Metodo-3 CONFIABILIDAD HUMANA

270-22100-SI-212-0005 PAG.
139 DE 322
SUBDIRECCION REGION
MARINA SUROESTE MAYO/2000 REVISIÓN: PRIMERA
GERENCIA DE SEGURIDAD
INDUSTRIAL Y PROTECCION ELABORO: REVISO: APROBO:
AMBIENTAL
GRG EJP HLT
MANUAL DE PROCEDIMIENTOS
PROCEDIMIENTO PARA EL ANÁLISIS DE RIESGO EN LOS
PROCESOS
3.3.3 Análisis de Confiabilidad Humana
Han habido errores humanos que han causado directamente o que han contribuido
indirectamente a un gran número de accidentes en la industria de hidrocarburos. La industria se
ha dado cuenta de la importancia de reducir errores humanos para mejorar la seguridad, la
productividad y la calidad de sus procesos.
Cualquier intento serio de mejorar la seguridad de los procesos de hidrocarburos debe

considerar el hecho de que la mayoría de las deficiencias de calidad, de las pérdidas de
producción y de los accidentes se deben a errores humanos en el diseño, la construcción, la
operación el mantenimiento y la administración de instalaciones. Con frecuencia, los gerentes
piensan que trabajadores adecuadamente seleccionados, capacitados y motivados pueden operar
apropiadamente cualquier tipo de sistema, por lo tanto, consideran que los errores humanos son
producto de la incapacidad o del descuido y que sólo se pueden prevenir disciplinando a las
partes culpables. Sin embargo, solamente una pequeña fracción de los errores humanos son
cometidos por operadores incompetentes o descuidados. La mayoría de los errores los cometen
trabajadores capaces, cuidadosos, productivos y que quieren lo mejor para la compañía. En
lugar de culpar a los individuos por sus errores, los gerentes con visión intentan identificar las
causas raíces de los errores en las situaciones de trabajo e implantan las acciones correctivas
apropiadas.
La ingeniería de factores humanos o ergonomía estudia el diseño de equipos, operaciones,

procedimientos y entornos laborales que son compatibles con las capacidades, limitaciones y
necesidades de los trabajadores. Esta disciplina es un complemento vital de las otras disciplinas
cuyo propósito es optimizar el funcionamiento de los equipos y/o minimizar los costos de
capital, tomando en cuenta como los equipos van a ser operados y mantenidos durante su ciclo
vital.
Es inevitable que los operadores cometan equivocaciones. En esta sección se discuten métodos
que los gerentes pueden usan para reducir la probabilidad de consecuencias indeseables, ya sea
diseñando maneras de detectar errores humanos o de mitigar sus efectos. El análisis de
confiabilidad humana es una de las herramientas que la gerencia puede usar para mejorar el
desempeño de los trabajadores.
El análisis de confiabilidad humana puede producir resultados cualitativos o cuantitativos. Los

resultados cualitativos identifican (1) las acciones críticas que un trabajador debe realizar para
270-22100-SI-212-0005 PAG. 140 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
desempeñar con éxito una tarea, (2) las acciones indeseables que pueden degradar el sistema,
(3) la situación con propensión a errores y (4) los factores que pueden mitigar errores en la
realización de una acción determinada. Los resultados cuantitativos son estimaciones
numéricas de la probabilidad de que una acción se realice incorrectamente o de que se realice
una acción indeseable. Los gerentes deben entender que los resultados cualitativos son tan
valiosos como las estimaciones numéricas de las probabilidades de errores.
El principal propósito del análisis de confiabilidad humana en el marco del análisis cuantitativo
de frecuencia es proporcionar los valores numéricos correspondientes a los errores humanos
que aparecen en los árboles de eventos y árboles de fallas. El análisis de confiabilidad humana
también es una herramienta valiosa para identificar recomendaciones destinadas a reducir la
oportunidad de error humano.
3.3.3.1 Definición de Error Humano
Cualquier tarea que tenga que ser realizada por una persona es una oportunidad de error. A
pesar de que no hay dos individuos que realicen dos veces la misma tarea de la misma manera,
normalmente las pequeñas variaciones en la manera de llevar a cabo una tarea no tienen
consecuencias. Pero cuando la variación excede el límite de aceptabilidad, entonces se
considera un error. Por lo tanto, error humano se define como cualquier acción (u omisión)
que excede las tolerancias del sistema con el que interacciona el trabajador.
Una discusión del error humano debe considerar las acciones específicas y los límites de una
tarea determinada. Por ejemplo, se pide a un operador que añada 10 libras de catalizador una
vez que el lote del reactor alcance la temperatura de 200 grados. El operador puede añadir más
o menos catalizador; puede añadir el catalizador antes o después; puede añadir el catalizador
rápidamente o lentamente; puede añadir un catalizador diferente; puede olvidarse de añadir el
catalizador. También puede añadir el catalizador con una pala azul o con una pala roja.
Ninguna de estas variaciones tiene ninguna importancia si no tiene el potencial de desencadenar
una reacción descontrolada (accidente), de alargar el tiempo de proceso (pérdida de
producción), o de producir producto fuera de especificación (problema de calidad). En estos
casos estas variaciones se consideran errores humanos. Desafortunadamente, los límites en el
desempeño de los operadores no se definen adecuadamente hasta que alguien los ha excedido y
esto ha ocasionado un problema.
270-22100-SI-212-0005 PAG. 141 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
Existen dos tipos de errores humanos: intencionados y no intencionados. Los errores no

intencionados son acciones cometidas u omitidas sin premeditación. Normalmente ocurren “por
accidente”: el operador activa el interruptor incorrecto, lee incorrectamente un sensor, olvida
abrir una válvula, vierte el café sobre la consola de mandos, etc. Las desviaciones o errores
intencionados son acciones que se cometen u omiten deliberadamente por que se tiene el
convencimiento de que esa acción u omisión es correcta, e incluso mejor (más rápida, más
segura, etc.) que la acción prescrita. Otro tipo de desviación intencionada son los “atajos” que
no se reconocen como errores hasta que algo pasa y se exceden los límites de tolerancia del
sistema. Errores de este tipo son, por ejemplo: el intento de volver a arrancar una caldera sin
haber purgado previamente la cámara de combustión (firebox), o el añadir una cantidad extra
de catalizador para acelerar el comienzo de la reacción.
Existe una notable diferencia entre el comportamiento intencionado y el comportamiento

malévolo – el motivo. Los errores o desviaciones intencionales no pretenden dañar el sistema,
aunque los efectos que produzcan en el sistema pueden resultar indeseables. Un acto malévolo
(v.gr., sabotaje) no es un error; es una acción deliberada cuya intención es causar daños. En este
protocolo, el término error no incluye los actos malévolos.
Los humanos son partes extremadamente interactivas y adaptables del sistema. Como se ilustra
en la Fig. 3.20, la interacción del hombre con un sistema, se puede clasificar en 5 funciones
distintas. Primero, el equipo u otra persona, parte del sistema, proporciona algún tipo de
información externa que debe ser procesada (v.gr., el ruido, el sonido de una alarma, o el
cambio de tono o de intensidad del ruido de fondo). Entonces, el trabajador reconoce esta
información procedente del exterior, y la distingue entre otros tipos de información posibles. La
percepción y el reconocimiento de la información externa puede modificarse por
retroalimentación interna, ya que nuestros modelos mentales y nuestras expectativas afectan
nuestra manera de percibir información, y también nuestra respuesta a la información influye
en la percepción de nueva información. Por ejemplo, si el operador está hablando, es más
probable que no escuche y entienda lo que otro dice. Después, el trabajador selecciona una
respuesta apropiada a la información que ha percibido. Factores como capacitación, memoria,
metas, intenciones, personalidad, actitud, motivación, estrés, humor, y conocimiento, afectan el
desenlace de este proceso cognitivo, cuyo resultado último consiste en decidir el curso de
acción que se debe tomar. La respuesta del trabajador (ya sea manipular controles, ajustar
equipos o dirigir la acción de otros trabajadores) se convierte entonces en información de
entrada del sistema. Si el sistema está bien diseñado, reaccionará a la respuesta del trabajador y
modificará la señal que provocó la respuesta del trabajador.
270-22100-SI-212-0005 PAG. 142 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
TRABAJADOR
recorrido del comportamiento especializado
INFORMACIÓN DEL PROCESAMIENTO INFORMACIÓN

SENTIDO,
EXTERIOR DE LA RESPUESTAS CORRECTA O
PERCEPCIÓN
(Señales, INFORMACIÓN FÍSICAS Y/O INCORRECTA QUE
Y/O
instrucciones, PENSAMIENTO Y/O VERBALES SE SUMINISTRA AL
DISCRIMINACIÓN
entomo) INTERPRETACIÓN SISTEMA
RETROALIMENTACIÓN INTERNA
RETROALIMENTACIÓN EXTERNA
Figura 3.20 Modelo Simple del Comportamiento Humano como Componente de un Sistema
Ref. A Manager's Guide to Reducing Human Errors, Chemical Manufactures Association, Inc., Washington
DC, July 1990
Los errores humanos son el resultado natural e inevitable de la variabilidad de las personas en
sus interacciones con un sistema. Existen tres tipos básicos de errores:
1) Errores aleatorios, que sólo se pueden reducir reduciendo la variabilidad total del
sistema. Los programas de selección de personal, programas de capacitación, supervisión y
control de calidad son modos de controlar la variabilidad aleatoria.
2) Errores sistemáticos, que son el resultado de tendencias y desajustes normalmente
debidos a factores que pueden corregirse con facilidad.
3) Errores esporádicos, debidos a distracciones súbitas o a acciones involuntarias, que
son los más difíciles de predecir y de eliminar, pues ocurren infrecuentemente y no pueden
correlacionarse con otras variables del proceso. Para reducir los errores esporádicos, hay que
270-22100-SI-212-0005 PAG. 143 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
clasificar los errores y las condiciones en las que ocurren, intentando relacionar los errores
con condiciones que se puedan controlar.
3.3.3.2 Factores que Influyen en el Desempeño (FID)
Podemos considerar al operador como un elemento esencial del sistema, como se muestra en la
Figura 3.21.
Sentir Interfaz
Presentación
Controles
Equipos
Decidir
Herramientas
Compañeros
Procedimientos
Actuar
ENTORNO
Ref. A Manager's Guide to Reducing Human Errors, Chemical Manufactures Association, Inc., Washington DC, July 1990
Figura 3.21 El Operador como Elemento Esencial en el Sistema Global del Proceso
Para reducir los errores humanos, la gerencia debe asegurarse de que las interfases del operador
con las máquinas y con otros operadores, sea compatible con el conocimiento, la capacidad, las
limitaciones y las necesidades del trabajador. Un factor que influye en el desempeño (FID del
270-22100-SI-212-0005 PAG. 144 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
inglés Performance Shaping Factor) es cualquier cosa que afecte el desempeño de una tarea.
Los FID’s se clasifican en tres categorías: 1) internos, que actúan dentro del individuo, 2)
externos, que afectan al individuo y 3) factores de estrés.
Los FID’s internos son las credenciales, habilidades, actitud y otras características individuales
que el trabajador aporta a su trabajo (ver Tabla 3.16). Algunas de estas características como la
capacitación del personal, pueden mejorarse con programas de entrenamiento. Otras
características, como el desequilibrio emocional motivado por una crisis familiar, se encuentran
fuera del control de la gerencia de la compañía.
La Tabla 3.17 enumera los FID’s externos que ejercen su efecto en el entorno de trabajo en
donde el trabajador desempeña sus tareas. Estos FID’s se pueden dividir en dos grupos: uno
compuesto por las características situacionales y otro por las características de las tareas y de
los equipos. Las características situacionales incluyen FID’s de carácter general que pueden
afectar diferentes tareas en una instalación.
Las características de las tareas y de los equipos son importantes para una tarea específica en el
marco de una operación determinada. Las instrucciones para realizar una tarea u operación
específica son partes importantes de las características de la tarea, pues tienen gran repercusión
en como se desempeña dicha tarea. La gerencia puede reducir de manera considerable la
probabilidad de errores humanos, recalcando la importancia de preparar y mantener
instrucciones de trabajo claras y precisas.
Tabla 3.16 FID’s internos
Capacitación / Especialización
Práctica / Experiencia
Conocimiento de los estándares de desempeño requeridos
Estrés (mental y físico)
Inteligencia
Motivación / Actitud con respecto al trabajo
Personalidad
Estado emocional
Género
Condición Física / Salud
Influencia de la familia y de otras personas o agencias externas
Identificación con grupos
Cultura
270-22100-SI-212-0005 PAG. 145 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
La interacción entre los FID’s externos e internos generan estrés en el trabajador. Si no hay
ningún tipo de estímulo, el trabajador no puede permanecer alerta para desempeñar bien su
trabajo. Por otro lado, si recibe demasiada estimulación, el trabajador pronto se sobrecargará y
su desempeño se degradará. Cuando el trabajador se encuentra sobrecargado de trabado, este
tiende a reaccionar de la siguiente manera: 1) se concentra sólo en las señales más notorias e
ignora totalmente el resto de la información, 2) omite o retrasa la respuesta, 3) procesa la
información incorrectamente y rechaza la información que está en conflicto con su diagnóstico
o decisión, y 4) se retira física o mentalmente del problema. La Tabla 3.18 es una lista de los
factores de estrés.
La gerencia debe reconocer que la mayoría de los factores estresantes se encuentran bajo su
control. La gerencia puede crear las condiciones de trabajo necesarias para optimizar el
desempeño del trabajador y minimizar el error humano, mediante el diseño de situaciones
laborales que sean compatibles con las necesidades, capacidades y limitaciones humanas, y
haciendo corresponder cuidadosamente a los trabajadores con sus requisitos laborales.
Tabla 3.17 FID’s Externos

