Guia Arp 2012 800-16400-Dco-Gt-75-2012

Direccin Corporativa de Operaciones Subdireccin de Disciplina Operativa Seguridad, Salud y Proteccin Ambiental
GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO
Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012
Pgina 2 de 167
Tabla de Contenido
1. 2. 3. 4. 5. 6. 7. 8. INTRODUCCIN. .................................................................................................................................... 3 OBJETIVO................................................................................................................................................ 3 ALCANCE. ............................................................................................................................................... 3 CAMPO DE APLICACIN. ................................................................................................................... 4 ACTUALIZACIN. .................................................................................................................................. 4 DEFINICIONES. ...................................................................................................................................... 4 ACRNIMOS. .......................................................................................................................................... 7 GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO ....................... 8
8.1 CONCEPTOS DE ANLISIS DE RIESGOS...........8 8.2 PROCESO DE ANLISIS DE RIESGOS..........9 8.2.1 El Proceso de Gestin de Riesgo .................................................................................................... 9 8.2.2 El Proceso Identificacin, Anlisis y Evaluacin de Riesgos........................................................ 10 METODOLOGAS DE ANLISIS DE RIESGOS...15 8.3.1 Identificacin de Peligros .............................................................................................................. 16 8.3.2 Jerarquizacin de los Riesgos ...................................................................................................... 16 8.3.3 Seleccin de las Metodologas...................................................................................................... 17 8.3.4 Listas de Verificacin .................................................................................................................... 18 8.3.5 Qu pasa s? ............................................................................................................................... 18 8.3.6 Combinacin Lista de Verificacin y Qu pasa s? .................................................................... 18 8.3.7 Anlisis de Modos de Falla y sus Efectos (FMEA) ..................................................................... 188 8.3.8 Anlisis de Peligros y Operabilidad (HAZOP)............................................................................... 19 8.3.9 Caracterizacin y Jerarquizacin de los riesgos........................................................................... 19 8.3.9.1 Estimacin de las Frecuencias ......................................................................................... 19 8.3.9.2 Anlisis de Consecuencias .............................................................................................. 19 8.3.9.3 Matrices de Riesgo .......................................................................................................... 19 8.3.10 Anlisis de rboles de Eventos (AAE) ........................................................................................ 20 8.3.11 Anlisis de rboles de Fallas (AAF)............................................................................................ 20 8.3.12 Anlisis de Consecuencias (AC)................................................................................................. 20 INFORME DEL ANLISIS DE RIESGOS....21
8.3
8.4
9. 10.
BIBLIOGRAFA. .................................................................................................................................... 21 ANEXOS. ................................................................................................................................................ 22
Pgina 3 de 167
1. INTRODUCCIN. El manejo en las instalaciones y transporte de hidrocarburos por ducto en los diferentes Organismos Subsidiarios de Petrleos Mexicanos, conlleva riesgos de fugas y derrames que pueden derivar en accidentes que afecten al personal, la poblacin, al medio ambiente y/o al negocio (instalaciones produccin). Para determinar medidas que prevengan su ocurrencia o mitiguen sus posibles consecuencias, se realizan los anlisis de riesgos de proceso. Estos anlisis tienen como propsito identificar, analizar, evaluar y jerarquizar los riesgos que se presentan en un determinado proceso, tomando en cuenta sus posibles consecuencias y su probabilidad de ocurrencia. Posteriormente, la administracin de estos riesgos se logra a travs de la implantacin de medidas preventivas y correctivas, que reduzcan obviamente su probabilidad de ocurrencia y/o sus posibles consecuencias, soportndolas todas ellas con un efectivo anlisis costobeneficio que permitan integrar estos proyectos a la cadena productiva, de forma segura bajo niveles de riesgo tolerables. Por otra parte, otro uso prctico de las metodologas de anlisis de riesgos descritas en ste documento, son su aplicacin en la investigacin y desarrollo de nuevos procesos, su diseo conceptual, operacin en plantas piloto, ingeniera de detalle, construccin y arranque de instalaciones, administracin de cambios de proceso, investigacin de incidentes y accidentes y finalmente, una vez concluida la vida til de una instalacin, durante su desmantelamiento. As mismo, durante la etapa de ingeniera de diseo de nuevos proyectos en la industria petrolera, los anlisis de riesgos de proceso se conciben como un instrumento de alcance preventivo, que permiten integrar estos proyectos a la cadena productiva de forma segura y bajo niveles de riesgo tolerables. La Direccin Corporativa de Operaciones a travs de la Subdireccin de Disciplina Operativa, Seguridad, Salud y Proteccin Ambiental, emite estas Guas Tcnicas para realizar Anlisis de Riesgos de Proceso, con la finalidad de homologar la aplicacin de metodologas para desarrollar los anlisis de riesgos de proceso en Petrleos Mexicanos y Organismos Subsidiarios. 2. OBJETIVO. Homologar la seleccin y aplicacin de las metodologas de anlisis de riesgos de procesos en las instalaciones de Petrleos Mexicanos y Organismos Subsidiarios. As mismo, asegurar la calidad y consistencia en la planeacin y ejecucin de los anlisis de riesgos y en la presentacin de resultados y conclusiones. 3. ALCANCE. Contiene las guas para desarrollar anlisis de riesgos y se presenta como sigue; Conceptos de anlisis de riesgos, proceso de anlisis de riesgos, metodologas de anlisis de riesgos e informe del anlisis de riesgos. Las metodologas incluidas son las siguientes: Listas de verificacin, Qu pasa s?, combinacin de Lista de verificacin/Qu pasa si?, Anlisis de Modos de Falla y Efectos (siglas en Ingls FMEA), Anlisis de Peligros y Operabilidad (HAZOP), Anlisis de rbol de Eventos (AAE), Anlisis de rbol de Fallas (AAF) y Anlisis de Consecuencias (AC). Asimismo, contiene los criterios (matrices de riesgo), para caracterizar y valorar los riesgos identificados en los procesos.
Pgina 4 de 167
4. CAMPO DE APLICACIN. Estas guas son de aplicacin general y observancia obligatoria para el desarrollo de anlisis de riesgos de proceso en Petrleos Mexicanos y Organismos Subsidiarios. Los conceptos no previstos en este documento, se analizarn por parte de la Direccin Corporativa de Operaciones, a travs de la Subdireccin de Disciplina Operativa, Seguridad, Salud y Proteccin Ambiental y el rea usuaria de este documento. 5. ACTUALIZACIN. Los conceptos contenidos en este documento, se deben revisar y actualizar al menos cada cinco aos o antes, si las sugerencias o recomendaciones del cambio lo ameritan. Las sugerencias y recomendaciones deben dirigirse por escrito a la Gerencia de Atencin a Contingencias, de la Direccin Corporativa de Operaciones. 6. DEFINICIONES. Accidente. Es aquel incidente que ocasiona afectaciones a los trabajadores, a la comunidad, al ambiente, al equipo y/o instalaciones, al proceso, transporte y distribucin del producto y que debe ser reportado e investigado para establecer las medidas preventivas y/o correctivas, que deben ser adoptadas para evitar su recurrencia. Administracin de cambios de proceso. Es la aplicacin sistemtica de polticas, prcticas y procedimientos de la organizacin en las tareas de identificacin, evaluacin, autorizacin e instalacin de cualquier tipo de cambio o alteracin, permanente o temporal, a la tecnologa e instalaciones que modifique el riesgo o altere la seguridad y confiabilidad de las instalaciones o sistemas. Anlisis de consecuencias. Estudio y prediccin cualitativa de los efectos que pueden causar eventos o accidentes que involucran fugas de txicos, incendios o explosiones entre otros, sobre la poblacin, el ambiente y las instalaciones. Anlisis de riesgos de proceso. Conjunto de metodologas que consisten en la identificacin, anlisis y evaluacin sistemtica de la probabilidad de la ocurrencia de daos asociados a los factores externos (fenmenos naturales y sociales), fallas en los sistemas de control, los sistemas mecnicos, factores humanos y fallas en los sistemas de administracin; con la finalidad de controlar y/o minimizar las consecuencias al personal, a la poblacin, al ambiente, a la produccin y/o a las instalaciones. rbol de eventos. Es un diagrama lgico-grfico en el cual se describen posibles estados finales, resultado de las diferentes trayectorias que puede seguir un evento no deseado (evento iniciador). rbol de Fallas. Diagrama lgico-grfico en el que se muestran todas las combinaciones crebles de fallas o eventos que causarn una falla especfica de inters, llamado evento tope. Es una tcnica o proceso de razonamiento deductivo que utiliza smbolos lgicos Booleanos (compuertas (OR) y compuertas y (AND)) para descomponer las causas de un evento tope en fallas bsicas de equipo, errores humanos y/o circunstancias asociadas (llamados eventos bsicos). Caso ms probable. Con base a la experiencia operativa, es el evento de liberacin accidental de un material o sustancia peligrosa, que tiene la mayor probabilidad de ocurrir.
Pgina 5 de 167
Caso alterno. Es el evento creble de una liberacin accidental de un material o sustancia peligrosa que es simulado, pero que no corresponde al peor caso ni al caso ms probable. Combustin. Reaccin qumica de oxidacin de un material combustible con desprendimiento de llamas, calor y gases. Compuerta. Smbolo lgico booleano que se utiliza en los rboles de Fallas, para unir la salida de un evento con sus correspondientes entradas (compuertas OR, AND, NOT, etc.). Conjunto Mnimo de Corte. Combinacin mnima de eventos bsicos que provocan la ocurrencia del evento tope. Se pueden considerar como los modos de ocurrencia del evento tope. Consecuencias. Efectos que pueden causar eventos o accidentes que involucran fugas y derrames de sustancias txicas, inflamables y/o explosivas. Derrame. Cualquier descarga, evacuacin, rebose, achique, o vaciamiento de hidrocarburos u otras sustancias peligrosas en estado lquido cuya presencia altere las condiciones naturales de un sitio y pongan en peligro uno o varios ecosistemas; puede presentarse en tierra, aguas superficiales o en el mar y se originan dentro o fuera de las instalaciones petroleras, durante las actividades de explotacin, transformacin, comercializacin o transporte de hidrocarburos y sus derivados. Desviacin. Condicin que se aparta de la intencin del diseo del sistema o proceso. Escenario de riesgo. Determinacin de un evento hipottico, en el cual se considera la ocurrencia de un accidente bajo condiciones especficas, definiendo mediante la aplicacin de modelos matemticos y criterios acordes a las caractersticas de los procesos y/o materiales, las zonas que potencialmente puedan resultar afectadas. Estabilidad atmosfrica. Describe el nivel de turbulencia en la atmsfera. Depende de la velocidad de viento, hora del da o de la noche y otras variables como la cantidad de radiacin solar y nubosidad. Evento. Suceso relacionado a las acciones del ser humano, al desempeo del equipo o con sucesos externos al sistema, que pueden causar interrupciones y/o problemas en el sistema. En este documento, evento es causa o contribuyente de un incidente o accidente o, es tambin una respuesta a la ocurrencia de un evento iniciador. Evento Bsico. Describe una condicin normal o de falla en el rbol (falla de equipo, errores humanos, etc.). Definen el nivel de resolucin del rbol de fallas. Evento iniciador. Evento especfico indeseado que constituye la base fundamental del Anlisis de rboles de Eventos. Est relacionado generalmente con un accidente o desviacin del sistema a analizar. Evento Intermedio. Falla que describe la seal de salida de una compuerta lgica. Evento no Desarrollado. Falla especfica en la cual no se han desarrollado las causas de ocurrencia de este evento por falta de informacin, o bien, por considerarse poco relevante. Evento no deseado. Evento que implica la prdida de un valor: salud, vida, produccin, ambiente, capital, etc.
Pgina 6 de 167
Evento Tope. Evento especfico no deseado. Explosin. Liberacin sbita y violenta de energa que causa un cambio transitorio en la densidad, presin y velocidad del aire circundante a la fuente de energa. Esta liberacin de energa puede generar una onda de presin con el potencial de causar dao en su entrono. Fuga. Liberacin repentina o escape accidental por prdida de contencin, de una sustancia en estado lquido o gaseoso. Fuego. Consecuencia visible de la combustin. HazOp, metodologa. Mtodo estructurado y sistemtico para examinar un sistema con el objetivo de identificar peligros potenciales y problemas operativos; en particular para identificar las causas y sus implicaciones. Incendio. Combustin no controlada. Inflamabilidad. Mayor o menor facilidad con la que una sustancia puede arder en aire o en algn otro comburente. Intencin de diseo. Ver propsito de diseo. Lmite inferior de inflamabilidad; explosividad inferior (LIE). Es la concentracin mnima de cualquier vapor o gas (% por volumen de aire), que se inflama o explota si hay una fuente de ignicin presente a la temperatura ambiente. Lmite superior de inflamabilidad; explosividad superior (LSE). Es la concentracin mxima de cualquier vapor o gas (% por volumen de aire), que se inflama o explota si hay una fuente de ignicin presente a la temperatura ambiente. Nodo. Seccin del proceso o instalacin sujeta a estudio que se asla del resto para propsitos analticos. Nube txica o inflamable. Porcin de la atmsfera con una concentracin de material txico o inflamable que tiene el potencial de causar dao o entrar en combustin; su formacin se debe a la liberacin de una sustancia peligrosa. Palabra Gua. Palabra o frase que combinada con una variable o parmetro, expresa y define una desviacin a partir de la intencin de diseo. Peligro. Es toda condicin fsica o qumica que tiene el potencial de causar dao al personal, a las instalaciones o al ambiente. Peor Caso. Corresponde a la liberacin accidental del mayor inventario del material o sustancia peligrosa contenida en un recipiente, lnea de proceso o ducto, la cual resulta en la mayor distancia hasta alcanzar los lmites por toxicidad, sobre-presin o radiacin trmica, de acuerdo a los criterios para definir las zonas intermedia de salvaguarda al entorno de la instalacin. Para identificar los perores casos, no se requiere de un anlisis de riesgos formal, ni conocer las causas que pudieran provocarlo ni su probabilidad de ocurrencia, simplemente consideramos que ste sucede.
Pgina 7 de 167
Proceso. Serie continua y repetible de actividades relacionadas que a travs del uso de recursos convierte una o ms entradas (insumos) en una o ms salidas (productos), creando valor para el cliente. Propsito de diseo. Rango de valores deseados o especificados por el diseador sobre el comportamiento de una porcin del sistema (incluye tanto las condiciones como las caractersticas de los elementos constituyentes de un sistema). Riesgo. Peligros a los que se expone el personal. Combinacin de la probabilidad de que ocurra un accidente y sus consecuencias. Simulacin. Representacin de un evento o fenmeno por medio de sistemas de cmputo, modelos fsicos o matemticos u otros medios, para facilitar su anlisis. Sustancia peligrosa. Es cualquier sustancia que cuando es emitida, puesta en ignicin o cuando su energa es liberada (fuego, explosin, fuga txica) puede causar lesin, daos a las instalaciones debido a sus caractersticas de toxicidad, inflamabilidad, explosividad, corrosin, inestabilidad trmica, calor latente o compresin. Toxicidad. Propiedad de las sustancias para producir un efecto indeseado cuando un compuesto qumico ha alcanzado una cierta concentracin que afecta al cuerpo humano. Umbral del dolor. Intensidad mxima de un estmulo a partir de la cual se experimenta sensacin de dolor. Zona de amortiguamiento. rea donde pueden permitirse determinadas actividades productivas que sean compatibles, con la finalidad de salvaguardar a la poblacin y al ambiente restringiendo el incremento de la poblacin asentada. Zona de riesgo. rea de restriccin total en la que no se debe permitir ningn tipo de actividad, incluyendo asentamientos humanos, agricultura con excepcin de actividades de forestacin, cercamiento y sealamiento de la misma, as como el mantenimiento y vigilancia. Zona intermedia de salvaguarda. rea determinada del resultado de la aplicacin de criterios y modelos de simulacin de riesgo que comprende las reas en las cuales se presentaran lmites superiores a los permisibles para la salud del hombre y afectaciones a sus bienes y al ambiente en caso de fugas accidentales de sustancias txicas y de la presencia de ondas de sobrepresin en caso de formacin de nubes explosivas. Esta se conforma por la zona de alto riesgo y la zona de amortiguamiento.
7. ACRNIMOS Y ABREVIATURAS. AAE AAF AE Anlisis de rboles de Eventos Anlisis de rboles de Fallas rbol de Eventos
Pgina 8 de 167
AIChE American Institute of Chemical Engineers ALARP As Low as Reasonably Practicable Tan Bajo como sea Razonablemente Prctico CCPS Center for Chemical Process Safety, pertenece al AIChE Comisin Electrotcnica Internacional CEI Dimetro equivalente de fuga DEF Event Tree Analysis ETA Grupo de Anlisis de Riesgos GAR HazOp Hazard and Operability IChemE Institution of Chemical Engineers International Electrotechnical Commission IEC PEMEX Petrleos Mexicanos PEMEX Exploracin y Produccin PEP PGPB PEMEX Gas y Petroqumica Bsica PREF PEMEX Refinacin 8. GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO. 8.1 CONCEPTOS DE ANLISIS DE RIESGOS.
El riesgo est presente en toda actividad humana. El riesgo, en trminos prcticos, est relacionado con la salud de las personas (ej. muerte, lesiones o daos a largo, mediano y corto plazo), con el negocio (ej. dao a equipos, prdida de produccin, imagen) y con el medio ambiente. El objetivo de realizar anlisis de riesgos es identificar peligros y riesgos para emitir recomendaciones tendientes a controlar y prevenir incidentes/accidentes, mitigar las consecuencias para evitar prdidas humanas, daos a la salud, a la propiedad, instalaciones y medio ambiente. El anlisis de riesgos es una herramienta til para: Identificar peligros, riesgos y estrategias para su manejo y control. Proveer informacin objetiva para la toma de decisiones. Cumplir con requisitos normativos y legales.
Los resultados del anlisis de riesgos se emplean para evaluar el nivel de tolerabilidad del riesgo, as como para la toma de decisiones en cuanto a seleccionar la mejor o mejores opciones para su administracin y control. Algunos otros beneficios del anlisis de riesgos son: Identificacin sistemtica de peligros potenciales en los procesos. Identificacin sistemtica de los modos de fallas de sistemas o sus componentes y equipos. Evaluacin cuantitativa del riesgo o estimacin del rango de los riesgos. Evaluacin de posibles modificaciones en instalaciones, proceso y/o controles administrativos para reducir el riesgo. Identificacin de los mayores contribuyentes al riesgo y puntos dbiles de un sistema, proceso y/o control administrativo. Mejor entendimiento del funcionamiento de los sistemas e instalaciones. Comparacin del riesgo entre tecnologas y sistemas alternativos.
Pgina 9 de 167
Identificacin y comunicacin de riesgos e incertidumbres asociadas a ellos. Ayuda en el establecimiento de prioridades para mejorar la salud y operar de manera segura, bajo un nivel de riesgo tolerable. Ayuda en la revisin de programas de mantenimiento e inspeccin. Elaboracin o actualizacin de planes de respuesta a emergencias.
El anlisis de riesgo a menudo requiere de un enfoque multidisciplinario ya que puede involucrar las siguientes reas: Anlisis de sistemas. Probabilidad y estadstica. Ingeniera qumica, mecnica, elctrica, estructural o instrumental. Ciencias fsicas, qumicas o biolgicas. Ciencias de la salud, incluyendo la toxicologa y la epidemiologa. Ciencias de los factores humanos, ergonmicos y administrativos.
El riesgo tambin se puede presentar como consecuencia de los siguientes peligros: Peligros naturales (inundaciones, sismos, huracanes, etc.). Peligros tecnolgicos (instalaciones industriales, estructuras, sistemas de transporte, sustancias peligrosas, pesticidas, herbicidas, medicamentos, etc.). Peligros sociales (terrorismo, sabotaje, ataque armado, robo, secuestros, intentos de toma de instalaciones, bloqueo de instalacin, amenaza de bomba).
Estos peligros ocasionan riesgos que no son mutuamente excluyentes. Esta Gua trata con los riesgos asociados con los peligros tecnolgicos, es decir, con el manejo, procesamiento, almacenamiento y transporte de sustancias txicas, inflamables y/o explosivas en las instalaciones de Petrleos Mexicanos y Organismos Subsidiarios. 8.2 PROCESO DE ANLISIS DE RIESGOS.
El riesgo es inherente a todo lo que hacemos, nosotros enfrentamos riesgos continuamente, a veces conscientemente y a veces sin darnos cuenta. La necesidad de administrar el riesgo de forma sistemtica aplica a todas las organizaciones e individuos y a todas las funciones y actividades dentro de una organizacin. Esta necesidad debe ser reconocida como de importancia fundamental. A continuacin se tratar brevemente el proceso de gestin de riesgos con el objeto de establecer el contexto de los anlisis de riesgos de proceso. 8.2.1 El Proceso de Gestin de Riesgo.
La gestin de riesgos es una parte integral de una buena administracin. Es un proceso iterativo de mejora continua que est embebido dentro de las prcticas existentes o procesos del negocio. La gestin del riesgo es la aplicacin sistemtica de polticas de administracin, procedimientos y prcticas de ingeniera a las tareas de identificar, analizar, evaluar y controlar riesgos. Sus principales elementos se muestran en la Figura 8-1.
Pgina 11 de 167
4. Verificacin del anlisis. 5. Documentacin del anlisis, y 6. Actualizacin del anlisis. Contar con informacin actualizada, completa y vigente sobre la tecnologa del proceso a analizar, una persona que dirija el anlisis de riesgos (Lder) y la aplicacin de la metodologa de anlisis de riesgos seleccionada, la participacin de un grupo multidisciplinario de especialistas con amplia experiencia y conocimientos sobre disciplinas como operacin, mantenimiento, seguridad, ingeniera y diseo, salud en el trabajo, etc. Definicin del alcance. Se debe definir y documentar el alcance del anlisis de riesgos para crear un plan al inicio del proyecto. Esta actividad implica: a. Describir las razones y/o problemas que motivaron el anlisis de riesgos. 1. Formular los objetivos del anlisis de riesgos con base en los requerimientos identificados. 2. Definir los criterios de xito/falla del sistema. b. Definir el sistema a analizar, que incluye: 1. Descripcin general del sistema. 2. Definicin de fronteras e interfaces con los sistemas relacionados tanto fsicas como funcionales. 3. Descripcin del entorno del sistema. 4. Identificacin de entradas y salidas a travs de las fronteras del sistema de materiales y energa. 5. Definicin de condiciones operativas consideradas en la evaluacin y cualquier limitante importante. c. Identificar circunstancias tcnicas, ambientales, legales, organizacionales y humanas, relevantes a la actividad o problema analizado. d. Definir las limitantes y suposiciones bajo las que se realiza el anlisis. e. Identificar las decisiones que se deban tomar con base en los resultados obtenidos. Dentro de las actividades de definicin del alcance tambin se debe considerar la familiarizacin con el sistema en estudio.
Pgina 12 de 167
Figura 8-1 El proceso de gestin del riesgo
Identificacin de peligros y riesgos. Se deben identificar todos los peligros junto con las formas en las que estos pueden salirse de control y, dar lugar a la ocurrencia de los riesgos. Esta identificacin tambin incluye aquellos peligros registrados en el historial de incidentes/accidentes tanto propios como de instalaciones y/o procesos similares, as como los que resulten del empleo de la(s) metodologa(s) formal(es) para el desarrollo de los anlisis de riesgos de proceso, consideradas en la seccin 8.3 de esta Gua. Debe llevarse a cabo una identificacin, anlisis y evaluacin inicial de los riesgos, considerando la importancia de los peligros identificados. Esto implica alguna o algunas de las siguientes acciones:
Pgina 13 de 167
Tomar acciones correctivas inmediatas para eliminar o reducir los riesgos ocasionados por los peligros. Despus de la accin anterior, detener el anlisis de riesgos debido a que los peligros y sus riesgos son insignificantes, o Continuar con el anlisis y con la estimacin del nivel de riesgo.
Estimacin del nivel de riesgo. En esta etapa, se deben considerar los eventos iniciadores y combinacin de eventos que son de inters: errores humanos, seguridad, sistemas de mitigacin activos y pasivos, as como obtener una estimacin del riesgo analizado. En sta estimacin mximo, del grado de incertidumbre involucrado. su probabilidad de ocurrencia, la fallas de equipos, dispositivos de sus posibles consecuencias, para debe considerarse la reduccin al
Las metodologas usadas en la estimacin del riesgo son a menudo cuantitativas aunque el grado de detalle requerido depende de cada aplicacin en particular. El anlisis totalmente cuantitativo no siempre es posible debido a que normalmente no se dispone de suficiente datos e informacin sobre el sistema, proceso o actividad analizada. En tales circunstancias se puede emplear una categorizacin comparativa ya sea cualitativa o cuantitativa de riesgos realizada por especialistas. En el caso de que la categorizacin sea cualitativa, se debe proporcionar una explicacin clara y detallada de todos los criterios y trminos empleados, as como documentar las bases para la asignacin de las categoras de frecuencia y consecuencias (ver seccin 8.3.9, matrices de riesgo). Para la estimacin del riesgo, primero se analizan las posibles causas mediante las cuales los peligros se salen de control y se determina su probabilidad de ocurrencia o frecuencia (para el caso de sustancias peligrosas, considerar la duracin y naturaleza de su liberacin: inventario, composicin, caractersticas de la descarga, etc.). Luego, se analizan las consecuencias derivadas de la prdida de control del peligro. El anlisis de consecuencias implica estimar la severidad de las consecuencias asociadas con el peligro. El anlisis tambin puede requerir la estimacin de la probabilidad de que el peligro cause la(s) consecuencia(s) y por lo tanto puede involucrar el anlisis de la secuencia de eventos mediante el cual el peligro puede resultar en esa consecuencia. Anlisis de la frecuencia. El anlisis de la frecuencia, se emplea para estimar la probabilidad de ocurrencia de cada evento no deseado, identificado en la tercera etapa del proceso de gestin del riesgo. Generalmente se emplean tres enfoques para la estimacin de dicha frecuencia: El uso de datos histricos Obtener frecuencias a travs del uso de metodologas analticas o simulaciones Empleando juicios y experiencia del personal operativo familiarizado con los procesos y/o de expertos.
El uso de estos puede ser particular o combinado. Generalmente se combinan el primero y el segundo, con el objetivo de obtener datos ms confiables. En caso de que por alguna razn no sea esto posible, se recurre al juicio de personal operativo familiarizado con los procesos y/o al de expertos. Anlisis de consecuencias.
Pgina 14 de 167
El anlisis de consecuencias descrito en el apartado 8.3.12 de esta Gua, se emplea para estimar el impacto o dao que tendra el escenario de riesgo del evento no deseado, sobre el personal, la poblacin, el medio ambiente y las instalaciones - produccin. El anlisis de consecuencias debe: Estar basado en eventos no deseados previamente seleccionados Evaluar y describir los daos de cualquier consecuencia resultante de los escenarios de riesgo simulados, sobre el personal, la poblacin, el medio ambiente y las instalaciones produccin Tomar en cuenta las medidas de seguridad y sistemas existentes para mitigar las consecuencias, as como todos los controles administrativos y condiciones relevantes que pudieran tener un efecto mitigador sobre estas Documentar los criterios empleados para identificar y evaluar los efectos de las consecuencias Considerar las consecuencias inmediatas y aquellas resultantes despus de cierto tiempo, si as lo considera el alcance del estudio
Clculo del riesgo. Es necesario que l riesgo se exprese en trminos adecuados. Algunas formas de expresarlo son: Frecuencia de muerte para un individuo (riesgo individual). Grficas de frecuencia versus consecuencia para riesgo social (estas se conocen como curvas F-N, donde F expresa la frecuencia y N el nmero de personas que sufren cierto grado de dao especfico). La tasa de prdidas esperadas estadsticamente en trminos de fatalidades, daos econmicos o ambientales. La distribucin del riesgo de un cierto grado de dao especfico.
Los datos para los clculos deben ser recolectados documentados y organizados, en tal forma que facilite su manejo durante el desarrollo del anlisis de riesgos, permitiendo su trazabilidad. Incertidumbre. Dado que hay muchas incertidumbres en la estimacin del riesgo, se requiere entender las causas que las originan, con objeto de interpretar efectivamente los niveles de riesgo estimados o calculados. Siempre se debe tener en cuenta que las incertidumbres estn asociadas con los datos, las metodologas y los modelos empleados en la estimacin del riesgo.
Pgina 15 de 167
Verificacin del anlisis. El anlisis se debe someter a un proceso formal de verificacin por personal no involucrado en su elaboracin, de tal forma que la integridad y calidad del anlisis quede asegurada. La verificacin debe incluir las siguientes etapas: a. Verificar que el alcance sea consistente con los objetivos establecidos. b. Revisar todas las suposiciones crticas y asegurar que stas son crebles con base en la informacin disponible. c. Asegurar que el analista emple las metodologas, mtodos, modelos y datos apropiados d. Verificar que el anlisis puede ser repetible por otros analistas. e. Verificar que los resultados del anlisis no dependen de la forma en la que se presentan los datos o resultados. As mismo, revisar la viabilidad tcnica y econmica de las recomendaciones resultantes del anlisis de riesgos. Este paso se debe dar bajo las siguientes consideraciones:
Generar las diferentes opciones para la administracin del riesgo. Evaluar tcnica y econmicamente cada opcin con el enfoque de costo/beneficio. Presentar las conclusiones de la evaluacin del costo/beneficio, considerando aspectos como:
Grado de riesgo remanente. Cumplimiento de la legislacin. Costo de la retencin del riesgo.
Documentacin del anlisis. El informe del anlisis de riesgos documenta el proceso mismo y su contenido mnimo se presenta en la seccin 8.4 de sta Gua. Actualizacin del anlisis. Dado que el anlisis de riesgos se requiere para soportar un proceso de administracin de riesgos continuo, se debe realizar y documentar de tal forma que este pueda ser actualizado a travs del ciclo de vida del proceso, sistema, instalacin o actividad. Los analistas deben actualizarlo cada cinco aos, o bien antes en caso de que se presenten cambios en las condiciones de diseo, en la tecnologa de proceso, o bien, como resultado de incidentes/accidentes mayores o, de acuerdo con las necesidades del proceso de gestin, como lo estipula la NOM-028-STPS-2004 Organizacin del trabajo Seguridad en los procesos de sustancias qumicas.
8.3
METODOLOGAS DE ANLISIS DE RIESGOS.
Pgina 16 de 167
El anlisis de riesgos involucra la identificacin de los peligros presentes en el proceso bajo estudio y posteriormente, el anlisis y la evaluacin de los riesgos asociados a esos peligros. Cabe mencionar que el paquete de informacin sobre la tecnologa del proceso utilizado para la aplicacin de las metodologas de anlisis de riesgo, es el referido en la GUA TCNICA PARA LA ELABORACIN DEL PAQUETE DE TECNOLOGA DEL PROCESO, Clave: 800/16000/DCO/GT/005/10, vigente, disponible en la intranet, http://sspa.pemex.com/ >> Manual Pemex SSPA >> Subsistema de Administracin de la Seguridad de los Procesos. 8.3.1 Identificacin de peligros.
Implica la revisin sistemtica del sistema bajo estudio con el objetivo de identificar los peligros que se encuentran presentes, as como las formas en las que esos peligros pueden salirse de control, dando lugar a posibles escenarios de riesgo. Las metodologas empleadas para identificar peligros se pueden agrupar en tres clases: Metodologas comparativas, como las Listas de Verificacin. Metodologas fundamentales, consistentes en mtodos estructurados para estimular a un grupo multidisciplinario que aplican sus conocimientos sobre el sistema analizado, para identificar peligros y prever la forma en la que se puede perder control sobre ellos. Ejemplos de estas metodologas son: Qu pasa si?, Anlisis de Modos de Falla y sus Efectos FMEA y Anlisis de Peligros y Operabilidad HazOpRazonamiento inductivo / deductivo, tal como el Anlisis de Arboles de Eventos (AAE) / y el Anlisis de Arboles de Falla (AAF). Jerarquizacin de los riesgos.
8.3.2
La identificacin de peligros en un proceso en particular puede dar origen a una gran cantidad de escenarios de riesgo potenciales. Durante la aplicacin de alguna metodologa cualitativa (Lista de verificacin, Qu pasa si?, FMEA o HAZOP) se deben identificar tanto su frecuencia de ocurrencia como cada una de las posibles consecuencias (dao al personal, a la poblacin, al medio ambiente, a las instalaciones y/o a la produccin), las cuales deben ser documentadas en la columna correspondiente y valoradas de acuerdo con los criterios sealados en las matrices de riesgo, establecidos en la seccin 8.3.9 de esta Gua. La aplicacin de metodologas para realizar anlisis cuantitativo de riesgo (AAE, AAF y AC) se reserva para sistemas complejos o bien para aquellos casos, en los que a juicio de los analistas, por el elevado nivel de riesgo obtenido, as lo requieren. El anlisis cuantitativo de riesgos requiere del clculo de la frecuencia (F), o probabilidad de ocurrencia, y de la severidad de las consecuencias (C).
Pgina 17 de 167
8.3.3
Seleccin de las metodologas.
Los elementos que influyen sobre la seleccin de las metodologas a emplear son: Normatividad aplicable o compromisos contractuales. Los objetivos del estudio (si se desea identificar desviaciones respecto a determinada normatividad o prcticas recomendadas, una lista de verificacin puede ser suficiente). La fase del desarrollo del sistema (fases tempranas requieren anlisis menos detallados, pues no se cuenta con toda la informacin tcnica requerida para aplicar otro tipo de evaluacin). El tipo de sistema y peligro analizado (algunos sistemas implican un grado de complejidad que pueden exceder las capacidades de algunas metodologas). El nivel potencial de severidad (escenarios con niveles de severidad de consecuencias altos, requieren de metodologas ms detalladas). Los requisitos de experiencia, entrenamiento y horas dedicadas (una metodologa un poco ms sencilla bien aplicada puede dar origen a mejores resultados que una metodologa ms compleja deficientemente aplicada, siempre y cuando cumpla con el objetivo del estudio). La disponibilidad de informacin (algunas metodologas requieren de mayor cantidad de datos). La necesidad de modificacin - actualizacin de los anlisis (algunas metodologas permiten una actualizacin o modificacin ms sencilla que otras).
En trminos generales, la metodologa empleada para realizar el anlisis de riesgos debe ser la adecuada para cumplir con las siguientes caractersticas: Debe ser tcnicamente defendible. Debe permitir identificar el peligro que lo origina y valorar la importancia del riesgo, as como la forma en la que este debe ser controlado. Debe ser trazable, reproducible y verificable.
En la Tabla 8-1 se muestra el uso tpico de las metodologas de acuerdo con la etapa de vida del proceso, aunque en ocasiones en alguna de estas etapas se puede utilizar ms de una metodologa.
Tabla 8-1 Tpico de las metodologas de acuerdo a la etapa de vida del proceso Lista de verificacin Qu pasa si? Qu pasa si?/Lista de verificacin
Etapa Investigacin y desarrollo Diseo conceptual Operacin de planta piloto Ingeniera de detalle Construccin y arranque Operacin rutinaria Expansin o modificacin Desmantelamiento
FMEA
HAZOP
AAE
AAF
AC
Pgina 18 de 167
8.3.4
Listas de verificacin.
Deben ser elaboradas a partir de cdigos, regulaciones y estndares aplicables y deben ser aprobadas por el personal designado por PEMEX antes de ser aplicadas. El alcance debe cubrir Factores Humanos, Sistemas e Instalaciones. Deben ser tan extensas como sea necesario para satisfacer la situacin especfica que se analiza, debe ser aplicada de forma que permita identificar y evaluar los problemas que requieren mayor atencin. Los resultados deben contener una lista de recomendaciones (alternativas) de mejoras de la seguridad (reduccin del riesgo) a ser consideradas por PEMEX. El detalle de su aplicacin se presenta en el Anexo A. 8.3.5 Qu pasa s?
Esta metodologa debe involucrar el anlisis de las desviaciones posibles del diseo, construccin, modificacin u operacin, as como cualquier preocupacin acerca de la seguridad del proceso. Debe promover la lluvia de ideas acerca de escenarios hipotticos con el potencial de causar consecuencias de inters (eventos no deseados con impactos negativos).Debe ser aplicada con el apoyo de un grupo multidisciplinario de la instalacin. El resultado debe ser una lista en forma de tabla de las situaciones peligrosas, sus consecuencias, salvaguardas y opciones posibles para la prevencin y/o mitigacin de consecuencias. El detalle de su aplicacin se encuentra en el Anexo B. 8.3.6 Combinacin Lista de Verificacin y Qu pasa s?
Al aplicar est combinacin de metodologas, se deben considerar los criterios antes descritos en particular para cada una de ellas. En base a las listas de verificacin, se debe promover la lluvia de ideas acerca de escenarios hipotticos. Deben anexarse preguntas relacionadas con cualquier preocupacin acerca de la seguridad del proceso, que el grupo considere pertinentes. El resultado debe ser una lista en forma de tabla de las situaciones peligrosas, sus consecuencias, salvaguardas y opciones posibles para la prevencin y/o mitigacin de consecuencias. El detalle de su aplicacin se presenta en el Anexo C. 8.3.7 Anlisis de modos de falla y sus efectos (FMEA).
Los resultados deben ser una lista de referencia sistemtica y cualitativa de equipo, modos de falla y efectos, que incluya un estimado de los peores casos de acuerdo a las consecuencias que resulten de las fallas particulares. Se deben incluir recomendaciones orientadas a incrementar la confiabilidad de los equipos para mejorar la seguridad del proceso. Todos los analistas involucrados en el estudio FMEA deben estar familiarizados con las funciones y los modos de falla del equipo, y con el impacto que estas fallas pueden tener en otras secciones del sistema o la instalacin. En esta metodologa se evalan de manera sistemtica las posibles fallas de cada componente, porcin de un equipo o proceso, identificando cmo stas pueden ocurrir, las medidas de seguridad con las que se cuenta para prevenir su falla o mitigar sus consecuencias, considerando su ocurrencia y permitiendo reforzar las medidas preventivas o de mitigacin. El detalle de su aplicacin se presenta en el Anexo D.
Pgina 19 de 167
8.3.8
Anlisis de peligros y operabilidad (HAZOP).
Debe identificar y evaluar riesgos en instalaciones de procesos, as como identificar problemas operativos, que a pesar de no ser peligrosos, podran comprometer la capacidad de produccin de la instalacin (cantidad, calidad y tiempo). Debe ser aplicada con el apoyo de un grupo multidisciplinario de la instalacin. La definicin de los nodos debe ser conciliada con el grupo multidisciplinario. Las palabras guas deben aplicarse a los parmetros o variables de acuerdo a la intencin de diseo del nodo bajo estudio, para identificar y evaluar las desviaciones potenciales de la operacin de la instalacin. Si las causas y las consecuencias son significativas y las salvaguardas son inadecuadas o insuficientes, se deben recomendar acciones para reducir el riesgo. Los resultados deben ser una lista en forma de tabla que contenga los hallazgos del equipo con la identificacin de los riesgos del proceso, los problemas operativos, las causas, las consecuencias, las salvaguardas y las recomendaciones. En aquellos casos en que no se llegue a una conclusin debido a la falta de informacin se recomendar la realizacin de estudios posteriores. En esta metodologa se evala de manera sistemtica cada porcin de un proceso, identificando desviaciones respecto a la intencin de su diseo, cmo stas pueden ocurrir, medidas de seguridad con las que se cuenta para prevenir fallas o mitigar sus consecuencias, determinando su importancia de acuerdo a su probabilidad de ocurrencia y posibles consecuencias y proponiendo medidas preventivas o de mitigacin para reforzar la seguridad. El detalle de su aplicacin se presenta en el Anexo E. 8.3.9 Caracterizacin y jerarquizacin de los riesgos.
Tal y como se mencion con anterioridad, en los casos en que la categorizacin sea cualitativa se debe proporcionar una explicacin clara de todos los criterios y trminos empleados, as como documentar las bases para la asignacin de las categoras de frecuencia y consecuencias (ver seccin 8.3.9, matrices de riesgo). Con objeto de evaluar los riesgos cuando se utilizan las metodologas de anlisis de riesgos, se ha propuesto el uso de categoras de frecuencia, categoras de consecuencias y matrices de riesgo, consensuadas y aprobadas durante la sptima reunin de la Red de Expertos en Anlisis de Riesgos, celebrada el 5 de marzo del 2009. El detalle que describe su uso se ha documentado en el Anexo F. 8.3.9.1 Estimacin de las frecuencias. Se debe asignar una categora de frecuencia de ocurrencia de eventos como la que se presenta en el Anexo F. 8.3.9.2 Anlisis de Consecuencias. Se debe asignar una categora de consecuencia de los eventos no deseados como la que se presenta en el Anexo F.
8.3.9.3 Matrices de Riesgo.
Pgina 20 de 167
Las matrices que deben utilizarse para establecer el nivel de riesgo de los eventos no deseados se muestran en el Anexo F. 8.3.10 Anlisis de rboles de Eventos (AAE). En esta metodologa se explora de manera sistemtica la progresin de un evento iniciador y a partir de la actuacin (xito o falla) de las medidas de seguridad con las que cuenta un sistema, para evitar o mitigar resultados indeseables, se identifican todos los posibles resultados y se cuantifica la probabilidad de ocurrencia de estos. Es un mtodo inductivo. El detalle de su aplicacin se presenta en el Anexo G. 8.3.11 Anlisis de rboles de Fallas (AAF). Para la aplicacin de esta tcnica se debe tener un entendimiento detallado acerca del funcionamiento de la instalacin y del sistema, de los diagramas detallados y los procedimientos y de los modos de falla de los componentes y sus efectos. Los resultados obtenidos deben ser revisados y validados por personal de PEMEX. El contratista debe fundamentar y documentar cada uno de los valores de las tasas de falla de los equipos y dispositivos que aparezcan en el rbol de fallas, as como explicar las suposiciones, implicaciones y limitaciones del mtodo que usa para la solucin numrica (mtodos rigurosos o aproximados) de los rboles de fallas analizados. La documentacin de esta tcnica debe contener como mnimo: La definicin del problema. La construccin del rbol de fallas. El anlisis del modelo de rbol de fallas. Anlisis de los resultados.
El evento tope objeto de anlisis debe ser identificado previamente durante la etapa de identificacin de riesgos y debe especificar el qu, dnde y cundo ocurre el evento. En esta metodologa se Identifica de manera sistemtica las distintas combinaciones de eventos (conjuntos mnimos de corte) que pueden dar origen a un evento indeseado (evento tope), puede evaluar la actuacin de las medidas de seguridad con las que cuenta un sistema ya sean errores humanos, fallas de equipo o eventos externos al sistema. Permite la cuantificacin de la probabilidad de ocurrencia del evento indeseado. Es un mtodo deductivo. El detalle de su aplicacin se presenta en el Anexo H. 8.3.12 Anlisis de Consecuencias (AC). Con esta metodologa se estiman los posibles daos sobre el personal, la poblacin, el medio ambiente y el negocio (instalaciones y produccin), derivados de la prdida de contencin de una sustancia peligrosa (txica, inflamable y/o explosiva) a partir de la modelacin de nubes txicas, incendios y explosiones. Es un mtodo deductivo. El detalle de su aplicacin se presenta en el Anexo I.
Anlisis de riesgos para los sistemas de transporte por ducto Nota: Para el caso del anlisis de riesgo en los sistemas de transporte de hidrocarburos por ducto, se deber cumplir con lo establecido en el MANUAL DE ADMINISTRACIN DE INTEGRIDAD PARA DUCTOS DE PETRLEOS MEXICANOS, vigente.
Pgina 21 de 167
8.4
INFORME DEL ANLISIS DE RIESGOS.
El reporte del anlisis de riesgos documenta el proceso mismo y debe incluir o referirse al plan de trabajo. La presentacin de la informacin en ste reporte es una parte crtica del proceso de anlisis de riesgos. La estimacin de riesgos debe expresarse en trminos entendibles, se deben explicar las fortalezas y debilidades de las diferentes medidas de riesgo empleadas y se deben expresar en un lenguaje apropiado las incertidumbres asociadas con la estimacin del riesgo. La extensin del reporte depender de los objetivos y el alcance del anlisis. Excepto para anlisis muy simples, la documentacin normalmente deber contener: 1. 2. 3. 4. 5. 6. 7. ndice Objetivo Alcance Descripcin del proceso analizado Descripcin del entorno a la instalacin Premisas, consideraciones y criterios aplicados Desarrollo de la(s) metodologa(s) seleccionada(s) para la identificacin de peligros en el proceso 8. Relacin de riesgos identificados 9. Evaluacin y jerarquizacin de los riesgos 10. Recomendaciones para la administracin de los riesgos 11. Conclusiones 12. Referencias
9. BIBLIOGRAFA. Guidelines for Consequence Analysis of Chemical Releases, CCPS, AICHE, 1999. Guidelines for Chemical Process Quantitative Risk analysis, CCPS, AICHE, 1989. NIOSH Pocket Guide to Chemical Hazards, Department of Health and Human Services, September 2007, DHHS (NIOSH) 2005-149. Criterios tcnicos para simular escenarios de riesgo por fugas y derrames de sustancias peligrosas, en instalaciones de Petrleos Mexicanos, vigente. Gua para la presentacin del estudio de riesgo ambiental, ANLISIS DETALLADO DE RIESGO, niveles 1, 2 y 3, SEMARNAT, noviembre 2002. NOM010STPS1999, CONDICIONES DE SEGURIDAD E HIGIENE EN LOS CENTROS DE TRABAJO DONDE SE MANEJEN, TRANSPORTEN, PROCESEN O ALMACENEN SUSTANCIAS QUMICAS CAPACES DE GENERAR CONTAMINACIN EN EL MEDIO AMBIENTE LABORAL
Pgina 22 de 167
NORMA Oficial Mexicana NOM-028-STPS-2004, Organizacin del trabajo-Seguridad en los procesos de sustancias qumicas, Gua C (No Normativa), Administracin de Riesgos, 14 enero 2005. PEMEX-PEP, Lineamiento para la determinacin del nivel de riesgo tolerable en las instalaciones de proceso de la Regin Marina Noreste clave 250-22100-SI-212-0001, versin primera, enero 1993. PEMEX-Refinacin, Gua para realizar Anlisis de Riesgos a instalaciones industriales, DGSASIPA-SI-02741, enero 2005. Guidelines for Hazard Evaluation Procedures with worked examples, CCPS, AICHE, 1992. Nigel Hyatt, Dyadem Press Guidelines for Process Hazards Analysis, Hazards Identification & Risk Analysis CRC Press, 2003 Lees F. P., Loss Prevention in the Process Industries: Hazard Identification, Assessment and Control, Butterworths-Heinemann, Londres, Second Edition, 1996. USNRC: NUREG 0492, Fault Tree Handbook, January, 1981. IEC 61025: International Standard, Fault Tree Analysis, 2006 IEC 60300-3-9, Risk Analysis of Technological Systems IEC 60812, Analysis techniques for system reliability Procedure for failure mode and effects analysis (FMEA), 2006. Haast, D. F.; Goolberg, F. F.; Roberts, N. H.; Vesely W. E., Fault Tree Handbook, U. S. Nuclear Regulatory Commission, NUREG-0492, 1981. NASA Office of Safety and Mission Assurance: Fault Tree Handbook for Aerospace Applications, Version 1.1, 2002 SAIC, CAFTA for Windows - Fault Tree Analysis System - User Manual, Science Applications International Corporation, Los Altos, California, 1996. Santamara J. M. Anlisis y reduccin de riesgos en la industria qumica, Editorial Mafre, Madrid, 1994. Swain A. D., Accident Sequence Evaluation Program Human Reliability Analysis Procedure, NUREG/CR-4772, 1987. Guidelines for Hazard Evaluation Procedures with worked examples, CCPS, AICHE, 1992. NUREG CR/2300, Vol. 1. PRA Procedures Guide. A Guide to the Performance of Probabilistic Risk Assessments for Nuclear Power Plants, 1983 Hazard and operability studies (HAZOP studies) Application guide, CEI-IEC61882 Crawly, F., Preston, M., Tyler, B., HAZOP Guide to Best Practice, IChemE, 2000. AS/NZS 4360:2004, Risk Management MIL-STD-1629A, MILITARY STANDARD, Procedure for performing a failure mode, effects and criticality analysis, 1980. BS IEC 61882: Hazard and Operability Studies (HAZOP Studies) Application Guide. International Electrotechnical Commission, Geneva. American Petroleum Institute (API), Management of Process Hazards, API-RP750, 1990. American Petroleum Institute (API), Recommended Practice for Design and Hazards Analysis for Offshore Production Facilities, API-RP14J, Second Edition, 2001. 10. ANEXOS.
Pgina 23 de 167
ANEXO A Listas de Verificacin
Pgina 24 de 167
A.1 Propsito Proporcionar una gua a los analistas de riesgos que requieran desarrollar un anlisis de riesgos utilizando la metodologa Listas de Verificacin, para homologar su aplicacin en las instalaciones de Petrleos Mexicanos. A.2 Referencias [1] [2] [3] Guidelines for Hazard Evaluation Procedures with worked examples, CCPS, AICHE, 1992. Nigel Hyatt, Dyadem Press Guidelines for Process Hazards Analysis, Hazards Identification & Risk Analysis CRC Press, 2003 Lees F. P., Loss Prevention in the Process Industries: Hazard Identification, Assessment and Control, Butterworths-Heinemann, Londres, Second Edition, 1996.
A.3 Descripcin Un Anlisis Lista de verificacin usa una lista de puntos de un procedimiento para verificar el estado de un sistema. Las listas de verificacin varan ampliamente su nivel de detalle y son frecuentemente usadas para indicar el cumplimiento con estndares y polticas. El Anlisis Lista de verificacin es fcil de usar y puede ser aplicado a cualquier etapa del tiempo de vida de un proceso. Las listas de verificacin pueden ser usadas para familiarizar al personal inexperto con el proceso por comparacin de los atributos del proceso con varios requerimientos de la lista de verificacin. Las listas de verificacin adems proveen una base comn para la revisin por parte de la direccin de las evaluaciones del analista de un proceso u operacin. Una lista de verificacin detallada provee las bases para una evaluacin estndar de los peligros de un proceso. Puede ser tan extenso como necesario para satisfacer una situacin especfica, pero debe ser aplicada rigurosamente para identificar problemas que requieren mayor atencin. Las listas de verificacin de peligros genricas son frecuentemente combinadas con otras metodologas de evaluacin de riesgos para evaluar situaciones peligrosas. Las listas de verificacin estn limitadas por la experiencia del autor; por lo tanto, estas deben ser desarrolladas por autores que tengan amplia experiencia con el sistema que se est analizando. Frecuentemente, las listas de verificacin son creadas por simple organizacin de la informacin a partir de cdigos, estndares y regulaciones. Las listas de verificacin deben ser vistas como documentos de vida y deben ser auditadas y actualizadas regularmente. Muchas organizaciones usan listas de verificacin estndares para controlar el desarrollo de un proyecto, desde el diseo inicial hasta el desmantelamiento de la planta. La lista de verificacin completa debe ser aprobada por varios miembros del personal y directivos antes de que un proyecto se pueda mover a la siguiente etapa. En este sentido, la lista de verificacin sirve como medio de comunicacin y como forma de control. Utiliza una relacin de temas o puntos especficos para verificar el estado de un sistema con una referencia externa, identifica tipos de riesgos conocidos, deficiencias de diseo y situaciones potenciales de accidentes asociados con el proceso y su operacin comn. Esta tcnica tambin puede utilizarse para evaluar materiales, equipos o procedimientos.
Pgina 25 de 167
Esta metodologa hace uso de la experiencia acumulada por una organizacin industrial y est limitado por la experiencia de sus autores. A.4 Propsito Las listas de verificacin tradicionales son usadas primeramente para asegurar que las organizaciones estn cumpliendo con prcticas estndares. En algunos casos, los anlisis usan ms de una lista de verificacin general en combinacin con otros mtodos de evaluacin de riesgos para descubrir peligros comunes que las listas de verificacin podran omitir. A.5 Tipo de Resultados Para crear una lista de verificacin tradicional; el analista define el estndar de diseo o las prcticas de operacin, y las utiliza para generar una lista de preguntas basadas en deficiencias o diferencias. Una lista de verificacin completa contiene si, no, no aplica o necesita ms informacin como respuestas a las preguntas. Los resultados cualitativos varan con la situacin especfica, pero generalmente pueden llevar a una decisin de si o no acerca del cumplimiento con los procedimientos estndares. Adems, el conocimiento de estas deficiencias generalmente lleva a desarrollar fcilmente una lista de alternativas de posibles mejoras de seguridad a considerar por los directivos. A.6 Requerimientos de Recursos Para la ejecucin apropiada de esta metodologa, se necesita una lista de verificacin apropiada, procedimientos ingenieriles de diseo, manuales de prcticas operacionales, y alguien que complete la lista de verificacin que sea quien tenga el conocimiento bsico del proceso a ser revisado. Si existe una lista de verificacin disponible de un trabajo previo, los analistas deben tener la capacidad de usarla como una gua, si es que as lo consideran necesario. Si no existe esta lista de verificacin, una persona (generalmente varias personas) debe de preparar la lista de verificacin y ejecutar la evaluacin. Un directivo experimentado o ingeniero deben entonces revisar los resultados del Anlisis Lista de verificacin. El mtodo de Anlisis Lista de verificacin es verstil. El tipo de evaluacin ejecutada con la lista de verificacin puede variar: puede ser usada para evaluaciones simples o para evaluaciones ms extensas. Esta es una manera altamente rentable para identificar de forma habitualmente peligros reconocidos. La Tabla A.6-1.1 es un estimado del tiempo que toma ejecutar un estudio de evaluacin de riesgos usando la metodologa de Anlisis Lista de verificacin.
Tabla A.6-1 Estimado de Tiempo para ejecutar un Anlisis Lista de verificacin Alcance Simple/Sistema pequeo Complejo/Proceso Grande Preparacin 2-4 hrs 1-3 das Evaluacin 4-8 hrs 3-5 das Documentaci n 4-8 hrs 2-4 das
Pgina 26 de 167
A.7 Aplicacin de la Tcnica La metodologa Anlisis Lista de verificacin comnmente se utiliza en las siguientes etapas de la vida de un proyecto: diseo conceptual, operacin de la planta piloto, ingeniera de detalle, construccin y arranque, operacin de rutina, expansin o modificacin y desmantelamiento. A.8 Enfoque Tcnico En el Anlisis Lista de verificacin el analista utiliza una lista de puntos especficos para identificar los peligros, designar deficiencias y accidentes potenciales asociados con equipo de proceso y operaciones. La metodologa de Anlisis Lista de verificacin puede ser usada para evaluar materiales, equipo o procedimientos. Las listas de verificacin son mayormente utilizadas para evaluar diseos especficos con los cuales una compaa o industria tiene una experiencia significativa, pero tambin pueden ser usadas en las etapas tempranas de desarrollo de un proceso nuevo para la identificacin y eliminacin de peligros que hayan sido reconocidos a travs de los aos en sistemas similares. El uso apropiado de una lista de verificacin podra generalmente asegurar que una pieza de equipo cumple con estndares aceptados y puede tambin identificar reas que requieren mayor evaluacin. Para ser ms til, las listas de verificacin deben ser especficamente confeccionadas para una compaa en individual, planta o producto. Un Anlisis Lista de verificacin de un proceso existente normalmente incluye una visita al proceso y comparar el equipo con la lista de verificacin. Como parte del Anlisis Lista de verificacin de un proceso que no est aun construido, personal experimentado compara la documentacin de diseo contra las listas de verificacin pertinentes. A.9 Procedimiento de Anlisis Una vez que el alcance del anlisis ha sido definido, un Anlisis Lista de verificacin consiste principalmente de tres pasos:
1. Seleccionar o desarrollar una lista de verificacin apropiada, 2. Ejecutar la revisin, y 3. Documentar los resultados.
Pgina 27 de 167
A.9.1 Seleccionando una Lista de Verificacin Un Anlisis Lista de verificacin tiene un enfoque basado en la experiencia. El analista de riesgos debe seleccionar la lista de verificacin apropiada de las fuentes disponibles (ejemplo estndares internacionales, cdigos, guas industriales, etc.). Si no hay una lista de verificacin especifica y pertinente, entonces el analista debe usar su experiencia y la informacin disponible de referencias autorizadas para generar una lista de verificacin apropiada. Una lista de verificacin debe ser preparada por un ingeniero experto que sea familiar con la operacin general de la planta, sus polticas, estndares y procedimientos. Una lista de verificacin es desarrollada de manera que los aspectos del diseo del sistema u operacin que no cumplen con la compaa o con las prcticas estndares comunes industriales sern descubiertos a travs de las respuestas a las preguntas de la lista de verificacin. Una vez que la lista de verificacin ha sido preparada, puede ser aplicada por ingenieros menos expertos como evaluacin independiente o parte de otro estudio de revisin de riesgos. Una lista de verificacin detallada para un proceso en particular debe de ser soportada por una lista de verificacin genrica para ayudar a asegurar rigurosidad. A.9.2 Ejecucin de la revisin El anlisis de los sistemas existentes debe incluir visitas e inspecciones visuales de los procesos por los miembros del grupo multidisciplinario de anlisis de riesgos. Durante estas visitas los analistas compararn el equipo de proceso y las operaciones con los puntos de la lista de verificacin. Los revisores respondern a los puntos de la lista de verificacin basados en la observacin del sitio de las visitas, documentacin de los sistemas, entrevistas con el personal de operacin, y las percepciones del personal. Cuando los atributos observados del sistema o caractersticas operacionales no coincidan con las caractersticas especificas deseadas de la lista de verificacin, el analista anotar las deficiencias. Un Anlisis Lista de verificacin de un proceso nuevo, antes de la construccin es generalmente ejecutado por un grupo multidisciplinario en una reunin y se enfocan a la revisin de los diagramas de proceso y discusin de las deficiencias. A.9.3 Seleccionando una Lista de Verificacin El grupo de evaluacin de riesgos que ejecuta el anlisis podra resumir las deficiencias notadas durante las visitas y/o reuniones. El reporte debe contener una copia de la lista de verificacin que fue usada para ejecutar el anlisis. Cualquier recomendacin especfica para mejora de seguridad debe ser suministrada junto con las explicaciones apropiadas.
Pgina 28 de 167
A.10 Producto Esperado Un anlisis tradicional de Anlisis Lista de verificacin usualmente genera una lista de respuestas a las preguntas estndares de la lista de verificacin. Esto puede tambin resultar en una lista de peligros identificados y un conjunto de acciones correctivas sugeridas. A.11 Software Se tiene el software PHA-Pro (www.dyadem.com/products/phapro). A.12 Conclusiones Las listas de verificacin son usadas comnmente para verificar el cumplimiento con estndares e identificar reas que requieren mayor evaluacin. Una lista de verificacin es fcil de usar y puede emplearse durante cualquier etapa de la vida de un proyecto. Una lista de verificacin es un medio conveniente para comunicar el nivel mnimo aceptable de evaluacin de riesgos que es requerido para cualquier trabajo. La lista de verificacin es preparada por personal con experiencia, familiarizado con el diseo y operacin de las instalaciones y con los estndares de la compaa o industria y procedimientos. Una vez que la lista de verificacin ha sido preparada, puede ser aplicada por personal menos experimentado. Las listas de verificacin estn limitadas por la experiencia de los autores y la diligencia de los usuarios. Las listas de verificacin deben de ser auditadas y actualizadas regularmente para incorporar nuevas experiencias, incluyendo los resultados de investigaciones de accidentes o incidentes. Una lista de verificacin puede ser tan detallada como se necesite y debe de ser aplicada rigurosamente para evaluar si los procedimientos y estndares se estn siguiendo y para identificar problemas que requieren mayor atencin. Una lista de verificacin es generalmente el mtodo ms rpido y fcil para analizar peligros y es muy efectivo para el control de peligros. La lista de verificacin suministra una gua de temas a ser considerados en la ejecucin de evaluaciones de riesgos. de la compaa Dyadem International Ltd.
Pgina 29 de 167
A.13 Ejemplo Listas de verificacin, otros datos y la experiencia propia pueden ser usadas para crear listas de verificacin. Adicionalmente se puede usar lo siguiente para ayudar con la preparacin: 1. Qu es lo que el equipo hace? En qu maneras puede fallar el equipo? 2. Cules son los mayores peligros asociados con el material que est siendo manejado por el equipo? 3. Cules son las iteraciones potenciales a la entrada del equipo y a la salida del equipo o las condiciones que podran conducir a problemas? 4. Podra un evento externo causar problemas? 5. Podran las condiciones ambientales causar problemas ejemplo bajas temperaturas? 6. Hay problemas con el encendido o apagado? 7. Hay problemas para mantener el equipo o los componentes individuales? 8. Si fallan los sistemas de instrumentacin y control, que podra pasar? 9. Hay los sistemas de proteccin adecuados? Si es as, hay redundancias? 10. Ha considerado: a. Falla de suministro elctrico? b. Falla de suministro de aire? c. Falla de suministro de agua de enfriamiento? d. Falla de vapor? e. Han sido considerados los efectos de todos ellos en relacin con el tamao de los quemadores? 11. Los componentes del sistema fallan seguro ejemplo vlvulas de control? 12. Ha considerado: a. Aislamiento del equipo? b. Drenaje? c. Venteo? d. Bloqueos de emergencia?
Pgina 30 de 167
13. Ha considerado operaciones especiales? 14. Ha buscado problemas comunes como: a. Interfaces de alta presin/baja presin b. Posible flujo reverso c. Ruptura de sellos d. Filtraciones de Gas en el control de nivel e. Los baipases se dejaron abiertos cerca de las vlvulas de control f. Rupturas de tubos en calderas e intercambiadores de calor?
g. Golpes de agua/flujo en dos fases que dae las lneas? h. La corrosin rompe el acero en presencia de cloruros? En la Tabla A-13.1, se muestra el ejemplo de una hoja de trabajo para aplicar la Lista de verificacin
Tabla A-13.1 Ejemplo de hoja de trabajo Lista de Verificacin rea: Plano No.: Fecha de Reunin: Miembros del Equipo:
Lista de Verificacin
Consecuencia
Salvaguarda (Medidas de seguridad)
Gravedad
Frecuencia
ndice de Riesgo
Recomendaciones
Responsable
Pgina 31 de 167
ANEXO B Qu pasa si?
Pgina 32 de 167
B.1 Propsito Proporcionar una gua a los analistas que requieran desarrollar un anlisis de riesgos utilizando la metodologa Qu Pasa Si?, para homologar su aplicacin en las instalaciones de Petrleos Mexicanos. B.2 Referencias [1] [2] [3] Guidelines for Hazard Evaluation Procedures with worked examples, CCPS, AICHE, 1992. Nigel Hyatt, Dyadem Press Guidelines for Process Hazards Analysis, Hazards Identification & Risk Analysis CRC Press, 2003 Lees F. P., Loss Prevention in the Process Industries: Hazard Identification, Assessment and Control, Butterworths-Heinemann, London, Second Edition, 1996.
B.3 Descripcin La metodologa de Anlisis Qu pasa si? tiene el enfoque de una lluvia de ideas en la cual el grupo multidisciplinario familiarizado con el proceso formula preguntas o manifiesta preocupaciones acerca de posibles eventos indeseados. Este anlisis no es un proceso estructurado como algunas otras metodologas. En su lugar, este requiere que el analista adapte el concepto bsico a la aplicacin especfica. Muy poca informacin se ha publicado acerca del mtodo de Anlisis Qu pasa si? o de su aplicacin. De cualquier forma, es frecuentemente utilizado por la industria en sus etapas tempranas o durante la vida de un proceso y tiene buena reputacin entre aquellos especialistas que lo aplican. El concepto del Anlisis Qu pasa si? anima al grupo de evaluacin de riesgos a pensar en preguntas que empiecen con Qu pasa si ?. Cualquier proceso puede ser manifestado, aun si no es parafraseado como pregunta. Por ejemplo: Me preocupa entregar el material equivocado Qu pasa si la bomba A detiene su funcionamiento durante el arranque? Qu pasa si el operador abre la vlvula B en lugar de la vlvula A?
Generalmente, se registran todas las preguntas y luego stas se dividen dentro de reas especficas de investigacin (generalmente relacionadas con las consecuencias de inters), como la seguridad elctrica, proteccin contra incendios o seguridad del personal. Cada rea es subsecuentemente direccionada a un equipo de una o ms personas expertas. Las preguntas se formulan en base a la experiencia y aplicando los diagramas y descripciones de procesos existentes. Para una planta en operacin, la investigacin incluye entrevistas con el personal de la planta no representado en el grupo multidisciplinario de evaluacin de riesgos. Puede no haber un patrn especfico u orden para las preguntas, a menos que el lder suministre un patrn lgico como una divisin del proceso dentro de sistemas funcionales. Las preguntas pueden direccionarse a cualquier condicin no normal relacionada con la planta, no solo componentes de falla o variaciones de proceso. B.4 Propsito El propsito del Anlisis Qu pasa si? es identificar peligros, situaciones peligrosas o eventos de accidentes especficos que pueden producir una consecuencia indeseable. Un grupo multidisciplinario y experimentado identifica las posibles situaciones de accidente, sus consecuencias y las medidas de seguridad existentes, entonces se sugieren alternativas de reduccin de riesgos. El mtodo puede
Pgina 33 de 167
involucrar la revisin de posibles desviaciones del diseo, construccin, modificacin o de operaciones. Esto requiere un entendimiento bsico de la intencin del proceso, junto con la habilidad de combinar mentalmente las posibles desviaciones del diseo que podran resultar en un accidente. Este es un procedimiento poderoso si el personal es experimentado; de otra manera, los resultados sern probablemente incompletos. B.5 Tipo de Resultados En su forma ms simple, la metodologa del Anlisis Qu pasa si? genera una lista de preguntas y respuestas acerca del proceso. Esto puede resultar adems en una lista tabular de situaciones peligrosas (no categorizadas o con implicaciones cuantitativas para los escenarios de accidentes potenciales), sus consecuencias, medidas de seguridad y opciones posibles para la reduccin de riesgo. B.6 Requerimientos de Recursos Puesto que el Anlisis Qu pasa si? es muy flexible, se puede ejecutar en cualquier etapa de la vida del proceso, usando cualquier informacin del proceso y conocimiento disponible. Para cada rea del proceso, dos o tres personas deben ser asignadas para ejecutar el anlisis, aunque se prefiere un equipo ms grande. Es mejor usar un equipo grande para procesos complejos, dividiendo los procesos en piezas ms pequeas, que usar un grupo pequeo por largo tiempo en todo el proceso. El tiempo y el costo de un Anlisis Qu pasa si? son proporcionales a la complejidad de la planta y el nmero de reas a ser analizadas. Una vez que la organizacin ha ganado experiencia con l, el mtodo del Anlisis Qu pasa si? puede volverse un medio rentable de evaluacin de riesgos durante cualquier fase del proyecto. La Tabla B.6-1 lista los tiempos estimados necesarios para ejecutar un estudio de evaluacin de riesgos usando la metodologa de Anlisis Qu pasa si?
Tabla B.6-1 Estimado de Tiempo para ejecutar un Anlisis Qu pasa si? Alcance Simple/Sistema Pequeo Complejo/Proceso grande Preparacin 4-8 hrs 1-3 das Evaluacin 4-8 hrs 3-5 das Documentacin 1-2 das 1-3 semanas
B.7 Aplicacin de la Tcnica La metodologa de Anlisis Qu pasa si? comnmente se utiliza en las siguientes etapas de la vida de un proyecto: diseo conceptual, operacin de la planta piloto, ingeniera de detalle, construccin y arranque, operacin de rutina, expansin o modificacin, investigacin de incidentes, desmantelamiento. B.8 Enfoque Tcnico La metodologa del Anlisis Qu pasa si? es una revisin creativa a una lluvia de ideas de un proceso u operacin. El analista de riesgos revisa el proceso o actividad en las reuniones que giran alrededor de los temas de seguridad identificados por el analista. Cada miembro del grupo multidisciplinario de anlisis de riesgos es animado a formular preguntas Qu pasa si? o traer a la mesa de discusin temas especficos que les preocupan. La metodologa de Anlisis Qu pasa si? puede ser usada para revisar virtualmente cualquier aspecto del diseo de la instalacin y operacin. Es una metodologa de anlisis de riesgos muy poderosa si el personal que analiza tiene experiencia, de otra manera los
Pgina 34 de 167
resultados sern probablemente incompletos. El Anlisis Qu pasa si? de sistemas simples puede fcilmente ser dirigido por una o dos personas; un proceso ms complejo demanda de un equipo ms grande y ms reuniones o bien ms largas. Un Anlisis Qu pasa si? generalmente revisa el proceso, empezando con la introduccin del material alimentado y siguiendo el flujo hasta el final del proceso (o el lmite definido por el alcance del analista). Los Anlisis Qu pasa si? pueden tambin centrarse en un tipo particular de consecuencia (seguridad personal, seguridad pblica o seguridad ambiental). El resultado de un Anlisis Qu pasa si? generalmente direcciona a situaciones potenciales de accidente implicadas por las preguntas y temas propuestos por el equipo. Estas preguntas y temas generalmente sugieren las causas especficas para la identificacin de situaciones de accidente. Un ejemplo de de pregunta Qu pasa si? es: Qu pasa si el material est en la concentracin incorrecta? Las preguntas y las respuestas, incluyendo los peligros, consecuencias, medidas de seguridad y posibles soluciones para los temas importantes, son todos documentados. B.9 Procedimiento de Anlisis Despus de que se ha definido el alcance de estudio el anlisis Qu pasa si? consiste en los siguientes pasos: 1. Preparacin para la revisin, 2. Ejecucin de la revisin, y 3. Documentacin de los resultados. B.9.1 Preparacin de la Revisin La informacin necesaria para el Anlisis Qu pasa si? incluye la descripcin del proceso, diagramas de tubera e instrumentacin, dibujos y procedimientos de operacin. Es importante que toda la informacin est disponible para el grupo multidisciplinario de anlisis de riesgos, preferiblemente antes de las reuniones del grupo. Si una planta existente es revisada, el equipo revisor puede entrevistar adicionalmente a personal responsable de las operaciones, mantenimiento, instalaciones u otros servicios. Adems, si el grupo est llevando a cabo la reunin Qu pasa si? del anlisis en sitio, ellos pueden visitar la planta para obtener una mejor idea de las instalaciones, construccin y operacin. As, antes de que la revisin comience, las visitas y entrevistas deben ser concertadas. La ltima parte es la preparacin de algunas preguntas preliminares para el Anlisis Qu pasa si? para las juntas de anlisis. Si este anlisis es una actualizacin de una revisin anterior o una revisin de una modificacin de la planta, cualquier pregunta listada en el reporte del estudio previo puede ser usada. Para plantas nuevas o aplicaciones de primera vez, las preguntas preliminares deben ser desarrolladas por los miembros del equipo antes de las reuniones, a pesar de que preguntas adicionales formuladas durante las reuniones son esenciales. El pensamiento de causa y efecto usado en otros tipos de estudios pueden ayudar a formular las preguntas.
B.9.2 Ejecucin de la Revisin
Pgina 35 de 167
Las reuniones de revisin deben empezar con una explicacin bsica del proceso dado por el personal de la planta quienes tienen todo el conocimiento de la misma y de sus procesos. La presentacin debe tambin describir las medidas de seguridad de la planta, equipo de seguridad, y procedimientos de control de salud. El proceso es revisado por los miembros del grupo quienes comentan las principales preocupaciones de seguridad. Sin embargo, el equipo puede no limitarse para preparar preguntas Qu pasa si?. En lugar de eso, ellos deben usar su experiencia combinada con la interaccin de equipo para articular cualquier tema que ellos crean necesario para asegurar que la investigacin es rigurosa. El equipo no debe presionarse y no debe trabajar muchas horas consecutivamente. Idealmente, un equipo debe reunirse por no ms de seis horas por da. Las reuniones del equipo Qu pasa si? que duren ms de una semana consecutiva no son deseables. Hay dos maneras de que las reuniones pueden ser llevadas a cabo. Una de ellas a veces preferida es primero listar los temas de seguridad y preguntas, entonces empezar a considerarlas. Otra manera es considerar cada pregunta y tema al mismo tiempo, con el equipo determinando lo significativo de cada situacin. Ambas maneras pueden funcionar, pero es preferible listar las preguntas antes de responderlas para prevenir interrupciones al momento creativo del grupo. Si el proceso es complejo o largo, puede ser dividido en pequeos segmentos as el equipo no gasta varios das consecutivos solo en listar las preguntas. A veces, el equipo pensar en preguntas adicionales como resultado de sus consideraciones inciales. Inicialmente, el lder del equipo debe delinear el alcance propuesto del estudio y el equipo debe de estar de acuerdo con l. El equipo generalmente procede desde el principio del proceso hasta el final del mismo, aunque el lder en evaluacin de riesgos puede ordenar el anlisis en cualquier orden lgico que se ajuste a las necesidades. Entonces las respuestas del equipo se direccionan a un tema o se indica que se requiere mayor informacin e identifica el peligro, consecuencias potenciales, medidas de seguridad, y posibles soluciones. En el proceso, se aaden nuevas preguntas Qu pasa si? se vuelven aparentes durante el anlisis. Algunas veces las respuestas propuestas son desarrolladas por individuos fuera de la reunin inicial y se realizan modificaciones. B.9.3 Documentacin de Resultados Como en cualquier estudio, la documentacin es la clave para transformar los hallazgos del equipo en medidas de prevencin, mitigacin o reduccin del peligro. La Tabla B.9.3-1 muestra un ejemplo de una hoja de trabajo Qu pasa si? Esto hace la documentacin ms fcil y ms organizada. Adems para completar las tablas el equipo de evaluacin de riesgos generalmente desarrolla una lista de sugerencias para mejorar la seguridad del proceso de anlisis basado en resultados tabulares de Anlisis Qu pasa si?. Algunas compaas documentan sus Anlisis Qu pasa si? con un estilo narrativo en lugar de una tabla.
Tabla B.9.3-1 Ejemplo de hoja de trabajo Qu pasa si?
Pgina 36 de 167
rea: Plano No.: Qu pasa si? Consecuencia / Peligro
Fecha de Reunin: Miembros del Equipo: Medidas de seguridad F C R Recomendacin Responsable
F= Frecuencia, C= Consecuencias, R= Riesgo
B.10 Producto Esperado Las tablas Qu pasa si? o las preguntas en estilo narrativo y las respuestas generadas por el anlisis son los productos normales del Anlisis Qu pasa si?. Estos resultados deben ser revisados con los directivos para asegurar que los hallazgos se transmiten a aquellos que son los responsables finales de cualquier accin llevada a cabo. A veces el equipo puede proveer a los directivos explicaciones ms detalladas de las recomendaciones del anlisis. B.11 Software Hay tres programas comercialmente disponibles especficamente para disear la ejecucin del Anlisis What-if: WHAT IF-PC (Primatech, Inc., Columbus, Ohio), SAFEPLAN (DuPont, Westlake Village, California) y el software PHA-Pro de la compaa Dyadem International Ltd. Los procesadores de texto estndares pueden tambin ayudar a documentar los resultados de los estudios de Anlisis Qu pasa si?. B.12 Conclusiones El procedimiento de Anlisis Qu pasa si? es un mtodo no estructurado para considerar los resultados de eventos inesperados que podran llevar a un resultado indeseado. Este mtodo usa preguntas que empiezan con Qu pasa si ...? El equipo analista debe evitar no ser realista ya que podra resultar en postular escenarios improbables. Las preguntas deben ser realistas y seriamente investigadas. Las preguntas deben ser basadas en la experiencia previa del equipo multidisciplinario y variaran para cada sistema del proceso. El anlisis es tan bueno como experimentado sea el equipo que lo realiza. El anlisis puede ser aplicado a las fases de diseo, modificacin u operacin. El resultado es una lista de reas problemticas que pueden llevar a accidentes y mtodos sugeridos o cambios para prevenir o mitigar los accidentes. B.13 Ejemplo
Pgina 37 de 167
Dado el siguiente diagrama de proceso para la unidad de refrigeracin de amoniaco anhdrido se presenta su hoja de anlisis Qu pasa si? a continuacin.
Tabla B.13-1 Condiciones de operacin de la unidad de refrigeracin de amoniaco

Corriente Descripcin F psig lb/hrs Estado 1 Flujo a componente 21.7 35 3930 Gas 2 Descarga del componente 84 140 3930 Gas 3 Flujo al condensador 84 140 0 3930 Gas 4 Gas reciclado 76 138 0 3930 Liquido 5 Condensado liquido 76 138 0 3930 Liquido 6 Flash de retorno 21.7 36 0 430/3500 Gas/Liquido
Pgina 38 de 167
1 2 T V W 1 1 C 1 T C Compr esor C-001
Condensador
Recibidor
L CG-
L T-
P C 4
5 P V
Acumulador VLA H 201 LAL 201 L V
L G-
8 6 T C V F F C V 7 C 9 V F T C V F T 0
Enfriador de Aire ACBomba P-001A/B de
Enfriador Aire AC-
Figura B.13-1 Diagrama de Flujo para la unidad de refrigeracin de amoniaco
Pgina 39 de 167
Formatos Qu pasa si?

