PR 063 00 Es Estudios Hazop Sil

COPIA IMPRESA NO CONTROLADA
SEGURIDAD
APROBADO
FIRMADO POR: J. MIGUEL LAGAREJOS GARCÍA
FECHA: SEPTIEMBRE 2008
FIRMA:
El documento original, que está aprobado por la persona y en la fecha arriba

indicadas (mediante firma autógrafa o electrónica), se encuentra bajo custodia
de la Unidad de Organización de CEPSA, de acuerdo con la normativa vigente.
PROCEDIMIENTO SOBRE ELABORACIÓN DE ESTUDIOS DE

RIESGO Y OPERABILIDAD (HAZOP/SIL)
PR-063 Rev. 0 / Sept. 2008 Edita: Organización Gestiona: PA.S.CAL./Seguridad Fecha vigor: Sept. 2008 Pág 1 de 50
SEGURIDAD
PROCEDIMIENTO SOBRE ELABORACIÓN DE ESTUDIOS DE ANÁLISIS DE RIESGO Y

OPERABILIDAD (HAZOP) CONJUNTAMENTE CON LA DETERMINACIÓN DEL NIVEL
DE INTEGRIDAD DE SEGURIDAD (SIL) Y SU RELACIÓN CON LA APLICACIÓN DE LOS
CRITERIOS DE ACEPTACIÓN DEL RIESGO DE LA COMPAÑÍA
INTRODUCCIÓN
La técnica de análisis de riesgo y operabilidad HAZOP, que se ha empleado y desarrollado durante las
últimas cuatro décadas y que es ampliamente utilizada en las instalaciones del Grupo CEPSA, tiene el
propósito de identificar riesgos potenciales y problemas operacionales producidos por las desviaciones en
el comportamiento de los sistemas respecto a sus condiciones de diseño, tanto en plantas de proceso
nuevas como en las ya existentes, y que pueden afectar a las personas, el medio ambiente o la integridad
de las instalaciones.
Por su parte, la determinación del nivel de integridad de seguridad, SIL, permite identificar, por un lado, la
diferencia entre el riesgo del escenario sin capas de protección y el máximo riesgo tolerable por la com-
pañía, valor que se conoce como “Risk gap”, y, por otro, la asignación de funciones de seguridad e identi-
ficación de las capas de protección.
Por tanto, la aplicación de ambas técnicas conjuntamente constituye una herramienta útil para el análisis
de riesgos, con el fin de asegurar que estos se encuentran dentro de los criterios de aceptación del riesgo
implantados en la compañía.
OBJETO
1. El objeto de este procedimiento es establecer la metodología de aplicación del estudio HAZOP/SIL

en las instalaciones del Grupo CEPSA, así como en los casos en los que debe adoptarse. Por otra
parte, estos estudios servirán como medio para implantar los criterios de aceptación del riesgo del
Grupo en todas sus instalaciones.
ÁMBITO Y CASOS DE APLICACION
2. El presente procedimiento se aplicará en las instalaciones de refino de petróleo, terminales, almace-

namiento de productos petrolíferos y petroquímicos del Grupo CEPSA, a excepción de las estacio-
nes de servicio y gasocentros. Las empresas del Grupo podrán adaptar este procedimiento, con de-
cisión de sus direcciones, a las circunstancias específicas de cada una de ellas.
3. El estudio HAZOP/SIL será aplicado en las instalaciones en los siguientes casos:

- Nuevas instalaciones.
- Modificaciones que afecten a las instalaciones en:
o El origen y destino de las corrientes.

o Los sistemas de control.
o Los sistemas de venteo y alivio de presión.
o Los sistemas de seguridad y emergencias.
o La operabilidad de los equipos e instalaciones asociadas.
- Modificaciones que afecten a las instalaciones y la aplicación del análisis del riesgo según el PR-
104 lo indique.
SEGURIDAD
Este estudio será aplicado en la fase de diseño de la nueva instalación o modificación tan pronto co-
mo sea posible, con el fin de que los posibles cambios que puedan surgir de él, sean implementados
en esta fase.
GLOSARIO DE TÉRMINOS
• HAZOP (Hazard and Operability): Análisis de riesgo y operabilidad que permite identificar los
riesgos potenciales y operacionales producidos por desviaciones de los sistemas respecto a sus
condiciones de diseño.
• SIL (Safety Integrity Level): Nivel de integridad de seguridad. Se define como el nivel de reduc-
ción de riesgo que aporta una función instrumentada de seguridad.
• LOPA (Layer of Protection Analysis): Análisis de capas de protección. Es una herramienta se-
micuantitativa para analizar y determinar riesgos de los escenarios de accidente.
• BPCS (Basic Process Control System): Sistema de control básico de procesos. Se define co-
mo un sistema que monitoriza y controla el proceso en continuo, proporcionando información al
operador.
• SIS (Safety Instrumented System): Sistema instrumentado de seguridad. Se trata de un siste-

ma compuesto por funciones instrumentadas que permiten mantener un nivel de seguridad en el
proceso cuando se producen condiciones de proceso inaceptables. Es independiente de los sis-
temas de control.
• SIF (Safety Instrumented Function): Función instrumentada de seguridad. Componen el siste-

ma instrumentado de seguridad. Está compuesta por un elemento primario de medida, un contro-
lador y un elemento final o actuador. Dispone de un nivel de integridad de seguridad (SIL) deter-
minado.
• IPL (Independent Protection Layer): Capa de protección independiente. Es un dispositivo, sis-

tema o acción que, cuando funciona, impide que el escenario evolucione hacia las consecuencias
no deseadas. Es independiente porque no está relacionada con el suceso iniciador o con la ac-
ción de ninguna otra capa de protección asociada al escenario.
• RG (Risk Gap): diferencia del riesgo del escenario sin capas de protección y el máximo riesgo to-
lerable por la compañía.
• PFD (Probability of Failure on Demand): Probabilidad de fallo en demanda. Es la probabilidad

de que un sistema falle al ejecutar la función específica para la que es requerido.
• RRF (RIsk Reduction Factor): Factor de reducción del riesgo. Está relacionada con la probabili-
dad de fallo en demanda (es su inversa) y mide los órdenes de magnitud que reduce el riesgo un
determinado dispositivo.
• Criterios de aceptación del riesgo: normas adoptadas para evaluar la idoneidad del riesgo refe-
rente a la protección del público, el personal de CEPSA (incluyendo a los contratistas), el medio
ambiente y los bienes de la compañía.
SEGURIDAD
PARTICIPANTES
4. El equipo HAZOP/SIL deberá contar con la figura del Coordinador o Facilitador, el cual deberá ser
independiente (por ejemplo, que no tuviera relación con el proceso, la modificación o la operación de
las instalaciones objeto de estudio) y tendrá las siguientes responsabilidades:
• Definir los motivos, el alcance y los objetivos del análisis, que serán explicados al grupo de tra-
bajo, así como planificar las sesiones y el calendario de reunión.
• Analizar la documentación necesaria para la realización del estudio y comprobar que está dis-
ponible en cantidad, calidad y plazo adecuados.
• Explicar la metodología de análisis HAZOP y asignación de índices SIL mediante gráficas de

riesgo al comienzo de la reunión para aquellos miembros del equipo de trabajo que no estén
familiarizados con este tipo de estudios.
• Aplicar las palabras guía y los parámetros de forma sistemática, así como las gráficas de riesgo,
tal y como se verá en apartados posteriores.
• Asegurar que el grupo trabaja de forma efectiva, moderando y limitando las discusiones, mante-
niendo al grupo sobre el punto a discutir en cada caso y alentándolo a llegar a conclusiones,
exigiendo puntualidad a los asistentes, proponiendo las pautas/descansos necesarios, evitando
discusiones que estén fuera del alcance del estudio, etc.
• Seguir el progreso según la agenda acordada.
• Asegurar que se realiza el análisis de forma completa.
5. En el caso de estudios extensos o contratados a consultores externos o en aquellos donde cada

centro determine, se podrá contar con la figura del Secretario, el cual tendrá las siguientes funcio-
nes:
• Preparar las hojas de trabajo del estudio, particularizándolas para los procesos que se requieren
analizar. Para esta gestión se podrá disponer de una herramienta informática según se indica en
el punto 72 del presente procedimiento.
• Recopilar toda la información que vaya surgiendo en la aplicación del estudio, así como todas
las recomendaciones que puedan efectuarse, comprobando siempre la exactitud de las mismas.
• Preparar los informes finales posteriores al estudio y su distribución entre los participantes.
En aquellos casos en los que no exista esta figura, estas acciones serán acometidas por el Coordi-
nador o Facilitador.
6. El resto del equipo participante en el estudio estará compuesto por personas de distintas disciplinas,
preferiblemente con experiencia en el proceso o modificación a tratar en el estudio. Entre ellas, se
destacarían las siguientes:
• Proyectos.
• Procesos.
• Electricidad e Instrumentación.
• Operaciones.
• Seguridad.
SEGURIDAD
Adicionalmente, al principio o a lo largo del estudio se evaluará la necesidad de la presencia de otras

disciplinas, como, por ejemplo, Mantenimiento o Inspección.
El equipo participante en el estudio tendrá las siguientes responsabilidades:
• Analizar y estudiar la documentación suministrada por el Facilitador previamente al comienzo de

las reuniones.
• Participar activamente en la identificación de desviaciones, así como en la de causas y conse-

cuencias de los escenarios de riesgo identificados.
• Participar activamente en la asignación de índices SIL mediante las gráficas de riesgo.
• Identificar las salvaguardas existentes en cada caso y proponer recomendaciones.
7. A decisión del centro, se nombrará a una persona que distribuya las acciones propuestas en el estu-
dio y que se encargue del seguimiento de que dichas acciones se han implementado. Si el estudio
se realiza con carácter interno, sin contratar a consultores externos, esta tarea recaerá sobre el
Coordinador o Facilitador del estudio.
DOCUMENTACIÓN
8. La documentación necesaria para preparar el estudio, así como para llevar a cabo el desarrollo del
mismo, sería, sin carácter exhaustivo, la siguiente:
• Diagramas de flujo del proceso (PFDs).
• Diagramas de tubería e instrumentos (P&IDs).
• Descripción del proceso y sus distintos modos de operación (parada, operación normal y puesta
en marcha).
• Descripción del sistema de enclavamientos.
• Matrices causa-efecto.
• Hojas de datos de seguridad de las sustancias involucradas.
• Balances de materia y energía.
• Plano de implantación.
• Información sobre accidentes previos.
• Gráficas de riesgo para la seguridad, el medio ambiente y riesgo financiero contenidas en la

presente guía.
• Matriz de riesgo del Grupo CEPSA para análisis LOPA.
Previamente al transcurso de las sesiones, sería conveniente entregar una copia de la documenta-
ción a todos los participantes, incluyendo los P&IDs marcados con los nodos objeto de estudio, defi-
nidos tal y como se indica en el apartado siguiente.
SEGURIDAD
METODOLOGÍA DE ANÁLISIS
DEFINICIÓN DE NODOS
9. Se debe subdividir el sistema objeto de estudio en nodos. Estos nodos engloban a uno o varios
equipos y sus líneas asociadas que tienen una misma intención de diseño y será labor del Facilita-
dor la definición de los mismos. Previamente al comienzo de las sesiones, el Facilitador elaborará
una lista con los mismos que deberá ser discutida y consensuada por los asistentes al inicio del es-
tudio y deberá comprobarse que todas las partes de la unidad o proceso están contempladas.
10. Las tablas de recopilación de datos, cuyo contenido será descrito en puntos posteriores, deberán
incluir una pequeña descripción del nodo objeto de estudio y los distintos equipos principales que
pertenecen al mismo. También deberán indicarse los P&IDs relacionados con dicho nodo, incluyen-
do el número de revisión de los mismos con la que se está realizando el estudio.
PALABRAS CLAVE
11. A cada uno de los nodos definidos habrá que aplicarles una serie de palabras clave o guía sistemá-
ticamente con el fin de estudiar todas las posibles desviaciones y sus causas. Se distinguen dos ti-
pos de palabras clave:
• Palabras Clave Primarias: enfocan la atención sobre un aspecto particular del objeto del diseño
o en una condición de proceso asociado o de un parámetro o flujo de material que cruza la ins-
talación objeto de estudio.
• Palabras Clave Secundarias: combinadas con una palabra clave primaria sugieren posibles
desviaciones.
Palabras clave primarias
12. Estos términos reflejan tanto el objeto del diseño del proceso como los aspectos operacionales pre-
sentes en la planta o instalación objeto de estudio. A continuación se enumera una lista de palabras,
la cual es puramente ilustrativa, dado que los términos empleados en una revisión dependen del tipo
de planta o proceso que se está estudiando. Señalar que las palabras más usadas suelen ser las
enumeradas en la primera columna.
Flujo Separación Transferencia
Presión Reacción Oclusión
Temperatura Mezcla Corrosión
Nivel Absorción Erosión
Composición Agitación Reducción
13. Adicionalmente a los términos anteriores, pueden existir otros términos operacionales de importan-
cia, como son los siguientes:
Puesta en marcha Electricidad Gas Inerte
Parada Vapor Repuestos
Mantenimiento Aire comprimido Radiación
Inspección Agua de Refrigeración Clasificación de áreas
Nitrógeno Contención
SEGURIDAD
Palabras clave secundarias
14. De la aplicación de las palabras clave secundarias en combinación con una palabra clave primaria,
surgen potenciales desviaciones o problemas operacionales. A continuación se enumeran las más
estandarizadas:
Palabra Significado Ejemplo