270-22100-SI-212-0005 PAG. 146 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
CARACTERÍSTICAS SITUACIONALES CARACTERÍSTICAS DE LAS TAREAS, LOS

EQUIPOS Y LOS PROCEDIMIENTOS
 Características arquitectónicas  Procedimientos (escritos o no)
 Ambiente (temperatura, humedad, calidad del  Comunicación (oral o escrita)
aire, iluminación, ruido, vibraciones, limpieza  Avisos y advertencias
general, etc.)  Métodos de trabajo/Prácticas del taller
 Horas de trabajo/Descansos  Actividades dinámicas contra las actividades paso-a-
 Rotación de turnos paso
 Disponibilidad de equipos, herramientas y  Estructura y comunicación del equipo
suministros especiales  Requisitos de percepción
 Nivel de personal  Requisitos físicos (velocidad, fuerza, etc.)
 Estructura de la organización (autoridad,  Requisitos anticipados
responsabilidad, canales de comunicación,  Interpretación / Toma de decisiones
etc.)  Complejidad (cantidad de información)
 Acción del supervisor, de los compañeros de  Carga para la memoria a largo plazo o a corto plazo
trabajo, de los representantes de los sindicatos  Requisitos de cálculos
y del personal de la instalación encargado de  Retroalimentación (conocimiento del resultado)
las políticas de la instalación  Factores de intercomunicación con los equipos (diseño
del equipo de control, del equipo de prueba, del equipo
de proceso, de las ayudas para realizar las tareas, de las
herramientas, etc.)
 Relación de los controles con sus representaciones
visuales
 Importancia crítica de las tareas
 Frecuencia / Repetición
Tabla 3.18 Factores de Tensión

270-22100-SI-212-0005 PAG. 147 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
TENSIONANTES PSICOLÓGICOS TENSIONANTES FISIOLÓGICOS

 Comienzos repentinos  Larga duración del estrés
 Alta velocidad de la tarea  Fatiga
 Tarea con carga pesada  Dolor o incomodidad
 Alto riesgo  Hambre o sed
 Amenazas (de fracaso, de pérdida de empleo)  Temperatura extrema
 Monotonía, degradación, o falta de significado  Radiación
de la tarea  Deficiencia de oxígeno
 Períodos de vigilancia largos y sin sucesos  Exposición a productos químicos
 Motivos conflictivos sobre el desempeño de la  Vibraciones
tarea  Restricción de movimientos
 Reforzamiento negativo  Repetición de movimientos
 Privación sensorial  Falta de ejercicio físico
 Distracción (ruido, reflejos, movimiento, etc.)  Interrupción del ritmo cardíaco
 Pistas inconsistentes
 Falta de recompensas, reconocimiento o
beneficios
3.3.3.3 Procedimiento de Análisis de Confiabilidad Humana
Por lo general, el análisis de confiabilidad humana se realiza después de haber realizado una
evaluación cualitativa de riesgos (HAZOP, FMEA, o árbol de fallas), donde se han identificado
errores humanos específicos de serias consecuencias.
Los pasos de un análisis de confiabilidad humana son:
1. Describir las características del personal, el ambiente laboral y las tareas que realizan
los operadores
2. Evaluar la interacción entre hombre - máquina
3. Realizar un análisis de las tareas de las funciones de interés de un operador
4. Realizar un análisis de errores humanos de las funciones de un operador
5. Documentar los resultados
270-22100-SI-212-0005 PAG. 148 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
1. Describir las características del personal, el ambiente laboral y las tareas que
realizan los operadores. El primer paso consiste en entender el sistema hombre-
máquina. Para describir el personal, el ambiente de trabajo y las tareas que se
realizan, se utilizan diversas fuentes de información, entre las que se cuentan:
 Información demográfica de los empleados, donde se describen características
pertinentes del personal, como idioma, nivel de educación y aspecto físico
 Descripciones escritas y gráficos del lugar de trabajo
 Procedimientos escritos de operación
 Visitas del analista al área de trabajo
 Entrevistas del analista a operadores que realizan las operaciones (y que pueden
estar o pueden no estar de acuerdo con los procedimientos escritos)
 Otros incidentes de errores humanos o estudios previos que puedan arrojar
información sobre las situaciones con más probabilidad de error
2. Evaluar la interacción hombre - máquina. El segundo paso consiste en analizar la

compatibilidad entre las necesidades humanas y los límites impuestos por el diseño de
la maquinaría, la distribución del equipo, las operaciones de los procesos y los
ambientes de trabajo. La ingeniería de factores humanos analiza sistemáticamente
cada aspecto de la relación hombre-máquina para asegurar que lo que se requiere del
operador es apropiado. Por ejemplo, las técnicas de ingeniería de factores humanos
pueden identificar problemas como:
 Indicadores de medidas de variables del proceso con escalas irregulares, o
definidas de manera poco habitual y que requieren ajustes de mucha precisión
 La colocación de indicadores en lugares de difícil acceso o con poca legibilidad,
que hacen que el operador no realice las lecturas
 Válvulas manuales que no pueden ser manejadas por trabajadores con fuerza o
estatura inferior a la media
 Falta de medios para que un operador pueda comunicar cual es el estado del
proceso y de la instalación al turno siguiente
El objetivo del análisis de factores humanos es identificar deficiencias de carácter
general asociadas con el sistema hombre-máquina.
3. Realizar un análisis de las tareas de las funciones de interés de un operador.

Después de identificar y corregir las deficiencias de carácter general de un sistema
hombre-máquina, entonces se puede llevar a cabo un estudio detallado de las acciones
específicas que se requiere de los operadores. Este proceso, que se conoce con el
270-22100-SI-212-0005 PAG. 149 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
nombre de análisis de tareas, separa la función u objetivo de un operador específico

en las distintas tareas que componen dicha función. Cada tarea representa una acción
específica que el operador tiene que realizar para completar su función.
Tarea (1) + Tarea (2) + Tarea (3) + Tarea (4) +…+ Tarea (N) = Función
Cada tarea representa una oportunidad de error y cada una de estas tareas debe ser
realizada satisfactoriamente. Una vez enumeradas todas las tareas que componen la
función, el analista evalúa cada una de ellas para identificar las situaciones propensas
a errores que puedan hacer que el operador no complete satisfactoriamente una o
varias de las tareas que se le han asignado. Esta evaluación se basa en el
conocimiento y experiencia del analista, de la misma manera que una lista de
verificación identifica las condiciones que han ocasionado errores en el pasado. La
Tabla 3.19 enumera algunos de los contribuyentes más importantes a situaciones con
probabilidad alta de error. Cambios en los procedimientos, en la maquinaría, o en la
política de la compañía pueden ser necesarios para aliviar las causas de estas
situaciones.
Tabla 3.19 Ejemplos de Factores que Contribuyen a Situaciones con Alta

Probabilidad de Error
 Procedimientos deficientes 
Tareas de carga mental excesiva
 Instrumentos inadecuados, inoperativos, o 
Excesivas oportunidades de error
confusos 
Herramientas inadecuadas
 Conocimiento insuficiente 
Orden y limpieza deficientes
 Conflicto de prioridades 
Períodos de vigilancia largos y
 Etiquetación poco adecuada monótonos
 Retroalimentación poco adecuada  Práctica inadecuada con los sistemas de
 Discrepancias entre la política y la práctica control de repuesto
 Restricciones físicas poco adecuadas
 Equipo fuera de servicio
(v.gr., las conexiones para ácidos y bases
 Comunicación pobre
tienen las mismas dimensiones)
 Violación de estereotipos populares (v.gr.,  Apariencia antes que funcionalidad (v.gr.,
roscas de derecha a izquierda) la prohibición de señales o marcas que
 Controles demasiado sensibles pueden ayudar a los operadores)
Ref. A Manager's Guide to Reducing Human Errors, Chemical Manufactures Association, Inc.,
Washington DC, July 1990
270-22100-SI-212-0005 PAG. 150 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
4. Realizar un análisis de errores humanos de la función de un operador. El equipo

analiza las tareas que componen la función de un operador, elaborando un árbol de
eventos para cada una de ellas. Se puede utilizar la lógica de árbol de eventos
tradicional o se puede usar un formato de análisis de confiabilidad humana. El árbol
de eventos contiene la información del análisis de tareas y permite calcular la
probabilidad de la combinación de fallas. El árbol puede incluir fallas de equipo,
además de las fallas cometidas por los operadores.
5. Documentar los resultados. El último paso es documentar los resultados del

estudio. El análisis de riesgos proporciona la descripción del sistema hombre-
máquina analizado, una descripción de los procedimientos analizados, una lista de
suposiciones, los árboles de eventos de análisis de la confiabilidad humana que se
hayan realizado, una lista de las situaciones con alta propensión a error, una discusión
de los FIDs específicos que contribuyen al aumento de la probabilidad de error del
operador, una discusión de las consecuencias de las diferentes secuencias de
accidente y una evaluación de la importancia de las situaciones de error de
operadores. Además, también deben incluirse las recomendaciones que resulten del
análisis de confiabilidad humana.
3.3.3.4 Resultados del Análisis de Confiabilidad Humana
El producto del análisis depende sobre todo del nivel de detalle del análisis realizado. Todo
análisis debe producir una lista de recomendaciones destinadas a reducir la probabilidad de
tipos específicos de errores humanos. El análisis también produce una descripción detallada, en
forma de lista o gráfico, de las tareas del operador que se puede usar para preparar
procedimientos, material de capacitación o políticas. La evaluación de estos resultados puede
conducir a que el analista sugiera cambios en los procedimientos o en el equipo.
3.3.3.5 Programas de computadora
Existen dos programas diseñados especificamente para realizar análisis de confiabilidad

humana:
HRA-PC (Primatech, Inc., Columbus, Ohio)

SHERI (Battelle Columbus Laboratory, Columbus, Ohio)
270-22100-SI-212-0005 PAG. 151 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
También se pueden utilizar los programas para árboles de fallas y árboles de eventos que se
mencionan en las secciones 3.3.2 y 3.3.1 respectivamente
3.3.3.6 Ejemplo de Análisis de Confiabilidad Humana
Considere un operador en una sala de control, en la cual hay un interruptor de paro de

emergencia que se activa manualmente. Cuando una de las cinco alarmas críticas da la señal, el
operador tiene que activar el sistema de paro de emergencia. Existen otras alarmas (además de
las cinco alarmas antes mencionadas) que también son audibles en el cuarto de control, pero
estas otras alarmas no requieren que se realice un paro de emergencia.
El análisis de confiabilidad humana identifica que:
 El ruido excesivo en la sala de control dificulta la audición de las alarmas

