Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 2 de 167 Tabla de Contenido 1. INTRODUCCIÓN. .................................................................................................................................... 3 2. OBJETIVO................................................................................................................................................ 3 3. ALCANCE. ............................................................................................................................................... 3 4. CAMPO DE APLICACIÓN. ................................................................................................................... 4 5. ACTUALIZACIÓN. .................................................................................................................................. 4 6. DEFINICIONES. ...................................................................................................................................... 4 7. ACRÓNIMOS. .......................................................................................................................................... 7 8. GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO ....................... 8 8.1 CONCEPTOS DE ANÁLISIS DE RIESGOS………………………………………..………………………….....…....8 8.2 PROCESO DE ANÁLISIS DE RIESGOS……………………………………………………………………..........…9 8.4 8.2.1 El Proceso de Gestión de Riesgo .................................................................................................... 9 8.2.2 El Proceso Identificación, Análisis y Evaluación de Riesgos........................................................ 10 METODOLOGÍAS DE ANÁLISIS DE RIESGOS…………………………………………………………..….………15 8.3.1 Identificación de Peligros .............................................................................................................. 16 8.3.2 Jerarquización de los Riesgos ...................................................................................................... 16 8.3.3 Selección de las Metodologías...................................................................................................... 17 8.3.4 Listas de Verificación .................................................................................................................... 18 8.3.5 ¿Qué pasa sí? ............................................................................................................................... 18 8.3.6 Combinación Lista de Verificación y ¿Qué pasa sí? .................................................................... 18 8.3.7 Análisis de Modos de Falla y sus Efectos (FMEA) ..................................................................... 188 8.3.8 Análisis de Peligros y Operabilidad (HAZOP)............................................................................... 19 8.3.9 Caracterización y Jerarquización de los riesgos........................................................................... 19 8.3.9.1 Estimación de las Frecuencias ......................................................................................... 19 8.3.9.2 Análisis de Consecuencias .............................................................................................. 19 8.3.9.3 Matrices de Riesgo .......................................................................................................... 19 8.3.10 Análisis de Árboles de Eventos (AAE) ........................................................................................ 20 8.3.11 Análisis de Árboles de Fallas (AAF)............................................................................................ 20 8.3.12 Análisis de Consecuencias (AC)................................................................................................. 20 INFORME DEL ANÁLISIS DE RIESGOS……………………………………………………………...…………….21 9. BIBLIOGRAFÍA. .................................................................................................................................... 21 10. ANEXOS. ................................................................................................................................................ 