Cepsa - PR 063 01 Es
Cepsa - PR 063 01 Es
Cepsa - PR 063 01 Es
SEGURIDAD
APROBADO
FIRMADO POR: J. MIGUEL LAGAREJOS GARCÍA
FECHA: NOVIEMBRE 2010
FIRMA:
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 1 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
GLOSARIO DE TÉRMINOS
HAZOP (Hazard and Operability): Análisis de riesgo y operabilidad que permite identificar los
riesgos potenciales y operacionales producidos por desviaciones de los sistemas respecto a sus
condiciones de diseño.
SIL (Safety Integrity Level): Nivel de integridad de seguridad. Se define como el nivel de reduc-
ción de riesgo que aporta una función instrumentada de seguridad.
BPCS (Basic Process Control System): Sistema de control básico de procesos. Se define co-
mo un sistema que monitoriza y controla el proceso en continuo, proporcionando información al
operador. Comúnmente se le conoce como DCS. Los PLC de seguridad están excluidos de este
sistema.
RG (Risk Gap): diferencia del riesgo del escenario sin capas de protección y el máximo riesgo
tolerable por la compañía.
RRF (RIsk Reduction Factor): Factor de reducción del riesgo. Está relacionada con la probabi-
lidad de fallo en demanda (es su inversa) y mide los órdenes de magnitud que reduce el riesgo
un determinado dispositivo.
Criterios de aceptación del riesgo: normas adoptadas para evaluar la idoneidad del riesgo re-
ferente a la protección del público, el personal de CEPSA (incluyendo a los contratistas), el medio
ambiente y los bienes de la compañía.
NOTA:
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 2 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
INTRODUCCIÓN
La técnica de análisis de riesgo y operabilidad HAZOP, que se ha empleado y desarrollado durante las
últimas cuatro décadas y que es ampliamente utilizada en las instalaciones del Grupo CEPSA, tiene el
propósito de identificar riesgos potenciales y problemas operacionales producidos por las desviaciones
en el comportamiento de los sistemas respecto a sus condiciones de diseño, tanto en instalaciones nue-
vas como en las ya existentes, y que pueden afectar a las personas, el medio ambiente o la integridad de
las mismas.
Por su parte, la determinación del nivel de integridad de seguridad, SIL, permite identificar, por un lado, la
diferencia entre el riesgo del escenario sin capas de protección y el máximo riesgo tolerable por la com-
pañía, valor que se conoce como “Risk gap”, y, por otro, la asignación de funciones de seguridad e identi-
ficación de las capas de protección.
Por tanto, la aplicación de ambas técnicas conjuntamente constituye una herramienta útil para el análisis
de riesgos, con el fin de asegurar que estos se encuentran dentro de los criterios de aceptación del ries-
go implantados en la compañía.
OBJETO
Modificaciones que afecten a las instalaciones y la aplicación del análisis del riesgo, según el
PR-104 o el procedimiento específico de gestión de cambios del centro, lo indique.
Este estudio será aplicado en la fase de diseño de la nueva instalación o modificación tan pronto
como sea posible y siempre que se disponga de la documentación de partida necesaria (P&IDs,
diagramas, listas de enclavamientos, etc), con el fin de que los posibles cambios que puedan surgir
de él, sean implementados en esta fase.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 3 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
PARTICIPANTES: RESPONSABILIDADES
Coordinador o Facilitador
5. El Coordinador o Facilitador, el cual deberá ser independiente (por ejemplo, que no tenga relación
con el proceso, la modificación o la operación de las instalaciones objeto de estudio) tendrá las si-
guientes responsabilidades:
Definir los motivos, el alcance y los objetivos del análisis, que serán explicados al grupo de tra-
bajo.
Analizar la documentación necesaria para la realización del estudio y comprobar que está dis-
ponible en cantidad, calidad y plazo adecuados.
Definir los nodos en los que se subdivide el sistema y consensuarlos con los asistentes.
Aplicar las palabras guía y los parámetros de forma sistemática, así como los gráficos de riesgo.
Asegurar que el grupo trabaja de forma efectiva, moderando y limitando las discusiones, man-
teniendo al grupo sobre el punto a discutir en cada caso y alentándolo a llegar a conclusiones,
exigiendo puntualidad a los asistentes, proponiendo las pautas/descansos necesarios, evitando
discusiones que estén fuera del alcance del estudio, etc.
Secretario
Recopilar toda la información que vaya surgiendo a lo largo del estudio, así como todas las re-
comendaciones que puedan efectuarse, comprobando siempre la exactitud de la misma.
Preparar los informes finales posteriores al estudio y su distribución entre los participantes.
La existencia de esta figura la determinará cada centro, pudiendo prescindir de ella, aunque se re-
comienda que se utilice siempre en el caso de estudios extensos o contratados a consultores exter-
nos. En aquellos casos en los que no exista esta figura, estas acciones serán acometidas por el
Coordinador o Facilitador.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 4 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Equipo multidisciplinar
7. Este equipo estará compuesto por personas de distintas disciplinas, preferiblemente con experiencia
en el proceso o modificación a tratar en el estudio. Entre ellas, se destacarían las siguientes:
Proyectos.
Procesos.
Electricidad e Instrumentación.
Operaciones.
Seguridad.
DOCUMENTACIÓN
8. La documentación necesaria para preparar el estudio, así como para llevar a cabo el desarrollo del
mismo, será, sin carácter exhaustivo, la siguiente:
Diagramas de flujo del proceso (PFDs).
Diagramas de tubería e instrumentos (P&IDs).
Descripción del proceso y sus distintos modos de operación (parada, operación normal y puesta
en marcha).
Descripción del sistema de enclavamientos.
Niveles SIL de las SIF existentes o, en su defecto, datos necesarios para su verificación poste-
rior.
Matrices causa-efecto.
Hojas de datos de seguridad de las sustancias involucradas.
Balances de materia y energía.
Plano de implantación.
Información sobre accidentes previos.
Gráficos de riesgo para la seguridad, el medio ambiente y riesgo financiero contenidas en la
presente guía.
Matriz de riesgo del Grupo CEPSA para análisis LOPA.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 5 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Para el correcto desarrollo del estudio, esta documentación estará actualizada, recogiendo todas las
posibles modificaciones que se hayan introducido en la vida de la instalación, si se trata de instala-
ciones existentes, o en fase de proyecto, si se trata de instalaciones nuevas.
Previamente al transcurso de las sesiones, se entregará una copia de la documentación a todos los
participantes, incluyendo los P&IDs marcados con los nodos objeto de estudio, definidos tal y como
se indica en el apartado siguiente.
METODOLOGÍA DE ANÁLISIS
9. Los participantes en el estudio, tal y como se ha definido anteriormente, se reunirán in situ para
realizar el análisis, cuyas etapas se indican en el siguiente gráfico:
10. Esta etapa es importante, ya que, en parte, define el nivel de resolución del análisis. Se debe subdi-
vidir el sistema objeto de estudio en nodos, los cuales engloban a uno o varios equipos y sus líneas
asociadas que tienen una misma intención de diseño, por lo que no significan un punto en el proce-
so. La definición de los mismos será labor del Coordinador del estudio.
11. Antes del comienzo de las sesiones, la lista de nodos deberá ser discutida y consensuada por los
asistentes al inicio del estudio. Se deberá comprobar que todas las partes de la unidad o proceso
están contempladas.
12. La lista inicial de nodos puede modificarse según avanza el estudio por diversos motivos: nodos
muy complicados de manejar, algún nodo que se ha pasado por alto, etc. Asimismo, no se reco-
mienda unificar nodos para acelerar el estudio, salvo justificación técnica.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 6 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Consideraciones adicionales
14. Para la identificación de las posibles desviaciones del sistema respecto de sus condiciones de di-
seño, se aplicarán una serie de palabras clave o guía sistemáticamente. Se distinguen dos tipos de
palabras clave:
Palabras clave primarias: enfocan la atención sobre un aspecto particular del objeto del diseño
o en una condición de proceso asociado o de un parámetro o flujo de material que cruza la ins-
talación objeto de estudio. Se suelen llamar parámetros.
Palabras clave secundarias: combinadas con una palabra clave primaria sugieren posibles
desviaciones. Se suelen llamar palabras guía.
15. Estos términos reflejan tanto el objeto del diseño del proceso como los aspectos operacionales
presentes en la planta o instalación objeto de estudio. A continuación se enumera una lista de pala-
bras, la cual es únicamente ilustrativa, dado que los términos empleados en una revisión dependen
del tipo de instalación o proceso que se está estudiando. Las palabras más utilizadas suelen ser las
enumeradas en la primera columna. Se les conoce como parámetros específicos.
16. Adicionalmente a los términos anteriores, pueden existir otros términos operacionales de importan-
cia, que se conocen como parámetros generales, y que son los siguientes:
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 7 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
17. De la combinación de una palabra clave secundaria con una palabra clave primaria, surgen poten-
ciales desviaciones o problemas operacionales. A continuación se enumeran las más estandariza-
das:
18. Adicionalmente, se pueden establecer otras palabras relacionadas con el término temporal, usual-
mente para procesos discontinuos:
19. Es importante señalar que no todas las combinaciones de palabras claves primarias y secundarias
son apropiadas. Por ejemplo, No Temperatura (cero absoluto) carece de significado.
20. Se deberán aplicar sistemáticamente las combinaciones de palabras clave primarias y secundarias
a cada uno de los nodos, con el fin de conocer las desviaciones de los parámetros de diseño que
podrían provocar daños a los equipos, al medio ambiente o a las personas.
21. Todas las desviaciones que se traten en el desarrollo del estudio deberán quedar reflejadas en las
tablas de recopilación de datos, aún en el caso de que no se hayan detectado causas previsibles de
que se produzca dicha desviación. En estos casos, deberá indicarse “Sin causas previsibles”.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 8 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Consideraciones adicionales
Cada uno de los parámetros debe tener definida su intención. Para la mayoría de ellos es el
rango de valores permitidos en operación y para otros, puede ser el valor de una especificación.
(Ejemplos: temperatura entre 100-150ºC, nivel entre el 20 y el 80%, producto con contenido en
agua inferior al 0,1%).
Para definir los valores en la intención, existen diversos enfoques: límites de operación normal,
límites de alarmas, límites de parada de unidad, límites de diseño, etc. El equipo HAZOP/SIL
deberá consensuar en cada caso qué límites elegir.
DETERMINACIÓN DE CAUSAS
23. En esta primera parte de la etapa, se determinarán qué causas pueden provocar las desviaciones
definidas en la etapa anterior. Esta etapa representa el mayor esfuerzo de “brainstorming” del equipo
HAZOP/SIL, ya que asegurar una lista completa de causas creíbles es la clave para un análisis
completo. Se distinguen los siguientes tipos de causas:
Fallos de equipos (incluida instrumentación).