 Los indicadores visuales de las cinco alarmas críticas, que requieren que se realice un
paro de emergencia, se encuentran en lugares diferentes del tablero de control, que es
grande y está saturado de controles e indicadores, de manera que hace difícil la
identificación de las alarmas críticas
 El interruptor del sistema de paro de emergencia se encuentra en un lugar protegido
para prevenir que se active inadvertidamente, pero esto a su vez dificulta el encontrar
y el operar el interruptor
 El interruptor del sistema de paro de emergencia no posee un indicador que informe
al operador que el sistema se ha puesto en marcha satisfactoriamente
A continuación, un análisis de tareas divide la función de paro de emergencia en las siguientes

tareas:
1. Reconocer la señal de la alarma

2. Identificar el tipo de alarma
3. Recordar la acción correctiva apropiada
4. Localizar el interruptor de paro de emergencia
5. Operar el interruptor de paro de emergencia
El análisis de tareas, complementado por el entendimiento a fondo de las operaciones y

condiciones de la sala de control, permite que se identifiquen las siguientes situaciones
propensas a errores:
270-22100-SI-212-0005 PAG. 152 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
 Instrumentos fuera de servicio – Mantenimiento puede retirar instrumentos en el campo y

no notificar a los operadores en la sala de control, cuando la operación normal no se
interrumpa
 Discrepancias entre las políticas y la práctica – A pesar de que en los procedimientos
escritos se pide que se pare el proceso inmediatamente, en la práctica se incita a los
operadores a que realicen un último intento de controlar el proceso antes de poner en
marcha el sistema de paro de emergencia
 Distribución pobre – El panel de control ha sido ampliado para permitir la incorporación
de las modificaciones introducidas recientemente en el proceso. Además, los controles e
instrumentos han sido colocados donde había espacio, no necesariamente en un lugar
lógico, o en un lugar deseable desde el punto de vista ergonómico
 Períodos de vigilancia largos y monótonos – Normalmente hay un solo operador en la
sala de control, cuyas funciones además de observar ocurren una vez cada hora. En
ocasiones, se sabe que los operadores duermen en los turnos de noche
En la Figura 3.22 se muestra un árbol de eventos de confiabilidad humana que refleja el análisis
de tareas. Las secuencias de accidente se muestran en la Tabla 3.20. Las secuencias de
accidente se identifican por la secuencia de éxitos (expresados con letras minúsculas) y fracasos
(expresados con letras mayúsculas) de cada término de falla. Por ejemplo, la falla F 5 ocurre
cuando: la alarma funciona (), el operador detecta (a) e identifica la alarma (b), el operador
intenta iniciar la acción correctiva (c), pero no puede (fracasa en) localizar u operar el
interruptor del sistema de paro de emergencia (D), y el supervisor no puede (fracasa en)
remediar el error del operador de no encontrar u operar el interruptor (R 1). La evaluación
subsecuente de estos resultados ayuda al analista a sugerir cambios específicos en los
procedimientos o en los equipos para solventar las deficiencias identificadas.
270-22100-SI-212-0005 PAG. 153 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
D – La alarma no
funciona
a
Falla F1
A – El operador no
detecta la alarma
b
Falla F2
B –El operador no identifica el

tipo de alarma
c
Falla F3
C – El operador no recuerda la
acción correctora adecuada
d
Falla F4
r1
D – El operador no localiza el interruptor

del sistema de paro de emergencia
e
Falla F5
S – Fallo electromecánico del

interruptor de paro de emergencia
Éxito
Falla F6
Notes:
* Las letras minúsculas indican que el evento
se ha efectuado con éxito, y son el opuesto
lógico de las mayúsculas
* Las letras romanas indican éxitos o errores de
los operadores, y las letras griagas indican
éxito o fracaso el equipo
* Recuperación significa que se ha lievado a
cabo la acción correctora a tiempo, una vez
cometido el error
Figura 3.22 Árbol de Eventos de Confiabilidad Humana para Ilustrar el

Ejemplo de la Respuesta del Operador a la Alarma
270-22100-SI-212-0005 PAG. 154 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
Tabla 3.20 Secuencias de Accidente
F1 = 
F2 = A
F3 = aB
F4 = abC
F5 = abcDR1
F6 = abc(d+Dr1)
FTotal = F1+F2+F3+F4+F5+F6
3.3.4 Análisis de Fallas con Causa Común (FCC)
3.3.4.1 Introducción
Tradicionalmente las compañías petroleras instalan salvaguardas múltiples para asegurar

protección contra los riesgos del proceso. Las salvaguardas incluyen los controles de ingeniería
y administrativos que ayudan a prevenir o a mitigar las anomalías del proceso (v.gr., derrame
de crudo) que pueden amenazar a los empleados, al público, al medio ambiente, al equipo y a la
instalación. Entre los ejemplos de salvaguardas se cuentan las alarmas de proceso, los
entrelazos de paro, los sistemas de alivio, los detectores de hidrocarburos, los sistemas de
protección contra incendios y las políticas y procedimientos de seguridad de procesos de la
instalación. El tipo y el número de salvaguardas en cada proceso dependen de la naturaleza del
peligro, por lo tanto, el número de salvaguardas aumenta con la frecuencia y la consecuencia
asociadas a un escenario de accidente potencial. Por ejemplo, en algunos cabezales de pozo es
normal instalar sensores redundantes de presión en los sistemas de paro de emergencia.
Cuando se instalan salvaguardas múltiples para asegurar una protección adecuada contra los
riesgos del proceso, no debe haber accidentes a no ser que haya múltiples fallas. Esto puede
suceder como resultado de la falla independiente de cada una de las salvaguardas; pero la
experiencia en procesos enseña que raramente ocurren múltiples fallas independientes. Esto se
entiende fácilmente con el ejemplo siguiente. Considere un entrelazo de paro que consiste en
tres interruptores independientes de temperatura (A, B y C), cada uno de ellos diseñado para
disparar el sistema independientemente cuando hay una condición de alta temperatura.
También, asuma que las probabilidades de que los interruptores fallen en la demanda (PA,
270-22100-SI-212-0005 PAG. 155 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
PB, PC) son constantes e igual a 0.01 (1 en 100 demandas). Si además asumimos que las
fallas de estos tres interruptores son independientes, entonces la probabilidad de que fallen los
tres interruptores, PS, viene dada por:
PS  PA*PB*PC  (0.01)3 = 10-6/demanda
Es decir, se espera que el sistema falle una vez en un millón de demandas. Es más, si asumimos
que las probabilidades de falla del interruptor en la demanda (PA, PB, PC) son iguales a
0.001 (1 en 1000 demandas), lo cual es difícil pero no imposible en aplicaciones prácticas,
entonces se esperaría que el sistema fallara una vez en un trillón de demandas. Estos números
resultan difíciles de creer cuando, como se ilustrará más adelante en esta sección, sistemas con
dos, tres, cuatro o más niveles de redundancia han fallado varias veces en aplicaciones
comerciales e industriales. Es decir, el supuesto de independencia entre salvaguardas
redundantes resulta en estimados muy bajos e irreales de la probabilidad de pérdida de todas las
salvaguardas y concede demasiado crédito a las salvaguardas múltiples, de manera que el
riesgo existente se estima muy por debajo de su valor real.
¿Qué es lo que hace tan inverosímiles las evaluaciones de probabilidad presentadas

anteriormente? Durante los años 50, ingenieros y otros especialistas de confiabilidad se dieron
cuenta que salvaguardas múltiples pueden fallar como resultado de un único evento (un evento
de falla dependiente). En el ejemplo anterior, los tres interruptores en el entrelazo de paro a alta
temperatura podían haber sido mal calibrados durante mantenimiento, y esto resultaría en una
indisponibilidad funcional de todo el sistema. Estos eventos de falla dependiente que se pueden
atribuir a una única causa de falla se denominan eventos de falla con causa común (FCC o
CCF, del inglés Common Cause Failure).
3.3.4.2 Definición de Evento de Falla con Causa Común (FCC)
Un evento de FCC se define como la falla o incapacidad de salvaguardas múltiples, ya sea

simultáneamente o en un espacio corto de tiempo, ocasionada por la misma causa de falla
(v.gr., el mismo error de mantenimiento, las mismas deficiencias en el diseño). De manera que
para que haya una falla con causa común se tienen que dar las tres condiciones siguientes: (1)
que las salvaguardas múltiples fallen o no estén disponibles (no que estén simplemente
degradadas), (2) que las fallas ocurran simultáneamente o en un período corto de tiempo, y (3)
que la causa de falla de cada una de las salvaguardas sea la misma.
270-22100-SI-212-0005 PAG. 156 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
"Simultaneidad" no significa necesariamente que las fallas ocurren en el mismo instante, en

realidad significa que ocurren lo suficientemente cerca en el tiempo como para impedir que se
lleve a cabo el mecanismo de protección requerida de las salvaguardas múltiples (es decir,
prevenir o mitigar las consecuencias de un accidente). Por ejemplo, para parar un reactor de
manera segura, es necesario disponer de 2 horas de suministro de agua de enfriamiento de
emergencia de una de las dos bombas redundantes (que están funcionando constantemente). En
este caso "casi simultáneamente" significa en un período de 2 horas. Esto es, se diría que la
falla de ambas bombas dentro del período de dos horas que toma realizar la operación, es un
FCC. Para sistemas de entrelazo que usan redundancia (v.gr., el sistema de entrelazo de
temperatura mencionado anteriormente), "casi simultáneamente" significa "dentro del período
de tiempo entre pruebas del equipo redundante" (asumiendo que, cuando hay fallas, estas son
detectadas y corregidas en la próxima prueba).
Lo que distingue a las fallas con causa común de las fallas por causa independiente no es la
naturaleza de las fallas (fallas de equipo, errores humanos, daños externos), sino la existencia
de factores de acoplamiento que son responsables de las fallas múltiples. Por ejemplo, el mal
funcionamiento (la activación inadvertida) de un sistema de aspersores puede acarrear la falla
de un único componente electrónico (A) situado en una localización determinada de la
instalación, o puede resultar en múltiples fallas de los componentes redundantes (A y B) que
están situados en el mismo lugar. La causa de falla de componente (el agua daña al equipo
electrónico) es la misma en ambos casos; el acoplamiento (la ubicación común, en este
ejemplo) es lo que separa los eventos de FCC de los eventos de fallas simples.
Por lo tanto, la esencia de un evento de FCC es el acoplamiento en los tiempos de falla de

salvaguardas múltiples. Esto se ilustra en la Figura 3.23, que muestra los tiempos de falla de
tres salvaguardas redundantes durante un período de alrededor de 20 años. En el caso (a), cada
una de las salvaguardas ha fallado cuatro veces y los tiempos de falla son aleatorios (no hay
lazo o
270-22100-SI-212-0005 PAG. 157 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
Salvaguarda1 x x x x
Salvaguarda 2 x x x x
0 5 10 15 20
Tiempo (años)
(a) Salvaguardas Independientes
0 5 10 15 20
Tiempo (años)
(b) Salvaguardas Completamente Acopladas
Ref. H. M. Paula, y E. Dagget, Accounting for Common Cause Failures When Assessing the Effectiveness of Safeguards, CCPS/AIChE,
1997
Figura 3.23 Tiempos de Falla de (a) Salvaguardas Independientes y (b) Salvaguardas
Completamente Acopladas
270-22100-SI-212-0005 PAG. 158 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
acoplamiento). El patrón en la Figura 3.23 (a) es representativo de los casos donde no hay FCC.
La Figura 3.23 (b) muestra los tiempos de falla de otras tres salvaguardas.
Como en el caso (a), en el caso (b) cada una de las salvaguardas ha fallado cuatro veces en 20
años. Sin embargo, en el caso (b) hay acoplamiento total en los tiempos de falla (es decir, las
salvaguardas fallan al mismo tiempo). El patrón de la Figura 3.23 (b) es puramente hipotético,
pues incluso si se dan todos los factores de acoplamiento a la vez, seria difícil crear el
acoplamiento total en el tiempo que sugiere la Figura 3.23, pero sirve para ilustrar la esencia de
un evento de FCC.
3.3.4.3. Factores de Acoplamiento de FCC
Los factores de acoplamiento más importantes son:
 Sistema auxiliar común: El funcionamiento de diferentes tipos de salvaguardas depende

de los sistemas de apoyo, incluyendo los sistemas de control (sistema de control distribuido,
controlador de lógica programable, etc.) y los sistemas de servicios auxiliares (aire de
instrumentación, energía eléctrica, vapor, etc.). A pesar de que las salvaguardas
generalmente se diseñan de manera que “fallen en seguro” cuando hay pérdida de sistemas
de apoyo (v.gr., una válvula de corte se cierra cuando pierde la señal de control o el aire de
instrumentación), hay aplicaciones en que, intencionada o desintencionadamente, la pérdida
o degradación de los sistemas de apoyo ocasionan la no-disponibilidad de las salvaguardas.
También es posible que el mal funcionamiento del sistema de apoyo dañe las salvaguardas.
Por ejemplo, una sobrecarga de corriente en la red eléctrica que alimenta dos bombas de
agua contra incendios, A y B, puede dañar los motores eléctricos de ambas bombas. En este
caso, este tipo de acoplamiento se considera como acoplamiento debido a un ambiente
interno común.
 Equipo común: En este caso, el acoplamiento consiste en la posible falla de equipo común
a varias salvaguardas. Un ejemplo típico son dos o más bombas de agua contra incendios
que reciben succión de un cabezal común. Todas las bombas fallarían si el cabezal se
bloqueara, atorará, o rompiera inadvertidamente. En otro ejemplo, en una refinería se usan
varias bombas para ayudar a asegurar un suministro adecuado y continuo de agua para
alimentar las calderas de vapor de la central eléctrica de la refinería. Sin embargo, el mal
funcionamiento de un interruptor de bajo nivel en el tanque de balance del agua de
alimentación ocasiona que todas las bombas se disparen simultáneamente. El factor de
270-22100-SI-212-0005 PAG. 159 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
acoplamiento de equipo común también se observa en equipos redundantes de