No se logra la condición de diseño o no se
No No Flujo; No Contención
realiza el paso u operación
Se produce un aumento cuantitativo en la con-
Más dición de diseño o se hace más de lo especifi- Más Presión
cado en el procedimiento
Se produce una disminución cuantitativa en la
Menos Temperatura;
Menos condición de diseño o se hace menos de lo
Menos Mantenimiento
especificado en el procedimiento
Se produce lo opuesto de la condición de di-
Inverso seño o se hace lo contrario a lo especificado Flujo Inverso
en el procedimiento
Se produce la actividad, pero no en el modo Otra Composición;
Otro
deseado Otra Inspección
Ocurre una actividad adicional a la establecida
Flujo También (indicando con-
en la condición de diseño o se hace más de lo
También taminación en una corriente de
especificado en el procedimiento en un sentido
producto)
cualitativo
15. Adicionalmente, se pueden establecer otras palabras relacionadas con el término temporal, usual-
mente para procesos discontinuos:
Palabra Significado Ejemplo

La acción se produce en un tiempo no ade-
Temprano / Tarde Procesos secuenciales
cuado a la condición de diseño
El paso o parte de él se efectúa fuera de se-
Antes / Después Procesos secuenciales
cuencia
El propósito de diseño se logra sólo en parte
Fluctuación Fluctuación Flujo
del tiempo
16. Señalar que no todas las combinaciones de palabras claves primarias y secundarias son apropia-
das, lo que deberá tenerse en cuenta en el desarrollo del estudio. Por ejemplo, No Temperatura (ce-
ro absoluto) carece de significado.
APLICACIÓN DE PALABRAS CLAVE

17. Se deberán aplicar sistemáticamente las combinaciones de palabras clave primarias y secundarias
a cada uno de los nodos, con el fin de conocer las desviaciones de los parámetros de diseño que
podrían provocar daños a los equipos, al medio ambiente o a las personas.
SEGURIDAD
18. Relacionado con el punto anterior, es necesario identificar claramente las causas y las consecuen-
cias en cada uno de los casos. Para ello, habría que enumerar cada causa, haciéndole correspon-
der con el mismo número a la/s consecuencia/s.
19. Todas las desviaciones que se traten en el desarrollo del estudio deberán quedar reflejadas en las
tablas de recopilación de datos, cuyo contenido se describirá en puntos posteriores, aún en el caso
de que no se hayan detectado causas previsibles de que se produzca dicha desviación. En estos
casos, deberá indicarse “Sin causas previsibles”.
20. En aquellos casos donde no exista un riesgo en la desviación estudiada, se deberá indicar en la
tabla de recopilación de datos “Sin consecuencias para la seguridad y el medio ambiente”.
DETERMINACIÓN DE LA REDUCCIÓN DEL RIESGO (RISK GAP)

21. El diagrama de flujo correspondiente a la aplicación de esta parte se encuentra en el anexo I del
presente procedimiento.
22. A aquellas desviaciones estudiadas que conduzcan a una/s consecuencia/s que tenga/n un riesgo
para los equipos, el medio ambiente o las personas, deberán aplicarse las gráficas de riesgo para la
seguridad (personal), para la protección del medio ambiente y para los riesgos financieros (propie-
dad, bienes, equipos y pérdida de producción).
23. La aplicación de las gráficas de riesgo es la siguiente:

• Selección de un parámetro de consecuencias.
• Selección de un parámetro de frecuencia de ocurrencia.
24. El equipo HAZOP/SIL deberá seleccionar los parámetros correspondientes en función a su conoci-
miento y experiencia. De la introducción de dichos parámetros en la gráfica, se obtendrá el valor de
la reducción del riesgo, que se identifica como risk gap (RG). En la tabla siguiente se presentan los
posibles resultados de la aplicación de las gráficas de riesgo:
Resultado de la gráfica
de riesgo (valor de RG) Significado Implicaciones
No son necesarias medidas de reducción de riesgo

-,a Reducción de riesgo NO necesaria
especiales.
1 Reducción de riesgo necesaria Posible implementación de una SIF SIL ≥ 1
Rediseñar la instalación.
Sistema no instrumentado.
4 Reducción de riesgo necesaria
Sistemas instrumentados múltiples e independien-
tes.
Rediseñar la instalación.
Sistema no instrumentado.
h Reducción de riesgo necesaria
Sistemas instrumentados múltiples e independien-
tes.
SEGURIDAD
GRÁFICA DE RIESGO PARA LA SEGURIDAD

25. La gráfica de riesgo para la seguridad de las personas se muestra a continuación. En el anexo II del
presente procedimiento se puede encontrar también junto al resto de gráficas.
26. En los puntos siguientes se describen los parámetros que aparecen en ella. En el anexo III del pre-
sente procedimiento se encuentra una serie de indicaciones que pueden servir de ayuda para la
elección de dichos parámetros.
Parámetro de consecuencias (C)
27. Este parámetro tiene en cuenta:

• La operación de un proceso.
• La peligrosidad, la cantidad y el estado de la sustancia fugada (en caso de roturas).
• La magnitud y la extensión del evento y la gravedad de las lesiones.
• Experiencia y conocimiento de los riesgos de proceso.
28. Los valores que puede tomar este parámetro, así como su descripción se encuentra en la tabla si-
guiente:
SEGURIDAD
Parámetro de
Descripción
consecuencias
Evento con potencial suficiente (por magnitud y extensión) para causar una
C1
lesión menor en una persona, sin poder resultar en una muerte.
Evento con potencial suficiente (por magnitud y extensión) para causar lesiones
C2
mayores permanentes a una o a varias personas, o una muerte.
Evento con potencial suficiente (por magnitud y extensión) para causar la
C3
muerte de varias personas (de 2 a 9 – la media geométrica es 3).
Evento con potencial suficiente (por magnitud y extensión) para causar la
C4
muerte de muchas personas (10 o más).
29. La selección del parámetro C deberá hacerse teniendo en cuenta la magnitud y la extensión del
evento, y prescindiendo del número de personas que pueden encontrarse en la unidad. Se trata de
analizar la potencial afectación en términos de extensión.
Parámetro de probabilidad de ocupación o de exposición (F)
30. Este parámetro tiene en cuenta:

• La presencia de personal en la zona.
• La posibilidad de que haya personal expuesto al peligro.
guiente:
Parámetro de
Descripción
ocupación
F1 Exposición en la zona peligrosa de rara a ocasional (parámetro por defecto).
F2 Exposición frecuente o permanente en la zona peligrosa.
Parámetro de probabilidad de evitar el peligro (P)

32. Este parámetro solamente aplica si se ha seleccionado el parámetro de consecuencias C2 y tiene
en cuenta:
• La velocidad con la que un evento peligroso se desarrolla (por ejemplo bruscamente / rápida-
mente / lentamente).
• La facilidad para detectar el peligro (por ejemplo visto inmediatamente / detectado por medidas
técnicas / determinado sin medidas técnicas).
• La posibilidad de evitar el daño (por ejemplo rutas de escape viables a mano / trajes de protec-
ción personal / protección mediante estructuras).
• Experiencia y conocimiento de los riesgos del proceso.
SEGURIDAD
guiente:
Parámetro de
probabilidad de Descripción
evitar el peligro
P1 Posible en ciertas situaciones (necesita justificación).
P2 Prácticamente imposible de evitar el peligro (parámetro por defecto).
Parámetro de frecuencia de los escenarios (W)
34. Para decir el valor del parámetro W, el equipo HAZOP/SIL deberá estimar la probabilidad de ocu-
rrencia del evento de manera cualitativa durante la vida de la planta sin tener en cuenta ninguna sal-
vaguarda tecnológica o humana ni para la prevención ni para la mitigación o protección (como por
ejemplo la supervisión por parte de operadores, acciones manuales como pulsadores de emergen-
cia, SIFs, PSVs, detectores, alarmas, etc.).
35. Solamente se considerará para el evento los controles normales del proceso (producción) y la su-
pervisión lógica por parte de los operarios en base a los procedimientos de operación y manteni-
miento, y a su entrenamiento (no confundir esta supervisión con la supervisión y respuesta a las
alarmas por parte de los operadores).
36. La estimación de la probabilidad abarcará:

• Eventos tan frecuentes como pequeñas fugas, como por ejemplo una fuga de sulfhídrico en una
unidad de hidrotratamiento de nafta o gasoil o en una unidad de aminas.
• Eventos que puedan ocurrir una vez durante la vida de la planta.
• Eventos no esperables durante la vida de la planta, como por ejemplo una explosión de una nu-
be inflamable (VCE).
guiente:
Parámetro de
Descripción
frecuencia
No se espera que el suceso ocurra durante la vida de las instalaciones
W1 -2
(Equivalente a W < 10 /año).
Se espera que el suceso ocurra durante la vida de las instalaciones (promedio
W2 de 30 años, aproximadamente la vida útil de la planta) (parámetro por defecto)
-2 -1
(Equivalente a 10 /año ≤ W < 10 /año).
Se espera que el suceso ocurra frecuentemente durante la vida de la planta
W3 -1
(Equivalente a 10 /año ≤ W < 1/año).
38. Si W>1/año hay que revisar el diseño para optimizarlo y reducir la frecuencia de ocurrencia.
SEGURIDAD
39. Este parámetro aparece en el resto de gráficas de riesgo (medio ambiente y financiero), por lo que
la descripción en dichos casos es la misma que la que se realiza en este apartado.
GRÁFICA DE RIESGO PARA LA PROTECCIÓN MEDIOAMBIENTAL
40. La gráfica de riesgo para la protección medioambiental se muestra a continuación. En el anexo II del
presente procedimiento se puede encontrar también junto al resto de gráficas.
Parámetro de consecuencias medioambientales (E)
42. Para evaluar las consecuencias medioambientales se deberá tener en cuenta:

• La peligrosidad potencial de evento indeseado a efectos de daños ambientales (no a personas o
bienes).
• El alcance de las consecuencias (dentro / fuera de la valla).
• La susceptibilidad de causar malestar en la comunidad local, regional, nacional o internacional.
• La sensibilidad del medio receptor.
SEGURIDAD
guiente:
Parámetro de
consecuencias Descripción
medioambientales
Incidente medioambiental (según el PR-189) que constituye una no conformidad
E1
(según el PR-092) y que no tiene consecuencias medioambientales.
Accidente medioambiental (según el PR-189) con consecuencias mínimas
E2
conocidas dentro del establecimiento que precisan de acciones remediadoras.
Accidente medioambiental (según el PR-189) con consecuencias mínimas
conocidas fuera del establecimiento que causa indignación en la comunidad
E3
local o en las Autoridades Competentes (riesgo de tener problemas en futuros
permisos).
Accidente medioambiental (según el PR-189) con efectos negativos conocidos
E4
fuera del establecimiento pero que se consideran reversibles en 2 años.
Accidente medioambiental (según el PR-189) con efectos negativos fuera del
E5 establecimiento a largo plazo. Este evento induce un cambio en el entorno y
resulta en cuestiones o acciones a nivel regional o nacional.
Accidente medioambiental (según el PR-189) con efectos catastróficos fuera del
E6
establecimiento.
GRÁFICA DE RIESGOS FINANCIEROS

