Cepsa - PR 063 01 Es

COPIA IMPRESA NO CONTROLADA
SEGURIDAD
APROBADO
FIRMADO POR: J. MIGUEL LAGAREJOS GARCÍA
FECHA: NOVIEMBRE 2010
FIRMA:
El documento original, que está aprobado por la persona y en la fecha arriba

indicadas (mediante firma autógrafa o electrónica), se encuentra bajo custodia
de la Unidad de Organización de CEPSA, de acuerdo con la normativa vigente.
PROCEDIMIENTO SOBRE ELABORACIÓN DE ESTUDIOS DE

RIESGO Y OPERABILIDAD (HAZOP/SIL)
PR-063 Rev. 1 / Nov. 2010 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 1 de 68
SEGURIDAD
GLOSARIO DE TÉRMINOS
 HAZOP (Hazard and Operability): Análisis de riesgo y operabilidad que permite identificar los
riesgos potenciales y operacionales producidos por desviaciones de los sistemas respecto a sus
condiciones de diseño.
 SIL (Safety Integrity Level): Nivel de integridad de seguridad. Se define como el nivel de reduc-
ción de riesgo que aporta una función instrumentada de seguridad.
 LOPA (Layer of Protection Analysis): Análisis de capas de protección. Es una herramienta

semicuantitativa para analizar y determinar riesgos de los escenarios de accidente.
 BPCS (Basic Process Control System): Sistema de control básico de procesos. Se define co-
mo un sistema que monitoriza y controla el proceso en continuo, proporcionando información al
operador. Comúnmente se le conoce como DCS. Los PLC de seguridad están excluidos de este
sistema.
 SIS (Safety Instrumented System): Sistema instrumentado de seguridad. Se trata de un sistema

compuesto por funciones instrumentadas que permiten mantener un nivel de seguridad en el
proceso cuando se producen condiciones de proceso inaceptables. Es independiente de los sis-
temas de control.
 SIF (Safety Instrumented Function): Función instrumentada de seguridad. Componen el siste-

ma instrumentado de seguridad (SIS). Está compuesta por un elemento primario de medida, un
controlador y un elemento final o actuador. Dispone de un nivel de integridad de seguridad (SIL)
determinado.
 IPL (Independent Protection Layer): Capa de protección independiente. Es un dispositivo, sis-

tema o acción que, cuando funciona, impide que el escenario evolucione hacia las consecuencias
no deseadas. Es independiente porque no está relacionada con el suceso iniciador o con la ac-
ción de ninguna otra capa de protección asociada al escenario.
 RG (Risk Gap): diferencia del riesgo del escenario sin capas de protección y el máximo riesgo
tolerable por la compañía.
 PFD (Probability of Failure on Demand): Probabilidad de fallo en demanda. Es la probabilidad

de que un sistema falle al ejecutar la función específica para la que es requerido.
 RRF (RIsk Reduction Factor): Factor de reducción del riesgo. Está relacionada con la probabi-
lidad de fallo en demanda (es su inversa) y mide los órdenes de magnitud que reduce el riesgo
un determinado dispositivo.
 Criterios de aceptación del riesgo: normas adoptadas para evaluar la idoneidad del riesgo re-
ferente a la protección del público, el personal de CEPSA (incluyendo a los contratistas), el medio
ambiente y los bienes de la compañía.
NOTA:
LA REVISIÓN DE ESTE PROCEDIMIENTO AFECTA SUSTANCIALMENTE AL

CONTENIDO DE LA REVISIÓN ANTERIOR
SEGURIDAD
PROCEDIMIENTO SOBRE ELABORACIÓN DE ESTUDIOS DE ANÁLISIS DE RIESGO Y

OPERABILIDAD (HAZOP) CONJUNTAMENTE CON LA DETERMINACIÓN DEL NIVEL DE
INTEGRIDAD DE SEGURIDAD (SIL) Y SU RELACIÓN CON LA APLICACIÓN DE LOS
CRITERIOS DE ACEPTACIÓN DEL RIESGO DE LA COMPAÑÍA
INTRODUCCIÓN
La técnica de análisis de riesgo y operabilidad HAZOP, que se ha empleado y desarrollado durante las
últimas cuatro décadas y que es ampliamente utilizada en las instalaciones del Grupo CEPSA, tiene el
propósito de identificar riesgos potenciales y problemas operacionales producidos por las desviaciones
en el comportamiento de los sistemas respecto a sus condiciones de diseño, tanto en instalaciones nue-
vas como en las ya existentes, y que pueden afectar a las personas, el medio ambiente o la integridad de
las mismas.
Por su parte, la determinación del nivel de integridad de seguridad, SIL, permite identificar, por un lado, la
diferencia entre el riesgo del escenario sin capas de protección y el máximo riesgo tolerable por la com-
pañía, valor que se conoce como “Risk gap”, y, por otro, la asignación de funciones de seguridad e identi-
ficación de las capas de protección.
Por tanto, la aplicación de ambas técnicas conjuntamente constituye una herramienta útil para el análisis
de riesgos, con el fin de asegurar que estos se encuentran dentro de los criterios de aceptación del ries-
go implantados en la compañía.
OBJETO
1. El objeto de este procedimiento es establecer la metodología de aplicación del estudio HAZOP/SIL

en las instalaciones del Grupo CEPSA, así como en los casos en los que debe adoptarse. Por otra
parte, estos estudios servirán como medio para implantar los criterios de aceptación del riesgo del
Grupo en todas sus instalaciones.
ÁMBITO Y CASOS DE APLICACIÓN
2. Este procedimiento se aplicará en las instalaciones de refino de petróleo y petroquímicas, termina-

les, almacenamiento de productos petrolíferos y petroquímicos del Grupo CEPSA, a excepción de
las estaciones de servicio y gasocentros.
3. El estudio HAZOP/SIL será aplicado en las instalaciones en los siguientes casos:

 Nuevas instalaciones.
 Modificaciones que afecten a las instalaciones y la aplicación del análisis del riesgo, según el
PR-104 o el procedimiento específico de gestión de cambios del centro, lo indique.
Este estudio será aplicado en la fase de diseño de la nueva instalación o modificación tan pronto
como sea posible y siempre que se disponga de la documentación de partida necesaria (P&IDs,
diagramas, listas de enclavamientos, etc), con el fin de que los posibles cambios que puedan surgir
de él, sean implementados en esta fase.
SEGURIDAD
PARTICIPANTES: RESPONSABILIDADES
4. El equipo HAZOP/SIL estará compuesto por:

 Coordinador o Facilitador.
 Secretario.
 Equipo multidisciplinar.
Coordinador o Facilitador
5. El Coordinador o Facilitador, el cual deberá ser independiente (por ejemplo, que no tenga relación
con el proceso, la modificación o la operación de las instalaciones objeto de estudio) tendrá las si-
guientes responsabilidades:
 Definir los motivos, el alcance y los objetivos del análisis, que serán explicados al grupo de tra-
bajo.
 Planificar las sesiones y el calendario de reunión.
 Analizar la documentación necesaria para la realización del estudio y comprobar que está dis-
ponible en cantidad, calidad y plazo adecuados.
 Definir los nodos en los que se subdivide el sistema y consensuarlos con los asistentes.
 Explicar la metodología de análisis HAZOP y asignación de índices SIL mediante gráficos de

riesgo al comienzo de las sesiones, sobre todo, para aquellos miembros del equipo de trabajo
que no estén familiarizados con la metodología.
 Aplicar las palabras guía y los parámetros de forma sistemática, así como los gráficos de riesgo.
 Asegurar que el grupo trabaja de forma efectiva, moderando y limitando las discusiones, man-
teniendo al grupo sobre el punto a discutir en cada caso y alentándolo a llegar a conclusiones,
exigiendo puntualidad a los asistentes, proponiendo las pautas/descansos necesarios, evitando
discusiones que estén fuera del alcance del estudio, etc.
 Seguir el progreso según la agenda acordada.
 Asegurar que se realiza el análisis de forma completa.
Secretario
6. El Secretario tendrá las siguientes funciones:

 Preparar las hojas de trabajo del estudio, particularizándolas para los procesos que se requieren
analizar. Para esta gestión se dispondrá de una herramienta informática según se indica en el
punto 107 de este procedimiento.
 Recopilar toda la información que vaya surgiendo a lo largo del estudio, así como todas las re-
comendaciones que puedan efectuarse, comprobando siempre la exactitud de la misma.
 Preparar los informes finales posteriores al estudio y su distribución entre los participantes.
La existencia de esta figura la determinará cada centro, pudiendo prescindir de ella, aunque se re-
comienda que se utilice siempre en el caso de estudios extensos o contratados a consultores exter-
nos. En aquellos casos en los que no exista esta figura, estas acciones serán acometidas por el
Coordinador o Facilitador.
SEGURIDAD
Equipo multidisciplinar
7. Este equipo estará compuesto por personas de distintas disciplinas, preferiblemente con experiencia
en el proceso o modificación a tratar en el estudio. Entre ellas, se destacarían las siguientes:
 Proyectos.
 Procesos.
 Electricidad e Instrumentación.
 Operaciones.
 Seguridad.
Adicionalmente, al principio o a lo largo del estudio se evaluará la necesidad de la presencia de otras

disciplinas, como, por ejemplo, Mantenimiento o Inspección.
El equipo participante en el estudio tendrá las siguientes responsabilidades:
 Analizar y estudiar la documentación suministrada por el Facilitador previamente al comienzo de

las sesiones.
 Participar activamente en la identificación de desviaciones, así como en la de causas y conse-

cuencias de los escenarios de riesgo identificados.
 Participar activamente en la asignación de índices SIL mediante los gráficos de riesgo.
 Identificar las salvaguardas existentes en cada caso y proponer recomendaciones.
DOCUMENTACIÓN
8. La documentación necesaria para preparar el estudio, así como para llevar a cabo el desarrollo del
mismo, será, sin carácter exhaustivo, la siguiente:
 Diagramas de flujo del proceso (PFDs).
 Diagramas de tubería e instrumentos (P&IDs).
 Descripción del proceso y sus distintos modos de operación (parada, operación normal y puesta
en marcha).
 Descripción del sistema de enclavamientos.
 Niveles SIL de las SIF existentes o, en su defecto, datos necesarios para su verificación poste-
rior.
 Matrices causa-efecto.
 Hojas de datos de seguridad de las sustancias involucradas.
 Balances de materia y energía.
 Plano de implantación.
 Información sobre accidentes previos.
 Gráficos de riesgo para la seguridad, el medio ambiente y riesgo financiero contenidas en la
presente guía.
 Matriz de riesgo del Grupo CEPSA para análisis LOPA.
SEGURIDAD
Para el correcto desarrollo del estudio, esta documentación estará actualizada, recogiendo todas las
posibles modificaciones que se hayan introducido en la vida de la instalación, si se trata de instala-
ciones existentes, o en fase de proyecto, si se trata de instalaciones nuevas.
Previamente al transcurso de las sesiones, se entregará una copia de la documentación a todos los
participantes, incluyendo los P&IDs marcados con los nodos objeto de estudio, definidos tal y como
se indica en el apartado siguiente.
METODOLOGÍA DE ANÁLISIS
9. Los participantes en el estudio, tal y como se ha definido anteriormente, se reunirán in situ para
realizar el análisis, cuyas etapas se indican en el siguiente gráfico:
ETAPA 1: DEFINICIÓN Y COMPROBACIÓN DE NODOS
10. Esta etapa es importante, ya que, en parte, define el nivel de resolución del análisis. Se debe subdi-
vidir el sistema objeto de estudio en nodos, los cuales engloban a uno o varios equipos y sus líneas
asociadas que tienen una misma intención de diseño, por lo que no significan un punto en el proce-
so. La definición de los mismos será labor del Coordinador del estudio.
11. Antes del comienzo de las sesiones, la lista de nodos deberá ser discutida y consensuada por los
asistentes al inicio del estudio. Se deberá comprobar que todas las partes de la unidad o proceso
están contempladas.
12. La lista inicial de nodos puede modificarse según avanza el estudio por diversos motivos: nodos
muy complicados de manejar, algún nodo que se ha pasado por alto, etc. Asimismo, no se reco-
mienda unificar nodos para acelerar el estudio, salvo justificación técnica.
SEGURIDAD
Consideraciones adicionales
13. A modo de guía, se indican los siguientes aspectos a tener en cuenta:

 No existe una única o correcta subdivisión del proceso y depende de la experiencia y pericia del
Coordinador.
 Nodos muy grandes pueden conducir a que la identificación de escenarios sea difícil y el análi-
sis sea más confuso.
 Nodos muy pequeños pueden hacer que el estudio sea muy repetitivo y que la “foto” global del
sistema sea difícil de ver.
 Se recomienda marcar cada uno de los nodos en los P&IDs con diferentes colores o trazos para
su correcto seguimiento a lo largo de las sesiones.
ETAPA 2: IDENTIFICACIÓN DE DESVIACIONES (aplicación de palabras clave)
14. Para la identificación de las posibles desviaciones del sistema respecto de sus condiciones de di-
seño, se aplicarán una serie de palabras clave o guía sistemáticamente. Se distinguen dos tipos de
palabras clave:
 Palabras clave primarias: enfocan la atención sobre un aspecto particular del objeto del diseño
o en una condición de proceso asociado o de un parámetro o flujo de material que cruza la ins-
talación objeto de estudio. Se suelen llamar parámetros.
 Palabras clave secundarias: combinadas con una palabra clave primaria sugieren posibles
desviaciones. Se suelen llamar palabras guía.
Palabras clave primarias (parámetros)
15. Estos términos reflejan tanto el objeto del diseño del proceso como los aspectos operacionales
presentes en la planta o instalación objeto de estudio. A continuación se enumera una lista de pala-
bras, la cual es únicamente ilustrativa, dado que los términos empleados en una revisión dependen
del tipo de instalación o proceso que se está estudiando. Las palabras más utilizadas suelen ser las
enumeradas en la primera columna. Se les conoce como parámetros específicos.
Flujo Separación Transferencia

Presión Reacción Oclusión
Temperatura Mezcla Corrosión
Nivel Absorción Erosión
Composición Agitación Reducción
16. Adicionalmente a los términos anteriores, pueden existir otros términos operacionales de importan-
cia, que se conocen como parámetros generales, y que son los siguientes:
Puesta en marcha Electricidad Gas Inerte

Parada Vapor Repuestos
Mantenimiento Aire comprimido Radiación
Inspección Agua de Refrigeración Clasificación de áreas
Nitrógeno Contención
SEGURIDAD
Palabras clave secundarias (palabras guía)
17. De la combinación de una palabra clave secundaria con una palabra clave primaria, surgen poten-
ciales desviaciones o problemas operacionales. A continuación se enumeran las más estandariza-
das:
Palabra Significado Ejemplo

No se logra la condición de diseño o no se
No No Flujo; No Contención
realiza el paso u operación
Se produce un aumento cuantitativo en la
Más condición de diseño o se hace más de lo es- Más Presión
pecificado en el procedimiento
Se produce una disminución cuantitativa en la
Menos Temperatura;
Menos condición de diseño o se hace menos de lo
Menos Mantenimiento
especificado en el procedimiento
Se produce lo opuesto de la condición de di-
Inverso seño o se hace lo contrario a lo especificado Flujo Inverso
en el procedimiento
Se produce la actividad, pero no en el modo Otra Composición;
Otro
deseado Otra Inspección
Ocurre una actividad adicional a la establecida
Flujo También (indicando con-
en la condición de diseño o se hace más de lo
También taminación en una corriente de
especificado en el procedimiento en un sentido
producto)
cualitativo
18. Adicionalmente, se pueden establecer otras palabras relacionadas con el término temporal, usual-
mente para procesos discontinuos:
Palabra Significado Ejemplo