instrumentación, control y adquisición de datos, y en menor grado, en sistemas de
protección.
 Similitud de equipos: La mayoría de las fallas con causa común observadas en distintas
industrias tienen que ver con equipos similares. Esto se debe principalmente al hecho de
que equipos similares experimentan procesos de diseño y fabricación comunes, los mismos
procedimientos de instalación y comisionamiento, los mismos procedimientos y políticas
operativas, y los mismos programas de mantenimiento. Estas semejanzas permiten que
ocurran fallas múltiples ocasionadas por errores humanos u otras deficiencias que se
repiten. Por ejemplo, en una planta nuclear alemana fallaron dos interruptores redundantes
del sistema de protección del reactor. En la investigación del evento se descubrió que el
fallo se debía a una deficiencia en la manufactura de los contactos del interruptor, la
cubierta de los contactos se derrite cuando el reactor está en funcionamiento y funde los
contactos. Los dos interruptores redundantes habían sido fabricados siguiendo el mismo
procedimiento, de manera que ambos eran susceptibles, y fueron de hecho afectados por la
misma deficiencia. La similitud de equipos también es un factor importante que contribuye
a fallas de mantenimiento. Por ejemplo, durante el mantenimiento rutinario de un avión
comercial, el operador no instaló un sello O (o-ring) en ninguna de los tres motores del
avión. Al poco tiempo de despegar, los tres motores se pararon porque el lubricante había
sido consumido por falta de los sellos. Por suerte, el piloto pudo rearrancar uno de los
motores y efectuó un aterrizaje de emergencia. La causa de este incidente fue que, sin
advertirle a los mecánicos, el almacén había modificado el procedimiento de almacenaje y
empaque de las partes de repuesto necesarias, de manera que los sellos O se almacenaban
por separado, a diferencia de la manera anterior que era almacenar y empaquetar juntas
todas las partes de repuesto relativas al aceite lubricante. La semejanza entre las partes de
repuesto y los procedimientos de mantenimiento de los tres motores, hizo que se cometiera
la misma falla en los tres motores.
 Ubicación común: Equipos ubicados en la misma localización pueden fallar como

resultado de su exposición a las mismas condiciones ambientales externas, incluyendo
eventos repentinos y violentos (terremotos, incendios, inundaciones, etc.) y ambientes en
condiciones fuera de lo normal (con demasiado polvo, con muchas vibraciones, con altas
temperaturas, con demasiada humedad, etc.). Por ejemplo, el equipo electrónico redundante
en una sala puede fallar por un incendio en esa localización, o por alta temperatura, si falla
el sistema de aire acondicionado. En relación con eventos repentinos y violentos, ocurrieron
270-22100-SI-212-0005 PAG. 160 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
dos tragedias aéreas que involucran a un Boeing 747 de las líneas aéreas japonesas y a un
DC-10 de United Airlines. Estas tragedias fueron ocasionadas por la pérdida de los sistemas
hidráulicos redundantes por falla de las líneas hidráulicas redundantes en el timón del
avión. En ambos aviones, todas las líneas hidráulicas se encontraban juntas (ubicación
común). En el accidente del DC-10 murieron 111 pasajeros y hubo multitud de heridos
cuando el avión realizó un aterrizaje de emergencia en el aeropuerto de Iowa, Sioux
Gateway. En este caso, una falla catastrófica en el motor de la cola originó este desastre. La
separación y subsecuente fragmentación del ventilador de primera etapa del motor partió o
aflojo las líneas hidráulicas del timón del avión, lo que a su vez incapacitó los tres sistemas
hidráulicos redundantes de los controles del avión. Normalmente, el acoplamiento
resultante de la ubicación común de equipos se refuerza por el acoplamiento debido a la
similitud entre los equipos, dado que equipos semejantes poseen la misma (o parecida)
resistencia y capacidad de resistir las tensiones inducidas por causas ambientales. Por lo
tanto, es probable que componentes similares fallen simultáneamente cuando la tensión
inducida por en entorno excede la resistencia de los componentes. Por otro lado, la
resistencia a causas ambientales de componentes disimilares es diferente, de manera que el
componente más débil probablemente falla primero; lo que permite al personal de
operaciones o mantenimiento detectar y corregir el problema antes de que ocurran más
fallas.
 Ambiente interno común: A veces el ambiente interno (aire en un sistema de

instrumentación de aire, corriente eléctrica en un sistema de distribución de energía
eléctrica, agua en un sistema de enfriamiento de emergencia, fluido en un sistema
hidráulico, etc.) contribuye a la falla de salvaguardas. Si el ambiente interno de las
salvaguardas múltiples es común, este puede ocasionar su falla. Un ejemplo común en
plantas industriales es cuando la hierba u otros desechos presentes en el agua del río hacen
que los succionadores se atasquen, lo que resulta en pérdida de succión en las bombas
redundantes. Otro ejemplo típico de este factor de acoplamiento, que ha ocasionado fallas
múltiples en bastantes ocasiones, es la contaminación (v.gr., humedad) en el suministro de
aire de las válvulas con actuación neumática en aplicaciones relacionadas con la seguridad.
 Personal y procedimientos comunes de operación y mantenimiento: Algunos accidentes

de resultados catastróficos han sido la consecuencia de errores humanos o de errores de
procedimiento, como puede ser la operación, alineación o calibración incorrecta de
salvaguardas múltiples. Teóricamente, todas las salvaguardas (similares o diferentes)
operadas o mantenidas por el mismo personal, o cuando se traten en el mismo
270-22100-SI-212-0005 PAG. 161 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
procedimiento (ya sea escrito o no), pueden fallar debido a un FCC. Un ejemplo bien
conocido es el accidente de la planta nuclear de Three Mile Island, cuando los operadores
de la planta (basandose en información equivoca e incompleta) pararon los trenes
redundantes del sistema de refrigeración de emergencia. El sistema de refrigeración se
había puesto en marcha automáticamente en respuesta a una pequeña pérdida de líquido de
refrigeración, y la acción de los operadores condujo eventualmente a un accidente que daño
al reactor nuclear. La experiencia indica que la mayoría de las veces en que errores
humanos o de procedimiento (como alineación incorrecta o calibración incorrecta) resultan
en fallas múltiples, también se trata de equipos similares. Por ejemplo, la probabilidad de
cerrar equivocadamente el conjunto de válvulas redundantes A y B, en vez de cerrar las
válvulas C y D, es mucho mayor cuando estos dos conjuntos de válvulas tienen la misma
apariencia. También, si un operador alinéa mal las válvulas de una batería de equipo, la
probabilidad de que alinee mal las válvulas del equipo redundante son mayores si los
equipos son similares o están situados en la misma ubicación. Es decir, el factor de
acoplamiento de personal y procedimientos comunes de operación y mantenimiento se
ve reforzado por el factor similitud de equipos y viceversa.

3.3.4.4 Identificación de Factores de Acoplamiento
Los factores de acoplamiento definidos en la sección anterior proporcionan las bases para
identificar las posibles fallas con causa común para salvaguardas múltiples. Todos los grupos
de salvaguardas múltiples para un escenario de accidente deben ser revisados para determinar la
existencia de acoplamiento de fallas con causa común.
270-22100-SI-212-0005 PAG. 162 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
Tabla 3.21 Factores de Acoplamiento
Factor de Identificación de Fallas con Causa Cuantificación de las Fallas con Causa Común
Acoplamiento Común
Sistema auxiliar Normalmente las dependencias por sistema Estos factores de acoplamiento son específicos de
común de apoyo común y las dependencias por cada instalación. El personal de la instalación sabe
equipos comunes no son de interés si las con que frecuencia suceden las pérdidas de sistemas
Equipo común salvaguardas fallan en seguro cuando hay de apoyo, como la energía eléctrica o otros sistemas
pérdida de sistema de apoyo o de equipo auxiliares. Se debe usar la información de la
común. instalación para evaluar la probabilidad de pérdida
de salvaguardas múltiples por falta de
La revisión de diagramas de tuberías e disponibilidad de un sistema de apoyo común.
instrumentación, de diagramas lógicos para
sistemas de paro y entrelazos, y de otros Las técnicas de análisis cuantitativo de riesgo
documentos de seguridad en los procesos (como análisis de árbol de fallas) e información de
asociados con las salvaguardas múltiples tasa de fallas genéricas puede usarse cuando no hay
debe identificar estos acoplamientos. información disponible de la instalación (por
Generalmente esta revisión es parte del ejemplo, para evaluar la probabilidad de falla de un
análisis de riesgo, pero en algunos casos equipo común)
puede ser necesaria la revisión adicional
por especialistas en los sistemas de apoyo
Similitud de Cualquier grupo de salvaguardas similares Modelos paramétricos (basados en datos de fallas
equipos o de salvaguardas que tengan partes en instalaciones industriales) proporcionan una
similares puede experimentar este factor de estimación de la probabilidad de los eventos de
acoplamiento FCC que resultan de este factor de acoplamiento.
Esta estimación normalmente incluye la
contribución de este factor de acoplamiento, así
como la contribución de factores como: ubicación
común, ambiente interno común, personal y
procedimientos comunes de operación o
mantenimiento
Ubicación común Este factor de acoplamiento puede afectar a Para analizar eventos de fallas con causas comunes
cualquier grupo de salvaguardas que estén originadas por eventos repentinos y violentos
ubicadas en la misma localización (terremotos, incendios, inundaciones, huracanes,
tornados, etc.) se deben utilizar técnicas diseñadas
especialmente para cada tipo de evento
Para analizar eventos de fallas con causas comunes

debidas a otras causas (condiciones externas fuera
de lo normal) asociados con este factor de
acoplamiento (v.gr., exceso de polvo, vibraciones,
alta temperatura, humedad, etc.), se deben utilizar
modelos paramétricos.
270-22100-SI-212-0005 PAG. 163 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
Tabla 3.21 Factores de Acoplamiento (continuación)
Factor de Identificación de Fallas con Causa Cuantificación de las Fallas con Causa
Acoplamiento Común Común
Ambiente Este factor puede afectar a todo grupo Para analizar eventos asociados con este factor
interno común de salvaguardas que comparta el de acoplamiento se deben utilizar modelos
mismo ambiente interno común paramétricos
Personal y Este factor puede afectar a todo grupo Para analizar los errores de los operadores
procedimientos de salvaguardas (semejantes o durante los accidentes (es decir, las acciones de
de operación o diferentes) que sean operadas o operación incorrecta) se deben utilizar técnicas
mantenimiento mantenidas por el mismo personal, o de análisis de confiabilidad humana
comunes que se contemplen en el mismo
procedimiento (escrito o no) Para analizar eventos de fallas con causas
comunes que resulten de otras causas
(alineación incorrecta o calibración incorrecta)
asociada con este factor de acoplamiento se
deben utilizar modelos paramétricos
Ref. H. M. Paula, y E. Dagget, Accounting for Common Cause Failures When Assessing the Effectiveness of
Safeguards, CCPS/AIChE, 1997
La Tabla 3.21 resume los puntos claves en la identificación de FCCs. Los factores de
acoplamiento de sistema auxiliar común y de equipo común pueden identificarse en los
diagramas de tuberías e instrumentación, en los diagramas lógicos de sistemas de entrelazo y de
paro, y en otros documentos de información de seguridad. Normalmente los equipos de análisis
de riesgo en los procesos revisan estos diagramas y documentos como parte del análisis de
riesgo en los procesos, y esta revisión debe revelar este tipo de dependencias.
Sin embargo, los equipos de análisis de riesgo en los procesos no siempre revisan esta
información con el suficiente detalle para identificar las dependencias más sutiles del sistema
auxiliar o del equipo común. Por ejemplo, para complementar el análisis de riesgo en los
procesos de una unidad de una refinería grande, se realizó un FMEA detallado de un F-T DCS
(Honeywell TDC 3000) que controla la unidad. El equipo de FMEA incluía especialistas de
instrumentación y control y un técnico del proveedor del DCS (normalmente, estos
especialistas están disponibles cuando se les necesita, pero raramente participan como
miembros plenos en el análisis de riesgo en los procesos). Parte del FMEA consistió en revisar
con detalle los diagramas lógicos del DCS y sus instrumentos asociados; esta revisión reveló
que existían algunos instrumentos comunes para los sistemas de entrelazo, que no se habían
descubierto durante el análisis de riesgo en los procesos de la unidad. El análisis de riesgo en
270-22100-SI-212-0005 PAG. 164 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
los procesos tampoco identificó algunos entrelazos de paro que no fallaban en seguro. Además,
algunos de los equipos redundantes del F-T DCS compartían la misma ubicación, siendo de
esta manera susceptibles a fallas provocadas por pérdida del sistema de calefacción, ventilación
y aire acondicionado.
Cualquier conjunto de salvaguardas similares (v.gr., tres interruptores de temperatura idénticos)

es susceptible al factor de acoplamiento de similitud de equipos. Sin embargo, este factor de
acoplamiento no afecta solamente a componentes redundantes idénticos; algunos equipos
diferentes (v.gr., dos bombas de distintos fabricantes) pueden tener partes o piezas (v.gr., el
interruptor de arranque del motor, dispositivos de control e instrumentación) que son similares,
y que por lo tanto, pueden verse afectados por este factor de acoplamiento.
Además, cualquier conjunto de salvaguardas emplazadas en un lugar común, que comparten un

mismo entorno, que son mantenidas por un mismo personal o contempladas en un mismo
procedimiento (ya sea escrito o no) pueden verse afectadas por los siguientes factores de
acoplamiento: ubicación común, ambiente interno común y personal y procedimientos
comunes de operación y mantenimiento.
3.3.4.5 Identificación de Defensas contra los Factores de Acoplamiento
Es importante considerar la existencia o falta de defensas contra los factores de acoplamiento.

