UNIVERSIDAD NACIONAL DE INGENIERIA

FACULTAD DE INGENIERIA MECANICA

SECCION DE POSTGRADO

PLAN DE TESIS

AUDITORIA A LOS SISTEMAS INSTRUMENTADOS DE SEGURIDAD FUNCIONAL Y SU INCIDENCIA EN LA MEJORA DE LA CONFIABILIDAD EN PLANTAS DE PROCESO CONTINUO (2015 2016).MAESTRIA: GERENCIA E INGENIERIA DE MANTENIMIENTOAUTOR : ROGER MARTIN VIVANCO REBAZA LIMA, DICIEMBRE - 2015

INDICE

INDICEiiINDICE DE FIGURASviINDICE DE TABLASviiI.TITULO1II.NOMBRE DEL GRADUANDO1III.AMBITO DEL DESARROLLO DE LA INVESTIGACION1IV.DESCRIPCION DEL PLAN14.1.ANTECEDENTES BIBLIOGRAFICOS14.1.1.TESIS DE MAESTRIA: LA SEGURIDAD FUNCIONAL EN LA INDUSTRIA DE PROCESOS: CONCEPTOS Y METODOLOGIAS DE DISEO24.2.DESCRIPCION DE LA REALIDAD PROBLEMTICA114.4.MARCO TEORICO504.4.1.Seguridad Funcional.504.4.2.Funciones Instrumentadas de Seguridad (Safety Instrumented Function, SIF).504.4.3.Nivel de Integridad de Seguridad (Safety Integrity Level, SIL).514.4.3.1.Sistemas Instrumentados de Seguridad (Safety Instrumented System, SIS).514.4.3.2.Sistemas de Control como Sistemas Relacionados con Seguridad.524.4.3.3.Evaluacin de seguridad y confiabilidad.534.4.3.4.Guas Industriales, Estndares y Regulaciones554.4.3.5.Capas de proteccin574.4.3.6.Capas de Prevencin:584.4.3.7.Capas de Mitigacin594.4.3.8.Diseo del Ciclo de Vida de Seguridad.594.4.3.9.Desarrollar especificaciones de requerimientos de seguridad624.4.3.10.Ejemplos de Fallas Ocurridas en Diferentes Fases del Ciclo de Vida.644.4.4.Definiciones Generales en Anlisis de Riesgos.734.4.5.Tcnicas de Anlisis e Identificacin de Riesgos764.4.6.HazOp774.4.6.1. Etapas de un HazOp774.4.7.Determinacin del SIL814.4.7.1.Definiciones814.4.7.2.Evaluacin de riesgos814.4.7.3.Niveles tolerables de riesgo814.4.7.4.Riesgo tolerable en la industria de procesos824.4.7.5.Modos de Falla824.4.7.5.1.Fallas Seguras/Peligrosas834.4.7.5.2.Fallas Detectadas/No detectadas844.4.7.5.3.Falla sin efecto844.4.7.6.Modelado y confiabilidad de SIS844.4.7.6.1.Medidas usuales en SIS844.4.7.6.2.Frmulas para el modelado de SIS854.4.7.6.3.Mtodos de determinacin del SIL904.4.7.6.4.ALARP (As Low As Reasonably Practical)904.4.7.6.5.Matriz de Riesgos914.4.7.6.6.Matriz Tridimensional924.4.7.6.7.Anlisis de la capa de proteccin (Layers Of Protection Analysis, LOPA)934.4.7.6.8.Dispositivos de Campo944.4.7.6.9.Porcentaje de fallos en el sistema944.4.7.6.10.Sensores954.4.7.6.11.Elementos finales954.4.7.6.12.Redundancia964.5.MARCO CONCEPTUAL974.6.JUSTIFICACION E IMPORTANCIA DE LA INVESTIGACION104V.OBJETIVOS, HIPOTESIS, VARIABLES E INDICADORES1045.1.OBJETIVOS1045.1.1.OBJETIVOS GENERALES1045.2.HIPOTESIS1045.2.1.HIPOTESIS GENERAL1055.3.VARIABLES E INDICADORES1055.3.1.Variable Independiente1055.3.2.Indicadores de la Variable Dependiente1055.3.3.Variable Dependiente1055.3.4.Indicadores de la Mejora Variable Dependiente105VI.METODOLOGIA D ELA INVESTIGACION1056.1.UNIDADES DE ANALISIS1056.2.TIPO Y NIVEL DE LA INVESTIGACION1056.2.1.Tipo1066.2.2.Nivel1066.2.3.PERIODO DE ANALISIS1066.3.FUENTES D E INFORMACION E INSTRUMENTOS UTILIZADOS1066.3.1.Fuentes de Informacin Primaria1066.3.2.Fuentes de Informacin Secundaria1066.4.TECNICAS DE RECOLECCION Y PROCESAMIENTO DE DATOS1066.4.1.Tcnicas de Recoleccin de Datos1066.4.2.Procesamiento de Datos106VII.CRONOGRAMA106VIII.PRESUPUESTO1067.1.Estructura Presupuestal106IX.BIBLIOGRAFIA107ANEXOS107

INDICE DE FIGURASFigura 1. Sistema de control3Figura 2.10Figura 3.13Figura 4.14Figura 5.16Figura 6.20Figura 7.21Figura 8.22Figura 9.23Figura 10.24Figura 11.28Figura 12.30Figura 13.31Figura 14.37Figura 15.38Figura 16.49Figura 17. Sistema Instrumentado de Seguridad (SIS)51Figura 18. Capas de Proteccin (Modelo de la Cebolla)58Figura 19. Ciclo de Vida segn norma IEC 61511 [4]60Figura 20. Ciclo de Vida Segura61Figura 21. Determinacin de Probabilidad o Frecuencia75Figura 22. Palabras Gua78Figura 23. Ejemplo de HazOp79Figura 24. Modos de Falla83Figura 25. Frecuencia vs. Gravedad de consecuencias90Figura 26. Modelo ALARP [10]91Figura 27. Matriz de Riesgos92Figura 28. Matriz Tridimensional de Riesgo para seleccin del SIL [10]92Figura 29. Datos de confiabilidad y desempeo94Figura 30. Pirmide de conceptos bsicos de Sistemas Instrumentados de Seguridad (SIS) y su relacin con el almacenamiento de Sustancias Qumicas Peligros (SQP).97

INDICE DE TABLAS

Tabla 1. Principales accidentes industriales5Tabla 2. Porcin peligrosa detectada.87Tabla 3. La porcin peligrosa no detectada88Tabla 4. Porcin peligrosa nunca detectada.88Tabla 5. Porcin debida a bypass.89Tabla 6. Porcin de causa comn.89

1

vii

I. TITULO

AUDITORIA A LOS SISTEMAS INSTRUMENTADOS DE SEGURIDAD FUNCIONAL PARA MEJORAR LA CONFIABILIDAD Y REDUCIR LOS RIESGOS EN PLANTAS DE PROCESO CONTINUO (2015 2016).

II. NOMBRE DEL GRADUANDO

Roger Martin Vivanco Rebaza

III. AMBITO DEL DESARROLLO DE LA INVESTIGACION

La presente investigacin est desarrollada para ser aplicada a cualquier industria de Hidrocarburos, Industrias Qumicas, Petroqumicas, Refineras, Produccin de Oil and Gas, Empresas generadoras de energa elctrica no nucleares e industrias de papel.

IV. DESCRIPCION DEL PLAN

4.1. ANTECEDENTES BIBLIOGRAFICOS

4.1.1. TESIS DE MAESTRIA: LA SEGURIDAD FUNCIONAL EN LA INDUSTRIA DE PROCESOS: CONCEPTOS Y METODOLOGIAS DE DISEOAutor: Klever Fernando Venegas Riera, Universidad Politcnica Salesiana, Cuenca-Ecuador, 2013

Resumen:La presente tesis de maestra fue desarrollada en la Ciudad de Cuenca- Ecuador ante la necesidad brindar un mayor alcance acerca de los sistemas Instrumentados de Seguridad Funcional a las empresas instaladas en la Regin de Cuenca.

En muchas industrias se ha reemplazado personal por sistemas automatizados para obtener un aumento en la produccin, pero la mayora de veces no se considera el nivel de seguridad que debe mantenerse al realizar una automatizacin ya que los procesos industriales tiene el potencial de provocar catstrofes a gran encala.

Se debe diferenciar dos conceptos Seguridad Industrial y Seguridad Funcional, la primera es un conjunto de tcnicas que se encarga de identificar el riesgo y evaluar las medidas correctivas para minimizarlo enfocndose en la proteccin de operador, mientras que la segunda cubre una amplia gama de dispositivos que se interconectan para formar un sistema de seguridad que se encarga de llevar el proceso a su estado seguro, con la finalidad de proteger vidas humanas, activos de la empresa y a la comunidad que la rodea.

Esta tesis trata de hacer un anlisis acerca del conocimiento que las empresas tiene acerca de los sistemas instrumentados de seguridad, luego diseara un sistema instrumentados de seguridad para una empresa especfica y har la evaluacin costo beneficio de la implementacin de dicho sistema.

Pero primero veamos cual es la definicin de un Sistema Instrumentado de Seguridad - SIS, y porque es importante implementarlo en algunas industrias.

Figura 1. Sistema de control

Fuente.

Es un sistema compuesto de sensores, procesadores lgicos y elementos finales de control, con el nico fin de llevar el proceso a un estado seguro, cuando ciertas condiciones predeterminadas han sido violadas.El sistema de control que se ve en el cuadro amarillo de la figura 1, denominado como BSCP (Sistema Bsico de Control de Procesos) puede ser neumtico, ser un controlador lgico programable o ser un DCS, este sistema es el que controla el proceso, ya sea nivel, flujo, Ph, temperatura y hace que los valores se mantengan dentro de los lmites de diseo, naturalmente si todos los controladores fueran prefectos, nunca tendramos accidentes, pero los sistemas de control de procesos no son perfectos por una variedad de razones, tales como se pueden cometer errores humanos, por estas razones estos controles necesitan capas de seguridad, o lneas de defensa, una de estas capas de seguridad puede ser instrumentacin adicional y es lo que se conoce como sistema instrumentado de seguridad SIS, cuyas siglas en ingles significa Safety Instrument System, y es lo que se ve en el lado izquierdo de la figura,( cuadro rosado), este trmino fue usado por primera vez en 1993 en un libro de Ingeniera Qumica como Safety Interlock System o sistema de enclavamiento de seguridad, para el comit ISA el termino enclavamiento le pareci una definicin muy estricta, y le quiso dar una definicin ms genrica, por esta razn el comit ISA, mantuvo el acrnimo pero lo defini como Safety Instrument System.Los SIS, tambin puede ser desarrollados con varias tecnologas, puede ser neumticos, hidrulicos, estado slido, elctricos, electrnicos programables, puede ser un PLC de uso general o un PLC de seguridad, etc.Es necesario enfatizar que estos sistemas no controlan nada, el sistema bsico de control de procesos es el que controla las variables, el sistema de seguridad monitorea las variables, y evala si las mismas estn fuera de su rango normal, o si las condiciones de funcionamiento normal han sido violadas, si esto ocurre entonces el sistema de seguridad se encarga de llevar a la planta, al proceso, a al equipo a un estado seguro.Un estado seguro puede significar cosas diferentes para diferentes procesos, no significa pararlo todo, parar la planta, o des-energizar todo, por ejemplo el sistema de lubricacin de un compresor en un estado de emergencia no debemos apagarlo por que lo podremos destruir, por tanto se debe de definir cul es la accin a tomar por el sistema instrumentado de seguridad cuando las condiciones pre-definidas han sido violadas.Por lo tanto los sistemas de seguridad no controlan, solo monitorean.