22 8.3 Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 3 de 167 1. INTRODUCCIÓN. El manejo en las instalaciones y transporte de hidrocarburos por ducto en los diferentes Organismos Subsidiarios de Petróleos Mexicanos, conlleva riesgos de fugas y derrames que pueden derivar en accidentes que afecten al personal, la población, al medio ambiente y/o al negocio (instalaciones producción). Para determinar medidas que prevengan su ocurrencia o mitiguen sus posibles consecuencias, se realizan los análisis de riesgos de proceso. Estos análisis tienen como propósito identificar, analizar, evaluar y jerarquizar los riesgos que se presentan en un determinado proceso, tomando en cuenta sus posibles consecuencias y su probabilidad de ocurrencia. Posteriormente, la administración de estos riesgos se logra a través de la implantación de medidas preventivas y correctivas, que reduzcan obviamente su probabilidad de ocurrencia y/o sus posibles consecuencias, soportándolas todas ellas con un efectivo análisis costobeneficio que permitan integrar estos proyectos a la cadena productiva, de forma segura bajo niveles de riesgo tolerables. Por otra parte, otro uso práctico de las metodologías de análisis de riesgos descritas en éste documento, son su aplicación en la investigación y desarrollo de nuevos procesos, su diseño conceptual, operación en plantas piloto, ingeniería de detalle, construcción y arranque de instalaciones, administración de cambios de proceso, investigación de incidentes y accidentes y finalmente, una vez concluida la vida útil de una instalación, durante su desmantelamiento. Así mismo, durante la etapa de ingeniería de diseño de nuevos proyectos en la industria petrolera, los análisis de riesgos de proceso se conciben como un instrumento de alcance preventivo, que permiten integrar estos proyectos a la cadena productiva de forma segura y bajo niveles de riesgo tolerables. La Dirección Corporativa de Operaciones a través de la Subdirección de Disciplina Operativa, Seguridad, Salud y Protección Ambiental, emite estas “Guías Técnicas para realizar Análisis de Riesgos de Proceso”, con la finalidad de homologar la aplicación de metodologías para desarrollar los análisis de riesgos de proceso en Petróleos Mexicanos y Organismos Subsidiarios. 2. OBJETIVO. Homologar la selección y aplicación de las metodologías de análisis de riesgos de procesos en las instalaciones de Petróleos Mexicanos y Organismos Subsidiarios. Así mismo, asegurar la calidad y consistencia en la planeación y ejecución de los análisis de riesgos y en la presentación de resultados y conclusiones. 3. ALCANCE. Contiene las guías para desarrollar análisis de riesgos y se presenta como sigue; Conceptos de análisis de riesgos, proceso de análisis de riesgos, metodologías de análisis de riesgos e informe del análisis de riesgos. Las metodologías incluidas son las siguientes: Listas de verificación, ¿Qué pasa sí?, combinación de Lista de verificación/¿Qué pasa si?, Análisis de Modos de Falla y Efectos (siglas en Inglés FMEA), Análisis de Peligros y Operabilidad (HAZOP), Análisis de Árbol de Eventos (AAE), Análisis de Árbol de Fallas (AAF) y Análisis de Consecuencias (AC). Asimismo, contiene los criterios (matrices de riesgo), para caracterizar y valorar los riesgos identificados en los procesos. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 4 de 167 4. CAMPO DE APLICACIÓN. Estas guías son de aplicación general y observancia obligatoria para el desarrollo de análisis de riesgos de proceso en Petróleos Mexicanos y Organismos Subsidiarios. Los conceptos no previstos en este documento, se analizarán por parte de la Dirección Corporativa de Operaciones, a través de la Subdirección de Disciplina Operativa, Seguridad, Salud y Protección Ambiental y el área usuaria de este documento. 5. ACTUALIZACIÓN. Los conceptos contenidos en este documento, se deben revisar y actualizar al menos cada cinco años o antes, si las sugerencias o recomendaciones del cambio lo ameritan. Las sugerencias y recomendaciones deben dirigirse por escrito a la Gerencia de Atención a Contingencias, de la Dirección Corporativa de Operaciones. 6. DEFINICIONES. Accidente. Es aquel incidente que ocasiona afectaciones a los trabajadores, a la comunidad, al ambiente, al equipo y/o instalaciones, al proceso, transporte y distribución del producto y que debe ser reportado e investigado para establecer las medidas preventivas y/o correctivas, que deben ser adoptadas para evitar su recurrencia. Administración de cambios de proceso. Es la aplicación sistemática de políticas, prácticas y procedimientos de la organización en las tareas de identificación, evaluación, autorización e instalación de cualquier tipo de cambio o alteración, permanente o temporal, a la tecnología e instalaciones que modifique el riesgo o altere la seguridad y confiabilidad de las instalaciones o sistemas. Análisis de consecuencias. Estudio y predicción cualitativa de los efectos que pueden causar eventos o accidentes que involucran fugas de tóxicos, incendios o explosiones entre otros, sobre la población, el ambiente y las instalaciones. Análisis de riesgos de proceso. Conjunto de