Академический Документы
Профессиональный Документы
Культура Документы
SEGURIDAD
APROBADO
FIRMADO POR: J. MIGUEL LAGAREJOS GARCÍA
FECHA: SEPTIEMBRE 2008
FIRMA:
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 1 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
INTRODUCCIÓN
La técnica de análisis de riesgo y operabilidad HAZOP, que se ha empleado y desarrollado durante las
últimas cuatro décadas y que es ampliamente utilizada en las instalaciones del Grupo CEPSA, tiene el
propósito de identificar riesgos potenciales y problemas operacionales producidos por las desviaciones en
el comportamiento de los sistemas respecto a sus condiciones de diseño, tanto en plantas de proceso
nuevas como en las ya existentes, y que pueden afectar a las personas, el medio ambiente o la integridad
de las instalaciones.
Por su parte, la determinación del nivel de integridad de seguridad, SIL, permite identificar, por un lado, la
diferencia entre el riesgo del escenario sin capas de protección y el máximo riesgo tolerable por la com-
pañía, valor que se conoce como “Risk gap”, y, por otro, la asignación de funciones de seguridad e identi-
ficación de las capas de protección.
Por tanto, la aplicación de ambas técnicas conjuntamente constituye una herramienta útil para el análisis
de riesgos, con el fin de asegurar que estos se encuentran dentro de los criterios de aceptación del riesgo
implantados en la compañía.
OBJETO
- Modificaciones que afecten a las instalaciones y la aplicación del análisis del riesgo según el PR-
104 lo indique.
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 2 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Este estudio será aplicado en la fase de diseño de la nueva instalación o modificación tan pronto co-
mo sea posible, con el fin de que los posibles cambios que puedan surgir de él, sean implementados
en esta fase.
GLOSARIO DE TÉRMINOS
• HAZOP (Hazard and Operability): Análisis de riesgo y operabilidad que permite identificar los
riesgos potenciales y operacionales producidos por desviaciones de los sistemas respecto a sus
condiciones de diseño.
• SIL (Safety Integrity Level): Nivel de integridad de seguridad. Se define como el nivel de reduc-
ción de riesgo que aporta una función instrumentada de seguridad.
• LOPA (Layer of Protection Analysis): Análisis de capas de protección. Es una herramienta se-
micuantitativa para analizar y determinar riesgos de los escenarios de accidente.
• BPCS (Basic Process Control System): Sistema de control básico de procesos. Se define co-
mo un sistema que monitoriza y controla el proceso en continuo, proporcionando información al
operador.
• RG (Risk Gap): diferencia del riesgo del escenario sin capas de protección y el máximo riesgo to-
lerable por la compañía.
• RRF (RIsk Reduction Factor): Factor de reducción del riesgo. Está relacionada con la probabili-
dad de fallo en demanda (es su inversa) y mide los órdenes de magnitud que reduce el riesgo un
determinado dispositivo.
• Criterios de aceptación del riesgo: normas adoptadas para evaluar la idoneidad del riesgo refe-
rente a la protección del público, el personal de CEPSA (incluyendo a los contratistas), el medio
ambiente y los bienes de la compañía.
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 3 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
PARTICIPANTES
4. El equipo HAZOP/SIL deberá contar con la figura del Coordinador o Facilitador, el cual deberá ser
independiente (por ejemplo, que no tuviera relación con el proceso, la modificación o la operación de
las instalaciones objeto de estudio) y tendrá las siguientes responsabilidades:
• Definir los motivos, el alcance y los objetivos del análisis, que serán explicados al grupo de tra-
bajo, así como planificar las sesiones y el calendario de reunión.
• Analizar la documentación necesaria para la realización del estudio y comprobar que está dis-
ponible en cantidad, calidad y plazo adecuados.
• Aplicar las palabras guía y los parámetros de forma sistemática, así como las gráficas de riesgo,
tal y como se verá en apartados posteriores.
• Asegurar que el grupo trabaja de forma efectiva, moderando y limitando las discusiones, mante-
niendo al grupo sobre el punto a discutir en cada caso y alentándolo a llegar a conclusiones,
exigiendo puntualidad a los asistentes, proponiendo las pautas/descansos necesarios, evitando
discusiones que estén fuera del alcance del estudio, etc.
• Recopilar toda la información que vaya surgiendo en la aplicación del estudio, así como todas
las recomendaciones que puedan efectuarse, comprobando siempre la exactitud de las mismas.
• Preparar los informes finales posteriores al estudio y su distribución entre los participantes.
En aquellos casos en los que no exista esta figura, estas acciones serán acometidas por el Coordi-
nador o Facilitador.
6. El resto del equipo participante en el estudio estará compuesto por personas de distintas disciplinas,
preferiblemente con experiencia en el proceso o modificación a tratar en el estudio. Entre ellas, se
destacarían las siguientes:
• Proyectos.
• Procesos.
• Electricidad e Instrumentación.
• Operaciones.
• Seguridad.
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 4 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
7. A decisión del centro, se nombrará a una persona que distribuya las acciones propuestas en el estu-
dio y que se encargue del seguimiento de que dichas acciones se han implementado. Si el estudio
se realiza con carácter interno, sin contratar a consultores externos, esta tarea recaerá sobre el
Coordinador o Facilitador del estudio.
DOCUMENTACIÓN
8. La documentación necesaria para preparar el estudio, así como para llevar a cabo el desarrollo del
mismo, sería, sin carácter exhaustivo, la siguiente:
• Diagramas de flujo del proceso (PFDs).
• Descripción del proceso y sus distintos modos de operación (parada, operación normal y puesta
en marcha).
• Matrices causa-efecto.
• Plano de implantación.
Previamente al transcurso de las sesiones, sería conveniente entregar una copia de la documenta-
ción a todos los participantes, incluyendo los P&IDs marcados con los nodos objeto de estudio, defi-
nidos tal y como se indica en el apartado siguiente.
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 5 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
METODOLOGÍA DE ANÁLISIS
DEFINICIÓN DE NODOS
9. Se debe subdividir el sistema objeto de estudio en nodos. Estos nodos engloban a uno o varios
equipos y sus líneas asociadas que tienen una misma intención de diseño y será labor del Facilita-
dor la definición de los mismos. Previamente al comienzo de las sesiones, el Facilitador elaborará
una lista con los mismos que deberá ser discutida y consensuada por los asistentes al inicio del es-
tudio y deberá comprobarse que todas las partes de la unidad o proceso están contempladas.
10. Las tablas de recopilación de datos, cuyo contenido será descrito en puntos posteriores, deberán
incluir una pequeña descripción del nodo objeto de estudio y los distintos equipos principales que
pertenecen al mismo. También deberán indicarse los P&IDs relacionados con dicho nodo, incluyen-
do el número de revisión de los mismos con la que se está realizando el estudio.
PALABRAS CLAVE
11. A cada uno de los nodos definidos habrá que aplicarles una serie de palabras clave o guía sistemá-
ticamente con el fin de estudiar todas las posibles desviaciones y sus causas. Se distinguen dos ti-
pos de palabras clave:
• Palabras Clave Primarias: enfocan la atención sobre un aspecto particular del objeto del diseño
o en una condición de proceso asociado o de un parámetro o flujo de material que cruza la ins-
talación objeto de estudio.
• Palabras Clave Secundarias: combinadas con una palabra clave primaria sugieren posibles
desviaciones.
12. Estos términos reflejan tanto el objeto del diseño del proceso como los aspectos operacionales pre-
sentes en la planta o instalación objeto de estudio. A continuación se enumera una lista de palabras,
la cual es puramente ilustrativa, dado que los términos empleados en una revisión dependen del tipo
de planta o proceso que se está estudiando. Señalar que las palabras más usadas suelen ser las
enumeradas en la primera columna.