La acción se produce en un tiempo no ade-
Temprano / Tarde Procesos secuenciales
cuado a la condición de diseño
El paso o parte de él se efectúa fuera de se-
Antes / Después Procesos secuenciales
cuencia
El propósito de diseño se logra sólo en parte
Fluctuación Fluctuación Flujo
del tiempo
19. Es importante señalar que no todas las combinaciones de palabras claves primarias y secundarias
son apropiadas. Por ejemplo, No Temperatura (cero absoluto) carece de significado.
Aplicación de palabras clave
20. Se deberán aplicar sistemáticamente las combinaciones de palabras clave primarias y secundarias
a cada uno de los nodos, con el fin de conocer las desviaciones de los parámetros de diseño que
podrían provocar daños a los equipos, al medio ambiente o a las personas.
21. Todas las desviaciones que se traten en el desarrollo del estudio deberán quedar reflejadas en las
tablas de recopilación de datos, aún en el caso de que no se hayan detectado causas previsibles de
que se produzca dicha desviación. En estos casos, deberá indicarse “Sin causas previsibles”.
SEGURIDAD

 El equipo HAZOP/SIL deberá identificar en cada nodo los parámetros que son aplicables. Para
facilitar esta tarea, se puede tener en cuenta:
o Los parámetros de proceso que se controlan (presión, caudal, temperatura, composición,

etc).
o Los parámetros críticos de operación que se listan en los procedimientos.
o Los equipos presentes (agitadores, reactores, etc).
o Las operaciones que se llevan a cabo en la instalación (separación, centrifugación, etc).
o Las acciones requeridas por los procedimientos.
o El conocimiento y la experiencia de los participantes.
 Cada uno de los parámetros debe tener definida su intención. Para la mayoría de ellos es el
rango de valores permitidos en operación y para otros, puede ser el valor de una especificación.
(Ejemplos: temperatura entre 100-150ºC, nivel entre el 20 y el 80%, producto con contenido en
agua inferior al 0,1%).
 Para definir los valores en la intención, existen diversos enfoques: límites de operación normal,
límites de alarmas, límites de parada de unidad, límites de diseño, etc. El equipo HAZOP/SIL
deberá consensuar en cada caso qué límites elegir.
ETAPA 3: DEFINICIÓN DE CAUSAS Y CONSECUENCIAS
DETERMINACIÓN DE CAUSAS
23. En esta primera parte de la etapa, se determinarán qué causas pueden provocar las desviaciones
definidas en la etapa anterior. Esta etapa representa el mayor esfuerzo de “brainstorming” del equipo
HAZOP/SIL, ya que asegurar una lista completa de causas creíbles es la clave para un análisis
completo. Se distinguen los siguientes tipos de causas:
 Fallos de equipos (incluida instrumentación).
 Fallos humanos
 Eventos externos
Fallos de equipos
24. Se distinguen los siguientes tipos:

 Mecánico, eléctrico, programación, electrónico, estructural, etc.
25. Para describirlos, puede ser útil utilizar las siguientes preguntas: ¿Qué? ¿Cuál? ¿Cómo? ¿Por qué?
(Ejemplo: La bomba P-101 se para por fallo mecánico).
SEGURIDAD
Fallos humanos

 La acción no se ejecuta.
 La acción se ejecuta incorrectamente.
 Se ejecuta una acción no requerida.
 Se ejecuta una acción prohibida o diferente de la prescrita.
27. Para describirlos, puede ser útil utilizar las siguientes preguntas: ¿Qué? ¿Cuál? ¿Quién? ¿Por qué?
(Ejemplo: La válvula de drenaje del depósito V-01 no fue cerrada por el operador por sobrecarga de
trabajo).
Eventos externos

 Naturales: inundaciones, tormentas, etc.
 Humanos: choque de vehículos, objetos caídos de grúas, etc.
 Fallo de servicios auxiliares: electricidad, aire de instrumentos, etc.
 Efecto dominó.
29. Para describirlos, puede ser útil utilizar las siguientes preguntas: ¿Qué? ¿Cuál? ¿Cómo? ¿Por qué?
(Ejemplo: Pérdida de refrigeración en el reactor C-02 por fallo de agua de refrigeración debido a un
suministro inadecuado).
30. La descripción de la causa debe ser completa, ya que representa el punto de partida de un posible
escenario de riesgo y específica, para evitar que se produzcan malinterpretaciones. Asimismo, la
causa debe tener un nivel de detalle adecuado. Se distinguen los siguientes niveles de detalle (je-
rarquía de causalidad):
SEGURIDAD
Se establece como nivel usual para el análisis el número 2 “definición de causas básicas”. Para los
casos en los que es necesario aplicar el análisis LOPA, puede ser útil llegar al nivel número 3 “de-
terminación de modificadores”.
31. De las causas identificadas, es necesario decidir cuáles son creíbles. Guías:
 Utilizar experiencia previa, tanto en la propia planta como en otras similares en la compañía o en
otras. Puede ser útil preguntar si algún miembro del equipo HAZOP/SIL la ha visto antes.
 Revisar informes de incidentes/accidentes previos.
 No asumir que algo no puede ocurrir simplemente porque no ha pasado antes.
 No eliminar causas creíbles porque existan salvaguardas.
32. Es necesario centrarse en las causas que se originan dentro del nodo, pero no hay que excluir las
causas que procedan de otros nodos, ya que los procesos están interconectados entre sí y para un
nodo, las causas de una desviación pueden originarse dentro del mismo, aguas arriba o aguas aba-
jo.
33. Las causas de la desviación de nodos anteriores no es necesario repetirlas en el nodo del estudio,
por lo que sólo habrá que hacer referencia a dicho nodo.
34. Las causas de la desviación de un nodo posterior no es necesario identificarlas en el nodo del es-
tudio. Se hará posteriormente cuando se estudie éste.
35. Se considerará la posibilidad de introducir causas resultantes de múltiples fallos y fallos de causa
común.
Múltiples fallos
36. Implican que están involucrados dos o más sucesos juntos. Existen escenarios en los que múltiples
fallos tienen consecuencias más graves que aquellos que involucran a sólo uno de ellos, por lo que
pueden requerirse salvaguardas adicionales.
37. El equipo HAZOP/SIL consensuará aquellas causas creíbles de múltiples fallos. Guías:
 Dos fallos humanos concurrentes son creíbles.
 Un fallo simple de un equipo unido a un fallo humano es creíble.
 Los fallos simultáneos de dos o más partes independientes de un equipo no es creíble.
 Un fallo simple de un equipo o fallo humano junto a un evento externo puede no ser creíble.
 La ocurrencia simultánea de dos o más eventos externos independientes no es creíble.
Fallos de causa común
38. Se trata de un tipo de fallo donde fallos múltiples simultáneos (o casi) resultan de una causa simple
compartida. Fuentes de fallos de causa común:
SEGURIDAD
 Servicios auxiliares: electricidad, aire de instrumentos, etc.
 Humanos: errores de especificación, diseño, etc.
 Mantenimiento: herramientas, procedimientos, etc.
 Factores externos: tormentas, inundaciones, etc.
 Localización común.
 Corrosión, taponamiento, ensuciamiento, etc.
DETERMINACIÓN DE CONSECUENCIAS
39. En esta segunda parte de la etapa, el objetivo es describir los sucesos que tiene lugar a partir de las
causas de la desviación (escenarios) hasta su evolución final (consecuencias) en orden cronológico.
40. A modo de guía, se indican las siguientes pautas para definir los escenarios:
 Identificar los riesgos de las sustancias involucradas: toxicidad, inflamabilidad, etc.
 Pueden existir múltiples escenarios para cada riesgo: incendio, explosión, dispersión de nube
tóxica, etc.
 Utilizar palabras como “posible” o “potencial” cuando no se tenga certeza de que se vayan a
producir los escenarios.
 Usar un nivel apropiado de detalle. Puede ser útil responder a las preguntas: ¿Cómo? ¿Dónde?
¿Qué? (Ejemplo: Fuga de líquido inflamable a través de las juntas de un LG en el fondo del de-
pósito C-02 con resultado de fuego).
 Si existen daños a los equipos, habrá que indicarlo.
 No todos los escenarios tendrán consecuencias para la seguridad, el medio ambiente o la pro-
piedad. Algunos pueden ser problemas de operabilidad, por lo que habría que identificar si estos
producen paradas de planta o de equipos, productos fuera de especificación, etc. En aquellos
casos donde no exista un riesgo en la desviación estudiada, se deberá indicar en la tabla de
recopilación de datos “Sin consecuencias para la seguridad, el medio ambiente o financieras”.
41. A modo de guía, se indican las siguientes pautas para definir las consecuencias:
 Las consecuencias se definirán como si no existieran salvaguardas, es decir, se especificarán
en el peor de los casos creíble.
 Al igual que en el caso anterior de los escenarios, habrá que definirlas con un nivel apropiado de
detalle y se usarán palabras como “posible” o “potencial” cuando no se esté seguro de su exis-
tencia.
 Se evaluarán tres tipos de consecuencias:

o Seguridad (C).
o Medio ambiente (E).
o Financieras (A).
SEGURIDAD
ETAPA 4: EVALUACIÓN DE CONSECUENCIAS Y DETERMINACIÓN DE LA REDUCCIÓN DE RIESGO

(RISK GAP) (aplicación de los gráficos de riesgo)
42. Se determinará y evaluará el riesgo de cada conjunto causa-escenario-consecuencia que tenga

consecuencias para la seguridad, el medio ambiente o los equipos mediante la aplicación de los
gráficos de riesgo. En el anexo II de este procedimiento se encuentran los tres gráficos que se de-
berán utilizar.
43. Para la aplicación de los gráficos de riesgo es necesario:

 Seleccionar un parámetro de consecuencias (C, E y A).
 Seleccionar un parámetro de probabilidad de ocupación y de evitar el peligro (F y P, sólo en el

gráfico de consecuencias para la seguridad para los casos que se haya seleccionado el pará-
metro de consecuencias C2 o C3).
 Seleccionar un parámetro de frecuencia de ocurrencia (W).
44. El equipo HAZOP/SIL deberá seleccionar los parámetros correspondientes en función a su conoci-
miento y experiencia. Es importante ser homogéneos en la selección.
GRÁFICO DE RIESGO PARA LA SEGURIDAD
45. El gráfico de riesgo para la seguridad de las personas es el siguiente:
SEGURIDAD
46. En los puntos siguientes se describen los parámetros que aparecen en él. En el anexo III de este
procedimiento se encuentra una serie de indicaciones que pueden servir de ayuda para la elección
de dichos parámetros.
Parámetro de consecuencias (C)
47. Este parámetro tiene en cuenta:

 La operación del proceso.
 La peligrosidad, la cantidad y el estado de la sustancia fugada (en caso de roturas).
 La magnitud y la extensión del evento y la gravedad de las lesiones.
 Experiencia y conocimiento de los riesgos de proceso.
48. Los valores que puede tomar este parámetro, así como su descripción, son los siguientes:
Parámetro de
Descripción
consecuencias
Evento con potencial suficiente (por magnitud y extensión) para causar una
C1
lesión menor en una persona, sin poder resultar en una muerte.
Evento con potencial suficiente (por magnitud y extensión) para causar lesiones
C2
mayores permanentes a una o a varias personas, o una muerte.
Evento con potencial suficiente (por magnitud y extensión) para causar la muerte
C3
de varias personas (de 2 a 9 – la media geométrica es 3).
Evento con potencial suficiente (por magnitud y extensión) para causar la muerte
C4
de muchas personas (10 o más).
49. La selección del parámetro C se hará teniendo en cuenta la magnitud y la extensión del evento,
prescindiendo del número de personas que puedan encontrarse en las inmediaciones. Se trata de
analizar la potencial afectación en términos de extensión.
Parámetro de probabilidad de ocupación o de exposición (F)
50. Este parámetro sólo se aplica cuando se ha seleccionado el parámetro de consecuencias C2 o C3 y

tiene en cuenta:
 La presencia de personal en la zona.
 La probabilidad de que el personal esté expuesto al peligro.
51. Los valores que puede tomar este parámetro, así como su descripción son los siguientes:
Parámetro de
Descripción
ocupación
F1 Exposición en la zona peligrosa de rara a ocasional (parámetro por defecto).
F2 Exposición frecuente o permanente en la zona peligrosa.
SEGURIDAD
Parámetro de probabilidad de evitar el peligro (P)
52. Este parámetro sólo se aplica cuando se ha seleccionado el parámetro de consecuencias C2 y tiene
en cuenta:
 La velocidad con la que un evento peligroso se desarrolla (Ejemplo: bruscamente, rápidamente,

lentamente).
 La facilidad para detectar el peligro (Ejemplo: visto inmediatamente, detectado por medidas téc-
nicas, determinado sin medidas técnicas).
 La posibilidad de evitar el daño (Ejemplo: rutas de escape viables a mano, trajes de protección
personal, protección mediante estructuras).
 Experiencia y conocimiento de los riesgos del proceso.
Parámetro de
probabilidad de Descripción
evitar el peligro
P1 Posible en ciertas situaciones (necesita justificación).
P2 Prácticamente imposible de evitar el peligro (parámetro por defecto).
Parámetro de frecuencia de los escenarios (W)
54. Para seleccionar el valor del parámetro W, el equipo HAZOP/SIL deberá estimar la probabilidad de
ocurrencia del evento de manera cualitativa durante la vida de la planta sin tener en cuenta ninguna
salvaguarda tecnológica ni para la prevención ni para la mitigación o protección (como por ejemplo:
acciones manuales como pulsadores de emergencia, SIFs, PSVs, detectores, alarmas, etc.).
55. Solamente se considerará para la selección los controles normales del proceso (producción) y la
supervisión lógica por parte de los operadores en base a los procedimientos de operación y mante-
nimiento, y a su formación (no se debe confundir esta supervisión con la supervisión y respuesta a
las alarmas por parte de los operadores que es otra capa de protección distinta).
56. Los valores que puede tomar este parámetro, así como su descripción se encuentra en la tabla si-
guiente:
Parámetro de
Descripción
frecuencia
No se espera que el suceso ocurra durante la vida de las instalaciones
W1
(Equivalente a W < 10-2/año).
Se espera que el suceso ocurra durante la vida de las instalaciones (promedio
W2 de 30 años, aproximadamente la vida útil de la planta) (parámetro por defecto)
(Equivalente a 10-2/año ≤ W < 10-1/año).
Se espera que el suceso ocurra frecuentemente durante la vida de la planta
W3
(Equivalente a 10-1/año ≤ W < 1/año).
SEGURIDAD
57. Si W > 1/año se deberá realizar una revisión de las causas que provocan el evento con el fin de
estudiar cómo reducir su frecuencia de ocurrencia.
58. Este parámetro aparece en el resto de gráficos de riesgo (medio ambiente y financiero), por lo que
la descripción en dichos casos es la misma que la que se realiza en este apartado.
GRÁFICO DE RIESGO PARA LA PROTECCIÓN MEDIOAMBIENTAL
59. El gráfico de riesgo para la protección medioambiental es el siguiente:
Parámetro de consecuencias medioambientales (E)
61. Para evaluar las consecuencias medioambientales se deberá tener en cuenta:

 La peligrosidad potencial de evento indeseado a efectos de daños ambientales (no a personas o
bienes).
 El alcance de las consecuencias (dentro o fuera de la valla).
 La susceptibilidad de causar malestar en la comunidad local, regional, nacional o internacional.
 La sensibilidad del medio receptor.
SEGURIDAD
Parámetro de
consecuencias Descripción
medioambientales
Incidente medioambiental (según el PR-189) que constituye una no conformidad (según el
E1 PR-092) y que no tiene consecuencias medioambientales.
Accidente medioambiental (según el PR-189) con consecuencias mínimas conocidas
E2 dentro del establecimiento que precisan de acciones remediadoras.
Accidente medioambiental (según el PR-189) con consecuencias mínimas conocidas
E3 fuera del establecimiento que causa indignación en la comunidad local o en las
Autoridades Competentes (riesgo de tener problemas en futuros permisos).
Accidente medioambiental (según el PR-189) con efectos negativos conocidos fuera del
E4 establecimiento pero que se consideran reversibles en 2 años.
Accidente medioambiental (según el PR-189) con efectos negativos fuera del
E5 establecimiento a largo plazo. Este evento induce un cambio en el entorno y resulta en
cuestiones o acciones a nivel regional o nacional.
Accidente medioambiental (según el PR-189) con efectos catastróficos fuera del
E6 establecimiento.
63. Las definiciones de referencia que aparecen en el cuadro anterior son las siguientes:
 Incidente medioambiental (PR-189): todo suceso eventual no controlado que hubiera podido
producir contaminación significativa del aire, agua o suelo.
 No conformidad (PR-092): incumplimiento de un requisito. Desviaciones o ausencia de una o
varias características de calidad de los bienes o servicios, procesos o variables ambientales.
También referida a normativa de sistemas de gestión de calidad, seguridad y medio ambiente.
 Accidente medioambiental (PR-189): todo suceso eventual no controlado que produce contami-
nación significativa del aire, agua o suelo.
GRÁFICO DE RIESGOS FINANCIEROS