metodologías que consisten en la identificación, análisis y evaluación sistemática de la probabilidad de la ocurrencia de daños asociados a los factores externos (fenómenos naturales y sociales), fallas en los sistemas de control, los sistemas mecánicos, factores humanos y fallas en los sistemas de administración; con la finalidad de controlar y/o minimizar las consecuencias al personal, a la población, al ambiente, a la producción y/o a las instalaciones. Árbol de eventos. Es un diagrama lógico-gráfico en el cual se describen posibles estados finales, resultado de las diferentes trayectorias que puede seguir un evento no deseado (evento iniciador). Árbol de Fallas. Diagrama lógico-gráfico en el que se muestran todas las combinaciones creíbles de fallas o eventos que causarán una falla específica de interés, llamado evento tope. Es una técnica o proceso de razonamiento deductivo que utiliza símbolos lógicos Booleanos (compuertas “ó” (OR) y compuertas “y” (AND)) para descomponer las causas de un evento tope en fallas básicas de equipo, errores humanos y/o circunstancias asociadas (llamados eventos básicos). Caso más probable. Con base a la experiencia operativa, es el evento de liberación accidental de un material o sustancia peligrosa, que tiene la mayor probabilidad de ocurrir. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 5 de 167 Caso alterno. Es el evento creíble de una liberación accidental de un material o sustancia peligrosa que es simulado, pero que no corresponde al peor caso ni al caso más probable. Combustión. Reacción química de oxidación de un material combustible con desprendimiento de llamas, calor y gases. Compuerta. Símbolo lógico booleano que se utiliza en los Árboles de Fallas, para unir la salida de un evento con sus correspondientes entradas (compuertas OR, AND, NOT, etc.). Conjunto Mínimo de Corte. Combinación mínima de eventos básicos que provocan la ocurrencia del evento tope. Se pueden considerar como los modos de ocurrencia del evento tope. Consecuencias. Efectos que pueden causar eventos o accidentes que involucran fugas y derrames de sustancias tóxicas, inflamables y/o explosivas. Derrame. Cualquier descarga, evacuación, rebose, achique, o vaciamiento de hidrocarburos u otras sustancias peligrosas en estado líquido cuya presencia altere las condiciones naturales de un sitio y pongan en peligro uno o varios ecosistemas; puede presentarse en tierra, aguas superficiales o en el mar y se originan dentro o fuera de las instalaciones petroleras, durante las actividades de explotación, transformación, comercialización o transporte de hidrocarburos y sus derivados. Desviación. Condición que se aparta de la intención del diseño del sistema o proceso. Escenario de riesgo. Determinación de un evento hipotético, en el cual se considera la ocurrencia de un accidente bajo condiciones específicas, definiendo mediante la aplicación de modelos matemáticos y criterios acordes a las características de los procesos y/o materiales, las zonas que potencialmente puedan resultar afectadas. Estabilidad atmosférica. Describe el nivel de turbulencia en la atmósfera. Depende de la velocidad de viento, hora del día o de la noche y otras variables como la cantidad de radiación solar y nubosidad. Evento. Suceso relacionado a las acciones del ser humano, al desempeño del equipo o con sucesos externos al sistema, que pueden causar interrupciones y/o problemas en el sistema. En este documento, evento es causa o contribuyente de un incidente o accidente o, es también una respuesta a la ocurrencia de un evento iniciador. Evento Básico. Describe una condición normal o de falla en el árbol (falla de equipo, errores humanos, etc.). Definen el nivel de resolución del árbol de fallas. Evento iniciador. Evento específico indeseado que constituye la base fundamental del Análisis de Árboles de Eventos. Está relacionado generalmente con un accidente o desviación del sistema a analizar. Evento Intermedio. Falla que describe la señal de salida de una compuerta lógica. Evento no Desarrollado. Falla específica en la cual no se han desarrollado las causas de ocurrencia de este evento por falta de información, o bien, por considerarse poco relevante. Evento no deseado. Evento que implica la pérdida de un valor: salud, vida, producción, ambiente, capital, etc. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 6 de 167 Evento Tope. Evento específico no deseado. Explosión. Liberación súbita y violenta de energía que causa un cambio transitorio en la densidad, presión y velocidad del aire circundante a la fuente de energía. Esta liberación de energía puede generar una onda de presión con el potencial de causar daño en su entrono. Fuga. Liberación repentina o escape accidental por pérdida de contención, de una sustancia en estado líquido o gaseoso. Fuego. Consecuencia visible de la combustión. HazOp, metodología. Método estructurado y sistemático para examinar un sistema con el objetivo de identificar peligros potenciales y problemas operativos; en particular para identificar las causas y sus implicaciones. Incendio. Combustión no controlada. Inflamabilidad. Mayor o menor facilidad con la que una sustancia puede arder en aire o en algún otro comburente. Intención de diseño. Ver propósito de diseño. Límite inferior de inflamabilidad; explosividad inferior (LIE). Es la concentración mínima de cualquier vapor o gas (% por volumen de aire), que se inflama o explota si hay una fuente de ignición presente a la temperatura ambiente. Límite superior de inflamabilidad; explosividad superior (LSE). Es la concentración máxima de cualquier vapor o gas (% por volumen de aire), que se inflama o explota si hay una fuente de ignición presente a la temperatura ambiente. Nodo. Sección del proceso o instalación sujeta a estudio que se aísla del resto para propósitos analíticos. Nube tóxica o inflamable. Porción de la atmósfera con una concentración de material tóxico o inflamable que tiene el potencial de causar daño o entrar en combustión; su formación se debe a la liberación de una sustancia peligrosa. Palabra Guía. Palabra o frase que combinada con una variable o parámetro, expresa y define una desviación a partir de la intención de diseño. Peligro. Es toda condición física o química que tiene el potencial de causar daño al personal, a las instalaciones o al ambiente. Peor Caso. Corresponde a la liberación accidental del mayor inventario del material o sustancia peligrosa contenida en un recipiente, línea de proceso o ducto, la cual resulta en la mayor distancia hasta alcanzar los límites por toxicidad, sobre-presión o radiación térmica, de acuerdo a los criterios para definir las zonas intermedia de salvaguarda al entorno de la instalación. Para identificar los perores casos, no se requiere de un análisis de riesgos formal, ni conocer las causas que pudieran provocarlo ni su probabilidad de ocurrencia, simplemente consideramos que éste sucede. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 7 de 167 Proceso. Serie continua y repetible de actividades relacionadas que a través del uso de recursos convierte una o más entradas (insumos) en una o más salidas (productos), creando valor para el cliente. Propósito de diseño. Rango de valores deseados o especificados por el diseñador sobre el comportamiento de una porción del sistema (incluye tanto las condiciones como las características de los elementos constituyentes de un sistema). Riesgo. Peligros a los que se expone el personal. Combinación de la probabilidad de que ocurra un accidente y sus consecuencias. Simulación. Representación de un evento o fenómeno por medio de sistemas de cómputo, modelos físicos o matemáticos u otros medios, para facilitar su análisis. Sustancia peligrosa. Es cualquier sustancia que cuando es emitida, puesta en ignición o cuando su energía es liberada (fuego, explosión, fuga tóxica) puede causar lesión, daños a las instalaciones debido a sus características de toxicidad, inflamabilidad, explosividad, corrosión, inestabilidad térmica, calor latente o compresión. Toxicidad. Propiedad de las sustancias para producir un efecto indeseado cuando un compuesto químico ha alcanzado una cierta concentración que afecta al cuerpo humano. Umbral del dolor. Intensidad máxima de un estímulo a partir de la cual se experimenta sensación de dolor. Zona de amortiguamiento. Área donde pueden permitirse determinadas actividades productivas que sean compatibles, con la finalidad de salvaguardar a la población y al ambiente restringiendo el incremento de la población asentada. Zona de riesgo. Área de restricción total en la que no se debe permitir ningún tipo de actividad, incluyendo asentamientos humanos, agricultura con excepción de actividades de forestación, cercamiento y señalamiento de la misma, así como el mantenimiento y vigilancia. Zona intermedia de salvaguarda. Área determinada del resultado de la aplicación de criterios y modelos de simulación de riesgo que comprende las áreas en las cuales se presentarían límites superiores a los permisibles para la salud del hombre y afectaciones a sus bienes y al ambiente en caso de fugas accidentales de sustancias tóxicas y de la presencia de ondas de sobrepresión en caso de formación de nubes explosivas. Esta se conforma por la zona de alto riesgo y la zona de amortiguamiento. 