La búsqueda de factores de acoplamiento es una búsqueda de las similitudes en el diseño, la
fabricación, la construcción, la instalación, el comisionamiento, el mantenimiento, la operación,
el entorno y la ubicación de las salvaguardas múltiples. La búsqueda de las defensas contra los
factores de acoplamiento consiste en buscar las disimilitudes entre las salvaguardas, incluyendo
el uso de salvaguardas de diferentes tipos (introduciendo diversidad); las diferencias en la
manera de instalar, operar y mantener las salvaguardas; y las diferencias en el entorno y la
ubicación de las salvaguardas.
Por ejemplo, la diversidad funcional (el uso de acercamientos diferentes para lograr el mismo
resultado) es una defensa excelente contra el factor de acoplamiento de similitud de equipos. La
separación en el espacio y la instalación de protecciones físicas o barreras, son maneras de
reducir la susceptibilidad de las salvaguardas múltiples al factor de acoplamiento por ubicación
común.
270-22100-SI-212-0005 PAG. 165 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
Otra defensa contra los factores de acoplamiento consiste en realizar las actividades de prueba
y mantenimiento escalonadamente, en vez de simultáneamente o de manera secuencial. De esta
manera se reduce el acoplamiento asociado con ciertos errores humanos (los que se introducen
durante las pruebas y el mantenimiento). La probabilidad de que un operador o un técnico
repita la misma acción incorrecta se reducen cuando las actividades de prueba y mantenimiento
se realizan con meses, semanas o incluso días de diferencia, en vez de cuando se realizan
solamente con minutos o horas de separación.
3.3.4.6 Cuantificación de las Fallas con Causa Común
En la Tabla 3.21. se resumen los puntos claves en la cuantificación de los

FCCs. Existen dos modos de calcular numéricamente los eventos de FCCs:
 Uso de las técnicas de análisis cuantitativo de riesgos (QRA, del inglés Quantitative
Risk Assesment) diseñadas para el análisis de causas de interés específicas
 Uso de un modelo paramétrico [v.gr., el modelo de factor beta, o el de múltiples letras
griegas (MGL)]
Los dos primeros factores de acoplamiento que se presentan en la Tabla 3.21 (el sistema de
apoyo común y los equipos comunes) dependen mucho de la instalación en particular, y pueden
calcularse usando técnicas estándar diseñadas específicamente para el análisis de las causas
específicas de interés. Estas técnicas incluyen el análisis de datos de tasas de falla genérica y el
árbol de fallas. Sin embargo, el personal de la instalación normalmente conoce la frecuencia de
pérdida de los sistemas de apoyo (aire de instrumentación, vapor, etc.), y esta información debe
usarse para evaluar la probabilidad de pérdida de las salvaguardas múltiples que resultan en la
falta de disponibilidad de un sistema de apoyo común.
Algunas de las causas asociadas con el factor de acoplamiento ubicación común deben
cuantificarse utilizando técnicas cuantitativas especialmente diseñadas para el análisis de estas
causas. Específicamente, las fallas con causa común provocadas por eventos súbitos y violentos
(terremotos, incendios, inundaciones, etc.) deben analizarse mediante técnicas especialmente
diseñadas para este tipo de eventos.
La razón de considerar cada una de estas causas individualmente, es el hecho de que existen
técnicas de análisis de eventos externos que se amoldan mejor a cada tipo específico de evento
(v.gr., estimar la frecuencia de un huracán o tornado).
270-22100-SI-212-0005 PAG. 166 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
Las causas asociadas con el factor de acoplamiento personal y procedimientos de operación o

mantenimiento comunes también deben cuantificarse mediante técnicas cuantitativas
diseñadas específicamente para el análisis de estas causas. En particular, los errores de los
operadores durante accidentes deben analizarse mediante técnicas de análisis de confiabilidad
humana.
Los modelos paramétricos usan datos empíricos y se usan para cuantificar los demás factores
de acoplamiento (y las causas asociadas a factores de acoplamiento que no se analizan con
técnicas cuantitativas estándares). Los modelos paramétricos se utilizan para cuantificar (1)
todas las causas asociadas con los factores de acoplamiento similitud de equipo y ambiente
interno común (diseño inadecuado, deficiencias de manufactura, errores de comisión e
instalación, tensiones del entorno, etc.), (2) las causas relacionadas con los entornos anormales
asociados con el factor de acoplamiento de ubicación común (polvo, vibraciones, alta
temperatura, humedad, etc. en exceso), y (3) las causas relacionadas con alineación y
calibración equivocadas asociadas con el factor de acoplamiento de personal y
procedimientos de operación o mantenimiento comunes.
3.3.4.7 Cuantificación de FCCs Usando un Método Simple
En la sección anterior se describieron brevemente los procedimientos de cuantificación de

FCCs disponibles. Estos métodos se usan como parte del análisis cuantitativo. Sin embargo, en
muchas ocasiones la cuantificación detallada y completa de los eventos de fallas con causa
común no resulta necesaria o económicamente rentable; en muchos casos una estimación
aproximada es suficiente para apoyar decisiones relacionadas con salvaguardas. Esta sección
presenta un método simple que proporciona estimaciones de probabilidad aproximadas. Este
método consiste de tres pasos, que se llevan a cabo independientemente por cada conjunto de
salvaguardas múltiples:
Paso 1 - Revisar el conjunto de salvaguardas múltiples para identificar los factores de

acoplamiento y las defensas contra el acoplamiento. La discusión de las secciones previas a esta
sección proporciona directrices sobre como realizar este paso de identificación. La Tabla 3.21
presenta los puntos claves en la identificación de factores de acoplamiento.
Paso 2 - Establecer la fuerza del acoplamiento de FCC en términos de Alta, Moderada a

Alta, Baja a Moderada o Baja. La Tabla 3.22 contiene directrices para determinar la fuerza del
270-22100-SI-212-0005 PAG. 167 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
acoplamiento en función de los factores de acoplamiento y de las defensas identificadas en el

Paso 1.
Paso 3 - Evaluar la probabilidad de falla para el conjunto de salvaguardas múltiples usando la

Tabla 3.23. Esta probabilidad está en función del nivel de redundancia, del número de
salvaguardas necesarias para que el sistema de salvaguardas tenga éxito (una-de-dos, una-de-
tres, etc.), de la probabilidad de falla a la demanda (PFD o PFOD, del inglés Probability of
Failure on Demand) de una salvaguarda individual, la estrategia de mantenimiento y prueba
(realización simultanea o escalonada) y la fuerza del acoplamiento (Alta, Moderada a Alta,
Baja a Moderada o Baja)
Tabla 3.22 Directrices para Determinar la Fuerza del Acoplamiento
Alta
Si existe uno o más de los siguientes factores de acoplamiento: sistema de apoyo común, equipo común y
ubicación común (sólo para eventos súbitos y violentos) Y la probabilidad de ocurrencia del evento (falla del
sistema de apoyo, falla del equipo común, o ocurrencia de un evento súbito y violento) tiene el mismo orden de
magnitud que la probabilidad de falla de una salvaguarda individual
[Nota: Si la probabilidad de falla del sistema de apoyo es mayor que la probabilidad de falla de las salvaguardas
individuales, entonces la falla del sistema de apoyo domina y la redundancia de las salvaguardas resulta
irrelevante]
De Moderada a Alta
Si existen los factores de acoplamiento de similaridad de equipo y ambiente interno común
De Baja a Moderada
Si existe uno o más de los siguientes factores de acoplamiento: sistema de apoyo común, equipo común y
ubicación común (sólo para eventos súbitos y energéticos) Y la probabilidad de ocurrencia del evento (falla del
sistema de apoyo, falla del equipo común, o ocurrencia de un evento súbito y violento) es un orden de magnitud
menor que la probabilidad de falla de una salvaguarda individual
O
Si existen los factores de acoplamiento de similitud de equipos y, o ubicación común (sólo para eventos
anormales) o personal o procedimientos de operación o mantenimiento comunes
Baja
Si no aplica ninguna de las condiciones para Alta, Moderada a Alta, Baja a Moderada
Ref. H. M. Paula, y E. Dagget, Accounting for Common Cause Failures When Assessing the Effectiveness of Safeguards, CCPS/AIChE,
1997
270-22100-SI-212-0005 PAG. 168 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
3.3.4.8 Conclusión
El uso de múltiples salvaguardas frecuentemente reduce el riesgo. Sin embargo, la alta

confiabilidad teórica que se consigue mediante el uso de salvaguardas múltiples,
particularmente mediante el uso de componentes redundantes, puede verse comprometida por
eventos de fallas con causa común. Consistentemente se ha demostrado que estos eventos de
fallas con causa común son contribuyentes importantes al riesgo, y que si no se tienen en
consideración, se subestima la frecuencia de escenarios de accidentes posibles.
El hecho de que pueda ocurrir un evento de fallas con causa común, no significa que el uso de
salvaguardas múltiples no tenga valor. Por el contrario, el uso de salvaguardas múltiples ha
demostrado que reduce el riesgo, y la información que aquí se presenta respalda este hecho. Sin
embargo, es importante reconocer que las fallas con causa común pueden limitar los beneficios
teóricos del uso de componentes redundantes. Es necesario entender el riesgo de fallas con
causa común para poder tomar mejores decisiones sobre el uso de salvaguardas.
3.4 TÉCNICAS DE ANÁLISIS DE CONSECUENCIAS
3.4.1 Introducción
Durante el análisis de riesgo cualitativo se identifican numerosas situaciones en las que puede
ocurrir una fuga o un derrame de sustancias peligrosas. El equipo de análisis de riesgo puede
evaluar la gravedad de estos eventos asignándole una categoría de consecuencia: de gravedad
alta, media o baja. Sin embargo, dado que los accidentes de gran escala ocurren
infrecuentemente, los equipos de análisis de riesgo normalmente no tienen experiencia de
primera mano con que juzgar las consecuencias de una fuga o un derrame. Por lo tanto, a veces
es necesario utilizar métodos y programas de análisis de consecuencias para predecir las
consecuencias de estos eventos.
3.4.2 Programas de computadora
Existen numerosos programas de análisis de consecuencias. Muchos de los programas a la

venta en el mercado ofrecen una gama completa de modelos, incluyendo el cálculo del régimen
de descarga, modelos de dispersión y modelos de explosiones. Estos paquetes son compatibles
270-22100-SI-212-0005 PAG. 169 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
con WindowsTM. Normalmente, el costo inicial precio de estos paquetes es considerable,

además de la tarifa anual de mantenimiento que se debe pagar.
Como alternativa, existen multitud de paquetes de programas gratis para el público, que ofrecen
modelos similares a los productos que se pueden comprar en el mercado. Normalmente, estos
programas tienen un propósito único y compatibilidad limitada con Windows TM; pero juntos
forman un paquete de programas que cumple su cometido de manera semejante a los paquetes
comerciales.
El acercamiento que presentamos en este manual consiste en combinar varios de los programas
públicos en un paquete comprensivo. El Paquete de Análisis de Consecuencia (PAC) es un
programa desarrollado por la División de Riesgo y Confiabilidad de ABS Group Inc. para PEP,
que combina estas herramientas de análisis en un solo paquete.
3.4.2.1 La Instalación del Programa
Para instalar el paquete de análisis de consecuencias:
1. Coloque el disco 1 del paquete de análisis de consecuencias en la unidad de disco

externa (external drive).
2. Del menú de Inicio, elija Ejecutar y luego teclee “a:\setup.exe” en la ventanilla que
dice Abrir.
3. Siga las directrices en la pantalla para completar la instalación
3.4.2.2 Uso del Paquete de Análisis de Consecuencias (PAC)
La caja de herramientas para el análisis de consecuencias (Ver Figura 3.24) contiene los seis
siguientes programas diseñados para modelar los derrames accidentales de sustancias
peligrosas:
 ARCHIE  SLAB
 DATAPROP  AEROPLUME
 LPOOL  TNO Multi-energy (con Microsoft Excel)
270-22100-SI-212-0005 PAG. 170 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
El Paquete de Análisis de Consecuencias básicamente organiza estos diferentes programas en

unidades de fácil uso. Para la mayoría de los programas, el procedimiento de uso del programa
consiste en cuatro pasos: (1) Crear un nuevo archivo de entrada, (2) Abrir un archivo de
entrada ya existente, (3) Ejecutar el programa y (4) Examinar los resultados del programa. Para
ver todos los archivos de entrada y de salida se usa el Editor de Archivos del Programa (PFE,
del inglés Program File Editor), un editor de textos que se puede encontrar gratis para el
público en www.lancs.ac.uk/people/cpaap/pfe/
Figura 3.24 Paquete de Análisis de Consecuencias (PAC)
Cuando se ingresa un caso nuevo, el paquete crea un archivo nuevo en el mismo lugar que el
programa del Paquete de Análisis de Consecuencias y coloca en ese archivo todos los archivos
con los datos de entrada y los archivos con los resultados. Para revisar los archivos de un
estudio realizado con anterioridad, teclee el nombre del caso en la caja de texto – el Paquete
buscará automáticamente los archivos apropiados.
Cuando en un análisis se usan LPOOL o AEROPLUME, el Paquete busca los archivos de

propiedad creados por DATAPROP. Si estos archivos están disponibles (es decir, si ya se ha
ejecutado DATAPROP para este caso), entonces esta información se transfiere
automáticamente a los archivos de entrada de LPOOL o AEROPLUME.
3.4.2.3 Descripción del Programa de Análisis de Consecuencias