Fallos humanos
Eventos externos
Fallos de equipos
25. Para describirlos, puede ser útil utilizar las siguientes preguntas: ¿Qué? ¿Cuál? ¿Cómo? ¿Por qué?
(Ejemplo: La bomba P-101 se para por fallo mecánico).
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 9 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Fallos humanos
27. Para describirlos, puede ser útil utilizar las siguientes preguntas: ¿Qué? ¿Cuál? ¿Quién? ¿Por qué?
(Ejemplo: La válvula de drenaje del depósito V-01 no fue cerrada por el operador por sobrecarga de
trabajo).
Eventos externos
29. Para describirlos, puede ser útil utilizar las siguientes preguntas: ¿Qué? ¿Cuál? ¿Cómo? ¿Por qué?
(Ejemplo: Pérdida de refrigeración en el reactor C-02 por fallo de agua de refrigeración debido a un
suministro inadecuado).
Consideraciones adicionales
30. La descripción de la causa debe ser completa, ya que representa el punto de partida de un posible
escenario de riesgo y específica, para evitar que se produzcan malinterpretaciones. Asimismo, la
causa debe tener un nivel de detalle adecuado. Se distinguen los siguientes niveles de detalle (je-
rarquía de causalidad):
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 10 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Se establece como nivel usual para el análisis el número 2 “definición de causas básicas”. Para los
casos en los que es necesario aplicar el análisis LOPA, puede ser útil llegar al nivel número 3 “de-
terminación de modificadores”.
31. De las causas identificadas, es necesario decidir cuáles son creíbles. Guías:
Utilizar experiencia previa, tanto en la propia planta como en otras similares en la compañía o en
otras. Puede ser útil preguntar si algún miembro del equipo HAZOP/SIL la ha visto antes.
32. Es necesario centrarse en las causas que se originan dentro del nodo, pero no hay que excluir las
causas que procedan de otros nodos, ya que los procesos están interconectados entre sí y para un
nodo, las causas de una desviación pueden originarse dentro del mismo, aguas arriba o aguas aba-
jo.
33. Las causas de la desviación de nodos anteriores no es necesario repetirlas en el nodo del estudio,
por lo que sólo habrá que hacer referencia a dicho nodo.
34. Las causas de la desviación de un nodo posterior no es necesario identificarlas en el nodo del es-
tudio. Se hará posteriormente cuando se estudie éste.
35. Se considerará la posibilidad de introducir causas resultantes de múltiples fallos y fallos de causa
común.
Múltiples fallos
36. Implican que están involucrados dos o más sucesos juntos. Existen escenarios en los que múltiples
fallos tienen consecuencias más graves que aquellos que involucran a sólo uno de ellos, por lo que
pueden requerirse salvaguardas adicionales.
37. El equipo HAZOP/SIL consensuará aquellas causas creíbles de múltiples fallos. Guías:
Dos fallos humanos concurrentes son creíbles.
Un fallo simple de un equipo o fallo humano junto a un evento externo puede no ser creíble.
38. Se trata de un tipo de fallo donde fallos múltiples simultáneos (o casi) resultan de una causa simple
compartida. Fuentes de fallos de causa común:
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 11 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Localización común.
DETERMINACIÓN DE CONSECUENCIAS
39. En esta segunda parte de la etapa, el objetivo es describir los sucesos que tiene lugar a partir de las
causas de la desviación (escenarios) hasta su evolución final (consecuencias) en orden cronológico.
40. A modo de guía, se indican las siguientes pautas para definir los escenarios:
Identificar los riesgos de las sustancias involucradas: toxicidad, inflamabilidad, etc.
Pueden existir múltiples escenarios para cada riesgo: incendio, explosión, dispersión de nube
tóxica, etc.
Utilizar palabras como “posible” o “potencial” cuando no se tenga certeza de que se vayan a
producir los escenarios.
Usar un nivel apropiado de detalle. Puede ser útil responder a las preguntas: ¿Cómo? ¿Dónde?
¿Qué? (Ejemplo: Fuga de líquido inflamable a través de las juntas de un LG en el fondo del de-
pósito C-02 con resultado de fuego).
No todos los escenarios tendrán consecuencias para la seguridad, el medio ambiente o la pro-
piedad. Algunos pueden ser problemas de operabilidad, por lo que habría que identificar si estos
producen paradas de planta o de equipos, productos fuera de especificación, etc. En aquellos
casos donde no exista un riesgo en la desviación estudiada, se deberá indicar en la tabla de
recopilación de datos “Sin consecuencias para la seguridad, el medio ambiente o financieras”.
41. A modo de guía, se indican las siguientes pautas para definir las consecuencias:
Las consecuencias se definirán como si no existieran salvaguardas, es decir, se especificarán
en el peor de los casos creíble.
Al igual que en el caso anterior de los escenarios, habrá que definirlas con un nivel apropiado de
detalle y se usarán palabras como “posible” o “potencial” cuando no se esté seguro de su exis-
tencia.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 12 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
44. El equipo HAZOP/SIL deberá seleccionar los parámetros correspondientes en función a su conoci-
miento y experiencia. Es importante ser homogéneos en la selección.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 13 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
46. En los puntos siguientes se describen los parámetros que aparecen en él. En el anexo III de este
procedimiento se encuentra una serie de indicaciones que pueden servir de ayuda para la elección
de dichos parámetros.
48. Los valores que puede tomar este parámetro, así como su descripción, son los siguientes:
Parámetro de
Descripción
consecuencias
Evento con potencial suficiente (por magnitud y extensión) para causar una
C1
lesión menor en una persona, sin poder resultar en una muerte.
Evento con potencial suficiente (por magnitud y extensión) para causar lesiones
C2
mayores permanentes a una o a varias personas, o una muerte.
Evento con potencial suficiente (por magnitud y extensión) para causar la muerte
C3
de varias personas (de 2 a 9 – la media geométrica es 3).
Evento con potencial suficiente (por magnitud y extensión) para causar la muerte
C4
de muchas personas (10 o más).
49. La selección del parámetro C se hará teniendo en cuenta la magnitud y la extensión del evento,
prescindiendo del número de personas que puedan encontrarse en las inmediaciones. Se trata de
analizar la potencial afectación en términos de extensión.
Parámetro de probabilidad de ocupación o de exposición (F)
51. Los valores que puede tomar este parámetro, así como su descripción son los siguientes:
Parámetro de
Descripción
ocupación
F1 Exposición en la zona peligrosa de rara a ocasional (parámetro por defecto).
F2 Exposición frecuente o permanente en la zona peligrosa.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 14 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
52. Este parámetro sólo se aplica cuando se ha seleccionado el parámetro de consecuencias C2 y tiene
en cuenta:
La operación del proceso.
La facilidad para detectar el peligro (Ejemplo: visto inmediatamente, detectado por medidas téc-
nicas, determinado sin medidas técnicas).
La posibilidad de evitar el daño (Ejemplo: rutas de escape viables a mano, trajes de protección
personal, protección mediante estructuras).
53. Los valores que puede tomar este parámetro, así como su descripción son los siguientes:
Parámetro de
probabilidad de Descripción
evitar el peligro
P1 Posible en ciertas situaciones (necesita justificación).
P2 Prácticamente imposible de evitar el peligro (parámetro por defecto).
54. Para seleccionar el valor del parámetro W, el equipo HAZOP/SIL deberá estimar la probabilidad de
ocurrencia del evento de manera cualitativa durante la vida de la planta sin tener en cuenta ninguna
salvaguarda tecnológica ni para la prevención ni para la mitigación o protección (como por ejemplo:
acciones manuales como pulsadores de emergencia, SIFs, PSVs, detectores, alarmas, etc.).
55. Solamente se considerará para la selección los controles normales del proceso (producción) y la
supervisión lógica por parte de los operadores en base a los procedimientos de operación y mante-
nimiento, y a su formación (no se debe confundir esta supervisión con la supervisión y respuesta a
las alarmas por parte de los operadores que es otra capa de protección distinta).
56. Los valores que puede tomar este parámetro, así como su descripción se encuentra en la tabla si-
guiente:
Parámetro de
Descripción
frecuencia
No se espera que el suceso ocurra durante la vida de las instalaciones
W1
(Equivalente a W < 10-2/año).
Se espera que el suceso ocurra durante la vida de las instalaciones (promedio
W2 de 30 años, aproximadamente la vida útil de la planta) (parámetro por defecto)
(Equivalente a 10-2/año ≤ W < 10-1/año).
Se espera que el suceso ocurra frecuentemente durante la vida de la planta
W3
(Equivalente a 10-1/año ≤ W < 1/año).
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 15 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
57. Si W > 1/año se deberá realizar una revisión de las causas que provocan el evento con el fin de
estudiar cómo reducir su frecuencia de ocurrencia.
58. Este parámetro aparece en el resto de gráficos de riesgo (medio ambiente y financiero), por lo que
la descripción en dichos casos es la misma que la que se realiza en este apartado.
60. En los puntos siguientes se describen los parámetros que aparecen en él. En el anexo III de este
procedimiento se encuentra una serie de indicaciones que pueden servir de ayuda para la elección
de dichos parámetros.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 16 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
62. Los valores que puede tomar este parámetro, así como su descripción son los siguientes:
Parámetro de
consecuencias Descripción
medioambientales
Incidente medioambiental (según el PR-189) que constituye una no conformidad (según el
E1 PR-092) y que no tiene consecuencias medioambientales.
Accidente medioambiental (según el PR-189) con consecuencias mínimas conocidas
E2 dentro del establecimiento que precisan de acciones remediadoras.
Accidente medioambiental (según el PR-189) con consecuencias mínimas conocidas
E3 fuera del establecimiento que causa indignación en la comunidad local o en las
Autoridades Competentes (riesgo de tener problemas en futuros permisos).
Accidente medioambiental (según el PR-189) con efectos negativos conocidos fuera del
E4 establecimiento pero que se consideran reversibles en 2 años.
Accidente medioambiental (según el PR-189) con efectos negativos fuera del
E5 establecimiento a largo plazo. Este evento induce un cambio en el entorno y resulta en
cuestiones o acciones a nivel regional o nacional.
Accidente medioambiental (según el PR-189) con efectos catastróficos fuera del
E6 establecimiento.
63. Las definiciones de referencia que aparecen en el cuadro anterior son las siguientes:
Incidente medioambiental (PR-189): todo suceso eventual no controlado que hubiera podido
producir contaminación significativa del aire, agua o suelo.
No conformidad (PR-092): incumplimiento de un requisito. Desviaciones o ausencia de una o
varias características de calidad de los bienes o servicios, procesos o variables ambientales.