Subsistema: 1.1 Recibidor V-001 Tipo: Vasija Condiciones de operacin/parmetros: 138 psig, 76F
Qu pasa si? Causas Consecuencias
Dibujo: ARU-A1
1. Sobrellenado
1.1 Malfuncionamiento de LV-201 o controlador LC-201 1.2 Sobrellenado del llenado inicial de amoniaco
1.1 Flujo reverso al condensador y reduce el desempeo.
Matriz de Riesgo C F R 1 3 3
Medidas de seguridad 1.1 Medidor de nivel (LG-101)
Recomendaciones
Responsables
1.2 Nivel de alarma alto (LAH-201)
2. Nivel muy bajo
2.1 Malfuncionamiento de LV-201 o controlador LC-201 2.2 eliminacin del compresor 3.1 Fuego
2.1 Tendencia del acumulador a llenar
2.1 Medidor de nivel (LG-101)
3. La presin excede la especificacin de diseo
4.Medidor de nivel fallado (LG-101) 5.falla transmisor de nivel (LT-101) 6. Desquebrajamie nto por baja temperatura
4.1Impacto fsico
5.1Defecto de manufactura 6.1 Despresurizacin a la atmosfera durante el mantenimiento 7.1 Emisin por uniones o bordes durante el mantenimiento 8.1 Nivel bajo de liquido en V-001
7. Servicio txico o peligroso
3.1 Emisin de amoniaco a travs del sistema de alivio. 3.2 Algunos peligros de fuego en la vecindad 3.3 Peligro al personal en la vecindad 4.1Peligro al personal en la vecindad 5.1 Perdida de control en la unidad 6.1 El acero puede hacerse aicos por impacto 6.2 Peligro al personal en la vecindad 7.1 Peligro al personal en la vecindad
1.2 Nivel de alarma bajo (LAL-201) 3.1 punto de ventilacin alto
1. Establecer procedimientos operacionales para control de inventario de amoniaco. 2. Diseo que asegure que los inventarios de amonio en el recibidor y acumulador mas tuberas son compatibles y no resultan en inundacin. 3. El acumulador debe ser suficientemente grande para asegurar todo el contenido del recibidor. 4. Asegurar que los monitores de fuego y extinguidores estn cercanos 5. Ubicacin de los venteos de la vlvula de alivio en una localizacin segura.
Ana D.
Miguel W.
Jorge B.
Manuel L.
Anna D.
12
4.1 Ninguno
5.1 Control de nivel (LG-101) 6.1 Ninguno
6.Proveer de proteccin a los medidores de nivel 7. No se requiere accin 8. Verificar la necesidad de utilizar acero al carbn
Miguel W.
Jorge B
12
7.1 Ninguno
8. Formacin de vrtices en la descarga de lquidos
8.1 Perdida de funcionamiento
8.1 Control de nivel (LG-101) 8.2 Alarma de nivel bajo (LAL201)
9. Aparato de respiracin 10. Desarrollo de procedimientos operacionales 11. Instalar rompedores de vrtices
Miguel W. Anna D.
Raymundo S.
F = categora de frecuencia, C = categora de consecuencia, R = categora de riesgo
Pgina 40 de 167
Dibujo: ARU-A1
Subsistema: 1.2. Acumulador V-002 Tipo: Vasija Condiciones de operacin/Parmetros: 35 psig, 21.7 F
Qu pasa si? Causas Consecuencias Matriz de Riesgo C F R 1 3 3 Medidas de seguridad 1.1.Indicador de nivel (LG102)
Recomendaciones
Responsable
1.Sobrellenado
1.1.Malfuncionamiento de LV-201 o controlador LC-201
1.1.Flujo reverso hacia el condensador que reduce el desempeo
1.2. Sobrellenado del llenado inicial de amoniaco.
2.Nivel my bajo
1.3.Corte del compresor 2.1. Malfuncionamiento de LV-201 o controlador LC-201
2.1. Acumulador tiende a vacarse
2.1 Indicador de nivel (LG102)
2.2. Dao a la bomba 3. La presin excede las especificaciones de diseo 3.1 Incendio 3.1 Emisin de amoniaco a travs del sistema de alivio 3.1 Punto de venteo alto
3.2 Peligro de incendio en la vecindad
4. Indicador de nivel roto (LG102) 5. Baja temperatura de ruptura
3.3 Peligro para el personal en la vecindada 4.1 Impacto fsico
5.1 Despresurizacin a la atmosfera para despresurizar durante el mantenimiento
6. Peligroso o toxico
6.1 Emisin por uniones o bordes durante el mantenimiento
4.1 Peligro al personal en la vecindad 5.1 El hacer se puede despedazar por impacto 5.2 Peligro al personal en la vecindad 6.1 peligro para el personal en la vecindad
12
4.1 Ninguno
5.1 Ninguno
1. Establecer procedimientos operacionales para el control de inventario de amoniaco. 15. Diseo para asegurar que los inventarios de amoniaco en el recibidor y acumulador mas la tubera sean compatibles y no resulte en una inundacin. 3.Instalar alarma de alto nivel V-002 3. Acumulador debe ser suficientemente grande para asegurar el contenido total del recibidor. 16. Alarma de bajo nivel (LAL-201) 4. Asegurar que los monitores de fuego y extinguidores estn cerca 5. localizacin de los venteos de las vlvulas en una localidad segura 6. Proveer de proteccin a los indicadores de nivel 6. Suministrar proteccin a los indicadores de nivel 8. Verificar la necesidad de utilizar acero al carbn
Ana D.
Miguel W.
Jorge B. Jorge B.
Jorge B. Esteban L.
Ana D.
Miguel W.
Miguel W.
Jorge B.
12
6.1 Ninguno
7. Vrtices en la descarga de liquido
7.1 Bajo nivel de liquido en V-002
7.1Bajo desempeo
7.1 Indicador de nivel (LG102)
9. Aparato de respiracin 10. Sistema buddy 11. Desarrollo de procedimientos operacionales 12. Instalar rompedora de vrtice 16. Alarma nivel bajo (LAL-201)
Miguel W. Miguel W. Ana D.
Raymundo S.
Jorge B.
Pgina 41 de 167
ANEXO C Combinacin Lista de Verificacin y Qu pasa si?
Pgina 42 de 167
C.1 Prosito Proporcionar de una gua a los analistas que requieran desarrollar un Anlisis Qu pasa si? Lista de verificacin para homologar su aplicacin en las instalaciones de Petrleos Mexicanos C.2 Referencias [1] Guidelines for Hazard Evaluation Procedures with worked examples, CCPS, AICHE, 1992. [2] Nigel Hyatt, Dyadem Press Guidelines for Process Hazards Analysis, Hazards Identification & Risk Analysis CRC Press, 2003 [3] Lees F. P., Loss Prevention in the Process Industries: Hazard Identification, Assessment and Control, Butterworths-Heinemann, London, Second Edition, 1996. C.3 Descripcin La metodologa de Anlisis Qu pasa si?/Lista de verificacin combina la creatividad, las caractersticas de la lluvia de ideas del mtodo de Anlisis Qu pasa si? con las caractersticas sistemticas del mtodo de Anlisis Lista de verificacin. Este mtodo hibrido capitaliza las fortalezas y compensa los defectos individuales de los enfoques por separado. Por ejemplo, el mtodo de Anlisis Lista de verificacin es una metodologa basada en la experiencia y la calidad del estudio de la evaluacin de los riesgos es altamente dependiente de la experiencia de los autores de la lista de verificacin. Si la lista de verificacin no est completa, entonces el anlisis puede no dirigirse efectivamente a la situacin peligrosa. Una porcin del Anlisis Qu pasa si? anima al grupo multidisciplinario de evaluacin de riesgos a considerar los accidentes severos y consecuencias que estn ms all de la experiencia de los autores de una buena lista de verificacin, y de este modo no estn cubiertas por la lista de verificacin. En cambio, la porcin de la metodologa de Lista de verificacin se presta a una naturaleza ms sistemtica que la del Anlisis Qu pasa si? La metodologa del Anlisis Qu pasa si?/Lista de verificacin puede ser usada en cualquier etapa de la vida de un proceso. Como la mayora de otros mtodos de evaluacin de riesgos, el mtodo trabaja mejor cuando se ejecuta por un grupo multidisciplinario de expertos en el proceso. Esta metodologa es generalmente usada para analizar los riesgos ms comunes que existen en un proceso. A pesar de esto es posible evaluar el significado de los accidentes a casi cualquier nivel de detalle, el mtodo de Anlisis Qu pasa si?/Lista de verificacin generalmente se enfoca en un nivel de detalle de resolucin menor que otras metodologas. A veces el Anlisis Qu pasa si?/Lista de verificacin es la primera evaluacin de riesgos ejecutada en un proceso, y es, un precursor de estudios subsecuentes ms detallados. C.4 Propsito El propsito del Anlisis Qu pasa si?/Lista de verificacin es identificar peligros, considerando los tipos generales de accidentes que pueden ocurrir en un proceso o actividad, evaluando de una manera cualitativa los efectos de estos accidentes, y determinar si las medidas de seguridad contra estas situaciones potenciales de accidente parecen adecuadas. Frecuentemente, los miembros del grupo multidisciplinario de evaluacin de riesgos pueden sugerir maneras para reducir el riesgo de operar el proceso.
Pgina 43 de 167
C.5 Tipo de Resultados El grupo de evaluacin de riesgos que usa la metodologa del Anlisis Qu pasa si?/Lista de verificacin generalmente emplea una tabla de situaciones de accidentes potenciales, efectos, medidas de seguridad y acciones. Los resultados de este estudio pueden tambin incluir una lista de verificacin completa. De cualquier forma, algunas organizaciones usan un estilo narrativo de documentar los resultados de estos estudios. C.6 Requerimientos de Recursos La mayora de los Anlisis Qu pasa si?/Lista de verificacin son ejecutados por un grupo multidisciplinario de personal experimentado en el diseo, operacin y mantenimiento del proceso. El nmero de personas necesarias para el estudio depende de la complejidad del proceso, y en algn grado de la etapa de la vida en la cual el proceso est siendo evaluado. Normalmente, el estudio de evaluacin de riesgos que usa esta metodologa requiere menos personal y menos reuniones que las metodologas ms estructuradas. La Tabla C.6-1 lista los tiempos estimados necesarios para ejecutar el estudio de evaluacin de riesgos usados en la metodologa de Anlisis Que pasa si?/Lista de verificacin.
Tabla C.6-1 Estimado de tiempo para ejecutar un anlisis Que pasa si?/Lista de verificacin Alcance Simple/Sistema pequeo Complejo/Proceso grande Preparacin 6-12 hrs 1-3 das Evaluacin 6-12 hrs 4-7 das Documentacin 4-8 hrs 1-3 semanas
C.7 Aplicacin de la Tcnica La metodologa de anlisis de riesgos Qu pasa si?/Lista de verificacin comnmente se utiliza en las siguientes etapas de la vida de un proyecto: investigacin y desarrollo, diseo conceptual, operacin de la planta piloto, ingeniera de detalle, construccin y arranque, operacin de rutina, expansin o modificacin, desmantelamiento. C.8 Enfoque Tcnico La metodologa de Anlisis Qu pasa si?/Lista de verificacin es una combinacin de dos mtodos de evaluacin de riesgos. El mtodo es generalmente ejecutado por un equipo multidisciplinario de personas expertas en el proceso. El equipo usa la metodologa de Anlisis Qu pasa si? para tener una lluvia de ideas de varios tipos de accidentes que pueden ocurrir en el proceso. Entonces el equipo usa una o ms listas de verificacin para ayudar a llenar los huecos que ellos pudieron pasar por alto. Las listas de verificacin utilizadas en esta parte del anlisis difieren algo de las listas de verificacin tradicionales de diseo, procedimientos o atributos operacionales. En lugar de enfocarse en una lista especfica de diseo o caractersticas de operacin, las listas de verificacin usadas en el Anlisis Qu pasa si?/Lista de verificacin son ms generales y enfocadas en fuentes de peligros y accidentes. Estas listas de verificacin intentan inspirar el pensamiento creativo acerca de los tipos de fuentes de peligros asociados con el proceso. El uso combinado de estos dos mtodos enfatiza sus caractersticas positivas principales mientras que al mismo tiempo compensa sus defectos. Por ejemplo, una lista de verificacin tradicional de un proceso, por definicin, est basada en la experiencia del autor. A veces particularmente, si hay poca
Pgina 44 de 167
experiencia industrial o de la compaa disponible del proceso, la lista de verificacin es probablemente un punto de vista incompleto y se necesita una lista de verificacin ms general. La parte Qu pasa si? del anlisis usa la creatividad del equipo y la experiencia para la lluvia de ideas de situaciones potenciales de accidente. Puesto que el mtodo de Anlisis Qu pasa si? es generalmente no tan detallado, sistemtico o riguroso. El uso de las listas de verificacin permite al equipo de evaluacin de riesgos llenar los huecos en su proceso de pensamiento. La metodologa de Anlisis Qu pasa si?/Lista de verificacin puede ser usada para cualquier tipo de proceso o actividad en cualquier etapa de la vida del proceso. Normalmente, el mtodo es usado para examinar los efectos potenciales y significado de las situaciones de accidente al nivel ms general que algunos de los enfoques ms detallados. C.9 Procedimiento de Anlisis Un Anlisis Qu pasa si?/Lista de verificacin consiste en los siguientes pasos: 1. Preparacin para la revisin, 2. Desarrollo de una lista y temas Qu pasa si?, 3. Uso de una lista de verificacin para cubrir cualquier hueco, 4. Evaluacin de cada una de las preguntas y temas, y 5. Documentacin de los resultados. Una modificacin de este procedimiento es variar el orden de los pasos 2 y 3 para desarrollar las preguntas Qu pasa si? al mismo tiempo que se progresa en la lista de verificacin detallada. C.9.1 Preparacin de la Revisin Para un Anlisis Qu pasa si?/Lista de verificacin el lder del equipo multidisciplinario de evaluacin de riesgos forma un equipo calificado, determina el alcance fsico y analtico del estudio propuesto y, si el proceso/actividad es muy grande, dividirlo en funciones, reas fsicas o tareas para suministrar algn orden a la revisin del proceso. Para la porcin de la lista de verificacin de este anlisis, el lder del equipo de evaluacin de riesgos obtiene o desarrolla una lista de verificacin apropiada para el equipo para usarla en conjunto con el Anlisis Qu pasa si? La lista de verificacin se enfoca en caractersticas peligrosas generales de los procesos u operacin. C.9.2 Desarrollo de una lista de preguntas y temas Qu pasa si? La seccin referente al Anlisis Qu pasa si? describe el enfoque que el equipo de evaluacin de riesgos utiliza cuando se rene para desarrollar preguntas y temas involucrando situaciones de accidentes potenciales. C.9.3 Uso de la lista de verificacin Una vez que el equipo ha identificado todas las preguntas y temas, que pueden ser de un rea particular o del proceso o actividad, el lder del equipo multidisciplinario de evaluacin de riesgos aplicar la lista de verificacin obtenida previamente o preparada. El equipo considera cada tema de la lista para ver si cualquier otra situacin de accidente potencial o preocupacin aparece. Si esto pasa, estos son evaluados en la misma forma que las preguntas Qu pasa si? originales (la lista de verificacin es revisada para cada rea o etapa del proceso o actividad). En algunos casos es preferible tener una lluvia de ideas en el equipo multidisciplinario de evaluacin de riesgos para obtener los
Pgina 45 de 167
peligros y situaciones potenciales de accidente del proceso antes de usar la lista de verificacin. En otras ocasiones, se pueden obtener resultados efectivos empezando con una lista de verificacin y usar los temas en ella para crear preguntas Qu pasa si? y temas que podran no ser considerados de otra manera. Sin embargo, si la lista de verificacin es usada primero, los lderes deben de tomar la precaucin de evitar dejar una lista de verificacin que restrinja la creatividad y la imaginacin del equipo. C.9.4 Evaluacin de las preguntas y temas Despus de desarrollar preguntas y temas que involucran situaciones potenciales de accidente, el equipo considera cada situacin de accidente o preocupacin de seguridad; cualitativamente determina los efectos potenciales que implica el accidente o la situacin preocupante, y se lista si existen medidas de seguridad para prevenir, mitigar o contener los efectos del potencial accidente. El equipo entonces evala el significado de cada situacin y determina si mejoras particulares a la seguridad deberan ser recomendadas. Este proceso se repite para cada rea o paso del proceso o actividad. A veces esta evaluacin es ejecutada por miembros especficos del equipo fuera de la reunin del equipo y es posteriormente revisada por el equipo. C.9.5 Documentacin de resultados Los resultados del Anlisis Qu pasa si?/Lista de verificacin son documentados en la misma forma que los resultados del Anlisis Qu pasa si?. Siguiendo la reunin, el lder del grupo multidisciplinario de evaluacin de riesgos y el redactor resumirn los resultados en forma tabular. Para el Anlisis Qu pasa si?/Lista de verificacin el grupo multidisciplinario de evaluacin de riesgos puede tambin documentar completamente la lista de verificacin para ayudar a ilustrar la completes del estudio. C.10 Producto Esperado El reporte tpico contiene una lista de situaciones potenciales de accidente, efectos, medidas de seguridad y acciones generadas en las reuniones, a veces en forma tabular. Sin embargo, algunos analistas documentan los resultados en una forma narrativa. C.11 Software Los nicos software diseados para Anlisis Qu pasa si?/Lista de verificacin que se encuentra comercialmente disponible son el SAFEPLAN (DuPont, Westlake Village, California) y el PHA-Pro de la compaa Dyadem International Ltd.. Adicionalmente los procesadores de texto estndares y programas de hojas electrnicas pueden ayudar al analista a documentar los resultados de los estudios del Anlisis Qu pasa si?/Lista de verificacin.
C.12 Conclusiones
Pgina 46 de 167
El propsito del Anlisis Qu pasa si?/Lista de verificacin es identificar riesgos, evaluando de una manera cualitativa y determinar si las medidas de seguridad contra estas situaciones potenciales de accidente son adecuadas. La metodologa de Anlisis Qu pasa si?/Lista de verificacin capitaliza las fortalezas y compensa los defectos individuales de los enfoques por separado. Como la mayora de otros mtodos de evaluacin de riesgos, el mtodo trabaja mejor cuando se ejecuta por un grupo multidisciplinario de expertos en el proceso. A veces el Anlisis Qu pasa si?/Lista de verificacin es la primera evaluacin de riesgos ejecutada en un proceso, y es, un precursor de estudios subsecuentes ms detallados. El reporte contiene una lista de situaciones potenciales de accidente, efectos, medidas de seguridad y acciones generadas en las reuniones.
C.13 Ejemplo C.13.1 Ejemplo A
A continuacin se cita un Qu pasa si?/Lista de verificacin aplicada a un calentador de aceite: 1. La funcionalidad del calentador de aceite El horno calienta el aceite y lo vaporiza Usa gas natural para calentar el aceite Controla el flujo de aceite Contiene el aceite en tubos Controla la temperatura del aceite Mantiene negativa la presin del calentador Controla el aire de combustin a travs de una rejilla Controla la presin del gas natural La flama del piloto asegura la combustin Los siguientes son algunas preguntas Qu pasa si? generales para el calentador de aceite: a. Qu pasa si se pierde el calentamiento? b. Qu pasa si el aceite se sobrecalienta? c. Qu pasa si hay una interrupcin en el suministro de gas natural?
Pgina 47 de 167
d. Qu pasa si el flujo de aceite es muy bajo? e. Qu pasa si el flujo de aceite es muy alto? f. Qu pasa si la temperatura del aceite es muy alta?
g. Qu pasa si la temperatura del aceite es muy baja? h. Qu pasa si hay muy poco aire para la combustin? i. j. Qu pasa si hay mucho aire para la combustin? Qu pasa si la presin del gas es muy baja?
k. Qu pasa si la presin del gas es muy alta? l. Qu pasa si el piloto se extingue?
m. Qu pasa si el piloto no inicia la flama? 2. Peligros mayores a. Qu pasa si el tubo que contiene el aceite se rompe? b. Qu pasa si hay una purga insuficiente? 3. Emisiones inflamables a. Qu pasa si los tubos que contienen el aceite se rompen? b. Qu pasa si es insuficiente la purga? c. Hay proteccin contra fuego? 4. Control a. Se controla a temperatura adecuadamente? b. La presin se controla/regula? 5. Peor evento/pero escenario creble a. Cules son los pasos de mitigacin tomados para reducir los efectos de una explosin? b. Cules son los pasos de mitigacin tomados para reducir los efectos de una ruptura de tubera? c. Cules son los pasos de mitigacin tomados para reducir los efectos de una explosin de nube de vapor?
Pgina 48 de 167
6. Soporte a. El aire de combustin se regula? b. El suministro de gas natural es continuo? Hay interrupciones? 7. Proceso a. Se monitorea la temperatura en el rea de proceso y se mantiene en nivel aceptable? 8. Fallas de componentes individuales a. Hay controles para regular/detectar alta presin en un lado del tubo? Fallan seguras? b. Podra ser el calentador fuente de ignicin para la nube de vapor o inflamable? 9. Encendido/apagado a. Estn abiertas las vlvulas de control? b. Hay monitores de temperatura extra para detectar las fluctuaciones de temperatura durante un apagado de emergencia? c. El sistema de agua de enfriamiento est relacionado con el apagado de emergencia? 10. Hay suficientes monitores/alarmas para detectar: a. Tubera local sobrecalentada b. Presin alta. c. Perdida/escape de flama de piloto 11. Apagado de emergencia a. Puede el calentador tener una falla de suministro de energa? b. Puede el calentador tener una falla de suministro para los instrumentos de aire? Estn los controles en falla segura si hay una interrupcin del suministro en los instrumentos de aire? c. Puede el calentador tener una falla de suministro de prdida de flujos de proceso? d. Puede el calentador tener una falla de suministro de vapor?
C.13.2
Ejemplo B
La planta de Qumicos ABC Inc se ha vuelto menos eficiente conforme los aos han pasado, y se ha decidido reducir la produccin como un esfuerzo por reducir costos, las plantas nuevas de la compaa
Pgina 49 de 167
incrementaran su produccin. Como parte de la reduccin de capacidad se desmantelara uno de los hornos usados en el proceso. Antes del desmantelamiento se ha requerido un anlisis de riesgos. Ninguno de los empleados ha participado o ejecutado un anlisis de riesgos de un desmantelamiento de proceso. Por lo cual se ha pedido la ayuda del grupo de anlisis de riesgos de la compaa para que les den soporte y asignaron al Ing. Snchez a este proyecto. El Ing. Snchez ha ejecutado numerosas revisiones de riesgos incluyendo desmantelamientos. A travs de su experiencia y la experiencia de otros grupos de anlisis de riesgos de la compaa, se ha desarrollado la siguiente lista de verificacin para la revisin de las actividades de desmantelamiento y el Ing. Snchez piensa utilizar tentativamente esta lista de verificacin. Lista de Verificacin. Apagado y aislamiento: 1. Existen procedimientos para paro de la unidad? El personal est familiarizado con estos procedimientos? Se ha apagado la unidad anteriormente? Se ha informado al rea de operaciones del desmantelamiento? 2. Existen procedimientos de desmantelamiento? Se ha revisado su contenido tcnico? 3. El equipo ha sido cambiado o modificado y estas no han sido reflejadas en la documentacin del sistema? Se han incorporado los efectos potenciales de estos cambios en las acciones de mantenimiento? 4. Se van a desconectar los suministros de la unidad? Existen procedimientos de desconexin documentados? Las desconexiones pueden afectar otras unidades? 5. Alguna caracterstica de seguridad o control ser desconectada temporal o permanentemente? Cmo afectara esto a otros equipos de operacin? Podra esto dar inicio a un apagado? 6. Habr alguien familiarizado con desmantelamientos siempre disponible para emergencias? Existe un plan de emergencias? 7. Se requiere alguna vigilancia mdica especial durante el desmantelamiento? 8. Hay algn sistema de proteccin contra fuego deshabilitado como parte del desmantelamiento? 9. El equipo estar siempre aterrizado elctricamente? 10. Cmo sern aisladas las lneas de las unidades de proceso de otros sistemas de la planta? Alguien verificara estos aislamientos? 11. Todos los recipientes aislados tienen la proteccin de alivio adecuada? Hay vas de alivio despejadas y operables durante el desmantelamiento? 12. Algn recipiente requiere proteccin de vaci durante el desmantelamiento? Algn recipiente aislado ser enfriado durante el desmantelamiento?
Pgina 50 de 167
Drenaje: 1. Existen procedimientos para drenar el material de proceso de la unidad? 2. Hay alguna proteccin especial del engranaje durante las operaciones de drenaje? 3. Sern rotas las lneas para drenar la unidad? Existen medidas adecuadas para asegurar que materiales muy calientes, muy fros o a alta presin no estn en la lnea? Existen las medidas adecuadas para proteger contra emisiones toxicas o inflamables? Se requiere permiso para trabajo en caliente o rompimiento de lnea? 4. Cmo ser dispuesto el material drenado? Esta vasija contendr materiales incompatibles? 5. El rea tendr ventilacin apropiada? tendr drenaje apropiado? Tendr proteccin adecuada contra incendio? 6. El acceso al rea ser limitado durante las actividades de drenado? 7. El rea est libre de fuentes de ignicin? El rea est libre de materiales combustibles? 8. El equipo usado para drenar la unidad es compatible con estos materiales de proceso? 9. Se requiere confinar el espacio de entrada para drenar la unidad? Se han obtenido los permisos? 10. Hay posibilidad de flujo reverso en la lnea de drenado? Limpieza: 1. Ser el equipo de la unidad limpiado despus del drenado? 2. Los materiales de limpieza tienen reactividad potencial con cualquier material del proceso? Se puede utilizar algn material menos peligroso? 3. Los materiales de limpieza requieren algn manejo especial? Se requiere algn equipo de proteccin personal? 4. Podra utilizarse algn material de limpieza inapropiado inadvertidamente? 5. Cmo ser dispuesta la solucin de limpieza? 6. Si el material de limpieza es combustible, se han tomado las medidas de proteccin contra incendio apropiadas? 7. Hay alguna preocupacin referente a los residuos despus de la limpieza? Desmantelamiento: 1. Se usar equipo pesado durante el desmantelamiento de la unidad? Hay medidas adecuadas en el lugar para monitorear los movimientos del equipo pesado en el lugar? Hay la iluminacin adecuada? 2. Hay materiales peligrosos o inflamables en el rea que puedan ser emitidos en un accidente? Hay las precauciones de seguridad en el lugar? 3. El equipo en la unidad ser reutilizado? Es adecuadamente diseado para el nuevo servicio? 4. Est el equipo etiquetado apropiadamente? 5. Dnde se almacenara el equipo? Hay requerimientos especiales de almacenamiento? 6. Se requieren procedimientos especiales para cumplir con la regulacin ambiental?
Pgina 51 de 167
7. Hay otras unidades, lneas, etc., en las reas que puedan ser golpeadas por el equipo pesado usado en el desmantelamiento? El Ing. Snchez ha decidido complementar el Anlisis Lista de verificacin con un Anlisis Qu pasa si?, para ello el Ing. Snchez anima al grupo revisor a plantear preguntas Qu pasa si? conforme el se va moviendo a travs de la lista de verificacin. El Ing. Snchez espera que los miembros del equipo formulen preguntas que revelen situaciones potencialmente peligrosas. El Anlisis Qu pasa si?/Lista de verificacin se programa para las 9:00 AM y se ha convocado al personal con las habilidades y experiencias requerida para analizar el desmantelamiento. La reunin inicia con una visita al rea, mientras tanto los ingenieros de proceso les explican cmo ser aislada la zona del resto del proceso. El grupo regresa al saln de reunin y antes de estudiar el material disponible el Ing. Snchez les comunica las reglas del anlisis: 1. Todos los miembros del grupo tienen el derecho y la responsabilidad de poner en la mesa de discusin cualquier tema que les preocupe 2. Todo es importante 3. El objetivo es identificar preocupaciones de seguridad no resolverlas 4. No se permite la critica entre los miembros del equipo 5. Todos los miembros del equipo son iguales. Antes de iniciar la discusin se le pide a uno de los integrantes del grupo de anlisis familiarizado con el proceso a desmantelar que de una revisin al proceso al resto del grupo para unificar el conocimiento. Una vez hecha la revisin se procede con la lista de verificacin. Se analiza cada una las preguntas y en su caso se plantean preguntas Qu pasa si? donde aplique para complementar la lista de verificacin. Los integrantes del grupo dan opiniones y/o recomendaciones que se documentan como parte del reporte de anlisis.
Pgina 52 de 167
ANEXO D Anlisis de Modos de Falla y sus Efectos (FMEA)
Pgina 53 de 167
D.1 Propsito Proporcionar una gua a los analistas que requieran desarrollar un anlisis de riesgos utilizando la metodologa Anlisis de Modos de Falla y Efectos (FMEA), para homologar su aplicacin en las instalaciones de Petrleos Mexicanos. D.2 Referencias IEC 60812, Analysis techniques for system reliability Procedure for failure mode and effects analysis (FMEA), 2006. Guidelines for Hazard Evaluation Procedures with worked examples, CCPS, AICHE, 1992.
D.3 Introduccin El Anlisis de los Modos de Falla y sus Efectos (FMEA por sus siglas en ingls Failure Modes and Effect Analysis) es un procedimiento sistemtico para el anlisis de sistemas e identificar sus modo de falla potenciales, sus causas y efectos en el desempeo del sistema (en el entorno inmediato del componente y el sistema o proceso en su conjunto) ya sea durante su diseo, construccin u operacin. Los anlisis pueden iniciarse tan pronto como se defina suficientemente el sistema representado como un diagrama funcional de bloques donde se encuentra definido el desempeo de sus elementos. Un anlisis FMEA detallado es el resultado de un equipo compuesto por individuos calificados para reconocer y evaluar la magnitud y consecuencias de varios tipos de deficiencias potenciales del sistema que puedan conducir a fallas. Las ventajas del trabajo en equipo es que estimula el proceso de pensamiento y permite la conjuncin de experiencia. El FMEA es un mtodo para identificar la severidad de modos de falla potencial y permite identificar las medidas para mitigar la severidad de las consecuencias y as reducir el riesgo. En algunas aplicaciones el FMEA tambin incluye una estimacin de la probabilidad de ocurrencia de los modos de falla, de tal forma que con base en esto se pueden identificar las medidas para reducir la probabilidad de ocurrencia de los modos de falla y de esta forma reducir el riesgo. Antes de iniciar la aplicacin del FMEA se debe realizar una descomposicin jerrquica de los sistemas en sus elementos ms bsicos. Es til emplear diagramas de bloques para ilustrar esa descomposicin. El anlisis inicia con los elementos del ms bajo nivel. El efecto de un modo de falla a un bajo nivel puede ser la causa de un modo de falla de un componente en el siguiente nivel ms alto. El anlisis procede de abajo hacia arriba hasta que se identifique el efecto final en el sistema. El anlisis FMEA generalmente trata con modos de falla individuales y los efectos de esos modos de falla en el sistema. Cada modo de falla se trata de manera independiente, sin relacin con otras fallas en el sistema.
Pgina 54 de 167
Tradicionalmente ha habido muchas variaciones en la forma en la que se conduce y se presenta el FMEA. Sin embargo, el anlisis siempre debe estar basado en el anlisis de los modos de falla. Los resultados analticos se presentan en formatos de trabajo que contienen la informacin esencial de un anlisis para un sistema completo desarrollado para ese sistema especfico. El anlisis muestra las formas en las que el sistema puede fallar potencialmente, los componentes y sus modos de falla que pueden causar la falla del sistema y las causas de ocurrencia de cada modo de falla individual. Cuando se trabaja sobre un FMEA ya existente, es esencial asegurarse que el sistema actual tiene las mismas condiciones y caractersticas al momento en el cual se le realiz ese anlisis. El procedimiento para realizar un FMEA se ilustra en la Figura D.3-1.
Pgina 55 de 167
1. DEFINICIN
Definir propsito y objetivos del FMEA Seleccionar el equipo de trabajo Definir roles y responsabilidades de los miembros del equipo
2. PLANEAR Y PROGRAMAR ACTIVIDADES
Planeacin el estudio Recolectar y procesar datos (Elaborar descripciones y diagramas simplificados o de bloques, listado de componentes) Definir formatos de registro del anlisis Definir el tiempo para el anlisis Programar actividades
3. ANLISIS
Seleccionar un componente y describir sus funciones y referencias de desempeo
- Identificar modos de falla, - Identificar efectos y consecuencias, - Identificar causas de los modos de falla, - Identificar medidas de seguridad o protecciones, - Identificar posibles soluciones o medidas de mitigacin, en caso de
ser necesarias (emitir recomendaciones valorando la tolerabilidad del riesgo).
Repetir el proceso para cada componente del sistema
4. DOCUMENTACIN Documentacin:
Documentacin del anlisis (Llenar formatos FMEA y minutas de reuniones) Generacin del informe final Liberacin del informe final
Tabla D.3-1 Procedimiento para realizar un FMEA
Pgina 56 de 167
D.4 Procedimiento para realizar un FMEA D.4.1 Definir alcance y objetivos del estudio Las razones que motivan la realizacin de un FMEA pueden incluir entre otras, las siguientes: 1. Identificar aquellas fallas que puedan tener consecuencias indeseadas en la operacin (por ejemplo comprometer o degradar significativamente la operacin o afectar la seguridad del personal). 2. Satisfacer los requerimientos contractuales de un cliente 3. Permitir mejoras en la confiabilidad o la seguridad de sistemas (resaltando las reas con alto riesgo) Con base en lo anterior el objetivo al realizar un anlisis podra incluir lo siguiente: Identificar de forma clara y evaluar todos los efectos no deseados dentro de las fronteras del sistema y la secuencia de eventos que implica la ocurrencia de cada modo de falla a diferentes niveles de la jerarqua funcional del sistema. La determinacin de la criticidad o prioridad para administrar las acciones de mitigacin de cada modo de falla con respecto al desempeo o a la correcta funcin del sistema y el impacto en el proceso analizado. Una clasificacin de los modos de falla identificados de acuerdo a sus caractersticas importantes, incluyendo su facilidad de deteccin, capacidad para diagnosticar, facilidad de prueba, polticas de mantenimiento, etc. Identificacin de las fallas funcionales de sistemas y estimacin de la severidad y probabilidad de falla. Desarrollo o mejora del diseo de planes de mitigacin de modos de falla. Apoyar el desarrollo de planes de mantenimiento efectivos para mitigar o reducir la probabilidad de falla.
D.4.2 Definir roles, responsabilidades y formar equipo de trabajo Se deben definir claramente los roles y responsabilidades de los miembros del equipo FMEA. Para esto se toma en cuenta las habilidades necesarias de cada miembro que conformar el equipo de trabajo. Un estudio FMEA es el resultado de un esfuerzo en equipo, cada miembro se selecciona para que juegue un rol y tenga responsabilidades especficas. Normalmente requiere de al menos cuatro personas y en raras ocasiones supera las siete personas.
Pgina 57 de 167
Roles y responsabilidades: Lder del estudio. Persona entrenada y experimentada en anlisis FMEA, responsable de: - Planear el estudio, - participar en la conformacin del equipo de trabajo, - suministrar y requerir la informacin necesaria a los miembros del equipo, - lograr la comunicacin entre los miembros del equipo, - conducir el estudio, y - asegurar la apropiada documentacin de resultados. Auxiliar del lder. Persona entrenada y experimentada en anlisis FMEA, responsable de: - Ayudar al lder en la planeacin y ejecucin del estudio, - documentar el estudio. Personal relacionado con el diseo del sistema. Persona que particip en la elaboracin del diseo del sistema o que es competente en los aspectos del diseo del sistema por laborar en reas como ingeniera de proceso. Responsable de: - Explicar y aclarar dudas sobre el diseo (principalmente ayuda a establecer funciones y referencias de desempeo de los equipos o componentes), y - participar en la identificacin y evaluacin de modos de falla y sus causas. Personal operativo. Persona competente en labores de operacin del sistema, su participacin se centra en: - Explicar el contexto operativo del sistema y los efectos de los modos de falla sobre la operacin del sistema, - participar en la identificacin y evaluacin de modos de falla desde el punto de vista de la operacin, y - participa en la emisin de recomendaciones. Personal de mantenimiento. Persona competente en labores de mantenimiento del sistema: - Explicar aspectos relacionados con el mantenimiento (correctivo, preventivo y predictivo, pruebas, calibraciones y reemplazos de equipos), y posibles daos a equipos derivados de un modo de falla, as mismo, - participar en la identificacin y evaluacin de modos de falla desde el punto de vista del mantenimiento. Personal especialista (entre otros de seguridad). Persona competente en prevencin y mitigacin de eventos no deseados: - Explicar aspectos relacionados con la prevencin y mitigacin de eventos no deseados, como lo pueden ser fuga de materiales peligrosos, incendios y explosiones, - participar en la identificacin y evaluacin de modos de falla desde el punto de vista de las consecuencias principalmente, y - en general, personal con competencias especficas que puede participar de manera concreta, y definida por el lder, en algunos aspectos del anlisis.
Pgina 58 de 167
D.4.3 Preparativos para realizar un FMEA Responsabilidades del lder durante la etapa de preparacin del FMEA: D.4.3.1 Obtencin de la informacin, convertir la informacin a un formato adecuado (descripciones y diagramas simplificados), definir un programa de trabajo con fechas establecidas para las reuniones FMEA, y gestionar las reuniones necesarias, generar el listado de los componentes del sistema a analizar, preparar listas de modos de falla al nivel adecuado, definir los formatos en los que se documentar el anlisis FMEA, y definir el formato y contenido del informe final. Planeacin.
Se deben integrar dentro del plan de trabajo todas las actividades relacionadas con el anlisis FMEA (actividades del FMEA, su seguimiento, acciones correctivas y su cierre). El plan debe contener los siguientes puntos: Definicin clara del propsito especfico del anlisis y sus resultados esperados El alcance del anlisis en trminos de cmo debe enfocarse el FMEA Si este forma parte de un proyecto mayor, la descripcin de cmo el anlisis FMEA lo complementa Identificar las medidas a usar para controlar las revisiones del FMEA y la documentacin relacionada Asegurar la participacin de expertos en el anlisis Establecer referencias que permitan evaluar el avance del anlisis con respecto al tiempo
El plan debe reflejar el consenso de todos los participantes y debe ser aprobado por el responsable del proyecto. Estructura del sistema Informacin sobre la estructura del sistema Los siguientes componentes deben incluirse dentro de la informacin sobre la estructura del sistema: Los diferentes elementos del sistema con sus caractersticas, funciones dentro del contexto operativo y sus referencias de desempeo. Las conexiones lgicas entre los elementos (sus interacciones) El nivel de redundancia y la naturaleza de esas redundancias La posicin y la importancia de los sistemas dentro de la instalacin como un todo (si es posible) Identificacin de entradas y salidas del sistema Cambios en la estructura del sistema por variacin de los modos de operacin
Definicin de las fronteras del sistema para el anlisis
Pgina 59 de 167
La frontera del sistema forma la interface fsica y funcional entre el sistema y su ambiente, incluyendo otros sistemas con los que el sistema analizado interacta. La definicin de las fronteras del sistema para el anlisis debe corresponder a las fronteras como se defini en el diseo y en el mantenimiento. Al definir las fronteras del sistema en estudio se debe asegurar no olvidar otros sistemas o componentes fuera de las fronteras del mismo, documentando explcitamente que estos se excluyen del anlisis. Nivel de anlisis Es importante definir el nivel de detalle en los componentes del sistema al cual se va a realizar el anlisis. Por ejemplo los sistemas pueden subdividirse por funciones, por subsistemas, por unidades reemplazables o por componentes individuales (ver la Figura D.4.3.1-1). Las reglas para seleccionar el nivel de detalle del sistema para el anlisis dependen de los resultados deseados y de la disponibilidad de informacin. Algunas guas tiles son: 1. El mayor nivel dentro del sistema, se selecciona a partir de los requerimientos de salida especificados en el diseo. 2. El nivel ms bajo dentro del sistema al cual el anlisis es efectivo, es aquel en el cual la informacin est disponible para establecer la descripcin de las funciones. 3. El mantenimiento deseado o especificado y el nivel de reparacin puede ser una buena gua para identificar los niveles ms bajos del sistema En el FMEA, la definicin de modos de falla, causas de falla y efectos de falla depende del nivel de anlisis y de los criterios de falla del sistema. A medida que el anlisis progresa, los efectos de la falla identificados al nivel ms bajo pueden convertirse en modos de falla en un nivel ms alto. Los modos de falla en un nivel bajo pueden convertirse en causas de falla a un nivel mayor y as sucesivamente. Cuando un sistema se descompone en sus elementos, los efectos de una o ms de las causas de una falla hacen un modo de falla. Quien despus es causa de un efecto a un nivel mayor (falla de un componente). La falla de un componente puede ser despus la causa de falla de un mdulo (efecto). Este por s mismo es la causa de falla de un subsistema. El efecto de la falla de un subsistema puede ser la causa de falla de un sistema (en otro nivel) y as sucesivamente, ver la Figura D.4.3.1-1. Representacin de la estructura del sistema La representacin del sistema a travs de diagramas de bloques y diagramas simplificados es muy til para el anlisis, ya que estos proveen informacin sobre la funcin de los componentes del sistema, condiciones de operacin, as como sobre la interaccin de estos con otros sistemas. Tambin son muy tiles las descripciones simplificadas del sistema y sus componentes, en las cuales se describe claramente la funcin de cada componente y las interacciones de estos con su entorno. Este tipo de informacin permite que se identifiquen adecuadamente las fallas funcionales de los modos de falla potenciales y sus causas. Considerar que se pueden requerir diferentes diagramas de bloques para cada modo de operacin. Los diagramas de bloques deben contener como mnimo la siguiente informacin:
Identificacin de los subsistemas que conforman el sistema incluyendo su relacin funcional
Pgina 60 de 167