64. El gráfico de riesgos financieros es el siguiente:
SEGURIDAD
Parámetro de consecuencias financieras (A)
66. Para evaluar los riesgos financieros se deberán tener en cuenta todas las pérdidas económicas
asociadas al escenario, sin tener en cuenta posibles seguros que cubran los daños:
 Costes de demolición (eliminar equipos dañados).
 Costes de material e instalación del equipo (suministro e instalación).
 Costes de la interrupción de la producción.
67. Los valores que puede tomar este parámetro son los siguientes:
Parámetro de
consecuencias financieras Descripción
Interrupción menor del proceso y/o daños en equipos (105 € > pérdidas totales).
A1
Interrupción del proceso y/o daños en equipos (105 € ≤ pérdidas totales < 106
A2
€).
Interrupción moderada del proceso o daños en equipos (106 € ≤ pérdidas totales

A3
< 107 €).
Interrupción grave del proceso o daños en equipos (107 € ≤ pérdidas totales <
A4
108 €).
A5 Daños severos en equipos esenciales (108 € ≤ pérdidas totales < 109 €).
A6 Pérdidas catastróficas (pérdidas totales ≥ 109 €).
RESULTADOS DE LA APLICACIÓN DE LOS GRÁFICOS
68. De la aplicación de cada uno de los gráficos, según sea conveniente, se obtendrán unos valores de
la reducción del riesgo en cada ámbito (seguridad, medio ambiente y financiero), que se identifican
como Risk Gap (RG). En este caso se consideran como valores iniciales, ya que no se han evalua-
do todavía las capas de protección existentes.
69. Los resultados posibles de la aplicación de los gráficos de riesgo y las implicaciones que tienen son
los siguientes:
SEGURIDAD
Resultado del gráfico de

riesgo Significado Implicaciones
(valor de RG inicial)
No son necesarias medidas de reducción de riesgo
especiales, ya que el riesgo está cubierto.
En los casos donde se obtenga un valor de “a”, se
-,a Reducción de riesgo NO necesaria
puede estudiar la implantación de una mejora en-
caminada a la supervisión (alarmas adicionales en
BPCS, procedimientos escritos en operación, etc).
Es necesario verificar las salvaguardas existentes o
implantar medidas adicionales de reducción del
riesgo.
El RG se cubrirá mediante capas de protección no
1, 2 o 3 Reducción de riesgo necesaria
instrumentadas con sus correspondientes créditos
IPL o con funciones instrumentadas de seguridad
con su correspondiente nivel SIL verificado o con una
combinación de ambas.
Es necesario realizar un estudio en profundidad para
4, h Reducción de riesgo necesaria
rediseñar el proceso.
70. Estos valores indican el número de órdenes de magnitud que deben reducirse para que el riesgo
sea aceptable y cumpla con los criterios de aceptación establecidos por la compañía.
71. A modo de resumen, en el anexo I de este procedimiento se encuentra un diagrama que indica las
acciones a realizar según el valor del Risk Gap inicial obtenido.
CASOS ESPECIALES (ANÁLISIS LOPA, ACR, ESTUDIOS DE ALCANCE DE CONSECUENCIAS)
72. En los casos donde se obtenga un valor de Risk Gap inicial de 2, se pueden encontrar los siguientes
supuestos:
 Si se dispone, al menos, de dos capas de protección independientes (sean instrumentadas o
no) que permitan cerrar este RG, no será necesario realizar ningún análisis adicional, a no ser
que existan dudas razonables sobre la independencia o eficacia de las medidas identificadas, en
cuyo caso habría que realizar un análisis de capas de protección (LOPA).
 Si se dispone de una única capa de protección independiente (sea instrumentada o no) que
permita cerrar este RG, será necesario realizar un análisis LOPA que demuestre que su actua-
ción es eficaz en la evolución del suceso peligroso y no es necesario implantar ninguna capa de
protección independiente adicional.
73. En los casos donde se obtenga un valor de Risk Gap inicial de 3, se deberán realizar análisis LOPA
que permitan comprobar la independencia de las capas de protección identificadas y su eficacia de
actuación en la evolución del suceso peligroso, ya que se consideran escenarios con un riesgo ele-
vado.
74. Cuando se obtenga un valor de Risk Gap inicial de 4 o “h”, tal y como se ha indicado, se requiere
rediseñar el proceso debido a que el escenario presenta un riesgo intolerable. En este caso, es pre-
ciso realizar un análisis cuantitativo de riesgo (ACR) para la confirmación de este valor de RG.
75. Cuando después de aplicar un análisis LOPA al escenario, se requiera la implantación de una SIF
con SIL ≤ 2, el nivel de detalle del análisis justifica que no son necesarios estudios más detallados, a
menos que el analista LOPA o el experto en seguridad responsable considere lo contrario.
SEGURIDAD
76. Cuando los requerimientos de una SIF sean SIL ≥ 3, se debe realizar un análisis cuantitativo de
riesgo (ACR) debido a que es necesario verificar que se requiere una SIF con ese nivel de SIL.
77. La categoría de consecuencias más severa (C4, E6 o A6) requiere un análisis de consecuencias
detallado y cuantitativo, independientemente de la frecuencia del suceso, que confirme la selección
de esta categoría. En el anexo VI de este procedimiento se encuentra una guía orientativa de los
puntos a tener en cuenta para realizar este análisis, así como las metodologías más utilizadas.
78. La realización del análisis LOPA implica la identificación positiva de IPLs y la cuantificación de la
frecuencia de las consecuencias indeseadas mediante la elaboración de árboles de fallos y/o suce-
sos. Estos árboles se acompañarán de unas tablas resumen cuyo contenido orientativo se encuen-
tra en el anexo XI de este procedimiento.
79. La frecuencia de las consecuencias indeseadas obtenida del análisis LOPA se comparará con los
criterios de aceptación del riesgo del Grupo CEPSA, que se encuentran en forma de matriz de ries-
go, la cual se encuentra en el anexo V de este procedimiento. Esta comparación permitirá identificar
si las IPLs identificadas son suficientes o se requieren IPLs adicionales.
80. En el anexo IV de este procedimiento se encuentra una descripción orientativa de la metodología de

análisis LOPA. Estos estudios serán elaborados por el consultor externo contratado, si aplica, o por
algún experto de la organización de cada centro.
ETAPA 5: IDENTIFICACIÓN DE SALVAGUARDAS (capas de protección independientes)
81. Para cada escenario que tenga consecuencias para la seguridad, el medio ambiente y/o financieras,
será necesario identificar las salvaguardas o capas de protección que se encuentran presentes, sea
cual sea el valor del Risk Gap inicial obtenido. Además, cuando se haya obtenido un valor de Risk
Gap inicial  1, será necesario definir el número de créditos IPL (capas no instrumentadas) o nivel
SIL (funciones instrumentadas) que tienen y que permiten cerrar el nivel de riesgo detectado.

 Se deberán identificar claramente las salvaguardas con un nivel apropiado de detalle. Puede ser
útil responder preguntas como ¿Qué? ¿Dónde? (Ejemplo: Válvula de seguridad PSV-001 que
protege al depósito C-02).
 Cuando se trate de salvaguardas como instrumentos, alarmas, funciones instrumentadas de

seguridad (SIF), válvulas de seguridad, etc, que posean un tag determinado, éste deberá ser
indicado.
 Es necesario definir las salvaguardas para cada escenario identificado.
 Hay que comprobar que las salvaguardas están registradas y documentadas.
 Si existen salvaguardas de otros nodos que son aplicables al escenario que se está estudiando
o aplican al proceso completo, habrá que indicarlas.
 Las salvaguardas no pueden depender de otros elementos del escenario.
 Las salvaguardas deben ser independientes entre sí.
SEGURIDAD
CLASES DE CAPAS DE PROTECCIÓN
83. Existen los siguientes tipos de salvaguardas o capas de protección:

 Prevención: dirigida a la reducción de la probabilidad de las causas.
 Detección: aplicable a causas o consecuencias.
 Mitigación: dirigida a la reducción de la severidad de las consecuencias.
84. En general, se pueden distinguir las siguientes capas de protección:

 Diseño del proceso – seguridad intrínseca.
 Control de procesos (BPCS) – sistema de monitorización.
 Supervisión – intervención humana (PCMS).
 Sistema instrumentado de protección (IPS) (incluye los sistemas instrumentados de seguridad,
SIS).
 Sistemas mecánicos para la mitigación (válvulas de seguridad, discos de ruptura, etc).
 Protección física (pasiva) después de la fuga (cubetos, muros contra explosión, ignifugado, etc).
 Instalaciones externas (activas) para la reducción del riesgo (ERRFs) (sistemas Fire&Gas, sis-
temas activos de protección contra incendios, sistemas de paro de emergencia, etc).
 Respuesta contra emergencias (dentro y fuera de la planta).
85. En el anexo VII de este procedimiento se encuentra una descripción de cada una de las capas de
protección enumeradas.
CIERRE DEL VALOR DE RISK GAP OBTENIDO
86. Tal y como se indica en el punto 81, cuando se ha obtenido un valor de Risk Gap inicial  1, se debe
cerrar con capas de protección independientes (IPLs).
87. Una capa de protección independiente se define como un dispositivo, sistema o acción que es ca-
paz de prevenir que un escenario llegue a su consecuencia indeseada siendo independiente del
suceso iniciador o de la acción de cualquier otra capa de protección asociada con el escenario.
88. Una capa de protección pueda ser considerada como independiente (IPL) si se diseña y gestiona de
forma que cumpla con los siguientes requisitos esenciales:
 Independencia: el buen funcionamiento de una capa de protección no se puede ver afectado por
ninguna de las causas del evento peligroso o por el fallo de otras capas de protección.
 Funcionalidad: la operación de la capa de protección en respuesta al evento peligroso deberá

ser la requerida, es decir, que debe ser capaz de detectar, decidir, proteger y ser específica para
un escenario.
 Integridad: el diseño y la gestión de la capa de protección definirán su integridad en relación a la

reducción del riesgo que se puede esperar de ella de manera razonable. Una IPL tiene que ser
suficientemente grande (capacidad física), suficientemente rápida (para actuar), suficientemente
inteligente (bien diseñada) y suficientemente robusta.
SEGURIDAD
 Fiabilidad: está relacionada con la probabilidad de que la capa de protección funcionará como
se ha previsto en unas condiciones predeterminadas y en un período de tiempo definido. Una
IPL debe ser razonablemente fiable, es decir, ser capaz de reducir el riesgo de un evento peli-
groso un factor 10 (equivalente a un crédito IPL).
 Auditabilidad: está relacionada con la habilidad para inspeccionar información, documentos y

procedimientos que demuestren la conformidad con el diseño, inspección, mantenimiento, prue-
ba y prácticas de operación empleados para cumplir con los otros requisitos.
 Control de accesos: garantizar que el acceso a la IPL está controlado para reducir o evitar po-
sibles cambios no intencionados o no autorizados (controles administrativos y medios físicos).
 Gestión del cambio: garantizar que los cambios son revisados, documentados y aprobados an-
tes de su implementación, de acuerdo a los procedimientos establecidos.
89. Para cada capa de protección candidata a ser considerada como IPL, se deberá evaluar el grado de
cumplimiento de cada uno de estos requisitos para determinar si efectivamente se le puede con-
siderar como tal.
90. Por tanto, el valor del Risk Gap final de cada escenario se calculará de la siguiente forma:
[Risk Gap final] = [Risk Gap inicial] - [SUMA de Créditos IPL] - [SUMA de nivel SIL (si aplica)]
Este valor debe ser igual a 0 para que el riesgo se considere cubierto. De lo contrario, será necesa-
rio realizar recomendaciones encaminadas a la reducción del mismo.
91. Por tanto, será necesario definir a qué capas de las indicadas se les puede asignar créditos IPL en
las etapas de cierre del valor del RG inicial y en la de análisis de capas de protección (LOPA), así
como el número de créditos máximos de cada una. En el anexo VIII de este procedimiento se en-
cuentra una tabla resumen con estas consideraciones.
92. En el caso de las capas de protección no instrumentadas, el valor de créditos IPL asignado a cada
ítem deberá revisarse teniendo en cuenta la situación particular de cada planta (tiempo de uso, tipo
de material, experiencia en la operación a modo de considerar fiabilidad, históricos de accidente,
diseños específicos, calidad del instrumento o del equipo, etc.), pudiendo considerarse que su nú-
mero de créditos IPL es inferior al indicado.
93. En el caso de las capas de protección instrumentadas, el nivel SIL de la SIF debe estar verificado
para poder asignarle dicho valor. En caso contrario, será necesario proceder a su verificación me-
diante el uso de las herramientas adecuadas (software tipo exSILentia, etc).
94. Los procedimientos y las inspecciones no pueden ser considerados por sí mismos como IPLs, ya
que no tienen la habilidad de detectar el suceso iniciador que conduce a una consecuencia, no pue-
den tomar una decisión para tomar una acción y no pueden actuar para prevenir la consecuencia.
Por ejemplo, los procedimientos usados durante operaciones pueden reducir la frecuencia del su-
ceso iniciador (listas de chequeo y puesta en marcha) y las inspecciones ayudan a que una IPL
tenga una menor probabilidad de fallo cuando tenga que actuar.
SEGURIDAD
ETAPA 6: IDENTIFICACIÓN DE RECOMENDACIONES (priorización y seguimiento)
95. En esta etapa se trata de especificar aquellas medidas de reducción del riesgo específicas que van
encaminadas a cubrir el Risk Gap final en aquellos casos donde ha quedado pendiente (RG final 
0) a través de la mejora de las salvaguardas existentes (o comprobación de su eficacia) o mediante
la introducción de nuevas salvaguardas.
96. Aunque el Risk Gap esté cubierto, el equipo HAZOP/SIL puede hacer recomendaciones sobre cual-
quier aspecto que considere oportuno.
97. La jerarquía de medidas de reducción es la siguiente:

 Eliminación
 Prevención
 Control
 Mitigación
 Respuesta ante emergencias
98. Por tanto, el orden de preferencia a la hora de implementar una IPL es el siguiente:
 1º) Solucionar el problema fuera del proceso (rediseño): es decir, intentar sustituir soluciones
que requieren sistemas instrumentados por otras que no los requieran.
 2º) Protección mediante un sistema no instrumentado (válvula de seguridad, disco de ruptura,

cubeto, etc).
 3º) Protección mediante un sistema instrumentado. Una función instrumentada de seguridad

(SIF) debería ser la solución a tener en cuenta cuando otras soluciones no sean factibles. Estas
SIF deben ser especificadas de manera que cumplan:
[Nivel SIL de la SIF] = [Risk Gap] – [SUMA de Créditos IPL]
99. Como norma general, son preferibles aquellas IPLs lo menos complejas posibles y con menor man-
tenimiento. Por otra parte, se prefieren IPLs preventivas sobre las de atenuación o mitigación. Ade-
más, se pueden implantar medidas administrativas (por ejemplo, los procedimientos) encaminadas a
mejorar las medidas existentes (por ejemplo, la intervención humana).