270-22100-SI-212-0005 PAG. 171 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
En las secciones siguientes se describe con más detalle el propósito, el uso y la disponibilidad
de cada uno de los programas. El paquete de Análisis de Consecuencias se puede adquirir, libre
de costos, de la División de Riesgo y Confiabilidad de ABS Group Inc.
3.4.2.3.1 ARCHIE
El programa ARCHIE (del inglés, Automated Resource for Chemical Hazard Incident
Evaluation) se escribió en los Estados Unidos, bajo el patrociniod de por la Agencia Federal de
Administración de Emergencias, el Departamento de Transporte y la Agencia de Protección del
Medio Ambiente de los Estados Unidos. Este programa ha sido diseñado para proporcionar al
personal de respuesta a emergencias una herramienta para estimar los impactos asociados con
derrames accidentales de materiales peligrosos. El programa ARCHIE es una herramienta que
se puede usar con múltiples propósitos y que aplica técnicas sencillas a una gran variedad de
escenarios. ARCHIE es un programa, basado en el sistema operativo DOS, fácil de utilizar,
fácil de instalar y que usa métodos relativamente simples.
270-22100-SI-212-0005 PAG. 172 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
ARCHIE modela:
 Regímenes de descarga de recipientes de  Fuego a chorro
proceso
 Evaporación de charco (componente único)  Incendio de charco
 Evaporación de charco (componentes  Incendio Súbito o Flamazo
múltiples)
 Dispersión de un gas de flotación neutra  Explosión de nube de vapor (TNT equivalence)
 Dispersión de gas denso (sólo gas inflamable)  Explosión de nube de vapor (TNO Multi-energy)
Referencia para ARCHIE:

Handbook of Chemical Hazard Analysis Procedures, Federal Emergency Management Agency Publications
Office, Washington D.C., 1995.
Disponibilidad de ARCHIE:
Se puede conseguir libre de costo de la Federal Emergency Management Agency, Publications Office, 500 C
Street, S.W., Washington, D.C. 20472 o en la siguiente dirección de la web:
http://www.epa.gov/region07/programs/artd/toxics/arpp/archie.htm
Debido a que ARCHIE es una herramienta diseñada para la planificación de emergencias, para
satisfacer múltiples propósitos, cada vez que se inicia el programa ARCHIE, este requerirá que
el usuario introduzca varios datos descriptivos sobre el estudio que va a realizar. Utilice el
procedimiento en la Tabla 3.24 para comenzar un estudio nuevo.
Tabla 3.24 Procedimiento para Comenzar un Nuevo Estudio con ARCHIE
Paso Pantalla Notas

1. Inicie el programa y
después presione la tecla
Enter.
270-22100-SI-212-0005 PAG. 173 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
2. Elija la opción (a) Start Menú principal de selección de

assessment procedure for a tareas
new hazardous material
accident escenario.
3. Introduzca el nombre del Inicialización de un nuevo No añada extensión al nombre del
archivo nuevo para este archivo de escenario de accidente archivo. ARCHIE automáticamente
estudio (ASF, del inglés Accident asigna la extensión “.ASF”
Scenario File)
4. Introduzca el nombre del Inicialización de un nuevo ASF Opcional. Pulse la tecla Enter para
material peligroso saltarlo
5. Introduzca la dirección o el Inicialización de un nuevo ASF Opcional. Pulse la tecla Enter para
emplazamiento del saltarlo
accidente
6. Introduzca la latitud de la Inicialización de un nuevo ASF Opcional. Pulse la tecla Enter para
ubicación del derrame saltarlo
7. Introduzca la longitud de la Inicialización de un nuevo ASF Opcional. Pulse la tecla Enter para
ubicación del derrame saltarlo
8. Introduzca la fecha actual Inicialización de un nuevo ASF Opcional. Pulse la tecla Enter para
saltarlo
Tabla 3.24 Procedimiento para Comenzar un Nuevo Estudio con ARCHIE

(continuación)
Paso Pantalla Notas

9. Introduzca una descripción de Inicialización de un nuevo ASF Opcional. Pulse la tecla Enter para
tres líneas del escenario de saltarlo
descarga
10. Revise la información en la Resumen de los datos de entrada
descripción. Presione la tecla para el archivo de escenario de
Enter para aprobar. accidente
11. Introduzca “Y” si el material Comentario especial/cuestionar
en cuestión es inflamable o procedimiento
“N” si el material no es
inflamable
12. Elija las opciones apropiadas Menú de selección del modelo de
para el escenario. evaluación de riesgos
270-22100-SI-212-0005 PAG. 174 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
Se puede acceder a las herramientas para modelar de ARCHIE a partir del menú de Hazard
Assessment Model Selection. Los resultados de los modelos se guardan en el archivo
especificado en el paso 3 de la Tabla 3.24. Cada tipo de análisis necesita datos de entrada
diferentes. La lista que presentamos a continuación resume los datos de entrada que ARCHIE
necesita para estimar regímenes de descarga, dispersión de gas de flotación neutra, incendios de
charco e incendios de chorro. Cuando en un estudio se realizan varios cálculos (v.gr., el cálculo
del régimen de descarga seguido de un análisis de dispersión), ARCHIE transfiere la
información compartida al segmento siguiente. Por ejemplo, ARCHIE transfiere
automáticamente el peso molecular desde el cálculo de un régimen de descarga al modelo de
dispersión de gas de flotación neutra.
Datos de entrada  Ancho del tanque (ft)

que ARCHIE  Altura del tanque (ft)
necesita para  Longitud del tanque/tubería (ft)
estimar  Diámetro del tanque/tubería (ft)
regímenes de  Diámetro del orificio/tubería (in)
descarga  Altura del líquido sobre la ruptura (ft)
 Coeficiente de descarga (-)
 Número de puntos de descarga (-)
 Tiempo de mitigación (min)
 Masa de la sustancia en el tanque (lb)
 Régimen de flujo de proceso normal (lb/min)
 Presión de operación (psig)
 Temperatura de operación (F)
 Punto de ebullición a presión atmosférica (F)
 Gravedad específica (-)
 Presión de vapor (psi)
 Calor específico (-)
 Peso molecular (lb/lb-mol)
 Relación de calores específicos (-)
270-22100-SI-212-0005 PAG. 175 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
Datos de entrada  Altura de descarga del gas (ft)

que ARCHIE  Régimen de emisión del gas (lb/min)
necesita para  Duración de la emisión (min)
estimar la  Temperatura de descarga del material (F)
dispersión de un  Clase de estabilidad atmosférica (A-F)
gas de flotación  Velocidad del viento en la superficie (mph)
neutra
 Temperatura del aire en el ambiente (F)
 Peso molecular (lb/lb-mol)
 Punto final de concentración tóxica (ppm)
Datos de entrada  Área de charco en combustión (ft 2)
que ARCHIE  Peso molecular (lb/lb-mol)
necesita para  Temperatura de ebullición a presión atmosférica (F)
estimar el efecto  Gravedad específica (-)
de incendios de
charco
Datos de entrada  Régimen de descarga (lb/min)
que ARCHIE  Duración de descarga (min)
necesita para  Área de confinamiento (si aplica) (ft2)
estimar el área  Temperatura del líquido (F)
del charco en  Presión del vapor líquido (psi)
llamas  Temperatura ambiente (F)
 Velocidad del viento (mph)
Datos de entrada  Díametro del Orificio (ft)
que ARCHIE  Temperatura de la sustancia (F)
necesita para  Presión de operación (psi)
estimar los  Temperatura de ebullición a presión atmosférica (F)
efectos de  Relación de los calores específicos (-)
incendios de  Peso molecular (lb/lb-mol)
chorro
 Límite inferior de flamabilidad (vol%)
 Temperatura ambiente (F)
3.4.2.3.2 SLAB
El laboratorio nacional Lawrence Livermore desarrolló el modelo SLAB para simular la

dispersión atmosférica de descargas de gases más densos que el aire. El modelo SLAB puede
270-22100-SI-212-0005 PAG. 176 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
tratar descargas continuas, de duración finita e instantáneas, de cuatro tipos de fuentes: un

charco evaporándose al nivel de la superficie, un chorro horizontal elevado, una columna o
chorro vertical elevado y una fuente de descarga instantánea a nivel de la superficie.
SLAB modela:
 Regímenes de descarga de recipientes de  Incendio a chorro
proceso
 Evaporación de charco (componente único)  Incendio de charco
 Evaporación de charco (múltiples  Incendio súbito
componentes)
 Dispersión de gas de flotación neutra  Explosión de nube de vapor (TNT equivalence)
 Dispersión de gas denso  Explosión de nube de vapor (TNO Multi-energy)
Referencia para SLAB:

Ermak, Donald L., User’s Manual for SLAB: An Dispersión atmosféricaModel for Denser-Than-Air Releases,
Lawrence Livermore National Laboratory, UCRL-MA-105607, June 1990.
Disponibilidad de SLAB:
Se puede conseguir libre de costo de U.S. Environmental Protection Agency’s Technology Transfer Network
(http://www.epa.gov/scram001/)
A diferencia de ARCHIE, el programa SLAB tiene una sola función. Es necesario que el
archivo con los datos de entrada tenga un formato específico. Y los resultados de un caso de
dispersión se presentan en un archivo de texto. A continuación se presenta una lista que resume
la información de entrada que se necesita para modelar usando el programa SLAB.
Datos de  Tipo de fuente (charco evaporándose, chorro horizontal, chorro vertical,

entrada que instantáneo)
SLAB necesita  Peso molecular (kg/mol)
para modelar  Capacidad de calor del vapor a presión constante (J/kg K)
dispersión de  Temperatura de ebullición (K)
gases densos  Fracción inicial líquido masa (-)
 Calor de vaporización (J/kg)
 Capacidad de calor del líquido (J/kg K)
 Densidad del líquido (kg/m3)
 Constantes de saturación de presión (-)
 Temperatura del material (K)
270-22100-SI-212-0005 PAG. 177 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
 Régimen de masa de la fuente (o sea, régimen de emisión) (kg/sec)