Identificacin de todas las entradas y salidas e identificacin de cada bloque de tal forma que se pueda hacer referencia a cada subsistema. Las redundancias, trayectorias alternativas de seales o cualquier otra caracterstica que provea proteccin contra las fallas del sistema. Definir el estado operativo del sistema (arranque del sistema, operacin, mantenimiento, etc.) Se deben especificar las diferentes condiciones de operacin del sistema, tanto los cambios en la configuracin o la posicin del sistema y sus componentes durante los diferentes modos de operacin. Tambin se deben establecer claramente los criterios tanto de xito, como de falla del sistema. La informacin sobre la disponibilidad o niveles de seguridad debe permitirnos determinar la aceptabilidad de posibles daos. En general se debe lograr un conocimiento adecuado de: La duracin de cada funcin que el sistema pueda desarrollar El intervalo de tiempo entre pruebas peridicas El tiempo disponible para realizar acciones correctivas antes de que se presenten consecuencias serias en el sistema La instalacin en su conjunto, el ambiente y el personal incluyendo las interfaces y las interacciones con operadores Procedimientos de operacin durante arranque, paros y otros transitorios operacionales El control durante las fases operacionales El mantenimiento correctivo y/o preventivo Procedimientos para pruebas de rutina, si son necesarios
Pgina 61 de 167
Figura D.4.3.1-1Relacin entre modos de falla y efectos de la falla dentro de la jerarqua de un sistema
Pgina 62 de 167
Ambiente del sistema Se deben especificar las condiciones ambientales del sistema y aquellas condiciones creadas por otros sistemas en su entorno. Tambin debe delimitarse con respecto a sus relaciones, dependencias o interconexiones con otros sistemas auxiliares y sus interfaces con los humanos. En el caso de aplicacin del FMEA durante la etapa de diseo alguna informacin no se conoce con suficiente detalle, de tal forma que podra ser necesario trabajar con aproximaciones y suposiciones. A medida que avanza el proyecto se podr modificar el anlisis para que refleje el diseo definitivo. Normalmente el FMEA ayuda para definir las condiciones requeridas para el diseo. D.4.3.2 Determinacin de modos de falla.
El xito en la operacin de un sistema depende del desempeo de ciertos elementos crticos del sistema. La clave para evaluar el desempeo del sistema, es la identificacin y evaluacin de esos elementos crticos. El procedimiento para identificar modos de falla, sus causas y efectos puede ser ms efectivo si se prepara previamente una lista de modos de falla considerando lo siguiente: El uso del sistema El tipo de elemento particular del sistema El modo de operacin Las especificaciones operacionales Limitantes por tiempo Limitantes ambientales Limitantes operacionales
Cada falla individual es considerada como una ocurrencia independiente, sin relacin con otras fallas en el sistema excepto por los efectos subsecuentes que pudieran producir. Sin embargo, en situaciones especiales, las fallas de causa comn ms de un componente del sistema pueden ser considerados La Tabla D.4.3.2-1 muestra como ejemplo una lista de modos de falla generales
Tabla D.4.3.2-1 Ejemplo de un conjunto de modos de falla generales 1 2 3 4 Falla durante la operacin Falla para operar a un tiempo preestablecido Falla a detener la operacin a un tiempo preestablecido Operacin anticipada
Prcticamente cualquier tipo de modo de falla puede clasificarse en una o ms de esas categoras, sin embargo estas categoras generales son demasiado amplios en alcance para un anlisis definitivo, por lo tanto la lista debe ampliarse para hacer que las categoras sean ms especificas. Cuando esta informacin se emplea junto con las especificaciones de desempeo que determinan las entradas y salidas en los diagramas de bloques, se pueden identificar y describir todos los modos de falla potenciales. Tomar en cuenta que cada modo de falla puede tener varias causas. Es importante que la evaluacin de todos los componentes dentro de las fronteras del sistema en el nivel ms bajo sea consistente con los objetivos del anlisis para identificar todos los modos de falla potenciales.
Pgina 63 de 167
Los proveedores de componentes pueden ser la fuente principal para identificar los modos de falla potenciales de dichos componentes. Para apoyar la bsqueda de modos de falla se puede tomar en cuenta lo siguiente: a) Para componentes nuevos, se puede tomar como referencia otros componentes similares con la misma estructura y funcin. b) Para componentes nuevos, el intento por diseo y el anlisis funcional detallado puede conducir a modos de falla potenciales y sus causas. Este mtodo es preferible al punto anterior, debido a que aqu se toma en cuenta el esfuerzo y la misma operacin, que puede ser diferente para componentes similares. c) Para componentes en uso, se pueden consultar los registros de operacin y los datos de falla. d) Se pueden deducir modos de falla potenciales a partir de los parmetros tpicos, tanto fsicos como funcionales de la operacin del componente. D.4.3.3 Causas de modos de falla.
Se deben identificar y describir las causas ms probables de cada modo de falla potencial. La identificacin y descripcin de causas de falla no siempre es necesaria para todos los modos de falla identificados en el anlisis. La identificacin y descripcin de causas de falla, tanto como sus recomendaciones para su mitigacin se deben hacer con base en los efectos de la falla y su severidad. A medida que los efectos de un modo de falla son ms severos, se deben identificar y describir con mayor precisin las causas de la falla. De otro modo el analista puede dedicar esfuerzo innecesario en la identificacin de causas de fallas de modos de falla que tiene poco o ningn efecto en la funcionalidad del sistema. Cuando se analiza un diseo nuevo y si no se cuenta con experiencia previa las causas pueden identificarse a travs de juicios de expertos. Cuando se identifican las causas de cada modo de falla la evaluacin de las recomendaciones puede basarse en la estimacin de la probabilidad de ocurrencia y la severidad de sus efectos. D.4.3.4 Efectos y consecuencias de la falla.
El efecto de una falla es la consecuencia de un modo de falla en trminos de la operacin, funcin o estado de un sistema. Un efecto de una falla puede ser causado por uno o ms modos de falla de uno o ms componentes. Se deben identificar, evaluar y registrar las consecuencias de cada modo de falla sobre la operacin, la funcin o el estado del sistema. Los efectos de la falla tambin pueden influir el siguiente nivel y al final el mayor nivel dentro del sistema. Por lo tanto, se deben evaluar en cada nivel los efectos de las fallas en el nivel superior.
Pgina 64 de 167
Cuando los efectos de una falla causan efectos en los componentes de los niveles bajos (en el nivel de anlisis), se habla de efectos locales. El propsito de identificar efectos locales, es asegurar la disposicin de la informacin necesaria para evaluar posibles alternativas de acciones preventivas o correctivas que puedan recomendarse para enfrentar estos modos de falla. Cuando los efectos de una falla causan efectos en el nivel ms alto del sistema se habla de efectos finales. Estos efectos finales resultantes de fallas mltiples, tambin deben documentarse en las hojas de trabajo. Como parte de la identificacin de los efectos tambin se documentan los mtodos de deteccin de la falla. As, para cada modo de falla el analista debe identificar la forma en que se detecta la falla y los medios mediante los cuales el usuario o el mantenedor tienen para identificar su ocurrencia. Por ejemplo, la deteccin de la ocurrencia de la falla puede estar basada en caractersticas inherentes del diseo (por ejemplo, por pruebas durante la construccin), por la aplicacin de procedimientos de verificacin antes de la operacin del sistema o mediante la inspeccin durante las actividades de mantenimiento. Esta puede ser implantada en el arranque del sistema o continuamente durante la operacin o mediante intervalos preestablecidos. En los casos anteriores, la deteccin de la falla y su indicacin debe anteceder a condiciones operativas peligrosas. Otros modos de falla diferentes al considerado que se manifiestan de la misma forma, deben ser analizados y listados. Se deben considerar por separado los medios de deteccin de fallas de elementos operativos redundantes. D.4.3.5 Identificacin de medidas de seguridad o protecciones.
Es muy importante la identificacin de cualquier proteccin o medida de seguridad para prevenir o reducir el efecto del modo de falla. As el FMEA debe mostrar claramente el comportamiento real de esas protecciones o medidas de seguridad cuando ocurre ese modo de falla. Algunas de las protecciones que se deben documentar incluyen:
Componentes redundantes que permiten la operacin continua si uno o ms elementos fallan. Medios alternativos de operacin. Dispositivos de monitoreo y alarma Cualquier otro medio que permita la operacin efectiva o limite los daos
Clasificacin de la severidad La severidad es una evaluacin de la importancia de los efectos de los modos de falla sobre la operacin del componente. La clasificacin de la severidad es totalmente dependiente de la aplicacin del FMEA y su aplicacin y desarrollo depende de diferentes factores: Los efectos resultantes sobre los usuarios o el ambiente por la naturaleza del sistema, debido a la ocurrencia de la falla. El desempeo funcional del sistema o proceso Cualquier requerimiento impuesto por el usuario o cliente Cualquier requerimiento regulatorio en materia de seguridad Requerimientos impuestos por garanta
Pgina 65 de 167
En las GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO en PEMEX presenta la forma en la que se clasifican la severidad de las consecuencias Frecuencia o probabilidad de ocurrencia Para cada modo de falla debe determinarse su frecuencia o probabilidad de ocurrencia a fin de evaluar el efecto o la criticidad del modo de falla. Para la determinacin de la probabilidad de ocurrencia del modo de falla, se debe considerar el contexto operativo (que incluye los esfuerzos debido al ambiente, mecnicos y/o elctricos) de cada componente y que tienen una contribucin importante a la probabilidad de ocurrencia. D.4.4 Anlisis El anlisis FMEA se realiza aplicando el protocolo indicado en la Figura D.4.3.1-1. Su aplicacin se inicia en las fronteras del sistema y sistemticamente el anlisis contina sobre los componentes en el orden en que estos aparecen en los diagramas del sistema o proceso analizado. Los formatos FMEA documentan ente otra la siguiente informacin (ver la Figura D.4.4.7-1): D.4.4.1 Identificador del equipo.
Se debe contar con un identificador nico del equipo que relacione el anlisis con la informacin contenida en el diagrama de referencia, proceso o ubicacin. Este identificador permite distinguir entre piezas de equipo similares que realizan funciones diferentes dentro del mismo sistema. Cualquier codificacin sistemtica es aceptable si esta permite relacionar claramente el anlisis con los diagramas, procesos o ubicaciones y puede ser clara para otros analistas que deben trabajar con los resultados del anlisis FMEA. D.4.4.2 Descripcin del equipo
Esta debe incluir el tipo de equipo, configuracin y otras caractersticas que puedan influir en los modos de falla y sus efectos (por ejemplo altas temperaturas, altas presiones o caractersticas propias de los materiales como naturaleza corrosiva).
Pgina 66 de 167
D.4.4.3
Modos de falla
El analista debe listar todos los modos de falla de cada componente que sean consistentes con la descripcin del equipo, considerando las condiciones de operacin normal del equipo y todas las posibles condiciones que eviten que este cumpla con su funcin y que alteren el estado de operacin normal. D.4.4.4 Efectos y consecuencias
Para cada modo de falla el analista debe identificar los efectos inmediatos en la falla y su efecto en otros equipos y en el sistema o proceso. Tpicamente el analista evala los efectos con base en el peor caso razonable, suponiendo que las medidas de seguridad existentes fallan. En esta parte tambin se documentan los medios con que se cuenta para detectar la ocurrencia de la falla. D.4.4.5 Causas
Para cada modo de falla se identifican sus causas o mecanismos de falla (causas fsicas de la ocurrencia del modo de falla), en muchas ocasiones la adecuada identificacin de estas causas permite establecer de manera precisa las recomendaciones que reducirn los riesgos asociados con el modo de falla. D.4.4.6 Medidas de seguridad
Para cada modo de falla identificado el analista debe describir cualquier dispositivo de seguridad o procedimiento asociado con el sistema y que reduce la probabilidad de ocurrencia de una falla especfica o que pueda mitigar sus consecuencias. D.4.4.7 Recomendaciones
Para cada modo de falla identificado el analista debe listar cualquier accin correctiva sugerida para reducir la probabilidad de ocurrencia del modo de falla o para minimizar sus consecuencias. Los resultados deben documentarse en el formato indicado en la Figura D.4.5-1.
Pgina 67 de 167
Figura D.4.4.7-1 Protocolo para realizar el anlisis FMEA
Pgina 68 de 167
D.4.5 Documentacin El reporte de un FMEA puede ser incluido en un estudio ms amplio o estar solo. En cualquier caso (ver 8.4), el reporte debe incluir un resumen y un registro detallado del anlisis y el diagrama funcional o de bloques que define la estructura del sistema. El reporte tambin debe contener los diagramas simplificados en los que se bas el anlisis FMEA. La documentacin del anlisis FMEA incluye: Alcance y objetivos del anlisis FMEA Personal participante Descripcin y diagramas simplificados o de bloques del proceso, as como referencias a diagramas y procedimientos empleados. Lista de componentes analizados Formatos empleados para documentar el anlisis FMEA, elaborados durante las reuniones de anlisis, ver Figura D.4.5-1. Recomendaciones.
Pgina 69 de 167
Instalacin: Subsistema: Ident Descripcin
Sistema: Funcin Modo de falla Efectos C Causas
Facilitador: Revisor: F Protecciones
Fecha: Fecha: R Recomendaciones
Hoja____ de____
Figura D.4.5-1 Formato de Anlisis FMEA
Pgina 70 de 167
D.5 Ejemplo de la aplicacin del FMEA Alcance y objetivos del anlisis FMEA Realizar el anlisis FMEA del sistema de aceite lubricante de la turbina de generacin de energa elctrica que se muestra en el diagrama anexo, Figura D.5-1. El objetivo de este anlisis FMEA es identificar deficiencias en el diseo, operacin y mantenimiento sistema de lubricacin de una turbina. Personal participante Lder del anlisis FMEA: Ing. A. Gonzlez C. (AGC) Auxiliar del lder FMEA: Ing. L. Ramrez. O. (LRO) Personal de ingeniera del proceso: Ing. J. Gutirrez R. (JGR) Personal de operacin del proceso: Ing. M. Campos G. (MCG) Personal de seguridad Industrial del proceso: Ing. R. Mndez F. (RMF) Descripcin, diagramas del proceso y referencias El sistema de aceite lubricante entre otros componentes consta de un tanque de almacenamiento del cual se suministra el aceite a las chumaceras de la turbina y del generador a travs de una bomba principal acoplada a la flecha de la turbina, durante las secuencias de arranque y paro el aceite es suministrado por la bomba de pre/postlubricacin. Esta bomba de pre/postlubricacin de aceite lubricante (P902) de la turbina provee aceite lubricante a los rodamientos de la turbina y el generador durante la secuencia de paro y arranque del conjunto turbogenerador. La bomba es impulsada por un motor elctrico de 5 HP y alimentada con corriente alterna de 460 V. Durante la secuencia de arranque se desactiva a 35 psi y durante la secuencia de paro se activa a 25 psi, estas presiones medidas en el cabezal principal de aceite lubricante. En caso de falla de esta bomba durante las secuencia de arranque o paro de la turbina se genera una seal de disparo de la turbina y se arranca la bomba de respaldo alimentada con CD. El sistema de aceite lubricante se muestra en la Figura 5.1; los componentes analizados se encuentran sobre la lnea de la bomba de pre/postlubricacin, indicada con un crculo punteado en la propia Figura D.5-1. Para evitar la presurizacin en la descarga de la bomba, esta se encuentra protegida por una vlvula de alivio VR902 que retorna el aceite lubricante al tanque cuando la presin es mayor de 20 psi. Diagrama simplificado Ver Figura D.5-1. Referencias Manual de operacin y mantenimiento de la turbina, rev. 3. Diagrama de proceso del sistema de propano PID-201 rev. 7.
Pgina 71 de 167
Lista de componentes del sistema de lubricacin La Figura D.5-2 muestra una forma de asignar identificadores a los componentes de un sistema. Algunos de estos componentes son los siguientes: TG.03.01 Tanque de almacenamiento de aceite lubricante TG.03.02 Bomba de pre/postlubricacin TG.03.03 Motor elctrico de la bomba de pre/postlubricacin TG.03.04 Vlvula de alivio de la bomba de pre/postlubricacin Formatos FMEA Ver secciones ms adelante. Recomendaciones. 1. Analizar la conveniencia de cambiar el tipo de acoplamiento motor-bomba (P902), actualmente es de plstico. 2. Asegurar que en cada mantenimiento de la bomba P902 se verifique el buen estado del strainer. 3. Verificar peridicamente y llevar el registro de la operabilidad de la resistencia calefactora. 4. Asegurar que se registre la realizacin de la verificacin de la calibracin de la vlvula VR902.
Pgina 72 de 167
Figura D.5-1 Sistema de aceite de lubricacin de la turbina de generacin
Pgina 73 de 167
Figura D.5-2 Componentes y subsistemas de una turbina de generacin y ejemplo de identificadores de componentes
Pgina 74 de 167
Sistema: TG. Turbina de generacin Facilitador: MSD Revisor: ARR Protecciones Se cuenta con el disparo de la turbina por baja presin de aceite lubricante. Para asegurar la lubricacin y el enfriamiento en caso de falla de esta bomba, se cuenta con bomba de emergencia Fecha: 23/05/08 Fecha: 10/06/08 Recomendaciones 1). Analizar la conveniencia de cambiar el tipo de acoplamiento motor-bomba (P902), actualmente es de plstico. 2) Asegurar que en cada mantenimiento de la bomba P902 se verifique el buen estado del strainer.
Instalacin: Central de compresin Subsistema: 03.Sistema de aceite lubricante Ident Descrip. Funcin 02 Bomba de pre/postlubrica cin, P902 Suministrar aceite lubricante antes y durante el arranque y durante y despus de un paro (se desactiva a 35 psi y se activa a 25 psi)
Modo de falla Descarga baja
Efectos El bajo flujo de aceite provoca baja presin durante la secuencia de arranque y causa su interrupcin por seal de baja presin (Cuando no se alcanzan 6 psi durante 60 segundos a travs del TP380). Durante un disparo de turbina y con bajo flujo de aceite se pueden daar las chumaceras de la turbina. Para evitar el paso de partculas que puedan daar los impulsores se cuenta con el strainer FS902-2. Tambin, se cuenta con bomba de respaldo de pre/postlubricacin que arrancar cuando la presin sea menor o igual a 6 psi. Derrame de aceite lubricante en el interior del encabinado y posible incendio con daos al equipo y al personal. Una fuga puede provocar baja presin en el suministro de aceite lubricante y daos a las chumaceras de la turbina. Se cuenta con el sistema de deteccin de incendios.
Causas Falla del acoplamiento motor-bomba. Falla en internos de la bomba. Obstruccin del strainer. Engazamiento.
Contener el aceite lubricante que bombea
Fuga externa
Rotura de mangueras. Falla de sellos.
La bomba y sus conexiones se encuentran en la parte de baja temperatura del encabinado. Durante los paros se inspeccionan el interior del encabinado en busca de fugas.
03
Motor elctrico de la bomba de aceite de pre/poslubricaci n de 5 HP, B321
Impulsar la bomba de aceite de pre/poslubricaci n con una potencia de 5 HP y 460 VCA
Paro inesperado
La falla del motor provoca la prdida del bombeo de aceite lubricante. Durante el arranque se interrumpe la secuencia de arranque. Durante el paro de la turbina se pueden causar daos severos a la turbina. Se cuenta con bomba de respaldo, BP903 para garantizar la lubricacin y enfriamiento del equipo.
Corto circuito en contactos. Falla bobina del contactor. Fusibles abiertos o relevador de sobrecarga descalibrado o en falla. Terminales flojas o sulfatadas. Corto circuito en los devanados del motor por bajo ndice dielctrico.
Durante los mantenimientos se realiza el reapriete de conexiones Hoja____ de____
Pgina 75 de 167
Sistema: TG. Turbina de generacin Facilitador: MSD Revisor: ARR Protecciones Fecha: 23/05/08 Fecha: 10/06/08 Recomendaciones
Instalacin: Central de compresin Subsistema: 03.Sistema de aceite lubricante Ident Descrip. Funcin 03 Motor elctrico de la bomba de aceite de pre/poslubricaci n de 5 HP, B321 Impulsar la bomba de aceite de pre/poslubricaci n con una potencia de 5 HP y 460 VCA
Modo de falla Falla a iniciar a la demanda
Efectos La falla del motor provoca la prdida del bombeo de aceite lubricante. Durante el arranque se interrumpe la secuencia de arranque. Durante el paro de la turbina se pueden causar daos severos a la turbina. Se cuenta con bomba de respaldo, BP903 para garantizar la lubricacin y enfriamiento del equipo.
Causas Falla de mecanismo por mal ajuste o dao de la palanca de accionamiento. Falla de permisivo de arranque/operacin por causas propias. Falla del PLC que controla la operacin del motor por falla de tarjetas de entrada/salida. Fusibles daados. Corto circuito en los devanados del motor por bajo ndice dielctrico. Vlvula cerrada por falla propia. Fuera de ajuste por descalibracin o mala calibracin
El motor cuenta con resistencia calefactora para reducir la condensacin dentro del devanado. Durante el mantenimiento programado se verifica la operabilidad de esta vlvula, as como su calibracin.
3) Verificar peridicamente y llevar el registro de la operabilidad de la resistencia calefactora. 4). Asegurar que se registre la realizacin de la verificacin de la calibracin de la vlvula VR902.
04
Vlvula de alivio de la bomba de pre/postlubrica cin, VR902
Abrir para mantener una presin de 20 psi (1.4 kg/cm2) en la descarga de la bomba de pre/postlubricaci n Cerrar para mantener una presin de 20 psi (1.4 kg/cm2) en la descarga de la bomba de pre/postlubricaci n
LOO Salida baja
HIO Salida alta
Alta presin en la descarga de la bomba P902, la alta presin en lnea de aceite lubricante puede provocar fugas en las lneas de descarga, posible incendio con daos al equipo. Se cuenta con sistema de deteccin de incendios dentro del encabinado, que provoca el disparo de la turbina y la descarga del agente extintor. Alto flujo de recirculacin de aceite hacia el tanque lo que provoca baja presin de aceite lubricante en la turbina. En arranque se interrumpe la secuencia de arranque y en paro se puede daar severamente a la turbina (al no cumplirse el periodo de 55 minutos de enfriamiento). Se cuenta con bomba de respaldo de pre/postlubricacin.
Vlvula abierta por falla propia. Fuera de ajuste por descalibracin o mala calibracin
Durante el mantenimiento programado se verifica la operabilidad de esta vlvula, as como su calibracin.
4). Asegurar que se registre la realizacin de la verificacin de la calibracin de la vlvula VR902.
Hoja____ de____
Pgina 76 de 167
ANEXO E Anlisis de Peligros y Operabilidad (HazOp)
Pgina 77 de 167
E.1 Propsito Proporcionar una gua a los analistas que requieran desarrollar un anlisis de riesgos utilizando la metodologa Anlisis de Peligros y Operabilidad (HAZOP), para homologar su aplicacin en las instalaciones de Petrleos Mexicanos. E.2 Referencias [1] [2] [3] [4] Hazard and operability studies (HAZOP studies) Application guide, CEI-IEC61882 Crawly, F., Preston, M., Tyler, B., HAZOP Guide to Best Practice, IChemE, 2000. Lees, F.P., Loss Prevention in the process industries, 2nd. ed., 1996. Guidelines for Hazard Evaluation Procedures with worked examples, CCPS, AICHE, 1992-
E.3 Principios de la Metodologa La metodologa HazOp (Hazard and Operability) es un mtodo estructurado y sistemtico para examinar un sistema con el objetivo de identificar peligros potenciales y problemas operativos; en particular para identificar las causas y sus implicaciones [1, 2]. El desarrollo de la metodologa de estudio o mtodo HazOp se atribuye a la ICI (Imperial Chemical Industries) en la dcada de 1960. La metodologa, tal como se conoce actualmente, es el resultado de varias metodologas desarrolladas por, entre otras, la ICI Chemical Division (Binsted, 1960) y la ICI Mond Division (Elliott y Owen, 1968) [3]. Su uso y desarrollo fue impulsado fuertemente por la Chemical Industries Association del Reino Unido, mediante la publicacin: A guide to Hazard and Operability Studies [2]. El propsito principal de un estudio HazOp es identificar y evaluar los peligros potenciales en un sistema [1,2]. La metodologa HazOp tambin se puede emplear para identificar problemas de operabilidad, en particular perturbaciones operativas y desviaciones que pueden llevar a productos fuera de especificaciones [1,2]. La metodologa HazOp es un proceso creativo en el cual se identifican las desviaciones potenciales de un sistema, a partir de un rango de valores entre los que se espera se encuentre, de acuerdo al propsito del diseo. Esas desviaciones se emplean como estmulos para que los analistas examinen las posibles causas y las consecuencias de cada desviacin [1]. El anlisis se realiza bajo la gua de un lder entrenado y con experiencia en la aplicacin de la metodologa. El lder es apoyado por una persona que documente el anlisis. El anlisis es apoyado por especialistas de diversas disciplinas con habilidades apropiadas y experiencia, quienes deben poseer buenos juicios y ser intuitivos. El anlisis debe desarrollarse en un clima de pensamiento creativo (lluvia de ideas), positivo y que permita discusiones que lleven a resultados constructivos.
Pgina 78 de 167
El procedimiento para realizar un HazOp se ilustra en la Figura E.3-1.
1. DEFINICIN
Definir alcance y objetivos del HazOp Seleccionar el equipo de trabajo (Grupo Multidisciplinario) Definir roles y responsabilidades de los miembros del equipo
2. PREPARACIN
Planear el estudio Recolectar y procesar datos (Elaborar descripciones y diagramas simplificados, propuesta de esquema de nodos y lista de variables y palabras guas) Definir formatos de registro del anlisis Definir el tiempo para el anlisis Programar actividades
3. ANLISIS
Definir y fraccionar el sistema en nodos o etapas Seleccionar un nodo y describir el propsito de acuerdo al diseo
- Identificar variables y/o parmetros, - Identificar palabras gua y obtener desviaciones, - Identificar causas y consecuencias, - Identificar protecciones , - Identificar posibles soluciones o medidas de mitigacin, en caso de
ser necesarias (emitir recomendaciones valorando la tolerabilidad del riesgo).
Repetir el proceso para cada nodo del sistema
4. DOCUMENTACIN Documentacin:
Documentacin del anlisis (Llenar formatos HazOp y minutas de reuniones) Generacin del informe final Liberacin del informe final
Figura E.3-1 Procedimiento para realizar un HazOp
Pgina 79 de 167
E.4 Procedimiento para realizar un HazOp E.4.1 Definir alcance y objetivos del estudio El responsable tcnico por parte de la instalacin y el lder del estudio deben establecer de forma conjunta tanto el alcance como el objetivo del estudio. Ambos deben ser claramente descritos para asegurar: Una definicin precisa de las fronteras del sistema en estudio, sus interfaces con otros sistemas y el ambiente. Que el equipo de anlisis se enfoque slo en las reas definidas en el alcance y relevantes al estudio.
El alcance y objetivos del estudio dependen de: Fronteras fsicas del sistema. Alcance de estudios previos HazOp, o cualquier otra metodologa de anlisis de riesgo aplicada al sistema. Cualquier requisito regulatorio que aplique al sistema.
Los siguientes factores deben considerarse cuando se define el objetivo: El propsito para el cual se utilizaran los resultados del estudio. La etapa del ciclo de vida en la cual se realiza el estudio (diseo, construccin, operacin, desmantelamiento). Personas o propiedad que podran estar en riesgo (por ejemplo, el personal operativo, la poblacin, el medio ambiente y el propio sistema). Problemas operativos que se quieran analizar. Los estndares requeridos del sistema, tanto en trminos de seguridad como de desempeo operativo.
E.4.2 Definir roles, responsabilidades y formar equipo de trabajo Se deben definir claramente los roles y responsabilidades de los miembros del equipo HazOp (Grupo Multidisciplinario). Para esto se toma en cuenta las habilidades y especialidades necesarias de cada miembro que conformar el equipo de trabajo. Un estudio HazOp es el resultado de un esfuerzo en equipo, cada miembro se selecciona para que juegue un rol y tenga responsabilidades especficas. Normalmente requiere de al menos cuatro personas y en raras ocasiones supera las siete personas. Roles y responsabilidades: Lder del estudio. Persona entrenada y experimentada en la aplicacin de la metodologa y desarrollo de estudios HazOp, responsable de: - Planear el estudio, - participar en la conformacin del equipo de trabajo, - realizar una pltica de induccin al Grupo Multidisciplinario, para homologacin de criterios - suministrar y requerir la informacin necesaria a los miembros del equipo,
Pgina 80 de 167
lograr la comunicacin entre los miembros del equipo, conducir el estudio, y asegurar la apropiada documentacin de resultados.
Auxiliar del lder. Persona entrenada y experimentada en estudios HazOp, responsable de: - Ayudar al lder en la planeacin y ejecucin del estudio, - documentar el estudio (peligros, causas, consecuencias y medidas de seguridad identificadas, as mismo recomendaciones y problemas encontrados). Personal relacionado con el diseo del sistema. Persona que particip en la elaboracin del diseo del sistema o que es competente en los aspectos del diseo del sistema por laborar en reas como ingeniera de proceso. Responsable de: - Explicar y aclarar dudas sobre el diseo (principalmente ayuda a establecer el propsito del diseo), y - participar en la identificacin y evaluacin de desviaciones desde el punto de vista del diseo. Personal operativo. Persona competente en labores de operacin del sistema, su participacin se centra en: - Explicar el contexto operativo del sistema y los efectos de una desviacin sobre la operacin del mismo, - participar en la identificacin y evaluacin de desviaciones desde el punto de vista de la operacin, y - participa en la emisin de recomendaciones. Personal de mantenimiento (en caso necesario). Persona competente en labores de mantenimiento del sistema: - Explicar aspectos relacionados con el mantenimiento (correctivo, preventivo y predictivo, pruebas, calibraciones y reemplazos de equipos), y posibles daos a equipos derivados de una desviacin, as mismo, - participar en la identificacin y evaluacin de desviaciones desde el punto de vista del mantenimiento. Personal especialista (entre otros de seguridad). Persona competente en prevencin y mitigacin de eventos no deseados: - Explicar aspectos relacionados con la prevencin y mitigacin de eventos no deseados, como lo pueden ser fugas y derrames de materiales peligrosos, incendios y explosiones, - participar en la identificacin y evaluacin de desviaciones desde el punto de vista de las consecuencias principalmente, y - en general, personal con competencias especficas que puede participar de manera concreta, y definida por el lder, en algunos aspectos del estudio.
E.4.3 Preparativos para realizar un HazOp Obtencin de la informacin, convertir la informacin a un formato adecuado (descripciones y diagramas simplificados), definir un programa de trabajo con fechas establecidas para las reuniones HazOp, y gestionar las reuniones necesarias, descomponer el sistema en nodos, proponer una lista de palabras gua, definir los formatos en los que se documentar el estudio HazOp, y
Pgina 81 de 167
definir el formato y contenido del informe final.
Es necesario que el lder del anlisis HazOp predefina los nodos de estudio conjuntamente con personal de operacin de la planta a analizar (seccionar el proceso) y prepare una lista preliminar de desviaciones (identificacin de variables y palabras gua). El esquema de nodos previo y la lista preliminar de desviaciones sern revisados y modificados en su caso, por el equipo multidisciplinario de anlisis. E.4.3.1 Recoleccin de Datos.
Los datos al ser recolectados incluyen (pero no estn limitados): Datos de diseo y descripciones, diagramas de flujo, diagramas de bloques de proceso, diagramas de control, diagramas elctricos, hojas de datos de ingeniera como balances de materia y energa y valores de variables de proceso, especificacin de suministros y servicios y requisitos de operacin y mantenimiento. Diagramas de tubera e instrumentacin, dibujos y planos de equipos y su disposicin en planta, isomtricos y hojas de datos de seguridad de materiales. Condiciones ambientales de diseo y de trabajo, procedimientos e instrucciones de trabajo, experiencia de accidentes y experiencia operacional y de trabajo del sistema analizado y sistemas similares. E.4.3.2 Procesamiento de Datos.
Elaborar una descripcin de la totalidad del proceso a ser analizado. La descripcin debe contener: Valores de variables en los que se deba encontrar operando el proceso; lo anterior para que se identifique de forma clara y precisa una desviacin. El enunciado claro del propsito o la intencin de acuerdo al diseo de cada etapa del proceso. Los equipos que componen cada etapa (recipientes, compresores, turbinas, motores, bombas, entre otras), incluyendo su instrumentacin y dispositivos de control, con sus identificadores, ej. separador FA5071B, vlvula LV3120A, etc.
Elaborar diagrama de bloques e interacciones y diagramas simplificados del proceso a ser analizado. Los diagramas deben contener: Los equipos que componen cada etapa (recipientes, compresores, turbinas, motores, bombas, entre otras), incluyendo su instrumentacin y dispositivos de control, con sus identificadores, ej. separador FA5071B, vlvula LV3120A. Las interconexiones entre los equipos que sean relevantes al estudio, tuberas de proceso, lazos de control y suministros, entre otras. Anotaciones pertinentes como dimetro de vlvulas, puntos de ajuste de lazos de control, apertura de vlvulas de alivio y disparos por alto / bajo valor de las variables monitoreadas.
E.4.4 Anlisis
Pgina 82 de 167
Al comenzar las reuniones se debe asegurar que los miembros del equipo multidisciplinario estn familiarizados con el sistema a ser analizado, los objetivos y el alcance del estudio. El lder del estudio HazOp conduce las reuniones de anlisis y su auxiliar documenta el proceso. Es recomendable que el tiempo mximo de duracin de las reuniones sea acotado a valores razonables. El anlisis del sistema se desarrolla de acuerdo con el protocolo de la metodologa HazOp, Figura E.4.4.2-1 [4], y se documenta en los formatos seleccionados para tal fin, en el ejemplo E.4.6 se muestra un ejemplo de un formato HazOP. En el ejemplo E.4.7 se muestra un ejemplo de la aplicacin del HazOp. E.4.4.1 Fraccionar el sistema en nodos o etapas.
Al comenzar las reuniones es importante que se realice una revisin de los nodos elaborados en los preparativos y definicin del esquema final de nodos por parte del equipo multidisciplinario y se pueda emitir una lista de nodos. La definicin de los nodos es hasta cierto punto una decisin subjetiva en la que se debe tomar en cuenta: El objetivo y el alcance del estudio. La funcin que cumple el equipo (ya sea en forma individual o colectiva). Por ejemplo, un nodo puede incluir uno o varios equipos, individuales o compuestos, que en su conjunto cumplen una funcin en el sistema. Secciones de un proceso que incluyen diferentes equipos, en donde las variables o parmetros que los caracterizan tengan comportamientos similares.
Una vez definido el esquema de nodos se debe aplicar el protocolo que se muestra en la Figura E.4.4.2-1 [4]. E.4.4.2 Seleccionar un nodo y describir el propsito de acuerdo al diseo
La descripcin del propsito del nodo define la manera en cmo se espera que opere el sistema en ausencia de desviaciones. La descripcin debe incluir el rango de valores operativos en los que, de acuerdo al diseo, se espera se encuentren las variables de proceso. Con base en esos valores, el grupo multidisciplinario puede identificar ms claramente las desviaciones. El propsito del nodo por diseo no slo se refiere a equipos, tambin a materiales, condiciones, cambios, orgenes, destinos y medios de control.
Pgina 83 de 167
Inicio
Lista de nodos
Fin Si
Seleccionar una/otra seccin del proceso o nodo de estudio
No
ltimo nodo?
Describir el propsito del diseo del nodo
Si Seleccionar una/otra variable del nodo No ltima variable del nodo?
Si Aplicar una/otra palabra gua a la variable seleccionada y obtener la desviacin No ltima palabra gua?
Listar las posibles causas de la desviacin
Examinar las consecuencias asociadas con la desviacin (suponiendo que todas las salvaguardias fallan)
Emitir recomendaciones valorando la tolerabilidad del riesgo
Identificar las protecciones existentes para prevenir la desviacin o limitar sus consecuencias
Figura E.4.4.2-1 Protocolo de anlisis para realizar un HazOp
Pgina 84 de 167
E.4.4.3
Identificar variables y/o parmetros
El equipo examina cada nodo e identifica las variables y parmetros que sean relevantes en la bsqueda de desviaciones del propsito por diseo y que puedan conducir a consecuencias indeseables. En las Tablas E.4.4.3-1 y E.4.4.3-2 se muestran ejemplos de variables y parmetros.
Tabla E.4.4.3-1 Ejemplos de variables Flujo Presin Temperatura Mezclado Agitacin Transferencia Nivel Viscosidad Reaccin Composicin Adicin Separacin - Tiempo - Fase - Velocidad - Medida - Control - pH - Seal - Inicio/paro - Secuencia - Operar - Tamao de partcula
Tabla E.4.4.3-2 Ejemplos de parmetros Espesor Dimetro Longitud Altura Composicin de materiales Capacidad Rugosidad
E.4.4.4
Identificar palabras gua y generar desviaciones
Para cada variable o parmetro seleccionado, el equipo identifica las palabras gua que generen desviaciones lgicas. En la Tabla E.4.4.4-1 se muestran ejemplos de palabras gua. Cada palabra gua se aplica a cada variable relevante que caracteriza el nodo analizado. Para realizar una identificacin detallada de riesgos es necesario que los nodos y las variables que los caracterizan cubran todos los aspectos relevantes del propsito por diseo y que la combinacin de variables con palabras guas cubran todas las desviaciones. Evitar desviaciones ilgicas como: viscosidad inversa, nivel en lugar de o tamao de partcula lento. Para generar las desviaciones se combinan las variables o parmetros con las palabras gua, en la Tabla E.4.4.4-1 se muestra un ejemplo.
Pgina 85 de 167
Tabla E.4.4.4-1 Ejemplos de palabras gua
Palabra gua No Ms / Alta Menos / Baja Inverso Parte de Otro En lugar de Antes / Despus Temprano / Tarde Rpido / Lento
Significado Negacin de la intencin del diseo Incremento cuantitativo Decremento cuantitativo Opuesto lgico al propsito del diseo Slo se logra parte del propsito del diseo Slo se logra parte del propsito del diseo Sustitucin Fuera de secuencia Antes o despus de tiempo Fuera de velocidad
Tabla E.4.4.4-2 Ejemplos de desviaciones
Variable o parmetro Flujo Presin Voltaje E.4.4.5
Palabra gua No Alta Bajo
Desviacin No flujo Alta presin Bajo voltaje
Identificar causas de las desviaciones
Una vez que se ha identificado una desviacin, es recomendable estar atentos a desviaciones con consecuencias evidentemente triviales, pues no tiene sentido buscar sus causas. Para las consecuencias no triviales se deben buscar las causas usando el concepto de lluvia de ideas, para identificar tantas causas como sea posible. Las causas pueden ser tanto fallas de equipo como errores humanos. Durante la identificacin de causas es importante que los miembros del equipo tomen una actitud positiva y crtica, sin ser ofensiva ni defensiva. E.4.4.6 Identificar consecuencias de las desviaciones
Es esencial identificar por completo las consecuencias; lo que ocurre en la cadena de eventos (desde la ocurrencia de la desviacin hasta la prdida creble en materia de seguridad, ambiente y negocio). Las consecuencias se deben enunciar considerando que todas las protecciones existentes fallan.
Pgina 86 de 167
E.4.4.7
Identificar protecciones existentes
Se deben de enunciar los dispositivos disponibles para evitar la ocurrencia de la causa de la desviacin o para minimizar las posibles consecuencias. Las protecciones incluyen las etapas de deteccin de la condicin y medidas correctivas. E.4.4.8 Emitir recomendaciones valorando la tolerabilidad del riesgo
Cuando el grupo estima que las protecciones existentes no mantienen el riesgo dentro de valores tolerables, entonces se enuncian recomendaciones tendientes a fortalecer las protecciones existentes o a adicionar protecciones, de acuerdo como lo decida el equipo multidisciplinario. Para valorar la tolerabilidad al riesgo referirse al Anexo F. Las recomendaciones deben representar el consenso de opiniones del equipo multidisciplinario. Dichas recomendaciones pueden ser tan especficas como la competencia, metodologa y autoridad administrativa lo permita, dentro del grupo multidisciplinario. Cuando exista el consenso, la competencia tcnica y administrativa, entonces se documenta la recomendacin. En caso contrario, la recomendacin se enuncia de manera genrica haciendo nfasis en la problemtica, las funciones que se deben cumplir para resolver la problemtica y se deben de hacer gestiones fuera del HazOp para dar solucin tcnica o administrativa especfica. En ocasiones, estudios ms detallados, tanto tcnicos como administrativos, sern necesarios para llegar a las soluciones requeridas. En ocasiones se requiere el empleo de otras metodologas de anlisis de riesgos, ms detalladas, para determinar con mayor precisin si es necesaria alguna mejora y especificar con mejores bases tcnicas el tipo de mejora. Eso debe ser documentado y efectuado fuera del desarrollo del HazOp. E.4.5 Documentacin La documentacin del estudio HazOp (ver seccin 8.4) incluye: Alcance y objetivos del estudio HazOp Personal participante Descripcin y diagramas simplificados del proceso, as como referencias a diagramas y procedimientos empleados. Lista de nodos Formatos empleados para documentar el anlisis HazOp, elaborados durante las reuniones de anlisis, Ejemplo E.4.6. Recomendaciones.
Pgina 87 de 167
E.4.6 Ejemplo de Formato de documentacin HazOp