 Las recomendaciones deben ser redactadas de forma clara y concisa, asegurando que un ter-
cero las entienda completamente. Algunas preguntas útiles para su descripción pueden ser
¿Qué? ¿Dónde? ¿Por qué? (Ejemplo: Instalar válvula antirretorno en línea de transferencia en-
tre C-01 y C-02 para impedir el flujo inverso de producto que contamine C-02).
 El imperativo se deberá utilizar con cuidado. Se recomienda usar palabras como “Considerar”,
“Evaluar”, “Estudiar”, etc, ya que pueden existir varias alternativas.
 Se recomienda incluir el departamento responsable de la acción, aunque se puede hacer a pos-
teriori.
SEGURIDAD
 Cada recomendación debe ser individual, por lo que no es conveniente combinarlas. Asimismo,
deben ir numeradas.
 Estas recomendaciones podrían incluir la verificación del valor de la reducción del riesgo asig-
nado para una determinada capa de protección, así como de los niveles SIL asociados a una
determinada función instrumentada de seguridad (SIF), si no lo están. Relacionado con esto,
podría ser necesario verificar si se puede incrementar la fiabilidad de las existentes, por ejemplo,
mediante programas mejorados de mantenimiento y prueba.
PRIORIZACIÓN Y SEGUIMIENTO DE RECOMENDACIONES
101. Una vez finalizado el estudio de todos y cada uno de los nodos, se deben enumerar y recopilar
todas las recomendaciones que han salido del estudio. Para hacerlo de forma esquemática, se re-
flejarán en forma de tabla como la contenida en el anexo X de este procedimiento, colocando en co-
lumnas el nodo donde se ha identificado la recomendación, la descripción de la misma, el respon-
sable designado y el plazo de ejecución. Se podrán añadir o eliminar aquellas columnas que se
consideren oportunas.
102. Con el fin de separar las acciones que están pendientes de verificar (por ejemplo, verificación del
nivel SIL de una SIF, verificación de la independencia de una capa de protección, etc), de las reco-
mendaciones que requieren la introducción de un elemento nuevo en la instalación (instalación de
un nuevo enclavamiento, etc), éstas deberán separarse en dos grupos o tablas diferentes como las
indicadas en el punto anterior.
103. Con el fin de acometer las recomendaciones, es necesario realizar una priorización de cada una de
ellas. Para ello es necesario distinguir entre recomendaciones que suponen una mejora del proceso
(por ejemplo, configuración de alguna alarma de presión o temperatura en el sistema de control) y
aquellas que serían obligatoriamente necesarias para poner en marcha la instalación o seguir con la
operación de manera que no afectaran a la seguridad de los equipos, personas o medio ambiente
(por ejemplo, instalación de un “trip” de emergencia que proteja a un equipo de posibles daños). Es-
ta priorización se hará teniendo en cuenta el valor del Risk Gap final de cada escenario.
104. Teniendo en cuenta este último punto, la priorización de recomendaciones se hará de la siguiente
forma:
Valor de RG final Tipo de acción
Si se ha optado por hacer algún tipo de recomenda-

-,a ción, ésta se considerará Acción Recomendada
1 Acción Obligatoria y a realizar en un plazo definido
2 Acción Obligatoria y a realizar de forma inmediata
105. Es necesario realizar un seguimiento de las acciones, con el fin de llevar a cabo el control de que se
acometan en forma y plazo que se hubiera acordado en las sesiones o posteriormente, fruto de un
análisis más detallado de las mismas.
SEGURIDAD
106. Cuando de la respuesta de una acción se deriven otras, o se modifique el diseño de forma que re-
quiera una ampliación del estudio realizado, será necesario hacer llegar las nuevas acciones a sus
responsables y de convocar, en su caso y si fuera necesario, las nuevas reuniones para la amplia-
ción del estudio.
RECOPILACIÓN DE DATOS DEL ESTUDIO
107. La recopilación de los datos se hará en una tabla como la que aparece en el anexo IX de este pro-
cedimiento. Principalmente, se recogerán los siguientes datos para cada nodo:
 Número de identificación del estudio.
 Número y fecha de la sesión.
 Unidad objeto de estudio.
 Breve descripción del nodo.
 P&IDs de referencia.
 Parámetro de estudio (corresponde a las palabras clave primarias: caudal, presión, temperatura,
etc.).
 Intención: indica el rango de valores permitidos de operación, según las consideraciones hechas
en el punto 22 de este procedimiento.
 Palabra clave: se indicará la palabra clave secundaria (más, menos, no, etc.).
 Desviación: se indicará la combinación de la palabra clave primaria y la secundaria.
 Causas: se indica las razones por las que se produciría la desviación. Pueden existir varias
causas para una misma desviación. Se recomienda empezar con aquellas causas que pudieran
resultar en las peores consecuencias.
 Consecuencias: se identifican los resultados de la desviación, en caso de que ocurra, descri-
biendo los sucesos que tienen lugar a partir de las causas de la desviación hasta su evolución
final en orden cronológico. Pueden llevar a problemas operativos, daños a las personas, equi-
pos, paradas de planta, pérdida de calidad del producto o daños al medio ambiente, entre otros.
Se pueden asociar varias consecuencias para una misma causa y, por su parte, una misma
consecuencia puede ser originada por varias causas.
 Gráficos de riesgo: se indican los parámetros correspondientes a los gráficos de riesgo (seguri-
dad, medio ambiente y financieros) que el equipo HAZOP/SIL ha determinado.
 Risk Gap inicial: se indican los valores de los Risk Gap obtenidos de los gráficos de riesgo (to-
davía no se tienen en cuenta las salvaguardas).
 Salvaguardas: se indican los dispositivos de protección existentes que impidan que se materia-
lice la causa o que permita mitigar la gravedad de las consecuencias, distinguiendo aquellas
capas de protección existentes y sus créditos IPL o niveles SIL correspondientes.
 Risk Gap final: se indica el valor del Risk Gap una vez se han tenido en cuenta las salvaguardas
y sus créditos IPL o niveles SIL correspondientes.
 Recomendaciones: se indican aquellas recomendaciones que surgen de la necesidad de com-
pletar el Risk Gap final calculado o mejoras operativas consideradas por el equipo HAZOP/SIL.
 Acción por: se indica el responsable de aplicar o verificar las recomendaciones pertinentes (esta
columna puede ser eliminada si se considera oportuno).
SEGURIDAD
108. Siempre que sea posible, se hará uso de la aplicación informática PHAWorks de Primatech, que
dispone de formatos predefinidos de recopilación de datos. Seguridad Corporativa tiene a disposi-
ción de los centros una plantilla adaptada para tal fin. Adicionalmente, se debería contar con la ayu-
da de un proyector conectado al PC, con el fin de que todos los participantes pudieran seguir todos
los datos que se va recopilando a lo largo de las sesiones.
INFORME FINAL Y DIFUSIÓN
109. Una vez finalizado el estudio, se deberá realizar un informe donde se recopile toda la información
que se ha generado en el estudio, incluyendo los participantes en cada una de las sesiones y las
fechas en las que se han efectuado, las tablas del análisis de desviaciones de cada uno de los no-
dos, las recomendaciones que han surgido en cada uno de ellos, los análisis LOPA (si han sido ne-
cesarios) y los planos y el resto de documentación utilizada.
110. Este informe se distribuirá a los participantes, los cuales emitirán, si los hubiera, sus comentarios al
respecto. Se recomienda que esta revisión no se demore más de una semana desde la finalización
de las sesiones.
111. Una vez introducidos todos estos comentarios, se procederá a la emisión final del informe, distribu-
yendo de nuevo las copias pertinentes y archivándolo en el lugar que cada centro considere opor-
tuno.
GESTIÓN DEL PROCEDIMIENTO
112. La gestión de este procedimiento corresponde a la Unidad Corporativa de Protección Ambiental,

Seguridad y Calidad, que deberá, por tanto, interpretar las dudas que puedan surgir en su aplica-
ción, así como proceder a su revisión cuando sea necesario, para actualizar su contenido o porque
se cumplan los plazos máximos establecidos para ello.
DISTRIBUCIÓN Y PUBLICACIÓN
113. Por tratarse de un Procedimiento General, su distribución y publicación será la definida para la Nor-
mativa General en el “Procedimiento para la gestión de normativa en el Grupo CEPSA” (PR-148),
correspondiendo a la unidad de Organización la realización de la distribución, publicación y el con-
trol final de la misma.
RELACIÓN CON OTROS INSTRUMENTOS DE PLANIFICACIÓN Y CONTROL (IPCs)
114. Este documento normativo está relacionado principalmente con la siguiente normativa del Grupo
CEPSA:
 NO-020: Norma Básica de Prevención de Riesgos Laborales e Industriales.
 PR-148: Procedimiento de Gestión de Normativa en el Grupo CEPSA.
 PR-104: Procedimiento de Seguridad en la gestión de cambios.
 PR-189: Seguimiento de incidentes/accidentes medioambientales.
 PR-092: Tratamiento de no conformidades.
SEGURIDAD
115. A su vez, está relacionado principalmente con la siguiente normativa externa:

 IEC 61508 (1-7): Functional safety of electrical /electronic/programmable electronic safety-
related systems.
 IEC 61511 (1-3): Safety instrumented systems for the process industry sector.
 ISA-84: Functional safety: safety instrumented systems for the process industry sector.
SEGURIDAD
ANEXO I
DIAGRAMA DE FLUJO DE APLICACIÓN DEL CÁLCULO DEL RISK GAP (RG)
SEGURIDAD
Escenarios
identificados
Evaluación de consecuencias
(aplicación gráficos de riesgo)
SÍ Estudio de alcance de
¿C4, E6
consecuencias (confirmación de
o A6?
parámetros elegidos)
NO
RG= -
,a,1,2,3,4,
h
RG = -,a RG = 1 RG = 2 RG = 3 RG = 4,h
No se Estudio en
requieren más profundidad para
acciones rediseñar el
proceso
Verificación de, al Existen, al Existe sólo una
menos, una IPL menos, dos IPL IPL
SIF con, al menos, IPL con, al menos,

SIL=1 verificado 1 crédito IPL
¿Existen dudas
NO razonables sobre
la independencia o
eficacia de las
IPL?
Dos IPL con 1
crédito IPL cada una
SÍ Análisis de capas
Dos SIF con SIL=1
de protección
verificado cada una
(LOPA)
Combinación de las
anteriores
SIFs con SIL=1 o 2 IPLs con 1 o 2

SIF con SIL=3
verificado créditos
Análisis
cuantitativo de
riesgo (ACR)
SEGURIDAD
ANEXO II
GRÁFICOS DE RIESGO
SEGURIDAD
SEGURIDAD
ANEXO III
EJEMPLOS PARA LA SELECCIÓN DE LOS PARÁMETROS DE LOS GRÁFICOS DE RIESGO
SEGURIDAD
Definición de W: tasa de demanda o frecuencia de ocurrencia
W1 - Estimación cualitativa: el suceso no es esperable en la vida de la planta. (Equivalente a 0  W

< 10-2/año) . Ejemplos y consideraciones:
- Rotura de un depósito o recipiente a presión.
- Rotura en guillotina de una línea de 4” o más, a menos que la línea pueda sufrir rotura frágil.
- Una VCE severa como resultado de un escape masivo.
- Un incendio importante como resultado de un derrame masivo; por ejemplo, afectando a más de
una unidad dentro de la refinería.
- Rotura de una balsa de retención.
W2 - Estimación cualitativa: el suceso es esperable en la vida de la planta. Parámetro por defecto.

(media geométrica de 30 años  esperanza de vida de la planta). (Equivalente a 10-2/año  W < 10-1
/año). Ejemplos y consideraciones:
- Una VCE local.
- Una explosión en una caldera.
- Un incendio en un horno.
- Un incendio importante como resultado de un derrame significativo; por ejemplo, afectando a una
unidad dentro de la refinería.
W3 - Estimación cualitativa: el suceso con frecuencia en la vida de la planta. (Equivalente a 10-1/año

 W  1/año]. Ejemplos y consideraciones:
- Una explosión en un incinerador.
- Un ¨puff¨ en un horno.
- Pequeños incendios y/o explosiones dentro de una misma unidad (con daños muy limitados o sin
daños).
- Evaporización flash del agua en una unidad que no se ha secado correctamente tras una parada
en la operación de puesta en marcha.
Definición de C: parámetro de consecuencias para la seguridad
C1 - Evento con potencial suficiente (por magnitud y extensión) para causar una lesión menor en
una persona, sin poder resultar en una muerte. Ejemplos y consideraciones:
- Quemaduras de personal por falta de aislamiento en tuberías o por no llevar el traje de protección
adecuado.
- Pequeñas fugas en bridas de tuberías con sustancias no tóxicas.
- Cortes con astillas y/o trozos de acero o herrumbre o con mallas de aislamiento.
- Descarga de electricidad estática debido a una mala conexión a tierra de un equipo.
SEGURIDAD
C2 - Evento con potencial suficiente (por magnitud y extensión) para causar lesiones mayores
permanentes a una o a varias personas, o una muerte. Ejemplos y consideraciones:
- Explosión de un aditivo en polvo.
- Quemaduras causadas a un operador durante el encendido de un quemador (o una caldera)
mediante una botella de propano (tiger torch).
- Caídas a distinto nivel.
- Operadores entrando en zonas con deficiencia de oxígeno (por ejemplo, espacios confinados,
equipos inertizados con nitrógeno, etc).
- Pequeñas llamaradas o explosiones debido a fugas en bridas o a la apertura de válvulas.
- Pequeñas fugas tóxicas (por ejemplo una fuga repentina de un gas rico en SH2 a través de una
brida o de una válvula).
- Corte de bridas o tuberías que no han sido vaciadas de material peligroso.
C3 - Evento con potencial suficiente (por magnitud y extensión) para causar la muerte de varias
personas (de 2 a 9 – la media geométrica es 3). Ejemplos y consideraciones:
- A tener en cuenta que cuando los operadores trabajan por parejas o en equipo, existe la
tendencia de ayudar a los compañeros en caso de un accidente. Asfixia de un operador en un
depósito con SH2 a menudo lleva a la muerte de varios operadores si no están bien entrenados
en ponerse primero el equipo de protección.
- Fugas importantes de materiales inflamables, gases tóxicos, vapor, etc.
- Rotura de un equipo con elevada energía mecánica, (por ejemplo un compresor grande o una
turbina).
C4 - Evento con potencial suficiente (por magnitud y extensión) para causar la muerte de muchas
personas (10 o más). Ejemplos y consideraciones:
- Fugas masivas de sustancias inflamables o tóxicas. Entre otras razones, estas fugas pueden ser
el resultado de:
o Un orificio de 25 mm en una línea con líquido supercalentado (por ejemplo benceno a
250ºC y 30 bar, o GLP a temperatura atmosférica).
o Un orificio de 100 mm en un sistema de alta presión (> 10bar) de vapor o gas.
o Un iniciador como la rotura catastrófica de la una línea causada por una fractura brittle
(GLP, etileno, LNG o error humano).
o Explosiones o incendios masivos en almacenamientos (BLEVEs, boil-overs, roll-overs,
etc.).
o Infección por legionela proveniente de las torres de refrigeración.
o Fallo de la balsa de retención.
o Fallo de la antorcha.
Definición de F: parámetro de probabilidad de ocupación o de exposición
F1 - Exposición en la zona peligrosa de rara a ocasional (parámetro por defecto). Ejemplos y

consideraciones:
- La mayoría de plantas en continuo tendrán exposición baja o poco frecuente. Esta será la
elección por defecto cuando el incidente evaluado ocurre durante la operación normal de planta o
cuando algo ocurre de repente (fallo aleatorio).
SEGURIDAD
F2 - Exposición frecuente o permanente en la zona peligrosa. Ejemplos y consideraciones:

- Cuando la causa pueda deberse a tareas de mantenimiento. La mayoría de plantas en continuo
tendrán que resolver y reparar desperfectos, realizar pruebas y mantenimiento como respuesta a
las alarmas y a las paradas programadas. Esto supondrá que muchas personas estarán
expuestas al peligro.
- Cuando un suceso llamativo pueda atraer al personal a una zona no segura.
- El procedimiento correcto antes de realizar un trabajo peligroso es evacuar primero a la gente en
las cercanías (por ejemplo, puesta en marcha de un horno).
- Trabajos de mantenimiento o construcción en una zona cercana que se pudiera ver afectada. Por
ejemplo, parada de una unidad en una refinería mientras que las demás unidades siguen en
operación.
- Plantas batch o semi-batch que a menudo precisan de supervisión humana casi continua.
Definición de P: parámetro de probabilidad de evitar el peligro