 Área de la fuente (m2)
 Duración de fuente continua (sec)
 Masa de la fuente (si es una descarga instantánea) (kg)
 Altura de la fuente (m)
 Tiempo medio de concentración (sec)
 Máxima distancia en la dirección del viento (m)
 Alturas de los receptores para calcular la concentración (m)
 Rugosidad de superficie (m)
 Altura de las mediciones ambientales (m)
 Velocidad del viento ambiental (m/sec)
 Temperatura ambiente (K)
 Humedad relativa (%)
Clase de estabilidad (A-F)
El archivo de resultados de SLAB contiene una cantidad considerable de información

correspondiente a pasos intermedios, además de los resultados finales. Las dos áreas más
importantes para estimar la distancia a un punto final tóxico se encuentran hacia el final del
documento. La primera son los resultados de concentraciones a alturas específicas. Hay hasta
cuatro grupos de resultados a alturas específicas (que se especifican en la casilla de “alturas de
los receptores . . . ” del archivo con datos de entrada). Cada uno se etiqueta con su altura
específica correspondiente. Por ejemplo, el promedio de los resultados de concentración a la
altura de un metro (z = 1) en un período de 10 minutos (600 segundos) se encuentra baja el
siguiente encabezado:
time averaged (tav = 600. s) volume concentration: concentration in the

z = 1.00
plane.
Concentración volumétrica promedio en un periodo de tiempo (tm = 600. s): concentración en el plano
z = 1.00
Esta sección tiene diez columnas de información. La primera columna representa la distancia
desde la fuente, la cuarta columna representa el medio del ancho de la nube efectiva (bbc) y las
270-22100-SI-212-0005 PAG. 178 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
últimas seis columnas representan la concentración de la nube a distancias laterales a partir de

la línea central de la estela. Las distancias de las últimas seis columnas están en función del
número de medio-anchos a partir de la línea central. De manera que, la concentración a lo largo
de la línea central viene dada por la quinta columna (y/bbc = 0). Considere el siguiente
ejemplo:
La concentración en la línea central a 2,590 metros del punto de descarga se encuentra en la

quinta columna y es igual a una fracción volumétrica de 2.83x10 -6 (2.83 ppm). La
concentración a 2,590 metros del punto de origen de la descarga y a 78.5 metros medidos
lateralmente a partir de la línea
central se encuentra en la sexta columna (y/bbc = 78.5 metros / 157 metros = 0.5) y es igual a
una fracción de volumen de 1.94x10 -6 (1.94 ppm). La distancia máxima a un punto final tóxico
se encuentra localizando la distancia a partir del punto de origen de la descarga en que la
concentración en la línea central (y/bbc = 0) es inferior al punto final tóxico. Se puede
desarrollar un perfil de iso-concentraciones calculando, para cada una de las distancias en la
downwind time of cloud effective average concentration (volume fraction) at (x,y,z)

distance max conc duration half width y/bbc= y/bbc= y/bbc= y/bbc= y/bbc= y/bbc=
x (m) (s) (s) bbc (m) 0.0 0.5 1.0 1.5 2.0 2.5
.
.
.
2.59E+03 8.42E+02 2.36E+02 1.57E+02 2.83E-06 1.94E-06 6.31E-07 9.68E-08 7.01E-09 2.40E-10
3.24E+03 1.02E+03 2.77E+02 1.81E+02 1.69E-06 1.16E-06 3.78E-07 5.80E-08 4.20E-09 1.44E-10.
.
dirección del viento, la distancia lateral al punto donde la concentración cae bajo el punto final
tóxico.
La segunda área de importancia es la última sección de este archivo, donde se encuentran los
resultados de concentración máxima. Para el ejemplo de más arriba, esta sección empezaría de
la siguiente manera: time averaged (tav = 600. s) volume concentration: maximum
concentration (volume fraction) along centerline.
downwind maximum time of cloud

distance height concentration max conc duration
x (m) z (m) c(x,0,z) (s) (s)
1.00E+00 0.00E+00 1.00E+00 1.35E+01 2.70E+01
270-22100-SI-212-0005 PAG. 179 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
1.06E+00 1.39E+00 5.37E-01 1.35E+01 2.70E+01

1.11E+00 1.76E+00 1.70E-01 1.35E+01 2.70E+01
1.17E+00 1.86E+00 7.97E-02 1.36E+01 2.70E+01
1.19E+00 1.86E+00 7.96E-02 1.36E+01 2.70E+01
Nuevamente, la primera columna de esta sección es la distancia en la dirección del viento a

partir del punto de origen de la descarga. La altura sobre la línea central de la pluma viene dada
en la segunda columna, y la concentración máxima en la línea central viene en la tercera
columna. Este es el área de mayor utilidad en los cálculos de dispersión que conducen a un
incendio repentino o flamazo, porque el efecto a lo largo del recorrido de un flamazo es el
contacto con las llamas y no la inhalación, y por lo tanto la concentración a una altura
determinada no tiene importancia. Para flamazos en potencia, la concentración media de la
pluma es más importante que su altura actual, a no ser que la totalidad de la pluma se encuentre
más arriba de la altura en la que pueda encontrarse una persona.
3.4.2.3.3 DATAPROP
DATAPROP no es realmente un modelo de análisis de consecuencias. Este programa ha sido

diseñado para suministrar información sobre las propiedades físicas en el formato que se
requiere para usar el programa de evaporación de charco LPOOL y el modelo de dispersión de
chorro AEROPLUME. DATAPROP contiene las propiedades físicas de las sustancias que a
continuación se presentan en la Tabla 3.25.
Tabla 3.25 Sustancias y Propiedades Físicas Disponibles en DATAPROP
Sustancias Nombre de la Sustancia y Propiedaes Físicas

DRY_AIR Aire seco (79 vol% de nitrógeno, 21 vol% de oxígeno)
WATER Agua (H2O)
CHLORINE Cloro (Cl2)
CO2 Dióxido de Carbono (CO2)
AMMONIA Amoniaco (NH3)
NITROGEN Nitrógeno (N2)
OXYGEN Oxigeno (O2)
SO2 Dióxido de Sulfuro (SO2)
METANO Metano (CH4)
ETANO Etano (C2H6)
270-22100-SI-212-0005 PAG. 180 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
PROPANO Propano (C3H8)

N-BUTANE N-butano (C4H10)
ISO-BUTANE Iso-butano, 2-metilpropano (C4H10)
N-PENTANE N-pentano (C5H12)
ISO-PENTANE Iso-pentano, 2-metilbutano (C5H12)
N-HEXANE N-hexano (C6H14)
N-HEPTANE N-heptano (C7H16)
N-OCTANE N-octano (C8H18)
ISO-OCTANE Iso-octano, 2,2,4-trimetilpentano (C8H18)
N-NONANE N-nonano (C9H20)
N-DECANE N-decano (C10H22)
ETHENE Etino (C2H4)
PROPENE Propino (C3H6)
BENZENE Benzino (C6H6)
Tabla 3.25 Sustancias y Propiedades Físicas Disponibles en DATAPROP (continuación)
Sustancias Nombre de la Sustancia y Propiedaes Físicas

HF Fluoruro de hidrógeno (HF), toda la termodinámica
HFIDEALGAS Fluoruro de hidrógeno (HF) como gas inerte e ideal
CO Monóxido de Carbono (CO)
HYDROGEN Hidrógeno (H2)
H2S Ácido sulfhídrico (H2S)
FREON-11 Freon-11, Triclorofluorometan (CCl3F)
FREON-12 Freon-12, Diclorodifluorometano (CCl2F2)
270-22100-SI-212-0005 PAG. 181 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
* ============== DATAPROP standard input file (no HF) ==================

*
* NOTE: For each pollutant species, a SPECIES keyword (POLLUTANT data block)
* specifies the name of the species and the % mole fraction. The sum
* of all mole fractions must be 100%. All compounds are at pollutant
* temperature. Mole fraction water should be less than 20%.
TITLE DATAPROP standard input file (no HF)
POLLUTANT * ---------> DATA BLOCK: POLLUTANT DATA (see NOTE)
SPECIES = METHANE,10 * -,% name of species, mole fraction

SPECIES = PROPANE,75 * -,% name of species, mole fraction
SPECIES = N-BUTANE,13.0 * -,% name of species, mole fraction
SPECIES = ISO-OCTANE,1.0* -,% name of species, mole fraction
SPECIES = DRY_AIR,0.9 * -,% name of species, mole fraction
SPECIES = WATER,0.1 * -,% name of species, mole fraction
*
OUTPUT * --------> DATA BLOCK: OUTPUT CONTROL
*
MINTEMP = -100. *C minimum output temperature
MAXTEMP = 100. *C maximum output temperature
DIFTEMP = 20. *C output step for temperature
DATAPROP acepta hasta siete componentes, DRY AIR (aire seco) cuenta como dos
componentes (es decir, Nitrógeno y Oxigeno). DATAPROP crea un informe (*.dpr) con la
información sobre las propiedades que dependen de la temperatura de cada componente y crea
bloques de información de gas (GASDATA) para usar en los archivos de entrada de LPOOL y
AEROPLUME (*.lpl y *.apl, respectivamente).
3.4.2.3.4 LPOOL
270-22100-SI-212-0005 PAG. 182 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
El programa LPOOL es parte del grupo de modelos de análisis de consecuencia HGSYSTEM y

ha sido diseñado para estimar regímenes de evaporación de componentes específicos, que
dependen del tiempo, de un derrame de una mezcla de múltiples componentes. El programa
LPOOL fue desarrollado originalmente por la compañía Exxon Research & Engineering.
LPOOL modela:
 Regímenes de descarga de recipientes de  Incendio de chorro
proceso
 Evaporación de charco (componente único)  Incendio de charco
 Evaporación de charco (múltiples  Flamazo, Incendio súbito
componentes)
 Dispersión de gas denso  Explosión de nube de vapor (TNO Multi-energy)
Referencias de LPOOL:
L. Post, HGSYSTEM 3.0 User’s Manual, TNER.94.058, Shell Research Limited, Thornton Research Centre,
Chester, United Kingdom, 1994.
T.A. Cavanaugh II, et. al., “Simulation of Vapor Emissions from Liquid Spills,” Journal of Hazardous Materials,
Vol. 38, pp. 41-63, 1994.
Disponibilidad de LPOOL:
Disponible libre de costo en Shell Research and Technology Centre -Thornton (http://www.users.virtual-
chester.com/hgsystem/hgweb.html)
Al igual que el modelo SLAB, LPOOL es una herramienta con un propósito único que usa un
archivo externo de texto como entrada. La siguiente lista resume la información de entrada que
el programa LPOOL necesita para realizar un cálculo.
270-22100-SI-212-0005 PAG. 183 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
Requisitos de  Tiempo de simulación máxima (sec)

entrada de  Espesor mínimo del charco (mm)
LPOOL para  Composición del suelo (arena mojada, cemento, etc.)
un estudio de  Temperatura del suelo (C)
evaporación  Tamaño y composición del dique, si hay dique
de charco  Coeficiente de descarga (-)
 Régimen de descarga* (m3/sec)
 Duración del derrame (sec)
 Temperatura del líquido (C)
 Presión de operación (atm)
 Radio del tanque [se asume un recipiente vertical y cilíndrico] (m)
 Nivel del líquido (m)
 Diámetro del orificio (m)
 Altura del orificio por encima del suelo del tanque (m)
 Temperatura ambiente (C)
 Presión ambiente (atm)
 Velocidad del viento (m/sec)
 Cubierta de nubes (-)
 Hora cuando empezó el derrame (horas)
 Hora del amanecer (horas)
 Hora del atardecer (horas)
 Fracciones de aerosol y flamazo (-)
*LPOOL tiene un calculador de regímenes de descarga simple que se puede usar en lugar de
ARCHIE para calcular el régimen de descarga de descargas simples de líquidos y del flujo
bifásico agotado de un tanque.
El espesor mínimo del charco varía con el tipo de superficie en que se forme el charco. La
Tabla 3.26 proporciona asesoramiento de Cremer y Walker (1982) sobre como estimar este
parámetro.
270-22100-SI-212-0005 PAG. 184 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
Tabla 3.26 Espesor Mínimo del Charco
Superficie Espesor mínimo (mm)

Suelo arenoso y rugoso 25
Pastos, tierra de granjas 20
Arena fina, grava 10
Arena fina, piedra, cemento 5
Aguas calmadas 1.8
LPOOL asume para todos los cálculos que el origen de la descarga es un recipiente vertical y
cilíndrico que se encuentra en el centro de un área circular rodeada por un dique, como se
muestra en la Figura 3.25.
Radio del dique

(DIKERADIUS)
Radio del recipiente

(RRADIUS)
Figura 3.25 Geometría y Configuración del Dique que se Asume en LPOOL
Por lo tanto, el área de charco efectiva que está disponible para la evaporación es:
Apool =  (DIKERADIUS2 – RRADIUS2) 5.1

270-22100-SI-212-0005 PAG. 185 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
Sin embargo, si el origen del derrame es una tubería o un recipiente elevado, entonces se debe
modificar el archivo con los datos de entrada para reflejar el escenario de manera que la
simulación todavía resulte apropiada. Esto se puede conseguir siguiendo los siguientes pasos:
 Usar el bloque de SPILDATA para introducir el régimen de flujo especificado por el

usuario en el área del dique. El algoritmo usado por LPOOL para calcular el régimen
de descarga está diseñado para calcular el régimen de descarga de un recipiente
vertical. Puede que no sea adecuado para otras geometrías.
 Crear una pseudo-reserva. Hay solamente dos requisitos en las dimensiones de la

reserva: (1) el radio de la reserva (RRADIUS) debe ser menor que el radio del área
del dique (DIKERADIUS) y (2) el volumen total en la pseudo-reserva debe ser capaz
de contener la cantidad total de material descargado.
 Calcular un radio efectivo del área del dique, basándose en el radio de la pseudo-
reserva. Dado que LPOOL asume que la reserva se encuentra dentro del área del
dique, reducirá el área del dique al área de la reserva. Esto se puede evitar asignando
un radio efectivo al área del dique.
A dike
DIKERADIUSeffective   RRADIUS2 5.2

donde Adike es el área actual de la superficie del área del dique
Como se muestra en la siguiente lista, LPOOL genera una multitud de archivos de resultados,
dependiendo del tipo de problema que se trata.
 *.lpr Resumen de los datos de entrada y resultados promedios de la evaporación de charco