Nombre del estudio: Seccin o nodo: Propsito de acuerdo al diseo: Equipo multidisciplinario2: rea para comentarios o datos de control adicionales, en caso de requerirse. Palabra No. Variable Desviacin Causas Consecuencias Protecciones gua Rev. Fecha de reunin: Referencias1: Hoja: n de (total) F C R Recomendaciones Fecha compromiso Responsable
1 2
Referencias los diagramas y documentos empleados para el anlisis. F = categora de frecuencia, C = categora de consecuencia, R = categora de riesgo Colocar iniciales de participantes de la reunin y en el cuerpo del informe indicar nombres completos.
Pgina 88 de 167
E.4.7 Ejemplo de la aplicacin HazOp Actualizar el estudio HazOp del rea de almacenamiento de propano del centro de procesamiento de gas amargo, como parte de la actualizacin 2008 del Anlisis de Riesgos del centro de procesamiento de gas amargo. EL objetivo de este estudio HazOp es analizar los riesgos a partir de las posibles desviaciones del equipo e instalaciones que conforman el rea de almacenamiento de propano y emitir recomendaciones, evaluar la tolerabilidad de los riesgos identificados y en su caso emitir recomendaciones tendientes a mantener o reducir los riesgos dentro de valores tolerados. Personal participante Responsable tcnico por parte de la instalacin: Ing. A. Gallardo (AG) Lder del estudio HazOp: Ing. R. C. Rodrguez (RCR) Auxiliar del lder HazOp: Ing. R. R. Soto (RRS) Personal de ingeniera del proceso: Ing. S. S. Valenzuela (SSV) Personal de operacin del proceso: Ing. R. M. Campos G. (RMCG) Personal de seguridad Industrial del proceso: Ing. R. V. Flores. (RVF) Descripcin, diagramas del proceso y referencias El rea de almacenamiento de propano cuenta con un tanque cilndrico de 12.8 m de largo y 2.7 metros de dimetro, tiene una capacidad de 18 000 Gal (68137 L) de propano lquido y una presin de diseo de 17.6 kg/cm2 Descansa sobre dos soportes de concreto a 1.2 metros del piso. Al nivel del piso hay dos pares de tuberas (L1, L2, L3 y L4) que salen del tanque. Un par de tuberas (L1 y L2), paralelas a los extremos del tanque, conducen el propano de recarga desde el autotanque (una lnea conduce vapor y la otra lquido). El punto de conexin para la carga est a 12 m del tanque. El otro par de tuberas (L3 y L4) sale del tanque por uno de los costados, llega a los calentadores ubicados a 11 m. La funcin de los calentadores de flama directa es llevar al propano a su fase gaseosa. Ninguna de las lneas ubicadas a nivel del suelo, ni el tanque, tienen valla de proteccin o alguna otra barrera destinada a protegerlas fsicamente debido a la circulacin de vehculos. El primer componente de la lnea de lquido es una vlvula de sobreflujo de 3, soldada a la parte baja del tanque. sta se encuentra conectada a una vlvula manual de corte a travs de un niple de 2. De la vlvula de corte sale una tubera de 3/4 que una vez en el piso se extiende por 11 m hasta los vaporizadores. La lnea de vapor se conecta de la parte superior del tanque e inicia en una vlvula de sobreflujo de 2 soldada a un registro, al bajar al piso corre paralela a la lnea de lquido hasta los vaporizadores. Las vlvulas de sobreflujo cierran en caso de que el flujo exceda un valor predeterminado, esta accin evita que eventos como la ruptura en una lnea aguas abajo de la vlvula, libere sin control el material confinado. El tanque cuenta con una vlvula de alivio por sobrepresiones que abre a 17.6 kg/cm2, mientras que la presin normal en el tanque es de 9 kg/cm2, tambin cuenta con un manmetro.
Pgina 89 de 167
El propano se emplea como suministro para el procesamiento de gas amargo. Este proceso se encuentra en un sitio en donde la temperatura ambiente puede ser de -10C. Diagrama simplificado
Vlvula de alivio de 3
Vlvulas de sobreflujo de 3
Vlvulas de sobreflujo de 2
Lnea de propano
A proceso
Vlvulas de corte Lnea de propano lquido de 3/4 Vaporiz ador a fuego directo
Lneas de carga de
Referencias Manual del sistema de almacenamiento de propano, M-PR-001, rev. 2. Diagrama de proceso del sistema de propano PP-160-2 rev. 3.
Lista de nodos 1. Lnea de carga de propano lquido (flujo, presin) 2. Tanque de almacenamiento (presin) 3. Lnea de descarga de propano lquido (flujo, presin)
Formatos HazOp
Pgina 90 de 167
Ver secciones ms adelante. Recomendaciones. 1. Elaborar procedimiento de carga que indique que el personal que recibe la carga verifique el funcionamiento de los sistemas de control de presin de carga del autotanque. 2. Verificar peridicamente la funcionalidad del indicador de presin del tanque. 3. Verificar de acuerdo a la normatividad la funcionalidad de la vlvula de alivio. 4. Elaborar un estudio para determinar si la capacidad de alivio del tanque es adecuada. 5. Analizar la conveniencia de reducir el punto de ajuste de apertura de la vlvula de alivio, ya que sta se encuentra justo en el valor de diseo del tanque (17.6 kg/cm2). 6. Analizar la conveniencia de controlar el acceso al rea del tanque y sus accesorios. 7. Asegurar proteger las lneas se salida de gas (enterrarlas o usar barreras que eviten dao externo). 8. Cambiar las vlvulas de sobreflujo ya que estas son de 3 y la lnea es de , lo que evita que stas cumplan con su funcin.
Pgina 91 de 167
Nombre del estudio: HazOP del rea de almacenamiento de propano del centro de procesamiento de gas amargo. Rev. 0 Seccin o nodo: 2. Tanque de almacenamiento de propano Fecha de reunin: 15/Oct/2008 Propsito de acuerdo al diseo: Almacenar 18000 galones de gas propano licuado a 13 kg/cm2 para su consumo Referencias: PP-160-2 R3 en calentadores del proceso. Equipo multidisciplinario2: RCR, RRS, RVF, RMCG, SSV Hoja: 6 de 18 El presente anlisis HazOp forma parte de la actualizacin 2008 del Anlisis de Riesgos del centro de procesamiento de gas amargo. Palabra No. Variable Desviacin Causas Consecuencias Protecciones F C R Recomendaciones gua 1 Presin Alta Alta presin Sobrepresin Rotura catastrfica Los autotanques que 2 4 Ama- 1. Elaborar procedimiento de carga en el llenado del recipiente que realizan la descarga de rillo 8 que indique que el personal que recibe del tanque. puede ocasionar la propano cuentan con la carga verifique el funcionamiento de indicadores de presin fuga de gas, los sistemas de control de presin de de llenado y el sistema provocando un carga del autotanque. incendio y explosin de carga evita la sobre2. Verificar la funcionalidad del si se alcanza una presurizacin. indicador de presin del tanque cada fuente de ignicin. semana. Esto puede causar El tanque cuenta con 3. Verificar la funcionalidad y indicador de presin y dos fatalidades y calibracin de la vlvula de alivio cada daos a la una vlvula de alivio ao. instalacin. cuyo punto de ajuste es 4. Elaborar un estudio para determinar 17.6 kg/cm2. si la capacidad de alivio del tanque es adecuada. 2 Presin Alta Alta presin Incendio en la Rotura catastrfica parte inferior del recipiente que del tanque. puede provocar la fuga de gas provocando un incendio y explosin. Esto puede causar dos fatalidades y daos a la instalacin. Cada dos aos se realiza una verificacin del estado de la integridad del tanque. El tanque cuenta con una vlvula de alivio cuyo punto de ajuste es 17.6 kg/cm2. 2 4 Ama- 3. Verificar la funcionalidad y rillo 8 calibracin de la vlvula de alivio cada ao. 4. Elaborar un estudio para determinar si la capacidad de alivio del tanque es adecuada. 5. Hacer un anlisis de ingeniera para determinar un nuevo valor para el punto de ajuste de apertura de la vlvula de alivio, ya que esta se encuentra justo en el valor de diseo del tanque (17.6 kg/cm2).
Pgina 92 de 167
Nombre del estudio: HazOP del rea de almacenamiento de propano del centro de procesamiento de gas amargo. Rev. 0 Seccin o nodo: 3. lneas de salida Fecha de reunin: 15/Oct/2008 Propsito de acuerdo al diseo: Transportar gas propano para su consumo en calentadores del proceso. Referencias: PP-160-2 R3 Equipo multidisciplinario2: RCR, RRS, RVF, RMCG, SSV Hoja: 6 de 18 El presente anlisis HazOp forma parte de la actualizacin 2008 del Anlisis de Riesgos del centro de procesamiento de gas amargo. 3 Flujo Alto Alto flujo Lnea de Fuga de gas e incendio La conexin al tanque de 3 6 Rojo 7. Proteger las lneas se salida salida rota. en la parte baja del la lnea cuenta con vlvula de gas (enterrarlas o usar tanque que puede limitadora de flujo (3). barreras fsicas que eviten dao provocar la falla por impacto externo). catastrfica del El tanque cuenta con una 8. Cambiar las vlvulas de recipiente. Esto puede vlvula de alivio cuyo sobreflujo ya que estas son de causar dos fatalidades punto de ajuste es 17.6 3 y la lnea es de , lo que y daos a la instalacin. kg/cm2. evita que estas cumplan con su funcin. 4. Elaborar un estudio para determinar si la capacidad de alivio del tanque es adecuada. 4 Flujo No No flujo Vlvula de No arranque o paro del Dentro de la secuencia de 1 3 Verde 6. Establecer controles para el corte cerrada. proceso productivo cuyo arranque del proceso, se acceso al rea del tanque. costo es de 50,000 USD considera la verificacin por hora. de apertura de la vlvula de corte.
Nota: Considerar en ste ejemplo HAZOP del rea de almacenamiento de propano del centro de procesamiento de gas amargo, la inclusin de las columnas correspondientes a Fecha compromiso de cumplimiento de la(s) recomendacin(es) surgidas del HAZOP y, del Responsable de llevarla(s) a cabo.
Pgina 93 de 167
ANEXO F Matrices de Riesgo
Pgina 94 de 167
F.1 Propsito Establecer las Matrices de Riesgo que deben utilizarse en Petrleos Mexicanos y Organismos Subsidiarios, para su aplicacin en los Anlisis de Riesgos de Proceso. F.2 Referencias [1] NORMA Oficial Mexicana NOM-028-STPS-2004, Organizacin del trabajo-Seguridad en los procesos de sustancias qumicas, Gua C (No Normativa), Administracin de Riesgos, 14 enero 2005. PEMEX-PEP, Lineamiento para la determinacin del nivel de riesgo tolerable en las instalaciones de proceso de la Regin Marina Noreste clave 250-22100-SI-212-0001, versin primera, enero 2003. PEMEX-Refinacin, PREF, Gua para realizar Anlisis de Riesgos a instalaciones industriales, DGSASIPA-SI-02741, enero 2005. LINEAMIENTOS que debern observar Petrleos Mexicanos y sus Organismos Subsidiarios en relacin con la implementacin de sus sistemas de seguridad industrial. SENER, Diario Oficial, 20 de Enero 2011.
[2] [3] [4]
F.3 Introduccin En diferentes tipos de industrias, incluida la petrolera, se realizan anlisis de riesgos de proceso por medio de herramientas que permiten realizar una estimacin del riesgo. El riesgo tiene dos componentes: la frecuencia de ocurrencia de un evento indeseado y la magnitud de las consecuencias de ese evento. Debido a lo anterior, existen procesos en los que se identifican una gran cantidad de riesgos, como riesgo de daos al personal, a la poblacin, al medio ambiente o al negocio, a los bienes de terceros o a los bienes de la nacin. Contar con una metodologa para valorar los niveles de riesgo es importante cuando el conjunto de riesgos identificados es amplio y los recursos para su control o reduccin son limitados. El valorar los niveles de riesgo y asignar prioridades a la atencin de las recomendaciones, permite un manejo adecuado de los recursos. F.4 Principio ALARP Las siglas ALARP significan: Tan Bajo Como Sea Razonablemente Prctico, del Ingls As Low As Reasonably Practicable. El concepto ALARP fue desarrollado en el Reino Unido. La legislacin de ese pas estableci el trmino ALARP por medio del Health and Safety at Work etc. Act 1974, el cual requiere que se mantengan las instalaciones y sus sistemas seguros y sin riesgo a la salud hasta donde fuera razonablemente prctico. Esta ltima frase se interpreta como una obligacin de los propietarios de las instalaciones para reducir el riesgo a un nivel tan bajo como sea razonablemente prctico. Existen riesgos que son tolerables y otros riesgos no tolerables. El principio ALARP se encuentra precisamente entre los riesgos que se toleran y los que no. Esta idea se explica con un diagrama que ilustra el principio, ver Figura F 4.1. En la mencionada Figura se explica que para que un riesgo se
Pgina 95 de 167
considere dentro de la regin ALARP, debe demostrarse que el costo relacionado con la reduccin del riesgo (su frecuencia y/o consecuencias) es desproporcionado con respecto al beneficio que se obtiene. El principio ALARP surge del hecho de que sera posible emplear una gran cantidad de tiempo, dinero y esfuerzo al tratar de reducir los niveles de riesgo a un valor de cero, lo cual en la prctica no es costeable ni posible. Adicionalmente, este principio, no debe entenderse como simplemente una medida cuantitativa de los beneficios contra los daos. Se debe entender como una buena prctica de juicio del balance entre riesgo y el beneficio a la sociedad y al negocio.
Nivel de riesgo no tolerable
Regin ALARP (Se tolera el riesgo, slo si el anlisis costo beneficio lo justifica)
Riesgo tolerable
Figura F.4-1 Principio ALARP
Pgina 96 de 167
F.5 Matrices de Riesgo Una escala de valores de riesgo se disea para contar con una medida de comparacin entre diversos riesgos. Aunque un sistema de este tipo puede ser relativamente simple, la escala debe representar valores que tengan un significado para la organizacin y que puedan apoyar la toma de decisiones. Esa escala debe de cumplir con las siguientes caractersticas: Ser simple de entender y fcil de usar, Incluir todo el espectro de frecuencia de ocurrencia de escenarios de riesgo potenciales , Describir detalladamente las consecuencias en cada categora (personal, poblacin, medio ambiente, negocio, bienes de terceros y bienes de la nacin), Definir claramente los niveles de riesgo tolerable, ALARP y no tolerable.
Las matrices de riesgos normalmente se emplean para calificar inicialmente el nivel de riesgo y podra ser la primera etapa dentro de un anlisis cuantitativo de stos. Esa matriz aplica nica y exclusivamente para la organizacin que la desarrolla. Las matrices de riesgos son grficas en dos dimensiones en cuyos ejes se presenta la categora de frecuencia de ocurrencia y la categora de severidad de las consecuencias sobre l personal, la poblacin, el medio ambiente, el negocio, bienes de terceros y bienes de la nacin. Esas matrices estn divididas en regiones que representan los riesgos tolerables, en regin ALARP y los no tolerables. Por un lado, las ventajas en el uso de las matrices de riesgos son, entre otras, las siguientes: Son simples de entender y fciles de aplicar Bajo costo de aplicacin
Por otro lado, algunas de las desventajas que se tienen al utilizar las matrices de riesgo son las siguientes: La evaluacin de la frecuencia de ocurrencia es subjetiva, de Muy Frecuente a Extremadamente raro Las categoras de frecuencias y de consecuencias son cualitativas y generan un alto grado de incertidumbre
F.6 Matrices de Riesgo para aplicacin en PEMEX y Organismos Subsidiarios. Con base en la informacin que se ha presentado en la seccin anterior, las categoras de frecuencia, las categoras de consecuencias, as como sus correspondientes matrices de riesgo, que deben utilizarse para realizar los Anlisis de Riesgos de Proceso en Petrleos Mexicanos y sus Organismos subsidiarios, se presentan a continuacin:
Pgina 97 de 167
Tabla F.6-1 Categoras de frecuencia para aplicacin en PEMEX Descripcin de la frecuencia de ocurrencia Ocurre una o ms veces por ao Ocurre una vez en un periodo entre 1 y 3 aos Ocurre una vez en un periodo entre 3 y 5 aos Ocurre una vez en un periodo entre 5 y 10 aos Ocurre solamente una vez en la vida til de la planta. Evento que es posible que ocurra, pero que a la fecha no existe ningn registro.
Categora de frecuencia 6
Tipo Muy Frecuente
Frecuente
Poco frecuente
Raro
Muy raro
Extremadamente raro
Pgina 98 de 167
Tabla F.6-2 Categoras de consecuencias para aplicacin en PEMEX Daos a bienes de terceros o de la nacin [Millones de USD]
Categora de consecuencia
Daos al personal
Efecto en la poblacin
Impacto ambiental
Prdida de produccin [Millones de USD]
Daos a la instalacin [Millones de USD]
Heridas o daos fsicos que pueden resultar en ms de 15 fatalidades Heridas o daos fsicos que pueden resultar de 4 a 15 fatalidades Heridas o daos fsicos que pueden resultar en hasta 3 fatalidades
Heridas o daos fsicos que generan incapacidad mdica
Heridas o daos fsicos reportables y/o que se atienden con primeros auxilios
No se esperan heridas o daos fsicos
Heridas o daos fsicos que pueden resultar en ms de 100 fatalidades Heridas o daos fsicos que pueden resultar de 15 a 100 fatalidades Heridas o daos fsicos que pueden resultar de 4 a 15 fatalidades Heridas o daos fsicos que pueden resultar en hasta 3 fatalidades. Evento que requiere de hospitalizacin a gran escala. Heridas o daos fsicos reportables y/o que se atienden con primeros auxilios. Evento que requiere de evacuacin. Ruidos, olores e impacto visual que se pueden detectar No se esperan heridas o daos fsicos. Ruidos, olores e impacto visual imperceptibles
Fuga o derrame externo que no se pueda controlar en una semana Fuga o derrame externo que se pueda controlar en una semana Fuga o derrame externo que se pueda controlar en un da
Mayor de 50
Mayor de 50
Mayor de 50
De 15 a 50
De 15 a 50
De 15 a 50
De 5 a 15
De 5 a 15
De 5 a 15
Fuga o derrame externo que se pueda controlar en algunas horas
De 0.500 a 5
De 0.500 a 5
De 0.500 a 5
Fuga o derrame externo que se pueda controlar en menos de una hora (incluyendo el tiempo para detectar)
De 0.250 a 0.500
De 0.250 a 0.500
De 0.250 a 0.500
No hay fuga o derrame externo
Hasta 0.250
Hasta 0.250
Hasta 0.250
Pgina 99 de 167
Tabla F.6-3 Matrices de Riesgo para aplicacin en PEMEX