Flujo Separación Transferencia
Presión Reacción Oclusión
Temperatura Mezcla Corrosión
Nivel Absorción Erosión
Composición Agitación Reducción
13. Adicionalmente a los términos anteriores, pueden existir otros términos operacionales de importan-
cia, como son los siguientes:
Puesta en marcha Electricidad Gas Inerte
Parada Vapor Repuestos
Mantenimiento Aire comprimido Radiación
Inspección Agua de Refrigeración Clasificación de áreas
Nitrógeno Contención
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 6 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
14. De la aplicación de las palabras clave secundarias en combinación con una palabra clave primaria,
surgen potenciales desviaciones o problemas operacionales. A continuación se enumeran las más
estandarizadas:
15. Adicionalmente, se pueden establecer otras palabras relacionadas con el término temporal, usual-
mente para procesos discontinuos:
16. Señalar que no todas las combinaciones de palabras claves primarias y secundarias son apropia-
das, lo que deberá tenerse en cuenta en el desarrollo del estudio. Por ejemplo, No Temperatura (ce-
ro absoluto) carece de significado.
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 7 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
18. Relacionado con el punto anterior, es necesario identificar claramente las causas y las consecuen-
cias en cada uno de los casos. Para ello, habría que enumerar cada causa, haciéndole correspon-
der con el mismo número a la/s consecuencia/s.
19. Todas las desviaciones que se traten en el desarrollo del estudio deberán quedar reflejadas en las
tablas de recopilación de datos, cuyo contenido se describirá en puntos posteriores, aún en el caso
de que no se hayan detectado causas previsibles de que se produzca dicha desviación. En estos
casos, deberá indicarse “Sin causas previsibles”.
20. En aquellos casos donde no exista un riesgo en la desviación estudiada, se deberá indicar en la
tabla de recopilación de datos “Sin consecuencias para la seguridad y el medio ambiente”.
22. A aquellas desviaciones estudiadas que conduzcan a una/s consecuencia/s que tenga/n un riesgo
para los equipos, el medio ambiente o las personas, deberán aplicarse las gráficas de riesgo para la
seguridad (personal), para la protección del medio ambiente y para los riesgos financieros (propie-
dad, bienes, equipos y pérdida de producción).
Resultado de la gráfica
de riesgo (valor de RG) Significado Implicaciones
Rediseñar la instalación.
Sistema no instrumentado.
4 Reducción de riesgo necesaria
Sistemas instrumentados múltiples e independien-
tes.
Rediseñar la instalación.
Sistema no instrumentado.
h Reducción de riesgo necesaria
Sistemas instrumentados múltiples e independien-
tes.
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 8 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
26. En los puntos siguientes se describen los parámetros que aparecen en ella. En el anexo III del pre-
sente procedimiento se encuentra una serie de indicaciones que pueden servir de ayuda para la
elección de dichos parámetros.
28. Los valores que puede tomar este parámetro, así como su descripción se encuentra en la tabla si-
guiente:
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 9 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Parámetro de
Descripción
consecuencias
Evento con potencial suficiente (por magnitud y extensión) para causar una
C1
lesión menor en una persona, sin poder resultar en una muerte.
Evento con potencial suficiente (por magnitud y extensión) para causar lesiones
C2
mayores permanentes a una o a varias personas, o una muerte.
Evento con potencial suficiente (por magnitud y extensión) para causar la
C3
muerte de varias personas (de 2 a 9 – la media geométrica es 3).
Evento con potencial suficiente (por magnitud y extensión) para causar la
C4
muerte de muchas personas (10 o más).
29. La selección del parámetro C deberá hacerse teniendo en cuenta la magnitud y la extensión del
evento, y prescindiendo del número de personas que pueden encontrarse en la unidad. Se trata de
analizar la potencial afectación en términos de extensión.
31. Los valores que puede tomar este parámetro, así como su descripción se encuentra en la tabla si-
guiente:
Parámetro de
Descripción
ocupación
F1 Exposición en la zona peligrosa de rara a ocasional (parámetro por defecto).
F2 Exposición frecuente o permanente en la zona peligrosa.
• La velocidad con la que un evento peligroso se desarrolla (por ejemplo bruscamente / rápida-
mente / lentamente).
• La facilidad para detectar el peligro (por ejemplo visto inmediatamente / detectado por medidas
técnicas / determinado sin medidas técnicas).
• La posibilidad de evitar el daño (por ejemplo rutas de escape viables a mano / trajes de protec-
ción personal / protección mediante estructuras).
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 10 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
33. Los valores que puede tomar este parámetro, así como su descripción se encuentra en la tabla si-
guiente:
Parámetro de
probabilidad de Descripción
evitar el peligro
P1 Posible en ciertas situaciones (necesita justificación).
P2 Prácticamente imposible de evitar el peligro (parámetro por defecto).
34. Para decir el valor del parámetro W, el equipo HAZOP/SIL deberá estimar la probabilidad de ocu-
rrencia del evento de manera cualitativa durante la vida de la planta sin tener en cuenta ninguna sal-
vaguarda tecnológica o humana ni para la prevención ni para la mitigación o protección (como por
ejemplo la supervisión por parte de operadores, acciones manuales como pulsadores de emergen-
cia, SIFs, PSVs, detectores, alarmas, etc.).
35. Solamente se considerará para el evento los controles normales del proceso (producción) y la su-
pervisión lógica por parte de los operarios en base a los procedimientos de operación y manteni-
miento, y a su entrenamiento (no confundir esta supervisión con la supervisión y respuesta a las
alarmas por parte de los operadores).
• Eventos no esperables durante la vida de la planta, como por ejemplo una explosión de una nu-
be inflamable (VCE).
37. Los valores que puede tomar este parámetro, así como su descripción se encuentra en la tabla si-
guiente:
Parámetro de
Descripción
frecuencia
No se espera que el suceso ocurra durante la vida de las instalaciones
W1 -2
(Equivalente a W < 10 /año).
Se espera que el suceso ocurra durante la vida de las instalaciones (promedio
W2 de 30 años, aproximadamente la vida útil de la planta) (parámetro por defecto)
-2 -1
(Equivalente a 10 /año ≤ W < 10 /año).
Se espera que el suceso ocurra frecuentemente durante la vida de la planta
W3 -1
(Equivalente a 10 /año ≤ W < 1/año).
38. Si W>1/año hay que revisar el diseño para optimizarlo y reducir la frecuencia de ocurrencia.
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 11 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
39. Este parámetro aparece en el resto de gráficas de riesgo (medio ambiente y financiero), por lo que
la descripción en dichos casos es la misma que la que se realiza en este apartado.
40. La gráfica de riesgo para la protección medioambiental se muestra a continuación. En el anexo II del
presente procedimiento se puede encontrar también junto al resto de gráficas.
41. En los puntos siguientes se describen los parámetros que aparecen en ella. En el anexo III del pre-
sente procedimiento se encuentra una serie de indicaciones que pueden servir de ayuda para la
elección de dichos parámetros.
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 12 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
43. Los valores que puede tomar este parámetro, así como su descripción se encuentra en la tabla si-
guiente:
Parámetro de
consecuencias Descripción
medioambientales
Incidente medioambiental (según el PR-189) que constituye una no conformidad
E1
(según el PR-092) y que no tiene consecuencias medioambientales.
Accidente medioambiental (según el PR-189) con consecuencias mínimas
E2
conocidas dentro del establecimiento que precisan de acciones remediadoras.
Accidente medioambiental (según el PR-189) con consecuencias mínimas
conocidas fuera del establecimiento que causa indignación en la comunidad
E3
local o en las Autoridades Competentes (riesgo de tener problemas en futuros
permisos).
Accidente medioambiental (según el PR-189) con efectos negativos conocidos
E4
fuera del establecimiento pero que se consideran reversibles en 2 años.
Accidente medioambiental (según el PR-189) con efectos negativos fuera del
E5 establecimiento a largo plazo. Este evento induce un cambio en el entorno y
resulta en cuestiones o acciones a nivel regional o nacional.
Accidente medioambiental (según el PR-189) con efectos catastróficos fuera del
E6
establecimiento.
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 13 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
45. En los puntos siguientes se describen los parámetros que aparecen en ella. En el anexo III del pre-
sente procedimiento se encuentra una serie de indicaciones que pueden servir de ayuda para la
elección de dichos parámetros.