7. ACRÓNIMOS Y ABREVIATURAS. AAE AAF AE Análisis de Árboles de Eventos Análisis de Árboles de Fallas Árbol de Eventos Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 8 de 167 AIChE American Institute of Chemical Engineers ALARP As Low as Reasonably Practicable – Tan Bajo como sea Razonablemente Práctico CCPS Center for Chemical Process Safety, pertenece al AIChE Comisión Electrotécnica Internacional CEI Diámetro equivalente de fuga DEF Event Tree Analysis ETA Grupo de Análisis de Riesgos GAR HazOp Hazard and Operability IChemE Institution of Chemical Engineers International Electrotechnical Commission IEC PEMEX Petróleos Mexicanos PEMEX Exploración y Producción PEP PGPB PEMEX Gas y Petroquímica Básica PREF PEMEX Refinación 8. GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO. 8.1 CONCEPTOS DE ANÁLISIS DE RIESGOS. El riesgo está presente en toda actividad humana. El riesgo, en términos prácticos, está relacionado con la salud de las personas (ej. muerte, lesiones o daños a largo, mediano y corto plazo), con el negocio (ej. daño a equipos, pérdida de producción, imagen) y con el medio ambiente. El objetivo de realizar análisis de riesgos es identificar peligros y riesgos para emitir recomendaciones tendientes a controlar y prevenir incidentes/accidentes, mitigar las consecuencias para evitar pérdidas humanas, daños a la salud, a la propiedad, instalaciones y medio ambiente. El análisis de riesgos es una herramienta útil para: • • • Identificar peligros, riesgos y estrategias para su manejo y control. Proveer información objetiva para la toma de decisiones. Cumplir con requisitos normativos y legales. Los resultados del análisis de riesgos se emplean para evaluar el nivel de tolerabilidad del riesgo, así como para la toma de decisiones en cuanto a seleccionar la mejor o mejores opciones para su administración y control. Algunos otros beneficios del análisis de riesgos son: • • • • • • • Identificación sistemática de peligros potenciales en los procesos. Identificación sistemática de los modos de fallas de sistemas o sus componentes y equipos. Evaluación cuantitativa del riesgo o estimación del rango de los riesgos. Evaluación de posibles modificaciones en instalaciones, proceso y/o controles administrativos para reducir el riesgo. Identificación de los mayores contribuyentes al riesgo y puntos débiles de un sistema, proceso y/o control administrativo. Mejor entendimiento del funcionamiento de los sistemas e instalaciones. Comparación del riesgo entre tecnologías y sistemas alternativos. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental • • • • GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 9 de 167 Identificación y comunicación de riesgos e incertidumbres asociadas a ellos. Ayuda en el establecimiento de prioridades para mejorar la salud y operar de manera segura, bajo un nivel de riesgo tolerable. Ayuda en la revisión de programas de mantenimiento e inspección. Elaboración o actualización de planes de respuesta a emergencias. El análisis de riesgo a menudo requiere de un enfoque multidisciplinario ya que puede involucrar las siguientes áreas: • • • • • • Análisis de sistemas. Probabilidad y estadística. Ingeniería química, mecánica, eléctrica, estructural o instrumental. Ciencias físicas, químicas o biológicas. Ciencias de la salud, incluyendo la toxicología y la epidemiología. Ciencias de los factores humanos, ergonómicos y administrativos. El riesgo también se puede presentar como consecuencia de los siguientes peligros: • • • Peligros naturales (inundaciones, sismos, huracanes, etc.). Peligros tecnológicos (instalaciones industriales, estructuras, sistemas de transporte, sustancias peligrosas, pesticidas, herbicidas, medicamentos, etc.). Peligros sociales (terrorismo, sabotaje, ataque armado, robo, secuestros, intentos de toma de instalaciones, bloqueo de instalación, amenaza de bomba). Estos peligros ocasionan riesgos que no son mutuamente excluyentes. Esta Guía trata con los riesgos asociados con los peligros tecnológicos, es decir, con el manejo, procesamiento, almacenamiento y transporte de sustancias tóxicas, inflamables y/o explosivas en las instalaciones de Petróleos Mexicanos y Organismos Subsidiarios. 8.2 PROCESO DE ANÁLISIS DE RIESGOS. El riesgo es inherente a todo lo que hacemos, nosotros enfrentamos riesgos continuamente, a veces conscientemente y a veces sin darnos cuenta. La necesidad de administrar el riesgo de forma sistemática aplica a todas las organizaciones e individuos y a todas las funciones y actividades dentro de una organización. Esta necesidad debe ser reconocida como de importancia fundamental. A continuación se tratará brevemente el proceso de gestión de riesgos con el objeto de establecer el contexto de los análisis de riesgos de proceso. 