1 Frecuencia/ao 6 5 4 3 2 1 C C C C C C Consecuencia 2 3 4 5 B B C C C C A B B B C C A A A A B C A A A A B B 6 Frecuencia/ao A A A A A B 6 5 4 3 2 1 Consecuencia 2 3 4 5 B B B B B C A A A A A B A A A A A A A A A A A A
1 C C C C C C
6 A A A A A A
Daos al personal
Consecuencia 2 3 4 5 B B B C C C A B B C C C A A B B C C A A A A B C
Daos a la poblacin
Consecuencia 2 3 4 5 B B C C C C A B B C C C A A B B C C A A A B B C
1 Frecuencia/ao 6 5 4 3 2 1 C C C C C C
6 Frecuencia/ao A A A A A B 6 5 4 3 2 1
1 B C C C C C
6 A A A A A B
Impacto Ambiental
Daos a la instalacin/produccin/bienes de terceros/bienes de la nacin
Regin de Riesgo No Tolerable A (regin roja): Los riesgos de este tipo deben provocar acciones inmediatas para implantar las recomendaciones generadas en el anlisis de riesgos. El costo no debe ser una limitacin y el hacer nada no es una opcin aceptable. Estos riesgos representan situaciones de emergencia y deben establecerse Controles Temporales Inmediatos. Las acciones deben reducirlos a una regin de Riesgo ALARP y en el mejor de los casos, hasta riesgo tolerable. Regin de Riesgo ALARP B (As Low As Reasonably Practicable - Tan bajo como sea razonablemente prctico), (regin amarilla): Los riesgos que se ubiquen en esta regin deben estudiarse a detalle mediante anlisis de tipo costo-beneficio para que pueda tomarse una decisin en cuanto a que se tolere el riesgo o se implanten recomendaciones que permitan reducirlos a la regin de riesgo tolerable. Regin de Riesgo Tolerable C (regin verde): El riesgo es de bajo impacto y es tolerable, aunque pudieran tomarse acciones para reducirlo. Se debe continuar con las medidas preventivas que permiten mantener estos niveles de riesgo en valores tolerables. Nota 1. La clasificacin del riesgo analizado, corresponder al que resulte de la evaluacin de su frecuencia consecuencia, en cualquiera de las cuatro matrices, en primer lugar como Riesgo No Tolerable A, en segundo lugar como Riesgo ALARP B y finalmente, en tercer lugar como Riesgo Tolerable C.
Pgina 100 de 167
ANEXO G Anlisis de Arboles de Eventos (AAE)
Pgina 101 de 167
G.1 Propsito Proporcionar una gua a los analistas que requieran desarrollar un Anlisis de rboles de Eventos, para homologar su aplicacin en las instalaciones de Petrleos Mexicanos.
G.2 Referencias [1] NUREG CR/2300, Vol. 1. PRA Procedures Guide. A Guide to the Performance of Probabilistic Assesments for Nuclear Power Plants, 1983 [2] Guidelines for Hazard Evaluation Procedures with worked examples, CCPS, AICHE, 1992
[3] SAIC, CAFTA for Windows - Fault Tree Analysis System - User Manual, Science Applications International Corporation, Los Altos, California, 1996.
G.3 Principios de la Metodologa El Anlisis de rbol de Eventos es una herramienta analtica que ha sido frecuentemente usada para caracterizar el potencial de un accidente [1]. Un rbol de Eventos grficamente muestra los posibles resultados de un accidente a partir de un evento iniciador (la falla de un equipo especfico o error humano). Un Anlisis de rboles de Eventos (ETA, Event Tree Analysis) considera las respuestas de los sistemas de seguridad y de los operadores hacia el evento iniciador cuando se est determinando los resultados del accidente potencial. Los resultados del Anlisis de rboles de Eventos son secuencias de accidentes; que son un conjunto de fallas o errores que llevan a un accidente. Estos resultados describen los posibles resultados del accidente en trminos de la secuencia de eventos (xitos o fallas de las funciones de seguridad) que sigue un evento iniciador. Un Anlisis de rboles de Eventos es muy adecuado para analizar un proceso complejo que tiene varias capas de seguridad o procedimientos de emergencia para responder a especficos eventos iniciadores. Propsito Los rboles de eventos su usan para identificar los diversos accidentes que pueden ocurrir en un proceso complejo. Despus de que estas secuencias de accidentes individuales se identifican, las probabilidades de ocurrencia de las combinaciones especficas de las fallas que pueden desencadenar los accidentes, se pueden determinar usando el Anlisis de rboles de Fallas [2].
Pgina 102 de 167
Tipos de resultados Los resultados de un Anlisis de rboles de Eventos son las secuencias de eventos en las que se consideran el xito o la falla de los sistemas de seguridad que llevan a un resultado definido. Las secuencias de accidentes descritas en el rbol de eventos representan combinaciones lgicas AND de eventos; por consiguiente, estas secuencias pueden ponerse en forma de un modelo de rboles de falla para un anlisis ms cualitativo. El anlisis usa estos resultados para identificar debilidades de diseo y de procedimiento, y normalmente da recomendaciones para reducir la probabilidad y/o las consecuencias de los accidentes potenciales analizados [2].
G.4 Enfoque Tcnico El Anlisis de rboles de Eventos evala el potencial de un accidente que es el resultado de un tipo general de falla de equipo o un proceso alterado (conocido como un evento iniciador). A diferencia de un Anlisis de rboles de Fallas (un proceso de razonamiento deductivo), el Anlisis de rboles de Eventos es un proceso de razonamientos inductivo donde el analista comienza con un evento iniciador y desarrolla las posibles secuencias de eventos que llevan a un accidente potencial explicando tanto los xitos como las fallas de cualquiera de las funciones de seguridad asociadas cuando el accidente progresa. Los rboles de Eventos dan una manera sistemtica de registrar las secuencias de los accidentes y definen las relaciones entre los eventos iniciadores y los eventos subsecuentes que resultan en accidentes. Los rboles de Eventos son apropiados para analizar los eventos iniciadores que podran resultar en una variedad de resultados. Un rbol de Eventos resalta la causa inicial de accidentes potenciales y los mecanismos desde el evento iniciador hasta los efectos finales del evento. Cada rama del rbol de eventos representa una secuencia separada del accidente que es un conjunto claramente definido de las relaciones funcionales entre las funciones de seguridad de un evento iniciador.
G.5 Procedimiento para realizar un Anlisis de Arboles de Eventos El Anlisis de rboles de Eventos es una metodologa inductiva que evala las consecuencias que podran presentarse a partir de un evento determinado (evento iniciador). El anlisis parte del evento iniciador y desarrolla las posibles secuencias de eventos que llevarn a consecuencias potenciales. Esto permite analizar los escenarios posibles y establecer entre ellos una jerarqua en cuanto a su gravedad y posibilidad de ocurrencia, seleccionar situaciones de emergencia para su evaluacin cuantitativa y preparar respuestas a las mismas. Los rboles de Eventos son diagramas que muestran el desarrollo de secuencias de accidentes que comienzan con la ocurrencia del evento iniciador y progresan segn las respuestas de las acciones de mitigacin, principalmente de los sistemas de seguridad. El desarrollo del rbol de Eventos muestra los posibles resultados (estados finales) que pueden causar la ocurrencia del evento iniciador. El procedimiento general para realizar el Anlisis de rboles de Eventos (AAE) se muestra en la Figura G.5.1. A continuacin se describe el proceso que tiene como base el procedimiento propuesto en las Guas del AICHE [2] y la experiencia que el Grupo de Anlisis de Riesgos (GAR) ha adquirido en la realizacin de AAE, las etapas principales son:
Pgina 103 de 167
1. 2. 3. 4. 5. 6. 7. 8. 9.
Identificacin del (los) evento(s) iniciador(es) de inters. Seleccin de un evento iniciador. Recoleccin de informacin especfica. Identificacin de las funciones de seguridad diseadas para mitigar el evento iniciador y de los fenmenos que afectan la progresin fsica del evento. Construccin/Modificacin del rbol de eventos. Evaluacin cualitativa del rbol de eventos Evaluacin cuantitativa del rbol de eventos. Anlisis de Sensibilidad. Documentacin.
G.5.1 Identificacin del (los) evento(s) iniciador(es) de inters. El objetivo de esta etapa es identificar uno o varios eventos iniciadores que se utilizarn en la construccin de los rboles de eventos. Los eventos iniciadores se pueden identificar mediante el uso de metodologas como el HAZOP, FMEA, Qu pasa si? (What if?), entre otras, o bien a partir de necesidades especficas del estudio. La identificacin de los eventos iniciadores es una parte importante del AAE. El evento iniciador es considerado como la base del rbol de eventos y puede tener consecuencias muy diferentes dependiendo de las medidas de seguridad del sistema, de las acciones de los operadores del mismo y de las condiciones del medio. Para que la aplicacin del anlisis del rbol de eventos tenga sentido, el evento iniciador no debe estar demasiado cerca de los escenarios finales del rbol. Las diferentes progresiones que vayan resultando de desarrollar el rbol son consideradas como las ramas del rbol que conducen a diferentes estados finales (consecuencias).
Pgina 104 de 167