44. La gráfica de riesgos financieros se muestra a continuación. En el anexo II del presente procedi-
miento se puede encontrar también junto al resto de gráficas.
SEGURIDAD
Parámetro de riesgos financieros (A)

46. Para evaluar los riesgos financieros se deberán tener en cuenta todas las pérdidas económicas
asociadas al escenario, sin tener en cuenta posibles seguros que cubran los daños:
• Costes de demolición.
• Costes de material e instalación del equipo.
• Costes de la interrupción de la producción.
guiente:
Parámetro de
consecuencias Descripción
financieras
5
A1 Interrupción menor del proceso y/o daños en equipos (10 € > pérdidas totales).
5 6
Interrupción del proceso y/o daños en equipos (10 € ≤ pérdidas totales < 10
A2
€).
6
Interrupción moderada del proceso o daños en equipos (10 € ≤ pérdidas totales
A3 7
< 10 €).
7
Interrupción grave del proceso o daños en equipos (10 € ≤ pérdidas totales <
A4 8
10 €).
8 9
A5 Daños severos en equipos esenciales (10 € ≤ pérdidas totales < 10 €).
9
A6 Pérdidas catastróficas (pérdidas totales ≥ 10 €).
IDENTIFICACIÓN DE SALVAGUARDAS Y/O CAPAS DE PROTECCIÓN
48. Una vez determinados los valores del risk gap para cada uno de los casos, es necesario identificar
las salvaguardas o capas de protección existentes. El valor del risk gap obtenido indica el número de
órdenes de magnitud que tienen que ser cubiertos para que el riesgo sea aceptable. Estos órdenes
de magnitud deben ser cubiertos por capas de protección independientes (IPLs).
49. Cuando se trate de instrumentos, alarmas, funciones instrumentadas de seguridad (SIF), válvulas
de seguridad, etc, que posean un tag determinado, éste deberá ser indicado en la columna corres-
pondiente a las salvaguardas.
50. Es necesario enumerar las salvaguardas existentes para cada una de las parejas causa-
consecuencia de igual forma que se indica en el punto 18.
CLASES DE CAPAS DE PROTECCIÓN
51. En general, se pueden distinguir las siguientes capas de protección:
SEGURIDAD
• Diseño del proceso – seguridad intrínseca.
• Control de procesos (BPCS) – sistema de monitorización.
• Supervisión – intervención humana (PCMS).
• Sistema instrumentado de protección (IPS) (incluye los sistemas instrumentados de seguridad,

SIS).
• Sistemas mecánicos para la mitigación (válvulas de seguridad, discos de ruptura, etc).
• Protección física (pasiva) después de la fuga (cubetos, muros contra explosión, ignifugado, etc).
• Instalaciones externas (activas) para la reducción del riesgo (ERRFs) (sistemas Fire&Gas, sis-
temas activos de protección contra incendios, sistemas de paro de emergencia, etc).
• Respuesta contra emergencias (dentro y fuera de la planta).
52. Para que una capa de protección pueda ser considerada como independiente (IPL), debe tener los
siguientes requisitos:
• Independencia: una IPL no puede verse afectada por ninguna de las causas del evento peligro-
so o por el fallo de otras IPLs.
• Funcionalidad: una IPL debe ser capaz de detectar, decidir, proteger y ser específica para un
escenario.
• Integridad: una IPL tiene que ser suficientemente grande (capacidad física), suficientemente rá-
pida (para actuar), suficientemente inteligente (bien diseñada) y suficientemente robusta.
• Fiabilidad: una IPL debe ser razonablemente fiable, es decir, ser capaz de reducir el riesgo de
un evento peligroso un factor 10 (equivalente a un crédito IPL).
• Auditabilidad: una IPL tiene que ser auditable.
• Control de accesos: garantizar que el acceso a la IPL está controlado para reducir o evitar posi-
bles cambios no intencionados o no autorizados.
• Gestión del cambio: garantizar que los cambios son revisados, documentados y aprobados an-
tes de su implementación.
53. En el anexo VI del presente procedimiento se encuentra una descripción de cada una de las capas
de protección enumeradas en el punto 51 y su relación con la asignación de créditos IPL mediante
las gráficas de riesgo.
54. Los factores de reducción de las IPLs y su relación con el SIL se encuentra en la tabla siguiente:
-1
Número de créditos PFDavg λ (h ) Factor de reducción de
IPL o nivel SIL (baja demanda) (alta demanda o continuo) riesgo (RRF)
-1 -2 -5 -6
1 10 > PFD ≥ 10 10 > PFD ≥ 10 10 < RRF ≤ 100
-2 -3 -6 -7
2 10 > PFD ≥ 10 10 > PFD ≥ 10 100 < RRF ≤ 1.000
-3 -4 -7 -8
3 10 > PFD ≥ 10 10 > PFD ≥ 10 1.000 < RRF ≤ 10.000
-4 -5 -8 -9
4 10 > PFD ≥ 10 10 > PFD ≥ 10 10.000 < RRF ≤ 100.000
SEGURIDAD
IDENTIFICACIÓN DE RECOMENDACIONES
55. En aquellos casos donde el valor del risk gap calculado no pueda ser cubierto por las capas de pro-
tección independientes existentes, deberán realizarse las recomendaciones pertinentes para su im-
plantación. El orden de preferencia a la hora de implementar una IPL es el siguiente:
• 1º) Solucionar el problema fuera del proceso (rediseño): es decir, intentar sustituir soluciones
que requieren sistemas instrumentados por otras que no los requieran.
• 2º) Protección mediante un sistema no instrumentado (válvula de seguridad, disco de ruptura,

cubeto, etc).
• 3º) Protección mediante un sistema instrumentado. Una función instrumentada de seguridad

(SIF) debería ser la solución a tener en cuenta cuando otras soluciones no sean factibles. Estas
SIF deben ser especificadas de manera que cumplan:
[Nivel SIL de la SIF] = [Risk Gap] – [SUMA de Créditos IPL]
56. Como norma general, son preferibles aquellas IPLs lo menos complejas posibles y con menor man-
tenimiento. Por otra parte, se prefieren IPLs preventivas sobre las de atenuación o mitigación.
57. Estas recomendaciones incluirían la verificación del valor de la reducción del riesgo asignado para
una determinada capa de protección, así como de los niveles SIL asociados a una determinada fun-
ción instrumentada de seguridad (SIF). Relacionado con esto, es necesario verificar si se puede in-
crementar la fiabilidad de las existentes, por ejemplo, mediante programas mejorados de manteni-
miento y prueba.
PRIORIZACIÓN Y SEGUIMIENTO DE RECOMENDACIONES

58. Una vez finalizado el estudio de todos y cada uno de los nodos, se deben enumerar y recopilar todas
las recomendaciones que han salido del estudio. Para hacerlo de forma esquemática, se reflejarán
en forma de tabla como la contenida en el anexo VIII del presente procedimiento, colocando en co-
lumnas el nodo donde se ha identificado la recomendación, la descripción de la misma, el respon-
sable designado y el plazo de ejecución. Se podrán añadir o eliminar aquellas columnas que se con-
sideren oportunas.
59. Con el fin de separar las acciones que están pendientes de verificar (por ejemplo, verificación del
nivel SIL de una SIF, verificación de la independencia de una capa de protección, etc), de las reco-
mendaciones que requieren la introducción de un elemento nuevo en la instalación (instalación de
un nuevo enclavamiento, etc), éstas deberán separarse en dos grupos o tablas diferentes como las
indicadas en el punto anterior.
60. Con el fin de acometer las recomendaciones, es necesario realizar una priorización de cada una de
ellas. Para ello es necesario distinguir entre recomendaciones que suponen una mejora del proceso
(por ejemplo, configuración de alguna alarma de presión o temperatura en el sistema de control) y
aquellas que serían obligatoriamente necesarias para poner en marcha la instalación o seguir con la
operación de manera que no afectaran a la seguridad de los equipos, personas o medio ambiente
(por ejemplo, instalación de un “trip” de emergencia que proteja a un equipo de posibles daños). Es-
to se hará teniendo en cuenta la magnitud del riesgo asociado a las consecuencias para las que se
ha definido esta recomendación.
SEGURIDAD
61. Teniendo en cuenta este último punto, se utilizarán los parámetros de consecuencias (C), de conse-
cuencias ambientales (E) y financieras (A) definidos en el presente procedimiento, de forma que las
que tuvieran asociado C1 o C2, E1 o E2, A1 o A2 serán acciones recomendadas; C3, E3 o E4, A3 o
A4 serán recomendaciones obligatorias y a realizar en un plazo definido y C4, E5 o E6, A5 o A6 se-
rán recomendaciones obligatorias y de implementación inmediata.
62. Es necesario nombrar a una persona que se encargue del seguimiento de las acciones, para llevar a
cabo el control de que se acometan en forma y plazo que se hubiera acordado en las sesiones o
posteriormente, fruto de un análisis más detallado de las mismas.
63. Cuando de la respuesta de una acción se deriven otras, o se modifique el diseño de forma que re-
quiera una ampliación del estudio realizado, esta persona será responsable de hacer llegar las nue-
vas acciones a sus responsables y de convocar, en su caso y si fuera necesario, las nuevas reunio-
nes para la ampliación del estudio.
CASOS ESPECIALES: ANÁLISIS LOPA Y ANÁLISIS CUANTITATIVOS DE RIESGO (ACR)
64. En aquellos casos en los que de la aplicación de las gráficas de riesgo se obtenga un valor de risk
gap (RG) mayor o igual a 2, según el diagrama de aplicación que se muestra en al anexo I del pre-
sente procedimiento, será necesario aplicar un análisis de capas de protección (LOPA), que implica-
rá la identificación positiva de IPLs y la cuantificación de la frecuencia de las consecuencias inde-
seadas mediante la elaboración de árboles de fallos y/o sucesos.
65. La frecuencia de las consecuencias indeseadas obtenida del estudio se comparará con los criterios
de aceptación del riesgo del Grupo CEPSA, que se encuentran en forma de matriz de riesgo, la cual
se encuentra en el anexo V del presente procedimiento. Esta comparación permitirá identificar si las
IPLs identificadas son suficientes o se requieren IPLs adicionales.
66. Cuando después de aplicar un estudio LOPA al escenario, se requiera la implantación de una SIF
con SIL ≤ 2, el nivel de detalle del análisis justifica que no son necesarios estudios más detallados, a
menos que el analista LOPA o el experto en seguridad responsable considere lo contrario,
67. Cuando los requerimientos de una SIF sean SIL ≥ 3, se debe realizar un análisis cuantitativo de ries-
go debido a que es necesario verificar que se requiere una SIF con ese nivel de SIL.
68. Cuando se obtengan valores de Risk gap de 4 o “h”, se requiere rediseñar el proceso debido a que
no se puede asignar un factor de reducción de riesgo de 4 órdenes de magnitud a un SIS. En este
caso, es preciso realizar un análisis cuantitativo de riesgo para la confirmación del RG.
69. La categoría de consecuencias más severa (C4, E6 o A6) requiere un análisis de consecuencias
detallado y cuantitativo, independientemente de la frecuencia del suceso.
70. En el anexo IV del presente procedimiento se encuentra una descripción de la metodología de análi-
sis LOPA. Estos estudios serán elaborados por el consultor externo contratado o por algún experto
de la organización de cada centro.
SEGURIDAD
RECOPILACIÓN DE DATOS DEL ESTUDIO