Importancia de Implementar los Sistemas Instrumentados de Seguridad en la IndustriaDesde la revolucin industrial en 1928 hasta la actualidad, las industrias han desarrollado notablemente, generando productos, para ello se han utilizado materias primas de toda ndole, si por un momento nos centramos en las industrias petroqumicas, observamos que muchas de ellas para fabricar sus productos hacen uso de materiales potencialmente peligrosos que si no son manipulados o controlados cuidadosamente pueden provocar explosiones, muertes y daos al medio ambiente.Efectivamente como una planta industrial es manejada por personas tenemos probabilidades de que en algn momento cometamos errores en el proceso, aun as una planta automatizada tambin tiene probabilidades de falla, ya que los sensores, instrumentos y vlvulas que se usan para controlar el proceso en algn momento puede fallar.La realidad nos hadado la razn con el trascurrir de los aos, hemos sido testigos de catstrofes que han ocurrido en la industria y han ocasionado muchas muertes, contaminacin al medio ambiente y grandes prdidas de en activos.He aqu una lista de accidentes ocurridos a travs de los aos, se mencionan por que han sido las que ms notoriedad han tenido por la prensa internacional.

Tabla 1. Principales accidentes industriales

Flixborough(UK), 1974Explosin de vapor no confinada (UVCE) de ciclohexano28 muertos y cientos de heridos

Destruccin completa de las instalaciones

Seveso(Italia), 1976Reaccin qumica fuera de control que provoca el venteo de un reactor, con liberacin a la atmsfera de dioxinaEvacuacin de ms de 1.000 personas

Abortos espontneos y contaminacin del suelo

Autoridades ilocalizables (fin de semana)

Las primeras medidas se tomaron a los cuatro das

Bhopal(India), 1984Escape de isocianato de metilo en una planta de fabricacin de insecticidas3.500 muertes directas y el mismo nmero de personas en condiciones crticas

Unas 150.000 personas requirieron tratamiento mdico

Efectos a largo plazo: cegueras, trastornos mentales, lesiones hepticas y renales

La nube txica atraves una de las vas de evacuacin

Piper Alpha (Inglaterra), 1988Explosin de una Plataforma de extraccin de Petrleo en el Mar del Norte167 muertos, 59 sobrevivientes

Destruccin completa de la plataforma

El accidente fue el resultado de una serie de hechos que se inician con los trabajos de mantenimiento que se llevan a cabo simultneamente en una bomba y vlvula de seguridad.

Passadena(USA), 1989Escape de gases de proceso extremadamente inflamables que se produjeron durante las operaciones de mantenimiento regular en uno de los reactores de la planta de polietileno.23 muertes, ms de 130 heridos

La explosin inicial fue equivalente a un terremoto de 3,5 en la escala de Richter y arroj escombros lugares tan lejanos como seis millas.

La investigacin del accidente estableci que la vlvula de bola de aislamiento estuvo abierta al momento de la liberacin. Las mangueras de aire de la vlvula haban estado conectadas incorrectamente de manera que el suministro de aire que debera haber cerrado la vlvula lo hizo abrir

Fuente. La tabla mostrada arriba, como se mencion anteriormente son las que en su momento cobraron ms notoriedad por la prensa internacional.Ms accidentes similares han ocurrido y siguen ocurriendo, cada uno ha sido analizado en su momento por empresas especialistas, las causas de cada una de ellas ser analizada ms adelante en detalle as como las lecciones aprendidas.Objetivos Generales:1. Obtener una idea concreta acerca del estado actual de los sistemas instrumentados de seguridad en la ciudad de Cuenca, para ellos es necesario saber el grado de aplicacin en la industria del proceso, ello se hizo a travs de encuestas, 10 empresas participaron de esta encuesta.

2. Proporcionar los lineamientos para el anlisis y diseo de un SIS( Sistemas Instrumentados de Seguridad) para el rea de almacenamiento de combustibles en TUGALT.

3. Evidenciar el ahorro beneficio para las empresas en invertir en sistemas Instrumentados para prevenir accidentes o vnetos inesperados para evitar prdidas considerables tanto econmicas como materiales, as como la vidas de los empleadosPara cumplir con el primer objetivo; obtener una idea concreta acerca del estado actual de los sistemas instrumentados de seguridad funcional, fueron encuestados 46 empleados del rea de mantenimiento y produccin de 10 empresas dedicadas al rubro de produccin de cermica, material metlico y qumicos.Se elabor una serie de preguntas, tales como:1. Dispone de algn sistema de seguridad en sus instalaciones?2. Su sistema de seguridad esta automatizado?3. Conoce o ha escuchado Usted acerca de PLCs orientados a seguridad?4. En sus instalaciones se ha realizado un anlisis de riesgo con respecto a los procesos industriales?5. Ha realizado un anlisis cuantitativo de identificacin de peligros?6. Se han producido accidentes graves que hayan involucrado la vida de operadores de la planta?7. Ha escuchado o tiene conocimientos acerca de seguridad funcional?8. Ha escuchado sobre sistemas instrumentados de seguridad (SIS)?9. En sus instalaciones se manejan normativas de seguridad funcional?10. Estara interesado en la instalacin de un SIS en sus instalaciones?11. Piensa Usted que la aplicacin de un SIS en las instalaciones asegurara un entorno de trabajo ms confiable para el personal?12. En las automatizaciones realizadas en las instalaciones se consider la seguridad funcional para cada una de ellas?Resultados ObtenidosDe los resultados obtenidos se observa que pocas personas encuestadas han escuchado o tienen conocimiento sobre seguridad funcional o de sus normativas principalmente en las reas de seguridad y de mantenimiento, siendo esta ultima la que constantemente monitorea el estado de la maquinaria para su correcto funcionamientoA pesar de que la mayora de lneas de produccin estn automatizadas, la seguridad funcional no fue considerada en su diseo.Algunas personas se mostraron escpticos a los cambios, consideran innecesario la implantacin de un SIS, justificando que hasta el momento no ha sido necesario implementar dicho sistema para cumplir con la produccin y la seguridad al personal.El paro de emergencia es el comn denominador en la mayora de empresas como un medio del que dispone el personal para detener la maquinaria y evitar cualquier situacin de riesgo, esto evidencia la falta de conocimiento sobre modernos dispositivos orientados a la seguridad que existen en el mercado.La mayora de empresas usan como combustible el diesel y bunker para la maquinaria, los mismos que son almacenados en tanques de gran capacidad, la capa de mitigacin comnmente utilizada son los diques, algunos de los cuales ya han cumplido su funcin exitosamente debido a derrames producidos en ciertos casos por fallas en el sistema de control de bombas de llenado o por factores humanos.Para cumplir con el objetivo # 2, se propuso un diseo de SIS para el rea de almacenamiento de combustibles en Tugalt.Una de las empresas ms grandes de la ciudad, tanto a nivel, geogrfico como a nivel productivo es Tugalt. Dicha empresa est orientada a la fabricacin de toda clase de perfiles, paneles y tubos metlicos, pero tambin se encarga de almacenar combustible que es enviado a otras industrias como Industrias Qumicas del Austro (IQA), Vanderbilt, y Graiman. El combustible almacenado consta principalmente de disel y bunker, los mismos que son fundamentales para la realizacin de todos los procesos llevados a cabo en las industrias antes indicadas.

Se ha considerado el rea de almacenamiento de combustible para desarrollar el diseo del SIS debido a que en la actualidad no dispone de ningn dispositivo o sistema para prevenir o mitigar eventos inesperados o de alto riesgo en dicha zona. Algunos eventos como derrames de combustible, obstruccin de lneas de bombeo o prdida de presin en las mismas ya han tenido lugar, pero no se han resultado en situaciones graves.

El personal encuestado tena conocimientos de la utilizacin de aspersores en caso de incendios; y de algunas seales luminosas para alertar as personal en caso de un evento no deseado, mientras que un reducido nmero de personas encuestadas no tena conocimiento de la existencia de dichos recursos en caso de emergencia

Vamos a hablar dela tesis comprobar los objetos si se lograron, el primero se loga hablando de la encuesta, hablar del diseo y el tercero comprobar el ahorro beneficio

Figura 2.

Fuente.