INICIO
Se requiere AAE
Identificacin de eventos iniciadores
Eventos definidos con el cliente u otras tcnicas
Seleccin del evento iniciador
Recoleccin de informacin especfica
Identificacin de las funciones de seguridad y a la fenomenologa que afecta progresin fsica del evento
Construccin/ Modificacin del rbol de eventos
Existe algn cambio propuesto durante la construccin del AE?
SI
NO Evaluacin cualitativa del rbol de eventos
Asignacin de probabilidades de xito/falla de encabezados correspondientes a funciones de seguridad o fenmenos fsicos
Anlisis de Sensibilidad
SI Se requiere hacer Anlisis de Sensibilidad?
Evaluacin cuantitativa del rbol de eventos
NO
Las funciones de seguridad son suficientes para mitigar las consecuencias del evento iniciador ?
NO Emisin de recomendaciones
SI Aceptacin del sistema
SI
Otro evento iniciador?
NO
FIN
Figura G.5.1 Procedimiento para realizar AAE
Pgina 105 de 167
El evento iniciador puede ser una falla de algn equipo del sistema, un error humano o un evento externo. Ejemplos de eventos iniciadores pueden ser: Ruptura de un cabezal de descarga de gas de turbocompresoras. Fuga de gas por vlvula de carga a un reactor. Prdida del sistema de remocin de calor de un reactor. Dosificacin incorrecta de la alimentacin a un reactor.
G.5.2 Seleccin de un evento iniciador. Se selecciona un evento iniciador, de los identificados en la actividad anterior, y se realizan las actividades descritas de los incisos 3 al 9 de acuerdo con los alcances del proyecto.
G.5.3 Recoleccin de informacin especfica. Es importante que la informacin especfica referente al proceso sea lo ms actualizada posible. La informacin se puede obtener de visitas e inspecciones a las instalaciones sujetas al anlisis, as como de entrevistas con el personal del grupo multidisciplinario (rea elctrica, mantenimiento, ingeniera de procesos, operacin, mecnica, diseo, seguridad, etc.) para conocer la respuesta del mismo ante situaciones de emergencia. Se debe contar con la siguiente documentacin: Diagramas de operacin (Diagramas de Tubera e Instrumentacin, Diagramas de Flujo de Proceso, Diagramas Unifilares, etc.), manuales de operacin, etc.
G.5.4 Identificacin de las funciones de seguridad diseadas para mitigar el evento iniciador y de los fenmenos que afectan la progresin fsica del evento. El xito o falla de las funciones de seguridad as como los fenmenos que afectan la progresin fsica del evento, determinan los posibles estados finales del rbol de eventos. Las funciones de seguridad y los fenmenos fsicos deben ordenarse en la forma cronolgica en la que se espera acten o se presenten. Los fenmenos fsicos son los sucesos que podran modificar la progresin del evento iniciador y que puede conducir a estados finales distintos. Las funciones de seguridad (sistemas de seguridad, acciones de operadores, etc.) que responden al evento iniciador son las defensas o las protecciones de las plantas contra las consecuencias del evento iniciador. Estas funciones de seguridad generalmente incluyen:
Pgina 106 de 167
Sistemas activos de respuesta automtica, sistemas de cierre automtico, sistemas contraincendio, sistemas de alivio de presin, etc. Alarmas que alertan al operador cuando el evento iniciador ocurre Acciones del operador diseadas a realizarse en respuesta a alarmas o a lo requerido en los procedimientos Sistemas pasivos, barreras o mtodos de contencin que tienen la intencin de limitar los efectos de los eventos iniciadores
G.5.5 Construccin/Modificacin del rbol de eventos. El objetivo de esta etapa es desarrollar el rbol de eventos que representa la progresin del evento iniciador evaluando las funciones de seguridad y obteniendo los estados finales. La construccin de un rbol de eventos se realiza de la siguiente manera: Se elabora un formato como el que se muestra en la Figura 5.5-1, Se escribe en la parte superior izquierda el evento iniciador, seguido de acuerdo al orden cronolgico, las funciones de seguridad o fenmenos fsicos, llamados encabezados. La lnea (rama) sobre el texto del evento iniciador representa la ocurrencia de ste hasta la actuacin u ocurrencia del segundo encabezado. Para la construccin del AE en cada encabezado se evala la falla (no ocurrencia, falso o negacin) y el xito (ocurrencia, verdadero o afirmacin) de los encabezados con respecto a la progresin del evento iniciador. Cada una de las evaluaciones da como resultado una rama del rbol. Normalmente la falla es desarrollada en la parte inferior y el xito constituye la rama superior. Si el encabezado no afecta la progresin del evento iniciador, la lnea se contina hasta el punto donde se encuentre la actuacin del siguiente encabezado. Para el caso del ejemplo genrico utilizado en este documento, las letras A, B, C y D son usadas para indicar la ocurrencia del encabezado y las letras testadas ( A , B , C y D ) indican la no ocurrencia del encabezado. Todas las ramas del AE deben evaluarse hasta un estado final. En las Figura G.5.6-1, G.5.7-1 y G.5.7-2 se representan las evaluaciones de las funciones de seguridad 1, 2, y 3 respectivamente del ejemplo genrico del rbol de eventos. La construccin del modelo del rbol de eventos se puede hacer mediante el uso de alguna herramienta computacional, tal como el cdigo ETA for Windows [3], entre otros.
Pgina 107 de 167
EVENTO INICIADOR (A)
FUNCIN DE SEGURIDAD 1 (B)
FUNCIN DE SEGURIDAD 2 (C)
FUNCIN DE SEGURIDAD 3 (D)
DESCRIPCIONES DE LA SECUENCIA DEL ACCIDENTE (ESTADO FINAL)
XITO EVENTO INICIADOR A
FALLA
Figura G.5.5-1 Primera etapa de la construccin del rbol de eventos
G.5.6 Evaluacin cualitativa del rbol de eventos. La siguiente etapa del procedimiento del Anlisis de rboles de Eventos es describir los estados finales. Los estados finales representan la variedad de resultados que puede seguir el evento iniciador. La importancia del anlisis cualitativo radica en que: En esta etapa se analizan los estados finales para conocer sus consecuencias y valorar su importancia cualitativa. Algunas secuencias llevan a estados similares y estas pueden agruparse, en la Figura G.5.8-1 se presenta un ejemplo genrico de la agrupacin de estados similares.
Pgina 108 de 167
FALLA
Figura G.5.6-1 Desarrollo de la primera funcin de seguridad en el ejemplo genrico del rbol de eventos.
G.5.7 Evaluacin cuantitativa del rbol de eventos. El objetivo de esta etapa es determinar la probabilidad o frecuencia de ocurrencia de cada uno de los estados finales. En esta etapa del proceso es necesario obtener las probabilidades de xito y falla de los encabezados correspondientes a las funciones de seguridad o fenmenos fsicos. Es importante mencionar que las probabilidades son complementarias entre s, lo que significa que si se asigna la probabilidad de xito de una rama, la probabilidad de falla ser el complemento de la unidad para ese encabezado. Estas probabilidades pueden ser calculadas a partir de: Bases de datos especficas para los componentes del sistema de seguridad. rboles de fallas Registros de mantenimiento. Registro de operacin del sistema. Datos proporcionados por el fabricante. Anlisis de Consecuencias Anlisis de confiabilidad humana.
Pgina 109 de 167
FALLA
Figura G.5.7-1 Desarrollo de la segunda funcin de seguridad en el ejemplo genrico del rbol de eventos
En la Tabla G.5.7-1 se presentan los modelos empleados para el clculo de probabilidad de falla de un componente.
Tabla G.5.7-1. Modelos empleados para el clculo de probabilidad de falla de un componente. Tipo de componente - Operacin continua (Modelo ) * No reparable * Reparable con vigilancia (monitoreo) * Reparable con pruebas peridicas - Operacin por demanda (Modelo ) , TD Q = 1 e -t t, t < 0.1 Q= Datos Frmula
TD 1+
TD, TD< 0.1
,T, TR , n(t)
Q=
+ TR
, TR< 0.1T
Q = 1- (1 - ) n(t) n(t) , n(t)<0.1
Pgina 110 de 167
Donde : Q = Indisponibilidad.
t
T
= Tasa de falla del componente por hora (aplicable en operacin o en espera) = Tiempo misin
= Tiempo entre pruebas.
TD = Tiempo promedio de reparacin por falla. TR = Tiempo de reparacin de la falla. = Tasa de falla del componente a la demanda.
n(t) = Nmero de demandas esperadas del componente en el tiempo t
Con las probabilidades asignadas a cada una de las ramas (xito y falla), se calcula la probabilidad o frecuencia para cada estado final. Este valor es el producto de las probabilidades de las ramas que aparecen en la trayectoria de cada una de las secuencias por la probabilidad o frecuencia del evento iniciador. La probabilidad condicional de los estados finales se obtiene cuando se asigna un valor de probabilidad igual a la unidad al evento iniciador. La frecuencia de los estados finales se obtiene cuando se asigna la frecuencia de ocurrencia del evento iniciador. El analista debe definir de manera precisa lo que implica cada uno de los estados finales, para con base en ello poder realizar las recomendaciones adecuadas para el sistema.
ABCD
DESCRIPCIN DE LA SECUENCIA DE ACCIDENTE PARA ABCD
ABCD XITO EVENTO INICIADOR A ABCD
DESCRIPCIN DE LA SECUENCIA DE ACCIDENTE PARA ABCD DESCRIPCIN DE LA SECUENCIA DE ACCIDENTE PARA ABCD DESCRIPCIN DE LA SECUENCIA DE ACCIDENTE PARA ABD DESCRIPCIN DE LA SECUENCIA DE ACCIDENTE PARA ABD
FALLA ABD
ABD
Pgina 111 de 167
Figura G.5.7-2. Descripcin de la tercera funcin de seguridad en el ejemplo genrico del rbol de eventos
G.5.8 Anlisis de Sensibilidad. El objetivo del Anlisis de Sensibilidad es cuantificar la reduccin de la probabilidad o frecuencia de ocurrencia de los estados finales con consecuencias ms relevantes al aplicar una o varias recomendaciones. Cuando el alcance del proyecto as lo contemple, esta actividad se desarrolla de la siguiente forma: A juicio del analista se selecciona una o ms de las recomendaciones. La aplicacin de las recomendaciones en el sistema puede ser evaluada realizando un nuevo rbol de eventos, o bien, modificando las probabilidades del xito o falla de los encabezados correspondientes. De esta forma se determina la reduccin en la frecuencia o probabilidad de los estados finales del AE.
Pgina 112 de 167
ABCD
DESCRIPCIN DE LA SECUENCIA DE ACCIDENTE PARA ABCD
xito
ABCD XITO EVENTO INICIADOR A ABCD
DESCRIPCIN DE LA SECUENCIA DE ACCIDENTE PARA ABCD DESCRIPCIN DE LA SECUENCIA DE ACCIDENTE PARA ABCD DESCRIPCIN DE LA SECUENCIA DE ACCIDENTE PARA ABD DESCRIPCIN DE LA SECUENCIA DE ACCIDENTE PARA ABD
FALLA ABD
Fracaso
ABD
Figura G.5.8-1. Ejemplo genrico de la agrupacin de estados similares en un rbol de eventos
G.5.9 Documentacin. La documentacin (ver seccin 8.4) de los resultados obtenidos en este anlisis debe incluir la versin final de: Descripcin del sistema analizado. Una discusin de la definicin del sistema. Identificacin y seleccin de eventos iniciadores. Para cada rbol de Eventos, el diagrama desarrollado. Para cada rbol de Eventos, la descripcin del evento iniciador y los encabezados. Esta descripcin debe incluir las bases de asignacin de la probabilidad de xito o falla de los encabezados (frecuencia del evento iniciador si fuera el caso). Los resultados obtenidos del anlisis cuantitativo (descripcin de los estados finales). Los resultados obtenidos del anlisis cuantitativo (frecuencia o probabilidad de ocurrencia de los estados finales). Un listado de las recomendaciones generadas de este anlisis y el resultado del anlisis de sensibilidad.
En la seccin G.6 se presentan algunos ejemplos de la aplicacin de los Anlisis de rboles de Eventos.
Pgina 113 de 167
G.6 Ejemplos G.6.1 Ejemplo 1 Identificacin del evento iniciador de inters. El Ing. R. C. Rodrguez tiene el inters de calcular la probabilidad de xito que implica el cambiar la llanta de su auto dado que ha sufrido una ponchadura de llanta. Seleccin de un evento iniciador. El evento iniciador es la ponchadura de llanta. Recoleccin de la informacin especfica Lo que se necesita para cambiar con xito una llanta es: una llave, un gato hidrulico, y la llanta de refaccin. Identificacin de las funciones de seguridad Al momento de presentarse la ponchadura de la llanta, lo primero que hace el Ing. R. C. Rodriguez es revisar si cuenta con una llave, en seguida si cuenta con el gato hidrulico y finalmente si cuenta con la refaccin. Construccin del rbol de Eventos En la Figura G.6.1-1 se presenta el rbol de Eventos correspondiente a la ponchadura de la llanta. Evaluacin cualitativa del rbol de eventos El estado final que corresponde a la secuencia ABC, significa que al presentarse el evento iniciador y al contar con la llave disponible (A), el gato hidrulico disponible (B) y la refaccin disponible (C), el estado final es el cambio exitoso de la llanta. La secuencia AB C , significa que no es posible el cambio de la llanta porque aunque se tenga la llave disponible y el gato hidrulico disponible, no se cuenta con la refaccin disponible ( C ). La secuencia A B , significa que no es posible el cambio de llanta porque aunque se cuente con la llave disponible, no se cuenta con el gato hidrulico disponible. La secuencia A , significa que no es posible el cambio de llanta porque no se cuenta con la llave disponible.
Pgina 114 de 167
Ponchadura de llanta
Llave disponible (A)
Gato disponible (B)
Refaccin disponible (C)
Estados finales
ABC
ABC
Evento iniciador
AB
Figura G.6.1-1 rbol de Eventos de la ponchadura de llanta
Evaluacin cuantitativa del rbol de eventos. Se puede emplear una frecuencia de ocurrencia del evento iniciador y se calcula la frecuencia de ocurrencia de los estados finales. Se puede emplear la probabilidad de ocurrencia del evento iniciador y se calcula la probabilidad de ocurrencia de los estados finales. Tambin se puede suponer que el evento iniciador ya ha ocurrido (P = 1) y se calcula la probabilidad condicional de ocurrencia de los estados finales.
Se necesitan datos para estimar la probabilidad de ocurrencia de los encabezados. En el caso de la llanta, y con base en la prctica a lo largo de varios aos, en el auto no se dispone de llave en promedio 15 das por ao. Los mismos en los que no se dispone del gato. Con base en estos datos la probabilidad de no disponer de la llave y del gato en un momento determinado a lo largo del ao son: PFA = PFB = (15 das/365 das) = 0.041
Pgina 115 de 167
Y la probabilidad de disponer de la llave y del gato es el complemento de la probabilidad de falla: PA = (1- PFA ) = 0.959 PB = (1- PFB ) = 0.959 Debido a diversos factores propios del entorno, no se dispone de llanta de refaccin en promedio 60 das al ao. As, la probabilidad de no disponer de la refaccin en un momento determinado a lo largo del ao es: PFC = (60 das/365 das) = 0.164 Y la probabilidad de disponer de la refaccin es: PC = (1- PFC ) = 0.836 En la Figura G.6.1-2 se muestra el rbol de eventos cuantificado
Gato disponible (B)
Estados finales
Frecuencia (ev/ao)
Probabilidad condicional
0.836 0.959 0.164 0.959
ABC
0.384
0.768
ABC
0.075
0.152
0.041 0.5 ev/ao
AB
0.019
0.039
0.041 A 0.020 0.041
Figura G.6.1-2 rbol de Eventos de la ponchadura de llanta cuantificado
La probabilidad del estado final deseado es 77%, mientras que los no deseados es del 23%, aproximadamente. Anlisis de sensibilidad Con base en los resultados cuantitativos se recomienda que cada vez que se cargue gasolina al auto, se verifique la disponibilidad de la llanta de refaccin. En promedio se recarga gasolina cada 7 das, por lo tanto:
Pgina 116 de 167
PFC = (7 das/365 das) = 0.019 PC = (1- PFC ) = 0.981
En la Figura G.6.1-3 se muestra el rbol de eventos cuantificado que se obtuvo en el anlisis de sensibilidad.
Gato disponible (B)
Estados finales
Frecuencia (ev/ao)
Probabilidad condicional
0.981 0.959 0.019 0.959
ABC
0.451
0.902
ABC
0.009
0.018
0.041 0.5 ev/ao
AB
0.019
0.039
0.041 A 0.021 0.041
Figura G.6.1-3 Anlisis de sensibilidad del rbol de Eventos de la ponchadura de llanta
La probabilidad del estados final deseado es 90%, mientras que los no deseados es del 10%, aproximadamente. Si an la probabilidad del estado final deseado es baja, es necesario identificar otras acciones para su reduccin.
Pgina 117 de 167
G.7 Ejemplo 2 Identificacin del evento iniciador de inters. Fuga grande en cabezal de descarga de gas de proceso (16 ), de una estacin de compresin de gas dulce. Comprime 55 MMPCD de 4 kg/cm2 a 24 kg/cm2 En la Figura G.7-1 se presenta el diagrama simplificado de la estacin de compresin de gas dulce.
DESCARGA GENERAL
SEPARADOR 1 LLEGADA 1
COMPRESORA 1
COMPRESORA 2 LLEGADA 2 SEPARADOR 2
COMPRESORA 3
LLEGADA 3
CABEZAL DE DESCARGA
CABEZAL DE RECEPCIN RECEPCI
QUEMADOR
Figura G.7-1 Diagrama simplificado de la estacin de compresin de gas dulce
Seleccin de un evento iniciador. El evento iniciador es la Fuga grande en cabezal de descarga de gas de proceso (16 ) Recoleccin de la informacin especfica Cuenta con procedimiento de paro de emergencia pero no cuenta con dispositivos automticos de aislamiento No cuenta con detectores de mezcla explosiva Cuenta con equipo de comunicacin a central contraincendio
Pgina 118 de 167
Puede contar con auxilio calificado, externo a la instalacin, hasta aproximadamente una hora despus de reportar un evento
Identificacin de las funciones de seguridad Los fenmenos que afectan a la progresin fsica del evento son: a) Progresin fsica Ignicin inmediata - Dardo de fuego (jet fire) Formacin de nube - Nube inflamable + Incendio de nube + Explosin de nube no confinada Y los sistemas de seguridad son: Aislamiento manual de la fuga por el operador Notificacin a la central contraincendio por operador Aislamiento de la fuga en localidades externas a la instalacin
Construccin del rbol de Eventos El rbol de eventos se construy empleando el software ETA, ver Figura G.7-1. Evaluacin cualitativa del rbol de eventos Algunos de los estados finales que se obtienen son: Operador Afectado por ignicin, imposibilitado para tomar acciones, fuga no controlada (IGN_OP_AFEC) El operador no logra el aislamiento manual en el largo plazo (Nube_LP, IGN_LP, IGN_MLP) Fenmenos fsicos (Dardo de fuego, Nube)
Evaluacin cuantitativa del rbol de eventos. En la Figura G.7-2 se presenta rbol de eventos ya cuantificado. A continuacin se presentan algunos resultados: Operador Afectado por ignicin, imposibilitado para tomar acciones, fuga no controlada (IGN_OP_AFEC), 89.70% El operador no logra el aislamiento manual en el largo plazo: Nube_LP, 4.97%; IGN_LP, 4.67%; IGN_MLP, 0.05% Fenmenos fsicos, Dardo de fuego 0.59%; Nube 1x10-6 %
Algunas inferencias a partir de los resultados:
Pgina 119 de 167
La secuencia con mayor probabilidad condicional es aquella en la que el operador se afecta y est imposibilitado a tomar acciones correctivas. El control del incidente radica en gran medida en acciones del operador. Las secuencias en las que el operador asla la fuga con xito son poco probables. Lo anterior debido a que la accin de aislamiento tiene que ser manual, lo que toma mucho tiempo, demanda un esfuerzo fsico considerable bajo condiciones muy adversas.
Algunas recomendaciones Instalar dispositivo automtico de aislamiento rpido en la descarga Instalar alarma por demanda de aislamiento e indicador de actuacin de aislamiento Instalar interruptor de aislamiento remoto en cuarto de control Instalar vlvula anti-retorno en la descarga Desarrollar programa de mantenimiento y pruebas a dispositivo de aislamiento en la descarga, as como a vlvula anti-retorno Desarrollar procedimiento de aislamiento de emergencia
Figura G.7-2 rbol de eventos cuantificado para la fuga en el cabezal de descarga de proceso (16 ) de una estacin de compresin de gas dulce.
Pgina 120 de 167
Anlisis de sensibilidad En el anlisis de sensibilidad se implement en el modelo del rbol de eventos, que el sistema cuente con un dispositivo automtico de aislamiento en la descarga. En la Figura G.7-3 se presenta el anlisis de sensibilidad.
Figura G.7-3 Anlisis de sensibilidad para la fuga en el cabezal de descarga de proceso (16 ) de una estacin de compresin de gas dulce.
Algunos resultados que se obtuvieron al aplicar el anlisis de sensibilidad son: Aislamiento exitoso de la fuga por ESD, 99%. Operador Afectado por ignicin, imposibilitado para tomar acciones, fuga no controlada (IGN_OP_AFEC), 0.90 % El operador no logra el aislamiento manual en el largo plazo: Nube_LP, 0.05%; IGN_LP, 0.05%; IGN_MLP, 5 x 10 -4 % Fenmenos fsicos, Dardo de fuego 0.01%; Nube 1x10-8 %
Pgina 121 de 167
ANEXO H Anlisis de Arboles de Fallas (AAF)
Pgina 122 de 167
H.1 Propsito Proporcionar una gua a los analistas que requieran desarrollar un Anlisis de rboles de Fallas (AAF), para homologar la aplicacin de la metodologa en las instalaciones de Petrleos Mexicanos.
H.2 Referencias [1] [2] [3] [4] [5] [6] [7] [8] USNRC: NUREG 0492, Fault Tree Handbook, January, 1981. IEC 61025: International Standard, Fault Tree Analysis, 2006 NASA Office of Safety and Mission Assurance: Fault Tree Handbook for Aerospace Applications, Version 1.1, 2002 SAIC, CAFTA for Windows - Fault Tree Analysis System - User Manual, Science Applications International Corporation, Los Altos, California, 1996. Santamara J. M. Anlisis y reduccin de riesgos en la industria qumica, Editorial Mafre, Madrid, 1994. Swain A. D., Accident Sequence Evaluation Program NUREG/CR-4772, 1987. Human Reliability Analysis Procedure,
Lees F. P., Loss Prevention in the Process Industries: Hazard Identification, Assessment and Control, Butterworths-Heinemann, Londres, Second Edition, 1996. Guidelines for Hazard Evaluation Procedures with worked examples, CCPS, AICHE, 1992.
H.3 Principios de la Metodologa El Anlisis de rboles de Fallas (AAF) es una metodologa deductiva y sistemtica para analizar la seguridad de sistemas complejos durante sus etapas de diseo, construccin y operacin. El fundamento del AAF es representar fallas en sistemas mediante diagramas lgicos o rboles de Fallas. Algunas aplicaciones del AAF son las siguientes: Cuantificar la seguridad y confiabilidad de sistemas. Localizar los puntos dbiles de sistemas. Determinar la mejor ubicacin de sensores de diagnstico. Establecer polticas de inspeccin y mantenimiento. Generar estrategias de localizacin de fallas. Analizar accidentes.
Un rbol de fallas es un diagrama lgico-grfico en el cual se describen todas las combinaciones crebles de fallas o eventos normales que causan un evento indeseado (denominado evento tope). Algunos ejemplos de eventos tope son los siguientes: Incendio de un transformador. Incendio de un tanque de almacenamiento.
Pgina 123 de 167
Explosin de un generador de vapor. Paro del turbogenerador.
Las fallas que se incluyen en un rbol de fallas pueden ser originadas por: Errores humanos. Fallas en el equipo. Eventos de otra ndole (ejemplos: condiciones climatolgicas, acciones de sabotaje, etc.).
Las fallas de equipo se clasifican, a su vez, en tres categoras: Falla primaria: involucra la falla de un componente operando bajo las condiciones normales de diseo u operacin. Falla secundaria: involucra la falla de un componente operando fuera de las condiciones normales de diseo u operacin. Falla de comando: involucra la operacin inadecuada del componente, esto es, fuera de lugar o del tiempo de operacin normal. Se debe interpretar como la falla del comando que controla la operacin del componente.
Al construir un rbol de fallas es importante hacer una clara determinacin de las interrelaciones entre eventos. Para este fin, es de particular utilidad tener presentes los siguientes conceptos: Efectos de falla: son las consecuencias que originan la falla de un componente. Modos de falla: son los que especifican el cmo un equipo deja de cumplir su funcin. Mecanismos de falla: consideran la forma en que un modo de falla puede ocurrir, es decir especifica el por qu de la falla.
El procedimiento para realizar un AAF se ilustra en la Figura H.3-1
Pgina 124 de 167
INICIO
Se requiere AAF
Identificacin de eventos tope Seleccin del evento tope Recoleccin de datos sobre equipo y componentes del sistema Construccin / Modificacin del rbol de fallas basada en la configuracin del sistema Existe algn cambio propuesto durante la construccin del rbol? NO Evaluacin cualitativa del rbol de fallas
Eventos definidos con el cliente u otras tcnicas
SI
Existe algn cambio propuesto? NO Se requiere evaluar cuantitativamente el rbol? SI Recopilacin datos de falla
SI
NO A
Anlisis de Sensibilidad SI Se requiere hacer Anlisis de Sensibilidad? NO
Evaluacin cuantitativa del rbol de fallas Es aceptable la probabilidad o frecuencia de ocurrencia del evento tope? NO Se requiere emitir recomendaciones? NO Aceptar el sistema SI NO FIN SI
SI
Emisin de recomendaciones
Otro evento tope?
Figura H.3-1. Procedimiento para realizar un AAF
Pgina 125 de 167
H.4 Procedimiento para realizar un AAF Las etapas principales para realizar el Anlisis de rboles de Fallas. Son las siguientes: Identificacin de eventos tope. Seleccin del evento tope. Recoleccin de datos sobre el equipo y componentes del sistema. Construccin/Modificacin del rbol de fallas basado en la configuracin del sistema. Evaluacin cualitativa del rbol de fallas. Evaluacin cuantitativa del rbol de fallas. Anlisis de Sensibilidad. Documentacin.
H.4.1 Identificacin de eventos tope El evento tope est relacionado generalmente con una falla catastrfica del sistema a analizar. La informacin proporcionada por el rbol de Fallas depende de la seleccin del evento tope e influye sobre la estructura del rbol. Los eventos tope pueden ser identificados mediante: La aplicacin de metodologas cualitativas como: HAZOP, Qu pasa si??, FMEA, etc. Los encabezados de los rboles de Eventos. Por necesidades especficas.
H.4.2 Seleccin del evento tope. Se selecciona un evento tope, de los identificados en la actividad anterior, y se realizan las actividades descritas en las secciones H.4.3 a H.4.8 de acuerdo con el alcance del proyecto.
H.4.3 Recoleccin de datos sobre el equipo y componentes del sistema. En esta etapa de recopilacin de informacin se definen las fronteras del sistema de estudio. Es importante que la informacin especfica referente al proceso sea lo ms actualizada posible, alguna de la informacin podra obtenerse a partir de visitas e inspeccin a las instalaciones sujetas al anlisis, as como de entrevistas con el personal de operacin para conocer sus acciones sobre el equipo y componentes del sistema. Adicionalmente se requiere la verificacin de programas de mantenimiento. Entre la informacin que es necesario obtener, en esta etapa del anlisis, se encuentra la siguiente: Diagramas de operacin (Diagramas de Tubera e Instrumentacin, Diagramas de Flujo del Proceso, Diagramas Unifilares, etc.). Manuales de operacin. Equipo de personal multidisciplinario (rea elctrica, mantenimiento, ingeniera de procesos, operacin, mecnica, diseo, seguridad, etc.).
Pgina 126 de 167
H.4.4 Construccin/Modificacin del rbol de fallas basado en la configuracin del sistema. El objetivo de esta etapa es desarrollar el rbol de fallas que represente las secuencias de fallas que llevan a la ocurrencia del evento tope. Existen cuatro reglas fundamentales para la construccin de rboles de fallas las cuales se enuncian a continuacin: Regla declaracin del evento. Escribir dentro del smbolo del evento el enunciado que describa de manera precisa y concreta las causas que provocan la falla. Este enunciado debe de responder a las cuestiones en dnde y en qu parte del sistema se encuentra la desviacin o falla. Se permiten abreviaciones de palabras pero no de ideas. Regla No milagros. Si la operacin normal del sistema propaga la secuencia de la falla, se supone que el equipo funciona normalmente. No se debe suponer que un evento inesperado (milagro), fuera de la funcin normal del equipo, evite la secuencia de la falla. Regla compuerta completa. Todos los eventos de una compuerta se deben definir antes de continuar con el desarrollo de otra compuerta. Regla no compuerta a compuerta. Las compuertas no deben ser directamente unidas a otras compuertas sin que exista entre ellas un evento intermedio. El evento intermedio debe contener la descripcin de las entradas de la compuerta. Para la construccin del modelo del rbol de fallas se utilizan los smbolos de eventos que se presentan en la Tabla H.4.4-1 y los smbolos de compuertas que se presentan en la Tabla H.4.4-.2.
Pgina 127 de 167
Evento Bsico. Describe una condicin normal o de falla en el rbol (falla de equipo, errores humanos, etc.). Los eventos bsicos definen el nivel de resolucin del rbol.
Evento no desarrollado. Falla especfica en la cual no se han desarrollado las causas de ocurrencia de este evento por falta de informacin, o bien, por considerarse poco relevante.
Evento Condicionante. Indica una condicin o restriccin aplicada a cualquier compuerta lgica.
Evento Externo. Evento tipo switch (tambin conocido como evento casa). A este evento slo puede asignrsele el valor de verdadero (el evento ocurre), o bien un valor de falso (el evento no ocurre).
Evento Intermedio. Falla que describe la seal de salida de una compuerta lgica.
Tabla H.4.4-1 Smbolos de eventos utilizados en la construccin de rboles de fallas
Pgina 128 de 167
Compuerta OR. El evento de salida ocurre si uno o ms de los eventos de entrada ocurren.
Compuerta AND. El evento de salida ocurre si todos los eventos de entrada ocurren.
Compuerta INHIBIT. Existe slo un evento de entrada, pero para que el evento de salida ocurra debe cumplirse una condicin especfica.
Compuerta EXCLUSIVE OR. El evento de salida ocurre slo uno de los eventos de entrada ocurre (no ambos).
Compuerta PRIORITY AND. El evento de salida ocurre slo si los eventos de entrada ocurren con una secuencia especfica
OUT IN
Smbolos de TRANSFERENCIA. Son usados como una forma conveniente de evitar duplicados.
Tabla H.4.4-2. Smbolos de compuertas utilizados en la construccin de rboles de fallas
Pgina 129 de 167
En esta etapa se siguen los siguientes lineamientos: Se construye para un modo de falla especfico del sistema (evento tope seleccionado). Los mecanismos de fallas no son exhaustivos. Slo incluyen las fallas crebles, determinadas por el evento tope y el juicio de los analistas. La construccin se realiza mediante el anlisis de las causas inmediatas que ocasionan el evento tope. Los eventos intermedios se unen mediante el uso de compuertas lgicas (Tabla H.4.4-2). Los eventos bsicos y no desarrollados (Tabla H.4.4-1) determinan el nivel de resolucin del rbol de fallas. Las modificaciones del rbol dependen de las revisiones que se realicen conforme avanza la construccin del mismo. Pueden agregarse o borrarse eventos, o bien, modificarse la estructura del rbol (ramas del rbol).
En esta etapa se recomienda iniciar la documentacin de eventos bsicos, para la cual debe hacerse uso del formato ilustrado en la Tabla H.4.4-.3. Esta informacin incluye:
Formato de documentacin de eventos bsicos