También referida a normativa de sistemas de gestión de calidad, seguridad y medio ambiente.
Accidente medioambiental (PR-189): todo suceso eventual no controlado que produce contami-
nación significativa del aire, agua o suelo.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 17 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
65. En los puntos siguientes se describen los parámetros que aparecen en él. En el anexo III de este
procedimiento se encuentra una serie de indicaciones que pueden servir de ayuda para la elección
de dichos parámetros.
66. Para evaluar los riesgos financieros se deberán tener en cuenta todas las pérdidas económicas
asociadas al escenario, sin tener en cuenta posibles seguros que cubran los daños:
Costes de demolición (eliminar equipos dañados).
67. Los valores que puede tomar este parámetro son los siguientes:
Parámetro de
consecuencias financieras Descripción
Interrupción menor del proceso y/o daños en equipos (105 € > pérdidas totales).
A1
Interrupción del proceso y/o daños en equipos (105 € ≤ pérdidas totales < 106
A2
€).
Interrupción grave del proceso o daños en equipos (107 € ≤ pérdidas totales <
A4
108 €).
A5 Daños severos en equipos esenciales (108 € ≤ pérdidas totales < 109 €).
68. De la aplicación de cada uno de los gráficos, según sea conveniente, se obtendrán unos valores de
la reducción del riesgo en cada ámbito (seguridad, medio ambiente y financiero), que se identifican
como Risk Gap (RG). En este caso se consideran como valores iniciales, ya que no se han evalua-
do todavía las capas de protección existentes.
69. Los resultados posibles de la aplicación de los gráficos de riesgo y las implicaciones que tienen son
los siguientes:
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 18 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
70. Estos valores indican el número de órdenes de magnitud que deben reducirse para que el riesgo
sea aceptable y cumpla con los criterios de aceptación establecidos por la compañía.
71. A modo de resumen, en el anexo I de este procedimiento se encuentra un diagrama que indica las
acciones a realizar según el valor del Risk Gap inicial obtenido.
72. En los casos donde se obtenga un valor de Risk Gap inicial de 2, se pueden encontrar los siguientes
supuestos:
Si se dispone, al menos, de dos capas de protección independientes (sean instrumentadas o
no) que permitan cerrar este RG, no será necesario realizar ningún análisis adicional, a no ser
que existan dudas razonables sobre la independencia o eficacia de las medidas identificadas, en
cuyo caso habría que realizar un análisis de capas de protección (LOPA).
Si se dispone de una única capa de protección independiente (sea instrumentada o no) que
permita cerrar este RG, será necesario realizar un análisis LOPA que demuestre que su actua-
ción es eficaz en la evolución del suceso peligroso y no es necesario implantar ninguna capa de
protección independiente adicional.
73. En los casos donde se obtenga un valor de Risk Gap inicial de 3, se deberán realizar análisis LOPA
que permitan comprobar la independencia de las capas de protección identificadas y su eficacia de
actuación en la evolución del suceso peligroso, ya que se consideran escenarios con un riesgo ele-
vado.
74. Cuando se obtenga un valor de Risk Gap inicial de 4 o “h”, tal y como se ha indicado, se requiere
rediseñar el proceso debido a que el escenario presenta un riesgo intolerable. En este caso, es pre-
ciso realizar un análisis cuantitativo de riesgo (ACR) para la confirmación de este valor de RG.
75. Cuando después de aplicar un análisis LOPA al escenario, se requiera la implantación de una SIF
con SIL ≤ 2, el nivel de detalle del análisis justifica que no son necesarios estudios más detallados, a
menos que el analista LOPA o el experto en seguridad responsable considere lo contrario.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 19 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
76. Cuando los requerimientos de una SIF sean SIL ≥ 3, se debe realizar un análisis cuantitativo de
riesgo (ACR) debido a que es necesario verificar que se requiere una SIF con ese nivel de SIL.
77. La categoría de consecuencias más severa (C4, E6 o A6) requiere un análisis de consecuencias
detallado y cuantitativo, independientemente de la frecuencia del suceso, que confirme la selección
de esta categoría. En el anexo VI de este procedimiento se encuentra una guía orientativa de los
puntos a tener en cuenta para realizar este análisis, así como las metodologías más utilizadas.
78. La realización del análisis LOPA implica la identificación positiva de IPLs y la cuantificación de la
frecuencia de las consecuencias indeseadas mediante la elaboración de árboles de fallos y/o suce-
sos. Estos árboles se acompañarán de unas tablas resumen cuyo contenido orientativo se encuen-
tra en el anexo XI de este procedimiento.
79. La frecuencia de las consecuencias indeseadas obtenida del análisis LOPA se comparará con los
criterios de aceptación del riesgo del Grupo CEPSA, que se encuentran en forma de matriz de ries-
go, la cual se encuentra en el anexo V de este procedimiento. Esta comparación permitirá identificar
si las IPLs identificadas son suficientes o se requieren IPLs adicionales.
81. Para cada escenario que tenga consecuencias para la seguridad, el medio ambiente y/o financieras,
será necesario identificar las salvaguardas o capas de protección que se encuentran presentes, sea
cual sea el valor del Risk Gap inicial obtenido. Además, cuando se haya obtenido un valor de Risk
Gap inicial 1, será necesario definir el número de créditos IPL (capas no instrumentadas) o nivel
SIL (funciones instrumentadas) que tienen y que permiten cerrar el nivel de riesgo detectado.
Si existen salvaguardas de otros nodos que son aplicables al escenario que se está estudiando
o aplican al proceso completo, habrá que indicarlas.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 20 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
85. En el anexo VII de este procedimiento se encuentra una descripción de cada una de las capas de
protección enumeradas.
86. Tal y como se indica en el punto 81, cuando se ha obtenido un valor de Risk Gap inicial 1, se debe
cerrar con capas de protección independientes (IPLs).
87. Una capa de protección independiente se define como un dispositivo, sistema o acción que es ca-
paz de prevenir que un escenario llegue a su consecuencia indeseada siendo independiente del
suceso iniciador o de la acción de cualquier otra capa de protección asociada con el escenario.
88. Una capa de protección pueda ser considerada como independiente (IPL) si se diseña y gestiona de
forma que cumpla con los siguientes requisitos esenciales:
Independencia: el buen funcionamiento de una capa de protección no se puede ver afectado por
ninguna de las causas del evento peligroso o por el fallo de otras capas de protección.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 21 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Fiabilidad: está relacionada con la probabilidad de que la capa de protección funcionará como
se ha previsto en unas condiciones predeterminadas y en un período de tiempo definido. Una
IPL debe ser razonablemente fiable, es decir, ser capaz de reducir el riesgo de un evento peli-
groso un factor 10 (equivalente a un crédito IPL).
Control de accesos: garantizar que el acceso a la IPL está controlado para reducir o evitar po-
sibles cambios no intencionados o no autorizados (controles administrativos y medios físicos).
Gestión del cambio: garantizar que los cambios son revisados, documentados y aprobados an-
tes de su implementación, de acuerdo a los procedimientos establecidos.
89. Para cada capa de protección candidata a ser considerada como IPL, se deberá evaluar el grado de
cumplimiento de cada uno de estos requisitos para determinar si efectivamente se le puede con-
siderar como tal.
90. Por tanto, el valor del Risk Gap final de cada escenario se calculará de la siguiente forma:
[Risk Gap final] = [Risk Gap inicial] - [SUMA de Créditos IPL] - [SUMA de nivel SIL (si aplica)]
Este valor debe ser igual a 0 para que el riesgo se considere cubierto. De lo contrario, será necesa-
rio realizar recomendaciones encaminadas a la reducción del mismo.
91. Por tanto, será necesario definir a qué capas de las indicadas se les puede asignar créditos IPL en
las etapas de cierre del valor del RG inicial y en la de análisis de capas de protección (LOPA), así
como el número de créditos máximos de cada una. En el anexo VIII de este procedimiento se en-
cuentra una tabla resumen con estas consideraciones.
Consideraciones adicionales
92. En el caso de las capas de protección no instrumentadas, el valor de créditos IPL asignado a cada
ítem deberá revisarse teniendo en cuenta la situación particular de cada planta (tiempo de uso, tipo
de material, experiencia en la operación a modo de considerar fiabilidad, históricos de accidente,
diseños específicos, calidad del instrumento o del equipo, etc.), pudiendo considerarse que su nú-
mero de créditos IPL es inferior al indicado.
93. En el caso de las capas de protección instrumentadas, el nivel SIL de la SIF debe estar verificado
para poder asignarle dicho valor. En caso contrario, será necesario proceder a su verificación me-
diante el uso de las herramientas adecuadas (software tipo exSILentia, etc).
94. Los procedimientos y las inspecciones no pueden ser considerados por sí mismos como IPLs, ya
que no tienen la habilidad de detectar el suceso iniciador que conduce a una consecuencia, no pue-
den tomar una decisión para tomar una acción y no pueden actuar para prevenir la consecuencia.
Por ejemplo, los procedimientos usados durante operaciones pueden reducir la frecuencia del su-
ceso iniciador (listas de chequeo y puesta en marcha) y las inspecciones ayudan a que una IPL
tenga una menor probabilidad de fallo cuando tenga que actuar.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 22 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
95. En esta etapa se trata de especificar aquellas medidas de reducción del riesgo específicas que van
encaminadas a cubrir el Risk Gap final en aquellos casos donde ha quedado pendiente (RG final
0) a través de la mejora de las salvaguardas existentes (o comprobación de su eficacia) o mediante
la introducción de nuevas salvaguardas.
96. Aunque el Risk Gap esté cubierto, el equipo HAZOP/SIL puede hacer recomendaciones sobre cual-
quier aspecto que considere oportuno.
98. Por tanto, el orden de preferencia a la hora de implementar una IPL es el siguiente:
1º) Solucionar el problema fuera del proceso (rediseño): es decir, intentar sustituir soluciones
que requieren sistemas instrumentados por otras que no los requieran.
99. Como norma general, son preferibles aquellas IPLs lo menos complejas posibles y con menor man-
tenimiento. Por otra parte, se prefieren IPLs preventivas sobre las de atenuación o mitigación. Ade-
más, se pueden implantar medidas administrativas (por ejemplo, los procedimientos) encaminadas a
mejorar las medidas existentes (por ejemplo, la intervención humana).
Consideraciones adicionales
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 23 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Cada recomendación debe ser individual, por lo que no es conveniente combinarlas. Asimismo,
deben ir numeradas.