Este parámetro solamente aplica a las consecuencias. La selección del parámetro P dependerá de si es
posible que el personal expuesto se dé cuenta o sea avisado del peligro, de si tendrá suficiente tiempo
para evacuar la zona, o de si puede mediante sus propios medios u otros prevenir las consecuencias en
caso de fuga.
Este parámetro depende por tanto de la velocidad con que un suceso peligroso se desarrolla por ejemplo
bruscamente, rápidamente o lentamente (durante más de 40 minutos), la facilidad para reconocer el
peligro (por ejemplo visto inmediatamente o detectado por detectores, alarmas locales, panel, etc.), la
posibilidad de evitar el daño (por ejemplo rutas de escape accesibles y bien indicadas, escaleras
verticales o de caracol), y de la experiencia real en seguridad (por ejemplo que los operadores estén al
corriente de que pueda darse el incidente).
P1 - Evitar el peligro es posible en ciertas situaciones (sólo se podrá seleccionar si está

adecuadamente justificado). Ejemplos y consideraciones:
- La asfixia de un operario en un depósito con SH2 a menudo resulta en la muerte de varios
operarios.
- El personal de rescate necesita estar bien entrenado para ponerse el equipo de protección
rápidamente antes de actuar. El equipo tiene que estar disponible, y en caso de zona inertizada
con nitrógeno la gente tiene que venir de una zona segura.
- Cuando las condiciones del proceso son críticas, este hecho deberá de ser comunicado
instantáneamente y continuamente al personal.
- Pantallas metálicas de protección contra la radiación deberán estar disponibles para trabajos en
zonas aledañas a llamas y antorchas (por ejemplo en el depósito KO de la antorcha).
P2 - Evitar el peligro es prácticamente imposible (parámetro por defecto). Ejemplos y

consideraciones:
- Elegir P1 en vez de P2 debido al uso de equipos de protección personal para evitar el daño no es
recomendable, a no ser que el personal ya lleve puesto este equipo. Generalmente, estos
equipos no están diseñados para garantizar un nivel de seguridad adecuado, aunque conllevan a
cierta reducción del daño.
SEGURIDAD
Definición de E: parámetro de consecuencias para el medio ambiente
E1 - Incidente medioambiental (según el PR-189) que constituye una no conformidad (según el PR-
092) y que no tiene consecuencias medioambientales.
E2 - Accidente medioambiental (según el PR-189) con consecuencias mínimas conocidas dentro

del establecimiento que precisan de acciones remediadoras. Ejemplos y consideraciones:
- Se necesita uno o más camiones para la limpieza de la fuga/derrame.
- La magnitud de la fuga/derrame obliga por procedimiento a que la Dirección realice un informe
rutinario a las Autoridades Competentes (local, regional o nacional).
- Funcionamiento prolongado de la antorcha “sin vecinos”.
E3 - Accidente medioambiental (según el PR-189) con consecuencias mínimas conocidas fuera del
establecimiento que causa indignación en la comunidad local o en las Autoridades
Competentes (riesgo de tener problemas en futuros permisos). Ejemplos y consideraciones:
- Ruido, hedor, impacto visual y otras influencias en la calidad de vida de la comunidad.
- Funcionamiento prolongado de la antorcha “con vecinos”.
- Un accidente cuyos costes de remediación (por ejemplo, extracción y tratamiento de un volumen
de tierra) asciendan a 107 €.
E4 - Accidente medioambiental (según el PR-189) con efectos negativos conocidos fuera del
establecimiento pero que se consideran reversibles en 2 años. Ejemplos y consideraciones:
- Fuga de productos tóxicos con daños ecológicos en el medio acuático.
- Un accidente cuyos costes de remediación (por ejemplo, extracción y tratamiento de un volumen
de tierra) asciendan a 108 €.
- Indignación de la comunidad local y cuestiones o acciones a nivel regional.
E5 - Accidente medioambiental (según el PR-189) con efectos negativos fuera del establecimiento
a largo plazo. Este evento induce un cambio en el entorno, y resulta en cuestiones o acciones a
nivel regional o nacional. Ejemplos y consideraciones:
- Fuga de metales pesados en el ecosistema.
- Fuga de aromáticos o benceno (> 5 ton) en pantanos o marismas (considerar los grupos
ecologistas, cazadores, etc.)
E6 - Accidente medioambiental (según el PR-189) con efectos catastróficos fuera del

establecimiento. Ejemplos y consideraciones:
- Exxon Valdez, Prestige, Amoco Cadiz, Seveso, Aznalcollar, etc.
SEGURIDAD
Definición de A: parámetro de consecuencias para riesgos financieros
Para evaluar los riesgos financieros se deberán tener en cuenta todas las pérdidas económicas
asociadas al escenario, sin tener en cuenta posibles seguros que cubran los daños:
- Costes de demolición (para eliminar equipos dañados).
- Costes de materiales y equipos (suministro e instalación). Como aproximación se puede emplear
un coste igual a tres veces el precio de los equipos.
- Costes de la interrupción de la producción. Los costes derivados de la interrupción de la
producción no son debidos a la pérdida de la producción en sí, sino al valor del producto que no
se ha podido expedir. Por ejemplo, un incendio en una unidad de nafta causa que la producción
de gasolina se pare durante cinco días en una refinería; sin embargo, la expedición puede
continuar desde los tanques de almacenamiento donde existe stock para blending durante siete
días. En este caso los costes de la interrupción de la producción son 0 €.
Los costes de interrupción de la producción dependen altamente de la unidad considerada. Cuando no se

dispone de esta información, se asume que la pérdida de producción empieza después de cinco días
después de la parada.
Para poder determinar el parámetro de consecuencias sobre los bienes y la producción se aconseja que
el equipo HAZOP/SIL cuente con personal con experiencia en estimación de costes ya que éstos
dependerán en gran medida del negocio (química, petroquímica, refino, almacenamiento, etc.), de la
unidad (alta presión, baja presión, reacción, recuperación, etc.) y del valor del producto en el mercado.
Por tanto no es posible ofrecer valores estándares para las consecuencias financieras.
A1 - Interrupción menor del proceso y/o daños en equipos: 105 € > pérdidas totales
A2 - Interrupción del proceso y/o daños en equipos: 105 € ≤ pérdidas totales < 106 €
A3 - Interrupción moderada del proceso o daños en equipos: 106 € ≤ pérdidas totales < 107 €
A4 -Interrupción grave del proceso o daños en equipos: 107 € ≤ pérdidas totales < 108 €
A5 - Daños severos en equipos esenciales: 108 € ≤ pérdidas totales < 109 €
A6 - Pérdidas catastróficas ≥ 109 €
Un Risk Gap para los riesgos financieros indica un riesgo inaceptable; no obstante, una solución de in-
geniería podría resultar más cara que el problema en sí (y por lo tanto, igualmente inaceptable). Para
justificar si una determinada medida para reducir riesgos financieros está justificada económicamente se
deberá realizar un análisis coste-beneficio.
SEGURIDAD
ANEXO IV
DESCRIPCIÓN DE LA METODOLOGÍA DE ANÁLISIS DE CAPAS DE PROTECCIÓN (LOPA)
SEGURIDAD
Introducción
LOPA (Análisis de Capas de Protección) es una herramienta semicuantitativa para analizar y determinar
riesgos de los escenarios de accidente.
El análisis LOPA es una valoración más rigurosa del Risk Gap del escenario, con mayor profundidad y
detalle que con los gráficos de riesgos. De este modo, se puede valorar más claramente la necesidad de
medidas de seguridad adicionales y sus requisitos. No obstante, de igual manera que para los escenarios
valorados con RG=1, las medidas identificadas deben satisfacer los requisitos esenciales de las IPL.
Propósito de LOPA
La diferencia fundamental entre el análisis mediante los gráficos de riesgos y LOPA es únicamente el
grado de detalle. En el primer análisis, el equipo tenía que decidir cualitativamente los parámetros de
riesgo (consecuencias y probabilidad del evento), mientras que en LOPA el análisis es semicuantitativo,
realizándose para ello cálculos de frecuencia y probabilidad.
Otra diferencia importante es que el análisis LOPA se lleva a cabo por una o dos personas. El analista
LOPA deberá partir de toda la información recabada sobre el escenario, parámetros de riesgo seleccio-
nados por el equipo HAZOP/SIL, medidas de reducción de riesgo presentes o propuestas, además de
tener un buen conocimiento sobre el proceso en sí.
El analista de riesgo deberá considerar las IPLs propuestas por el equipo (y si es necesario recomendar
otras), cuantificar los factores de reducción de riesgo de cada una de las capas de protección que consi-
dere que satisfacen o pueden satisfacer los requisitos esenciales de las IPLs, y calcular la frecuencia del
evento indeseado, para ver si se cumplen los criterios de la compañía expresados de forma simplificada
en la matriz de riesgos del anexo V de este procedimiento.
La característica práctica de LOPA (en comparación con los ACRs) es que LOPA simplifica la valoración
de los riesgos empleando órdenes de magnitud para las frecuencias del suceso iniciador, los factores de
reducción de riesgos de las IPLs (o créditos IPL) y la severidad de las consecuencias (que vendrán de-
terminadas por el equipo HAZOP/SIL).
Selección de escenarios para LOPA
Un escenario en LOPA consiste en una cadena causa – efecto, y en principio ésta debería haber sido
identificada durante el estudio mediante los gráficos de riesgo.
Para poder visualizar completamente el escenario y todas las capas de protección o IPLs que pueden ser
consideradas, es necesario que el analista elabore previamente árboles de fallos y eventos. En la
siguiente figura se muestran combinaciones de cuatro causas diferentes y 4 consecuencias diferentes
(16 pares causa - consecuencia) en el llamado modelo de pajarita.
SEGURIDAD
Cada combinación causa-consecuencia contiene eventos, IPLs y posibles modificadores condicionales.

El primer suceso en un escenario LOPA es el suceso iniciador (por ejemplo, sobrepresión, error del ope-
rador, nivel alto). El suceso final es la consecuencia final de toda la cadena de eventos. A veces se re-
quieren unas condiciones o unos sucesos condicionantes; por ejemplo, una campaña particular de la
producción que ocurrirá solamente durante un periodo de tiempo determinado, o una puesta en marcha.
Para prevenir que ocurra un escenario se requiere, como mínimo, una IPL, y para que se den los suce-
sos finales, todas las IPLs deben fallar. Las consecuencias pueden depender de varias condiciones (ex-
presadas como modificadores condicionales), por ejemplo, la presencia de personal o la presencia de
una fuente de ignición después de que haya ocurrido una pérdida de contención (LOC) (por ejemplo, un
escape de material inflamable).
Para iniciar LOPA, hay que determinar la frecuencia de ocurrencia del iniciador (1/año). Los sucesos
condicionantes y los modificadores condicionales se cuantificarán probabilísticamente dependiendo de su
naturaleza. Por su parte, se le asignará una probabilidad de fallo en demanda (PFD) a cada IPL, tal y
como se ha comentado.
Análogamente a las consideraciones para la selección de escenarios para los gráficos de riesgos, el ana-
lista LOPA deberá considerar:
- la causa más general inmediatamente anterior al accidente (como por ejemplo, fallo de suministro
eléctrico en vez de fallo de un fusible del transformador).
- todas las consecuencias que impliquen impacto sobre el personal, el medioambiente o sobre los
bienes y producción.
SEGURIDAD
Sucesos iniciadores y sucesos condicionantes
El análisis del árbol de sucesos LOPA requerirá información adicional a la obtenida durante el paso de
identificación de IPL y asignación de RG.
Dependiendo de la cantidad de información disponible para un determinado escenario se determinará

cuál debe considerarse el punto de partida o suceso iniciador de una cadena causa-consecuencia.
Para la aplicación de la metodología LOPA se puede tomar como suceso iniciador el primer suceso que
permita la determinación de la frecuencia, moviéndose hacia atrás en el árbol de sucesos, desde la con-
secuencia hacia el suceso iniciador. No obstante, la identificación de los sucesos subyacentes puede ser
útil para determinar otros escenarios.
Por ejemplo, “fallo de refrigeración” puede ser el resultado de un fallo de la bomba, un corte del suminis-
tro de energía o un fallo en el lazo de control. Si puede determinarse directamente la probabilidad del
evento “fallo de refrigeración” no es necesario cuantificar los sucesos subyacentes.
Cálculos de frecuencia y probabilidad
La determinación de la frecuencia de los sucesos iniciadores y de los créditos de las IPLs se puede basar
en datos de la industria recogidas en publicaciones como Centre for Chemical Process Safety (CCPS),
Purple Book, OREDA, AMINAL, SINTEF y en la experiencia del Grupo, o en datos de los fabricantes.
Tal y como se ha explicado anteriormente, la misión de las IPLs es proteger de un escenario. Sin em-
bargo, en algunos casos, una IPL puede ser precisamente la causa del escenario. Por ello, los datos de
frecuencias de fallo de estas IPLs se emplearán en estos casos como frecuencias del iniciador.
Normalmente, las probabilidades de los sucesos condicionantes y de los modificadores condicionales,

dependen de cada proceso, y por lo tanto, son tratadas caso por caso. Para algunos sucesos (por ejem-
plo probabilidad de ignición) puede encontrarse una guía en las fuentes antes mencionadas.
Para cada escenario se debe calcular el número de ocurrencias por año (la frecuencia del escenario fs).
El punto de partida es la frecuencia (fie) del suceso iniciador (por ejemplo fallo de refrigeración, adición
del producto químico equivocado, cierre involuntario de una válvula,...) que se multiplica por la probabili-
dad de los sucesos condicionantes (pee) que sean relevantes (por ejemplo probabilidad de que el proceso
se encuentre a una determinada temperatura) y multiplicados por las PFD de las n IPL (pIPLn) instaladas.
Si además, existen modificadores condicionales (por ejemplo la presencia de una fuente de ignición)
deben tenerse en cuenta las probabilidades (pcm) de estos sucesos también. Por lo tanto:
fs = fie × pee × pIPL1 × ... × pIPLn × pcm
Evaluación de las consecuencias
Las consecuencias del escenario pueden ser muy diversas en tipo y severidad. Las consecuencias de un
escenario se determinan por las características (tóxico, inflamable), cantidad y condiciones (temperatura,
presión) del material emitido, etc. Estos efectos pueden causar a su vez ‘efectos dominó’.
En general, se pueden distinguir los siguientes efectos físicos como resultado de una pérdida de conten-
ción primaria (LOPC):
SEGURIDAD
- Dardo de fuego (jet fire), incendio de charco (pool fire), bola de fuego (fire ball).
- Llamarada (flash fire) o explosiones de nubes de vapor (VCE).
- Explosiones de polvo.
- Nubes tóxicas.
- BLEVEs.
- Proyección de fragmentos.
En teoría, el analista LOPA dispondrá de la valoración de las consecuencias realizada por el equipo
HAZOP/SIL, aunque si éste lo cree conveniente, podrá realizar cálculos de efectos y consecuencias (cau-
dal de fuga, evaporación, dispersión, sobrepresión, etc.), fundamentalmente para confirmar que las
consecuencias establecidas por el equipo son correctas.
Sin embargo, esto no es lo normal debido a que en LOPA las consecuencias se valoran generalmente
usando clases de consecuencias tal y como se hace con los gráficos de riesgo (C, E y A).
Criterios de aceptabilidad (matriz de riesgos)
Una vez se han analizado la frecuencia y la consecuencia del escenario en cuestión, el analista LOPA
deberá determinar si el riesgo del escenario con capas de protección (IPLs) cumple con los criterios del
Grupo CEPSA, o es necesario mejorar la fiabilidad de las IPLs existentes, o bien implementar IPLs adi-
cionales.
Para facilitar el uso de los criterios de la compañía por terceros, éstos se han convertido en una matriz de
riesgos (ver anexo V de este procedimiento).
Los escenarios cuya frecuencia sea inferior que la frecuencia objetivo (zona verde), cumplen con los cri-
terios del Grupo CEPSA, y por lo tanto, para estos escenarios no son necesarias medidas adicionales.
Los escenarios cuya frecuencia sea superior que la frecuencia objetivo (zona roja), no cumplen con los
criterios del Grupo CEPSA, y por lo tanto, para estos escenarios será necesario mejorar la fiabilidad de
las IPLs o implementar IPLs adicionales.
También es posible hacer que un escenario sea aceptable reduciendo la frecuencia del suceso iniciador
o reduciendo la probabilidad de los condicionantes o de los modificadores condicionales.
A continuación se enumeran una serie de tablas con ejemplos y consideraciones útiles para la realización
de los análisis.
Ejemplos de frecuencias típicas de sucesos iniciadores
Frecuencia (1/año)
Descripción
Máx. Min. Típica
Fallo de un depósito a presión 10-5 10-7 10-6
Fallo de tubería – 100 m – rotura total 10-5 10-6 10-5
Fuga en tubería – 100 m – 10 % sección 10-3 10-4 10-3
Rotura de junta/relleno 10-2 10-6 10-2
Caída de rayo 10-3 10-4 10-3
Fallo de agua de refrigeración 1 10-2 10-1
Fallo en sello de bomba 10-1 10-2 10-1
Fallo en manguera de carga/descarga 1 10-2 10-1
SEGURIDAD
Factores de reducción de las IPLs y su relación con el nivel SIL
Número de créditos PFDavg λ (h-1) Factor de reducción de