71. La recopilación de los datos se hará en una tabla como la que aparece en el anexo VII del presente
procedimiento. Principalmente, se recogerán los siguientes datos para cada nodo:
• Número de identificación del estudio.
• Número y fecha de la sesión.
• Unidad objeto de estudio.
• Breve descripción del nodo.
• P&IDs de referencia.
• Parámetro de estudio (corresponde a las palabras clave primarias: caudal, presión, temperatura,
etc.).
• Palabra: se indicará la palabra clave secundaria (más, menos, no, etc.).
• Desviación: se indicará la combinación de la palabra clave primaria y la secundaria.
• Causas: se indica la razón/es por la/s que se produciría la desviación. Pueden existir varias cau-
sas para una misma desviación. Se recomienda empezar con aquellas causas que pudieran re-
sultar en las peores consecuencias.
• Consecuencias: se identifican los resultados de la desviación, en caso de que ocurra. Pueden
llevar a problemas operativos, daños a los equipos, paradas de planta, pérdida de calidad del
producto o daños al medio ambiente, entre otros. Se pueden asociar varias consecuencias para
una misma causa y, por su parte, una consecuencia puede ser originada por varias causas.
• Gráficas de riesgo: se indican los parámetros correspondientes a las gráficas de riesgo que el
equipo HAZOP/SIL ha determinado y el valor del risk gap (RG) resultante.
• Salvaguardas: se indican los dispositivos de protección existentes que impidan que se materiali-
ce la causa o que permita mitigar la gravedad de las consecuencias, distinguiendo aquellas ca-
pas de protección existentes y sus créditos IPL o SIL correspondientes.
• Recomendaciones: se indican aquellas recomendaciones que surgen de la necesidad de com-
pletar el risk gap calculado o mejoras operativas consideradas por el equipo HAZOP/SIL.
• Acción por: se indica el responsable de aplicar o verificar las recomendaciones pertinentes (esta
columna puede ser eliminada si se considera oportuno).
72. Siempre que sea posible, sobre todo en estudios coordinados por terceros o muy extensos, se hará
uso de aplicaciones informáticas del tipo PHA (Process Hazard Analysis), como PHAWorks de Pri-
matech o similares, que disponen de formatos predefinidos de recopilación de datos que se deberán
adaptar a los puntos mencionados en el apartado anterior. Adicionalmente, se debería contar con la
ayuda de un proyector conectado al PC, con el fin de que todos los participantes pudieran seguir to-
dos los datos que se va recopilando a lo largo de las sesiones.
INFORME FINAL Y DIFUSIÓN

73. Una vez finalizado el estudio, se deberá realizar un informe donde se recopile toda la información
que se ha generado en el estudio, incluyendo los participantes en cada una de las sesiones y las fe-
chas en las que se han efectuado, las tablas del análisis de desviaciones de cada uno de los nodos,
las recomendaciones que han surgido en cada uno de ellos y los planos y el resto de documentación
utilizada.
SEGURIDAD
74. Este informe se distribuirá a los participantes, los cuales emitirán, si los hubiera, sus comentarios al
estudio. Se recomienda que esta revisión no se demore más de una semana desde la finalización
de las sesiones.
75. Una vez introducidos todos estos comentarios, se procederá a la emisión final del informe, distribu-
yendo de nuevo las copias pertinentes y archivándolo en el lugar que cada Centro considere oportu-
no.
GESTIÓN DEL PROCEDIMIENTO
76. La gestión de este procedimiento corresponde a la Unidad Corporativa de Protección Ambiental,

Seguridad y Calidad, que deberá, por tanto, interpretar las dudas que puedan surgir en su aplica-
ción, así como proceder a su revisión cuando sea necesario, para actualizar su contenido o porque
se cumplan los plazos máximos establecidos para ello.
DISTRIBUCIÓN Y PUBLICACIÓN
77. Por tratarse de un Procedimiento General, su distribución y publicación será la definida para la Nor-
mativa General en el “Procedimiento para la gestión de normativa en el Grupo CEPSA” (PR-148),
correspondiendo a la unidad de Organización la realización de la distribución, publicación y el control
final de la misma.
RELACIÓN CON OTROS INSTRUMENTOS DE PLANIFICACIÓN Y CONTROL (IPCs)
78. Este documento normativo está relacionado principalmente con la siguiente normativa del Grupo
CEPSA:
• NO-020: Norma Básica de Prevención de Riesgos Laborales e Industriales.
• PR-148: Procedimiento de Gestión de Normativa en el Grupo Cepsa
• PR-104: Procedimiento de Seguridad en la gestión de cambios.
• PR-189: Procedimiento de seguimiento de incidentes/accidentes medioambientales.
• PR-092: Procedimiento de Tratamiento de No Conformidades.
SEGURIDAD
ANEXO I
DIAGRAMA DE FLUJO DE APLICACIÓN DEL CÁLCULO DEL RISK GAP (RG)
SEGURIDAD
SEGURIDAD
ANEXO II
GRÁFICAS DE RIESGO
SEGURIDAD
SEGURIDAD
ANEXO III
EJEMPLOS PARA LA SELECCIÓN DE LOS PARÁMETROS DE LAS GRÁFICAS DE RIESGO
SEGURIDAD
Definición de W: tasa de demanda o frecuencia de ocurrencia
W1 - Estimación cualitativa: el suceso no es esperable en la vida de la planta. (Equivalente a 0 ≤ W

-2
< 10 /año) . Ejemplos y consideraciones:
- Rotura de un depósito presurizado.
- Rotura total de una línea de 4” o más, a menos que la línea pueda sufrir rotura frágil (por
ejemplo, material sin ensayo de Charpy y potencialmente expuesto a temperaturas bajas).
- Una VCE severa como resultado de un escape de más de 5 toneladas.
- Un incendio importante como resultado de un derrame masivo; por ejemplo, afectando a más de
una unidad dentro de la refinería.
- Rotura de una balsa de retención.
W2 - Estimación cualitativa: el suceso es esperable en la vida de la planta. Parámetro por defecto.
-2 -1
(media geométrica de 30 años ≅ esperanza de vida de la planta). (Equivalente a 10 /año ≤ W < 10
/año). Ejemplos y consideraciones:
- Una VCE local.
- Una explosión en una caldera.
- Un incendio en un horno; por ejemplo, un horno de cracking de etileno con daños en la sección
de convección. Nota: aplica especialmente a los FCC y demás unidades con procedimientos
complicados de decoking.
- Un incendio importante como resultado de un derrame significativo; por ejemplo, afectando a una
unidad dentro de la refinería.
-1
W3 - Estimación cualitativa: el suceso con frecuencia en la vida de la planta. (Equivalente a 10 /año
≤ W ≤ 1/año]. Ejemplos y consideraciones:
- Una explosión en un incinerador.
- Un ¨puff¨ en un horno.
- Pequeños incendios y/o explosiones dentro de una misma unidad (con daños muy limitados o sin
daños).
- Evaporización flash del agua en una unidad que no se ha secado.
Definición de C: parámetro de consecuencias para la seguridad
C1 - Evento con potencial suficiente (por magnitud y extensión) para causar una lesión menor en
una persona, sin poder resultar en una muerte. Ejemplos y consideraciones:
- Quemaduras de personal por falta de aislamiento en tuberías con fluidos entre 50 y 100˚C.
- Pequeñas fugas en bridas de tuberías con sustancias no tóxicas.
- Cortes con astillas y/o trozos de acero o herrumbre o con mallas de aislamiento.
- Descarga de electricidad estática debido a una mala conexión a tierra de un equipo con polímero.
- Durante la carga de azufre caliente en un camión ocurre un derrame y el líquido produce
quemaduras a un operador que no llevaba el traje de protección adecuado.
SEGURIDAD
C2 - Evento con potencial suficiente (por magnitud y extensión) para causar lesiones mayores
permanentes a una o a varias personas, o una muerte. Ejemplos y consideraciones:
- Explosión de un aditivo en polvo en una planta de polimerización debido a su reducida energía de
ignición (< 10 mJ).
- Quemaduras causadas a un operador durante el encendido de un quemador (o una caldera)
mediante una botella de propano (tiger torch).
- Caídas a distinto nivel.
- Operadores entrando en zonas con deficiencia de oxígeno. Estas zonas incluyen tanques viejos
oxidados, zonas inertizadas con nitrógeno, zonas creadas para pruebas no destructuvas cerca de
depósitos inertizados (por ejemplo tienda de plástico negra preparada para radiografiar una
brida).
- Pequeñas llamaradas o explosiones debido a fugas en bridas o a la apertura de válvulas.
- Pequeñas fugas tóxicas (por ejemplo una fuga repentina de un gas rico en SH2 a través de una
brida o de una válvula (estando el equipo de respiración autónomo a desmano).
- Corte de bridas o tuberías que no han sido vaciadas de material peligroso (por ejemplo rotura de
una línea de vaciado de un coker o en un sistema caliente de condensado).
C3 - Evento con potencial suficiente (por magnitud y extensión) para causar la muerte de varias
personas (de 2 a 9 – la media geométrica es 3). Ejemplos y consideraciones:
- A tener en cuenta que cuando los operadores trabajan por parejas o en equipo, existe la
tendencia de ayudar a los compañeros en caso de un accidente. Asfixia de un operador en un
depósito con SH2 a menudo lleva a la muerte de varios operadores si no están bien entrenados
en ponerse primero el equipo de protección.
- Fugas importantes de materiales inflamables, gases tóxicos, vapor, etc.
- Rotura de un equipo con elevada energía mecánica, (por ejemplo un compresor grande o una
turbina; una puesta en marcha fallida de una turbina atrajo a demasiado espectadores; un
sucesivo intento dañó la carcasa (frecuencia crítica) y chorros de gas a 100 bar afectaron a los
asistentes).
C4 - Evento con potencial suficiente (por magnitud y extensión) para causar la muerte de muchas
personas (10 o más). Ejemplos y consideraciones:
- Fugas masivas de sustancias inflamables o tóxicas. Entre otras razones, estas fugas pueden ser
el resultado de:
o Un orificio de 25 mm en una línea con líquido supercalentado (por ejemplo benceno a
250ºC y 30 bar, o GLP a temperatura atmosférica.
o Un orificio de 100 mm en un sistema de alta presión (> 10bar) de vapor o gas.
o Un iniciador como la rotura catastrófica de la una línea causada por una fractura brittle
debido a la auto-refrigeración en una evaporación flash o una expansión (GLP, etileno,
LNG o error humano).
o Explosiones o incendios masivos en almacenamientos (BLEVEs, boil-overs, roll-overs,
etc.).
o Infección por legionela proveniente de las torres de refrigeración.
o Fallo de la balsa de retención.
o Fallo de la antorcha.
SEGURIDAD
Definición de F: parámetro de probabilidad de ocupación o de exposición
F1 - Exposición en la zona peligrosa de rara a ocasional (parámetro por defecto). Ejemplos y

consideraciones:
- La mayoría de plantas en continuo tendrán exposición baja o poco frecuente. Esta será la
elección por defecto cuando el incidente evaluado ocurre durante la operación normal de planta o
cuando algo ocurre de repente (fallo aleatorio).
F2 - Exposición frecuente o permanente en la zona peligrosa. Ejemplos y consideraciones:

- Cuando la causa pueda deberse a tareas de mantenimiento. La mayoría de plantas en continuo
tendrán que resolver y reparar desperfectos, realizar pruebas y mantenimiento como respuesta a
las alarmas y a las paradas programadas. Esto supondrá que muchas personas estarán
expuestas al peligro.
- Cuando un suceso llamativo pueda atraer al personal a una zona no segura.
- El procedimiento correcto antes de realizar un trabajo peligroso es evacuar primero a la gente en
las cercanías (por ejemplo, puesta en marcha de un horno).
- Trabajos de mantenimiento o construcción en una zona cercana que se pudiera ver afectada. Por
ejemplo, parada de una unidad en una refinería mientras que las demás unidades siguen en
operación.
- Plantas batch o semi-batch que a menudo precisan de supervisión humana casi continua.
Definición de P: parámetro de probabilidad de evitar el peligro
Este parámetro solamente aplica a las consecuencias C2 y es el más subjetivo de todos en el

procedimiento de asignación de RG. La selección del parámetro P dependerá de si es posible que el
personal expuesto se dé cuenta o sea avisado del peligro, de si tendrá suficiente tiempo para evacuar la
zona, o de si puede mediante sus propios medios u otros prevenir las consecuencias en caso de fuga.
Este parámetro depende por tanto de la velocidad con que un suceso peligroso se desarrolla por ejemplo
bruscamente, rápidamente o lentamente (durante más de 40 minutos), la facilidad para reconocer el
peligro (por ejemplo visto inmediatamente o detectado por detectores, alarmas locales, panel, etc.), la
posibilidad de evitar el daño (por ejemplo rutas de escape accesibles y bien indicadas, escaleras
verticales o de caracol), y de la experiencia real en seguridad (por ejemplo que los operadores estén al
corriente de que pueda darse el incidente).
P1 - Evitar el peligro es posible en ciertas situaciones (sólo se podrá seleccionar si está

adecuadamente justificado). Ejemplos y consideraciones:
- La asfixia de un operario en un depósito con SH2 a menudo resulta en la muerte de varios
operarios.
- El personal de rescate necesita estar bien entrenado para ponerse el equipo de protección
rápidamente antes de actuar. El equipo tiene que estar disponible, y en caso de zona inertizada
con nitrógeno la gente tiene que venir de una zona segura.
- Cuando las condiciones del proceso son críticas, este hecho deberá de ser comunicado
instantáneamente y continuamente al personal.
- Pantallas metálicas de protección contra la radiación deberán estar disponibles para trabajos en
zonas aledañas a llamas y antorchas (por ejemplo en el depósito KO de la antorcha).
SEGURIDAD
P2 - Evitar el peligro es prácticamente imposible (parámetro por defecto). Ejemplos y

consideraciones:
- Elegir P1 en vez de P2 debido al uso de equipos de protección personal para evitar el daño no es
recomendable, a no ser que el personal ya lleve puesto este equipo. Generalmente, estos
equipos no están diseñados para garantizar un nivel de seguridad adecuado, aunque conllevan a
cierta reducción del daño.
Definición de E: parámetro de consecuencias para el medio ambiente
E1 - Incidente medioambiental (según el PR-189) que constituye una no conformidad (según el

PR-092) y que no tiene consecuencias medioambientales.
E2 - Accidente medioambiental (según el PR-189) con consecuencias mínimas conocidas dentro

del establecimiento que precisan de acciones remediadoras. Ejemplos y consideraciones:
- Se necesita uno o más camiones para la limpieza de la fuga/derrame.
- La magnitud de la fuga/derrame obliga por procedimiento a que la Dirección realice un informe
rutinario a las Autoridades Competentes (local, regional o nacional).
- Funcionamiento prolongado de la antorcha “sin vecinos”.
E3 - Accidente medioambiental (según el PR-189) con consecuencias mínimas conocidas fuera del
establecimiento que causa indignación en la comunidad local o en las Autoridades
Competentes (riesgo de tener problemas en futuros permisos). Ejemplos y consideraciones:
- Ruido, hedor, impacto visual y otras influencias en la calidad de vida de la comunidad.
- Funcionamiento prolongado de la antorcha “con vecinos”.
- Un accidente cuyos costes de remediación (por ejemplo, extracción y tratamiento de un volumen
7
de tierra) asciendan a 10 €.
E4 - Accidente medioambiental (según el PR-189) con efectos negativos conocidos fuera del
establecimiento pero que se consideran reversibles en 2 años. Ejemplos y consideraciones:
- Fuga de productos tóxicos con daños ecológicos en el medio acuático.
- Un accidente cuyos costes de remediación (por ejemplo, extracción y tratamiento de un volumen
8
de tierra) asciendan a 10 €.
- Indignación de la comunidad local y cuestiones o acciones a nivel regional.
E5 - Accidente medioambiental (según el PR-189) con efectos negativos fuera del establecimiento
a largo plazo. Este evento induce un cambio en el entorno, y resulta en cuestiones o acciones a
nivel regional o nacional. Ejemplos y consideraciones:
- Fuga de metales pesados en el ecosistema.
- Fuga de aromáticos o benceno (> 5 ton) en pantanos o marismas (considerar los grupos
ecologistas, cazadores, etc.)
SEGURIDAD
E6 - Accidente medioambiental (según el PR-189) con efectos catastróficos fuera del

establecimiento. Ejemplos y consideraciones:
- Exxon Valdez, Prestige, Amoco Cadiz, Seveso, Aznalcollar, etc.
Definición de A: parámetro de consecuencias para riesgos financieros
Para evaluar los riesgos financieros se deberán tener en cuenta todas las pérdidas económicas
asociadas al escenario, sin tener en cuenta posibles seguros que cubran los daños:
- Costes de demolición (para eliminar equipos dañados).
- Costes de materiales y equipos (suministro e instalación). Como aproximación se puede emplear
un coste igual a tres veces el precio de los equipos.
- Costes de la interrupción de la producción. Los costes derivados de la interrupción de la
producción no son debidos a la pérdida de la producción en sí, sino al valor del producto que no
se ha podido expedir. Por ejemplo, un incendio en una unidad de nafta causa que la producción
de gasolina se pare durante cinco días en una refinería; sin embargo, la expedición puede
continuar desde los tanques de almacenamiento donde existe stock para blending durante siete
días. En este caso los costes de la interrupción de la producción son 0 €.
Los costes de interrupción de la producción dependen altamente de la unidad considerada. Cuando no se

dispone de esta información, se asume que la pérdida de producción empieza después de cinco días
después de la parada.
Para poder determinar el parámetro de consecuencias sobre los bienes y la producción es necesario que
el equipo HAZOP/SIL cuente con personal con experiencia en estimación de costes ya que éstos
dependerán en gran medida del negocio (química, petroquímica, refino, almacenamiento, etc.), de la
unidad (alta presión, baja presión, reacción, recuperación, etc.) y del valor del producto en el mercado.
Por tanto no es posible ofrecer valores estándares para las consecuencias financieras.
5
A1 - Interrupción menor del proceso y/o daños en equipos: 10 € > pérdidas totales
5 6
A2 - Interrupción del proceso y/o daños en equipos: 10 € ≤ pérdidas totales < 10 €
6 7
A3 - Interrupción moderada del proceso o daños en equipos: 10 € ≤ pérdidas totales < 10 €
7 8
A4 -Interrupción grave del proceso o daños en equipos: 10 € ≤ pérdidas totales < 10 €
8 9
A5 - Daños severos en equipos esenciales: 10 € ≤ pérdidas totales < 10 €
9
A6 - Pérdidas catastróficas ≥ 10 €
Un RG para los riesgos financieros indica un riesgo inaceptable; no obstante, una solución de ingeniería
podría resultar más cara que el problema en sí (y por lo tanto, igualmente inaceptable). Si no existen
otras soluciones, debería ser considerado como un coste del negocio. Para justificar si una determinada
medida para reducir riesgos financieros está justificada económicamente se deberá de realizar un análi-
sis coste-beneficio.
SEGURIDAD
ANEXO IV
DESCRIPCIÓN DE LA METODOLOGÍA DE ANÁLISIS DE CAPAS DE PROTECCIÓN (LOPA)
SEGURIDAD
Introducción
LOPA (Análisis de Capas de Protección) es una herramienta semicuantitativa para analizar y determinar
riesgos de los escenarios de accidente; en concreto, los escenarios que en el análisis previo han sido
evaluados con un RG ≥ 2.
Los escenarios valorados con un RG ≥ 2 requieren un estudio más detallado a través de los árboles de
sucesos de LOPA, tal y como se explica en este anexo. El análisis LOPA es una valoración más rigurosa
del RG del escenario, con mayor profundidad y detalle que con las gráficas de riesgos. De este modo, se
puede valorar más claramente la necesidad de medidas de seguridad adicionales y sus requisitos. No
obstante, de igual manera que para los escenarios valorados con RG 1, las medidas identificadas deben
satisfacer los requisitos esenciales de las IPL.
Propósito de LOPA
La diferencia fundamental entre el análisis mediante las gráficas de riesgos y LOPA es únicamente el
grado de detalle. En el primer análisis, el equipo tenía que decidir cualitativamente los parámetros de
riesgo (consecuencias y probabilidad del evento), mientras que en LOPA el análisis es semicuantitativo,
realizándose para ello cálculos de frecuencia y probabilidad.
Otra diferencia importante entre LOPA y el análisis mediante las gráficas de riesgos, es que el análisis
LOPA se lleva a cabo por una o dos personas. El analista LOPA deberá partir de toda la información re-
cabada sobre el escenario durante el análisis SIL, parámetros de riesgo seleccionados por el equipo
HAZOP/SIL, medidas de reducción de riesgo presentes o propuestas, además de tener un buen conoci-
miento sobre el proceso en sí.
El analista de riesgo deberá considerar las IPLs propuestas por el equipo (y si es necesario recomendar
otras), cuantificar los factores de reducción de riesgo de cada una de las capas de protección que consi-
dere que satisfacen o pueden satisfacer los requisitos esenciales de las IPLs, y calcular la frecuencia del
evento indeseado, para ver si se cumplen los criterios de la compañía expresados de forma simplificada
en la matriz de riesgos del anexo V del presente procedimiento.
La característica práctica de LOPA (en comparación con los ACRs) es que LOPA simplificada la valora-
ción de los riesgos empleando órdenes de magnitud para las frecuencias del suceso iniciador, los facto-
res de reducción de riesgos de las IPLs (o créditos IPL) y la severidad de las consecuencias (que vendrán
determinadas por el equipo HAZOP/SIL).
Selección de escenarios para LOPA
Un escenario en LOPA consiste en una cadena causa – efecto, y en principio ésta debería haber sido
identificada durante el estudio SIL mediante las gráficas de riesgo.
Para poder visualizar completamente el escenario y todas las capas de protección o IPLs que pueden ser
consideradas, es necesario que el analista elabore previamente árboles de fallos y eventos. En la siguien-
te figura se muestran combinaciones de cuatro causas diferentes y 4 consecuencias diferentes (16 pares
causa - consecuencia) en el llamado modelo de pajarita.
SEGURIDAD
Cada combinación causa-consecuencia contiene eventos, IPLs y posibles modificadores condicionales.

El primer suceso en un escenario LOPA es el suceso iniciador (por ejemplo, sobrepresión, error del ope-
rador, nivel alto). El suceso final es la consecuencia final de toda la cadena de eventos. A veces se re-
quieren unas condiciones o unos sucesos condicionantes; por ejemplo, una campaña particular de la
producción que ocurrirá solamente durante un periodo de tiempo determinado, o una puesta en marcha.
Para prevenir que ocurra un escenario se requiere, como mínimo, una IPL, y para que se den los sucesos
finales, todas las IPLs deben fallar. Las consecuencias pueden depender de varias condiciones (expre-
sadas como modificadores condicionales), por ejemplo, la presencia de personal o la presencia de una
fuente de ignición después de que haya ocurrido una pérdida de contención (LOC) (por ejemplo, un es-
cape de material inflamable).
Para iniciar LOPA, hay que determinar la frecuencia de ocurrencia del iniciador (1/año). Los sucesos con-
dicionantes y los modificadores condicionales se cuantificarán probabilísticamente dependiendo de su
naturaleza. Por su parte, se le asignará una probabilidad de fallo en demanda (PFD) a cada IPL, tal y
como se ha comentado.
Análogamente a las consideraciones para la selección de escenarios para las gráficas de riesgos, el ana-
lista LOPA deberá considerar:
- la causa más general inmediatamente anterior al accidente (como por ejemplo, fallo de suminis-
tro eléctrico en vez de fallo de un fusible del transformador).
- todas las consecuencias que impliquen impacto sobre el personal, el medioambiente o sobre los
bienes y producción.
SEGURIDAD
Sucesos iniciadores y sucesos condicionantes
El análisis del árbol de sucesos LOPA requerirá información adicional a la obtenida durante el paso de
identificación de IPL y asignación de RG.
Dependiendo de la cantidad de información disponible para un determinado escenario se determinará