Estas recomendaciones podrían incluir la verificación del valor de la reducción del riesgo asig-
nado para una determinada capa de protección, así como de los niveles SIL asociados a una
determinada función instrumentada de seguridad (SIF), si no lo están. Relacionado con esto,
podría ser necesario verificar si se puede incrementar la fiabilidad de las existentes, por ejemplo,
mediante programas mejorados de mantenimiento y prueba.
101. Una vez finalizado el estudio de todos y cada uno de los nodos, se deben enumerar y recopilar
todas las recomendaciones que han salido del estudio. Para hacerlo de forma esquemática, se re-
flejarán en forma de tabla como la contenida en el anexo X de este procedimiento, colocando en co-
lumnas el nodo donde se ha identificado la recomendación, la descripción de la misma, el respon-
sable designado y el plazo de ejecución. Se podrán añadir o eliminar aquellas columnas que se
consideren oportunas.
102. Con el fin de separar las acciones que están pendientes de verificar (por ejemplo, verificación del
nivel SIL de una SIF, verificación de la independencia de una capa de protección, etc), de las reco-
mendaciones que requieren la introducción de un elemento nuevo en la instalación (instalación de
un nuevo enclavamiento, etc), éstas deberán separarse en dos grupos o tablas diferentes como las
indicadas en el punto anterior.
103. Con el fin de acometer las recomendaciones, es necesario realizar una priorización de cada una de
ellas. Para ello es necesario distinguir entre recomendaciones que suponen una mejora del proceso
(por ejemplo, configuración de alguna alarma de presión o temperatura en el sistema de control) y
aquellas que serían obligatoriamente necesarias para poner en marcha la instalación o seguir con la
operación de manera que no afectaran a la seguridad de los equipos, personas o medio ambiente
(por ejemplo, instalación de un “trip” de emergencia que proteja a un equipo de posibles daños). Es-
ta priorización se hará teniendo en cuenta el valor del Risk Gap final de cada escenario.
104. Teniendo en cuenta este último punto, la priorización de recomendaciones se hará de la siguiente
forma:
105. Es necesario realizar un seguimiento de las acciones, con el fin de llevar a cabo el control de que se
acometan en forma y plazo que se hubiera acordado en las sesiones o posteriormente, fruto de un
análisis más detallado de las mismas.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 24 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
106. Cuando de la respuesta de una acción se deriven otras, o se modifique el diseño de forma que re-
quiera una ampliación del estudio realizado, será necesario hacer llegar las nuevas acciones a sus
responsables y de convocar, en su caso y si fuera necesario, las nuevas reuniones para la amplia-
ción del estudio.
107. La recopilación de los datos se hará en una tabla como la que aparece en el anexo IX de este pro-
cedimiento. Principalmente, se recogerán los siguientes datos para cada nodo:
Número de identificación del estudio.
Número y fecha de la sesión.
Unidad objeto de estudio.
Breve descripción del nodo.
P&IDs de referencia.
Parámetro de estudio (corresponde a las palabras clave primarias: caudal, presión, temperatura,
etc.).
Intención: indica el rango de valores permitidos de operación, según las consideraciones hechas
en el punto 22 de este procedimiento.
Palabra clave: se indicará la palabra clave secundaria (más, menos, no, etc.).
Desviación: se indicará la combinación de la palabra clave primaria y la secundaria.
Causas: se indica las razones por las que se produciría la desviación. Pueden existir varias
causas para una misma desviación. Se recomienda empezar con aquellas causas que pudieran
resultar en las peores consecuencias.
Consecuencias: se identifican los resultados de la desviación, en caso de que ocurra, descri-
biendo los sucesos que tienen lugar a partir de las causas de la desviación hasta su evolución
final en orden cronológico. Pueden llevar a problemas operativos, daños a las personas, equi-
pos, paradas de planta, pérdida de calidad del producto o daños al medio ambiente, entre otros.
Se pueden asociar varias consecuencias para una misma causa y, por su parte, una misma
consecuencia puede ser originada por varias causas.
Gráficos de riesgo: se indican los parámetros correspondientes a los gráficos de riesgo (seguri-
dad, medio ambiente y financieros) que el equipo HAZOP/SIL ha determinado.
Risk Gap inicial: se indican los valores de los Risk Gap obtenidos de los gráficos de riesgo (to-
davía no se tienen en cuenta las salvaguardas).
Salvaguardas: se indican los dispositivos de protección existentes que impidan que se materia-
lice la causa o que permita mitigar la gravedad de las consecuencias, distinguiendo aquellas
capas de protección existentes y sus créditos IPL o niveles SIL correspondientes.
Risk Gap final: se indica el valor del Risk Gap una vez se han tenido en cuenta las salvaguardas
y sus créditos IPL o niveles SIL correspondientes.
Recomendaciones: se indican aquellas recomendaciones que surgen de la necesidad de com-
pletar el Risk Gap final calculado o mejoras operativas consideradas por el equipo HAZOP/SIL.
Acción por: se indica el responsable de aplicar o verificar las recomendaciones pertinentes (esta
columna puede ser eliminada si se considera oportuno).
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 25 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
108. Siempre que sea posible, se hará uso de la aplicación informática PHAWorks de Primatech, que
dispone de formatos predefinidos de recopilación de datos. Seguridad Corporativa tiene a disposi-
ción de los centros una plantilla adaptada para tal fin. Adicionalmente, se debería contar con la ayu-
da de un proyector conectado al PC, con el fin de que todos los participantes pudieran seguir todos
los datos que se va recopilando a lo largo de las sesiones.
109. Una vez finalizado el estudio, se deberá realizar un informe donde se recopile toda la información
que se ha generado en el estudio, incluyendo los participantes en cada una de las sesiones y las
fechas en las que se han efectuado, las tablas del análisis de desviaciones de cada uno de los no-
dos, las recomendaciones que han surgido en cada uno de ellos, los análisis LOPA (si han sido ne-
cesarios) y los planos y el resto de documentación utilizada.
110. Este informe se distribuirá a los participantes, los cuales emitirán, si los hubiera, sus comentarios al
respecto. Se recomienda que esta revisión no se demore más de una semana desde la finalización
de las sesiones.
111. Una vez introducidos todos estos comentarios, se procederá a la emisión final del informe, distribu-
yendo de nuevo las copias pertinentes y archivándolo en el lugar que cada centro considere opor-
tuno.
DISTRIBUCIÓN Y PUBLICACIÓN
113. Por tratarse de un Procedimiento General, su distribución y publicación será la definida para la Nor-
mativa General en el “Procedimiento para la gestión de normativa en el Grupo CEPSA” (PR-148),
correspondiendo a la unidad de Organización la realización de la distribución, publicación y el con-
trol final de la misma.
114. Este documento normativo está relacionado principalmente con la siguiente normativa del Grupo
CEPSA:
NO-020: Norma Básica de Prevención de Riesgos Laborales e Industriales.
PR-148: Procedimiento de Gestión de Normativa en el Grupo CEPSA.
PR-104: Procedimiento de Seguridad en la gestión de cambios.
PR-189: Seguimiento de incidentes/accidentes medioambientales.
PR-092: Tratamiento de no conformidades.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 26 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 27 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
ANEXO I
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 28 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Escenarios
identificados
Evaluación de consecuencias
(aplicación gráficos de riesgo)
SÍ Estudio de alcance de
¿C4, E6
consecuencias (confirmación de
o A6?
parámetros elegidos)
NO
RG= -
,a,1,2,3,4,
h
RG = -,a RG = 1 RG = 2 RG = 3 RG = 4,h
No se Estudio en
requieren más profundidad para
acciones rediseñar el
proceso
Verificación de, al Existen, al Existe sólo una
menos, una IPL menos, dos IPL IPL
¿Existen dudas
NO razonables sobre
la independencia o
eficacia de las
IPL?
Dos IPL con 1
crédito IPL cada una
SÍ Análisis de capas
Dos SIF con SIL=1
de protección
verificado cada una
(LOPA)
Combinación de las
anteriores
Análisis
cuantitativo de
riesgo (ACR)
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 29 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
ANEXO II
GRÁFICOS DE RIESGO
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 30 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 31 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
ANEXO III
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 32 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
C1 - Evento con potencial suficiente (por magnitud y extensión) para causar una lesión menor en
una persona, sin poder resultar en una muerte. Ejemplos y consideraciones:
- Quemaduras de personal por falta de aislamiento en tuberías o por no llevar el traje de protección
adecuado.
- Pequeñas fugas en bridas de tuberías con sustancias no tóxicas.
- Cortes con astillas y/o trozos de acero o herrumbre o con mallas de aislamiento.
- Descarga de electricidad estática debido a una mala conexión a tierra de un equipo.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 33 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
C2 - Evento con potencial suficiente (por magnitud y extensión) para causar lesiones mayores
permanentes a una o a varias personas, o una muerte. Ejemplos y consideraciones:
- Explosión de un aditivo en polvo.
- Quemaduras causadas a un operador durante el encendido de un quemador (o una caldera)
mediante una botella de propano (tiger torch).
- Caídas a distinto nivel.
- Operadores entrando en zonas con deficiencia de oxígeno (por ejemplo, espacios confinados,
equipos inertizados con nitrógeno, etc).
- Pequeñas llamaradas o explosiones debido a fugas en bridas o a la apertura de válvulas.
- Pequeñas fugas tóxicas (por ejemplo una fuga repentina de un gas rico en SH2 a través de una
brida o de una válvula).
- Corte de bridas o tuberías que no han sido vaciadas de material peligroso.
C3 - Evento con potencial suficiente (por magnitud y extensión) para causar la muerte de varias
personas (de 2 a 9 – la media geométrica es 3). Ejemplos y consideraciones:
- A tener en cuenta que cuando los operadores trabajan por parejas o en equipo, existe la
tendencia de ayudar a los compañeros en caso de un accidente. Asfixia de un operador en un
depósito con SH2 a menudo lleva a la muerte de varios operadores si no están bien entrenados
en ponerse primero el equipo de protección.
- Fugas importantes de materiales inflamables, gases tóxicos, vapor, etc.
- Rotura de un equipo con elevada energía mecánica, (por ejemplo un compresor grande o una
turbina).