IPL o nivel SIL (baja demanda) (alta demanda o continuo) riesgo (RRF)
1 10-1 > PFD ≥ 10-2 10-5 > PFD ≥ 10-6 10 < RRF ≤ 100
2 10-2 > PFD ≥ 10-3 10-6 > PFD ≥ 10-7 100 < RRF ≤ 1.000
3 10-3 > PFD ≥ 10-4 10-7 > PFD ≥ 10-8 1.000 < RRF ≤ 10.000
4 10-4 > PFD ≥ 10-5 10-8 > PFD ≥ 10-9 10.000 < RRF ≤ 100.000
Ejemplos de probabilidades de fallo en demanda (PFD) de IPLs pasivas, factores de reducción de

riesgo (RRF y créditos IPL máximos asignados
Créditos IPL
IPL Comentarios PFD RRF
máximos
Venteo abierto (sin válvula) Previene una sobrepresión. 10-2 100 2
Si se diseña, instala y mantiene
adecuadamente eliminará el retroceso
Supresor de llama/detonación
potencial de la llama por una tubería hacia el 10-2 100 2
interior de un tanque o depósito.
Dos válvulas antirretorno en serie. Previene
Doble válvula antirretorno
el flujo inverso (líquidos). 10-1 - 10-2 10-100 1
Doble válvula antirretorno en Dos válvulas antirretorno en serie. Previene
servicio de gas-líquido el flujo inverso (gases). 10-1 - 10-2 10-100 1
Válvula antirretorno simple en
servicio de líquido limpio
Previene el flujo inverso (líquidos). 10-1 - 10-2 10-100 1
Válvula antirretorno simple en
Previene el flujo inverso (gases). - 1 0
servicio de gas
Ejemplos de probabilidades de fallo en demanda (PFD) de IPLs activas, factores de reducción de

riesgo (RRF y créditos IPL máximos asignados
Créditos IPL
IPL Comentarios PFD RRF
máximos
Disco de ruptura Puede ser en serie antes de una PSV. Servicio limpio. - 100 2
Disco de ruptura Puede ser en serie antes de una PSV. Servicio sucio. - 10 1
Si se diseña, instala y mantiene adecuadamente
previene una sobrepresión. La PFD se refiere a no
abrirse en demanda (100 % de la sección). Servicio 10-2 100 2
Válvula de alivio de limpio.
presión (PSV o PRV) Si se diseña, instala y mantiene adecuadamente
previene una sobrepresión. La PFD se refiere a no
abrirse en demanda (100 % de la sección). Servicio 10-1 10 1
sucio.
2 x 10-2 –
Múltiples PSVs previene una sobrepresión. (2 x 50%) (4 x 25%). 40-200 2
Servicio limpio. 4 x 10-1
2 x 10-2 –
Múltiples PSVs previene una sobrepresión. (2 x 50%) (4 x 25%). 40-200 1
Servicio sucio. 4 x 10-1
BPCS Es IPL si es independiente del suceso iniciador. 10-1 - 10-2 10-100 1
Sistema de control
específico de ciertos Compresores, hornos, calderas, etc. 10-1 - 10-2 10-100 1
equipos
SEGURIDAD
Ejemplos de probabilidades de fallo en respuesta de operadores (ANSI/ISA TR84.00.04-2005)
IPL Comentarios PFD

La acción por parte del operador es simple, está bien
Respuesta del operador
documentada y con indicación clara y fiable de que tiene > 1  10-1
ante las indicaciones del
que realizar la acción. El operador no tiene que hacer (limitado por ISA
BPCS o alarma de 10
troubleshooting o diagnóstico para ejecutar la acción. 84.00.01-2004)
minutos o más
documentada y con indicación clara y fiable de que tiene > 1  10-1
que realizar la acción. Se permite un mínimo (limitado por ISA
BPCS o alarma de 40
troubleshooting o diagnóstico antes de ejecutar la 84.00.01-2004)
minutos o más
acción.
documentada y con indicación clara y fiable de que tiene 1  10-1
que realizar la acción. El operador no tiene que hacer (limitado por ISA
SIS o alarma de 10
troubleshooting o diagnóstico para ejecutar la acción. 84.00.01-2004)
minutos o más
La acción por parte del operador es simple, está bien 1  10-1 –
documentada y con indicación clara y fiable de que tiene 1  10-2
que realizar la acción. Se permite un mínimo (limitado por la
SIS o alarma de 40 troubleshooting o diagnóstico antes de ejecutar la
minutos o más respuesta del
acción. operador)
Se asume documentación adecuada, formación y simulacros (para el operador) y procedimientos de
prueba (para los equipos).
Ejemplos de probabilidades de fallo de respuesta de operadores (PFD) empleadas por la industria
PFD
Complejidad / Nivel de Muy simple Simple y Rutinaria aunque Complicada y no
estrés rutinaria requiere cuidado rutinaria
Sin estrés 10-4 10-3 10-2 10-1
Estrés moderado 10-3 10-2 5  10-2 3  10-1
Mucho estrés 10-2 10-1 - 1 2,5 x 10-1 - 1 1
Probabilidad de ignición directa para equipos fijos
Fuga Sustancia
Gases (baja Gases
Contínua Instantánea Líquidos reactividad) (media/alta
reactividad)
< 10 kg/s < 1000 kg 0,065 0,02 0,2
10 - 100 kg/s 1000 - 10000 kg 0,065 0,04 0,5
> 100 kg/s > 10000 kg 0,065 0,09 0,7
Ejemplos de gases de baja reactividad:1-cloro-2,3-epoxypropano, 1,3-dicloropropeno, 3-cloro-1-propeno,

amoniaco, bromometano, monóxido de carbono, cloroetano, clorometano, metano, tretraetil plomo.
SEGURIDAD
Ejemplos de gases de media/alta reactividad: buteno,1,2-diaminoetano, 1,3-butadieno, acetaldehído,

acetonitrilo, acrilonitrilo, butano, cloroeteno, dimetilamina, etano, etileno, ácido fórmico, propano, propile-
no, butil mercaptano, acetileno, benceno, disulfuro de carbono, etil mercaptano, óxido de etileno, formato
de etilo, formaldehído, sulfuro de hidrógeno, acrilato de metilo, formato de metilo, metil oxirano, nafta,
tetrahidrotiofeno, actetato de vinilo.
Probabilidad de ignición directa para vehículos
Fuga
Vehículo
Continua Instantánea
Camión 0,1 0,4
cisterna
Vagón cisterna 0,1 0,8
Probabilidad de explosión de nubes no confinadas en plantas
Evento Probabilidad
Flash fire sin efectos mecánicos 0,6
(UVCE)
Flash fire con efectos mecánicos 0,4
(VCE)
SEGURIDAD
ANEXO V
MATRIZ DE RIESGOS PARA SU USO EN EL ANÁLISIS LOPA
SEGURIDAD
Clases de consecuencias
1 2 3 4 5 6
Seguridad Parámetro C1 C2 C3 C4
(personal de CEPSA y contratistas) Número de muertes 0 1 2–9 10
Medio ambiente Parámetro E1 E2 E3 E4 E5 E6
Financiero Parámetro A1 A2 A3 A4 A5 A6
5
Coste relacionado (€) ≤10 105 - 106 106 - 107 107 - 108 108 - 109 ≥109
>1
1 - 10-1
10-1 - 10-2
10-2 - 10-3
Frecuencia [1/año]
10-3 - 10-4
10-4 - 10-5
10-5 - 10-6
10-6 - 10-7
Riesgos intolerables
Riesgos tolerables
Frecuencia máxima objetivo
SEGURIDAD
ANEXO VI
DESCRIPCIÓN DE ASPECTOS RELEVANTES EN ANÁLISIS DE CONSECUENCIAS Y METODOLO-

GÍAS UTILIZADAS
SEGURIDAD
Introducción
Los distintos tipos de accidentes graves a considerar en los establecimientos en los que haya sustancias
peligrosas pueden producir determinados fenómenos peligrosos para las personas, el medio ambiente y
los bienes materiales son los siguientes:
- Fenómenos de tipo mecánico: ondas de presión y proyectiles.

- Fenómenos de tipo térmico: radiación térmica.
- Fenómenos de tipo químico: fugas o derrames incontrolados de sustancias tóxicas o contami-
nantes.
Para cada uno de los fenómenos peligrosos considerados, se establecen unas variables físicas cuyas
magnitudes se consideran representativas para la evaluación del alcance del fenómeno peligroso consi-
derado. Las zonas potencialmente afectadas por los fenómenos peligrosos que se derivan de los acci-
dentes potenciales en determinados establecimientos industriales se determinan en base a las distancias
a las que determinadas variables físicas representativas de los fenómenos peligrosos alcanzan determi-
nados valores umbral. Dichos valores se agrupan en dos grandes áreas:
- Variables y valores umbral para personas y bienes.

- Variables y valores umbral para el medio ambiente.
Según la intensidad de la variable numérica que describa un determinado accidente, se delimitan una
serie de zonas objeto de planificación o zonas definidas de influencia denominadas zona de intervención
y zona de alerta, que se corresponden con áreas en las que se encuentran elementos vulnerables sus-
ceptibles de sufrir daños.
Descripción
Se entiende por análisis de consecuencias la evaluación cuantitativa de la evolución espacial y temporal

de las variables físicas representativas de los fenómenos peligrosos en los que intervienen sustancias
peligrosas, y sus posibles efectos sobre las personas, el medio ambiente y los bienes, con el fin de esti-
mar la naturaleza y magnitud del daño.
Los análisis de consecuencias deben estudiar los diferentes tipos de accidentes potenciales en estable-
cimientos industriales que pueden producir fenómenos peligrosos para las personas, el medio ambiente y
los bienes materiales. Estos tipos de accidentes potenciales se seleccionan a partir de un correcto análi-
sis e identificación de riesgos. Son los siguientes:
- Fugas o derrames incontrolados de sustancias peligrosas: líquidos o gases en depósitos y con-
ducciones.
- Evaporación de líquidos derramados.
- Dispersión de nubes de gases, vapores y aerosoles.
- Incendios de charco (Pool fire).
- Dardos de fuego (Jet fire).
- Deflagraciones no confinadas de nubes de gases inflamables (UVCE).
- Estallido de depósitos (BLEVE).
- Explosiones físicas y/o químicas.
- Vertido accidental al medio ambiente de sustancias contaminantes, procedente de fugas o de-
rrames incontrolados.
Normalmente, un accidente de estas características se produce a partir de algún suceso menor que trae
como consecuencia la pérdida de estanqueidad de algún recipiente, depósito o tubería que contiene al-
guna sustancia, lo que produce la fuga o derrame de esta sustancia al exterior. También es posible un
incendio previo o simultáneo a una fuga o incluso, una explosión previa a la fuga o al incendio. No obs-
tante, en la mayoría de los casos el primer suceso consiste en una fuga incontrolada de producto.
SEGURIDAD
A modo de resumen, se indican una serie de sucesos accidentales y sus posibles consecuencias aso-
ciadas:
Metodología Probit
Una de las metodologías más utilizadas para el análisis de consecuencias es el método Probit. Se basa
en la cuantificación probabilística de la vulnerabilidad de personas e instalaciones ante efectos físicos de
una magnitud determinada que se suponen conocidos.
SEGURIDAD
La vulnerabilidad de personas se expresa como el número de individuos que, previsiblemente pueden

resultar afectados con un cierto nivel de daño a causa de un accidente. Por otra parte, la vulnerabilidad
de instalaciones se puede cuantificar utilizando magnitudes económicas, aunque se va a reducir el análi-
sis a las estimaciones de daños en estructuras y roturas de cristales.
El método consiste en la aplicación de correlaciones estadísticas para estimar las consecuencias desfa-
vorables sobre la población u otros elementos vulnerables a los fenómenos físicos peligrosos conse-
cuencia de los accidentes.
La respuesta de una población ante un fenómeno físico peligroso se distribuye según una ley log-normal.
El modelo es aplicable sólo para aquellos fenómenos de los que se dispone de "Ecuación Probit".
El método permite determinar la proporción de población u otros elementos que resultarán afectados a
consecuencia del accidente en un punto dado. Consiste en asociar la probabilidad de un daño, con unas
determinadas unidades Probit. El gráfico que permite realizar esta asociación es el siguiente:
Función Probit
100
Porcentaje de probabilidad de
90
80
70
afectación (%)
60
50
40
30
20
10
0
0 2 4 6 8
Unidades Probit (Y)
El valor de la "variable Probit" se determina por la expresión:
Y = K1 + K2·Ln V
donde V es la variable física representativa del accidente y K1 y K2 son unas constantes.
En el cuadro siguiente se resumen los valores de estos parámetros para las principales consecuencias
de los fenómenos peligrosos derivados de incendios y explosiones.
SEGURIDAD
Fenómeno peligroso Consecuencias Tipo de daño V K1 K2

4
q
Muertes por radiación 3  
Incendios de charco o depósito Radiación térmica  A - 14,9 2,56
térmica
t
10 4
4
q
Bolas de fuego Radiación térmica  A - 14,9 2,56
térmica
t
10 4
4
q
Dardo de fuego Radiación térmica  A - 14,9 2,56
térmica
t
10 4
4
q
Llamarada o incendios flash Radiación térmica  A - 14,9 2,56
térmica
t
10 4
Muertes por hemorragia
Explosión Sobrepresión p - 77,1 6,91
pulmonar
Explosión Sobrepresión Rotura de tímpanos p - 15,6 1,93
Explosión Sobrepresión Muertes por impacto I - 46,1 4,82
Explosión Sobrepresión Heridas por impacto I - 39,1 4,45
Explosión Sobrepresión Daños en estructuras p - 23,8 2,92
Explosión Sobrepresión Rotura de cristales p - 18,1 2,79
donde q/A: flujo de radiación térmica (W/m2)

t: tiempo de exposición (s)
p: sobrepresión (Pa)
I: impulso (Pa·s)
En la tabla siguiente, se indica la radiación máxima tolerable para determinados materiales que se utilizan
habitualmente en la construcción:
Material Radiación máxima tolerable (kW/m2)

Cemento 60
Hormigón armado 200
Acero 40
Madera 10
Vidrio 30-300
Pared de ladrillo 400
Por otra parte, los efectos sobre las personas se pueden ver en la tabla siguiente:
Personas Radiación máxima tolerable (kW/m2)