8.2.1 El Proceso de Gestión de Riesgo. La gestión de riesgos es una parte integral de una buena administración. Es un proceso iterativo de mejora continua que está embebido dentro de las prácticas existentes o procesos del negocio. La gestión del riesgo es la aplicación sistemática de políticas de administración, procedimientos y prácticas de ingeniería a las tareas de identificar, analizar, evaluar y controlar riesgos. Sus principales elementos se muestran en la Figura 8-1. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 11 de 167 4. Verificación del análisis. 5. Documentación del análisis, y 6. Actualización del análisis. Contar con información actualizada, completa y vigente sobre la tecnología del proceso a analizar, una persona que dirija el análisis de riesgos (Líder) y la aplicación de la metodología de análisis de riesgos seleccionada, la participación de un grupo multidisciplinario de especialistas con amplia experiencia y conocimientos sobre disciplinas como operación, mantenimiento, seguridad, ingeniería y diseño, salud en el trabajo, etc. Definición del alcance. Se debe definir y documentar el alcance del análisis de riesgos para crear un plan al inicio del proyecto. Esta actividad implica: a. Describir las razones y/o problemas que motivaron el análisis de riesgos. 1. Formular los objetivos del análisis de riesgos con base en los requerimientos identificados. 2. Definir los criterios de éxito/falla del sistema. b. Definir el sistema a analizar, que incluye: 1. Descripción general del sistema. 2. Definición de fronteras e interfaces con los sistemas relacionados tanto físicas como funcionales. 3. Descripción del entorno del sistema. 4. Identificación de entradas y salidas a través de las fronteras del sistema de materiales y energía. 5. Definición de condiciones operativas consideradas en la evaluación y cualquier limitante importante. c. Identificar circunstancias técnicas, ambientales, legales, organizacionales y humanas, relevantes a la actividad o problema analizado. d. Definir las limitantes y suposiciones bajo las que se realiza el análisis. e. Identificar las decisiones que se deban tomar con base en los resultados obtenidos. Dentro de las actividades de definición del alcance también se debe considerar la familiarización con el sistema en estudio. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 12 de 167 Figura 8-1 El proceso de gestión del riesgo Identificación de peligros y riesgos. Se deben identificar todos los peligros junto con las formas en las que estos pueden salirse de control y, dar lugar a la ocurrencia de los riesgos. Esta identificación también incluye aquellos peligros registrados en el historial de incidentes/accidentes tanto propios como de instalaciones y/o procesos similares, así como los que resulten del empleo de la(s) metodología(s) formal(es) para el desarrollo de los análisis de riesgos de proceso, consideradas en la sección 8.3 de esta Guía. Debe llevarse a cabo una identificación, análisis y evaluación inicial de los riesgos, considerando la importancia de los peligros identificados. Esto implica alguna o algunas de las siguientes acciones: Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental • • • GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 13 de 167 Tomar acciones correctivas inmediatas para eliminar o reducir los riesgos ocasionados por los peligros. Después de la acción anterior, detener el análisis de riesgos debido a que los peligros y sus riesgos son insignificantes, o Continuar con el análisis y con la estimación del nivel de riesgo. Estimación del nivel de riesgo. En esta etapa, se deben considerar los eventos iniciadores y combinación de eventos que son de interés: errores humanos, seguridad, sistemas de mitigación activos y pasivos, así como obtener una estimación del riesgo analizado. En ésta estimación máximo, del grado de incertidumbre involucrado. su probabilidad de ocurrencia, la fallas de equipos, dispositivos de sus posibles consecuencias, para debe considerarse la reducción al Las metodologías usadas en la estimación del riesgo son a menudo cuantitativas aunque el grado de detalle requerido depende de cada aplicación en particular. El análisis totalmente cuantitativo no siempre es posible debido a que normalmente no se dispone de suficiente datos e información sobre el sistema, proceso o actividad analizada. En tales circunstancias se puede emplear una categorización comparativa ya sea cualitativa o cuantitativa de riesgos realizada por especialistas. En el caso de que la