47. Los valores que puede tomar este parámetro, así como su descripción se encuentra en la tabla si-
guiente:
Parámetro de
consecuencias Descripción
financieras
5
A1 Interrupción menor del proceso y/o daños en equipos (10 € > pérdidas totales).
5 6
Interrupción del proceso y/o daños en equipos (10 € ≤ pérdidas totales < 10
A2
€).
6
Interrupción moderada del proceso o daños en equipos (10 € ≤ pérdidas totales
A3 7
< 10 €).
7
Interrupción grave del proceso o daños en equipos (10 € ≤ pérdidas totales <
A4 8
10 €).
8 9
A5 Daños severos en equipos esenciales (10 € ≤ pérdidas totales < 10 €).
9
A6 Pérdidas catastróficas (pérdidas totales ≥ 10 €).
48. Una vez determinados los valores del risk gap para cada uno de los casos, es necesario identificar
las salvaguardas o capas de protección existentes. El valor del risk gap obtenido indica el número de
órdenes de magnitud que tienen que ser cubiertos para que el riesgo sea aceptable. Estos órdenes
de magnitud deben ser cubiertos por capas de protección independientes (IPLs).
49. Cuando se trate de instrumentos, alarmas, funciones instrumentadas de seguridad (SIF), válvulas
de seguridad, etc, que posean un tag determinado, éste deberá ser indicado en la columna corres-
pondiente a las salvaguardas.
50. Es necesario enumerar las salvaguardas existentes para cada una de las parejas causa-
consecuencia de igual forma que se indica en el punto 18.
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 14 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
• Protección física (pasiva) después de la fuga (cubetos, muros contra explosión, ignifugado, etc).
• Instalaciones externas (activas) para la reducción del riesgo (ERRFs) (sistemas Fire&Gas, sis-
temas activos de protección contra incendios, sistemas de paro de emergencia, etc).
52. Para que una capa de protección pueda ser considerada como independiente (IPL), debe tener los
siguientes requisitos:
• Independencia: una IPL no puede verse afectada por ninguna de las causas del evento peligro-
so o por el fallo de otras IPLs.
• Funcionalidad: una IPL debe ser capaz de detectar, decidir, proteger y ser específica para un
escenario.
• Integridad: una IPL tiene que ser suficientemente grande (capacidad física), suficientemente rá-
pida (para actuar), suficientemente inteligente (bien diseñada) y suficientemente robusta.
• Fiabilidad: una IPL debe ser razonablemente fiable, es decir, ser capaz de reducir el riesgo de
un evento peligroso un factor 10 (equivalente a un crédito IPL).
• Control de accesos: garantizar que el acceso a la IPL está controlado para reducir o evitar posi-
bles cambios no intencionados o no autorizados.
• Gestión del cambio: garantizar que los cambios son revisados, documentados y aprobados an-
tes de su implementación.
53. En el anexo VI del presente procedimiento se encuentra una descripción de cada una de las capas
de protección enumeradas en el punto 51 y su relación con la asignación de créditos IPL mediante
las gráficas de riesgo.
54. Los factores de reducción de las IPLs y su relación con el SIL se encuentra en la tabla siguiente:
-1
Número de créditos PFDavg λ (h ) Factor de reducción de
IPL o nivel SIL (baja demanda) (alta demanda o continuo) riesgo (RRF)
-1 -2 -5 -6
1 10 > PFD ≥ 10 10 > PFD ≥ 10 10 < RRF ≤ 100
-2 -3 -6 -7
2 10 > PFD ≥ 10 10 > PFD ≥ 10 100 < RRF ≤ 1.000
-3 -4 -7 -8
3 10 > PFD ≥ 10 10 > PFD ≥ 10 1.000 < RRF ≤ 10.000
-4 -5 -8 -9
4 10 > PFD ≥ 10 10 > PFD ≥ 10 10.000 < RRF ≤ 100.000
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 15 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
IDENTIFICACIÓN DE RECOMENDACIONES
55. En aquellos casos donde el valor del risk gap calculado no pueda ser cubierto por las capas de pro-
tección independientes existentes, deberán realizarse las recomendaciones pertinentes para su im-
plantación. El orden de preferencia a la hora de implementar una IPL es el siguiente:
• 1º) Solucionar el problema fuera del proceso (rediseño): es decir, intentar sustituir soluciones
que requieren sistemas instrumentados por otras que no los requieran.
56. Como norma general, son preferibles aquellas IPLs lo menos complejas posibles y con menor man-
tenimiento. Por otra parte, se prefieren IPLs preventivas sobre las de atenuación o mitigación.
57. Estas recomendaciones incluirían la verificación del valor de la reducción del riesgo asignado para
una determinada capa de protección, así como de los niveles SIL asociados a una determinada fun-
ción instrumentada de seguridad (SIF). Relacionado con esto, es necesario verificar si se puede in-
crementar la fiabilidad de las existentes, por ejemplo, mediante programas mejorados de manteni-
miento y prueba.
59. Con el fin de separar las acciones que están pendientes de verificar (por ejemplo, verificación del
nivel SIL de una SIF, verificación de la independencia de una capa de protección, etc), de las reco-
mendaciones que requieren la introducción de un elemento nuevo en la instalación (instalación de
un nuevo enclavamiento, etc), éstas deberán separarse en dos grupos o tablas diferentes como las
indicadas en el punto anterior.
60. Con el fin de acometer las recomendaciones, es necesario realizar una priorización de cada una de
ellas. Para ello es necesario distinguir entre recomendaciones que suponen una mejora del proceso
(por ejemplo, configuración de alguna alarma de presión o temperatura en el sistema de control) y
aquellas que serían obligatoriamente necesarias para poner en marcha la instalación o seguir con la
operación de manera que no afectaran a la seguridad de los equipos, personas o medio ambiente
(por ejemplo, instalación de un “trip” de emergencia que proteja a un equipo de posibles daños). Es-
to se hará teniendo en cuenta la magnitud del riesgo asociado a las consecuencias para las que se
ha definido esta recomendación.
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 16 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
61. Teniendo en cuenta este último punto, se utilizarán los parámetros de consecuencias (C), de conse-
cuencias ambientales (E) y financieras (A) definidos en el presente procedimiento, de forma que las
que tuvieran asociado C1 o C2, E1 o E2, A1 o A2 serán acciones recomendadas; C3, E3 o E4, A3 o
A4 serán recomendaciones obligatorias y a realizar en un plazo definido y C4, E5 o E6, A5 o A6 se-
rán recomendaciones obligatorias y de implementación inmediata.
62. Es necesario nombrar a una persona que se encargue del seguimiento de las acciones, para llevar a
cabo el control de que se acometan en forma y plazo que se hubiera acordado en las sesiones o
posteriormente, fruto de un análisis más detallado de las mismas.
63. Cuando de la respuesta de una acción se deriven otras, o se modifique el diseño de forma que re-
quiera una ampliación del estudio realizado, esta persona será responsable de hacer llegar las nue-
vas acciones a sus responsables y de convocar, en su caso y si fuera necesario, las nuevas reunio-
nes para la ampliación del estudio.
64. En aquellos casos en los que de la aplicación de las gráficas de riesgo se obtenga un valor de risk
gap (RG) mayor o igual a 2, según el diagrama de aplicación que se muestra en al anexo I del pre-
sente procedimiento, será necesario aplicar un análisis de capas de protección (LOPA), que implica-
rá la identificación positiva de IPLs y la cuantificación de la frecuencia de las consecuencias inde-
seadas mediante la elaboración de árboles de fallos y/o sucesos.
65. La frecuencia de las consecuencias indeseadas obtenida del estudio se comparará con los criterios
de aceptación del riesgo del Grupo CEPSA, que se encuentran en forma de matriz de riesgo, la cual
se encuentra en el anexo V del presente procedimiento. Esta comparación permitirá identificar si las
IPLs identificadas son suficientes o se requieren IPLs adicionales.