4.2. DESCRIPCION DE LA REALIDAD PROBLEMTICA

Desde los aos 70s a la actualidad estamos notando como los sistemas de automatizacin han ido creciendo a un ritmo increble, nuestra dependencia a la instrumentacin ha aumentado con la finalidad de mejorar el producto y para reducir el potencial error del operador y para disminuir la necesidad de la mano de obra, tal vez el reducir el potencial error humano debera ser el ms importante de los tres fines mencionados lneas arriba ya que como sabemos un error humano cometido dentro de un proceso donde se manejan materiales altamente explosivos o txicos puede hacer que parte de una planta explote ocasionando muchas muertes si es que de materiales explosivos se trata, pero si se trata con materiales txicos altamente mortales puede ocasionar la muerte de trabajadores de planta y adems personas ajenas a la planta, llegar a las comunidades de su vecindad y provocarles efectos a largo plazo: cegueras, trastornos mentales, lesiones hepticas y renales, malformaciones en recin nacidos ya que una nube toxica puede atravesar kilmetros.Debido a los accidentes ocurridos en el pasado es que hoy en da las plantas industriales invierten mucho dinero desde la concepcin del proyecto en hacer su proceso cada vez ms seguro, ms confiable, eso nos lleva a cada vez ms, a estar ms envueltos en los sistemas automatizados.Cuanto ms electrnica programable este involucrada en la operacin de la planta, ms propenso ser el equipo a fallas sistemticas, las cules pueden ocasionar una operacin impredecible. La automatizacin confiable conlleva a la operacin ms segura. La automatizacin mal implementada o mal mantenida, puede generar eventos peligrosos significativos, impactando a las personas, el ambiente y los activos de la empresa.Si bien es cierto, como se mencion lneas arriba la inversin en hacer una planta ms segura y confiable es alta, ya que ahora no solo se invierte en la automatizacin del proceso si no en automatizar la seguridad del proceso y es all donde nacen los sistemas instrumentados de seguridad, comnmente denominado SIS, es por ello que el xito de los Sistemas Instrumentados de Seguridad depende de un sistema de gerencia riguroso que minimice el error humano y el potencial de falla del equipo o lazo de control.Se dedica mucho tiempo, dinero y personas en hacer una planta segura en la fase de proyecto, diseo, implementacin y comisionamiento, esto conlleva a tener una planta con muchos activos que administrar, pero durante la fase de operacin los recursos asignados para mantener y gestionar tales activos no es el suficiente, es decir tenemos en planta muchos sistemas automticos con pocas personas a cargo de su administracin y gestin.Es aqu donde radica la razn de ser de este tema de tesis de maestra, la mayora d empresas no llevan a cabo una buena gestin de los sistemas Instrumentados de seguridad, ya sea porque no hay personal suficiente, porque no hay un involucramiento desde la gerencia general y esto hace que muchas veces el rea de operaciones no entregue los equipos a tiempo para su correcto mantenimiento.Dada esta falta de compromiso y falta de una buena gestin en este tipo d activos es que se han suscitado en el mundo accidentes fatales, plantas petroqumicos, plataformas petroleras, plantas qumicas han explotado trayendo consigo muertes de muchos trabajadores y muertes de personas ajenas al proceso, a la empresa, muchas veces comunidades vecinas han pagado las consecuencias de una mala gestin.Lneas abajo se detalla algunos casos de plantas que han provocado muertes a personas, contaminacin al medio ambiente y destruccin de los activos, se analiza sus posibles causas raz del accidente y las lecciones aprendidas.Accidente de Flixborough, Reino Unido, 1974Aproximadamente a las 16:53 del sbado 1 de junio de 1974, la planta de Flixborough Works de Nypro Ltd. fue virtualmente demolida por una explosin de extraordinarias dimensiones. Como consecuencia de la explosin 28 trabajadores resultaron muertos y otros 36 sufrieron heridas graves. Si la explosin hubiera ocurrido en horario laboral normal, las cifras de muertos y heridos habran sido mucho mayores. Otras muchas personas resultaron heridas fuera de las instalaciones y las prdidas materiales fueron incalculables con la destruccin casi total de la planta.

Figura 3.

Fuente.

Caractersticas de las instalacionesEl accidente de Flixborough, ocurri en la seccin de reaccin en la planta de produccin de caprolactama a partir de la oxidacin de ciclohexano que la empresa Nypro tena en la localidad de Flixborough (Reino Unido). El proceso de produccin consista en un tren de seis reactores en serie en los que el ciclohexano se oxida a ciclohexanona y ciclohexanol por inyeccin de aire en presencia de un catalizador.La reaccin es fuertemente exotrmica y se realizaba a 8,8 kg/cm2 de presin en los reactores y a una temperatura de 155 C. Por tanto, exista una atmsfera explosiva dentro de los reactores, que se controlaba mediante la inyeccin de nitrgeno proveniente de unos depsitos de nitrgeno lquido. La temperatura se controlaba mediante la evaporacin de parte del ciclohexano de cada reactor.Algunos das antes de que ocurriera el accidente, se produjo una fuga en el reactor nmero 5 y una grieta de casi 2 metros, lo que indujo a eliminar dicho reactor en serie y se sustituy por un conducto o tubera "by-pass" que una los reactores 4 y 6, segn se indica en el dibujo adjunto. Dicha tubera de unin tena un diseo claramente diferente al resto de uniones entre los diferentes reactores. Adems, el agitador del reactor nmero 4 se haba retirado por avera haca 5 meses.Figura 4.

Fuente.

Descripcin del accidenteEl accidente se produjo precisamente por la rotura de esta unin provisional entre los reactores 4 y 6 debido a un aumento de la presin en los mismos (alcanz aproximadamente 9,2 kg/cm2). El control de presin se podra haber realizado venteando parte del gas de los reactores a las antorchas inyectando nitrgeno, pero haba poca cantidad almacenada y no se poda recibir ms nitrgeno hasta la media noche, lo que habra motivado la paralizacin de la produccin. Por tanto se decidi no ventear, lo que evit el control de la presin en los reactores.Por la tarde, se produjo un escape de unas 40 Tm de ciclohexano que form una nube inflamable y casi inmediatamente explosion generando una explosin de vapor no confinada (UVCE). Las consecuencias fueron: Destruccin completa de la planta de produccin de caprolactama 28 personas muertas, 36 heridos graves y varios centenares de heridos leves Daos graves en 1821 casas y 167 tiendas de las proximidades Extensin de los daos a otras instalaciones prximasAnlisis de las causas del accidenteTodava no estn del todo claro las causas de la rotura de esta unin provisional o "by-pass". La comisin que investig el accidente fij su atencin en cuatro posibles causas: Fallo en la tubera provisional de 20" debido a un exceso de presin Fallo previo en una tubera de 8" Fallo previo en alguna otra parte del sistema Explosin en la lnea de aire de los reactores La hiptesis ms considerada fue la primera, aunque no qued del todo claro si la presin que se alcanz de 9,2 kg/cm2 era suficiente para motivar la ruptura de la tubera. No obstante, se produjeron varios fallos de tipo organizativo y de seguridad que agravaron la situacin original. Entre estos fallos cabe destacar los siguientes: Inexistencia de proyecto de la modificacin realizada, ni planos, salvo un salvo un esquema realizado con tiza en un taller prximo. Inexistencia de clculos de resistencia de materiales para la modificacin. Incumplimiento de las normas de diseo aplicables. Inexistencia de un ingeniero de diseo que realizara la modificacin. Falta de personal en temas de seguridad para el control de las modificaciones en la planta. Inexistencia de un sistema de gestin de la seguridad en la empresa. Prioridad de la produccin sobre la seguridad. La causa directa del accidente fue la introduccin, sin los debidos controles de diseo y fabricacin, de dos modificaciones: el "by-pass" entre los reactores 4 y 6 y la retirada del agitador en el reactor 4. Falta de rigor en el diseo y control de las modificaciones.

Figura 5.

Fuente.

Lecciones aprendidasSe han extrado numerosas lecciones procedentes del accidente de Flixborough. Incluyen tanto controles pblicos para los establecimientos que presenten riesgos de accidentes graves como sistemas propios de gestin de la seguridad de este tipo de instalaciones.Se consideran algunas de estas lecciones: Controles pblicos de las instalaciones que presenten riesgos de accidentes graves. Una de las principales consecuencias del accidente de Flixborough fue la toma de conciencia por parte de las autoridades del Reino Unido y Europa para intentar controlar los riesgos de este tipo de instalaciones. Como consecuencia de ello y a raz del accidente de Seveso se promulg la primera Directiva Europea relativa al control de los riesgos de accidentes graves en determinadas actividades industriales. Adems, las autoridades del Reino Unido promulgaron tambin su legislacin CIMAH similar a la anterior. Localizacin de los establecimientos que presenten riesgos de accidentes graves. La eleccin correcta de los emplazamientos y, en concreto, la planificacin territorial para evitar mayores riesgos en el entorno inmediato de este tipo de establecimientos, es otra de las conclusiones importantes. Este aspecto de la planificacin territorial, se ha tenido muy en cuenta en la nueva legislacin sobre accidentes graves, el Real Decreto 1254/99. Necesidad de una correcta notificacin de todas las sustancias peligrosas que se utilizan. El almacenamiento y utilizacin de grandes cantidades de productos qumicos peligrosos, es un aspecto que debe estar regulado y controlado por las autoridades. Los almacenamientos que a 1 de junio de 1974 posea Nypro eran los siguientes: 1500 m3 de ciclohexano 300 m3 de nafta 50 m3 de tolueno 120 m3 de benceno 2000 m3 de gasolina De todos ellos, solamente estaban notificados 32 m3 de nafta y 7 m3 de gasolina y el resto de los almacenamientos ni estaba notificados, ni por supuesto tena licencias de instalacin. La situacin de Flixborough revel la necesidad de mejorar los mtodos de notificacin de todas las sustancias peligrosas a las autoridades. Normativas para sistemas y depsitos presurizados. El origen del accidente tuvo lugar en una instalacin en la que se trabajaba a presiones elevadas. La legislacin en esa fecha apenas tena regulaciones para almacenamientos a presin y no para sistemas y reactores a presin. Sistema de gestin de la seguridad para establecimientos con riesgos de accidentes graves. El Informe Flixborough hace un enorme hincapi en la inexistencia de un sistema general de gestin de la seguridad en la planta de Nypro. No existan ni procedimientos, ni organizacin, ni formacin del personal, etc. que garantizaran un manejo seguro de las instalaciones. Prioridad de la produccin sobre la seguridad. Los cambios en una instalacin sin los debidos controles de seguridad, fueron la causa principal del accidente. El motivo de no realizar dichos controles de seguridad era que en ese momento lo prioritario era la produccin y no la seguridad de la planta.

Uso de prcticas y cdigos de diseo adecuados. El Informe Flixborough describe que en la modificacin de la tubera "by-pass" no se tuvieron en cuenta los mnimos cdigos de diseo adecuados para esa modificacin. Diseo y control de las modificaciones. No se tuvieron en cuenta ningn sistema de control ni del diseo de las modificaciones realizadas en el proceso, lo que fue la causa principal del accidente. Otras lecciones. Limitaciones en el inventario de sustancias peligrosas existentes. Limitaciones de la exposicin al personal de planta. Diseo y localizacin de las salas de control y otros edificios auxiliares. Control de la instrumentacin. Planificacin de las emergencias. Investigacin de accidentes. Accidente de Seveso, Italia, 1976A las 12:37 del sbado 9 de julio de 1976, se produjo una ruptura en un reactor de la planta Icmesa (Industrie Chimiche Meda Societ) en la localidad italiana de Seveso, a medio camino entre Miln y el lago Como. Unas tres toneladas de substancias txicas principalmente una dioxina denominada TCDD formaron una nube que devastara ms de 1.800 hectreas de terreno. La tetraclorodibenzodioxina o TCDD era el ingrediente activo de un defoliante usado, con efectos devastadores, por las fuerzas estadounidenses en la guerra de Vietnam, tambin conocido como agente naranja.

Figura 6.