Exposición durante 20 s sin quemaduras 6,5
Bomberos y personas protegidas 4,7
Personas desprotegidas 4,0
SEGURIDAD
En la tabla de siguiente se indican los daños producidos por explosiones en función de la sobrepresión a
la que se ven expuestas personas y bienes materiales.
Sobrepresión (kPa)
Tipo de daño
0,204 Rotura ocasional de cristales grandes
0,275 Ruido fuerte. Rotura de cristales por la onda sonora
0,681 Rotura de cristales pequeños sometidos a tensión
2,04 Límite de proyectiles
2,04 95% de probabilidad de no sufrir daños importantes en personas
2,04 Daños menores en techos y casas. Rotura del 10% de cristales
3,4 – 6,9 Destrucción de ventanas con daño en los marcos
4,8 Daños estructurales menores en las casas
5 Umbral de "Zona de alerta" según la Directriz Básica
6,8 Demolición parcial de casas que quedan inhabitables
6,8 – 13,6 Fallo de paneles y mamparas de madera, aluminio, etc.
12,5 Umbral de "Zona de intervención" según la Directriz Básica
13,6 Colapso parcial de paredes y techos de casas
13,1 - 20,4 Destrucción de paredes de cemento de 20 a 30 cm de espesor
16,3 Umbral (1%) de rotura de tímpanos en personas
17 Destrucción del 50% de una obra de ladrillo en edificaciones
17 Distorsiones en estructuras de acero
20,4 – 27,2 Ruptura de depósitos y tanques de almacenamiento
34 – 47,6 Destrucción prácticamente completa de casas
47,6 Vuelco de vagones de tren cargados
47,7 – 54,4 Rotura de paredes de ladrillo de 20 a 30 cm de espesor
68,1 Probable destrucción total de edificios
68,1 Máquinas pesadas (3.500 kg) desplazadas y muy dañadas
83,1 90% probabilidad de rotura de tímpanos en personas
98,7 Umbral (1%) de probabilidad de muertes por hemorragia pulmonar
173,5 90% de probabilidad de muertes por hemorragia pulmonar
1905 Formación de cráter
Por otra parte, para determinar el porcentaje de personas afectadas por intoxicación ocasionada por in-
halación de una sustancia tóxica, se utiliza la siguiente ecuación:
Y = K1 + K2·Ln (cn·t)
donde c: concentración (ppm)
t: tiempo de exposición (min)
n: exponente sin dimensiones (0,6 – 3)
K1 y K2: constantes.
A continuación, se indican los valores para las sustancias más comunes:
Sustancia K1 K2 n Sustancia K1 K2 n
Acroleína - 9,931 2,049 1 Dióxido de azufre -15,67 2,1 1
Acrilonitrilo - 29,42 3,008 1,43 Dióxido de nitrógeno - 13,97 1,4 2
Amoniaco -30,57 1,385 2,75 Fluoruro de hidrógeno - 35,87 3,354 1
Benceno - 109,78 5,3 2 Formaldehído - 12,24 1,3 2
Bromo - 9,04 0,92 2 Fosgeno -19,27 3,686 1
Cianuro de hidrógeno -29,42 3,008 1,43 Isocianato de metilo - 5,642 1,637 0,653
Cloro - 8,29 0,92 2 Monóxido de carbono - 37,98 3,7 1
Afecciones por cloro - 2,4 2,9 1 Sulfuro de hidrógeno -31,42 3,008 1,43
Cloruro de hidrógeno -16,85 2,00 1 Tolueno - 6,794 0,408 2,5
SEGURIDAD
ANEXO VII
DESCRIPCIÓN DE CAPAS DE PROTECCIÓN INDEPENDIENTES
SEGURIDAD
En general, en un proceso industrial se pueden distinguir las siguientes IPLs:
- Diseño del proceso – Seguridad intrínseca.
- Control de procesos (BPCS) – Sistema de monitorización.
- Supervisión – Intervención humana (PCMS).
- Sistema Instrumentado de Protección IPS (incluye los SIS).
- Sistemas mecánicos para la mitigación.
- Protección física (pasiva) después de la fuga.
- Instalaciones externas (activas) para la reducción del riesgo (ERRFs).
- Respuesta contra emergencias (dentro y fuera de la planta).
Diseño del proceso – Seguridad intrínseca
El diseño físico de un sistema y los procesos físico-químicos que en él se producen son el origen de los
riesgos del sistema. El diseño constituye una barrera de protección fundamental que se toma en consi-
deración al valorar los parámetros de los gráficos de riesgos (frecuencia y consecuencias). La seguridad
intrínseca constituye un principio de actuación que debe aplicar en el diseño de un proceso y que va ínti-
mamente ligada al proceso mismo. No obstante, la seguridad intrínseca debe considerarse siempre que
sea posible (y rentable) debido a que puede reducir o eliminar el riesgo de proceso.
Durante el diseño de los procesos se examinan los valores mínimos y máximos de las variables de pro-
ceso para determinar si el equipo puede diseñarse de manera que resista los posibles valores extremos.
Cada variable de proceso que se asegura con un buen diseño es una variable menos que contribuye a la
aparición de un peligro.
El diseño intrínsecamente seguro implica el uso de cuatro principios cruciales:

- Minimizar: usar pequeñas cantidades de material peligroso;
- Sustituir: cambiar un material por otro que no sea tan peligroso;
- Moderar: usar condiciones más seguras (temperatura, presión), una forma menos peligrosa del
material o instalaciones que minimicen el impacto de la emisión de energía o de material peligro-
so;
- Simplificar: diseñar instalaciones para que reduzcan los errores operativos y tengan mayor tole-
rancia a las desviaciones del proceso.
Un diseño intrínsecamente más seguro es más rentable cuando se aplica en fases tempranas del diseño.
Cualquier reducción de riesgo requerida posterior (RG), por ejemplo durante las fases de detalle del
proyecto, normalmente necesita la utilización de capas de protección (seguridad funcional) en lugar de
herramientas de diseño intrínsecamente seguro (seguridad inherente). Un cambio en el diseño es más
difícil y caro cuanto más avanzada está su implementación.
¿Se considera como capa de protección independiente? No se considera como tal durante el proceso de
cierre del RG con IPLs porque, tal y como se ha indicado, la seguridad intrínseca es un principio básico
del diseño y va encaminada a eliminar o reducir los riesgos del proceso.
SEGURIDAD
Control de procesos (BPCS) – Sistema de monitorización
La capa del Sistema de Control de Procesos (BPCS) incluye el lazo funcional completo: detectores,
BPCS y elementos finales.
Aunque la función primaria del BPCS es monitorizar y controlar el proceso en continuo, también puede
usarse para implementar funciones de protección, tales como:
- Realizar acciones que devuelvan el proceso al rango normal de las variables de operación;
- Realizar acciones que paren el proceso llevando el sistema a un estado seguro (por ejemplo,
duplicando los sistemas instrumentados de protección en el sistema de control).
Otra función del BPCS es proporcionar información (por ejemplo alarmas) al operador, el cual es el res-
ponsable de realizar una acción correctamente. Esta función se debe considerar como parte de la capa
de intervención humana.
La capa de protección del BPCS (también llamada capa de monitorización o PCMS) actúa como parte del
diseño operativo cuando una o más variables de proceso abandonan el rango normal de operación y
entrar en el rango de desviación admisible. En esas condiciones no es necesario parar el proceso (por
razones de seguridad), aunque sí requieren que se tome una acción para devolver el proceso al rango
normal de operación.
Dado que las funciones del BPCS trabajan en continuo (alta demanda), éstas están sujetas a chequeos
continuos por parte del personal responsable. Por lo tanto, los posibles defectos o fallos se detectan (a
menudo) inmediatamente. Sin embargo, el estándar IEC 61511 no acepta tasas de fallos inferiores a 10-
5
/h para sistemas instrumentados que no se diseñen y gestionen como SIS. En otras palabras, el máximo
factor de reducción de riesgo otorgable a sistemas instrumentados no-SIS es aproximadamente 10.
Para mejorar la fiabilidad, es necesario reducir los errores sistemáticos. El estándar IEC 61511 lo hace
mediante varias actividades de control de calidad, tales como verificación, validación y evaluación de la
seguridad funcional, así como requiriendo procedimientos de seguridad de acceso y gestión de cambios,
aunque esto no se hace generalmente con el BPCS.
¿Se considera como capa de protección independiente? En general, no, ya que se puede considerar
dentro del diseño del proceso, aplicando el mismo principio que en la capa anterior. No obstante, se le
puede asignar como máximo un crédito IPL, siempre que no haya otras capas presentes y se justifique su
independencia respecto al suceso iniciador y otras capas de protección. Además, se le puede asignar un
crédito IPL a los sistemas de control específicos de ciertos equipos: compresores, hornos, calderas, etc.
Supervisión – Intervención humana (PCMS)
La supervisión por parte de los operadores y la respuesta a alarmas relacionadas con la seguridad para
prevenir incidentes constituye una capa de protección. De hecho, la capa de “intervención humana” es un
lazo funcional completo que típicamente está formado por: elementos sensores, el BPCS que da la alar-
ma, la respuesta e intervención por parte del operador y los elementos finales.
Cuando la información (alarma) o acción (respuesta) dependen del correcto funcionamiento del BPCS, se
deberán considerar las observaciones hechas en el punto anterior sobre la función protectora del BPCS.
La intervención humana en respuesta a alarmas también tiene ciertas limitaciones debido a que existe el
potencial error del operador o del procedimiento, especialmente en situaciones de estrés. La probabilidad
de una respuesta correcta por parte de un operador ante una alarma depende de varios factores, entre
ellos:
SEGURIDAD
- La manera de priorizar las alarmas en el BPCS (por ejemplo, si el operador recibe una batería de
alarmas simultáneamente, éste no será capaz de procesar toda la información). Por tanto, las
alarmas que requieran la intervención humana deberán de priorizarse y distinguirse claramente
de las que no requieren de una acción inmediata. También es posible que el operador detecte la
desviación del rango normal de operación desde campo en los chequeos que realiza durante sus
rondas periódicas. En este caso, el tiempo de seguridad del proceso deberá ser al menos el do-
ble del tiempo entre los chequeos por parte de los operadores.
- El tiempo disponible para ejecutar la acción requerida, o tiempo de seguridad del proceso, está
limitado por la dinámica del proceso. Este tiempo corresponde con el tiempo que hay entre la
demanda (por ejemplo, la variable del proceso se desvía hacia la zona de operación inaceptable)
y el momento en que el proceso entra en situación peligrosa, si nada se hace para prevenirlo.
Este tiempo se deberá comparar con el tiempo que necesitan los operadores para realizar la ac-
ción requerida, que incluye: el tiempo para procesar mentalmente las alarmas, intentar solucionar
el problema (troubleshooting), decidir qué acción es la correcta, ejecutar la acción y asegurarse
de que la acción se lleva a cabo de manera efectiva.
- La complejidad del troubleshooting y la dificultad para determinar cuál es la acción requerida. Las
acciones que deberá ejecutar el operador deberán estar adecuadamente documentadas en
procedimientos escritos que subrayen las acciones importantes y que expliquen las consecuen-
cias de estas desviaciones. Para incrementar la capacidad del operador de realizar las acciones
correctamente, las instrucciones deberán ser claras y directas, con comunicación continua (feed-
back) con el proceso para verificar que las acciones se están realizando correctamente. Los
operadores deberán de formarse para que estén perfectamente familiarizados con estos proce-
dimientos.
- El estrés al que estén sometidos los operadores.
¿Se considera como capa de protección independiente? Sí. Se le podrá otorgar como máximo un crédito
IPL si satisface los siguientes aspectos:
- El subsistema de la alarma (es decir, los detectores de campo, los módulos I/O, el procesador
principal, etc.) es independiente del suceso iniciador y de otras capas de protección (preventivas
o de mitigación) del mismo peligro.
- El tiempo de seguridad del proceso se considera suficientemente grande (por ejemplo, del orden
de 45 minutos dependiendo de la operación (valor orientativo)).
- La acción por parte del operador es simple, está bien documentada y las indicaciones de que tie-
ne que realizar una acción son claras y fiables. Se permite un mínimo troubleshooting o diagnós-
tico antes de ejecutar la acción.
Sistemas Instrumentados de Protección (IPS)
La capa de los Sistemas Instrumentados de Protección (IPS) incluye a los Sistemas Instrumentados de
Seguridad (SIS), y por tanto nos referiremos a los SIS para designar a los IPS. El SIS está formado por
las diferentes Funciones Instrumentadas de Seguridad o SIFs.
Una SIF incluye detectores, procesadores lógicos y elementos finales, que deberán ser diseñados, im-
plementados y gestionados de acuerdo con los estándares IEC 61508 y IEC 61511. Los SIS deben di-
señarse para ser independientes de la capa de control (por ejemplo, el BPCS y el PCMS), para asegurar
los siguientes puntos:
- El acceso a los SIS es mínimo para evitar cambios involuntarios y ajustes erróneos;
- El acceso a capas de control se proporciona sin comprometer la seguridad;
SEGURIDAD
- El equipo usado para implementar el SIS está aprobado para la aplicación;

- Se han minimizado los fallos más comunes entre el SIS y las capas de control y monitorización.
Las SIFs (preventivas) se implementan para llevar el proceso a estado seguro cuando ocurre una de-
manda, es decir cuando una o más variables de proceso amenazan con abandonar el rango normal de
operación y entrar en el rango no admisible, aunque mucho antes de que esto se produzca.
Las SIFs tomarán el mando siempre por encima de las funciones del BPCS. Al contrario de lo que sucede
con las funciones del BPCS, las funciones del SIS deben actuar solamente de forma esporádica (es de-
cir, normalmente son sistemas de baja demanda). Esto es debido en primer lugar a la baja probabilidad
de ocurrencia de un suceso peligroso y en segundo lugar, debido al hecho de que frecuentemente
existen capas de protección previas como por ejemplo la capa del BPCS y la capa de intervención huma-
na.
Cuando se analizan las capas de protección para prevenir un escenario accidental, la SIF objeto del es-
tudio no debe tenerse en cuenta (ni asignársele créditos IPL) debido a que es precisamente la SIF la que
tendrá que cerrar el RG mediante la asignación de un nivel SIL, siempre y cuando no se puedan imple-
mentar otras capas de protección independientes.
En algunos casos, es posible que dos SIFs estén protegiendo la misma situación peligrosa aunque no
exactamente por el mismo iniciador. En este caso es importante evaluar la independencia de las dos SIFs
y considerar posibles fallos comunes.
Adicionalmente, es importante prestar atención a la asignación final de los SIL de estas SIFs debido a
que éstos dependerán de los niveles SIL de las dos. En la práctica, esto se puede solucionar asignándole
a una SIF los créditos IPL equivalentes al SIL que tentativamente se le dará posteriormente para poder
determinar el SIL de la otra SIF y cerrar el RG. Cuando se analice la otra SIF, se hará lo mismo pero al
revés considerando la primera como una IPL.
A efectos de alcanzar un SIL mayor, será posible implementar dos SIFs independientes de SIL menor,
aunque se deberá tener cuidado con los fallos por causa común.
¿Se considera como capa de protección independiente? Sí. La SIF será la encargada de cerrar el RG
mediante la asignación de un nivel SIL, siempre y cuando no se puedan implementar otras capas de pro-
tección independientes.
Sistemas mecánicos para la mitigación
Los sistemas mecánicos de mitigación incluyen dispositivos que, bajo condiciones anormales específicas
(por ejemplo, presión igual o mayor al punto de consigna de una PSV), ejecutan una acción de mitigación
específica (por ejemplo, se abre la válvula de presión). Estos sistemas incluyen: PSVs, discos de ruptura,
válvulas de ventosa (rotura de vacío), puertas a prueba de explosión, supresores de llama y válvulas de
exceso de flujo (mecánicas). El diseño de los sistemas de mitigación se realiza de acuerdo a estándares
y guías de organizaciones como NFPA, API y ASME. También se pueden realizar de acuerdo a las regu-
laciones de la jurisdicción local y requisitos de las aseguradoras.
En general, un dispositivo de mitigación debe cumplir los siguientes requisitos para considerarse una
función protectora independiente (IPL):
- Estar diseñado específicamente para mitigar el escenario de peligro identificado.