66. Cuando después de aplicar un estudio LOPA al escenario, se requiera la implantación de una SIF
con SIL ≤ 2, el nivel de detalle del análisis justifica que no son necesarios estudios más detallados, a
menos que el analista LOPA o el experto en seguridad responsable considere lo contrario,
67. Cuando los requerimientos de una SIF sean SIL ≥ 3, se debe realizar un análisis cuantitativo de ries-
go debido a que es necesario verificar que se requiere una SIF con ese nivel de SIL.
68. Cuando se obtengan valores de Risk gap de 4 o “h”, se requiere rediseñar el proceso debido a que
no se puede asignar un factor de reducción de riesgo de 4 órdenes de magnitud a un SIS. En este
caso, es preciso realizar un análisis cuantitativo de riesgo para la confirmación del RG.
69. La categoría de consecuencias más severa (C4, E6 o A6) requiere un análisis de consecuencias
detallado y cuantitativo, independientemente de la frecuencia del suceso.
70. En el anexo IV del presente procedimiento se encuentra una descripción de la metodología de análi-
sis LOPA. Estos estudios serán elaborados por el consultor externo contratado o por algún experto
de la organización de cada centro.
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 17 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
72. Siempre que sea posible, sobre todo en estudios coordinados por terceros o muy extensos, se hará
uso de aplicaciones informáticas del tipo PHA (Process Hazard Analysis), como PHAWorks de Pri-
matech o similares, que disponen de formatos predefinidos de recopilación de datos que se deberán
adaptar a los puntos mencionados en el apartado anterior. Adicionalmente, se debería contar con la
ayuda de un proyector conectado al PC, con el fin de que todos los participantes pudieran seguir to-
dos los datos que se va recopilando a lo largo de las sesiones.
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 18 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
74. Este informe se distribuirá a los participantes, los cuales emitirán, si los hubiera, sus comentarios al
estudio. Se recomienda que esta revisión no se demore más de una semana desde la finalización
de las sesiones.
75. Una vez introducidos todos estos comentarios, se procederá a la emisión final del informe, distribu-
yendo de nuevo las copias pertinentes y archivándolo en el lugar que cada Centro considere oportu-
no.
DISTRIBUCIÓN Y PUBLICACIÓN
77. Por tratarse de un Procedimiento General, su distribución y publicación será la definida para la Nor-
mativa General en el “Procedimiento para la gestión de normativa en el Grupo CEPSA” (PR-148),
correspondiendo a la unidad de Organización la realización de la distribución, publicación y el control
final de la misma.
78. Este documento normativo está relacionado principalmente con la siguiente normativa del Grupo
CEPSA:
• NO-020: Norma Básica de Prevención de Riesgos Laborales e Industriales.
• PR-148: Procedimiento de Gestión de Normativa en el Grupo Cepsa
• PR-104: Procedimiento de Seguridad en la gestión de cambios.
• PR-189: Procedimiento de seguimiento de incidentes/accidentes medioambientales.
• PR-092: Procedimiento de Tratamiento de No Conformidades.
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 19 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
ANEXO I
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 20 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 21 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
ANEXO II
GRÁFICAS DE RIESGO
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 22 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 23 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
ANEXO III
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 24 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
C1 - Evento con potencial suficiente (por magnitud y extensión) para causar una lesión menor en
una persona, sin poder resultar en una muerte. Ejemplos y consideraciones:
- Quemaduras de personal por falta de aislamiento en tuberías con fluidos entre 50 y 100˚C.
- Pequeñas fugas en bridas de tuberías con sustancias no tóxicas.
- Cortes con astillas y/o trozos de acero o herrumbre o con mallas de aislamiento.
- Descarga de electricidad estática debido a una mala conexión a tierra de un equipo con polímero.
- Durante la carga de azufre caliente en un camión ocurre un derrame y el líquido produce
quemaduras a un operador que no llevaba el traje de protección adecuado.
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 25 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
C2 - Evento con potencial suficiente (por magnitud y extensión) para causar lesiones mayores
permanentes a una o a varias personas, o una muerte. Ejemplos y consideraciones:
- Explosión de un aditivo en polvo en una planta de polimerización debido a su reducida energía de
ignición (< 10 mJ).
- Quemaduras causadas a un operador durante el encendido de un quemador (o una caldera)
mediante una botella de propano (tiger torch).
- Caídas a distinto nivel.
- Operadores entrando en zonas con deficiencia de oxígeno. Estas zonas incluyen tanques viejos
oxidados, zonas inertizadas con nitrógeno, zonas creadas para pruebas no destructuvas cerca de
depósitos inertizados (por ejemplo tienda de plástico negra preparada para radiografiar una
brida).
- Pequeñas llamaradas o explosiones debido a fugas en bridas o a la apertura de válvulas.
- Pequeñas fugas tóxicas (por ejemplo una fuga repentina de un gas rico en SH2 a través de una
brida o de una válvula (estando el equipo de respiración autónomo a desmano).
- Corte de bridas o tuberías que no han sido vaciadas de material peligroso (por ejemplo rotura de
una línea de vaciado de un coker o en un sistema caliente de condensado).
C3 - Evento con potencial suficiente (por magnitud y extensión) para causar la muerte de varias
personas (de 2 a 9 – la media geométrica es 3). Ejemplos y consideraciones:
- A tener en cuenta que cuando los operadores trabajan por parejas o en equipo, existe la
tendencia de ayudar a los compañeros en caso de un accidente. Asfixia de un operador en un
depósito con SH2 a menudo lleva a la muerte de varios operadores si no están bien entrenados
en ponerse primero el equipo de protección.
- Fugas importantes de materiales inflamables, gases tóxicos, vapor, etc.
- Rotura de un equipo con elevada energía mecánica, (por ejemplo un compresor grande o una
turbina; una puesta en marcha fallida de una turbina atrajo a demasiado espectadores; un
sucesivo intento dañó la carcasa (frecuencia crítica) y chorros de gas a 100 bar afectaron a los
asistentes).
C4 - Evento con potencial suficiente (por magnitud y extensión) para causar la muerte de muchas
personas (10 o más). Ejemplos y consideraciones:
- Fugas masivas de sustancias inflamables o tóxicas. Entre otras razones, estas fugas pueden ser
el resultado de:
o Un orificio de 25 mm en una línea con líquido supercalentado (por ejemplo benceno a
250ºC y 30 bar, o GLP a temperatura atmosférica.
o Un orificio de 100 mm en un sistema de alta presión (> 10bar) de vapor o gas.
o Un iniciador como la rotura catastrófica de la una línea causada por una fractura brittle
debido a la auto-refrigeración en una evaporación flash o una expansión (GLP, etileno,
LNG o error humano).
o Explosiones o incendios masivos en almacenamientos (BLEVEs, boil-overs, roll-overs,
etc.).
o Infección por legionela proveniente de las torres de refrigeración.
o Fallo de la balsa de retención.
o Fallo de la antorcha.
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 26 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 27 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
- Elegir P1 en vez de P2 debido al uso de equipos de protección personal para evitar el daño no es
recomendable, a no ser que el personal ya lleve puesto este equipo. Generalmente, estos
equipos no están diseñados para garantizar un nivel de seguridad adecuado, aunque conllevan a
cierta reducción del daño.
E3 - Accidente medioambiental (según el PR-189) con consecuencias mínimas conocidas fuera del
establecimiento que causa indignación en la comunidad local o en las Autoridades
Competentes (riesgo de tener problemas en futuros permisos). Ejemplos y consideraciones:
- Ruido, hedor, impacto visual y otras influencias en la calidad de vida de la comunidad.
- Funcionamiento prolongado de la antorcha “con vecinos”.
- Un accidente cuyos costes de remediación (por ejemplo, extracción y tratamiento de un volumen
7
de tierra) asciendan a 10 €.
E4 - Accidente medioambiental (según el PR-189) con efectos negativos conocidos fuera del
establecimiento pero que se consideran reversibles en 2 años. Ejemplos y consideraciones:
- Fuga de productos tóxicos con daños ecológicos en el medio acuático.
- Un accidente cuyos costes de remediación (por ejemplo, extracción y tratamiento de un volumen
8
de tierra) asciendan a 10 €.
- Indignación de la comunidad local y cuestiones o acciones a nivel regional.