Fuente.Caractersticas de las instalacionesLa planta de Icmesa S.p.A., situada en la localidad de Seveso (17.000 habitantes Lombardia, Italia), era propiedad del Grupo Roche y se dedicaba a la fabricacin de pesticidas y plaguicidas a partir de una reaccin tipo "batch" con una sustancia denominada 2,4,5-triclorofenol (TCP). El TCP se fabricaba a partir de 1,2,4,5-tetraclorobenceno por reaccin con sosa custica en presencia de etilenglicol y xileno y a unos 160-200 C. La reaccin es fuertemente exotrmica a presin atmosfrica y el calor generado se retiraba evaporando el disolvente que retornaba al reactor. Terminada la reaccin, se aada cido clorhdrico para fabricar el TCP. El reactor estaba protegido por un disco de ruptura a presin de 3,6 bares con venteo directo a la atmsfera.En la reaccin se produce como subproducto una sustancia denominada 2,3,7,8-tetraclorodibenzo-p-dioxina, ms conocida como TCDD. El TCDD pertenece a una amplia familia de compuestos conocidos como dioxinas, todos ellos de elevada toxicidad y probados efectos cancergenos. De todos los compuestos de la familia de las dioxinas, el TCDD es el ms txico. La toxicidad relativa de este compuesto comparada con la estricnina, por ejemplo, muestra que es tres rdenes de magnitud ms txico. La dioxina se forma por reaccin de triclorofenoato de sodio con hidrxido sdico. Mientras que a unos 180 C apenas se forman unos pocos ppm de TCDD, cuando la temperatura alcanza unos 250 C, se pueden generar grandes cantidades. Las cantidades generadas son prcticamente cero por debajo de 150 C, menos de 1 ppm a 180 C y 1.600 ppm en 2 horas entre 230-260 C.

Figura 7.

Fuente.

Descripcin del accidenteLa tarde anterior al accidente, el reactor se carg con 2.000 kg de triclorobenceno (TCB), 1.050 kg de hidrxido de sodio, 3.300 kg de etilenglicol y 600 kg de xileno. La reaccin no termin esa tarde, dejando el final para la maana siguiente, cerrando el vapor y parando la agitacin en el reactor. A la maana siguiente, se produjo una reaccin exotrmica incontrolada del tipo runaway, lo que gener un aumento de presin en el reactor y la apertura del disco de ruptura. El resultado fue la emisin de una nube txica que contena TCDD en una concentracin aproximada de 3.500 ppm y con aproximadamente entre 0,45 y 3 kg de TCDD. El rea cubierta por la nube fue de aproximadamente 1.800 hectreas y produjo numerosos daos a las personas (730 en el rea).

Figura 8.

Fuente.

Unas 37.000 personas resultaron directamente afectadas por enfermedades de la piel, malformaciones en los fetos y toda una serie de secuelas que se fueron produciendo en los aos posteriores. Los cultivos quedaron inservibles para el consumo, ms de 3.000 animales perecieron y hubo que sacrificar otros 80.000 para evitar que la toxina entrara en la cadena alimentaria.Las lesiones fueron principalmente drmicas, as como daos al medio ambiente (flora y fauna). Se produjeron daos tambin en la agricultura, ganadera, suelos contaminados, construccin, comercios, etc. En total, ms de 300 millones de francos suizos ha tenido que abonar Roche en concepto de compensaciones al Estado Italiano por el accidente.Figura 9.

Fuente.

Los directivos de Roche (propietaria de Icmesa) han afirmado hasta el da de hoy que el efecto que produjo la catstrofe de Seveso, esto es, el recalentamiento en el interior del tanque de triclorofenol, era imprevisible por aquel entonces, cuando apenas se conocan la reacciones accidentales de este producto intermedio. Esta excusa constituy la base de su defensa ante las autoridades civiles y los tribunales de justicia italianos. Sin embargo, otros especialistas argumentan que s exista una literatura cientfica entre 1971 y 1974, en la que se incluiran las descripciones de otros accidentes con triclorofenol, siendo el ms importante el de Missouri, en Estados Unidos, a principios de los setenta. Tambin se conocan las condiciones bajo las que podra producirse una reaccin exotrmica descontrolada. Sin embargo, atendiendo a las explicaciones de los directores tcnicos de Icmesa, la comisin que se encarg de investigar las causas del accidente concluy que era imposible haber previsto este hecho.En la actualidad, todava se estn pagando indemnizaciones y las consecuencias no han desaparecido del todo.Figura 10.

Fuente.

Anlisis de las causas del accidenteLa causa primera del accidente fue una reaccin incontrolada exotrmica en el reactor, probablemente debido a haberlo dejado desde la tarde anterior sin refrigeracin y sin agitacin. Tambin pudo influir el hecho de que, probablemente, la reaccin no se hubiera terminado del todo cuando se cerr la refrigeracin y se par el agitador, por lo que pudo continuar durante toda la noche.El informe oficial aduce cuatro causas principales: Interrupcin del ciclo de produccin. El hecho de dejar una mezcla sin terminar una reaccin durante todo un fin de semana sin ningn tipo de medida de seguridad, es un hecho que aumenta el riesgo innecesariamente. Mtodo de destilacin. En el mtodo utilizado por la patente original de Guivaudan, la carga era acidificada antes de la destilacin. En el proceso de Icmesa, el orden de estas dos etapas fue invertido. Esto permita un contacto ms largo e intenso entre el etilenglicol y el hidrxido de sodio. El sistema de alivio de presin que conduce directamente a la atmsfera. El nico sistema de control de presin era mediante un disco de ruptura que conduca directamente a la atmsfera. La presin del disco de ruptura era demasiado elevada para un proceso a presin atmosfrica, lo que favoreci la emisin de grandes cantidades de dioxinas. Fallos en los sistemas de recogida/destruccin de las sustancias venteadas. Tampoco exista un sistema para neutralizar o destruir las sustancias txicas venteadas. El sistema de venteo con disco de ruptura, segn los fabricantes debera haber estado conectado a un sistema de neutralizacin, torre de lavado, depsito pulmn o cualquier otro que impidiera la emisin directa a la atmsfera de sustancias altamente txicas.

Lecciones aprendidas Controles pblicos de las instalaciones que presenten riesgos de accidentes graves. Una de las principales consecuencias del accidente de Seveso fue la toma de conciencia por parte de las autoridades italianas y europeas para intentar controlar los riesgos de este tipo de instalaciones. Como consecuencia de ello, se promulg la primera Directiva Europea relativa al control de los riesgos de accidentes graves en determinadas actividades industriales, la Directiva 82/501/CEE. Localizacin de los establecimientos que presenten riesgos de accidentes graves. La eleccin correcta de los emplazamientos y, en concreto, la planificacin territorial para evitar mayores riesgos en el entorno inmediato de este tipo de establecimientos, es otra de las conclusiones importantes. Este aspecto de la planificacin territorial, se ha tenido muy en cuenta en la nueva legislacin sobre accidentes graves, el Real Decreto 1254/99. Adquisicin de compaas que operan con procesos peligrosos. Fue un problema que requiri poca atencin, aunque la cadena de responsabilidades se transmiti hasta el ltimo propietario, Hoffmann La Roche que ha sido el responsable final. Utilizacin de sustancias extremadamente txicas. El hecho de que se utilicen sustancias extremadamente txicas como la TCDD, implica que los anlisis de seguridad deben ser realizados y actualizados constantemente. En la nueva reglamentacin se pone especial nfasis en las sustancias txicas y muy txicas. Riesgos debidos a reacciones incontroladas. La compaa crea que tena perfectamente identificadas todas las reacciones que se podran producir en el proceso de produccin. Sin embargo, los riesgos de reacciones exotrmicas, deben ser analizados muy concienzudamente. En particular, es muy importante identificar completamente todas las caractersticas de una reaccin exotrmica en las condiciones de operacin y las sustancias intermedias o indeseadas que se pueden generar.Diseos seguros en plantas qumicas de proceso. El diseo del disco de ruptura para ese tipo de reactor y esa reaccin concreta, era claramente inseguro.Planificacin de las emergencias. En el informe del accidente se menciona como una causa que agrav las consecuencias el hecho de que no hubiera una comunicacin directa a las autoridades para que organizaran un sistema de emergencias. Las primeras medidas para proteccin a la poblacin se tomaron a los 4 das.Accidente de Bhopal, India, 1984La maana del 3 de diciembre de 1984, una vlvula de alivio de un depsito de almacenamiento de la planta de Union Carbide India Ltd. que contena una sustancia altamente txica, el isocianato de metilo (MIC), produjo un escape al exterior de aproximadamente 26 Tm de esta sustancia. La nube txica que se form, afect a la ciudad de Bophal, de aproximadamente 800.000 habitantes. Aunque las cifras de muertos y heridos son muy imprecisas, se puede decir que se produjeron entre 2.500 y 4.000 muertos y ms de 180.000 heridos y afectados.

Muchos autores lo consideran el peor desastre de toda la industria qumica.Figura 11.

Fuente.Caractersticas de las instalacionesEl isocianato de metilo MIC, es un producto intermedio que se usa en la fabricacin de determinados insecticidas. Es un producto altamente txico y muy reactivo que polimeriza en presencia de determinados reactivos como hierro o cloruros.El proceso de fabricacin de MIC en la factora de Unin Carbide estaba formado por cuatro etapas: Produccin de fosgeno Produccin de cloruro de metilcarbamilo (MCC) a partir del fosgeno en fase vapor y metilamina (MMA) y cloruro de hidrgeno COCl2 + CH3NH2 --------> CH3NHCOCl + HCl + calor Pirlisis para la obtencin del MIC CH3NHCOCl --------> CH3NCO + HCl Separacin por destilacin del MIC El MIC producido, se enviaba a los depsitos de almacenamiento, dos para uso normal (Depsitos 610 y 611) y el tercero para emergencias (Depsito 619). Los depsitos cilndricos, tenan una capacidad nominal de 57 m3, 13 metros de largo y 2,43 metros de dimetro. Tenan una presin de diseo de 2,72 bares a 121 C y una presin de prueba de 4 bares. Estaban completamente enterrados y aislados con un recubrimiento de cemento. Tambin exista un sistema de refrigeracin para mantener el MIC por debajo de 0 C y minimizar la refrigeracin. Tambin tenan un indicador de temperatura, con alarma de alta, un indicador y controlador de presin para mantenerla entre 0,14 y 1,7 bares y un indicador de nivel con alarmas de alto y bajo nivel. El sistema de alivio de emergencia consista en una vlvula de seguridad a 2,8 bares y un disco de ruptura en serie. La lnea de salida de venteo era enviada a un lavador de gases para neutralizar la emisin de MIC. Adems exista la posibilidad de enviar los gases de venteo a una antorcha de la planta.El sistema de refrigeracin de los depsitos de almacenamiento fue desmantelado en 1984, retirndose el refrigerante. En 1982, un equipo de auditores de seguridad de Union Carbide visit la planta y emiti un informe en el que se sealaban importantes deficiencias en los sistemas de seguridad, corrosiones y posibilidad de fuga de gases. Entre 1981 y 1984 hubo varios accidentes graves en la planta, con varios trabajadores muertos y heridos. La situacin en la planta era verdaderamente preocupante.

Figura 12.

Fuente.