cual debe considerarse el punto de partida o suceso iniciador de una cadena causa-consecuencia.
Para la aplicación de la metodología LOPA se puede tomar como suceso iniciador el primer suceso que
permita la determinación de la frecuencia, moviéndose hacia atrás en el árbol de sucesos, desde la con-
secuencia hacia el suceso iniciador. No obstante, la identificación de los sucesos subyacentes puede ser
útil para determinar otros escenarios.
Por ejemplo, “fallo de refrigeración” puede ser el resultado de un fallo de la bomba, un corte del suminis-
tro de energía o un fallo en el lazo de control. Si puede determinarse directamente la probabilidad del
evento “fallo de refrigeración” no es necesario cuantificar los sucesos subyacentes.
Cálculos de frecuencia y probabilidad
La determinación de la frecuencia de los sucesos iniciadores y de los créditos de las IPLs se puede basar
en datos de la industria recogidas en publicaciones como Centre for Chemical Process Safety (CCPS),
Purple Book, OREDA, AMINAL, SINTEF y en la experiencia del Grupo, o en datos de los fabricantes.
Tal y como se ha explicado anteriormente, la misión de las IPLs es proteger de un escenario. Sin embar-
go, en algunos casos, una IPL puede ser precisamente la causa del escenario. Por ello, los datos de fre-
cuencias de fallo de estas IPLs se emplearán en estos casos como frecuencias del iniciador.
Normalmente, las probabilidades de los sucesos condicionantes y de los modificadores condicionales,

dependen de cada proceso, y por lo tanto, son tratadas caso por caso. Para algunos sucesos (por ejem-
plo probabilidad de ignición) puede encontrarse una guía en las fuentes antes mencionadas.
Para cada escenario se debe calcular el número de ocurrencias por año (la frecuencia del escenario fs).
El punto de partida es la frecuencia (fie) del suceso iniciador (por ejemplo fallo de refrigeración, adición
del producto químico equivocado, cierre involuntario de una válvula,...) que se multiplica por la probabili-
dad de los sucesos condicionantes (pee) que sean relevantes (por ejemplo probabilidad de que el proceso
se encuentre a una determinada temperatura) y multiplicados por las PFD de las n IPL (pIPLn) instaladas.
Si además, existen modificadores condicionales (por ejemplo la presencia de una fuente de ignición)
deben tenerse en cuenta las probabilidades (pcm) de estos sucesos también. Por lo tanto:
fs = fie × pee × pIPL1 × ... × pIPLn × pcm
Evaluación de las consecuencias
Las consecuencias del escenario pueden ser muy diversas en tipo y severidad. Las consecuencias de un
escenario se determinan por las características (tóxico, inflamable), cantidad y condiciones (temperatura,
presión) del material emitido, etc. Estos efectos pueden causar a su vez ‘efectos dominó’.
En general, se pueden distinguir los siguientes efectos físicos como resultado de una pérdida de conten-
ción (LOC):
SEGURIDAD
- Dardo de fuego (jet fire), incendio de charco (pool fire), bola de fuego (fire ball).
- Llamarada (flash fire) o explosiones de nubes de vapor (VCE).
- Explosiones de polvo.
- Nubes tóxicas.
- BLEVEs.
- Proyección de fragmentos.
En teoría, el analista LOPA dispondrá de la valoración de las consecuencias realizada por el equipo
HAZOP/SIL, aunque si éste lo cree conveniente, podrá realizar cálculos de efectos y consecuencias (cau-
dal de fuga, evaporación, dispersión, sobrepresión, etc.), fundamentalmente para confirmar que las con-
secuencias establecidas por el equipo son correctas.
Sin embargo, esto no es lo normal debido a que en LOPA las consecuencias se valoran generalmente
usando clases de consecuencias tal y como se hace con las gráficas de riesgo (C, E y A).
Criterios de aceptabilidad (matriz de riesgos)
Una vez se han analizado la frecuencia y la consecuencia del escenario en cuestión, el analista de LOPA
deberá determinar si el riesgo del escenario con capas de protección (IPLs) cumple con los criterios del
Grupo CEPSA, o es necesario mejorar la fiabilidad de las IPLs existentes, o bien implementar IPLs adi-
cionales.
Para facilitar el uso de los criterios de la compañía por terceros, éstos se han convertido en una matriz de
riesgos (ver anexo V del presente procedimiento).
Los escenarios cuya frecuencia sea inferior que la frecuencia objetivo (zona verde), cumplen con los cri-
terios del Grupo CEPSA, y por lo tanto, para estos escenarios no son necesarias medidas adicionales.
Los escenarios cuya frecuencia sea superior que la frecuencia objetivo (zona roja), no cumplen con los
criterios del Grupo CEPSA, y por lo tanto, para estos escenarios será necesario mejorar la fiabilidad de
las IPLs o implementar IPLs adicionales.
También es posible hacer que un escenario sea aceptable reduciendo la frecuencia del suceso iniciador o
reduciendo la probabilidad de los condicionantes o de los modificadores condicionales.
Ejemplos de frecuencias típicas de sucesos iniciadores
Frecuencia (1/año)
Descripción
Máx. Min. Típica
Fallo de un depósito a presión 10-5 10-7 10-6
Fallo de tubería – 100 m – rotura total 10-5 10-6 10-5
Fuga en tubería – 100 m – 10 % sección 10-3 10-4 10-3
Rotura de junta/relleno 10-2 10-6 10-2
Caída de rayo 10-3 10-4 10-3
Fallo de agua de refrigeración 1 10-2 10-1
Fallo en sello de bomba 10-1 10-2 10-1
Fallo en manguera de carga/descarga 1 10-2 10-1
SEGURIDAD
Ejemplos de probabilidades de fallo en demanda (PFD) de IPLs pasivas y sus correspondientes

factores de reducción de riesgo (RRF)
IPL Comentarios PFD RRF

Venteo abierto (sin válvula) Previene una sobrepresión. 10-2 100
Si se diseña, instala y mantiene
Supresor de adecuadamente eliminará el retroceso
llama/detonación potencial de la llama por una tubería hacia el 10-2 100
interior de un tanque o depósito.
Dos válvulas antirretorno en serie. Previene el
Doble válvula antirretorno
flujo inverso (líquidos). 10-1 - 10-2 100
Válvula antirretorno simple
en servicio de líquido Previene el flujo inverso (líquidos). 10-1 - 10-2 10
limpio
Válvula antirretorno simple
Previene el flujo inverso (gases). - 1
en servicio de gas
Doble válvula antirretorno Dos válvulas antirretorno en serie. Previene el
en servicio de gas-líquido flujo inverso (gases). 10-1 - 10-2 10
Ejemplos de probabilidades de fallo en demanda (PFD) de IPLs activas y sus correspondientes

factores de reducción de riesgo (RRF)
IPL Comentarios PFD RRF

Disco de ruptura En serie antes de una PSV. Servicio limpio. - 100
Disco de ruptura En serie antes de una PSV. Servicio sucio. - 10
Si se diseña, instala y mantiene adecuadamente
previene una sobrepresión. La PFD se refiere a no
abrirse en demanda (100 % de la sección). Servicio 10-2 100
Válvula de alivio de limpio.
presión (PSV o PRV) Si se diseña, instala y mantiene adecuadamente
previene una sobrepresión. La PFD se refiere a no
abrirse en demanda (100 % de la sección). Servicio 10-1 10
sucio.
Si se diseña, instala y mantiene adecuadamente 2 x 10-2 –
Múltiples PSVs 10
previene una sobrepresión. (2 x 50%) (4 x 25%) 4 x 10-1
BPCS Es IPL si es independiente del suceso iniciador 10-1 - 10-2 10
Sistema de control
específico de ciertos Compresores, hornos, calderas, etc. 10-1 - 10-2 10
equipos
SEGURIDAD
Ejemplos de probabilidades de fallo en respuesta de operadores (ANSI/ISA TR84.00.04-2005)
IPL Comentarios PFD

Respuesta del operador La acción por parte del operador es simple, está bien -1
> 1 × 10
ante las indicaciones documentada y con indicación clara y fiable de que tiene
(limitado por ISA
del BPCS o alarma de que realizar la acción. El operador no tiene que hacer
84.00.01-2004)
10 minutos o más troubleshooting o diagnóstico para ejecutar la acción.
La acción por parte del operador es simple, está bien
Respuesta del operador -1
documentada y con indicación clara y fiable de que tiene > 1 × 10
ante las indicaciones
que realizar la acción. Se permite un mínimo (limitado por ISA
del BPCS o alarma de
troubleshooting o diagnóstico antes de ejecutar la 84.00.01-2004)
40 minutos o más
acción.
Respuesta del operador La acción por parte del operador es simple, está bien -1
1 × 10
ante las indicaciones documentada y con indicación clara y fiable de que tiene
(limitado por ISA
del SIS o alarma de 10 que realizar la acción. El operador no tiene que hacer
84.00.01-2004)
minutos o más troubleshooting o diagnóstico para ejecutar la acción.
-1
La acción por parte del operador es simple, está bien 1 × 10 –
Respuesta del operador -2
documentada y con indicación clara y fiable de que tiene 1 × 10
ante las indicaciones
que realizar la acción. Se permite un mínimo (limitado por la
del SIS o alarma de 40
troubleshooting o diagnóstico antes de ejecutar la respuesta del
minutos o más
acción. operador)
Se asume documentación adecuada, formación y simulacros (para el operador) y procedimientos de
prueba (para los equipos).
Ejemplos de probabilidades de fallo de respuesta de operadores (PFD) empleadas por la industria
PFD
Complejidad / Nivel de Muy Simple y Rutinaria aunque Complicada y no
estrés simple rutinaria requiere cuidado rutinaria
Sin estrés 10-4 10-3 10-2 10-1
Estrés moderado 10-3 10-2 5 × 10-2 3 × 10-1
Mucho estrés 10-2 10-1 - 1 2,5 x 10-1 - 1 1
Probabilidad de ignición directa para equipos fijos
Fuga Sustancia
Gases (baja Gases
Contínua Instantánea Líquidos reactividad) (media/alta
reactividad)
< 10 kg/s < 1000 kg 0,065 0,02 0,2
10 - 100 kg/s 1000 - 10000 kg 0,065 0,04 0,5
> 100 kg/s > 10000 kg 0,065 0,09 0,7
SEGURIDAD
Probabilidad de ignición directa para vehículos
Fuga
Vehículo
Continua Instantánea
Camión 0,1 0,4
cisterna
Vagón 0,1 0,8
cisterna
Probabilidad de explosión de nubes no confinadas en plantas
Evento Probabilidad
Flash fire sin efectos mecánicos 0,6
(UCVE)
Flash fire con efectos mecánicos 0,4
(VCE)
SEGURIDAD
ANEXO V
MATRIZ DE RIESGOS PARA SU USO EN EL ANÁLISIS LOPA
SEGURIDAD
Clases de consecuencias
1 2 3 4 5 6
Seguridad Parámetro C1 C2 C3
(personal de CEPSA y contratistas) Número de muertes 0 1 2–9
Medio ambiente Parámetro E1 E2 E3 E4 E5 E6
Financiero Parámetro A1 A2 A3 A4 A5 A6
5 6 7 8
Coste relacionado ≤ 10 - 10 - 10 - 10 - 9
5 6 7 8 9 ≥10
(€) 10 10 10 10 10
>1
-1
1 - 10
-1 -2
10 - 10
-2 -3
10 - 10
Frecuencia [1/año] -3 -4
10 - 10
-4 -5
10 - 10
-5 -6
10 - 10
-6 -7
10 - 10
Riesgos intolerables
Riesgos tolerables
Frecuencia máxima objetivo
SEGURIDAD
ANEXO VI
DESCRIPCIÓN DE CAPAS DE PROTECCIÓN INDEPENDIENTES
SEGURIDAD
En general, en un proceso industrial se pueden distinguir las siguientes IPLs:
- Diseño del proceso – Seguridad intrínseca.
- Control de procesos (BPCS) – Sistema de monitorización.
- Supervisión – Intervención humana (PCMS).
- Sistema Instrumentado de Protección IPS (incluye los SIS).
- Sistemas mecánicos para la mitigación.
- Protección física (pasiva) después de la fuga.
- Instalaciones externas (activas) para la reducción del riesgo (ERRFs).
- Respuesta contra emergencias (dentro y fuera de la planta).
Diseño del proceso – Seguridad intrínseca
El diseño físico de un sistema y los procesos físico-químicos que en él se producen son el origen de los
riesgos del sistema. El diseño constituye una barrera de protección fundamental que se toma en conside-
ración al valorar los parámetros de las gráficas de riesgos (frecuencia y consecuencias). Sin embargo,
esta capa no se considera una capa de protección independiente (IPL) durante el proceso de cierre del
RG con IPLs y por tanto no se da crédito debido a que la seguridad intrínseca constituye un principio de
actuación que debe aplicar en el diseño de un proceso y que va íntimamente ligada al proceso mismo. No
obstante, la seguridad intrínseca debe considerarse siempre que sea posible (y rentable) debido a que
puede reducir o eliminar el riesgo de proceso.
Durante el diseño de los procesos se examinan los valores mínimos y máximos de las variables de pro-
ceso para determinar si el equipo puede diseñarse de manera que resista los posibles valores extremos.
Cada variable de proceso que se asegura con un buen diseño es una variable menos que contribuye a la
aparición de un peligro.
El diseño intrínsecamente seguro implica el uso de cuatro principios cruciales:

- Minimizar: usar pequeñas cantidades de material peligroso;
- Sustituir: cambiar un material por otro que no sea tan peligroso;
- Moderar: usar condiciones más seguras (temperatura, presión), una forma menos peligrosa del
material o instalaciones que minimicen el impacto de la emisión de energía o de material peligro-
so;
- Simplificar: diseñar instalaciones para que reduzcan los errores operativos y tengan mayor tole-
rancia a las desviaciones del proceso.
Un diseño intrínsecamente más seguro es más rentable cuando se aplica en fases tempranas del diseño.
Cualquier reducción de riesgo requerida posterior (RG), por ejemplo durante las fases de detalle del pro-
yecto, normalmente necesita la utilización de capas de protección (seguridad funcional) en lugar de he-
rramientas de diseño intrínsecamente seguro (seguridad inherente). Un cambio en el diseño es más difícil
y caro cuanto más avanzada está su implementación.
Control de procesos (BPCS) – Sistema de monitorización
La capa del Sistema de Control de Procesos (BPCS) incluye el lazo funcional completo: detectores,
BPCS y elementos finales.
SEGURIDAD
Aunque la función primaria del BPCS es monitorizar y controlar el proceso en continuo, también puede
usarse para implementar funciones de protección, tales como:
- Realizar acciones que devuelvan el proceso al rango normal de las variables de operación;
- Realizar acciones que paren el proceso llevando el sistema a un estado seguro (por ejemplo, du-
plicando los sistemas instrumentados de protección en el sistema de control).
Otra función del BPCS es proporcionar información (por ejemplo alarmas) al operador, el cual es el res-
ponsable de realizar una acción correctamente. Esta función se debe considerar como parte de la capa
de intervención humana.
La capa de protección del BPCS (también llamada capa de monitorización o PCMS) actúa como parte del
diseño operativo cuando una o más variables de proceso abandonan el rango normal de operación y
entrar en el rango de desviación admisible. En esas condiciones no es necesario parar el proceso (por
razones de seguridad), aunque sí requieren que se tome una acción para devolver el proceso al rango
normal de operación.
Dado que las funciones del BPCS trabajan en continuo (alta demanda), éstas están sujetas a chequeos
continuos por parte del personal responsable. Por lo tanto, los posibles defectos o fallos se detectan (a
-
menudo) inmediatamente. Sin embargo, el estándar IEC 61511 no acepta tasas de fallos inferiores a 10
5
/h para sistemas instrumentados que no se diseñen y gestionen como SIS. En otras palabras, el máximo
factor de reducción de riesgo otorgable a sistemas instrumentados no-SIS es aproximadamente 10.
Para mejorar la fiabilidad, es necesario reducir los errores sistemáticos. El estándar IEC 61511 lo hace
mediante varias actividades de control de calidad, tales como verificación, validación y evaluación de la
seguridad funcional, así como requiriendo procedimientos de seguridad de acceso y gestión de cambios,
aunque esto no se hace generalmente con el BPCS.
Consecuentemente, no se le podrá otorgar más de 1 crédito IPL a la capa de protección del BPCS, siem-
pre y cuando se cumplan los requisitos esenciales de IPLs y en particular en lo referente a la indepen-
dencia respecto del suceso iniciador y respecto a otras capas de protección que prevengan o mitiguen el
mismo peligro.
Supervisión – Intervención humana (PCMS)
La supervisión por parte de los operadores y la respuesta a alarmas relacionadas con la seguridad para
prevenir incidentes constituye una capa de protección. De hecho, la capa de “intervención humana” es un
lazo funcional completo que típicamente está formado por: elementos sensores, el BPCS que da la alar-
ma, la respuesta e intervención por parte del operador y los elementos finales.
Cuando la información (alarma) o acción (respuesta) dependen del correcto funcionamiento del BPCS, se
deberán considerar las observaciones hechas en el punto anterior sobre la función protectora del BPCS.
La intervención humana en respuesta a alarmas también tiene ciertas limitaciones debido a que existe el
potencial error del operador o del procedimiento, especialmente en situaciones de estrés. La probabilidad
de una respuesta correcta por parte de un operador ante una alarma depende de varios factores, entre
ellos:
SEGURIDAD
- La manera de priorizar las alarmas en el BPCS (por ejemplo, si el operador recibe una batería de
alarmas simultáneamente, éste no será capaz de procesar toda la información). Por tanto, las
alarmas que requieran la intervención humana deberán de priorizarse y distinguirse claramente
de las que no requieren de una acción inmediata. También es posible que el operador detecte la
desviación del rango normal de operación desde campo en los chequeos que realiza durante sus
rondas periódicas. En este caso, el tiempo de seguridad del proceso deberá ser al menos el do-
ble del tiempo entre los chequeos por parte de los operadores.
- El tiempo disponible para ejecutar la acción requerida, o tiempo de seguridad del proceso, está
limitado por la dinámica del proceso. Este tiempo corresponde con el tiempo que hay entre la
demanda (por ejemplo, la variable del proceso se desvía hacia la zona de operación inaceptable)
y el momento en que el proceso entra en situación peligrosa, si nada se hace para prevenirlo. Es-
te tiempo se deberá comparar con el tiempo que necesitan los operadores para realizar la acción
requerida, que incluye: el tiempo para procesar mentalmente las alarmas, intentar solucionar el
problema (troubleshooting), decidir qué acción es la correcta, ejecutar la acción y asegurarse de
que la acción se lleva a cabo de manera efectiva.
- La complejidad del troubleshooting y la dificultad para determinar cuál es la acción requerida. Las
acciones que deberá ejecutar el operador deberán estar adecuadamente documentadas en pro-
cedimientos escritos que subrayen las acciones importantes y que expliquen las consecuencias
de estas desviaciones. Para incrementar la capacidad del operador de realizar las acciones co-
rrectamente, las instrucciones deberán ser claras y directas, con comunicación continua (feed-
back) con el proceso para verificar que las acciones se están realizando correctamente. Los ope-
radores deberán de formarse para que estén perfectamente familiarizados con estos procedi-
mientos.
- El estrés al que estén sometidos los operadores.
Como conclusión para el uso durante la etapa de asignación de RG con las gráficas de riesgo, las alar-
mas de proceso y la intervención por parte del operador pueden considerarse como una función de pro-
tección independiente, y como tal se le podrá otorgar 1 crédito IPL si satisface los siguientes aspectos:
- El subsistema de la alarma (es decir, los detectores de campo, los módulos I/O, el procesador
principal, etc.) es independiente del suceso iniciador y de otras capas de protección (preventivas
o de mitigación) del mismo peligro.
- El tiempo de seguridad del proceso se considera suficientemente grande (por ejemplo, del orden
de 45 minutos dependiendo de la operación).
- La acción por parte del operador es simple, está bien documentada y las indicaciones de que tie-
ne que realizar una acción son claras y fiables. Se permite un mínimo troubleshooting o diagnós-
tico antes de ejecutar la acción.
Sistemas Instrumentados de Protección (IPS)
La capa de los Sistemas Instrumentados de Protección (IPS) incluye a los Sistemas Instrumentados de
Seguridad (SIS), y por tanto nos referiremos a los SIS para designar a los IPS. El SIS está formada por
las diferentes Funciones Instrumentadas de Seguridad o SIFs.
Una SIF incluye detectores, procesadores lógicos y elementos finales, que deberán ser diseñados, im-
plementados y gestionados de acuerdo con los estándares IEC 61508 y IEC 61511. Los SIS deben dise-
ñarse para ser independientes de la capa de control (por ejemplo, el BPCS y el PCMS), para asegurar los
siguientes puntos:
SEGURIDAD
- El acceso a los SIS es mínimo para evitar cambios involuntarios y ajustes erróneos;
- El acceso a capas de control se proporciona sin comprometer la seguridad;
- El equipo usado para implementar el SIS está aprobado para la aplicación;
- Se han minimizado los fallos más comunes entre el SIS y las capas de control y monitorización.
Las SIFs (preventivas) se implementan para llevar el proceso a estado seguro cuando ocurre una de-
manda, es decir cuando una o más variables de proceso amenazan con abandonar el rango normal de
operación y entrar en el rango no admisible, aunque mucho antes de que esto se produzca.
Las SIFs tomarán el mando siempre por encima de las funciones del BPCS. Al contrario de lo que suce-
de con las funciones del BPCS, las funciones del SIS deben actuar solamente de forma esporádica (es
decir, normalmente son sistemas de baja demanda). Esto es debido en primer lugar a la baja probabili-
dad de ocurrencia de un suceso peligroso y en segundo lugar, debido al hecho de que frecuentemente
existen capas de protección previas como por ejemplo la capa del BPCS y la capa de intervención huma-
na.
Cuando se analizan las capas de protección para prevenir un escenario accidental, la SIF objeto del es-
tudio no debe tenerse en cuenta (ni asignársele créditos IPL) debido a que es precisamente la SIF la que
tendrá que cerrar el RG mediante la asignación de un nivel SIL, siempre y cuando no se puedan imple-
mentar otras capas de protección independientes.
En algunos casos, es posible que dos SIFs estén protegiendo la misma situación peligrosa aunque no
exactamente por el mismo iniciador. En este caso es importante evaluar la independencia de las dos
SIFs y considerar posibles fallos comunes.
Adicionalmente, es importante prestar atención a la asignación final de los SIL de estas SIFs debido a
que éstos dependerán de los niveles SIL de las dos. En la práctica, esto se puede solucionar asignándole
a una SIF los créditos IPL equivalentes al SIL que tentativamente se le dará posteriormente para poder
determinar el SIL de la otra SIF y cerrar el RG. Cuando se analice la otra SIF, se hará lo mismo pero al
revés considerando la primera como una IPL.
A efectos de alcanzar un SIL mayor, será posible implementar dos SIFs independientes de SIL menor,
aunque se deberá tener cuidado con los fallos por causa común.
Sistemas mecánicos para la mitigación
Los sistemas mecánicos de mitigación incluyen dispositivos que, bajo condiciones anormales específicas
(por ejemplo, presión igual o mayor al punto de consigna de una PSV), ejecutan una acción de mitigación
específica (por ejemplo, se abre la válvula de presión). Estos sistemas incluyen PSVs, discos de ruptura,
válvulas de ventosa (rotura de vacío), puertas a prueba de explosión, supresores de llama y válvulas de
exceso de flujo (mecánicas). El diseño de los sistemas de mitigación se realiza de acuerdo a estándares
y guías de organizaciones como NFPA, API y ASME. También se pueden realizar de acuerdo a las regu-
laciones de la jurisdicción local y requisitos de las aseguradoras.
En general, un dispositivo de mitigación debe cumplir los siguientes requisitos para considerarse una
función protectora independiente (IPL):
- Estar diseñado específicamente para mitigar el escenario de peligro identificado.
SEGURIDAD
Ejemplos y consideraciones:
- Las PSVs deberán ventear material a una antorcha dimensionada adecuadamente. La cantidad
emitida asimismo deberá ser despreciable para la población vecina.
- Las PSVs o los discos de ruptura que venteen directamente a la atmósfera no deberán emitir ma-
teriales inflamables o tóxicos que pongan en peligro la vida o la salud de las personas, el medio
ambiente o los bienes materiales y la producción.
- Las puertas a prueba de explosión ayudan a reducir la sobrepresión en caso de una explosión y
por tanto, a minimizar el colapso de estructuras. Sin embargo, estas puertas no prevendrán la
explosión en sí, ni que se produzcan daños. Por tanto, parece obvio que no se le otorguen crédi-
tos IPL a este tipo de protección.
- Las válvulas de exceso de flujo (mecánicas) se instalan comúnmente en la línea de fondo de las
esferas de GLP para bloquear la línea, y así aislar la esfera, en caso de fugas aguas abajo. Estas
válvulas normalmente actúan cerrando en caso de caudales muy altos (incluso muy superiores al
máximo caudal nominal). La válvula tardará un cierto tiempo en cerrar, tiempo durante el cual fu-
gará GLP; adicionalmente para pequeñas fugas aguas abajo la pérdida de presión y aumento de
caudal no será suficiente como para alcanzar el punto de consigna y cerrar las válvulas. Por tan-
to, parece obvio que no se le otorguen créditos IPL a este tipo de protección.
- Estar diseñado, instalado y con un mantenimiento que minimicen problemas potenciales de tapo-
namiento, (por ejemplo, discos de ruptura en serie con PSVs). Se deberá garantizar el correcto
funcionamiento del dispositivo durante todo el periodo entre inspecciones, por ejemplo indicando
en los informes de las inspecciones periódicas que el dispositivo está limpio de deposiciones o
que no está deteriorado.
Protección física (pasiva) después de la fuga
Las barreras físicas sirven para mitigar pasivamente el riesgo con su presencia. Algunos ejemplos pue-
den ser: cubetos, muros contra explosión, búnkeres y el ignifugado de estructuras o equipos. En general,
cuando se diseña, construye, inspecciona y se mantiene la barrera de acuerdo con buenas prácticas de
ingeniería, hay una probabilidad elevada de que funcione como es debido cuando se necesite. Las barre-
ras se deben inspeccionar con suficiente frecuencia para asegurar su integridad y sus premisas de dise-
ño deben ser auditadas periódicamente para verificar si están en el sitio adecuado o la instalación ha
cambiado (por ejemplo, los tanques operaban a menos del 50% de capacidad, pero hoy en día lo hacen a
un 85%).
Durante la asignación de SIL mediante las gráficas de riesgos no se le darán créditos IPL a este tipo de
sistemas de protección debido a que el método es cualitativo y por tanto no permite evaluar correctamen-
te la eficacia de esta capa de protección. Además, tales análisis cualitativos no deberán apoyarse en
estas barreras de mitigación para que el riesgo de la instalación sea aceptablemente bajo para las insta-
laciones. Sin embargo, en análisis cuantitativos como LOPA sí que se le podrán dar créditos IPL a este
tipo de sistemas de protección. En este caso, los árboles de sucesos deberán mostrar explícitamente la
actuación de las barreras físicas.
Instalaciones externas (activas) para la reducción del riesgo (ERRFs)
Las instalaciones externas (activas) para la reducción del riesgo (ERRFs) constituyen una capa de miti-
gación o limitación de consecuencias que está diseñada para reducir la severidad de las consecuencias
de un proceso peligroso que ha llegado a la etapa de pérdida de contención. Estos sistemas incluyen el
sistema Fire & Gas (típicamente formado por detectores de fuego y gas, alarmas para alertar a la sala de
control y que ésta tome medidas o se inicie la evacuación del personal, y eventualmente sistemas auto-
máticos contra incendios y/o sistemas de paro de emergencia ESD), sistemas activos de protección co-
ntra incendios (típicamente formado por agua contra incendios, espuma, polvo seco y agentes de limpie-
za).
SEGURIDAD
Otros ejemplos son sistemas de paro de emergencia, sistemas de despresurización de emergencia, sis-
temas de venteo de emergencia, sistemas de volcado (dump) de emergencia y válvulas de aislamiento
accionadas remotamente (ROSOVs). Estos sistemas se accionan manualmente por operadores al activar
los pulsadores desde la sala de control o desde lugar seguro en campo. En instalaciones offshore, los
sistemas de fuego y gas y los sistemas de parada de emergencia son sistemas integrados conocidos
como sistemas de apoyo de emergencia “emergency support systems” (ESS).
Las instalaciones externas (activas) para la reducción del riesgo (ERRFs) tienen que estar separados del
SIS y por tanto, quedan fuera del ámbito de los estándares IEC 61508 y IEC 61511. Sin embargo, las
ERRFs son sistemas de seguridad y deben ser probados, inspeccionados y manejados como tales. El
control de estos sistemas se implementa, a veces, usando los procesadores lógicos de los SIS, lo cual
requiere que todo el sistema se maneje, como mínimo, con el nivel de rigor requerido para el SIS.
Estos sistemas de mitigación tienen un papel en la reducción de riesgo. Sin embargo, no se les darán
créditos IPL durante la asignación de SIL mediante las gráficas de riesgos debido a que el método es
cualitativo y por tanto no permite evaluar correctamente la eficacia en la detección de esta capa de pro-
tección (por ejemplo, no es posible saber si el detector estará en el lugar adecuado para detectar la fuga
debido a que esto depende generalmente de la dirección del viento) ni el grado de mitigación que ofrecen
para saber si el riego residual es aceptable, debido a que su propósito principal es limitar la escalación de
las consecuencias y no prevenir la pérdida de contención inicial y sus consecuencias inmediatas. En aná-
lisis cuantitativos como LOPA sí que se le podrán dar créditos IPL a este tipo de sistemas de protección.
En este caso, los árboles de sucesos deberán mostrar explícitamente la actuación de las ERRFs.
Respuesta contra emergencias
Desde una perspectiva de instrumentación y controles, a menudo, la respuesta de emergencia depende