C4 - Evento con potencial suficiente (por magnitud y extensión) para causar la muerte de muchas
personas (10 o más). Ejemplos y consideraciones:
- Fugas masivas de sustancias inflamables o tóxicas. Entre otras razones, estas fugas pueden ser
el resultado de:
o Un orificio de 25 mm en una línea con líquido supercalentado (por ejemplo benceno a
250ºC y 30 bar, o GLP a temperatura atmosférica).
o Un orificio de 100 mm en un sistema de alta presión (> 10bar) de vapor o gas.
o Un iniciador como la rotura catastrófica de la una línea causada por una fractura brittle
(GLP, etileno, LNG o error humano).
o Explosiones o incendios masivos en almacenamientos (BLEVEs, boil-overs, roll-overs,
etc.).
o Infección por legionela proveniente de las torres de refrigeración.
o Fallo de la balsa de retención.
o Fallo de la antorcha.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 34 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
- Elegir P1 en vez de P2 debido al uso de equipos de protección personal para evitar el daño no es
recomendable, a no ser que el personal ya lleve puesto este equipo. Generalmente, estos
equipos no están diseñados para garantizar un nivel de seguridad adecuado, aunque conllevan a
cierta reducción del daño.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 35 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
E1 - Incidente medioambiental (según el PR-189) que constituye una no conformidad (según el PR-
092) y que no tiene consecuencias medioambientales.
E3 - Accidente medioambiental (según el PR-189) con consecuencias mínimas conocidas fuera del
establecimiento que causa indignación en la comunidad local o en las Autoridades
Competentes (riesgo de tener problemas en futuros permisos). Ejemplos y consideraciones:
- Ruido, hedor, impacto visual y otras influencias en la calidad de vida de la comunidad.
- Funcionamiento prolongado de la antorcha “con vecinos”.
- Un accidente cuyos costes de remediación (por ejemplo, extracción y tratamiento de un volumen
de tierra) asciendan a 107 €.
E4 - Accidente medioambiental (según el PR-189) con efectos negativos conocidos fuera del
establecimiento pero que se consideran reversibles en 2 años. Ejemplos y consideraciones:
- Fuga de productos tóxicos con daños ecológicos en el medio acuático.
- Un accidente cuyos costes de remediación (por ejemplo, extracción y tratamiento de un volumen
de tierra) asciendan a 108 €.
- Indignación de la comunidad local y cuestiones o acciones a nivel regional.
E5 - Accidente medioambiental (según el PR-189) con efectos negativos fuera del establecimiento
a largo plazo. Este evento induce un cambio en el entorno, y resulta en cuestiones o acciones a
nivel regional o nacional. Ejemplos y consideraciones:
- Fuga de metales pesados en el ecosistema.
- Fuga de aromáticos o benceno (> 5 ton) en pantanos o marismas (considerar los grupos
ecologistas, cazadores, etc.)
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 36 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Para evaluar los riesgos financieros se deberán tener en cuenta todas las pérdidas económicas
asociadas al escenario, sin tener en cuenta posibles seguros que cubran los daños:
- Costes de demolición (para eliminar equipos dañados).
- Costes de materiales y equipos (suministro e instalación). Como aproximación se puede emplear
un coste igual a tres veces el precio de los equipos.
- Costes de la interrupción de la producción. Los costes derivados de la interrupción de la
producción no son debidos a la pérdida de la producción en sí, sino al valor del producto que no
se ha podido expedir. Por ejemplo, un incendio en una unidad de nafta causa que la producción
de gasolina se pare durante cinco días en una refinería; sin embargo, la expedición puede
continuar desde los tanques de almacenamiento donde existe stock para blending durante siete
días. En este caso los costes de la interrupción de la producción son 0 €.
Para poder determinar el parámetro de consecuencias sobre los bienes y la producción se aconseja que
el equipo HAZOP/SIL cuente con personal con experiencia en estimación de costes ya que éstos
dependerán en gran medida del negocio (química, petroquímica, refino, almacenamiento, etc.), de la
unidad (alta presión, baja presión, reacción, recuperación, etc.) y del valor del producto en el mercado.
Por tanto no es posible ofrecer valores estándares para las consecuencias financieras.
A1 - Interrupción menor del proceso y/o daños en equipos: 105 € > pérdidas totales
A2 - Interrupción del proceso y/o daños en equipos: 105 € ≤ pérdidas totales < 106 €
A3 - Interrupción moderada del proceso o daños en equipos: 106 € ≤ pérdidas totales < 107 €
A4 -Interrupción grave del proceso o daños en equipos: 107 € ≤ pérdidas totales < 108 €
Un Risk Gap para los riesgos financieros indica un riesgo inaceptable; no obstante, una solución de in-
geniería podría resultar más cara que el problema en sí (y por lo tanto, igualmente inaceptable). Para
justificar si una determinada medida para reducir riesgos financieros está justificada económicamente se
deberá realizar un análisis coste-beneficio.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 37 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
ANEXO IV
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 38 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Introducción
LOPA (Análisis de Capas de Protección) es una herramienta semicuantitativa para analizar y determinar
riesgos de los escenarios de accidente.
El análisis LOPA es una valoración más rigurosa del Risk Gap del escenario, con mayor profundidad y
detalle que con los gráficos de riesgos. De este modo, se puede valorar más claramente la necesidad de
medidas de seguridad adicionales y sus requisitos. No obstante, de igual manera que para los escenarios
valorados con RG=1, las medidas identificadas deben satisfacer los requisitos esenciales de las IPL.
Propósito de LOPA
La diferencia fundamental entre el análisis mediante los gráficos de riesgos y LOPA es únicamente el
grado de detalle. En el primer análisis, el equipo tenía que decidir cualitativamente los parámetros de
riesgo (consecuencias y probabilidad del evento), mientras que en LOPA el análisis es semicuantitativo,
realizándose para ello cálculos de frecuencia y probabilidad.
Otra diferencia importante es que el análisis LOPA se lleva a cabo por una o dos personas. El analista
LOPA deberá partir de toda la información recabada sobre el escenario, parámetros de riesgo seleccio-
nados por el equipo HAZOP/SIL, medidas de reducción de riesgo presentes o propuestas, además de
tener un buen conocimiento sobre el proceso en sí.
El analista de riesgo deberá considerar las IPLs propuestas por el equipo (y si es necesario recomendar
otras), cuantificar los factores de reducción de riesgo de cada una de las capas de protección que consi-
dere que satisfacen o pueden satisfacer los requisitos esenciales de las IPLs, y calcular la frecuencia del
evento indeseado, para ver si se cumplen los criterios de la compañía expresados de forma simplificada
en la matriz de riesgos del anexo V de este procedimiento.
La característica práctica de LOPA (en comparación con los ACRs) es que LOPA simplifica la valoración
de los riesgos empleando órdenes de magnitud para las frecuencias del suceso iniciador, los factores de
reducción de riesgos de las IPLs (o créditos IPL) y la severidad de las consecuencias (que vendrán de-
terminadas por el equipo HAZOP/SIL).
Un escenario en LOPA consiste en una cadena causa – efecto, y en principio ésta debería haber sido
identificada durante el estudio mediante los gráficos de riesgo.
Para poder visualizar completamente el escenario y todas las capas de protección o IPLs que pueden ser
consideradas, es necesario que el analista elabore previamente árboles de fallos y eventos. En la
siguiente figura se muestran combinaciones de cuatro causas diferentes y 4 consecuencias diferentes
(16 pares causa - consecuencia) en el llamado modelo de pajarita.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 39 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Para prevenir que ocurra un escenario se requiere, como mínimo, una IPL, y para que se den los suce-
sos finales, todas las IPLs deben fallar. Las consecuencias pueden depender de varias condiciones (ex-
presadas como modificadores condicionales), por ejemplo, la presencia de personal o la presencia de
una fuente de ignición después de que haya ocurrido una pérdida de contención (LOC) (por ejemplo, un
escape de material inflamable).
Para iniciar LOPA, hay que determinar la frecuencia de ocurrencia del iniciador (1/año). Los sucesos
condicionantes y los modificadores condicionales se cuantificarán probabilísticamente dependiendo de su
naturaleza. Por su parte, se le asignará una probabilidad de fallo en demanda (PFD) a cada IPL, tal y
como se ha comentado.
Análogamente a las consideraciones para la selección de escenarios para los gráficos de riesgos, el ana-
lista LOPA deberá considerar:
- la causa más general inmediatamente anterior al accidente (como por ejemplo, fallo de suministro
eléctrico en vez de fallo de un fusible del transformador).
- todas las consecuencias que impliquen impacto sobre el personal, el medioambiente o sobre los
bienes y producción.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 40 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
El análisis del árbol de sucesos LOPA requerirá información adicional a la obtenida durante el paso de
identificación de IPL y asignación de RG.
Para la aplicación de la metodología LOPA se puede tomar como suceso iniciador el primer suceso que
permita la determinación de la frecuencia, moviéndose hacia atrás en el árbol de sucesos, desde la con-
secuencia hacia el suceso iniciador. No obstante, la identificación de los sucesos subyacentes puede ser
útil para determinar otros escenarios.
Por ejemplo, “fallo de refrigeración” puede ser el resultado de un fallo de la bomba, un corte del suminis-
tro de energía o un fallo en el lazo de control. Si puede determinarse directamente la probabilidad del
evento “fallo de refrigeración” no es necesario cuantificar los sucesos subyacentes.
La determinación de la frecuencia de los sucesos iniciadores y de los créditos de las IPLs se puede basar
en datos de la industria recogidas en publicaciones como Centre for Chemical Process Safety (CCPS),
Purple Book, OREDA, AMINAL, SINTEF y en la experiencia del Grupo, o en datos de los fabricantes.
Tal y como se ha explicado anteriormente, la misión de las IPLs es proteger de un escenario. Sin em-
bargo, en algunos casos, una IPL puede ser precisamente la causa del escenario. Por ello, los datos de
frecuencias de fallo de estas IPLs se emplearán en estos casos como frecuencias del iniciador.
Para cada escenario se debe calcular el número de ocurrencias por año (la frecuencia del escenario fs).
El punto de partida es la frecuencia (fie) del suceso iniciador (por ejemplo fallo de refrigeración, adición
del producto químico equivocado, cierre involuntario de una válvula,...) que se multiplica por la probabili-
dad de los sucesos condicionantes (pee) que sean relevantes (por ejemplo probabilidad de que el proceso
se encuentre a una determinada temperatura) y multiplicados por las PFD de las n IPL (pIPLn) instaladas.
Si además, existen modificadores condicionales (por ejemplo la presencia de una fuente de ignición)
deben tenerse en cuenta las probabilidades (pcm) de estos sucesos también. Por lo tanto:
Las consecuencias del escenario pueden ser muy diversas en tipo y severidad. Las consecuencias de un
escenario se determinan por las características (tóxico, inflamable), cantidad y condiciones (temperatura,
presión) del material emitido, etc. Estos efectos pueden causar a su vez ‘efectos dominó’.
En general, se pueden distinguir los siguientes efectos físicos como resultado de una pérdida de conten-
ción primaria (LOPC):
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 41 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
- Dardo de fuego (jet fire), incendio de charco (pool fire), bola de fuego (fire ball).
- Llamarada (flash fire) o explosiones de nubes de vapor (VCE).
- Explosiones de polvo.