rbol de Fallas de (Nombre del Evento Tope)
Nombre
Descripcin
Tipo
Explicacin
Probabilidad
Bases para asignacin de probabilidad Tabla H.4.4-3. Formato de documentacin de eventos bsicos
Pgina 130 de 167
Nombre. En este campo se escribe el nombre del evento asignado durante la construccin del rbol (descriptor corto del evento bsico). Descripcin. Texto del evento tal cual se presenta en el rbol de fallas, incluyendo abreviaciones. En la construccin del rbol se permite abreviacin de palabras pero no de ideas. Tipo. Especifica la clase de evento: Probabilstico (eventos que involucran la falla de equipo o componentes). Humano (eventos que involucran las acciones del personal de la instalacin). Externo o fenomenolgico (eventos que involucran condiciones que pueden provocar una falla en el sistema). Explicacin. Describe de manera detallada las condiciones que se tomaron como base para la ocurrencia del evento. Si existe una abreviacin en la descripcin del evento, se debe escribir el significado completo del texto. Probabilidad. Este campo contiene la probabilidad de falla del evento bsico. Bases para la asignacin de probabilidad. Este campo describe los criterios empleados para la asignacin de la probabilidad del evento bsico. Detalla las referencias utilizadas para obtener los datos y tasas de fallas, mtodos y modelos matemticos aplicados para evaluar la probabilidad de ocurrencia.
H.4.5 Evaluacin cualitativa del rbol de Fallas El objetivo de esta etapa es obtener los Conjuntos Mnimos de Corte (CMC) del rbol desarrollado y hacer una valoracin de los eventos ms importantes en trminos cualitativos. Una vez construido el rbol puede evaluarse para obtener resultados cualitativos y cuantitativos. Para obtener esos resultados se requiere aplicar reglas del lgebra Booleana y algunos conceptos de Probabilidad [1,2,3]. Para reducir considerablemente el tiempo empleado para realizar los clculos de forma manual, puede hacerse uso de alguna herramienta computacional, por ejemplo el cdigo CAFTA for Windows [4]. En la evaluacin cualitativa se obtienen los Conjuntos Mnimos de Corte (CMC) y el orden de los mismos. Los CMC son combinaciones mnimas de eventos bsicos que provocan la ocurrencia del evento tope. Se pueden considerar como los modos de ocurrencia del evento tope. El orden de un CMC est determinado por el nmero de eventos bsicos que incluye, de esta forma, un CMC de orden dos (o segundo orden) est integrado por dos eventos bsicos; un CMC de orden tres (o tercer orden) est integrado por tres eventos bsicos, y as sucesivamente.
Pgina 131 de 167
La importancia cualitativa de un CMC es determinada por el orden, es decir, el nmero de eventos bsicos incluidos en el CMC. Estos CMC son relevantes, puesto que se considera ms probable que ocurra el CMC de menor orden. La evaluacin cualitativa permite verificar de manera sistemtica la consistencia del modelo, ya que es un excelente mecanismo de revisin entre los analistas y personal con experiencia operacional. H.4.6 Evaluacin cuantitativa del rbol de fallas. El objetivo de esta etapa es obtener la probabilidad de ocurrencia del evento tope, as como de cada uno de los CMC del rbol desarrollado e identificar los eventos de mayor contribucin en la ocurrencia del evento tope. Una vez obtenidos los CMC, la evaluacin cuantitativa se desarrolla de una manera secuencial, primero se asignan las probabilidades de falla de los eventos bsicos, luego se calcula la probabilidad de falla de los CMC (el clculo se obtiene multiplicando las probabilidades de los eventos bsicos incluidos en el CMC); y por ltimo se obtiene la probabilidad de falla del evento tope (el resultado aproximado se obtiene con la sumatoria de las probabilidades de los CMC). Para llevar a cabo esta cuantificacin es necesario obtener las tasas de fallas para la asignacin de probabilidades de los eventos bsicos. La informacin requerida es obtenida de diversas fuentes: Bibliografa especializada (bases de datos genricas y especficas). Tablas de programas de mantenimiento. Registros de operacin del sistema. Datos proporcionados por el fabricante. Resultados del Anlisis de Consecuencias. Anlisis de confiabilidad humana.
Alguna de la bibliografa especializada en donde se encuentran datos de falla de componentes son las siguientes: CCPS/AICHE, Guidelines for process equipment reliability data, 1989 IEEE, Guide to the Collection and Presentation of Electrical, Sensing Component, and Mechanical Equipment Reliability Data for NPG stations, IEEE std 500-1984 OREDA, Offshore Reliability Data, SINTEF, 4th Edition, 2002 IAEA Survey of Ranges of Component Reliability Data for Use in PSA, IAEA-TECDOC-508,1998 Para calcular la probabilidad de falla de un componente es necesario conocer su modo de operacin (continua o por demanda), si el componente es reparable, si su funcionamiento es monitoreado, si cuenta con un programa de mantenimiento y la frecuencia del mismo. Estos datos determinan el modelo que se emplear para calcular la probabilidad de falla del componente. En la Tabla H.6-1 se encuentra una tabla con los modelos matemticos que se utilizan para calcular la probabilidad de falla de equipos.
Pgina 132 de 167
Tipo de componente - Operacin continua (Modelo ) * No reparable * Reparable con vigilancia (monitoreo) * Reparable con pruebas peridicas - Operacin por demanda (Modelo )
Datos
Frmula
, TD
Q = 1 e -t t, t < 0.1 Q=
TD 1+ T
TD, TD< 0.1
,T, TR , n(t)
Q=
+ TR
, TR< 0.1T
Q = 1- (1 - ) n(t) n(t) , n(t)<0.1
Tabla H.4.6-1. Modelos empleados para el clculo de la probabilidad de falla de un componente
Donde: = Tasa de falla del componente por hora (aplicable en operacin o en reserva) TD = Tiempo promedio de reparacin por falla. T = Tiempo entre pruebas. TR = Tiempo requerido para llevar a cabo la prueba. = Tasa de falla del componente por demanda. n(t) = Nmero esperado de demandas del componente por hora. Para asignar el valor de probabilidad a eventos ocasionados por error humano, se sugiere emplear mtodos para evaluacin de la confiabilidad humana, tal como el TESEO [5] o ASEP [6], o bien, utilizarse datos genricos (Ver Referencia: [7], pg. 14/09, Tabla 14.15; y [5], pg. 297, Tabla 6.3). Despus de asignar las probabilidades de los eventos bsicos (se debe hacer uso del formato de la Tabla H.4.4-.3 para su documentacin) se procede a calcular la probabilidad de ocurrencia del evento tope y se analizan los CMC que tienen una mayor contribucin a la ocurrencia de dicho evento. Cuando el rbol de fallas posee un nmero muy extenso de CMC se requiere definir un criterio de corte tanto para el anlisis cualitativo y cuantitativo. Esto es con el objeto de facilitar la identificacin de los eventos de mayor importancia para la ocurrencia del evento tope y reducir el tiempo de anlisis [1,2,3]. Este criterio de corte puede ser definido por el orden de los CMC, o bien, puede ser determinado por un valor de corte de acuerdo a la probabilidad de ocurrencia de los CMC. El analista es responsable de determinar estos valores de corte.
Pgina 133 de 167
H.4.7 Anlisis de Sensibilidad. El objetivo de esta etapa es evaluar la probabilidad de ocurrencia del evento tope, dada la incorporacin de recomendaciones tendientes a reducir la probabilidad de falla del sistema. Cuando el alcance del proyecto as lo contemple, esta actividad es desarrollada. Una vez realizados las evaluaciones cualitativas y cuantitativas del rbol de fallas desarrollado en el anlisis, se identifican los eventos bsicos que tienen mayor relevancia en la ocurrencia del evento tope. De acuerdo con esto, se proponen acciones correctivas o recomendaciones tendientes a disminuir la probabilidad de ocurrencia de estos eventos bsicos, y por consiguiente, la reduccin en la probabilidad del evento tope. En esta etapa se evala la aplicacin de las recomendaciones en el rbol de fallas mediante la incorporacin de las modificaciones pertinentes: Se modifican las probabilidades de ocurrencia para los eventos bsicos en que se han aplicado las recomendaciones. Se modifica la estructura del rbol de fallas (se agregan ramas al rbol). Con estas modificaciones se obtiene el anlisis de la proporcin de la reduccin de la probabilidad de ocurrencia de este evento tope y las conclusiones finales del anlisis.
H.4.8 Documentacin. La documentacin de los resultados obtenidos en este anlisis, de acuerdo con el alcance del proyecto, debe incluir: Las suposiciones hechas para desarrollar el(los) rbol(es). El(los) rbol(es) de fallas desarrollado(s). La lista de los CMC obtenidos en las evaluaciones. La documentacin de eventos bsicos del rbol de fallas. Los resultados obtenidos del anlisis de sensibilidad. Un listado con las recomendaciones generadas de este anlisis.
Pgina 134 de 167
H.5 Ejemplo de Aplicacin del AAF Se cuenta con un sistema que suministra agua a travs de la lnea primaria hacia la descarga de la Bomba D (Ver Figura H.5-1). Se cuenta con una lnea secundaria de respaldo de suministro de agua. La funcin del sistema es proveer ininterrumpidamente agua al sistema de seguridad por tres horas.
(Normalmente cerrada)
LINEA SECUNDARIA TANQUE A VALVULA MANUAL A1
BOMBA D
(Normalmente abierta)
MEDIDOR DE FLUJO
F
TANQUE B VALVULA MANUAL B1
LINEA PRIMARIA
Figura H.5-1. Sistema de suministro de agua
A continuacin se presenta el rbol de fallas (Ver Figura H.5-2) construido para el evento tope: Falla a mantener el flujo de agua por tres horas. En esa figura se presentan los datos de falla que han sido utilizados para cuantificar los eventos bsicos. El clculo de la probabilidad del evento tope se realiza por tres mtodos: Por compuertas Con aproximacin de la compuerta OR (sumatoria) Por Conjuntos Mnimos de Corte (CMC)
Pgina 135 de 167
** La asignacin de probabilidad de estos eventos se

hace con tcnicas de anlisis de Confiabilidad Humana
1.08E-02 n(t) n(t)

= 1.08E-02 /d
8.76E-04 t,t=3h
= 2.92E-04/h
4.31E-02 t
t = 5 aos = 9.85E-07/h
3.28E-04 T/2
T = 6 meses = 1.52E-07/h
3.28E-04 T/2
T = 6 meses = 1.52E-07/h
4.31E-02 t
t = 5 aos = 9.85E-07/h
3.0E-05
**
4.78E-04 TD / (1+ TD)
TD = 16 h = 3E-04/h
3.0E-02
**
Figura H.5-2. rbol de Fallas para el sistema de suministro de agua
Clculo de la Probabilidad del evento tope por compuertas

POR = 1- (1- Pi)
i=1 m
PAND = Pi
i=1
P(G4) = 1- (1-P(TB))(1-P(B1H))(1-P(B1C)) = 1- (1-4.31E-02) (1- 3.0E-05) (1-3.28E-04) = 4.34E-02 P(G8) = 1- (1-P(FF))(1-P(A1H)) = 3.046E-02 P(G7) = 1- (1-P(G8))(1-P(A1C))(1-P(TA)) = 7.25E-02 P(G2) = (P(G4)) (P(G7)) = 3.15E-03 P(G1) = 1- (1-P(BA))(1-P(BO))(1-P(G2)) P(G1) = 1.478E-02 P(G1) 1.478E-
Pgina 136 de 167
Clculo de la Probabilidad del evento tope con aproximaciones de la compuerta OR P OR = P i

i=1 m
PAND = Pi
i=1
P(G4) = P(TB) + P(B1H) + P(B1C) = 4.31E-02 + 3.0E-05 + 3.28E-04 = 4.3458E-02 P(G8) = P(FF) + P(A1H) = 3.0478E-02 P(G7) = P(G8) + P(A1C) + P(TA) = 7.3906E-02 P(G2) = P(G4) * P(G7) = 3.2118E-03 P(G1) = P(BA) + P(BO) + P(G2) P(G1) = 1.4887E-02 P(G1) 1.4887EClculo de la Probabilidad del evento tope por CMC
PCMCi = Pij
j=1
PTOPE 1- (1- PCMCi)

Prob. (1-PCMC)
0.9892 0.99814 0.99871 0.999124 0.999794 0.9999859 0.9999859 0.99999016 0.99999843 0.99999871 0.9999991 0.999999857 0.999999892 0.99999999016
CMC
BA TA A1H B0 FF A1C B1C A1H B1C B1H A1H B1H A1C A1C TB TB TB TB TA B1C FF TA B1H FF B1C B1H
Prob. CMC
1.08E-02 1.86E-03 1.29E-03 8.76E-04 2.06E-04 1.41E-05 1.41E-05 9.84E-06 1.57E-06 1.29E-06 9.00E-07 1.43E-07 1.08E-07 9.84E-09
P(G1) = 1- 0.984978 P(G1) =1.50E-02 P(G1) =1.50E-
Pgina 137 de 167
De acuerdo con el sistema y su respectivo rbol de fallas del ejemplo mostrado en el anlisis cuantitativo se desarroll el anlisis de sensibilidad. Dado el anlisis cuantitativo se identifican los eventos de mayor relevancia. Los eventos que tienen una contribucin importante a la probabilidad del evento tope se han sealado en el recuadro en amarillo siguiente:
CMC
BA TA A1H B0 FF A1C B1C A1H B1C B1H A1H B1H A1C A1C TB TB TB TB TA B1C FF TA B1H FF B1C B1H
Prob. CMC
1.08E-02 1.86E-03 1.29E-03 8.76E-04 2.06E-04 1.41E-05 1.41E-05 9.84E-06 1.57E-06 1.29E-06 9.00E-07 1.43E-07 1.08E-07 9.84E-09
Prob. (1-PCMC)
0.9892 0.99814 0.99871 0.999124 0.999794 0.9999859 0.9999859 0.99999016 0.99999843 0.99999871 0.9999991 0.999999857 0.999999892 0.99999999016
P(G1) = 1- 0.984978 P(G1)B =1.50E-02 P(G1) =1.50E-
Para el evento BA (Bomba D falla a arrancar) se recomienda instalar otra bomba de relevo (R) que deber actuar cuando falle la bomba D. As el sistema cambiara de la siguiente forma que se ilustra en la Figura H.5-3:
Figura H.5-3. Modificacin del sistema de suministro de agua
Pgina 138 de 167
Dado que hay un cambio en la configuracin del sistema, se requiere modificar la estructura del rbol de fallas para realizar el anlisis de sensibilidad. El nuevo rbol de fallas, con la recomendacin implantada, se presenta en la Figura H.5-4.
Esta rama permanece igual que en el caso base.
Figura H.5-4. rbol de fallas modificado del sistema de suministro de agua
Realizando la cuantificacin del rbol se obtiene: P(G1)R1 =3.53E-03 Para los eventos TA y TB (Ruptura en el tanque de almacenamiento de agua A, B) se recomienda disminuir el tiempo entre mantenimiento de los tanques (operacin continua) de 5 aos a 3 aos. Esto no afecta la estructura del rbol del sistema base, slo es necesario cambiar las probabilidades de los eventos bsicos TA y TB.
TAB = TBB = t = 9.85E-07/h * 5 aos = 4.31E-02 TAR2 = TBR2 = t = 9.85E-07/h * 3 aos = 2.59E-02
Realizando la cuantificacin del rbol se obtiene: P(G1)R2 =1.32E-02 De esta forma se determina cunto se reduce la probabilidad al implantar cada recomendacin.
Pgina 139 de 167
RECOMENDACIN Instalar otra bomba de reserva (R) a falla de la bomba D.

Disminuir
Caso
Prob. Caso Base
Prob. Caso Factor de sensib. red.
% de red.
R1 R2
1.50E-2 1.50E-2
3.53E-3 1.32E-2
4.249 1.136
76.4 12.0
el tiempo entre mantenimiento del tanque de 5 aos a 3 aos. R2)
Ambas recomendaciones (R1 y
R1 y R2
1.50E-2
1.73E-3
8.670
88.4
Pgina 140 de 167
ANEXO I Anlisis de Consecuencias (AC)
Pgina 141 de 167
I.1 Alcance Proporcionar una gua a los analistas que requieran desarrollar un Anlisis de Consecuencias de escenarios de riesgo por fugas o derrames de sustancias peligrosas, para homologar la aplicacin de criterios en su desarrollo. I.2 Referencias [1] [2] [3] [4] [5] [6] [7] Guidelines for Consequence Analysis of Chemical Releases, CCPS, AICHE, 1999. Guidelines for Chemical Process Quantitative Risk analysis, CCPS, AICHE, 1989. Lees, F.P., Loss Prevention in the process industries, 2nd., ed., 1996. NIOSH Pocket Guide to Chemical Hazards, Department of Health and Human Services, September 2007, DHHS (NIOSH) 2005-149. Criterios tcnicos para simular escenarios de riesgo por fugas y derrames de sustancias peligrosas, en instalaciones de Petrleos Mexicanos, vigente. Gua para la presentacin del estudio de riesgo ambiental, ANLISIS DETALLADO DE RIESGO, niveles 1, 2 y 3, SEMARNAT, noviembre 2002. NOM010 STPS1999, Condiciones de seguridad e higiene en los centros de trabajo donde se manejen, transporten, procesen o almacenen sustancias qumicas capaces de generar contaminacin en el medio ambiente laboral
I.3 Principios de la Metodologa Se entiende por anlisis de consecuencias la evaluacin cuantitativa de la evolucin espacial y temporal de las variables fsicas representativas de los fenmenos peligrosos en los que intervienen sustancias peligrosas, y sus posibles efectos sobre las personas, el medio ambiente y los bienes, con el fin de estimar la naturaleza y magnitud del dao. El Anlisis de Consecuencias (AC) de incendios, explosiones y nubes txicas es una metodologa de Anlisis de Riesgos que permite estimar la medida de los efectos esperados de la ocurrencia de un evento potencialmente peligroso. Mediante el AC permite estimar los posibles daos debido a la prdida de control sobre sustancias peligrosas. Los diversos tipos de accidentes graves a considerar en las instalaciones en las que haya sustancias peligrosas, pueden producir determinados fenmenos peligrosos para las personas, el medio ambiente y los bienes materiales:
Pgina 142 de 167
Fenmenos de tipo mecnico: ondas de presin y proyectiles Fenmenos de tipo trmico: radiacin trmica Fenmenos de tipo qumico: fugas o derrames incontrolados de sustancias txicas o contaminantes.
El procedimiento para realizar un anlisis de consecuencias se ilustra en la Figura I.3-1.

Seleccin y especificacin de escenarios de accidente Obtencin de lista de escenarios para analizar. Llenado de formatos para especificar y documentar los escenarios de accidente. Determinacin del trmino fuente (Modelos para liberacin de sustancias) Determinacin de la masa liberada Determinacin del flujo de liberacin y de la fase de liberacin.
Determinacin de la dispersin del material (Modelos de dispersin del material) Obtencin de la longitud y rea de las zonas de riesgo y amortiguamiento por toxicidad. Obtencin de la longitud y rea de la nube inflamable hasta la concentracin del LFL y 0.5 LFL.
Determinacin de intensidad de radiacin y onda de presin (Modelos de incendios o explosiones) Obtencin de la longitud y rea de las zonas de riesgo y amortiguamiento por intensidad de radiacin trmica. Obtencin de la longitud y rea de las zonas de riesgo y amortiguamiento por onda de presin. Cuantificacin de posibles daos (Modelos de consecuencias) Estimacin de posibles daos a personas, ambiente y negocio a partir de las longitudes reas perfiles de concentracin de intensidad de radiacin y onda de presin.
Documentacin del anlisis de consecuencias Emisin de recomendaciones Escritura del informe final Figura I.3-1 Procedimiento para realizar un anlisis de consecuencias
Pgina 143 de 167
I.4 Procedimiento para realizar un anlisis de consecuencias I.4.1 Seleccin y especificacin de escenarios de riesgo El responsable tcnico de realizar los anlisis de consecuencias, conjuntamente con el lder del Anlisis de Riesgos, y en acuerdo con el responsable tcnico - operativo por parte de la instalacin, definen una lista de escenarios de accidente. Esa lista puede provenir de: La aplicacin de metodologas para identificacin de peligros y riesgos, como HazOp, FMEA, Que pasa si?, lista de verificacin (checklist). La aplicacin de metodologas para realizar anlisis cuantitativo de riesgos, como el anlisis de rboles de eventos y de fallas. La aplicacin de definiciones tal como Peor Caso Necesidades particulares surgidas de otros estudios, peticiones especiales o la inquietud de conocer las posibles afectaciones derivadas de un escenario de riesgo.
El responsable tcnico de realizarlos anlisis de consecuencias, conjuntamente con personal de apoyo que puede provenir del grupo multidisciplinario que realiza un anlisis de riesgos, especifica cada escenario de riesgo en la lista. Esa lista de escenarios debe contener (Figura I.4.1-1): Una clave nica para el escenario Un nombre para cada escenario Una referencia al origen del escenario (nmero de desviacin del HazOp, nmero de mecanismo de falla del FMEA, identificador de la secuencia del rbol de eventos, etc.)
Especificar el escenario significa recabar y documentar la informacin necesaria para realizar las simulaciones o clculos requeridos para realizar el anlisis de consecuencias. La especificacin de los escenarios de accidente se hace empleando el formato de la Figura I.4.1-1.
La seleccin de los escenarios de accidente depende del objetivo del anlisis de consecuencias. Un anlisis de consecuencias se puede realizar para uno de varios propsitos entre los que se encuentran los requeridos por la normatividad, los empleados por otros estudios como los relacionados con la seguridad fsica o para disear los planes de emergencia externos e internos. Para esos casos, la aplicacin de la definicin de peor caso, seccin 5.2, conjuntamente con la definicin de caso alterno (dentro de los cuales pueden encontrarse los casos considerados como ms probables), podra requerirse.
Pgina 144 de 167
Nombre del estudio que origina el AC: Actualizacin 2008 del Anlisis de Riesgos de Proceso de la central de compresin El asoleadero II. Nmero del proyecto o actividad bajo el cual se realiza el AC: 09845 Nombre del organismo o centro de trabajo, planta o rea de trabajo: Central de compresin El asoleadero II Propsito del anlisis de consecuencias: (Describa el motivo que origina el AC y el uso que se le dar a los resultados, ej.. como parte de un Anlisis de Riesgos de Proceso, Anlisis de Riesgo de Seguridad Fsica, entre otros) Datos de los escenarios: Clave Nombre Ref. de Origen Fuga de gas natural amargo de filtro separador FA-4562B Desviacin 4.3.2 del ARP08_AsoII01 por un orificio equivalente a 2 HazOp
Figura I.4.1-1. Formato para documentar la lista de escenarios para realizar Anlisis de Consecuencias
Pgina 145 de 167
I. Datos del escenario. Peor Caso Clave: Nombre: Fuga de gas natural amargo de filtro separador FA-4562B ARP08_AsoII01 por un orificio equivalente a 2 de dimetro Caso alterno Descripcin: Fuga por brida de alimentacin de gas al filtro Fecha: Elabor: SS separador FA-4562B por un orificio equivalente a 2 11/dic/2008 Nombre y versin Determinar el perfil de intensidad de radiacin trmica para evaluar la del simulador posibilidad de xito o falla de las acciones indicadas en el paso 3.4 Objetivo empleado del procedimiento de emergencia de la instalacin. II. Sustancias involucradas. Nombre de la sustancia: Composicin: % molar , % msico , % volumtrico Compuesto % Tox. Inf. IDLH STEL TWA
III. Condiciones de confinamiento y caractersticas de liberacin. Presin: Temperatura: Estado: Vapor , lquido abajo de su p.e. , lquido arriba de su p.e. . Fase del material liberado: Vapor , lquido , vapor y lquido Contenedor: Cilindro , esfera , Tipo de fuga: Falla catastrfica , vlvula de alivio , orificio en cuerpo tubera , otro : o tubera , cizalla de tubera, otro : Alto del recipiente: Dimetro o ancho del recipiente: Largo del recipiente: rea del orificio: Coef. de prdida del orificio: Elevacin del punto de liberacin: Direccin de la fuga: Vertical , horizontal , hacia abajo , golpea contra , inclinada (ngulo___) Tiempo estimado de liberacin: Masa estimada de liberacin: IV. Condiciones atmosfricas y del entorno. Pares (velocidad de viento, estabilidad atmosfrica): Temperatura atmosfrica Temperatura del suelo (si distinta a la atmosfrica) Humedad atmosfrica Tipo de suelo (rugosidad empleada) Direcciones dominantes del viento V. Lugares de particular inters (Descripcin y distancia del punto de fuga). Sitio 1 Sitio 2 Sitio 3 Sitio 4 VI. Estados finales para anlisis. Dardo, antorcha o jet de fuego , Charco de fuego , incendio de nube , explosin de nube , BLEVE / bola de fuego . Nube txica VII. Memoria de clculo y Suposiciones. Utilice este espacio si requiere realizar la documentacin detallada o memoria de clculo de algunos parmetros que juzgue necesarios, tpicamente el tiempo de liberacin o la masa liberada deben ser documentados a extenso. Documente las suposiciones que realiz al especificar, simular o valorar las consecuencias del escenario. VIII. Resumen de resultados (Distancias y afectaciones) Alcance de la radiacin Alcance por toxicidad1 del compuesto: Alcance de la sobre-presin (kg/cm2) 2 trmica (kw/m ) IDLH STEL TWA 1.4 5 0.035 (0.5 psi) 0.07 (1 psi) Alcance por inflamabilidad de la mezcla o compuesto: LFL ___ m LFL ____ m Evaluacin de posibles prdidas: (Describa la cantidad de personas y equipos que pueden ser afectados, indique el valor de la concentracin (ppm), sobre presin (psi), o radiacin trmica (kW/m2) con la que seran afectados y la forma en la que se cree pueden ser afectados (valor Probit o efecto esperado de acuerdo a tablas). No omita incluir los sitios de inters declarados anteriormente. Haga referencia a ilustraciones, descripciones anexas y tablas como lo considere apropiado). Recomendaciones: Emita las recomendaciones pertinentes asignndole un nmero identificador nico a cada una de ellas.
Figura I.4.1-2. Ejemplo de formato para especificacin de escenario para anlisis de consecuencias
Pgina 146 de 167
I.4.2 Determinacin del trmino fuente El objetivo de esta actividad es determinar la masa liberada, el flujo y la fase de liberacin. Estos parmetros son muy importantes pues determinan la cantidad de material toxico que se dispersa y combustible que explota o se incendia, que son fundamentales para calcular la concentracin, intensidad de radiacin y onda de presin a partir de los cuales se determinan las zonas de riesgo y amortiguamiento y se evalan los posibles daos. Para el Peor Caso, la simulacin debe contemplar los aspectos que se muestran en la Tabla I.4.2-1
Tabla I.4.2-1 Definicin de Peor Caso para especificar un escenario de riesgo Peor Caso. Corresponde a la liberacin accidental del mayor inventario del material o sustancia contenida en un recipiente, lnea de proceso o ducto, la cual resulta en la mayor distancia hasta alcanzar los lmites por toxicidad, sobre-presin o radiacin trmica, de acuerdo a los criterios para definir las zonas de riesgo y amortiguamiento. Para tal efecto se deben tomar en consideracin incluso las condiciones especiales de almacenamiento, ej. almacenamiento por mal tiempo, en las que los inventarios pueden ser inusualmente altos. De acuerdo al tipo de sustancia, se deben aplicar los siguientes criterios para especificar el escenario Tipo de sustancia Criterios a considerar para especificar el escenario Txica Gases: Se debe considerar que la liberacin se realiza durante un periodo de 10 minutos. Lquidos: Se debe considerar que la cantidad total es derramada al instante. Para lquidos que se fugan de tuberas se debe suponer que forman un charco. Se deben tomar en cuenta medidas de mitigacin pasivas, como lo son diques de contencin. Rotura catastrfica del recipiente o de la lnea de proceso o ducto (si se emplea el modelo TNT se debe usar una eficiencia de conversin de energa del 10%).
Inflamable / explosiva
En el caso de la falla catastrfica de un recipiente, la totalidad de la masa se incorpora con gran rapidez, es una liberacin puntual. En el caso de una fuga paulatina, los principios de la mecnica de fluidos y de la termodinmica nos proporcionan las herramientas necesarias para conocer la masa liberada y el flujo de material que escapa. En este caso, para determinar el trmino fuente se emplean modelos matemticos que se encuentran comnmente en los simuladores para realizar anlisis de consecuencias. En la seccin III, condiciones de confinamiento, del formato para especificar un escenario de riesgo, Figura I.3 se encuentran los parmetros que se requieren para los modelos de la mecnica de fluidos. De esos parmetros, existen algunos que tienen cierto grado de incertidumbre y estos son: rea del orificio. Coeficiente de prdida del orificio. Tiempo de liberacin y masa liberada.
Pgina 147 de 167
rea del orificio. El rea y forma del orificio es uno de los parmetros que tienen gran incertidumbre. Por lo general se supone un orificio circular y lo simuladores cuentan con modelos de fuga para orificios circulares. En ocasiones se simulan eventos ya ocurridos con orificios de geometra distinta a la circular. Para el caso de orificios con geometras distintas a la circular se debe calcular un rea equivalente a un crculo a partir del rea del orificio considerado. Este clculo debe ser documentado en la seccin correspondiente del formato de la Figura I.3. La gran mayora de los escenarios de riesgo a analizar no han ocurrido por lo que existe incertidumbre sobre el valor del rea del orificio. Para seccionar el valor del rea del orificio ver Tabla I.4.2-2.
Tabla I.4.2-2 Dimetro equivalente de la fuga Lneas de proceso: DN 2 Lnea de proceso: 2 < DN 4 Lnea de proceso o ductos de transporte: 6 DN Para el caso alterno: Bridas DEF= 1.00 veces del dimetro nominal (DN) de la lnea de proceso. DEF= 0.30 veces del dimetro nominal (DN) de la lnea de proceso. DEF= 0.20 veces del dimetro nominal (DN) de la lnea de proceso. Segn el dimetro de la lnea de proceso, aplican los criterios anteriores [1.0*(DN), 0.3*(DN) y 0.2*(DN)].
Para el caso ms probable:
Sellos mecnicos en Para todos los tamaos de flechas, equipo rotatorio de DEF= Calcularlo con el 100% del rea anular. proceso Sellos o Para todos los tamaos de vstagos, empaquetaduras en DEF= Calculatorio con el 100% del rea anular. vlvulas de proceso El DEF en el cuerpo de un recipiente, ser aquel que sea determinado por el Grupo Multidisciplinario de Anlisis y Evaluacin de Riesgos. Lneas de proceso: DEF= 0.20 veces del dimetro nominal (DN) de la lnea de DN 4 proceso. Lnea de proceso: DEF= 0.6 [por corrosin, prdida de material, golpe o falla en 2 < DN 4 soldadura] DEF= 0.75 para DN de 6 a 14 Lnea de proceso o DEF= 1.25 para DN de 16 a 24 ductos de transporte: 6 DEF= 2.0 para DN mayores de 30 DN [por corrosin, prdida de material, golpe o falla en soldadura] Aplican los mismos criterios de las lneas de proceso para los Bridas casos ms probables. Sellos mecnicos en el equipo de proceso rotatorio. DEF= Calcularlo con el 40% del rea anular que resulte. Empaquetaduras en vlvulas de proceso El DEF en el cuerpo de un recipiente, ser aquel que sea determinado por el Grupo Multidisciplinario de Anlisis y Evaluacin de Riesgos
Pgina 148 de 167
Coeficiente de prdida del orificio. Un enfoque sugerido por el CCPS del AICHE es: Para descargas con Nmero de Rynolds, Re > 30,000 use Cd = 0.61 (para estas condiciones la velocidad del fluido es independiente del tamao del orificio) Para orificios redondeados y suaves Cd ~ 1 Para secciones de tubera cortas unidas a la vasija, l/d < 3, Cd = 0.81 Para casos donde Cd es desconocido utilice el valor 1 para ser conservador.
Tiempo de liberacin y masa liberada. En el caso de una liberacin paulatina, la masa total liberada depender del tiempo en el cual termina la fuga, ya sea porque el inventario se termina o porque los dispositivos pasivos, activos o acciones de mitigacin aislaron la fuga. Este parmetro debe ser cuidadosamente calculado y documentado en la seccin correspondiente del formato de la Figura I.4.2-1 Una gua para el clculo se muestra en la Figura I.4.2-1.
Estimar tiempo de liberacin de todo el inventario Ti
Estimar tiempo de aislamiento de fuga o derrame TA TA= T1 + T2 T1= Tiempo requerido para identificar la condicin anormal. T2= Tiempo transcurrido al efectuar acciones correctivas.
Tiempo de liberacin TL = TA
S I
Ti > TA N O Tiempo de liberacin TL= Ti
Figura I.4.2-1. Formato para especificacin de escenario para anlisis de consecuencias
El tiempo de liberacin del total del material se puede calcular empleando los modelos de los simuladores para realizar anlisis de consecuencias o empleando otros simuladores o clculos, siempre y cuando sean suficientemente detallados para el propsito. Un parmetro importante para el clculo es el flujo de liberacin y pueden hacerse dos suposiciones. El flujo msico de fuga inicial (cuando la energa que impulsa al fluido a salir del recipiente, tpicamente la presin de confinamiento o columna del fluido, no cambian significativamente o para hacer un clculo conservador). Un flujo msico de la fuga variable.
Pgina 149 de 167
Si se considera que la fuga es aislada, para el clculo del tiempo de aislamiento tome en cuenta lo siguiente (puede haber otros factores a tomar en cuenta dependiendo de la situacin): Tiempo para la deteccin de la fuga (considere los medios por los que identificara la fuga): Detectores de mezcla inflamable y toxicidad Variables de proceso Actividades rutinarias de personal operativo Disponibilidad de medios de alerta o comunicacin Tiempo para el control de la fuga (Considere las acciones de respuesta a emergencias): Dispositivos remotos y automatizados para aislar la fuga y programa de mantenimiento aplicado Existencia de procedimientos de respuesta a emergencias Existencia de grupos de respuesta a emergencias Realizacin de simulacros Dificultad para acceder al sitio y tomar acciones de control Los vehculos y equipo en general estn en buenas condiciones
I.4.3 Determinacin de la dispersin del material Las sustancias liberadas pueden ser lquidos, gases o mezclas bifsicas. En el caso de los lquidos se expanden formando acumulaciones que se les llama charcos. La expansin de los lquidos puede ser limitada por diques, muros o singularidades en el terreno, o puede ser no limitada. En el caso de los charcos limitados, el rea superficial del charco y su profundidad viene dada por la geometra de las estructuras o singularidades que los contienen. A partir de esa geometra se puede estimar la tasa de evaporacin, en caso de que aplique. En el caso de las fugas no limitadas estas evolucionan hasta formar un charco cuyas dimensiones mximas en el tiempo dependen del equilibrio entre la absorcin y tipo de suelo, la evaporacin del lquido y el flujo de la fuga. A partir de la evaporacin del lquido se puede calcular la forma y tamao de una nube txica o inflamable y aplicar los modelos de dispersin de gases. Para el caso de las sustancias inflamables a partir de la geometra del charco, y de otros parmetros, se calculan, con modelos de incendios, las intensidades de radiacin trmica. Todos los escenarios de riesgos anteriormente mencionados son modelados en simuladores y el usuario slo provee el valor de los parmetros requeridos, que se documentan en las secciones correspondientes del formato para la especificacin de escenarios de accidente de la Figura I.4.2-1. En el caso de las mezclas bifsicas, una parte se comportar como gas y la otra como lquido, dependiendo de las caractersticas del lquido se podr transformar a la fase de vapor y nutrir la formacin de la nube originada por la fraccin gaseosa. Cuando se produce una emisin de un gas o vapor a la atmsfera, ya sea procedente de una fuga de gas propiamente dicha o como consecuencia de la evaporacin de un charco de lquido, el gas en contacto con la atmsfera sufre una dispersin por dilucin del gas en la atmsfera y se extiende en ella arrastrado por el viento y las condiciones meteorolgicas. Otra caracterstica importante es la duracin del escape, que puede dar lugar a escapes instantneos, formando una bocanada (puf), escapes continuos, formando un penacho (plume), escapes variables con el tiempo.
Pgina 150 de 167
Los modelos tratan de calcular las concentraciones de gases que se encuentran a una determinada distancia del foco emisor, tanto para gases txicos como inflamables, as como las cantidades de gas inflamable que se encuentran entre los lmites de inflamabilidad de sustancias inflamables. La dispersin de un gas puede proceder de una fuga de gas de un depsito o tubera a presin y como consecuencia de la fuga de lquido que se evapora. Esto implica dos fenmenos: Dispersin de chorro o tipo jet. Dispersin de la nube.
Para gases inflamables el modelo de chorro se puede emplear para determinar la longitud de un dardo de fuego, si se produjese la ignicin del chorro, adems para la determinacin de la dispersin de gas que formara una hipottica explosin de vapor. Para gases txicos el modelo de chorro se puede acoplar a un modelo de dispersin de contaminantes. Un modelo gaussiano de dispersin de contaminantes permite conocer la concentracin de los contaminantes en funcin de la localizacin de un punto respecto a la fuente, de la variable tiempo, condiciones meteorolgicas y topografa del terreno, entre otras. Este modelo describe el comportamiento de los gases o vapores de fuerza ascensional neutra, dispersados en la direccin del viento y arrastrados a la misma velocidad, eso es lo que se denomina modelo tipo Pasquill-Guifford. Ese tipo de modelos calculan la concentracin en los tres ejes espaciales (x,y,z) con una funcin matemtica correspondiente a distribucin estadstica de Gauss en donde, entre otros, los parmetros empleados para calcular sus dimensiones, requiere del uso de una clase de estabilidad atmosfrica conocida como Pasquill. Todos los fenmenos anteriormente mencionados son modelados en simuladores y el usuario slo provee el valor de los parmetros requeridos, que se documentan en las secciones correspondientes del formato para la especificacin de escenarios de accidente de la Figura I.4.1-2. Algunos de esos parmetros se requieren calcular o estimar y a continuacin se presenta una gua para la estimacin de los parmetros: Estabilidad atmosfrica Velocidad de viento Rugosidad del terreno
Estabilidad atmosfrica. Los modelos empleados para simular el complejo comportamiento de una nube de gas que se diluye en el aire requiere de la especificacin de un parmetro llamado Pasquill. En la Tabla I.4.3-1 se presentan las clases de estabilidad atmosfrica que se seleccionan dependiendo de las condiciones atmosfricas, incluyendo el grado de insolacin, el cual se selecciona con la Tabla I.4.3-1. Rugosidad del terreno. El movimiento de una nube de contaminantes en el aire, como cualquier fluido se ve influenciado por la friccin de la superficie sobre la que se desplaza, algunos simuladores ya tienen en sus bases de datos valores de rugosidad para distintos tipos de terreno, en la Tabla I.4 se muestran algunos valores para que el usuario cuente con una referencia.
Tabla I.4.3-1. Condiciones meteorolgicas para la definicin de clases de estabilidad Pasquill Velocidad del Radiacin Solar Recibida Cobertura de Nubes Nocturna
Pgina 151 de 167
viento(1) Fuerte (m/s) <2 A 2-3 A-B 3-5 B 5-6 C >6 C (1) A 10 metros de altura.
Moderada A-B B B-C C-D D
Ligera B C C D D
Delgada <3/8 E D D D
Moderada >3/8 F E D D
Nublada >4/5 D D D D D
Tabla I.I.4.3-2. Condiciones meteorolgicas para la definicin del grado de insolacin Nubosidad Nubes cubriendo un rea menor que 4/8 del cielo o cualquier grado de nubosidad con altas y poco espesas Nubes cubriendo un rea entre 5/8 y 7/8 del cielo y las nubes ocupan una altura media (entre 2100 m y 4900 m) Nubes cubriendo un rea entre 5/8 y 7/8 del cielo y las nubes ocupan una altura baja (< 2100 m) ngulo de elevacin del sol > 60 Fuerte Moderada Ligera ngulo de elevacin del sol 35 60 Moderada Moderada Ligera ngulo de elevacin del sol 15 35 Ligera Ligera Ligera
Tabla I.I.4.3-3. Factores de rugosidad para distintos tipos de terreno Tipo de Superficie Valles con pocos rboles Tierras de cultivo Tierras con vegetacin y rboles rea rural o industrial rea urbana Factor de rugosidad 0.06 0.09 0.11 0.17 0.33
Si el material liberado es txico solamente el resultado de la aplicacin de los modelos de dispersin es informacin que permite determinar el perfil de concentraciones, el alcance mximo y el rea de la nube cuyas concentraciones son mayores o iguales a los valores empleados para evaluar los posibles daos, ver seccin I.4.5.
Pgina 152 de 167
En caso de no contar con informacin sobre las condiciones atmosfricas del sitio durante los ltimos tres aos, se debe usar la velocidad de 1.5 m/s y clase de estabilidad F. No existe un solo par de condiciones velocidad de viento, clase de estabilidad atmosfrica (Pasquill) que describa correctamente la dispersin de una nube para todas las estaciones del ao y horas del da (da / noche). Por lo anterior y en caso de contar con informacin meteorolgica confiable, se sugiere seleccionar al menos tres pares de velocidad, clase de estabilidad atmosfrica y realizar la evaluacin de consecuencias empleando los resultados ms desfavorables. El empleo de los valores 1.5 m/s y F favorecen la formacin de nubes extensas en el plano horizontal y que para el caso de nubes inflamables en sitios donde pueden existir fuentes de ignicin elevadas se sugiere investigar condiciones atmosfricas que favorezcan mayores concentraciones en la direccin vertical, para evitar omisiones importantes.
I.4.4 Determinacin de intensidad de radiacin y onda de presin Si el material es txico, para evaluar las consecuencias ser suficiente conocer las concentraciones de la nube txica, en cambio, para el material inflamable, se debe conocer la distribucin de la energa liberada por el incendio o la explosin, en trminos de la intensidad de radiacin trmica o de sobre-presin. A partir de la fuga de un material inflamable existen distintos tipos de incendios que se pueden presentar. Si el material emerge como chorro (jet), tambin conocido como flujo snico o crtico, y se encuentra con una fuente de ignicin cercana, se incendia y se puede establecer un incendio tipo jet (jet fire), tambin llamado dardo de fuego y antorcha. Los mayores daos del dardo de fuego son la intensidad de radiacin trmica. Si el material liberado, ya sea mediante una liberacin de chorro o no, no se incendia de inmediato, si es liquido y no se evapora rpidamente, puede formar un charco. Si es gas o un lquido que se evapora rpidamente, se puede formar una nube. Si el charco inflamable se pone en contacto con una fuente de ignicin se establece un incendio tipo charco (pool fire). Los mayores daos del dardo de fuego son la intensidad de radiacin trmica. Cuando una masa de material inflamable forma una nube encuentra una fuente de ignicin antes de haberse diluido por abajo de su lmite inferior de inflamabilidad puede entrar en ignicin. Esa ignicin puede ser una deflagracin, formando una onda de presin, llamndosele explosin de nube VCE (Vapor cloud explosion) o puede que slo se origine un incendio sbito de nube de gas (flash fire). La frontera entre este tipo de situaciones no est muy clara y depende de la velocidad de combustin de la mezcla y de las caractersticas del vapor. Por lo anterior ambos fenmenos deben ser investigados. El mayor peligro de los incendios tipo flash es la radiacin trmica y ese tipo de incendios no dura ms all de algunos momentos. Los modelos de los incendios tipo flash requieren del conocimiento de la radiacin de la flama, que depende de la cuarta potencia de la temperatura, por lo que cualquier error en el clculo de esa temperatura propaga la incertidumbre fuertemente en los resultados obtenidos. Por lo anterior algunos simuladores reportan para este fenmeno la extensin de la nube hasta la dilucin correspondiente al lmite inferior de inflamabilidad y el 50% de ese mismo lmite. Para el caso de la explosin de la nube, se reporta la onda de sobre-presin. Existe la posibilidad de que la liberacin del material inflamable no sea paulatina sino sbita. Al respecto, existe un caso de particular inters que es la bola de fuego que se conoce en ingls como BLEVE (Boiling
Pgina 153 de 167
Liquid Evaporating Vapor Explosion). La ocurrencia de este fenmeno puede provocar dao tanto por onda de presin como por intensidad de radiacin trmica. En la Figura I.4.4-1 se muestra un diagrama de flujo como gua para saber los tipos de fenmeno que deben evaluarse dependiendo de las caractersticas del escenario de riesgo y que deben documentarse en la seccin correspondiente del formato mostrado en la Figura I.4.1-2.
Prdida de control sobre una sustancia peligrosa
Fuga de gas
Fuga de lquido
Ruptura catastrfica del
Flujo snico?
NO
Nube
SI
Evaporacin?
NO
Incendio inmediato? SI
SI Ignicin? Ignicin inmediata? NO SI Material txico? NO SI NO
NO NO
Ignicin?
SI
Material txico? SI
NO
SI
Dardo de fuego
RT
Incendio de nube
RT
Explosin de nube
OP
Nube txica
Incendio tipo charco