Descripcin del accidenteLa noche del 2 de diciembre, la sala de control detect un aumento de presin en el depsito 610. Se alcanzaron 3,8 bares al cabo de hora y media. Se detect que el recubrimiento del depsito estaba agrietado por la elevada temperatura en su interior y la alta presin hizo que se abriera la vlvula de seguridad, con una emisin de MIC. Se puso en funcionamiento el sistema lavador de gases y a la 1:00 hora se dio la alarma. El sistema de lavado era claramente insuficiente y se conectaron caones de agua para intentar alcanzar la salida de los gases, cosa que no se consigui. A las 2:00, se cerr la vlvula de seguridad y la emisin de MIC se detuvo. Las investigaciones posteriores determinaron que se haban emitido aproximadamente 25 Tm de MIC en un conjunto de gases emitidos de 36 Tm. Tambin se detect que la temperatura en el interior del depsito alcanz los 200 C y la presin 12,2 bares. Sin embargo, el depsito aguant posiblemente por el recubrimiento exterior, evitando un desastre an mayor. Tambin se inform que se haba desconectado das antes el lavador de gases y que la antorcha estaba fuera de servicio por corrosiones.La nube txica que se form se extendi hacia las reas pobladas en direccin sur favorecido por un ligero viento y condiciones de inversin trmica. Como ejemplo, en la zona de Railway Colony, situada a 2 km de la planta, donde vivan aproximadamente 10.000 personas, se inform de que en 4 minutos murieron 150 personas, 200 quedaron paralizados, unas 600 quedaron inconscientes y hasta 5.000 sufrieron graves daos. Muchas personas intentaron huir, pero lo hicieron en la direccin de avance de la nube txica.Las investigaciones posteriores, revelaron que quedaron entre 5 y 10 Tm en el depsito 610. Se encontraron importantes cantidades de sustancias que slo se pueden formar por reaccin del MIC y agua, lo que indujo a pensar en la existencia de agua en el interior del depsito.

Figura 13.

Fuente.

Anlisis de las causas del accidenteDos son las hiptesis principales que se contemplan:1. Reaccin espontnea del MIC en el interior del depsito. Posiblemente por introducir en el depsito 610 un lote de MIC que result de mala calidad (contena un 15% de cloroformo, cuando deba contener un mximo de 0,5%) y al estar fuera de servicio el sistema de refrigeracin, comenz, al principio lentamente, una reaccin de descomposicin del MIC. El sistema de aislamiento del depsito favoreci el aumento de temperatura y la velocidad de reaccin. 2. Reaccin motivada por presencia de agua en el depsito. El anlisis de los compuestos despus del accidente revel la presencia de agua en el interior del depsito, lo que produjo una reaccin entre el exceso de cloroformo y el agua para formar cido clorhdrico que acta como catalizador en la polimerizacin del MIC. Este agua podra proceder del sistema de lavado de tuberas. Tambin es posible que la presencia de agua fuera por algn tipo de sabotaje, porque la cantidad necesaria se estim entre 500 y 1.000 kg. Los informes destacaron una serie de factores que contribuyeron al accidente: la desconexin del sistema de refrigeracin, la inexistencia de sistemas de corte en las tuberas para evitar la entrada de agua del lavado, la presencia de MIC en el depsito a una temperatura demasiado elevada 15-20 C, que el sistema de lavado de gases no funcionara adecuadamente y que la antorcha estuviera fuera de servicio.Lecciones aprendidasMuchas de las lecciones aprendidas del accidente de Bhopal, combinan algunas de las ya analizadas en los accidentes de Flixborough y Seveso.1. Controles pblicos de las instalaciones que presenten riesgos de accidentes graves. El desastre de Bhopal tuvo una gran publicidad durante bastante tiempo, principalmente en la India y en USA que no haban reaccionado tan intensamente a los accidentes de Flixborough y Seveso en Europa.

2. Localizacin de los establecimientos que presenten riesgos de accidentes graves. Muchas personas residentes en la localidad de Bhopal, estaban en situacin de riesgo por la situacin de la planta respecto a la ciudad. La eleccin correcta de los emplazamientos y, en concreto, la planificacin territorial para evitar mayores riesgos en el entorno inmediato de este tipo de establecimientos, es otra de las conclusiones importantes. Este aspecto de la planificacin territorial, se ha tenido muy en cuenta en la nueva legislacin sobre accidentes graves, el Real Decreto 1254/99.

3. Gestin de los establecimientos con riesgos de accidentes graves. La planta de Union Carbide presentaba riesgos graves por los procesos y sustancias manejadas. La Direccin de la empresa no era lo suficientemente consciente de que la gestin de estos establecimientos desde el punto de vista de la seguridad tiene que ser acorde con el riesgo existente.4. Manejo de sustancias altamente txicas. El isocianato de metilo es una sustancia muy txica. Los riesgos derivados de la manipulacin de este tipo de sustancias no son debidamente considerados por muchos industriales. El riesgo deber analizarse especialmente si existe la posibilidad de emisiones accidentales de estos productos. En Bhopal, este mecanismo de emisin accidental fue la ocurrencia de una reaccin exotrmica en el depsito de almacenamiento.5. Reacciones fuera de control en almacenamientos. El riesgo de reacciones del tipo "runaway" en reactores, est bastante bien estudiado. Sin embargo, las reacciones que suceden en el interior de los depsitos de almacenamiento han recibido poca atencin. En Bhopal, esta reaccin se produjo por la presencia de agua. En las instalaciones donde estas reacciones pueden generar emisiones accidentales para sustancias peligrosas, la posibilidad de su ocurrencia se debe contemplar adecuadamente.6. Riesgos de presencia de agua en determinadas instalaciones. Los riesgos de la presencia de agua y las reacciones a que dan lugar son bastante bien conocidas. Bhopal refleja el riesgo de una reaccin exotrmica entre un fluido de proceso y el agua.7. Riesgo relativo de sustancias en proceso y en almacenamiento. Existe la tendencia a considerar que los riesgos de sustancias en almacenamientos son menores que los que existen para esas mismas sustancias en proceso porque, aunque las cantidades son mucho mayores, la probabilidad de una emisin accidental es mucho menor. La emisin de Bhopal tuvo lugar desde un depsito de almacenamiento aunque asociado a un proceso.8. Prioridad de la produccin frente a la seguridad. Todas las investigaciones indican que la desaparicin momentnea de determinadas medidas de seguridad se debi a la reduccin de costes en la planta.9. Planificacin de las emergencias. La respuesta de la compaa y de las autoridades reflej que no exista un plan de emergencia adecuado. La necesidad de que la poblacin conozca los riesgos y las actuaciones de emergencia fue una de las principales conclusiones.10. Otras lecciones. Limitaciones en el inventario de sustancias peligrosas existentes. Limitaciones de la exposicin al personal de planta. Diseo y localizacin de las salas de control y otros edificios auxiliares. Control de la instrumentacin. Investigacin de accidentes. Accidente de Piper Alpha, Mar del Norte, 1988Piper Alpha (1973-1988), fue una plataforma petrolfera ubicada en el Mar del Norte propiedad de Occidental Petroleum Corporation OPCAL.[] La produccin de la plataforma comenz en 1976,[]primero como una plataforma petrolera de perforacin y adaptada a la produccin de gas posteriormente.El 6 de julio de 1988 una serie de explosiones destruyeron completamente la plataforma. Las explosiones y los incendios mataron a 167 hombres; 59 lograron sobrevivir. En el nmero de vctimas mortales se incluyen 2 miembros de la tripulacin del buque de rescate Sandhaven. Los cuerpos de treinta hombres no lograron encontrarse. Se considera el mayor desastre del mundo en la industria de extraccin de petrleo tanto en el nmero de muertos como en su coste econmico y de confianza empresarial en la propia industria petrolera. En el momento del desastre la plataforma produca el diez por ciento de la produccin de petrleo y gas del Mar del Norte.Caractersticas de las InstalacionesLa gran plataforma fija Piper Alpha, diseada inicialmente para la extraccin del petrleo se ubica en el Campo petrolfero Piper, aproximadamente a 193 km al noreste de Aberdeen y con una altura de 144 metros desde el agua. La plataforma Piper Alpha estaba compuesta por cuatro mdulos separados por cortafuegos [2] y fue construida por la empresa de Ingeniera McDermott en Ardersier y el I.U.E. en Cherburgo. Las secciones fueron unidas en Ardersier antes de remolcar la plataforma en el ao 1975. La produccin comenz a finales de 1976. Por razones de seguridad, los mdulos se organizaron de modo que las operaciones y actividades ms peligrosas estuvieran protegidas y alejadas del mayor nmero posible de trabajadores. Pero, con la conversin a una plataforma de extraccin y tratamiento de gas se rompi este concepto de seguridad, con el resultado de que zonas sensibles que deban estar separadas se reunieron en un slo mdulo. As ocurri, por ejemplo, con la unin de la zona de compresin de gas y la sala de control, que finalmente desempe un papel crucial en el accidente.La plataforma trataba el petrleo crudo y gas natural proveniente de veinticuatro pozos para su entrega final a la terminal petrolera de Flotta en las Islas Orcadas as como a otras instalaciones a travs de tres gasoductos. En el momento de la catstrofe la plataforma Piper Alpha era la ms grande y pesada de todo el Mar del Norte.Figura 14.

Fuente.

Descripcin del Accidente El desastre comenz con un procedimiento rutinario de mantenimiento para controlar una vlvula de seguridad en una bomba secundaria de propano condensado La vlvula fue retirada y reemplazada por una brida ciega provisoria No tuvieron todo el equipo necesario hasta despus que termin el turno Se autoriz a los trabajadores a completar la tarea al da siguiente Esa noche, ms tarde, la bomba de condensado fall El personal de la sala de control no saba que se haba realizado el mantenimiento Encendieron la bomba secundaria de condensado La brida provisoria no era adecuada Se produjo la fuga de productos de gas, se incendiaron y explotaron No haba paredes protectoras contra incendios El sistema automtico de inundacin no se activ ya que haba sido apagado Las tuberas de gas recin se desconectaron una hora despus de que haban estallado, lo que contribuy a empeorar el incendio. La tripulacin no haba recibido instrucciones Falta de capacitacin En este punto, las vas hacia los botes salvavidas ya estaban bloqueadas por el humo y las llamas La mayora de los 167 tripulantes falleci por asfixia con CO y humo en el rea de alojamiento.

Figura 15.

Fuente.