- Nubes tóxicas.
- BLEVEs.
- Proyección de fragmentos.
En teoría, el analista LOPA dispondrá de la valoración de las consecuencias realizada por el equipo
HAZOP/SIL, aunque si éste lo cree conveniente, podrá realizar cálculos de efectos y consecuencias (cau-
dal de fuga, evaporación, dispersión, sobrepresión, etc.), fundamentalmente para confirmar que las
consecuencias establecidas por el equipo son correctas.
Sin embargo, esto no es lo normal debido a que en LOPA las consecuencias se valoran generalmente
usando clases de consecuencias tal y como se hace con los gráficos de riesgo (C, E y A).
Una vez se han analizado la frecuencia y la consecuencia del escenario en cuestión, el analista LOPA
deberá determinar si el riesgo del escenario con capas de protección (IPLs) cumple con los criterios del
Grupo CEPSA, o es necesario mejorar la fiabilidad de las IPLs existentes, o bien implementar IPLs adi-
cionales.
Para facilitar el uso de los criterios de la compañía por terceros, éstos se han convertido en una matriz de
riesgos (ver anexo V de este procedimiento).
Los escenarios cuya frecuencia sea inferior que la frecuencia objetivo (zona verde), cumplen con los cri-
terios del Grupo CEPSA, y por lo tanto, para estos escenarios no son necesarias medidas adicionales.
Los escenarios cuya frecuencia sea superior que la frecuencia objetivo (zona roja), no cumplen con los
criterios del Grupo CEPSA, y por lo tanto, para estos escenarios será necesario mejorar la fiabilidad de
las IPLs o implementar IPLs adicionales.
También es posible hacer que un escenario sea aceptable reduciendo la frecuencia del suceso iniciador
o reduciendo la probabilidad de los condicionantes o de los modificadores condicionales.
A continuación se enumeran una serie de tablas con ejemplos y consideraciones útiles para la realización
de los análisis.
Frecuencia (1/año)
Descripción
Máx. Min. Típica
Fallo de un depósito a presión 10-5 10-7 10-6
Fallo de tubería – 100 m – rotura total 10-5 10-6 10-5
Fuga en tubería – 100 m – 10 % sección 10-3 10-4 10-3
Rotura de junta/relleno 10-2 10-6 10-2
Caída de rayo 10-3 10-4 10-3
Fallo de agua de refrigeración 1 10-2 10-1
Fallo en sello de bomba 10-1 10-2 10-1
Fallo en manguera de carga/descarga 1 10-2 10-1
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 42 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Créditos IPL
IPL Comentarios PFD RRF
máximos
Venteo abierto (sin válvula) Previene una sobrepresión. 10-2 100 2
Si se diseña, instala y mantiene
adecuadamente eliminará el retroceso
Supresor de llama/detonación
potencial de la llama por una tubería hacia el 10-2 100 2
interior de un tanque o depósito.
Dos válvulas antirretorno en serie. Previene
Doble válvula antirretorno
el flujo inverso (líquidos). 10-1 - 10-2 10-100 1
Doble válvula antirretorno en Dos válvulas antirretorno en serie. Previene
servicio de gas-líquido el flujo inverso (gases). 10-1 - 10-2 10-100 1
Válvula antirretorno simple en
servicio de líquido limpio
Previene el flujo inverso (líquidos). 10-1 - 10-2 10-100 1
Válvula antirretorno simple en
Previene el flujo inverso (gases). - 1 0
servicio de gas
Créditos IPL
IPL Comentarios PFD RRF
máximos
Disco de ruptura Puede ser en serie antes de una PSV. Servicio limpio. - 100 2
Disco de ruptura Puede ser en serie antes de una PSV. Servicio sucio. - 10 1
Si se diseña, instala y mantiene adecuadamente
previene una sobrepresión. La PFD se refiere a no
abrirse en demanda (100 % de la sección). Servicio 10-2 100 2
Válvula de alivio de limpio.
presión (PSV o PRV) Si se diseña, instala y mantiene adecuadamente
previene una sobrepresión. La PFD se refiere a no
abrirse en demanda (100 % de la sección). Servicio 10-1 10 1
sucio.
Si se diseña, instala y mantiene adecuadamente
2 x 10-2 –
Múltiples PSVs previene una sobrepresión. (2 x 50%) (4 x 25%). 40-200 2
Servicio limpio. 4 x 10-1
Si se diseña, instala y mantiene adecuadamente
2 x 10-2 –
Múltiples PSVs previene una sobrepresión. (2 x 50%) (4 x 25%). 40-200 1
Servicio sucio. 4 x 10-1
BPCS Es IPL si es independiente del suceso iniciador. 10-1 - 10-2 10-100 1
Sistema de control
específico de ciertos Compresores, hornos, calderas, etc. 10-1 - 10-2 10-100 1
equipos
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 43 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
PFD
Complejidad / Nivel de Muy simple Simple y Rutinaria aunque Complicada y no
estrés rutinaria requiere cuidado rutinaria
Sin estrés 10-4 10-3 10-2 10-1
Estrés moderado 10-3 10-2 5 10-2 3 10-1
Mucho estrés 10-2 10-1 - 1 2,5 x 10-1 - 1 1
Fuga Sustancia
Gases (baja Gases
Contínua Instantánea Líquidos reactividad) (media/alta
reactividad)
< 10 kg/s < 1000 kg 0,065 0,02 0,2
10 - 100 kg/s 1000 - 10000 kg 0,065 0,04 0,5
> 100 kg/s > 10000 kg 0,065 0,09 0,7
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 44 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Fuga
Vehículo
Continua Instantánea
Camión 0,1 0,4
cisterna
Vagón cisterna 0,1 0,8
Evento Probabilidad
Flash fire sin efectos mecánicos 0,6
(UVCE)
Flash fire con efectos mecánicos 0,4
(VCE)
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 45 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
ANEXO V
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 46 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Clases de consecuencias
1 2 3 4 5 6
Seguridad Parámetro C1 C2 C3 C4
(personal de CEPSA y contratistas) Número de muertes 0 1 2–9 10
Medio ambiente Parámetro E1 E2 E3 E4 E5 E6
Financiero Parámetro A1 A2 A3 A4 A5 A6
5
Coste relacionado (€) ≤10 105 - 106 106 - 107 107 - 108 108 - 109 ≥109
>1
1 - 10-1
10-1 - 10-2
10-2 - 10-3
Frecuencia [1/año]
10-3 - 10-4
10-4 - 10-5
10-5 - 10-6
10-6 - 10-7
Riesgos intolerables
Riesgos tolerables
Frecuencia máxima objetivo
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 47 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
ANEXO VI
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 48 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Introducción
Los distintos tipos de accidentes graves a considerar en los establecimientos en los que haya sustancias
peligrosas pueden producir determinados fenómenos peligrosos para las personas, el medio ambiente y
los bienes materiales son los siguientes:
Para cada uno de los fenómenos peligrosos considerados, se establecen unas variables físicas cuyas
magnitudes se consideran representativas para la evaluación del alcance del fenómeno peligroso consi-
derado. Las zonas potencialmente afectadas por los fenómenos peligrosos que se derivan de los acci-
dentes potenciales en determinados establecimientos industriales se determinan en base a las distancias
a las que determinadas variables físicas representativas de los fenómenos peligrosos alcanzan determi-
nados valores umbral. Dichos valores se agrupan en dos grandes áreas:
Según la intensidad de la variable numérica que describa un determinado accidente, se delimitan una
serie de zonas objeto de planificación o zonas definidas de influencia denominadas zona de intervención
y zona de alerta, que se corresponden con áreas en las que se encuentran elementos vulnerables sus-
ceptibles de sufrir daños.
Descripción
Los análisis de consecuencias deben estudiar los diferentes tipos de accidentes potenciales en estable-
cimientos industriales que pueden producir fenómenos peligrosos para las personas, el medio ambiente y
los bienes materiales. Estos tipos de accidentes potenciales se seleccionan a partir de un correcto análi-
sis e identificación de riesgos. Son los siguientes:
- Fugas o derrames incontrolados de sustancias peligrosas: líquidos o gases en depósitos y con-
ducciones.
- Evaporación de líquidos derramados.
- Dispersión de nubes de gases, vapores y aerosoles.
- Incendios de charco (Pool fire).
- Dardos de fuego (Jet fire).
- Deflagraciones no confinadas de nubes de gases inflamables (UVCE).
- Estallido de depósitos (BLEVE).
- Explosiones físicas y/o químicas.
- Vertido accidental al medio ambiente de sustancias contaminantes, procedente de fugas o de-
rrames incontrolados.
Normalmente, un accidente de estas características se produce a partir de algún suceso menor que trae
como consecuencia la pérdida de estanqueidad de algún recipiente, depósito o tubería que contiene al-
guna sustancia, lo que produce la fuga o derrame de esta sustancia al exterior. También es posible un
incendio previo o simultáneo a una fuga o incluso, una explosión previa a la fuga o al incendio. No obs-
tante, en la mayoría de los casos el primer suceso consiste en una fuga incontrolada de producto.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 49 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
A modo de resumen, se indican una serie de sucesos accidentales y sus posibles consecuencias aso-
ciadas:
Metodología Probit
Una de las metodologías más utilizadas para el análisis de consecuencias es el método Probit. Se basa
en la cuantificación probabilística de la vulnerabilidad de personas e instalaciones ante efectos físicos de
una magnitud determinada que se suponen conocidos.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 50 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
El método consiste en la aplicación de correlaciones estadísticas para estimar las consecuencias desfa-
vorables sobre la población u otros elementos vulnerables a los fenómenos físicos peligrosos conse-
cuencia de los accidentes.
La respuesta de una población ante un fenómeno físico peligroso se distribuye según una ley log-normal.
El modelo es aplicable sólo para aquellos fenómenos de los que se dispone de "Ecuación Probit".
El método permite determinar la proporción de población u otros elementos que resultarán afectados a
consecuencia del accidente en un punto dado. Consiste en asociar la probabilidad de un daño, con unas
determinadas unidades Probit. El gráfico que permite realizar esta asociación es el siguiente:
Función Probit
100
Porcentaje de probabilidad de
90
80
70
afectación (%)
60
50
40
30
20
10
0
0 2 4 6 8
Unidades Probit (Y)
Y = K1 + K2·Ln V
En el cuadro siguiente se resumen los valores de estos parámetros para las principales consecuencias
de los fenómenos peligrosos derivados de incendios y explosiones.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 51 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
En la tabla siguiente, se indica la radiación máxima tolerable para determinados materiales que se utilizan
habitualmente en la construcción:
Por otra parte, los efectos sobre las personas se pueden ver en la tabla siguiente:
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 52 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
En la tabla de siguiente se indican los daños producidos por explosiones en función de la sobrepresión a
la que se ven expuestas personas y bienes materiales.
