar qué dispositivos de seguridad adicionales pueden implementarse.

Las posibles acciones se clasifican en dos grupos: • Acciones que eliminan la causa;

• Acciones que mitigan las consecuencias.

Eliminar la causa del peligro es siempre la solución preferida. Únicamente cuando no sea factible, se debe considerar la opción de mitigar las consecuencias.

4.3.1. Acciones del HAZOP

En las hojas de trabajo del HAZOP se identifican asimismo acciones para investigar a mayor profundidad. En este ejemplo se identificaron las siguientes acciones.

Ref. Desviación Peligro Consecuencia Cat. grav. Cat. frec. RPN Dispositivos de seguridad Acción 01 .0 1 Flu jo ele vado de líq uido de proceso en la c ám ara . Un fl u jo ele vado en la c ám ara puede dar lugar a un ni vel ele vado , con arrastre de líq uido a la e xportaci ón de gas . Los da ños del e quipo en la ra m a descendente re quieren la sustituci ón de la c ám ara v alorada en € 1 0M y una interrupci ón del proceso de 6 m eses . 32 6 Control de ni vel . Considerar la instalaci ón de una alar m a de ni vel ele vado . 01 .0 2 Flu jo ele vado del líq uido de proceso fuera desde la e xportaci ón de líq uido de la c ám ara . Un fl u jo ele vado desde la c ám ara puede dar lugar a un ni vel b a jo , fuga de gas en el líq uido . Los da ños del e quipo en la ra m a descendente re quieren la li m pie za de la c ám ara valorada en € 2M y una interrupci ón del proceso de 6 se m anas . 212 Control de ni vel . Considerar la instalaci ón de una alar m a de ni vel b a jo . 01 .0 3 Flu jo ele vado de gas h acia fuera desde la e xportaci ón de gas de la c ám ara . Ning ún peligro cre íb le Ninguna . Ninguna . 01 .04 Flu jo b a jo de líq uido de proceso en la c ám ara . Un fl u jo b a jo h acia la c ám ara puede dar lugar a un ni vel b a jo , fuga de gas en el líq uido . Los da ños del e quipo en la ra m a descendente re quieren la li m pie za de la c ám ara valorada en € 2M y una interrupci ón del proceso de 6 se m anas . 22 4 Control de ni vel . Considerar la instalaci ón de una alar m a de ni vel b a jo . 01 .05 Flu jo b a jo del líq uido de proceso fuera desde la e xportaci ón de líq uido de la c ám ara . Un fl u jo b a jo desde la c ám ara puede dar lugar a un ni vel ele vado , con arrastre de líq uido a la e xportaci ón de gas . Los da ños del e quipo en la ra m a descendente re quieren la sustituci ón de la c ám ara v alorada en € 1 0M y una interrupci ón del proceso de 6 m eses . 313 Control de ni vel . Considerar la instalaci ón de una alar m a de ni vel ele vado . 01 .06 Flu jo b a jo de gas h acia fuera desde la e xportaci ón de gas de la c ám ara . Ning ún peligro cre íb le Ninguna . Ninguna . 01 .07 No cre íb le . Ning ún peligro cre íb le Ninguna . Ninguna . 01 .08 No cre íb le . Ning ún peligro cre íb le Ninguna . Ninguna . 01 .09 No cre íb le . Ning ún peligro cre íb le Ninguna . Ninguna . 01 .1 0 Presi ón ele vada en la c ám ara . Rotura de la c ám ara y li beraci ón del gas . La li beraci ón del gas prende en el q ue m ador y las super ficies calientes . Posi ble m ente dos ví cti m as entre el personal de m anteni m iento . Los da ños del e quipo re quieren la sustituci ón de la c ám ara v alorada en € 1 0M y una interrupci ón del proceso de 1 a ño . E m isi ón le ve al m edio a mb iente . 4 2 8 Control de presi ón . Considerar la instalaci ón de una alar m a de ni vel ele vado . 01 .11 Presi ón b a ja en la c ám ara . Rotura de la c ám ara y li beraci ón del gas . La li beraci ón del gas prende en el q ue m ador y las super ficies calientes . Posi ble m ente dos ví cti m as entre el personal de m anteni m iento . Los da ños del e quipo re quieren la sustituci ón de la c ám ara v alorada en € 1 0M y una interrupci ón del proceso de 1 a ño . E m isi ón le ve al m edio a mb iente . 4 1 4 Control de presi ón . Considerar la instalaci ón de una alar m a de ni vel ba jo . 01 .12 No cre íb le . Ning ún peligro cre íb le Ninguna . Ninguna . 01 .13 No cre íb le . Ning ún peligro cre íb le Ninguna . Ninguna . 01 .1 4 No cre íb le . Ning ún peligro cre íb le Ninguna . Ninguna . 01 .1 5T e m peratura ele vada en la c ám ara . Una te m peratura ele vada conlle va una presi ón ele vada , la rotura de la c ám ara y la li beraci ón del gas . La li beraci ón del gas prende en el q ue m ador y las super ficies calientes . Posi ble m ente dos ví cti m as entre el personal de m anteni m iento . Los da ños del e quipo re quieren la sustituci ón de la c ám ara v alorada en € 1 0M y una interrupci ón del proceso de 1 a ño . E m isi ón le ve al m edio a mb iente . 4 1 4 Control de te m peratura .Considerar la instalaci ón de una alar m a de te m peratura ele vada . 01 .1 6T e m peratura b a ja en la c ám ara . Congelaci ón potencial del líq uido (solidi ficaci ón ), rotura de la c ám ara y p érdida de contenci ón . Los da ños del e quipo re quieren la sustituci ón de la c ám ara v alorada en € 1 0M y una interrupci ón del proceso de 6 m eses . E m isiones al m edio a mb iente q ue re quieren noti ficaci ón . 313 Control de te m peratura .Considerar la instalaci ón de una alar m a de te m peratura b a ja . 01 .1 7 No cre íb le . Ning ún peligro cre íb le Ninguna . Ninguna . 01 .1 8 No cre íb le . Ning ún peligro cre íb le Ninguna . Ninguna . 01 .1 9 No cre íb le . Ning ún peligro cre íb le Ninguna . Ninguna . 01 .2 0 Ni vel ele vado en la c ám ara . Un ni vel ele vado en la c ám ara puede dar lugar a arrastre de líq uido en la e xportaci ón de gas . Los da ños del e quipo en la ra m a descendente re quieren la sustituci ón de la c ám ara v alorada en € 1 0M y una interrupci ón del proceso de 6 m eses . 32 6 Control de ni vel . Considerar la instalaci ón de una alar m a de ni vel ele vado . 01 .21 Ni vel b a jo en la c ám ara . Un ni vel b a jo en la c ám ara puede dar lugar a fuga de gas en la e xportaci ón de líq uido . Los da ños del e quipo en la ra m a descendente re quieren la li m pie za de la c ám ara valorada en € 2M y una interrupci ón del proceso de 6 se m anas . 212 Control de ni vel . Considerar la instalaci ón de una alar m a de ni vel b a jo . 01 .22 No cre íb le . Ning ún peligro cre íb le Ninguna . Ninguna . 01 .23 No cre íb le . Ning ún peligro cre íb le Ninguna . Ninguna . 01 .2 4 No cre íb le . Ning ún peligro cre íb le Ninguna . Ninguna .