Anlisis de las causas del accidente Capacitation en Seguridad Capacitacin inadecuada de la tripulacin sobre procedimientos de emergencia Capacitacin inadecuada de la gerencia sobre liderazgo en una situacin de emergencia Entrenamiento en emergencia inadecuado Capacitacin inadecuada sobre comunicacin entre plataformas En 1988 se estableci una comisin de investigacin para aclarar las causas del desastre. En noviembre de 1990, se lleg a la conclusin inicial de que el accidente fue el resultado de una serie de hechos que se inician con los trabajos de mantenimiento que se llevan a cabo simultneamente en una bomba y vlvula de seguridad. La investigacin fue muy dura con la empresa responsable de la plataforma, la Occidental Petroleum Corporation, que fue declarada culpable por insuficiente mantenimiento y negligencia en los procedimientos de seguridad. Pero no se presentaron cargos penales. Fallas Organizativas Occidental Petroleum saba que exista un riesgo grave de que las tuberas de gas estallaran en caso de incendio. Se haba recomendado a la gerencia la aplicacin de medidas de control de los riesgos. Occidental no actu en base a esta informacin La gerencia no cumpli las directivas de capacitacin No se aplic el sistema de permiso de trabajo. Si se hubiera aplicado el sistema en la forma adecuada, la explosin inicial no se habra producido jams. El principal problema fue que la mayora del personal que tena autoridad para ordenar la evacuacin haba muerto con la primera explosin que destruy la sala de control donde estaban. Esto fue consecuencia clara y directa del diseo y reforma de la plataforma, incluyendo la ausencia de paredes antiexplosin. Otro factor decisivo fue que las plataformas Tartan y Claymore siguieron bombeando gas y petrleo a Piper Alpha hasta la ruptura de la tubera por el calor de la segunda explosin. Los responsables de las distintas operaciones y plataformas no tenan o crean que no tenan la autoridad para cerrar los suministros an a pesar de recibir las alarmas y que podan ver el fuego en Piper Alpha. Lecciones Aprendidas En el informe de la investigacin del accidente se critic fuertemente la cultura de la seguridad Las lecciones aprendidas afectaron a toda la industria del petrleo y gas del Reino Unido Cambios importantes en la legislacin de salud y seguridad relacionada con la industria del petrleo y gas Implementacin del caso de seguridad Las compaas de petrleo y gas deben considerar la cultura de la seguridad y los Factores Humanos Los Factores Humanos y la cultura de la seguridad deberan considerarse como parte de cualquier Sistema de gestin de seguridadAccidente de Passadena(USA), 1989Una serie de explosiones e incendios consecuenciales, ocurridos el 23 de Octubre de 1989 en la planta de Phillips Petroleum, en Pasadena (Texas, USA), ocasionaron uno de los balances ms desastrosos de siniestros en la industria qumica. El accidente ocasion la muerte de 23 personas, resultando heridas otras 130 y prcticamente destruy toda la planta, produciendo daos estimados en 750 millones de dlares (USA)

Caractersticas de las InstalacionesLa planta de Phillips estaba instalada en el complejo petroqumico del canal de Houston, en Pasadena, estado de Texas. Ocupando una extensin de 3.200.000 metros cuadrados. En ella se fabricaban resinas de polipropileno, copolmeros de butadieno-estireno, resinas de polietileno de alta densidad y otros productos de base para las industrias transformadoras de plsticos. La divisin de produccin del polietileno, donde ocurrieron las explosiones, se extenda en una superficie de unos 250.000 metros cuadrados, en la que se ubicaban cinco unidades independientes de fabricacin del polietileno. Los procesos se llevaban a cabo en seis reactores, instalados tanto en edificios cubiertos, como al aire libre, en construcciones de varios niveles con estructuras de acero sin proteger. Los tanques y silos de almacenamiento eran tambin de acero, sin recubrimiento protector, al igual que los edificios auxiliares y de servicios de construccin ligera, basada en estructuras metlicas. El proceso de fabricacin de las resinas de polietileno comprenda varias etapas en cadena, que facilitaban la reaccin de una mezcla de, bsicamente, etileno, isobutano y hexano en circuito continuo a travs de una conduccin de acero de 765 milmetros de dimetro. El tipo de polmero a obtener se consegua modificando el catalizador aadido, a la mezcla citada anteriormente. Dada la intensidad de las explosiones, prcticamente la totalidad de los sistemas fijos de extincin y refrigeracin quedaron fuera de servicio. El producto resultante se extraa de la parte inferior del reactor, en un estado gelatinoso, que posteriormente era secado y extrusionado para obtener la presentacin final en forma de granza. La granza se almacenaba en silos metlicos, para su posterior distribucin por barco. La resina de polietileno se usa para la fabricacin de envases de ciertos productos lquidos, lminas de recubrimiento de embalajes, bolsas y objetos de diverso uso. Esta operacin no se llevaba a cabo en la planta de Phillips. Los sistemas de proteccin contra incendios estaban basados en detectores automticos de gases y de incendio, combinados con supresores secos de explosiones y mecanismos de refrigeracin en determinados equipos. Al mismo tiempo, existan sistemas manuales de extincin y equipamientos de emergencia, manejables por brigadas de bomberos voluntarios. La empresa, junto con la mayora de industrias del complejo petroqumico, haba establecido un Servicio de Ayuda Mutua, para prestarse apoyo ante accidentes graves. Este servicio proporcionaba entrenamiento a las brigadas de las empresas, primeros auxilios, equipos de emergencia de alta capacidad y otros servicios de seguridad. Descripcin del AccidenteThe day before the incident scheduled maintenance work had begun to clear three of the six settling legs on a reactor. A specialist maintenance contractor was employed to carry out the work. A procedure was in place to isolate the leg to be worked on. During the clearing of No.2 settling leg part of the plug remained lodged in the pipework. A member of the team went to the control room to seek assistance. Shortly afterwards the release occurred. Approximately 2 minutes later the vapour cloud ignited.The accident resulted from a release of extremely flammable process gases that occurred during regular maintenance operations on one of the plant's polyethylene reactors. More than 85,000 pounds (39t) of highly flammable gases were released through an open valve almost instantaneously.During routine maintenance, isolation valves were closed and compressed air hoses that actuated them physically disconnected as a safety measure. The air connections for opening and closing this valve were identical, and had been improperly reversed when last re-connected. As a result, the valve would have been open when the switch in the control room was in the "valve closed" position. After that, the valve was opened when it was expected to stay closed, and finally passed the reactor content into air.[2]A vapor cloud formed and traveled rapidly through the polyethylene plant. Within 90 to 120 seconds, the vapor cloud came into contact with an ignition source and exploded with the force of 2.4 tons of TNT.[1] Ten to fifteen minutes later, that was followed by the explosion of the 20,000-U.S.-gallon (76,000L) isobutane storage tank, then by the catastrophic failure of another polyethylene reactor, and finally by other explosions, probably about six in total.[2]Analisis de las causas del accidenteOSHA's major findings included: Lack of process hazard analysis; inadequate standard operating procedures (SOPs); non-fail-safe block valve; inadequate maintenance permitting system; inadequate lockout/tagout procedures; lack of combustible gas detection and alarm system; presence of ignition sources; inadequate ventilation systems for nearby buildings; fire protection system not maintained in an adequate state of readiness. Additional factors found by OSHA included: Proximity of high-occupancy structures (control rooms) to hazardous operations; inadequate separation between buildings; crowded process equipment; insufficient separation between the reactors and the control room for emergency shutdown procedures.[2]Quoting from a key OSHA document:[9]"At the conclusion of the investigation (April 19, 1990), OSHA issued 566 willful and 9 serious violations with a combined total proposed penalty of $5,666,200 to Phillips 66 Company and 181 willful and 12 serious violations with a combined total proposed penalty of $729,600 to Fish Engineering and Construction, Inc., a maintenance contractor on the site."

Lecciones Aprendidas1. Tener un plan de pre-emergencia integral es de gran valor. Hubo una rpida respuesta seguida de la explosin. Unfortunately, most of the damage and death toll was immediate, but the response to this disaster was about as effective as could be hoped. The guidelines and procedures set out by the CIMA handbook have been tried and tested. CIMA exemplifies what communications and cooperative efforts can do. This organization realizes it is not without fault, but it is quick to analyze after each emergency and correct whatever may have arisen.2. The use of a field command post along with a central command post made possible well-coordinated response management in a major emergency. CIMAs guidelines state that the distressed companys officials are the ones in charge of actual suppression and emergency details within the boundaries of the facility. CIMA, upon arrival, is there to provide coordinated assistance, information, and recommendations as needed. The company official in charge is designated as the field command post and the CIMA chairperson becomes the central command post. This may be viewed as dual command, but in a large scale disaster such as this, single command can be overwhelming. This form of Incident Command has worked well, at least in the highly cooperative and professional environment of the CIMA.

3. Accessibility for inspections allows responding fire departments to have full knowledge of contents and possible dangers involved. As part of the prerequisite for becoming a CIMA member, each company must agree to cooperate totally with authorized inspectors of the CIMA Inspection Officers. There is no conflict of interest involved since the inspectors will be from other plants. Since this type of industry is highly specialized and complex, there are not many who are better trained to inspect than engineers and safety officers from similar work areas. These are the same people that will be responding to emergencies and will therefore exercise the utmost care to protect themselves and their units. Most city and county fire inspectors are not versed enough in this type of industrial technology to make adequate inspections.4. The separate staging area under the command of the central post was very helpful for the quick response of apparatus, equipment, triage, and as a rest and relief area. By having the Central Post coordinate this area, the suppression and rescue operations could be handled with the fire line being cluttered with unneeded personnel. When a need for further assistance arose, it was met by Field Command notifying Central Post who, in turn, called staging for whatever was needed.1. Availability of specialists in chemical fires and hazardous materials (Hazmat) incidents are a necessity for large industrial areas such as the Houston Ship Channel. The CIMA organization has appointed a group of specialists who are directed to respond to fire or emergency situations reported on the CIMA emergency radio network. These specialists have knowledge in areas such as chemical fire suppression and Hazmat spills or burns. They are required to respond to all alarms. The first arriving specialist is instructed to determine the needs, and to broadcast reports on the conditions to other responding specialists.