E5 - Accidente medioambiental (según el PR-189) con efectos negativos fuera del establecimiento
a largo plazo. Este evento induce un cambio en el entorno, y resulta en cuestiones o acciones a
nivel regional o nacional. Ejemplos y consideraciones:
- Fuga de metales pesados en el ecosistema.
- Fuga de aromáticos o benceno (> 5 ton) en pantanos o marismas (considerar los grupos
ecologistas, cazadores, etc.)
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 28 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Para evaluar los riesgos financieros se deberán tener en cuenta todas las pérdidas económicas
asociadas al escenario, sin tener en cuenta posibles seguros que cubran los daños:
- Costes de demolición (para eliminar equipos dañados).
- Costes de materiales y equipos (suministro e instalación). Como aproximación se puede emplear
un coste igual a tres veces el precio de los equipos.
- Costes de la interrupción de la producción. Los costes derivados de la interrupción de la
producción no son debidos a la pérdida de la producción en sí, sino al valor del producto que no
se ha podido expedir. Por ejemplo, un incendio en una unidad de nafta causa que la producción
de gasolina se pare durante cinco días en una refinería; sin embargo, la expedición puede
continuar desde los tanques de almacenamiento donde existe stock para blending durante siete
días. En este caso los costes de la interrupción de la producción son 0 €.
Para poder determinar el parámetro de consecuencias sobre los bienes y la producción es necesario que
el equipo HAZOP/SIL cuente con personal con experiencia en estimación de costes ya que éstos
dependerán en gran medida del negocio (química, petroquímica, refino, almacenamiento, etc.), de la
unidad (alta presión, baja presión, reacción, recuperación, etc.) y del valor del producto en el mercado.
Por tanto no es posible ofrecer valores estándares para las consecuencias financieras.
5
A1 - Interrupción menor del proceso y/o daños en equipos: 10 € > pérdidas totales
5 6
A2 - Interrupción del proceso y/o daños en equipos: 10 € ≤ pérdidas totales < 10 €
6 7
A3 - Interrupción moderada del proceso o daños en equipos: 10 € ≤ pérdidas totales < 10 €
7 8
A4 -Interrupción grave del proceso o daños en equipos: 10 € ≤ pérdidas totales < 10 €
8 9
A5 - Daños severos en equipos esenciales: 10 € ≤ pérdidas totales < 10 €
9
A6 - Pérdidas catastróficas ≥ 10 €
Un RG para los riesgos financieros indica un riesgo inaceptable; no obstante, una solución de ingeniería
podría resultar más cara que el problema en sí (y por lo tanto, igualmente inaceptable). Si no existen
otras soluciones, debería ser considerado como un coste del negocio. Para justificar si una determinada
medida para reducir riesgos financieros está justificada económicamente se deberá de realizar un análi-
sis coste-beneficio.
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 29 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
ANEXO IV
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 30 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Introducción
LOPA (Análisis de Capas de Protección) es una herramienta semicuantitativa para analizar y determinar
riesgos de los escenarios de accidente; en concreto, los escenarios que en el análisis previo han sido
evaluados con un RG ≥ 2.
Los escenarios valorados con un RG ≥ 2 requieren un estudio más detallado a través de los árboles de
sucesos de LOPA, tal y como se explica en este anexo. El análisis LOPA es una valoración más rigurosa
del RG del escenario, con mayor profundidad y detalle que con las gráficas de riesgos. De este modo, se
puede valorar más claramente la necesidad de medidas de seguridad adicionales y sus requisitos. No
obstante, de igual manera que para los escenarios valorados con RG 1, las medidas identificadas deben
satisfacer los requisitos esenciales de las IPL.
Propósito de LOPA
La diferencia fundamental entre el análisis mediante las gráficas de riesgos y LOPA es únicamente el
grado de detalle. En el primer análisis, el equipo tenía que decidir cualitativamente los parámetros de
riesgo (consecuencias y probabilidad del evento), mientras que en LOPA el análisis es semicuantitativo,
realizándose para ello cálculos de frecuencia y probabilidad.
Otra diferencia importante entre LOPA y el análisis mediante las gráficas de riesgos, es que el análisis
LOPA se lleva a cabo por una o dos personas. El analista LOPA deberá partir de toda la información re-
cabada sobre el escenario durante el análisis SIL, parámetros de riesgo seleccionados por el equipo
HAZOP/SIL, medidas de reducción de riesgo presentes o propuestas, además de tener un buen conoci-
miento sobre el proceso en sí.
El analista de riesgo deberá considerar las IPLs propuestas por el equipo (y si es necesario recomendar
otras), cuantificar los factores de reducción de riesgo de cada una de las capas de protección que consi-
dere que satisfacen o pueden satisfacer los requisitos esenciales de las IPLs, y calcular la frecuencia del
evento indeseado, para ver si se cumplen los criterios de la compañía expresados de forma simplificada
en la matriz de riesgos del anexo V del presente procedimiento.
La característica práctica de LOPA (en comparación con los ACRs) es que LOPA simplificada la valora-
ción de los riesgos empleando órdenes de magnitud para las frecuencias del suceso iniciador, los facto-
res de reducción de riesgos de las IPLs (o créditos IPL) y la severidad de las consecuencias (que vendrán
determinadas por el equipo HAZOP/SIL).
Un escenario en LOPA consiste en una cadena causa – efecto, y en principio ésta debería haber sido
identificada durante el estudio SIL mediante las gráficas de riesgo.
Para poder visualizar completamente el escenario y todas las capas de protección o IPLs que pueden ser
consideradas, es necesario que el analista elabore previamente árboles de fallos y eventos. En la siguien-
te figura se muestran combinaciones de cuatro causas diferentes y 4 consecuencias diferentes (16 pares
causa - consecuencia) en el llamado modelo de pajarita.
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 31 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Para prevenir que ocurra un escenario se requiere, como mínimo, una IPL, y para que se den los sucesos
finales, todas las IPLs deben fallar. Las consecuencias pueden depender de varias condiciones (expre-
sadas como modificadores condicionales), por ejemplo, la presencia de personal o la presencia de una
fuente de ignición después de que haya ocurrido una pérdida de contención (LOC) (por ejemplo, un es-
cape de material inflamable).
Para iniciar LOPA, hay que determinar la frecuencia de ocurrencia del iniciador (1/año). Los sucesos con-
dicionantes y los modificadores condicionales se cuantificarán probabilísticamente dependiendo de su
naturaleza. Por su parte, se le asignará una probabilidad de fallo en demanda (PFD) a cada IPL, tal y
como se ha comentado.
Análogamente a las consideraciones para la selección de escenarios para las gráficas de riesgos, el ana-
lista LOPA deberá considerar:
- la causa más general inmediatamente anterior al accidente (como por ejemplo, fallo de suminis-
tro eléctrico en vez de fallo de un fusible del transformador).
- todas las consecuencias que impliquen impacto sobre el personal, el medioambiente o sobre los
bienes y producción.
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 32 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
El análisis del árbol de sucesos LOPA requerirá información adicional a la obtenida durante el paso de
identificación de IPL y asignación de RG.
Para la aplicación de la metodología LOPA se puede tomar como suceso iniciador el primer suceso que
permita la determinación de la frecuencia, moviéndose hacia atrás en el árbol de sucesos, desde la con-
secuencia hacia el suceso iniciador. No obstante, la identificación de los sucesos subyacentes puede ser
útil para determinar otros escenarios.
Por ejemplo, “fallo de refrigeración” puede ser el resultado de un fallo de la bomba, un corte del suminis-
tro de energía o un fallo en el lazo de control. Si puede determinarse directamente la probabilidad del
evento “fallo de refrigeración” no es necesario cuantificar los sucesos subyacentes.
La determinación de la frecuencia de los sucesos iniciadores y de los créditos de las IPLs se puede basar
en datos de la industria recogidas en publicaciones como Centre for Chemical Process Safety (CCPS),
Purple Book, OREDA, AMINAL, SINTEF y en la experiencia del Grupo, o en datos de los fabricantes.