Sobrepresión (kPa)
Tipo de daño
0,204 Rotura ocasional de cristales grandes
0,275 Ruido fuerte. Rotura de cristales por la onda sonora
0,681 Rotura de cristales pequeños sometidos a tensión
2,04 Límite de proyectiles
2,04 95% de probabilidad de no sufrir daños importantes en personas
2,04 Daños menores en techos y casas. Rotura del 10% de cristales
3,4 – 6,9 Destrucción de ventanas con daño en los marcos
4,8 Daños estructurales menores en las casas
5 Umbral de "Zona de alerta" según la Directriz Básica
6,8 Demolición parcial de casas que quedan inhabitables
6,8 – 13,6 Fallo de paneles y mamparas de madera, aluminio, etc.
12,5 Umbral de "Zona de intervención" según la Directriz Básica
13,6 Colapso parcial de paredes y techos de casas
13,1 - 20,4 Destrucción de paredes de cemento de 20 a 30 cm de espesor
16,3 Umbral (1%) de rotura de tímpanos en personas
17 Destrucción del 50% de una obra de ladrillo en edificaciones
17 Distorsiones en estructuras de acero
20,4 – 27,2 Ruptura de depósitos y tanques de almacenamiento
34 – 47,6 Destrucción prácticamente completa de casas
47,6 Vuelco de vagones de tren cargados
47,7 – 54,4 Rotura de paredes de ladrillo de 20 a 30 cm de espesor
68,1 Probable destrucción total de edificios
68,1 Máquinas pesadas (3.500 kg) desplazadas y muy dañadas
83,1 90% probabilidad de rotura de tímpanos en personas
98,7 Umbral (1%) de probabilidad de muertes por hemorragia pulmonar
173,5 90% de probabilidad de muertes por hemorragia pulmonar
1905 Formación de cráter
Por otra parte, para determinar el porcentaje de personas afectadas por intoxicación ocasionada por in-
halación de una sustancia tóxica, se utiliza la siguiente ecuación:
Y = K1 + K2·Ln (cn·t)
donde c: concentración (ppm)
t: tiempo de exposición (min)
n: exponente sin dimensiones (0,6 – 3)
K1 y K2: constantes.
Sustancia K1 K2 n Sustancia K1 K2 n
Acroleína - 9,931 2,049 1 Dióxido de azufre -15,67 2,1 1
Acrilonitrilo - 29,42 3,008 1,43 Dióxido de nitrógeno - 13,97 1,4 2
Amoniaco -30,57 1,385 2,75 Fluoruro de hidrógeno - 35,87 3,354 1
Benceno - 109,78 5,3 2 Formaldehído - 12,24 1,3 2
Bromo - 9,04 0,92 2 Fosgeno -19,27 3,686 1
Cianuro de hidrógeno -29,42 3,008 1,43 Isocianato de metilo - 5,642 1,637 0,653
Cloro - 8,29 0,92 2 Monóxido de carbono - 37,98 3,7 1
Afecciones por cloro - 2,4 2,9 1 Sulfuro de hidrógeno -31,42 3,008 1,43
Cloruro de hidrógeno -16,85 2,00 1 Tolueno - 6,794 0,408 2,5
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 53 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
ANEXO VII
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 54 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
El diseño físico de un sistema y los procesos físico-químicos que en él se producen son el origen de los
riesgos del sistema. El diseño constituye una barrera de protección fundamental que se toma en consi-
deración al valorar los parámetros de los gráficos de riesgos (frecuencia y consecuencias). La seguridad
intrínseca constituye un principio de actuación que debe aplicar en el diseño de un proceso y que va ínti-
mamente ligada al proceso mismo. No obstante, la seguridad intrínseca debe considerarse siempre que
sea posible (y rentable) debido a que puede reducir o eliminar el riesgo de proceso.
Durante el diseño de los procesos se examinan los valores mínimos y máximos de las variables de pro-
ceso para determinar si el equipo puede diseñarse de manera que resista los posibles valores extremos.
Cada variable de proceso que se asegura con un buen diseño es una variable menos que contribuye a la
aparición de un peligro.
Un diseño intrínsecamente más seguro es más rentable cuando se aplica en fases tempranas del diseño.
Cualquier reducción de riesgo requerida posterior (RG), por ejemplo durante las fases de detalle del
proyecto, normalmente necesita la utilización de capas de protección (seguridad funcional) en lugar de
herramientas de diseño intrínsecamente seguro (seguridad inherente). Un cambio en el diseño es más
difícil y caro cuanto más avanzada está su implementación.
¿Se considera como capa de protección independiente? No se considera como tal durante el proceso de
cierre del RG con IPLs porque, tal y como se ha indicado, la seguridad intrínseca es un principio básico
del diseño y va encaminada a eliminar o reducir los riesgos del proceso.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 55 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
La capa del Sistema de Control de Procesos (BPCS) incluye el lazo funcional completo: detectores,
BPCS y elementos finales.
Aunque la función primaria del BPCS es monitorizar y controlar el proceso en continuo, también puede
usarse para implementar funciones de protección, tales como:
- Realizar acciones que devuelvan el proceso al rango normal de las variables de operación;
- Realizar acciones que paren el proceso llevando el sistema a un estado seguro (por ejemplo,
duplicando los sistemas instrumentados de protección en el sistema de control).
Otra función del BPCS es proporcionar información (por ejemplo alarmas) al operador, el cual es el res-
ponsable de realizar una acción correctamente. Esta función se debe considerar como parte de la capa
de intervención humana.
La capa de protección del BPCS (también llamada capa de monitorización o PCMS) actúa como parte del
diseño operativo cuando una o más variables de proceso abandonan el rango normal de operación y
entrar en el rango de desviación admisible. En esas condiciones no es necesario parar el proceso (por
razones de seguridad), aunque sí requieren que se tome una acción para devolver el proceso al rango
normal de operación.
Dado que las funciones del BPCS trabajan en continuo (alta demanda), éstas están sujetas a chequeos
continuos por parte del personal responsable. Por lo tanto, los posibles defectos o fallos se detectan (a
menudo) inmediatamente. Sin embargo, el estándar IEC 61511 no acepta tasas de fallos inferiores a 10-
5
/h para sistemas instrumentados que no se diseñen y gestionen como SIS. En otras palabras, el máximo
factor de reducción de riesgo otorgable a sistemas instrumentados no-SIS es aproximadamente 10.
Para mejorar la fiabilidad, es necesario reducir los errores sistemáticos. El estándar IEC 61511 lo hace
mediante varias actividades de control de calidad, tales como verificación, validación y evaluación de la
seguridad funcional, así como requiriendo procedimientos de seguridad de acceso y gestión de cambios,
aunque esto no se hace generalmente con el BPCS.
¿Se considera como capa de protección independiente? En general, no, ya que se puede considerar
dentro del diseño del proceso, aplicando el mismo principio que en la capa anterior. No obstante, se le
puede asignar como máximo un crédito IPL, siempre que no haya otras capas presentes y se justifique su
independencia respecto al suceso iniciador y otras capas de protección. Además, se le puede asignar un
crédito IPL a los sistemas de control específicos de ciertos equipos: compresores, hornos, calderas, etc.
La supervisión por parte de los operadores y la respuesta a alarmas relacionadas con la seguridad para
prevenir incidentes constituye una capa de protección. De hecho, la capa de “intervención humana” es un
lazo funcional completo que típicamente está formado por: elementos sensores, el BPCS que da la alar-
ma, la respuesta e intervención por parte del operador y los elementos finales.
Cuando la información (alarma) o acción (respuesta) dependen del correcto funcionamiento del BPCS, se
deberán considerar las observaciones hechas en el punto anterior sobre la función protectora del BPCS.
La intervención humana en respuesta a alarmas también tiene ciertas limitaciones debido a que existe el
potencial error del operador o del procedimiento, especialmente en situaciones de estrés. La probabilidad
de una respuesta correcta por parte de un operador ante una alarma depende de varios factores, entre
ellos:
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 56 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
- La manera de priorizar las alarmas en el BPCS (por ejemplo, si el operador recibe una batería de
alarmas simultáneamente, éste no será capaz de procesar toda la información). Por tanto, las
alarmas que requieran la intervención humana deberán de priorizarse y distinguirse claramente
de las que no requieren de una acción inmediata. También es posible que el operador detecte la
desviación del rango normal de operación desde campo en los chequeos que realiza durante sus
rondas periódicas. En este caso, el tiempo de seguridad del proceso deberá ser al menos el do-
ble del tiempo entre los chequeos por parte de los operadores.
- El tiempo disponible para ejecutar la acción requerida, o tiempo de seguridad del proceso, está
limitado por la dinámica del proceso. Este tiempo corresponde con el tiempo que hay entre la
demanda (por ejemplo, la variable del proceso se desvía hacia la zona de operación inaceptable)
y el momento en que el proceso entra en situación peligrosa, si nada se hace para prevenirlo.
Este tiempo se deberá comparar con el tiempo que necesitan los operadores para realizar la ac-
ción requerida, que incluye: el tiempo para procesar mentalmente las alarmas, intentar solucionar
el problema (troubleshooting), decidir qué acción es la correcta, ejecutar la acción y asegurarse
de que la acción se lleva a cabo de manera efectiva.
- La complejidad del troubleshooting y la dificultad para determinar cuál es la acción requerida. Las
acciones que deberá ejecutar el operador deberán estar adecuadamente documentadas en
procedimientos escritos que subrayen las acciones importantes y que expliquen las consecuen-
cias de estas desviaciones. Para incrementar la capacidad del operador de realizar las acciones
correctamente, las instrucciones deberán ser claras y directas, con comunicación continua (feed-
back) con el proceso para verificar que las acciones se están realizando correctamente. Los
operadores deberán de formarse para que estén perfectamente familiarizados con estos proce-
dimientos.
- El estrés al que estén sometidos los operadores.
¿Se considera como capa de protección independiente? Sí. Se le podrá otorgar como máximo un crédito
IPL si satisface los siguientes aspectos:
- El subsistema de la alarma (es decir, los detectores de campo, los módulos I/O, el procesador
principal, etc.) es independiente del suceso iniciador y de otras capas de protección (preventivas
o de mitigación) del mismo peligro.
- El tiempo de seguridad del proceso se considera suficientemente grande (por ejemplo, del orden
de 45 minutos dependiendo de la operación (valor orientativo)).
- La acción por parte del operador es simple, está bien documentada y las indicaciones de que tie-
ne que realizar una acción son claras y fiables. Se permite un mínimo troubleshooting o diagnós-
tico antes de ejecutar la acción.