An efficient, successful suppression operation can inadvertently leave possible post-fire hazards from leftover pockets of unburned fuel. During victim recovery operations pockets of remaining fuel were discovered in some pipes. This fuel had not been burned off because of the quick cooling of the pipes by suppression personnel and equipment. Fuel residues such as this can be ignited during overhaul procedures. Most likely, these will not cause extensive fires, but caution should be exercised if one is not sure that all fuels are depleted.1. First responders should use caution in how close they get to hazardous areas during initial stages. Although it is the responsibility of fire departments to contain and suppress a fire, they must also show caution in approaching an explosive area. First responders to this disaster stated that even outside the fence line their equipment was being rocked by blast waves. Throughout the entire suppression and recovery operation there were no injuries to emergency responding personnel. But if the gas cloud had lingered longer before being ignited and the response to the emergency call any faster, suppression units might have been caught in the explosion (as happened in a Henderson, Nevada, rocket fuel plant explosion in 1988).1. Automated sprinkler protection systems should have main control valves and connections below ground level if possible. In heavy industry such as the Phillips Chemical Complex, there is potential for explosions to occur. The explosion in this case did in fact sever above-ground connections to the sprinkler system. As great as this particular explosion was, it may have damaged even a protected system, but Phillips officials indicated that with any new plant design they would incorporate below-ground-level sprinkler mains, valves, and connections as much as possible. The same design consideration applies to smaller industry or any circumstances where sprinklers could be damaged by an explosion.Como podemos observar, muchas veces un pequeo error humano puede causar laprdidade miles de vidas de seres vivos, ya que los humanos no somos los nicos que resultamos daados sino la flora y fauna del Medio Ambiente tambin es daada severamente. Las actividades econmicas que generan catstrofes provocan un deterioro ambiental mucho mayor que el que generan loscatstrofesnaturales debido a que las sustancias emitidas por las explosiones son en su mayora venenosas y perjudiciales para el oxgeno. Definitivamente al querer el ser humano controlar todo, existe la probabilidad de que se le escape de sus manos y se provoque un accidente y con estos ejemplos podemos verificar lo citado.En la investigacin de todos estos accidentes mencionados lneas arribas ninguno fallo por los sistemas instrumentados de seguridad, pero los sistemas instrumentados si pueden fallar, en los accidentes que ocurrieron los sistemas que debieron haber funcionado como proteccin no lo hicieron por que estaban bypaseados o en mantenimiento, no hace mencin si tuvieron o no sistemas instrumentados de seguridad, en algunos de ellos la reingeniera desarrollada para aumentar la produccin no tomo en cuenta la seguridad del proceso o en su defecto fue muy pobre como anlisis para la implantacin.Los ejemplos arriba mostrados son solo una pequea parte del total que se han tenido hasta la actualidad, el ms reciente la explosin en PEDEVESA, Lo importante aqu es que las empresas no estn acostumbradas ha realizar auditoras a sus sistemas instrumentados de seguridad, ya sea porque desconocen cmo hacerlo, no hay personal suficiente para realizarlo, o porque no hay una poltica que venga desde la gerencia, hoy en la actualidad las plantas a raz de los errores de otras empresas en el pasado muchas han invertido en sistemas instrumentados de seguridad pero que pesar que lo tienen implementado no le dan el adecuado cuidado y mantencin que se le debe realizar.Muchas veces los cambios en el proceso no son documentados, o no son debatidos con todas las reas involucradas, los anlisis de riesgos operacionales, HAZOP, no son revisados anualmente como debiera ser, las pruebas de funcionalidad de los SIS no se hace correctamente ya que eso involucra parada de planta en algunos casos, pero debe hacerse, como se puede saber si un sistema instrumentado de seguridad trabaja correctamente, si nunca se ha probado, como sabremos que una vlvula de seguridad ya sea una ESDV o BDV se cerrar o abrir respectivamente segn sea el caso, cuando la presin aumente en un tanque o en una tubera por donde pasa un gas altamente explosivo y se la requiera en un emergencia, muchas veces los factores ambientales afectan la funcionalidad de la vlvula, uno de ellos es la corrosin.Por un lado las vlvulas por otro lados los instrumentos de medicin SIS, como sabemos que estn bien calibrados, como sabemos si ante una elevada presin o temperatura leda por el instrumento este ordenara a la vlvula abrir o cerrar, Esta bien desarrollada la lgica de control? Como sabremos que el lazo de control o el interlock est trabajando bien? Est documentada esta prueba en el sistema de gestin de mantenimiento? Que estndar en sistemas de seguridad funcional estamos adoptando? Lo estamos cumpliendo?.En si hay muchas interrogantes por hacerse, hoy en da los gobiernos a travs de sus instituciones gubernamentales hacen auditoras a las empresas, pero incluso los mismo auditores desconocen este tema de la seguridad funcional, en mi experiencia he notado que solo piden pruebas de mantenimiento de algunas vlvulas, de algunos trasmisores, este tema de los sistemas instrumentados de seguridad en un tema relativamente nuevo, como se mencion el termino aparece recin en 1993 en un libro de ingeniera qumica.Las empresas hoy en da ante una auditoria por parte el gobierno salen victoriosas, pero no por que tengan todo en regla, sino porque el auditor carece de la experiencia necesaria y la metodologa para llevar a cabo una auditoria a los sistemas instrumentados de seguridad funcional, tema que es muy complejo y extenso y algunas veces es fcil de tergiversarle la verdad.Otro punto a examinar son las lgicas de control que se encuentran dentro del PLC de seguridad funcional, a veces las personas encargadas de control de procesos o de mantenimiento en su rutina diaria de mantenimiento se dan cuenta que un transmisor esta calibrado fuera del rango del que debe operar y por ende si ocurre un evento este no lo detectara, ya que en la lgica de control tiene una configuracin del rango diferente al del equipo y a la vez diferente con el data sheet entregada por la compaa que hizo la ingeniera.Segn un estudio hecho en el reino unido en 1995 las causas de accidentes en las plantas industriales se dividen en lo siguiente:

Figura 16.

Fuente.

4.3. FORMULACION DEL PROBLEMA

En qu medida la Auditoria a los sistemas Instrumentados de Seguridad Funcional incidir en la mejora de la confiabilidad en plantas de proceso continuo?

4.4. MARCO TEORICO

4.4.1. Seguridad Funcional.

La seguridad funcional hace referencia a la respuesta de forma adecuada de componentes o subsistemas elctricos, electrnicos y electrnicos programables implicados en materia de seguridad ante cualquier estmulo externo, incluyendo errores humanos, fallos de hardware o cambios en su entorno para llevar el proceso a un estado seguro. El objetivo ltimo es minimizar el riesgo.

4.4.2. Funciones Instrumentadas de Seguridad (Safety Instrumented Function, SIF).

Segn la norma IEC 61511 Es una funcin de seguridad con un nivel de integridad de seguridad especificado que es necesario para alcanzar la seguridad funcional y que puede ser una funcin de proteccin de seguridad instrumentada (Modo bajo demanda.- Cuando la demanda ocurre una vez al ao) o una funcin de control de seguridad instrumentada (Modo continuo.- Cuando la demanda ocurre dos o ms veces al ao). [4].

4.4.3. Nivel de Integridad de Seguridad (Safety Integrity Level, SIL).

Se define como un nivel relativo de reduccin del riesgo que provee una funcin de seguridad, o bien para especificar el nivel objetivo para la reduccin de riesgo. Tambin podra definirse simplemente como una medida de la prestacin requerida para una SIF.

4.4.3.1. Sistemas Instrumentados de Seguridad (Safety Instrumented System, SIS).

Un SIS es un sistema cuyo propsito es implementar las funciones de seguridad(SIF) necesarias para llevar a la planta o un proceso a un estado seguro en caso de presentarse un evento de riesgo o cuando se han violado las condiciones de funcionamiento predeterminadas de una variable. Se puede considerar como eventos de riesgo: nivel, concentracin, presin y temperatura de lquidos fuera del rango considerado normal.

Figura 17. Sistema Instrumentado de Seguridad (SIS)

Fuente.

La Figura 17. muestra un esquema simplificado de un sistema instrumentado de seguridad. Est compuesto por tres subsistemas fundamentales: elementos de entrada (sensores), solucionador lgico y elementos finales de control (actuadores).Un sistema de control bsico de procesos (Basic Process Control System, BPCS) consta tambin de los mismos elementos, pero actan de diferente manera: El sistema de control regula y controla el proceso mientras que el SIS brinda seguridad al proceso.

4.4.3.2. Sistemas de Control como Sistemas Relacionados con Seguridad.

Aunque hay definiciones ms amplias de este tema, se define un sistema de control como un sistema que responde a las seales procedentes de la planta y/o un operador, haciendo que los equipos de planta funcionen de la manera deseada. La planta o equipo que se est controlando se designa como el equipo bajo control (Equipment Under Control, EUC).

Si el sistema de control desempea un rol de seguridad, ya sea como una parte integral de la EUC o como un sistema de proteccin por separado, ser un sistema relacionado con la seguridad.Ejemplos tpicos de los sistemas de control utilizados para seguridad en la planta y equipos son sistemas de "proteccin" y bloqueo (Interlock), pero en ciertos casos se puede necesitar una combinacin de ambos con el sistema de control de la mquina proceso

Sistemas de Bloqueo.El bloqueo es un medio para impedir el acceso a un lugar que contiene una parte o proceso peligroso, mientras que permite el acceso cuando el peligro no est presente. Dicho sistema puede ser totalmente mecnico o una parte integral del sistema de control, y a menudo es implementado utilizando componentes robustos simples como switches y rels limitadores.

Sistemas de Proteccin.Un sistema de proteccin es una forma particular de sistema de control, a menudo incorpora el monitoreo continuo de estado de la planta. Puede ser un simple dispositivo mecnico, tal como una vlvula de seguridad o un SIS por separado, por ejemplo, el sistema de parada de emergencia de una gran instalacin petroqumica. Son sistemas que operan bajo demanda y su principal objetivo es llevar la planta o el equipo a un estado seguro cuando un parmetro de funcionamiento excede los lmites de seguridad. Es importante que estos sistemas sean probados frecuentemente para asegurar su disponibilidad para llevar a cabo su funcin de seguridad.

Tcnicas programables permiten realizar un autodiagnstico automtico, se aplica ampliamente con los sistemas electromecnicos. Sensores, actuadores, controladores y cableado de interconexin, todo se pueden monitorizar continuamente durante la operacin de la mquina o proceso. El autodiagnstico automtico se est empleando cada vez ms en sistemas que requieren una alta integridad de seguridad.

4.4.3.3. Evaluacin de seguridad y confiabilidad.

Durante las etapas de diseo, construccin y operacin de un SIS, la evaluacin de seguridad y confiabilidad es importante ya que en base de ella se puede seleccionar el SIS adecuado que cumpla con los requisitos de funcionalidad y confiabilidad dados para una aplicacin en particular.Durante la etapa de operacin del SIS la recoleccin de datos es fundamental para actualizar la evaluacin de seguridad y confiabilidad, adems de verificar que el SIS contine cumpliendo los requisitos especificados para los que fue diseado. Algunas de las actividades de la evaluacin de seguridad y confiabilidad son: Modelado y clculo de la confiabilidad.- Para el modelado se puede utilizar diagramas de bloque de confiabilidad (Reability Block Diagrams, RBD), modelos de Markov y anlisis mediante rboles de falla (Fault Tree Analysis, FTA). Los clculos pueden ser obtenidos de frmulas exactas o aproximaciones de las mismas.

Revisin del diseo.- Consiste en revisar la documentacin del hardware y del software, as tambin en evaluar si se cumplen todos los requerimientos establecidos.

Etapa de prueba.- Se ejecuta una vez que el hardware y el software han sido implementados, iniciando con elementos individuales hasta llegar a los lazos de la SIF. Durante la etapa de operacin se puede revelar fallas ocultas en el SIS y verificar si se han realizado cambios en el hardware o software del mismo.

Anlisis de fallas.- Consiste en asegurar que todas las causas de falla y sus efectos son identificados y tratados en el diseo del SIS. En la etapa de operacin puede utilizarse para determinar acciones correctivas para prevenir fallas similares a futuro.Los requerimientos establecidos para el diseo de un SIS estn dados en regulaciones y estndares que son provistos por autoridades regulatorias nacionales e internacionales.