Tal y como se ha explicado anteriormente, la misión de las IPLs es proteger de un escenario. Sin embar-
go, en algunos casos, una IPL puede ser precisamente la causa del escenario. Por ello, los datos de fre-
cuencias de fallo de estas IPLs se emplearán en estos casos como frecuencias del iniciador.
Para cada escenario se debe calcular el número de ocurrencias por año (la frecuencia del escenario fs).
El punto de partida es la frecuencia (fie) del suceso iniciador (por ejemplo fallo de refrigeración, adición
del producto químico equivocado, cierre involuntario de una válvula,...) que se multiplica por la probabili-
dad de los sucesos condicionantes (pee) que sean relevantes (por ejemplo probabilidad de que el proceso
se encuentre a una determinada temperatura) y multiplicados por las PFD de las n IPL (pIPLn) instaladas.
Si además, existen modificadores condicionales (por ejemplo la presencia de una fuente de ignición)
deben tenerse en cuenta las probabilidades (pcm) de estos sucesos también. Por lo tanto:
Las consecuencias del escenario pueden ser muy diversas en tipo y severidad. Las consecuencias de un
escenario se determinan por las características (tóxico, inflamable), cantidad y condiciones (temperatura,
presión) del material emitido, etc. Estos efectos pueden causar a su vez ‘efectos dominó’.
En general, se pueden distinguir los siguientes efectos físicos como resultado de una pérdida de conten-
ción (LOC):
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 33 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
- Dardo de fuego (jet fire), incendio de charco (pool fire), bola de fuego (fire ball).
- Llamarada (flash fire) o explosiones de nubes de vapor (VCE).
- Explosiones de polvo.
- Nubes tóxicas.
- BLEVEs.
- Proyección de fragmentos.
En teoría, el analista LOPA dispondrá de la valoración de las consecuencias realizada por el equipo
HAZOP/SIL, aunque si éste lo cree conveniente, podrá realizar cálculos de efectos y consecuencias (cau-
dal de fuga, evaporación, dispersión, sobrepresión, etc.), fundamentalmente para confirmar que las con-
secuencias establecidas por el equipo son correctas.
Sin embargo, esto no es lo normal debido a que en LOPA las consecuencias se valoran generalmente
usando clases de consecuencias tal y como se hace con las gráficas de riesgo (C, E y A).
Una vez se han analizado la frecuencia y la consecuencia del escenario en cuestión, el analista de LOPA
deberá determinar si el riesgo del escenario con capas de protección (IPLs) cumple con los criterios del
Grupo CEPSA, o es necesario mejorar la fiabilidad de las IPLs existentes, o bien implementar IPLs adi-
cionales.
Para facilitar el uso de los criterios de la compañía por terceros, éstos se han convertido en una matriz de
riesgos (ver anexo V del presente procedimiento).
Los escenarios cuya frecuencia sea inferior que la frecuencia objetivo (zona verde), cumplen con los cri-
terios del Grupo CEPSA, y por lo tanto, para estos escenarios no son necesarias medidas adicionales.
Los escenarios cuya frecuencia sea superior que la frecuencia objetivo (zona roja), no cumplen con los
criterios del Grupo CEPSA, y por lo tanto, para estos escenarios será necesario mejorar la fiabilidad de
las IPLs o implementar IPLs adicionales.
También es posible hacer que un escenario sea aceptable reduciendo la frecuencia del suceso iniciador o
reduciendo la probabilidad de los condicionantes o de los modificadores condicionales.
Frecuencia (1/año)
Descripción
Máx. Min. Típica
Fallo de un depósito a presión 10-5 10-7 10-6
Fallo de tubería – 100 m – rotura total 10-5 10-6 10-5
Fuga en tubería – 100 m – 10 % sección 10-3 10-4 10-3
Rotura de junta/relleno 10-2 10-6 10-2
Caída de rayo 10-3 10-4 10-3
Fallo de agua de refrigeración 1 10-2 10-1
Fallo en sello de bomba 10-1 10-2 10-1
Fallo en manguera de carga/descarga 1 10-2 10-1
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 34 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 35 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
PFD
Complejidad / Nivel de Muy Simple y Rutinaria aunque Complicada y no
estrés simple rutinaria requiere cuidado rutinaria
Sin estrés 10-4 10-3 10-2 10-1
Estrés moderado 10-3 10-2 5 × 10-2 3 × 10-1
Mucho estrés 10-2 10-1 - 1 2,5 x 10-1 - 1 1
Fuga Sustancia
Gases (baja Gases
Contínua Instantánea Líquidos reactividad) (media/alta
reactividad)
< 10 kg/s < 1000 kg 0,065 0,02 0,2
10 - 100 kg/s 1000 - 10000 kg 0,065 0,04 0,5
> 100 kg/s > 10000 kg 0,065 0,09 0,7
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 36 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Fuga
Vehículo
Continua Instantánea
Camión 0,1 0,4
cisterna
Vagón 0,1 0,8
cisterna
Evento Probabilidad
Flash fire sin efectos mecánicos 0,6
(UCVE)
Flash fire con efectos mecánicos 0,4
(VCE)
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 37 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
ANEXO V
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 38 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Clases de consecuencias
1 2 3 4 5 6
Seguridad Parámetro C1 C2 C3
(personal de CEPSA y contratistas) Número de muertes 0 1 2–9
Medio ambiente Parámetro E1 E2 E3 E4 E5 E6
Financiero Parámetro A1 A2 A3 A4 A5 A6
5 6 7 8
Coste relacionado ≤ 10 - 10 - 10 - 10 - 9
5 6 7 8 9 ≥10
(€) 10 10 10 10 10
>1
-1
1 - 10
-1 -2
10 - 10
-2 -3
10 - 10
Frecuencia [1/año] -3 -4
10 - 10
-4 -5
10 - 10
-5 -6
10 - 10
-6 -7
10 - 10
Riesgos intolerables
Riesgos tolerables
Frecuencia máxima objetivo
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 39 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
ANEXO VI
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 40 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
El diseño físico de un sistema y los procesos físico-químicos que en él se producen son el origen de los
riesgos del sistema. El diseño constituye una barrera de protección fundamental que se toma en conside-
ración al valorar los parámetros de las gráficas de riesgos (frecuencia y consecuencias). Sin embargo,
esta capa no se considera una capa de protección independiente (IPL) durante el proceso de cierre del
RG con IPLs y por tanto no se da crédito debido a que la seguridad intrínseca constituye un principio de
actuación que debe aplicar en el diseño de un proceso y que va íntimamente ligada al proceso mismo. No
obstante, la seguridad intrínseca debe considerarse siempre que sea posible (y rentable) debido a que
puede reducir o eliminar el riesgo de proceso.
Durante el diseño de los procesos se examinan los valores mínimos y máximos de las variables de pro-
ceso para determinar si el equipo puede diseñarse de manera que resista los posibles valores extremos.
Cada variable de proceso que se asegura con un buen diseño es una variable menos que contribuye a la
aparición de un peligro.
Un diseño intrínsecamente más seguro es más rentable cuando se aplica en fases tempranas del diseño.
Cualquier reducción de riesgo requerida posterior (RG), por ejemplo durante las fases de detalle del pro-
yecto, normalmente necesita la utilización de capas de protección (seguridad funcional) en lugar de he-
rramientas de diseño intrínsecamente seguro (seguridad inherente). Un cambio en el diseño es más difícil
y caro cuanto más avanzada está su implementación.
La capa del Sistema de Control de Procesos (BPCS) incluye el lazo funcional completo: detectores,
BPCS y elementos finales.
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 41 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Aunque la función primaria del BPCS es monitorizar y controlar el proceso en continuo, también puede
usarse para implementar funciones de protección, tales como:
- Realizar acciones que devuelvan el proceso al rango normal de las variables de operación;
- Realizar acciones que paren el proceso llevando el sistema a un estado seguro (por ejemplo, du-
plicando los sistemas instrumentados de protección en el sistema de control).
Otra función del BPCS es proporcionar información (por ejemplo alarmas) al operador, el cual es el res-
ponsable de realizar una acción correctamente. Esta función se debe considerar como parte de la capa
de intervención humana.