de los equipos de comunicación y de los sistemas de alarma para avisar a la gente, dentro y fuera de las
instalaciones, de la situación peligrosa y de la necesidad de equipos de protección personal o de una
evacuación rápida. Los sistemas de alarma y los equipos de comunicación deben ser independientes de
sistemas que puedan verse afectados por el incidente del proceso.
Dado que confiar en la respuesta de emergencia es el último recurso, se recomienda que no se den cré-
ditos IPL para la reducción de riesgo a esta capa. Más bien, el objetivo sería evitar una situación que
active la respuesta contra emergencias antes que tener que confiar en ésta.
SEGURIDAD
ANEXO VII
TABLA DE RECOPILACIÓN DE DATOS
SEGURIDAD
Refinería o Fábrica de XXX Estudio Nº: Nº de Sesión: Fecha:
Unidad: Planos de referencia:

Nodo:
Parámetro:
Palabra Desviación Causas Consecuencias Gráficas de Riesgo Salvaguardas Recomendaciones Acción por
C/E/A F P W RG (Indicar las capas de (Si aparece una SIF,
C protección y si tienen verificar el SIL deter-
E - - créditos IPL) minado para cubrir el
A - - RG)
C/E/A F P W RG
C
E - -
A - -
C/E/A F P W RG
C
E - -
A - -
C/E/A F P W RG
C
E - -
A - -
C/E/A F P W RG
C
E - -
A - -
C/E/A F P W RG
C
E - -
A - -
SEGURIDAD
ANEXO VIII
TABLA DE RECOMENDACIONES Y SEGUIMIENTO DE ACCIONES
SEGURIDAD
Estudio Nº: Fecha:
Planta: Unidad:
Nodo P&ID considerado Recomendación Prioridad Responsable / Área Fecha prevista

PR 063 00 Es Estudios Hazop Sil

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

PR 063 00 Es Estudios Hazop Sil

Загружено:

Авторское право:

Доступные форматы

COPIA IMPRESA NO CONTROLADA

El documento original, que está aprobado por la persona y en la fecha arriba

PROCEDIMIENTO SOBRE ELABORACIÓN DE ESTUDIOS DE

PROCEDIMIENTO SOBRE ELABORACIÓN DE ESTUDIOS DE ANÁLISIS DE RIESGO Y

1. El objeto de este procedimiento es establecer la metodología de aplicación del estudio HAZOP/SIL

ÁMBITO Y CASOS DE APLICACION

2. El presente procedimiento se aplicará en las instalaciones de refino de petróleo, terminales, almace-

3. El estudio HAZOP/SIL será aplicado en las instalaciones en los siguientes casos:

- Modificaciones que afecten a las instalaciones en:

o El origen y destino de las corrientes.

• SIS (Safety Instrumented System): Sistema instrumentado de seguridad. Se trata de un siste-

• SIF (Safety Instrumented Function): Función instrumentada de seguridad. Componen el siste-

• IPL (Independent Protection Layer): Capa de protección independiente. Es un dispositivo, sis-

• PFD (Probability of Failure on Demand): Probabilidad de fallo en demanda. Es la probabilidad

• Explicar la metodología de análisis HAZOP y asignación de índices SIL mediante gráficas de

• Seguir el progreso según la agenda acordada.

• Asegurar que se realiza el análisis de forma completa.

5. En el caso de estudios extensos o contratados a consultores externos o en aquellos donde cada

Adicionalmente, al principio o a lo largo del estudio se evaluará la necesidad de la presencia de otras

El equipo participante en el estudio tendrá las siguientes responsabilidades:

• Analizar y estudiar la documentación suministrada por el Facilitador previamente al comienzo de

• Participar activamente en la identificación de desviaciones, así como en la de causas y conse-

• Participar activamente en la asignación de índices SIL mediante las gráficas de riesgo.

• Identificar las salvaguardas existentes en cada caso y proponer recomendaciones.

• Diagramas de tubería e instrumentos (P&IDs).

• Descripción del sistema de enclavamientos.

• Hojas de datos de seguridad de las sustancias involucradas.

• Balances de materia y energía.

• Información sobre accidentes previos.

• Gráficas de riesgo para la seguridad, el medio ambiente y riesgo financiero contenidas en la

• Matriz de riesgo del Grupo CEPSA para análisis LOPA.

Palabras clave primarias

Palabras clave secundarias

Palabra Significado Ejemplo

Palabra Significado Ejemplo

APLICACIÓN DE PALABRAS CLAVE

DETERMINACIÓN DE LA REDUCCIÓN DEL RIESGO (RISK GAP)

23. La aplicación de las gráficas de riesgo es la siguiente:

No son necesarias medidas de reducción de riesgo

1 Reducción de riesgo necesaria Posible implementación de una SIF SIL ≥ 1

2 Reducción de riesgo necesaria Posible implementación de una SIF SIL ≥ 2

3 Reducción de riesgo necesaria Posible implementación de una SIF SIL ≥ 3

GRÁFICA DE RIESGO PARA LA SEGURIDAD

Parámetro de consecuencias (C)

27. Este parámetro tiene en cuenta:

• La peligrosidad, la cantidad y el estado de la sustancia fugada (en caso de roturas).

• La magnitud y la extensión del evento y la gravedad de las lesiones.

• Experiencia y conocimiento de los riesgos de proceso.

Parámetro de probabilidad de ocupación o de exposición (F)

30. Este parámetro tiene en cuenta:

• La presencia de personal en la zona.

• La posibilidad de que haya personal expuesto al peligro.

Parámetro de probabilidad de evitar el peligro (P)

• Experiencia y conocimiento de los riesgos del proceso.

Parámetro de frecuencia de los escenarios (W)

36. La estimación de la probabilidad abarcará:

• Eventos que puedan ocurrir una vez durante la vida de la planta.

GRÁFICA DE RIESGO PARA LA PROTECCIÓN MEDIOAMBIENTAL

Parámetro de consecuencias medioambientales (E)

42. Para evaluar las consecuencias medioambientales se deberá tener en cuenta:

GRÁFICA DE RIESGOS FINANCIEROS

Parámetro de riesgos financieros (A)

• Costes de material e instalación del equipo.