4.4.3.4. Guas Industriales, Estndares y Regulaciones

IEC 61508.La Comisin Electrotcnica Internacional lanz este estndar global para sistemas instrumentados de seguridad que abarca mltiples industrias como transporte, mdica, nuclear y de procesos.

Su objetivo principal es servir de gua para que otras industrias individuales puedan desarrollar sus propios estndares para que cumplan los requerimientos de esta norma. Otra aplicacin de este estndar es la validacin de nuevas tecnologas desarrolladas para aplicaciones relacionadas con seguridad, por ello a esta norma tambin se la conoce como el estndar de los vendedores.

Este documento consta de siete partes:2. Requerimientos generales.- Describe los pasos que son necesarios para la identificacin de peligros y riesgos, para de esta manera definir la reduccin de riesgo necesaria para diferentes sistemas y las actividades necesarias para realizar la integracin total del sistema.

2. Requerimientos para sistemas Elctricos/Electrnicos/Electrnicos2. Programables (E/E/PE) relacionados con seguridad.- Provee los requisitos para el diseo del hardware y su integracin con el software.2. Requerimientos de software.- Define los requerimientos para la seleccin, implementacin y verificacin de las herramientas de software, aplicaciones y lenguajes de programacin.2. Definiciones y Abreviaciones.- Es una lista de definiciones y abreviaciones utilizadas en el estndar.2. Ejemplos de mtodos para la determinacin de los niveles integrados de seguridad.- Hace referencia a mtodos para determinar el SIL.2. Guas en la aplicacin de IEC 61508-2 y IEC 61508-3.- Se refieren a lineamientos para aplicacin de la parte 2.

Revisin de tcnicas y medidas.- Recomendaciones especficas.Las primeras tres partes son normativas mientras que las otras cuatro partes proveen anexos informativos al estndar

IEC 61511.La norma IEC 61511 denominada Seguridad Funcional: SIS para el Sector de la Industria del Proceso fue desarrollada para el sector de las industrias de proceso y aplicable, no solo a fabricantes y suministradores, sino tambin a diseadores del nivel de seguridad, integradores y usuarios. Fue publicada en el 2003 y en ocasiones es llamada El estndar de los usuarios. Esta norma aplica los mismos conceptos de la IEC 61508 con algunos cambios en la prctica, conceptos y trminos en la industria de procesos.Consta de tres partes: Marco, definiciones, sistema, requisitos de hardware y software. Guas para la aplicacin de la IEC 61511, parte 1. Gua para la determinacin de los niveles de integridad de seguridad requeridos.Es una norma tcnica que establece las prcticas en la ingeniera de sistemas que garantizan la seguridad de un proceso industrial mediante el uso de la instrumentacin, estos sistemas se denominan SIS. El sistema de gestin del SIS debe definir cmo un propietario/operador tiene intencin de evaluar, disear, verificar, instalar, validar, operar, mantener y mejorar continuamente sus SIS. Las funciones esenciales del personal asignado a la gestin del SIS deben estar contempladas y bien definidas en procedimientos, segn sea necesario, para apoyar la ejecucin coherente de sus responsabilidades.

El sector de la industria de procesos incluye muchos tipos de procesos de fabricacin, tales como refineras, petroqumicas, qumicas, energa, farmacuticas de pasta y papel, por ello la norma IEC 61511 cubre el uso de equipos elctricos, electrnicos y electrnicos programables, as tambin es aplicable a los equipos que utilizan sistemas hidrulicos o neumticos para manipular elementos finales, pero no cubre el diseo e implementacin de la lgica neumtica o hidrulica.

4.4.3.5. Capas de proteccin

En muchos casos, una medida de seguridad individual no puede por s sola reducir el riesgo a niveles tolerables, proteger una planta y a su personal contra daos o mitigar la propagacin de los mismos si ocurre un incidente peligroso. Por esta razn la seguridad se implementa en forma de capas protectoras: una secuencia de dispositivos mecnicos, controles de proceso, sistemas de parada y medidas de respuesta externas que previenen o mitigan un evento peligroso. Si llegara a fallar una capa de proteccin, las sucesivas capas estarn disponibles para llevar el proceso a un estado seguro. A medida que aumenta el nmero de capas de proteccin y su confiabilidad, tambin aumenta la seguridad del proceso. En la figura 1.9.1 se muestra la sucesin de capas de seguridad en el orden de su activacin:

Figura 18. Capas de Proteccin (Modelo de la Cebolla)

Fuente.

4.4.3.6. Capas de Prevencin:

Proceso.- El proceso por s mismo debe ser intrnsecamente seguro, es decir, proporcionar seguridad al operador. Sistema de Control Bsico de Procesos (BPCS).- El BPCS brinda seguridad a travs del diseo apropiado del control de proceso. Este nivel consiste de controles bsicos, alarmas y supervisin del operador. Alarmas, Intervencin del Operador.- Esta capa aporta alarmas crticas que alertan a los operadores acerca de una condicin en la cual una medicin ha excedido sus lmites especificados y podra requerir intervencin. Sistema Instrumentado de Seguridad.- El SIS opera independientemente del BPCS para brindar seguridad. El SIS realiza acciones de parada cuando las capas previas no pueden resolver una emergencia. Dispositivos de alivio.- Esta capa activa, emplea vlvulas, dispositivos de alivio de presin o un sistema de antorcha (si hay presencia de combustibles) para impedir una ruptura, derrame u otro escape no controlado.

4.4.3.7. Capas de Mitigacin

Proteccin Fsica.- Esta capa de proteccin es pasiva ya que hace referencia a la infraestructura fsica de la planta que se encarga de contener derrames (combustibles o sustancias qumicas) que pudieran darse. Por ejemplo: Diques. Respuesta de la planta.- Esta capa al igual que la anterior tambin es pasiva consiste de barreras de contencin contra fuego o explosiones como as tambin procedimientos para evacuacin. Respuesta de la comunidad.- El nivel final (externo) de proteccin es la accin de respuesta de emergencia implementada por la comunidad y se refiere a bomberos y otros servicios de emergencia.

La reduccin del riesgo mediante la seleccin cuidadosa de parmetros operacionales bsicos del proceso constituye una pieza clave en el diseo de un proceso seguro. Cada capa de proteccin adicional consiste de un conjunto de equipos y/o controles administrativos, que interactan con otras capas de proteccin, reduciendo de esta manera el riesgo.

4.4.3.8. Diseo del Ciclo de Vida de Seguridad.

El objetivo principal del ciclo de vida es la reduccin de riesgos a niveles tolerables. Se trata de una metodologa prctica que delimita los pasos necesarios a seguir para alcanzar la seguridad integral de las plantas de proceso, definiendo la secuencia a seguir y la documentacin de cada fase. Para ello la normativa IEC 61511 establece una serie de etapas que ayudan y sirven de gua para conseguir este objetivo.

Representa una descripcin simplificada de los pasos que deben seguirse para desarrollar un SIS segn la norma actual, pero no necesariamente representa el proceso funcional necesario que una compaa o empresa deba implementar para el diseo de un SIS en particular.Lo que se busca establecer es que cada empresa tenga un procedimiento formal y organizado para el diseo de sistemas de seguridad que debe cumplir con los requerimientos fundamentales de seguridad de la empresa, con el ciclo de vida, con las normas y regulaciones de seguridad establecidas por el pas y procedimientos de ingeniera. La figura 1.10.1 muestra el ciclo de vida de un SIS segn la norma IEC61511

Figura 19. Ciclo de Vida segn norma IEC 61511 [4]

Fuente.

En la Figura 19 se define el Ciclo de Vida de Seguridad segn la norma IEC 61511, aqu se especifican todos los pasos a seguir desde el inicio y desarrollo conceptual del proyecto hasta el fin de la instalacin y su desmantelamiento

Figura 20. Ciclo de Vida Segura

Fuente.

Diseo conceptual del proceso.- Esta primera etapa se refiere a la informacin del proceso, es decir, el conocimiento del proceso entrega una idea preliminar de los peligros y riesgos potenciales del proceso, de los equipos y materiales, que sern estudiados y desarrollados en futuras etapas del ciclo de vida.

Identificacin de peligros y riesgos.- En esta etapa se requiere una detallada informacin para identificar los peligros y riesgos potenciales de dao asociados al proceso. Una vez identificados los peligros y riesgos, se aplicar la tecnologa y medidas adecuadas para eliminar la amenaza, reducir sus consecuencias o la ocurrencia del evento peligroso.

Identificar capas de proteccin no SIS.- En esta etapa se consideran las capas de proteccin necesarias para mitigar los efectos de un evento peligroso, dichas capas deben actuar antes que el SIS.

Determinacin del SIL objetivo.- Esta etapa se establece el SIL para cada SIF. La asignacin del nivel SIL de una SIF se basa en el anlisis de riesgos, mientras que el nivel de riesgo tolerable es una decisin corporativa basada en una filosofa de gestin de riesgos y de su tolerancia. 4.4.3.9. Desarrollar especificaciones de requerimientos de seguridad

(Safety Requirements Specification, SRS).- En esta etapa se desarrollan las SRS, documento en donde se recogen todos los resultados de la fase de anlisis del ciclo del vida. No hay reglas generales que puedan aplicarse en forma global ya que los requerimientos de seguridad dependern del proceso analizado.

Diseo conceptual del SIS.- En esta etapa, se desarrolla un diseo inicial para verificar si se cumple con los SRS y SIL de operacin. Se debe inicialmente seleccionar una tecnologa, arquitectura e intervalo de prueba. Posteriormente se debe proceder a la verificacin cuantitativa para ver si el sistema propuesto cumple los requerimientos de operacin.

Diseo detallado del SIS.- El objetivo de esta etapa es finalizar y documentar el diseo conceptual. Se elaboran planos elctricos, protocolo de pruebas, diseo de programacin, es decir, toda la documentacin entregada al constructor.

Instalacin, comisionamiento y pruebas pre-puesta en marcha del SIS.-En esta etapa se debe asegurar que el sistema sea instalado de acuerdo al diseo conceptual elegido siguiendo procedimientos estrictos para evitar errores en su implementacin y que opere de acuerdo a la SRS. Antes de que el sistema sea llevado a su emplazamiento debe ser probado hasta su correcta operacin(pruebas Factory Acceptance Test, FAT). Una vez instalado se debe verificar que el sistema est de acuerdo al diseo detallado incluyendo los dispositivos de campo (pruebas Site Acceptance Test, SAT).

Procedimientos de mantenimiento y operacin.- Son importantes para mantener la integridad del SIS. Deben incluir detalles de cmo operar y mantener el SIS, procedimientos alternativos de operacin del SIS en una condicin de disminucin de seguridad, procedimientos operativos en condiciones normales y