La capa de protección del BPCS (también llamada capa de monitorización o PCMS) actúa como parte del
diseño operativo cuando una o más variables de proceso abandonan el rango normal de operación y
entrar en el rango de desviación admisible. En esas condiciones no es necesario parar el proceso (por
razones de seguridad), aunque sí requieren que se tome una acción para devolver el proceso al rango
normal de operación.
Dado que las funciones del BPCS trabajan en continuo (alta demanda), éstas están sujetas a chequeos
continuos por parte del personal responsable. Por lo tanto, los posibles defectos o fallos se detectan (a
-
menudo) inmediatamente. Sin embargo, el estándar IEC 61511 no acepta tasas de fallos inferiores a 10
5
/h para sistemas instrumentados que no se diseñen y gestionen como SIS. En otras palabras, el máximo
factor de reducción de riesgo otorgable a sistemas instrumentados no-SIS es aproximadamente 10.
Para mejorar la fiabilidad, es necesario reducir los errores sistemáticos. El estándar IEC 61511 lo hace
mediante varias actividades de control de calidad, tales como verificación, validación y evaluación de la
seguridad funcional, así como requiriendo procedimientos de seguridad de acceso y gestión de cambios,
aunque esto no se hace generalmente con el BPCS.
Consecuentemente, no se le podrá otorgar más de 1 crédito IPL a la capa de protección del BPCS, siem-
pre y cuando se cumplan los requisitos esenciales de IPLs y en particular en lo referente a la indepen-
dencia respecto del suceso iniciador y respecto a otras capas de protección que prevengan o mitiguen el
mismo peligro.
La supervisión por parte de los operadores y la respuesta a alarmas relacionadas con la seguridad para
prevenir incidentes constituye una capa de protección. De hecho, la capa de “intervención humana” es un
lazo funcional completo que típicamente está formado por: elementos sensores, el BPCS que da la alar-
ma, la respuesta e intervención por parte del operador y los elementos finales.
Cuando la información (alarma) o acción (respuesta) dependen del correcto funcionamiento del BPCS, se
deberán considerar las observaciones hechas en el punto anterior sobre la función protectora del BPCS.
La intervención humana en respuesta a alarmas también tiene ciertas limitaciones debido a que existe el
potencial error del operador o del procedimiento, especialmente en situaciones de estrés. La probabilidad
de una respuesta correcta por parte de un operador ante una alarma depende de varios factores, entre
ellos:
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 42 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
- La manera de priorizar las alarmas en el BPCS (por ejemplo, si el operador recibe una batería de
alarmas simultáneamente, éste no será capaz de procesar toda la información). Por tanto, las
alarmas que requieran la intervención humana deberán de priorizarse y distinguirse claramente
de las que no requieren de una acción inmediata. También es posible que el operador detecte la
desviación del rango normal de operación desde campo en los chequeos que realiza durante sus
rondas periódicas. En este caso, el tiempo de seguridad del proceso deberá ser al menos el do-
ble del tiempo entre los chequeos por parte de los operadores.
- El tiempo disponible para ejecutar la acción requerida, o tiempo de seguridad del proceso, está
limitado por la dinámica del proceso. Este tiempo corresponde con el tiempo que hay entre la
demanda (por ejemplo, la variable del proceso se desvía hacia la zona de operación inaceptable)
y el momento en que el proceso entra en situación peligrosa, si nada se hace para prevenirlo. Es-
te tiempo se deberá comparar con el tiempo que necesitan los operadores para realizar la acción
requerida, que incluye: el tiempo para procesar mentalmente las alarmas, intentar solucionar el
problema (troubleshooting), decidir qué acción es la correcta, ejecutar la acción y asegurarse de
que la acción se lleva a cabo de manera efectiva.
- La complejidad del troubleshooting y la dificultad para determinar cuál es la acción requerida. Las
acciones que deberá ejecutar el operador deberán estar adecuadamente documentadas en pro-
cedimientos escritos que subrayen las acciones importantes y que expliquen las consecuencias
de estas desviaciones. Para incrementar la capacidad del operador de realizar las acciones co-
rrectamente, las instrucciones deberán ser claras y directas, con comunicación continua (feed-
back) con el proceso para verificar que las acciones se están realizando correctamente. Los ope-
radores deberán de formarse para que estén perfectamente familiarizados con estos procedi-
mientos.
- El estrés al que estén sometidos los operadores.
Como conclusión para el uso durante la etapa de asignación de RG con las gráficas de riesgo, las alar-
mas de proceso y la intervención por parte del operador pueden considerarse como una función de pro-
tección independiente, y como tal se le podrá otorgar 1 crédito IPL si satisface los siguientes aspectos:
- El subsistema de la alarma (es decir, los detectores de campo, los módulos I/O, el procesador
principal, etc.) es independiente del suceso iniciador y de otras capas de protección (preventivas
o de mitigación) del mismo peligro.
- El tiempo de seguridad del proceso se considera suficientemente grande (por ejemplo, del orden
de 45 minutos dependiendo de la operación).
- La acción por parte del operador es simple, está bien documentada y las indicaciones de que tie-
ne que realizar una acción son claras y fiables. Se permite un mínimo troubleshooting o diagnós-
tico antes de ejecutar la acción.
La capa de los Sistemas Instrumentados de Protección (IPS) incluye a los Sistemas Instrumentados de
Seguridad (SIS), y por tanto nos referiremos a los SIS para designar a los IPS. El SIS está formada por
las diferentes Funciones Instrumentadas de Seguridad o SIFs.
Una SIF incluye detectores, procesadores lógicos y elementos finales, que deberán ser diseñados, im-
plementados y gestionados de acuerdo con los estándares IEC 61508 y IEC 61511. Los SIS deben dise-
ñarse para ser independientes de la capa de control (por ejemplo, el BPCS y el PCMS), para asegurar los
siguientes puntos:
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 43 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
- El acceso a los SIS es mínimo para evitar cambios involuntarios y ajustes erróneos;
- El acceso a capas de control se proporciona sin comprometer la seguridad;
- El equipo usado para implementar el SIS está aprobado para la aplicación;
- Se han minimizado los fallos más comunes entre el SIS y las capas de control y monitorización.
Las SIFs (preventivas) se implementan para llevar el proceso a estado seguro cuando ocurre una de-
manda, es decir cuando una o más variables de proceso amenazan con abandonar el rango normal de
operación y entrar en el rango no admisible, aunque mucho antes de que esto se produzca.
Las SIFs tomarán el mando siempre por encima de las funciones del BPCS. Al contrario de lo que suce-
de con las funciones del BPCS, las funciones del SIS deben actuar solamente de forma esporádica (es
decir, normalmente son sistemas de baja demanda). Esto es debido en primer lugar a la baja probabili-
dad de ocurrencia de un suceso peligroso y en segundo lugar, debido al hecho de que frecuentemente
existen capas de protección previas como por ejemplo la capa del BPCS y la capa de intervención huma-
na.
Cuando se analizan las capas de protección para prevenir un escenario accidental, la SIF objeto del es-
tudio no debe tenerse en cuenta (ni asignársele créditos IPL) debido a que es precisamente la SIF la que
tendrá que cerrar el RG mediante la asignación de un nivel SIL, siempre y cuando no se puedan imple-
mentar otras capas de protección independientes.
En algunos casos, es posible que dos SIFs estén protegiendo la misma situación peligrosa aunque no
exactamente por el mismo iniciador. En este caso es importante evaluar la independencia de las dos
SIFs y considerar posibles fallos comunes.
Adicionalmente, es importante prestar atención a la asignación final de los SIL de estas SIFs debido a
que éstos dependerán de los niveles SIL de las dos. En la práctica, esto se puede solucionar asignándole
a una SIF los créditos IPL equivalentes al SIL que tentativamente se le dará posteriormente para poder
determinar el SIL de la otra SIF y cerrar el RG. Cuando se analice la otra SIF, se hará lo mismo pero al
revés considerando la primera como una IPL.