RT
Charco txico
Bola de fuego
OP RT
Estados Finales que pueden causar daos RT = Radiacin trmica OP = onda de presin
Dispersin sin consecuencias
Acumulacin de lquido
Figura I.4.4-1 . Diagrama de flujo con el que se pueden identificar los tipos de fenmenos que deben evaluarse en el anlisis de consecuencias de un escenario de riesgo
Como parte de los modelos disponibles para calcular los perfiles de presin resultado de una explosin se tienen el equivalente de TNT, el TNO y el Baker extendido. El modelo TNT se basa en observaciones experimentales que indican que si se obtiene el cociente de la distancia a partir del centro de la explosin y la raz cbica de la masa del combustible en trminos de su equivalente energtico de TNT, se obtiene una distancia reducida o escalada. As mismo, que los efectos de dos explosiones son los mismos sobre puntos que se encuentren a la misma distancia reducida o
Pgina 154 de 167
escalda. Un parmetro importante en este modelo es la eficiencia de transformacin de energa trmica en mecnica el cual de acuerdo con resultados experimentales puede oscilar entre el 15 y el 10%. De acuerdo con la Gua para la presentacin del estudio de riesgo ambiental, , niveles 0. 1, 2 y 3, de la SEMARNAT, se debe usar el valor de 10%. Los modelos TNO y Baker extendido se basan en la premisa de que en las explosiones de vapor, la cantidad de energa liberada se limita al volumen parcialmente confinado de la nube (si la nube es mayor que la regin confinada) o al volumen completo de la nube de vapor (si la nube es menor que el espacio de confinamiento). El modelo TNO utiliza un parmetro de fuerza de la explosin, de muy baja, 1, a muy alta 10. El modelo de Baker extendido emplea la velocidad de la flama en la nube, en trminos de su nmero de Mach, para calcular la fuerza de la explosin. Los modelos TNO y Baker extendi exceden el alcance de la presente gua y en caso de que se quiera realizar simulaciones con este detalle de modelado se pide al lector consultar textos ms avanzados. Para cada escenario de riesgo seleccionado y especificado se deben evaluar las consecuencias de todos los posibles estados finales que apliquen de acuerdo a la Figura I.4.41, y deben ser evaluados para las variables que apliquen: intensidad de radiacin trmica, onda de sobepresin y concentracin de sustancias txicas. Para el caso de las explosiones se debe emplear el valor de 10% como factor de eficiencia de conversin de energa.
I.4.5 Cuantificacin de posibles daos Una vez obtenida la estimacin de la dispersin de los materiales, de las distribuciones de concentracin y de energa, se pueden emplear dos mtodos complementarios para estimar los posibles daos. Relaciones magnitud efecto (Efectos directos). Dosis respuesta y funciones Probit (Efectos probabilsticos).
Las tablas magnitud efecto permiten establecer un vnculo entre la intensidad de una variable (concentracin, intensidad de radiacin trmica o presin) con efectos observados o valores usados como referencia en documentos de diseo o normativos. Una ventaja de las relaciones de efecto directo es que se pueden evaluar distintos daos observados o referencias disponibles. Una desventaja es que est construida con valores discretos (ej. existe un valor especfico y no siempre se puede conocer la extensin de un mismo dao con distintos valores de intensidad de la variable que los provoca). Otra desventaja es que no toma en cuenta la variacin de la respuesta de los organismos vivos a una misma dosis.
Pgina 155 de 167
Para tomar en cuenta la variacin de la respuesta de los organismos vivos a una misma dosis se puede emplear la metodologa de Probit (unidad de probabilidad).
Dosis respuesta y funciones Probit. Es difcil evaluar de manera precisa la respuesta humana ante la exposicin severa a una dosis de algo que puede causar dao y ser letal, ej. a un compuesto txico. Lo anterior debido a la variacin de la severidad de los efectos con la intensidad de la exposicin y la duracin. Tambin debido a que existe una respuesta variable entre individuos. Factores como la edad y estado de salud fsica afectan la respuesta. Como resultado se espera una variacin de respuestas ante dosis determinadas. Lo anterior se puede modelar empleando un modelo probabilstico y el parmetro estadstico Probit, ecuaciones 1 y 2.
Y 5 P = 0.5 1 + erf ..(1) 2

Y = A + B ln(I ) ..(2)
Donde: Y es la unidad de probabilidad Probit. P es la probabilidad de ocurrencia de algn efecto. I es la intensidad de la causa. erf es la funcin error. A y B son constantes de la funcin para un efecto particular. Aunque algunos simuladores ya reportan el comportamiento de la ecuacin 2 con la distancia, para el uso de la ecuacin 2 en una hoja de clculo puede emplear la ecuacin 1b.
Y 5 Y 5 P = 50 1 + erf 2 ..(1b) Y 5
La expresin de la unidad Probit para los casos de probabilidad de muerte exposicin a material txico, ecuacin 2a [2], muerte por intensidad de radicacin trmica [2], ecuacin 2b, muerte por hemorragia pulmonar por onda de presin 2c [2] y rotura de tmpano por onda de presin 2d [3].
Y = A + B ln C N t
60
) ..(2a)
Pgina 156 de 167
4 I 3 t Y = 14.9 + 2.56 ln 4 1x10
..(2b)
Y = 77.1 + 6.91 ln (P0 ) ..(2c) Y = 15.9 + 1.93 ln (P0 ) ..(2c)

Donde: Y es la unidad de probabilidad Probit. P es la probabilidad de ocurrencia de algn efecto. C es la concentracin en ppm volumtricas. A, B y N son constantes que dependen de cada sustancia qumica. Ln es la funcin logaritmo natural t es el tiempo de exposicin en segundos I es la intensidad de radiacin trmica en W/m2. Po es la presin en Pascales manomtricos Para determinar las variables A, B y N se puede consultar las referencias [2] y [3]. Adicionalmente, alguno de los simuladores comerciales, como Phast, cuentan con valores para A, B y N para varios compuestos txicos.
Relaciones magnitud efecto. Para intensidad de radiacin trmica por incendios: En la Tabla I.4.5-1 se encuentra una relacin de efectos esperados u observados con un valor de intensidad de radiacin trmica. En la Tabla I.6 se encuentran valores de exposicin en segundos para alcanzar el umbral del dolor. Para onda de presin por explosiones: En la Tabla I.6 se encuentra una relacin de efectos esperados u observados con un valor de presin.
Para sustancias txicas: En la NOM 010 STPS 1999, Condiciones de seguridad e higiene en los centros de trabajo donde se manejen, transporten, procesen o almacenen sustancias qumicas capaces de generar contaminacin en el medio ambiente laboral se establecen los lmites mximos permisibles de exposicin en los centros de trabajo donde se manejen, transporten, procesen o almacenen sustancias qumicas que por sus
Pgina 157 de 167
propiedades, niveles de concentracin y tiempo de exposicin, sean capaces de contaminar el medio ambiente laboral y alterar la salud de los trabajadores. En la NOM 010 STPS 1999 se establecen los lmites: Lmite mximo permisible de exposicin (LMPE): es la concentracin de un contaminante del medio ambiente laboral, que no debe superarse durante la exposicin de los trabajadores en una jornada de trabajo en cualquiera de sus tres tipos. El lmite mximo permisible de exposicin se expresa en mg/m3 o ppm, bajo condiciones normales de temperatura y presin. Lmite mximo permisible de exposicin de corto tiempo (LMPECT): es la concentracin mxima del contaminante del medio ambiente laboral, a la cual los trabajadores pueden estar expuestos de manera continua durante un periodo mximo de quince minutos, con intervalos de al menos una hora de no exposicin entre cada periodo de exposicin y un mximo de cuatro exposiciones en una jornada de trabajo y que no sobrepase el LMPEPPT. Lmite mximo permisible de exposicin pico (P): es la concentracin de un contaminante del medio ambiente laboral, que no debe rebasarse en ningn momento durante la exposicin del trabajador. Lmite mximo permisible de exposicin promedio ponderado en tiempo (LMPEPPT): es la concentracin promedio ponderada en tiempo de un contaminante del medio ambiente laboral para una jornada de ocho horas diarias y una semana laboral de cuarenta horas, a la cual se pueden exponer la mayora de los trabajadores sin sufrir daos a su salud.
En las guas para la presentacin del estudio de riesgo ambiental, niveles 0, 1, 2 y 3 de SEMARNAT, se especifica el uso de los ndices IDLH, TLV8 y TLV15. Esos ndices deben ser empleados en el anlisis de consecuencias cuando se realice con propsitos que impliquen apegarse a la NOM0 10 STPS 1999.
ndices IDLH, TLV e ndices auxiliares Algunas asociaciones y agencias gubernamentales extranjeras emplean ndices de toxicidad para medir la peligrosidad de las sustancias. El National Institute for Ocupational Safety and Health establece el ndice IDLH como: En el evento de una exposicin accidental a una sustancia qumica, este lmite representa la concentracin abajo de la cual un individuo puede escapar, dentro de 30 minutos, sin experimentar dificultades para el escape o efectos irreversibles a su salud. Los valores IDLH son publicados en la NIOSH Pocket Guide to Chemical Hazards y sus valores pueden llegar a cambiar por lo que es importante que el analista revise la ltima versin disponible. La Association Conference Government Industry Higienyc (ACGIH) establece los ndices TLV (TWA, STEL, C), como los valores lmite umbral (Threshold Limit Values) para condiciones que corresponden ms al campo de la salud ocupacional que de los accidentes y se definen como: TLV-TWA (Time Weighted Average), concentracin media a la cual la mayora de trabajadores expuestos durante su vida laboral no sufren efectos adversos.
Pgina 158 de 167
TLV-STEL (Short Term Exposure Limit), concentracin a la que la mayora de trabajadores pueden exponerse por hasta 15 min. sin sufrir adormecimiento que les predisponga a accidente o dificulte mecanismos de defensa. TLV-C (Ceiling), concentracin que no debe ser rebasada incluso instantneamente.
Los valores TLV son publicados por la ACGIH en TLV`s and Bels values y sus valores pueden llegar a cambiar por lo que es importante que el analista revise la ltima versin disponible. En caso extremo y de no encontrar disponibles los valores TLV, se puede recurrir a los valores PEL o REL, publicados por OSHA y NIOSH, con una slida justificacin tcnica. Esos valores se encuentran en la NIOSH Pocket Guide to Chemical Hazards y sus valores pueden llegar a cambiar por lo que es importante que el analista revise la ltima versin disponible. Las definiciones de los ndices PEL (exposicin mxima permitida por OSHA bajo el CFR (Code of Federal Regulations) ttulo 29, seccin 1910, subparte Z) son: TWA (time-Weighted Average), indica una concentracin promediada durante hasta 8 h de trabajo en un turno de una semana laboral de 40 h. STEL / ST (Short Term Exposure Limit), exposicin promediada durante 15 min., que no debe ser excedida durante todos los das de trabajo. C (Ceiling), valor mximo que no debe ser excedido ni por algn instante durante un turno.
Los ndices REL son lmites de exposicin mxima recomendada. Los REL son valores sugeridos para las actividades industriales pero, con excepcin de algunas jurisdicciones en EUA, no son valores normativos. TWA (Time-Weighted Average) indica una concentracin promediada durante hasta 10 h de trabajo de una semana laboral de 40 h. STEL, ST, (Short Term Exposure Limit) exposicin promediada durante 15 min., que no debe ser excedida durante todos los das de trabajo. C (Ceiling); valor mximo que no debe ser excedido ni por algn instante.
Pgina 159 de 167
Tabla I.4.5-1. Efectos esperados u observados para radiacin trmica Intensidad de radiacin trmica en kW/m2 37.5 25 Efecto esperado u observado Suficiente para causar dao en equipos de proceso (Banco Mundial). Intensidad de energa mnima requerida para provocar la ignicin de la madera en exposiciones prolongadas, no requirindose fuente de ignicin alterna (Banco Mundial). Intensidad en reas con estructuras en donde no es deseable tener personal y en donde se cuenta con blindaje a la radiacin trmica (API 521). Intensidad de energa mnima requerida para fundicin de conductos de plstico (Banco Mundial). El umbral del dolor se alcanza con 8 seg. de exposicin; las quemaduras de segundo grado se presentan con perodos de exposicin de 20 seg. (Banco Mundial). La exposicin debe ser limitada a pocos segundos, suficientes para escapar. (API 521). Intensidad en reas donde acciones de emergencia, con duracin hasta de un minuto, pueden ser realizadas con equipo apropiado (API 521). Intensidad de calor en reas donde acciones de emergencia, con duracin hasta de varios minutos, se pueden realizar por parte de personal sin blindaje, pero con ropa apropiada (API 521). Suficiente para causar dolor al personal, en caso de que ste no se resguarde en 20 seg.; Sin embargo es probable la formacin de ampollas en la piel (Banco Mundial). Valor empleado para localidades donde el personal es expuesto continuamente (API 521). No se presentan molestias, aunque durante largos periodos de exposicin equivale a la intensidad del sol de verano a medio da. Tabla I.4.5-2 Umbral del dolor de acuerdo al API RP 521:1990 Tiempo para alcanzar el umbral Intensidad de radiacin del dolor* en segundos trmica en kW/m2 1.74 60 2.33 40 2.9 30 4.73 16 6.94 9 9.46 6 11.67 4 19.87 2 * Intensidad mxima de un estmulo a partir de la cual se experimenta sensacin de dolor.
15.77 12.5
9.5
9.46 6.31 4.73
1.58 1.4
Pgina 160 de 167
Tabla I.4.5-3. Efectos esperados u observados por sobrepresin kPa 0.14 0.21 0.28 0.69 1.03 2.07 2.76 3.4-6.9 4.8 6.9 6.9-13.8 13.8 13.8-20.7 15.8 17.2 20.7 20.7-27.6 27.6 34.5 34.5-48.2 48.2 48.2-55.1 62 68.9 2068 Psig 0.02 0.03 0.04 0.1 0.15 0.3 0.4 0.5-1.0 0.7 1.0 1-2 2 2-3 2.3 2.5 3 3-4 4 5 5-7 7 7-8 9 10 300 Efecto Ruido fuerte (equivalente a 137 dB a bajas frecuencias, 10-15 Hz). Ruptura ocasional de vidrio en ventanas grandes y bajo tensin. Ruido muy fuerte (143 dB), rotura de vidrios por onda sonora. Rotura de ventanas pequeas bajo tensin. Presin tpica para rotura de vidrio. Probabilidad de 0.95 de no sufrir dao serio debajo de este valor de presin; 10% de vidrios rotos. Dao estructural menor. Dao a ventanas pequeas y grandes. Dao menor a estructuras de casa. Demolicin parcial de casas (tal que son inhabitables). Asbesto corrugado, acero corrugado y paneles de madera desplazados y daados. Colapso parcial de paredes y techos de casas. Muros no reforzados ladeados y parcialmente daados. Lmite inferior para dao estructural serio. Destruccin del 50% de construcciones de ladrillo. Daos a edificios con estructura metlica, equipo pesado sufre poco dao. Rotura de tanques de almacenamiento de crudo. Recubrimiento de edificios industriales fracturado. Rotura de postes de madera Destruccin prcticamente completa de casas. Volcado de carros de ferrocarril Muros de ladrillo, de 8 a 12 pulgadas de espesor y no reforzados, fallan. Demolicin completa de carros de ferrocarril cargados Probable destruccin total de casas, maquinaria de 7000 lb desplazada y daada severamente, sobrevive la maquinaria de 12,000 lb. Formacin de crter.
Pgina 161 de 167
Equipo
Cuarto de control de techo de lmina Cuarto de control de techo de concreto Torre de enfriamiento Tanque de domo cnico Cubculo de instrumentos Caldera de fuego Reactor qumico Filtro Regenerador Tanque de domo flotante Rector de craqueo Soportes Servicios: Medidor de gas Servicios: transformador elctrico Motor elctrico Soplador Columna fraccionadora Vasija presurizada horizontal Servicios: regulador de gas Columna de extraccin Turbina de vapor Intercambiador de calor Tanque esfrico Vasija presurizada vertical Bomba A A B
Sobrepresin en psi
0.5 C E D A G A H I I F I K I P Q H H Q R PI I I I I I I I T I T T V T T MQ V T M I I T T V IP U I SO T T D 1.0 D P D F K IM T P T V T 1.5 2.0 2.5 3.0 N N O U T 3.5 4.0 4.5 5.0 5.5 6.0 6.5 7.0 7.5 8.0 8.5 9.0 9.5 10 12 14 16 18
A. B. C. D. E. F. G.
Se rompen ventanas y cartulas de cristal. Las rejillas se desplazan y caen entre 0.3 y 0.5 psi. Tableros, buses, centros de control daados por colapso de techo. Colapso de techo. Instrumentos daados. Internos daados. El ladrillo se rompe.
H. I. J. K. L. M. N.
Ocurren daos por fragmentos que actan como proyectiles. Unidades movidas y se rompen las tuberas. Falla de soportera. Unidades desplazadas (a la mitad de su capacidad). Lneas de corriente se rompen. Controles daados. Fallan muros de hechos con block.
O. P. Q. R. S. T. U. V.
Colapso de estructuras. Deformacin de estructuras. Cajas daadas. Estructura agrietada. Rotura de tubera. La unidad vuelca o se destruye. Unidades desplazadas (con 90% de su capacidad). La unidad se desplaza de sus cimientos}
Pgina 162 de 167
Las Guas para la presentacin del estudio de riesgo ambiental niveles 1, 2 y 3 de la SEMARNAT. indican que los Radios Potenciales de Afectacin para definir y justificar las zonas de seguridad debern utilizar los siguientes valores:
Zona de: Alto riesgo Toxicidad (concentracin) Inflamabilidad (radiacin trmica) Explosividad (sobre-presin) IDLH 5 kW/m2 0.070 kg/cm2 Amortiguamie nto TLV8 1.4 kW/m2 0.035 kg/cm2
Los anlisis de consecuencias practicados bajo las direcciones de esta gua deben reportar los radios de afectacin tal como se piden por SEMARNAT. Adicionalmente y dependiendo del objetivo del anlisis deben incluir estimaciones de consecuencias usando las herramientas descritas en la seccin I.5.5. I.4.6 Documentacin del anlisis de consecuencias El objetivo de esta actividad es materializar el AC en un documento o formato nico que sirva para: Transmitir informacin detallada a otros grupos del AR. Justificar las conclusiones obtenidas en el estudio. Rastrear suposiciones y clculos. Reproducir del estudio.
El contenido mnimo sugerido para el reporte final de un anlisis de consecuencias es: Objetivo. Datos de seguridad de las sustancias. Formato de Lista de escenarios analizados. Formatos de Especificacin de escenarios para anlisis de consecuencias. Resultados (presentacin de resultados y discusin de los mismos). Conclusiones. Recomendaciones. Bibliografa. Tablas y figuras.
I.4.7 Ejemplo de aplicacin del anlisis de consecuencias En el HAZOP de una instalacin se identificaron los escenarios de accidente: Incendio en parte superior de tanque TV-1 de gasolina tipo2. Incendio en dique de tanque TV-1 de gasolina tipo2.
Pgina 163 de 167
Realice el anlisis de consecuencias que podra ocasionar este evento en la instalacin que se muestra a continuacin.
I. Datos del escenario.
Clave: Gas01 Elab: SS Objetivo Nombre: Incendio en parte superior y en dique de tanque TV-1 de gasolina tipo2 Descripcin: Se postula el colapso del domo del tanque TV-1 y su posterior incendio, as mismo, la falla del tanque TV-1 tal que se derrama en el dique y se incendia. Evaluar las posibles afectaciones en el entorno. Tipo se caso1: CA Fecha: 19/Oct/08 Phast 6.53.1
II. Sustancias involucradas. Nombre: Compuesto
Composicin: % molar X, % msico , % volumtrico % Tox. Inf. IDLH STEL TWA n-Butano 0.673 X n-Pentano 53.786 X n-Hexano 29.266 X n-Heptano 13.326 X n-Octano 2.73 X Tolueno 0.020 X Benceno 0.200 X III. Condiciones de confinamiento y caractersticas de liberacin. Estado: Vapor , lquido abajo de su p.e. X, Presin: 1 bar Temperatura: 18 C lquido arriba de su p.e. Fase del material liberado: Vapor , lquido X, vapor y lquido Tipo de fuga: Falla catastrfica , vlvula de Contenedor: Cilindro , esfera , tubera , otro : alivio , orificio en cuerpo o tubera , cizalla Dique de tubera, otro X: Incendio en el dique Alto del recipiente: 1.8 m Dimetro o ancho del recipiente: 20m Largo del recipiente: 20m rea equivalente del orificio: N/A Elevacin del punto de liberacin: N/A Direccin de la fuga: Vertical , horizontal , hacia abajo , golpea contra , inclinada (ngulo___) N/A Tiempo estimado de liberacin: Masa que participa: 600 m3 Instantneo IV. Condiciones atmosfricas y del entorno. Pares (velocidad de viento, estabilidad atmosfrica): F 1.5 Temperatura atmosfrica 24 C Temperatura del suelo (si distinta a la atmosfrica) 20 C Humedad atmosfrica 70% Tipo de suelo: terreno abierto con objetos aislados Direcciones dominantes del viento: N/A V. Lugares de particular inters (Descripcin y distancia del punto de fuga).
Sitio 1 Sitio 2 Sitio 3 Sitio 4
VI. Estados finales para anlisis. Dardo, antorcha o jet de fuego , Charco de fuego X, incendio de nube , explosin de nube , BLEVE / bola de fuego , Nube txica V. Resumen de resultados (Distancias y afectaciones) Alcance por toxicidad1 del Alcance de la radiacin Alcance de la sobrepresin (kg/cm2) compuesto: trmica (kw/m2) IDLH STEL TWA 1.4 5 0.035 (0.5 psi) 0.07 (1 psi) Alcance por inflamabilidad de la mezcla o compuesto: Recomendaciones: LFL ___ m LFL ____ m
1
Pgina 164 de 167

2
PC = Peor, CA = Alterno
El peor alcance en caso de participar ms de un compuesto txico.
5m
15 m
15 m
TE-1 TE-2
TV-1
22.352 m
TV-2
22.352 m 30.9 m
43.80 m
15 m 12.192 m 1.80 m
Pgina 165 de 167
Incendio en parte superior TV-1

Intensidad de Radiacin (kW/m^2
30 25 20 15 10 5 0 0 5 10 15 20 25 30 35 40 45 50 2m 5m 10 m 15 m
Distancia (m)
Incendio en la parte superior del tanque TV-1 Otros equipos Referencia espacial Intensidad de radiacin trmica kW/m2 49
Evaluacin
Tanque TV-2 15 m al este y entre 0 - 15 m de altura
Esta intensidad de radiacin podra ocasionar el calentamiento del combustible almacenado, incrementando la presin y cantidad de gas en el tanque; en consecuencia, la cantidad de vapores desalojados por el tanque se podra ver incrementada. El umbral del dolor se encuentra entre 16 y 4 segundos.
Separadores elevados TE-1 y TE-2
20 m al oeste y entre 0 - 15 m de altura
47
Esta intensidad de radiacin podra ocasionar el calentamiento del combustible almacenado, incrementando la presin y cantidad de gas en el tanque; en consecuencia, la cantidad de vapores desalojados por el tanque se podra ver incrementada. El umbral del dolor se encuentra entre 16 y 6 segundos.
Pgina 166 de 167
Incendio en parte superior dique TV-1

Intensidad de Radiacin (kW/m^2
25 20 15 10 5 0 0 5 10 15 20 25 30 35 40 45 50 2m 5m 10 m 15 m
Distancia (m)
Incendio en la parte superior en el dique del tanque TV-1 Otros equipos Referencia espacial Intensidad de radiacin trmica kW/m2 11 18 Evaluacin Intensidad de radiacin suficiente para fundir conductos de plstico, se podra calentar considerablemente los tanques de almacenamiento. El umbral del dolor se encuentra entre 6 y 2 segundos. Separadores elevados TE-1 y TE-2 5 m al oeste y entre 0 - 15 m de altura. 12 20 Los almacenes elevados se encuentran aproximadamente a 5 metros de distancia a partir del dique del tanque y a 15 metros respecto al piso. En caso de que el viento oriente la flama del dique en direccin a estos almacenes, los almacenes y las estructuras que los soportan se veran expuestos al contacto directo de la flama. Se podra presentar la falla catastrfica de separadores o las estructuras que los soportan. El umbral del dolor se encuentra entre 4 y 2 segundos.
Tanque TV-2 6.5 m al este y entre 0 - 15 m de altura.
Pgina 167 de 167
Probabilidad de muerte (Probit) a 10 m, en direccin horizontal de la frontera de la flama

1.2 1.0
Probabilidad
0.8 0.6 0.4 0.2 0.0 0 5 10 15 20 25 30
P (Tanque) P (Dique)
Tiempo (min)
Pgina 10 de 167
a)
Comunicacin y consulta
En cada etapa de la gestin del riesgo se deben establecer canales de comunicacin y consulta con niveles directivos. b) Definicin del contexto
Definir el contexto externo e interno en donde el proceso de gestin de riesgos tiene lugar. Se deben establecer y estructurar los criterios contra los cuales se evala el riesgo. c) Identificacin de los peligros y los riesgos
Identificar las todas las posibles fuentes de, peligros, as como las formas en las que dichos peligros pueden salirse de control, identificando escenarios de riesgos o de posibles accidentes, as como condiciones o situaciones que generen o induzcan riesgos. d) Identificacin y evaluacin de los controles existentes
Determinar la probabilidad de ocurrencia del escenario de riesgo y sus posibles consecuencias, as como estimar si los controles existentes, incluyendo todos los sistemas de seguridad, son suficientes para el control y administracin del riesgo evaluado. e) Jerarquizacin de los riesgos
Comparar los niveles estimados de riesgo contra los criterios preestablecidos y considerar el balance entre los beneficios potenciales y los resultados adversos. Esto permite tomar decisiones sobre las recomendaciones requeridas y sus prioridades de atencin. f) Administracin de los riesgos
Desarrollar e implantar medidas o estrategias eficaces, as como planes de accin para mantener los riesgos en niveles tolerables. g) Monitoreo y revisin de riesgos
Con objeto de mantener la mejora continua, es necesario monitorear la efectividad de cada paso del proceso de gestin de riesgo, considerando la definicin y supervisin de cumplimiento, en base a responsables y fechas compromiso, de las recomendaciones surgidas del anlisis de riesgos. An cuando el proceso de gestin de riesgos contempla todas estas etapas, la presente Gua se enfoca nicamente a las etapas c), d) y e), las cuales engloban el proceso de identificacin, anlisis y evaluacin de riesgos. 8.2.2 El Proceso de Identificacin, Anlisis y Evaluacin de Riesgos.
Este proceso debe realizarse de acuerdo con la secuencia de las siguientes etapas: 1. Definicin del alcance. 2. Identificacin de peligros y riesgos. 3. Estimacin del nivel de riesgo.

Guia Arp 2012 800-16400-Dco-Gt-75-2012

Uploaded by

Document Information

Original Description:

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Guia Arp 2012 800-16400-Dco-Gt-75-2012

Uploaded by

Copyright:

Available Formats

Direccin Corporativa de Operaciones Subdireccin de Disciplina Operativa Seguridad, Salud y Proteccin Ambiental

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO

Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO

Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO

Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO

Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO

Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO

Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO

Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO

Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO

Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO

Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012

Figura 8-1 El proceso de gestin del riesgo

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO

Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO

Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO

Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012

Grado de riesgo remanente. Cumplimiento de la legislacin. Costo de la retencin del riesgo.

METODOLOGAS DE ANLISIS DE RIESGOS.

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO

Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO

Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012

Seleccin de las metodologas.

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO

Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO

Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012

Anlisis de peligros y operabilidad (HAZOP).

8.3.9.3 Matrices de Riesgo.

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO

Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO

Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012

INFORME DEL ANLISIS DE RIESGOS.

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO

Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO

Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012

ANEXO A Listas de Verificacin

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO

Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO

Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO

Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO

Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO

Clave: 800-16400-DCO-GT-75 Revisin: 1 Fecha: 10/08/2012

GUAS TCNICAS PARA REALIZAR ANLISIS DE RIESGOS DE PROCESO