 *.lpt Resultados dependientes del tiempo, para todo el charco, incluyendo el régimen total
de vapor (todos los componentes, todas las fuentes), el régimen de flamabilidad, el
régimen de aerosol, el régimen de evaporación, la masa acumulativa descargada al
charco, la masa total en el charco, el área de charco y la temperatura del charco.
 *.lpc Fracciones de masa específica de los componentes y fracciones molares en la nube
de vapor encima del charco
 *.lps Fracciones de masa específica de los componentes y fracciones molares en el charco
270-22100-SI-212-0005 PAG. 186 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
líquido.
Para estudios que involucran la evaporación de componentes múltiples, puede ser útil el
combinar varios de los archivos de resultados de LPOOL en una hoja de cálculo. Por ejemplo,
para encontrar el régimen específico de evaporación de un único componente en un charco que
se evapora, se debe combinar los resultados de evaporación generales (de *.lpt) con los
resultados de fracción de masa del componente específico (de *.lpc). En el Caso 1 de la sección
3.4.4.3 se presenta un ejemplo de este acercamiento.
3.4.2.3.5 AEROPLUME
El programa AEROPLUME es parte del conjunto de modelos de análisis de HGSYSTEM y

está diseñado para estimar la dispersión de una descarga de régimen estable, dominada por un
impulso, dado que la dispersión de una descarga a chorro está controlada por el impulso que
domina la descarga de gas. AEROPLUME es adecuado para estimar la dispersión cercana de
nubes de gas de flotación neutra o de gas denso. Sin embargo, se debe usar un modelo normal
de dispersión atmosférica (v.gr., SLAB, ARCHIE) cuando la nube pierda su impulso inicial.
AEROPLUME modela:
 Regímenes de descarga de recipientes de  Incendio de chorro
proceso
 Evaporación de charco (componente único)  Incendio de charco
 Evaporación de charco (múltiples  Flamazo
componentes)
 Dispersión de gas de flotación neutra (en las  Explosión de nube de vapor (TNT equivalence)
cercanías)
 Dispersión de gas denso (en las cercanías)  Explosión de nube de vapor (TNO Multi-energy)
Referencia de AEROPLUME:
L. Post, HGSYSTEM 3.0 User’s Manual, TNER.94.058, Shell Research Limited, Thornton Research Centre,
Chester, United Kingdom, 1994.
Disponibilidad de AEROPLUME:
Disponible libre de costo en Shell Research and Technology Centre -Thornton (http://www.users.virtual-
chester.com/hgsystem/hgweb.html)
270-22100-SI-212-0005 PAG. 187 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
AEROPLUME utiliza un archivo de texto externo como entrada y genera varios archivos de
texto de resultados. Como se indica en la lista a continuación, los archivos de resultados se
etiquetan con distintas extensiones de acuerdo con el tipo de información que contengan.
 *.apr Archivos del informe principal

 *.ap3 Composición de la mezcla en moles (%) a cada una de las distancias viento abajo
 *.apm Mensajes de cálculos, notas de convergencia
AEROPLUME puede funcionar sin propiedades detalladas de la sustancia. Sin embargo, el

programa asumirá que se trata de un gas ideal. Como LPOOL, AEROPLUME usa
generalmente el programa DATAPROP para suministrar las propiedades que necesita de
entrada. A continuación se presenta la lista de la información adicional que se necesita:
AEROPLUME  Temperatura de almacenamiento (C)

datos de  Presión de almacenamiento (atm)
entrada  Régimen de flujo de la descarga (kg/sec)
necesarios para  Diámetro del orificio (m)
estimar la  Altura de la descarga (m)
dispersión de  Ángulo del orificio de descarga (deg)
chorro
 Duración de la descarga (sec)
 Coeficiente de descarga (-)
 Altura de las mediciones en el ambiente (m)
 Velocidad del viento (m/sec)
 Temperatura ambiental (C)
 Presión ambiental (atm)
 Clase de estabilidad (A-F)
 Rugosidad de la superficie (m)
 Límite superior de flamabilidad (vol%)
 Límite inferior de flamabilidad (vol%)
3.4.2.3.6 TNO Multi-energy VCE Usando Microsoft Excel

270-22100-SI-212-0005 PAG. 188 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
El modelo TNO Multi-energy está diseñado para calcular la distancia a las sobrepresiones específicas de
explosiones. El modelo está basado en el método multienergético de explosiones que enfatiza la congestión y
la distribución del lugar donde ocurre la explosión. El modelo se implementa en una plantilla de Microsoft
Excel que se llama “TNO Multi-energy.xls”
TNO Multi-energy.xls modela:
 Regímenes de descarga de recipientes de  Incendio de chorro
proceso
 Evaporación de charco (un único componente)  Incendio de charco
 Evaporación de charco (múltiples  Flamazo
componentes)
 Dispersión de gas denso  Explosión de nube de vapor (TNO multi-energy)
Referencias:
Guidelines for Evaluating the Characteristics of Explosión de nube de vapors, Flamazos, and BLEVEs, Center for
Chemical Process Safety, ISBN 0-8169-0474-X, 1994.
Disponibilidad:
Disponible libre de costo en ABS Group Risk and Reliability Division, Consequence Analysis Services,
Knoxville, Tennessee, USA, 423-966-5232.
Para evaluar la sobrepresión que resultaría de una explosión de nube de vapor utilizando el
método de TNO Multi-energy, se necesita al menos, la información de entrada de la siguiente
lista:
Requisitos de  Densidad de obstáculos (alta, media, o baja)

entrada del  Reactividad de la mezcla (alta, media, o baja)
método TNO  Expansión de la llama (2-D o 3-D)
Multi-energy  Volumen inflamable disponible (m3)
 Peso molecular del aire (gm/mol)
 Relación de los calores específicos para aire (-)
 Calor de combustión del combustible (J/mol)
 Relación estequeométrica (-)
 Presión ambiental (Pa)
 Temperatura ambiental (K)
3.4.3 Conceptos Básicos

270-22100-SI-212-0005 PAG. 189 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
Algunos de los aspectos del análisis de una consecuencias son comunes para la mayoría de los
problemas. Por ejemplo, casi todos los análisis comienzan con el supuesto de una ruptura en
una tubería o en un tanque, y el analista debe estimar el régimen de descarga del proceso. Si se
trata del escape de un líquido, también es necesario evaluar el régimen de evaporación del
charco en la atmósfera. Otro ejemplo es la meteorología. La velocidad del viento y la clase de
estabilidad a la hora del supuesto escape son factores importantes que gobiernan el régimen de
evaporación de un charco líquido y/o la distancia viento abajo a la que llegará la nube antes de
dispersarse por debajo de la concentración preocupante. También, la dirección del viento
determinará quién y qué estarían expuestos a la sustancia, o en el caso de una explosión de
nube de vapor, dónde estarían los centros de explosión potenciales.
Desafortunadamente, a pesar de que un análisis de riesgo cualitativo típico ( v.gr., un estudio

HAZOP) puede identificar las condiciones en que puede ocurrir un escape accidental y puede
jerarquizar cualitativamente los escenarios dependiendo de su gravedad, esta información
general no es suficiente para desarrollar la información básica que se necesita para modelar un
escenario. Para poder modelar cuantitativamente los escenarios vagamente definidos en el
análisis cualitativo, el analista de consecuencias tiene que elaborar suposiciones razonables.
Para empezar, antes de comenzar el análisis, hay que contestar a las siguientes preguntas:
 Para este escenario, ¿se van a asumir las peores condiciones meteorológicas posibles,
o se asumirán las condiciones meteorológicas típicas?
 ¿Cuáles son las características de la fuga o ruptura (v.gr., tamaño del orificio,
orientación, altura por encima de la superficie)?
 ¿Quién o que estaría amenazado por este escenario (v.gr., trabajadores, comunidad,
equipo)?
El resultado final del análisis dependerá sobremanera de lo que se asuma y elija al principio del
estudio.
3.4.3.1 Evaluación del Régimen de Descarga del Proceso
El régimen de descarga del proceso depende de una multitud de factores, algunos de los cuales
deben especificarse antes de empezar el modelo. Por ejemplo, se necesita información sobre el
estado de la sustancia o mezcla (es decir, gas, líquido, líquido presurizado) para elegir el
modelo correcto de régimen de descarga. Otros factores necesarios para modelar el régimen de
270-22100-SI-212-0005 PAG. 190 DE 322
SUBDIRECCION REGION
AMBIENTAL
GRG EJP HLT
PROCESOS
descarga incluyen las características del orificio (v.gr., tamaño de la ruptura), las condiciones
de proceso (v.gr., temperatura, presión), y el régimen normal de flujo.

Metodo-3 CONFIABILIDAD HUMANA

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Metodo-3 CONFIABILIDAD HUMANA

Caricato da

Copyright:

Formati disponibili

270-22100-SI-212-0005 PAG.

3.3.3 Análisis de Confiabilidad Humana

Cualquier intento serio de mejorar la seguridad de los procesos de hidrocarburos debe

La ingeniería de factores humanos o ergonomía estudia el diseño de equipos, operaciones,

El análisis de confiabilidad humana puede producir resultados cualitativos o cuantitativos. Los

3.3.3.1 Definición de Error Humano

Existen dos tipos de errores humanos: intencionados y no intencionados. Los errores no

Existe una notable diferencia entre el comportamiento intencionado y el comportamiento

recorrido del comportamiento especializado

INFORMACIÓN DEL PROCESAMIENTO INFORMACIÓN

3.3.3.2 Factores que Influyen en el Desempeño (FID)

Tabla 3.16 FID’s internos

Tabla 3.17 FID’s Externos

CARACTERÍSTICAS SITUACIONALES CARACTERÍSTICAS DE LAS TAREAS, LOS

Tabla 3.18 Factores de Tensión

TENSIONANTES PSICOLÓGICOS TENSIONANTES FISIOLÓGICOS

3.3.3.3 Procedimiento de Análisis de Confiabilidad Humana

Los pasos de un análisis de confiabilidad humana son:

2. Evaluar la interacción hombre - máquina. El segundo paso consiste en analizar la

3. Realizar un análisis de las tareas de las funciones de interés de un operador.

nombre de análisis de tareas, separa la función u objetivo de un operador específico

Tabla 3.19 Ejemplos de Factores que Contribuyen a Situaciones con Alta

4. Realizar un análisis de errores humanos de la función de un operador. El equipo

5. Documentar los resultados. El último paso es documentar los resultados del

3.3.3.4 Resultados del Análisis de Confiabilidad Humana

3.3.3.5 Programas de computadora

Existen dos programas diseñados especificamente para realizar análisis de confiabilidad

HRA-PC (Primatech, Inc., Columbus, Ohio)

3.3.3.6 Ejemplo de Análisis de Confiabilidad Humana

Considere un operador en una sala de control, en la cual hay un interruptor de paro de

El análisis de confiabilidad humana identifica que:

 El ruido excesivo en la sala de control dificulta la audición de las alarmas

A continuación, un análisis de tareas divide la función de paro de emergencia en las siguientes

1. Reconocer la señal de la alarma

El análisis de tareas, complementado por el entendimiento a fondo de las operaciones y

 Instrumentos fuera de servicio – Mantenimiento puede retirar instrumentos en el campo y

B –El operador no identifica el

D – El operador no localiza el interruptor

S – Fallo electromecánico del

Figura 3.22 Árbol de Eventos de Confiabilidad Humana para Ilustrar el

Tabla 3.20 Secuencias de Accidente

3.3.4 Análisis de Fallas con Causa Común (FCC)

Tradicionalmente las compañías petroleras instalan salvaguardas múltiples para asegurar

PS  PA*PB*PC  (0.01)3 = 10-6/demanda

¿Qué es lo que hace tan inverosímiles las evaluaciones de probabilidad presentadas

3.3.4.2 Definición de Evento de Falla con Causa Común (FCC)

Un evento de FCC se define como la falla o incapacidad de salvaguardas múltiples, ya sea

"Simultaneidad" no significa necesariamente que las fallas ocurren en el mismo instante, en

Por lo tanto, la esencia de un evento de FCC es el acoplamiento en los tiempos de falla de

3.3.4.3. Factores de Acoplamiento de FCC

Los factores de acoplamiento más importantes son:

 Sistema auxiliar común: El funcionamiento de diferentes tipos de salvaguardas depende

acoplamiento de equipo común también se observa en equipos redundantes de

 Ubicación común: Equipos ubicados en la misma localización pueden fallar como

 Ambiente interno común: A veces el ambiente interno (aire en un sistema de

 Personal y procedimientos comunes de operación y mantenimiento: Algunos accidentes

3.3.4.4 Identificación de Factores de Acoplamiento

Tabla 3.21 Factores de Acoplamiento

Para analizar eventos de fallas con causas comunes

Tabla 3.21 Factores de Acoplamiento (continuación)

Cualquier conjunto de salvaguardas similares (v.gr., tres interruptores de temperatura idénticos)

Además, cualquier conjunto de salvaguardas emplazadas en un lugar común, que comparten un

3.3.4.5 Identificación de Defensas contra los Factores de Acoplamiento

Es importante considerar la existencia o falta de defensas contra los factores de acoplamiento.

PS  PAPBPC  (0.01)3 = 10-6/demanda