A efectos de alcanzar un SIL mayor, será posible implementar dos SIFs independientes de SIL menor,
aunque se deberá tener cuidado con los fallos por causa común.
Los sistemas mecánicos de mitigación incluyen dispositivos que, bajo condiciones anormales específicas
(por ejemplo, presión igual o mayor al punto de consigna de una PSV), ejecutan una acción de mitigación
específica (por ejemplo, se abre la válvula de presión). Estos sistemas incluyen PSVs, discos de ruptura,
válvulas de ventosa (rotura de vacío), puertas a prueba de explosión, supresores de llama y válvulas de
exceso de flujo (mecánicas). El diseño de los sistemas de mitigación se realiza de acuerdo a estándares
y guías de organizaciones como NFPA, API y ASME. También se pueden realizar de acuerdo a las regu-
laciones de la jurisdicción local y requisitos de las aseguradoras.
En general, un dispositivo de mitigación debe cumplir los siguientes requisitos para considerarse una
función protectora independiente (IPL):
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 44 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Ejemplos y consideraciones:
- Las PSVs deberán ventear material a una antorcha dimensionada adecuadamente. La cantidad
emitida asimismo deberá ser despreciable para la población vecina.
- Las PSVs o los discos de ruptura que venteen directamente a la atmósfera no deberán emitir ma-
teriales inflamables o tóxicos que pongan en peligro la vida o la salud de las personas, el medio
ambiente o los bienes materiales y la producción.
- Las puertas a prueba de explosión ayudan a reducir la sobrepresión en caso de una explosión y
por tanto, a minimizar el colapso de estructuras. Sin embargo, estas puertas no prevendrán la
explosión en sí, ni que se produzcan daños. Por tanto, parece obvio que no se le otorguen crédi-
tos IPL a este tipo de protección.
- Las válvulas de exceso de flujo (mecánicas) se instalan comúnmente en la línea de fondo de las
esferas de GLP para bloquear la línea, y así aislar la esfera, en caso de fugas aguas abajo. Estas
válvulas normalmente actúan cerrando en caso de caudales muy altos (incluso muy superiores al
máximo caudal nominal). La válvula tardará un cierto tiempo en cerrar, tiempo durante el cual fu-
gará GLP; adicionalmente para pequeñas fugas aguas abajo la pérdida de presión y aumento de
caudal no será suficiente como para alcanzar el punto de consigna y cerrar las válvulas. Por tan-
to, parece obvio que no se le otorguen créditos IPL a este tipo de protección.
- Estar diseñado, instalado y con un mantenimiento que minimicen problemas potenciales de tapo-
namiento, (por ejemplo, discos de ruptura en serie con PSVs). Se deberá garantizar el correcto
funcionamiento del dispositivo durante todo el periodo entre inspecciones, por ejemplo indicando
en los informes de las inspecciones periódicas que el dispositivo está limpio de deposiciones o
que no está deteriorado.
Las barreras físicas sirven para mitigar pasivamente el riesgo con su presencia. Algunos ejemplos pue-
den ser: cubetos, muros contra explosión, búnkeres y el ignifugado de estructuras o equipos. En general,
cuando se diseña, construye, inspecciona y se mantiene la barrera de acuerdo con buenas prácticas de
ingeniería, hay una probabilidad elevada de que funcione como es debido cuando se necesite. Las barre-
ras se deben inspeccionar con suficiente frecuencia para asegurar su integridad y sus premisas de dise-
ño deben ser auditadas periódicamente para verificar si están en el sitio adecuado o la instalación ha
cambiado (por ejemplo, los tanques operaban a menos del 50% de capacidad, pero hoy en día lo hacen a
un 85%).
Durante la asignación de SIL mediante las gráficas de riesgos no se le darán créditos IPL a este tipo de
sistemas de protección debido a que el método es cualitativo y por tanto no permite evaluar correctamen-
te la eficacia de esta capa de protección. Además, tales análisis cualitativos no deberán apoyarse en
estas barreras de mitigación para que el riesgo de la instalación sea aceptablemente bajo para las insta-
laciones. Sin embargo, en análisis cuantitativos como LOPA sí que se le podrán dar créditos IPL a este
tipo de sistemas de protección. En este caso, los árboles de sucesos deberán mostrar explícitamente la
actuación de las barreras físicas.
Las instalaciones externas (activas) para la reducción del riesgo (ERRFs) constituyen una capa de miti-
gación o limitación de consecuencias que está diseñada para reducir la severidad de las consecuencias
de un proceso peligroso que ha llegado a la etapa de pérdida de contención. Estos sistemas incluyen el
sistema Fire & Gas (típicamente formado por detectores de fuego y gas, alarmas para alertar a la sala de
control y que ésta tome medidas o se inicie la evacuación del personal, y eventualmente sistemas auto-
máticos contra incendios y/o sistemas de paro de emergencia ESD), sistemas activos de protección co-
ntra incendios (típicamente formado por agua contra incendios, espuma, polvo seco y agentes de limpie-
za).
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 45 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Otros ejemplos son sistemas de paro de emergencia, sistemas de despresurización de emergencia, sis-
temas de venteo de emergencia, sistemas de volcado (dump) de emergencia y válvulas de aislamiento
accionadas remotamente (ROSOVs). Estos sistemas se accionan manualmente por operadores al activar
los pulsadores desde la sala de control o desde lugar seguro en campo. En instalaciones offshore, los
sistemas de fuego y gas y los sistemas de parada de emergencia son sistemas integrados conocidos
como sistemas de apoyo de emergencia “emergency support systems” (ESS).
Las instalaciones externas (activas) para la reducción del riesgo (ERRFs) tienen que estar separados del
SIS y por tanto, quedan fuera del ámbito de los estándares IEC 61508 y IEC 61511. Sin embargo, las
ERRFs son sistemas de seguridad y deben ser probados, inspeccionados y manejados como tales. El
control de estos sistemas se implementa, a veces, usando los procesadores lógicos de los SIS, lo cual
requiere que todo el sistema se maneje, como mínimo, con el nivel de rigor requerido para el SIS.
Estos sistemas de mitigación tienen un papel en la reducción de riesgo. Sin embargo, no se les darán
créditos IPL durante la asignación de SIL mediante las gráficas de riesgos debido a que el método es
cualitativo y por tanto no permite evaluar correctamente la eficacia en la detección de esta capa de pro-
tección (por ejemplo, no es posible saber si el detector estará en el lugar adecuado para detectar la fuga
debido a que esto depende generalmente de la dirección del viento) ni el grado de mitigación que ofrecen
para saber si el riego residual es aceptable, debido a que su propósito principal es limitar la escalación de
las consecuencias y no prevenir la pérdida de contención inicial y sus consecuencias inmediatas. En aná-
lisis cuantitativos como LOPA sí que se le podrán dar créditos IPL a este tipo de sistemas de protección.
En este caso, los árboles de sucesos deberán mostrar explícitamente la actuación de las ERRFs.
Dado que confiar en la respuesta de emergencia es el último recurso, se recomienda que no se den cré-
ditos IPL para la reducción de riesgo a esta capa. Más bien, el objetivo sería evitar una situación que
active la respuesta contra emergencias antes que tener que confiar en ésta.
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 46 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
ANEXO VII
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 47 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Parámetro:
Palabra Desviación Causas Consecuencias Gráficas de Riesgo Salvaguardas Recomendaciones Acción por
C/E/A F P W RG (Indicar las capas de (Si aparece una SIF,
C protección y si tienen verificar el SIL deter-
E - - créditos IPL) minado para cubrir el
A - - RG)
C/E/A F P W RG
C
E - -
A - -
C/E/A F P W RG
C
E - -
A - -
C/E/A F P W RG
C
E - -
A - -
C/E/A F P W RG
C
E - -
A - -
C/E/A F P W RG
C
E - -
A - -
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 48 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
ANEXO VIII
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 49 de 50
COPIA IMPRESA NO CONTROLADA
SEGURIDAD
Planta: Unidad:
Nodo P&ID considerado Recomendación Prioridad Responsable / Área Fecha prevista
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 50 de 50