La capa de los Sistemas Instrumentados de Protección (IPS) incluye a los Sistemas Instrumentados de
Seguridad (SIS), y por tanto nos referiremos a los SIS para designar a los IPS. El SIS está formado por
las diferentes Funciones Instrumentadas de Seguridad o SIFs.
Una SIF incluye detectores, procesadores lógicos y elementos finales, que deberán ser diseñados, im-
plementados y gestionados de acuerdo con los estándares IEC 61508 y IEC 61511. Los SIS deben di-
señarse para ser independientes de la capa de control (por ejemplo, el BPCS y el PCMS), para asegurar
los siguientes puntos:
- El acceso a los SIS es mínimo para evitar cambios involuntarios y ajustes erróneos;
- El acceso a capas de control se proporciona sin comprometer la seguridad;
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 57 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Las SIFs (preventivas) se implementan para llevar el proceso a estado seguro cuando ocurre una de-
manda, es decir cuando una o más variables de proceso amenazan con abandonar el rango normal de
operación y entrar en el rango no admisible, aunque mucho antes de que esto se produzca.
Las SIFs tomarán el mando siempre por encima de las funciones del BPCS. Al contrario de lo que sucede
con las funciones del BPCS, las funciones del SIS deben actuar solamente de forma esporádica (es de-
cir, normalmente son sistemas de baja demanda). Esto es debido en primer lugar a la baja probabilidad
de ocurrencia de un suceso peligroso y en segundo lugar, debido al hecho de que frecuentemente
existen capas de protección previas como por ejemplo la capa del BPCS y la capa de intervención huma-
na.
Cuando se analizan las capas de protección para prevenir un escenario accidental, la SIF objeto del es-
tudio no debe tenerse en cuenta (ni asignársele créditos IPL) debido a que es precisamente la SIF la que
tendrá que cerrar el RG mediante la asignación de un nivel SIL, siempre y cuando no se puedan imple-
mentar otras capas de protección independientes.
En algunos casos, es posible que dos SIFs estén protegiendo la misma situación peligrosa aunque no
exactamente por el mismo iniciador. En este caso es importante evaluar la independencia de las dos SIFs
y considerar posibles fallos comunes.
Adicionalmente, es importante prestar atención a la asignación final de los SIL de estas SIFs debido a
que éstos dependerán de los niveles SIL de las dos. En la práctica, esto se puede solucionar asignándole
a una SIF los créditos IPL equivalentes al SIL que tentativamente se le dará posteriormente para poder
determinar el SIL de la otra SIF y cerrar el RG. Cuando se analice la otra SIF, se hará lo mismo pero al
revés considerando la primera como una IPL.
A efectos de alcanzar un SIL mayor, será posible implementar dos SIFs independientes de SIL menor,
aunque se deberá tener cuidado con los fallos por causa común.
¿Se considera como capa de protección independiente? Sí. La SIF será la encargada de cerrar el RG
mediante la asignación de un nivel SIL, siempre y cuando no se puedan implementar otras capas de pro-
tección independientes.
Los sistemas mecánicos de mitigación incluyen dispositivos que, bajo condiciones anormales específicas
(por ejemplo, presión igual o mayor al punto de consigna de una PSV), ejecutan una acción de mitigación
específica (por ejemplo, se abre la válvula de presión). Estos sistemas incluyen: PSVs, discos de ruptura,
válvulas de ventosa (rotura de vacío), puertas a prueba de explosión, supresores de llama y válvulas de
exceso de flujo (mecánicas). El diseño de los sistemas de mitigación se realiza de acuerdo a estándares
y guías de organizaciones como NFPA, API y ASME. También se pueden realizar de acuerdo a las regu-
laciones de la jurisdicción local y requisitos de las aseguradoras.
En general, un dispositivo de mitigación debe cumplir los siguientes requisitos para considerarse una
función protectora independiente (IPL):
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 58 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Ejemplos y consideraciones:
- Las PSVs deberán ventear material a una antorcha dimensionada adecuadamente. La cantidad
emitida asimismo deberá ser despreciable para la población vecina.
- Las PSVs o los discos de ruptura que venteen directamente a la atmósfera no deberán emitir
materiales inflamables o tóxicos que pongan en peligro la vida o la salud de las personas, el me-
dio ambiente o los bienes materiales y la producción.
- Las puertas a prueba de explosión ayudan a reducir la sobrepresión en caso de una explosión y
por tanto, a minimizar el colapso de estructuras. Sin embargo, estas puertas no prevendrán la
explosión en sí, ni que se produzcan daños. Por tanto, parece obvio que no se le otorguen crédi-
tos IPL a este tipo de protección.
- Las válvulas de exceso de flujo (mecánicas) se instalan comúnmente en la línea de fondo de las
esferas de GLP para bloquear la línea, y así aislar la esfera, en caso de fugas aguas abajo. Estas
válvulas normalmente actúan cerrando en caso de caudales muy altos (incluso muy superiores al
máximo caudal nominal). La válvula tardará un cierto tiempo en cerrar, tiempo durante el cual
fugará GLP; adicionalmente para pequeñas fugas aguas abajo la pérdida de presión y aumento
de caudal no será suficiente como para alcanzar el punto de consigna y cerrar las válvulas. Por
tanto, parece obvio que no se le otorguen créditos IPL a este tipo de protección.
- Estar diseñado, instalado y con un mantenimiento que minimicen problemas potenciales de ta-
ponamiento, (por ejemplo, discos de ruptura en serie con PSVs). Se deberá garantizar el correcto
funcionamiento del dispositivo durante todo el periodo entre inspecciones, por ejemplo indicando
en los informes de las inspecciones periódicas que el dispositivo está limpio de deposiciones o
que no está deteriorado.
¿Se considera como capa de protección independiente? En general, sí. Según el tipo, se le podrán otor-
gar como máximo dos créditos IPL (dependiendo del servicio) a dispositivos como válvulas de seguridad,
discos de ruptura, válvulas antirretorno en líquidos, supresores de llama/detonación. Tal y como se ha
indicado, a los paneles de explosión y a las válvulas de exceso de flujo no se les pueden asignar créditos
IPL.
Las barreras físicas sirven para mitigar pasivamente el riesgo con su presencia. Algunos ejemplos pue-
den ser: cubetos, muros contra explosión, búnkeres y el ignifugado de estructuras o equipos. En general,
cuando se diseña, construye, inspecciona y se mantiene la barrera de acuerdo con buenas prácticas de
ingeniería, hay una probabilidad elevada de que funcione como es debido cuando se necesite. Las ba-
rreras se deben inspeccionar con suficiente frecuencia para asegurar su integridad y sus premisas de
diseño deben ser auditadas periódicamente para verificar si están en el sitio adecuado o la instalación ha
cambiado (por ejemplo, los tanques operaban a menos del 50% de capacidad, pero hoy en día lo hacen a
un 85%).
¿Se considera como capa de protección independiente? En general, no. Durante la asignación de SIL
mediante los gráficos de riesgos no se le darán créditos IPL a este tipo de sistemas de protección debido
a que el método es cualitativo y por tanto no permite evaluar correctamente la eficacia de esta capa de
protección. Además, tales análisis cualitativos no deberán apoyarse en estas barreras de mitigación para
que el riesgo de la instalación sea aceptablemente bajo para las instalaciones. Sin embargo, en análisis
cuantitativos como LOPA se le podrá dar como máximo un crédito IPL a este tipo de sistemas de protec-
ción. En este caso, los árboles de sucesos deberán mostrar explícitamente la actuación de las barreras
físicas.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 59 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Las instalaciones externas (activas) para la reducción del riesgo (ERRFs) constituyen una capa de miti-
gación o limitación de consecuencias que está diseñada para reducir la severidad de las consecuencias
de un proceso peligroso que ha llegado a la etapa de pérdida de contención. Estos sistemas incluyen el
sistema Fire & Gas (típicamente formado por detectores de fuego y gas, alarmas para alertar a la sala de
control y que ésta tome medidas o se inicie la evacuación del personal, y eventualmente sistemas auto-
máticos contra incendios y/o sistemas de paro de emergencia ESD), sistemas activos de protección co-
ntra incendios (típicamente formado por agua contra incendios, espuma, polvo seco y agentes de limpie-
za).
Las instalaciones externas (activas) para la reducción del riesgo (ERRFs) tienen que estar separados del
SIS y por tanto, quedan fuera del ámbito de los estándares IEC 61508 y IEC 61511. Sin embargo, las
ERRFs son sistemas de seguridad y deben ser probados, inspeccionados y manejados como tales. El
control de estos sistemas se implementa, a veces, usando los procesadores lógicos de los SIS, lo cual
requiere que todo el sistema se maneje, como mínimo, con el nivel de rigor requerido para el SIS.
¿Se considera como capa de protección independiente? En general, no. Estos sistemas de mitigación
tienen un papel en la reducción de riesgo. Sin embargo, no se les darán créditos IPL durante la asigna-
ción de SIL mediante los gráficos de riesgos debido a que el método es cualitativo y por tanto no permite
evaluar correctamente la eficacia en la detección de esta capa de protección (por ejemplo, no es posible
saber si el detector estará en el lugar adecuado para detectar la fuga debido a que esto depende gene-
ralmente de la dirección del viento) ni el grado de mitigación que ofrecen para saber si el riego residual es
aceptable, debido a que su propósito principal es limitar la escalación de las consecuencias y no prevenir
la pérdida de contención inicial y sus consecuencias inmediatas. En análisis cuantitativos como LOPA se
le podrá asignar como máximo un crédito IPL a este tipo de sistemas de protección. En este caso, los
árboles de sucesos deberán mostrar explícitamente la actuación de las ERRFs.
¿Se considera como capa de protección independiente? No. Dado que confiar en la respuesta de emer-
gencia es el último recurso, se recomienda que no se den créditos IPL para la reducción de riesgo a esta
capa. Más bien, el objetivo sería evitar una situación que active la respuesta contra emergencias antes
que tener que confiar en ésta.
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 60 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
ANEXO VIII
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 61 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 62 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
ANEXO IX
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 63 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Parámetro: Intención:
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 64 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
ANEXO X
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 65 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Planta: Unidad:
Nodo P&ID considerado Recomendación Prioridad Responsable / Área Fecha prevista
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 66 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
ANEXO XI
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 67 de 68
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Causas
Descripción:
Resultados
Frecuencia (1/año) -log (Frecuencia)
Frecuencia del suceso con mitigación:
Frecuencia tolerable (matriz riesgos)
¿Cumple con el requisito de aceptación del riesgo? SÍ
NO
Acciones requeridas
Descripción:
Observaciones
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 68 de 68