- Mitigar eficazmente las consecuencias del peligro identificado. Téngase en cuenta que la actua-
ción correcta de los dispositivos mecánicos tienen asociados normalmente una consecuencias
residuales que deberán ser aceptables para que puedan ser consideradas IPLs.
SEGURIDAD
Ejemplos y consideraciones:
- Las PSVs deberán ventear material a una antorcha dimensionada adecuadamente. La cantidad
emitida asimismo deberá ser despreciable para la población vecina.
- Las PSVs o los discos de ruptura que venteen directamente a la atmósfera no deberán emitir
materiales inflamables o tóxicos que pongan en peligro la vida o la salud de las personas, el me-
dio ambiente o los bienes materiales y la producción.
- Las puertas a prueba de explosión ayudan a reducir la sobrepresión en caso de una explosión y
por tanto, a minimizar el colapso de estructuras. Sin embargo, estas puertas no prevendrán la
explosión en sí, ni que se produzcan daños. Por tanto, parece obvio que no se le otorguen crédi-
tos IPL a este tipo de protección.
- Las válvulas de exceso de flujo (mecánicas) se instalan comúnmente en la línea de fondo de las
esferas de GLP para bloquear la línea, y así aislar la esfera, en caso de fugas aguas abajo. Estas
válvulas normalmente actúan cerrando en caso de caudales muy altos (incluso muy superiores al
máximo caudal nominal). La válvula tardará un cierto tiempo en cerrar, tiempo durante el cual
fugará GLP; adicionalmente para pequeñas fugas aguas abajo la pérdida de presión y aumento
de caudal no será suficiente como para alcanzar el punto de consigna y cerrar las válvulas. Por
tanto, parece obvio que no se le otorguen créditos IPL a este tipo de protección.
- Estar diseñado, instalado y con un mantenimiento que minimicen problemas potenciales de ta-
ponamiento, (por ejemplo, discos de ruptura en serie con PSVs). Se deberá garantizar el correcto
funcionamiento del dispositivo durante todo el periodo entre inspecciones, por ejemplo indicando
en los informes de las inspecciones periódicas que el dispositivo está limpio de deposiciones o
que no está deteriorado.
¿Se considera como capa de protección independiente? En general, sí. Según el tipo, se le podrán otor-
gar como máximo dos créditos IPL (dependiendo del servicio) a dispositivos como válvulas de seguridad,
discos de ruptura, válvulas antirretorno en líquidos, supresores de llama/detonación. Tal y como se ha
indicado, a los paneles de explosión y a las válvulas de exceso de flujo no se les pueden asignar créditos
IPL.
Protección física (pasiva) después de la fuga
Las barreras físicas sirven para mitigar pasivamente el riesgo con su presencia. Algunos ejemplos pue-
den ser: cubetos, muros contra explosión, búnkeres y el ignifugado de estructuras o equipos. En general,
cuando se diseña, construye, inspecciona y se mantiene la barrera de acuerdo con buenas prácticas de
ingeniería, hay una probabilidad elevada de que funcione como es debido cuando se necesite. Las ba-
rreras se deben inspeccionar con suficiente frecuencia para asegurar su integridad y sus premisas de
diseño deben ser auditadas periódicamente para verificar si están en el sitio adecuado o la instalación ha
cambiado (por ejemplo, los tanques operaban a menos del 50% de capacidad, pero hoy en día lo hacen a
un 85%).
¿Se considera como capa de protección independiente? En general, no. Durante la asignación de SIL
mediante los gráficos de riesgos no se le darán créditos IPL a este tipo de sistemas de protección debido
a que el método es cualitativo y por tanto no permite evaluar correctamente la eficacia de esta capa de
protección. Además, tales análisis cualitativos no deberán apoyarse en estas barreras de mitigación para
que el riesgo de la instalación sea aceptablemente bajo para las instalaciones. Sin embargo, en análisis
cuantitativos como LOPA se le podrá dar como máximo un crédito IPL a este tipo de sistemas de protec-
ción. En este caso, los árboles de sucesos deberán mostrar explícitamente la actuación de las barreras
físicas.
SEGURIDAD
Instalaciones externas (activas) para la reducción del riesgo (ERRFs)
Las instalaciones externas (activas) para la reducción del riesgo (ERRFs) constituyen una capa de miti-
gación o limitación de consecuencias que está diseñada para reducir la severidad de las consecuencias
de un proceso peligroso que ha llegado a la etapa de pérdida de contención. Estos sistemas incluyen el
sistema Fire & Gas (típicamente formado por detectores de fuego y gas, alarmas para alertar a la sala de
control y que ésta tome medidas o se inicie la evacuación del personal, y eventualmente sistemas auto-
máticos contra incendios y/o sistemas de paro de emergencia ESD), sistemas activos de protección co-
ntra incendios (típicamente formado por agua contra incendios, espuma, polvo seco y agentes de limpie-
za).
Otros ejemplos son sistemas de paro de emergencia, sistemas de despresurización de emergencia,

sistemas de venteo de emergencia, sistemas de volcado (dump) de emergencia y válvulas de aislamiento
accionadas remotamente (ROSOVs). Estos sistemas se accionan manualmente por operadores al activar
los pulsadores desde la sala de control o desde lugar seguro en campo. En instalaciones offshore, los
sistemas de fuego y gas y los sistemas de parada de emergencia son sistemas integrados conocidos
como sistemas de apoyo de emergencia “emergency support systems” (ESS).
Las instalaciones externas (activas) para la reducción del riesgo (ERRFs) tienen que estar separados del
SIS y por tanto, quedan fuera del ámbito de los estándares IEC 61508 y IEC 61511. Sin embargo, las
ERRFs son sistemas de seguridad y deben ser probados, inspeccionados y manejados como tales. El
control de estos sistemas se implementa, a veces, usando los procesadores lógicos de los SIS, lo cual
requiere que todo el sistema se maneje, como mínimo, con el nivel de rigor requerido para el SIS.
¿Se considera como capa de protección independiente? En general, no. Estos sistemas de mitigación
tienen un papel en la reducción de riesgo. Sin embargo, no se les darán créditos IPL durante la asigna-
ción de SIL mediante los gráficos de riesgos debido a que el método es cualitativo y por tanto no permite
evaluar correctamente la eficacia en la detección de esta capa de protección (por ejemplo, no es posible
saber si el detector estará en el lugar adecuado para detectar la fuga debido a que esto depende gene-
ralmente de la dirección del viento) ni el grado de mitigación que ofrecen para saber si el riego residual es
aceptable, debido a que su propósito principal es limitar la escalación de las consecuencias y no prevenir
la pérdida de contención inicial y sus consecuencias inmediatas. En análisis cuantitativos como LOPA se
le podrá asignar como máximo un crédito IPL a este tipo de sistemas de protección. En este caso, los
árboles de sucesos deberán mostrar explícitamente la actuación de las ERRFs.
Respuesta ante emergencias
Desde una perspectiva de instrumentación y controles, a menudo, la respuesta de emergencia depende

de los equipos de comunicación y de los sistemas de alarma para avisar a la gente, dentro y fuera de las
instalaciones, de la situación peligrosa y de la necesidad de equipos de protección personal o de una
evacuación rápida. Los sistemas de alarma y los equipos de comunicación deben ser independientes de
sistemas que puedan verse afectados por el incidente del proceso.
¿Se considera como capa de protección independiente? No. Dado que confiar en la respuesta de emer-
gencia es el último recurso, se recomienda que no se den créditos IPL para la reducción de riesgo a esta
capa. Más bien, el objetivo sería evitar una situación que active la respuesta contra emergencias antes
que tener que confiar en ésta.
SEGURIDAD
ANEXO VIII
TABLA DE ASIGNACIÓN DE CRÉDITOS A LAS CAPAS DE PROTECCIÓN EN LA ETAPA INICIAL

DE CIERRE DE RISK GAP Y ANÁLISIS LOPA
SEGURIDAD
¿Se le asigna ¿Se le asigna

Nº máximo de
Capa de protección créditos en la créditos en el Observaciones
créditos
etapa inicial? análisis LOPA?
Diseño del proceso –
No No - No se le asignan créditos por considerarse un principio básico en el diseño.
seguridad intrínseca
Se le asignará crédito siempre que no haya otras capas presentes y se
Control de procesos
verifique su independencia respecto al suceso iniciador y otras capas de
(BPCS) – sistema de Sí Sí 1
protección. También se le asignará crédito a sistemas de control específico
monitorización
de equipos: compresores, hornos, calderas, etc.
Se le asignará crédito siempre que el subsistema de alarma sea indepen-
diente, el tiempo de seguridad del proceso se considere grande y la acción
Supervisión – interven-
Sí Sí 1 por parte del operador sea simple, esté bien documentada y las indicacio-
ción humana (PCMS)
nes sean claras y fiables (se permite un mínimo diagnóstico antes de eje-
cutar la acción).
Sistemas instrumenta- Se le asignará el correspondiente nivel SIL de la SIF (1, 2 o 3) siempre que
Sí Sí 3
dos de protección (IPS) esté verificado.
Se le asignarán créditos dependiendo del servicio (limpio o sucio) a PSVs,
discos de ruptura, válvulas antirretorno, venteos abiertos y supresores de
Sistemas mecánicos
Sí Sí 2 llama/detonación.
para la mitigación
No se le asignarán créditos a paneles de explosión y válvulas de exceso de
flujo.
No se le asignan créditos en la etapa inicial por ser análisis cualitativos y no
Protección física (pasi-
No Sí 1 se permite evaluar correctamente su eficacia ni su grado de mitigación. En
va) después de la fuga
el análisis LOPA sí se permite asignarle créditos.
Instalaciones externas
activas para la reduc- No Sí 1 Ídem que en el caso anterior.
ción del riesgo
Respuesta ante emer- No se le asignan créditos por ser la última capa de protección y su eficacia
No No -
gencias depende de muchos factores.
SEGURIDAD
ANEXO IX
TABLA DE RECOPILACIÓN DE DATOS
SEGURIDAD
Refinería o Fábrica de XXX Estudio Nº: Nº de Sesión: Fecha:
Unidad: Planos de referencia:

Nodo:
Parámetro: Intención:
Gráficos de Riesgo Risk Gap inicial

Palabra Risk Gap Acción
Desviación Causas Consecuencias RG- RG- RG- Salvaguardas Recomendaciones
clave C E A F P W final Por
C E A
(Indicar las capas (Indicar el
de protección y si valor resul-
tienen créditos IPL tante una vez
o niveles SIL) que se han
identificado
las capas de
protección
independien-
tes y sus
correspon-
dientes cré-
ditos IPL o
niveles SIL)
SEGURIDAD
ANEXO X
TABLA DE RECOMENDACIONES Y SEGUIMIENTO DE ACCIONES
SEGURIDAD
Estudio Nº: Fecha:
Planta: Unidad:
Nodo P&ID considerado Recomendación Prioridad Responsable / Área Fecha prevista
SEGURIDAD
ANEXO XI
FICHA DE ANÁLISIS DE CAPAS DE PROTECCIÓN (LOPA)
SEGURIDAD
FICHA DE ANÁLISIS DE CAPAS DE PROTECCIÓN (LOPA)

Nº de análisis: Fecha:
Escenario
Nodo:
Parámetro:
Descripción:
Causas
Descripción:
Consecuencias Risk Gap inicial

Seguridad [C] Seguridad [C]
Medio Ambiente [E] Medio Ambiente [E]
Financieras [A] Financieras [A]
Frecuencias de sucesos y modificadores
Probabilidad Frecuencia (1/año) -log (Frecuencia)
Frecuencia del suceso iniciador -
Modificadores condicionales
- Probabilidad de ignición - -
- Probabilidad de presencia de personal - -
- Probabilidad de muerte - -
- Otros (indicar) - -
Frecuencia del suceso sin mitigación -
Capas de protección independientes (IPL)
Frecuencia (1/año) -log (Frecuencia)
1 Diseño del proceso/sistema - -
2 Control de procesos (BPCS)
3 Supervisión/intervención humana (PCMS)
4 Sistemas instrumentados de protección (IPS)
5 Sistemas mecánicos para la mitigación
6 Protección pasiva después de la fuga
7 Instalaciones externas activas para la reducción del riesgo
8 Respuesta ante emergencias - -
Resto de Salvaguardas (no consideradas como IPL)
Descripción:
Resultados
Frecuencia (1/año) -log (Frecuencia)
Frecuencia del suceso con mitigación:
Frecuencia tolerable (matriz riesgos)
¿Cumple con el requisito de aceptación del riesgo? SÍ 
NO 
Acciones requeridas
Descripción:
Observaciones

Cepsa - PR 063 01 Es

Caricato da

Informazioni sul documento

Descrizione originale:

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Cepsa - PR 063 01 Es

Caricato da

Copyright:

Formati disponibili

COPIA IMPRESA NO CONTROLADA

El documento original, que está aprobado por la persona y en la fecha arriba

PROCEDIMIENTO SOBRE ELABORACIÓN DE ESTUDIOS DE

 LOPA (Layer of Protection Analysis): Análisis de capas de protección. Es una herramienta

 SIS (Safety Instrumented System): Sistema instrumentado de seguridad. Se trata de un sistema

 SIF (Safety Instrumented Function): Función instrumentada de seguridad. Componen el siste-

 IPL (Independent Protection Layer): Capa de protección independiente. Es un dispositivo, sis-

 PFD (Probability of Failure on Demand): Probabilidad de fallo en demanda. Es la probabilidad

LA REVISIÓN DE ESTE PROCEDIMIENTO AFECTA SUSTANCIALMENTE AL

PROCEDIMIENTO SOBRE ELABORACIÓN DE ESTUDIOS DE ANÁLISIS DE RIESGO Y

1. El objeto de este procedimiento es establecer la metodología de aplicación del estudio HAZOP/SIL

ÁMBITO Y CASOS DE APLICACIÓN

2. Este procedimiento se aplicará en las instalaciones de refino de petróleo y petroquímicas, termina-

3. El estudio HAZOP/SIL será aplicado en las instalaciones en los siguientes casos:

4. El equipo HAZOP/SIL estará compuesto por:

 Planificar las sesiones y el calendario de reunión.

 Explicar la metodología de análisis HAZOP y asignación de índices SIL mediante gráficos de

 Seguir el progreso según la agenda acordada.

 Asegurar que se realiza el análisis de forma completa.

6. El Secretario tendrá las siguientes funciones:

Adicionalmente, al principio o a lo largo del estudio se evaluará la necesidad de la presencia de otras

El equipo participante en el estudio tendrá las siguientes responsabilidades:

 Analizar y estudiar la documentación suministrada por el Facilitador previamente al comienzo de

 Participar activamente en la identificación de desviaciones, así como en la de causas y conse-

 Participar activamente en la asignación de índices SIL mediante los gráficos de riesgo.

 Identificar las salvaguardas existentes en cada caso y proponer recomendaciones.

ETAPA 1: DEFINICIÓN Y COMPROBACIÓN DE NODOS

13. A modo de guía, se indican los siguientes aspectos a tener en cuenta:

ETAPA 2: IDENTIFICACIÓN DE DESVIACIONES (aplicación de palabras clave)

Palabras clave primarias (parámetros)

Flujo Separación Transferencia

Puesta en marcha Electricidad Gas Inerte

Palabras clave secundarias (palabras guía)

Palabra Significado Ejemplo

Palabra Significado Ejemplo

Aplicación de palabras clave

22. A modo de guía, se indican los siguientes aspectos a tener en cuenta:

o Los parámetros de proceso que se controlan (presión, caudal, temperatura, composición,

o Los parámetros críticos de operación que se listan en los procedimientos.

o Los equipos presentes (agitadores, reactores, etc).

o Las operaciones que se llevan a cabo en la instalación (separación, centrifugación, etc).

o Las acciones requeridas por los procedimientos.

o El conocimiento y la experiencia de los participantes.

ETAPA 3: DEFINICIÓN DE CAUSAS Y CONSECUENCIAS

24. Se distinguen los siguientes tipos:

26. Se distinguen los siguientes tipos:

28. Se distinguen los siguientes tipos:

 Revisar informes de incidentes/accidentes previos.

 No asumir que algo no puede ocurrir simplemente porque no ha pasado antes.

 No eliminar causas creíbles porque existan salvaguardas.

 Un fallo simple de un equipo unido a un fallo humano es creíble.

 Los fallos simultáneos de dos o más partes independientes de un equipo no es creíble.

 La ocurrencia simultánea de dos o más eventos externos independientes no es creíble.

Fallos de causa común

 Servicios auxiliares: electricidad, aire de instrumentos, etc.

 Humanos: errores de especificación, diseño, etc.

 Mantenimiento: herramientas, procedimientos, etc.

 Factores externos: tormentas, inundaciones, etc.

 Corrosión, taponamiento, ensuciamiento, etc.

 Si existen daños a los equipos, habrá que indicarlo.

 Se evaluarán tres tipos de consecuencias:

ETAPA 4: EVALUACIÓN DE CONSECUENCIAS Y DETERMINACIÓN DE LA REDUCCIÓN DE RIESGO