categorización sea cualitativa, se debe proporcionar una explicación clara y detallada de todos los criterios y términos empleados, así como documentar las bases para la asignación de las categorías de frecuencia y consecuencias (ver sección 8.3.9, matrices de riesgo). Para la estimación del riesgo, primero se analizan las posibles causas mediante las cuales los peligros se salen de control y se determina su probabilidad de ocurrencia o frecuencia (para el caso de sustancias peligrosas, considerar la duración y naturaleza de su liberación: inventario, composición, características de la descarga, etc.). Luego, se analizan las consecuencias derivadas de la pérdida de control del peligro. El análisis de consecuencias implica estimar la severidad de las consecuencias asociadas con el peligro. El análisis también puede requerir la estimación de la probabilidad de que el peligro cause la(s) consecuencia(s) y por lo tanto puede involucrar el análisis de la secuencia de eventos mediante el cual el peligro puede resultar en esa consecuencia. Análisis de la frecuencia. El análisis de la frecuencia, se emplea para estimar la probabilidad de ocurrencia de cada evento no deseado, identificado en la tercera etapa del proceso de gestión del riesgo. Generalmente se emplean tres enfoques para la estimación de dicha frecuencia: • • • El uso de datos históricos Obtener frecuencias a través del uso de metodologías analíticas o simulaciones Empleando juicios y experiencia del personal operativo familiarizado con los procesos y/o de expertos. El uso de estos puede ser particular o combinado. Generalmente se combinan el primero y el segundo, con el objetivo de obtener datos más confiables. En caso de que por alguna razón no sea esto posible, se recurre al juicio de personal operativo familiarizado con los procesos y/o al de expertos. Análisis de consecuencias. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 14 de 167 El análisis de consecuencias descrito en el apartado 8.3.12 de esta Guía, se emplea para estimar el impacto o daño que tendría el escenario de riesgo del evento no deseado, sobre el personal, la población, el medio ambiente y las instalaciones - producción. El análisis de consecuencias debe: • • • • • Estar basado en eventos no deseados previamente seleccionados Evaluar y describir los daños de cualquier consecuencia resultante de los escenarios de riesgo simulados, sobre el personal, la población, el medio ambiente y las instalaciones – producción Tomar en cuenta las medidas de seguridad y sistemas existentes para mitigar las consecuencias, así como todos los controles administrativos y condiciones relevantes que pudieran tener un efecto mitigador sobre estas Documentar los criterios empleados para identificar y evaluar los efectos de las consecuencias Considerar las consecuencias inmediatas y aquellas resultantes después de cierto tiempo, si así lo considera el alcance del estudio Cálculo del riesgo. Es necesario que él riesgo se exprese en términos adecuados. Algunas formas de expresarlo son: • • • • Frecuencia de muerte para un individuo (riesgo individual). Gráficas de frecuencia versus consecuencia para riesgo social (estas se conocen como curvas F-N, donde F expresa la frecuencia y N el número de personas que sufren cierto grado de daño específico). La tasa de pérdidas esperadas estadísticamente en términos de fatalidades, daños económicos o ambientales. La distribución del riesgo de un cierto grado de daño específico. Los datos para los cálculos deben ser recolectados documentados y organizados, en tal forma que facilite su manejo durante el desarrollo del análisis de riesgos, permitiendo su trazabilidad. Incertidumbre. Dado que hay muchas incertidumbres en la estimación del riesgo, se requiere entender las causas que las originan, con objeto de interpretar efectivamente los niveles de riesgo estimados o calculados. Siempre se debe tener en cuenta que las incertidumbres están asociadas con los datos, las metodologías y los modelos empleados en la estimación del riesgo. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 15 de 167 Verificación del análisis. El análisis se debe someter a un proceso formal de verificación por personal no involucrado en su elaboración, de tal forma que la integridad y calidad del análisis quede asegurada. La verificación debe incluir las siguientes etapas: a. Verificar que el alcance sea consistente con los objetivos establecidos. b. Revisar todas las suposiciones críticas y asegurar que éstas son creíbles con base en la información disponible. c. Asegurar que el analista empleó las metodologías, métodos, modelos y datos apropiados d. Verificar que el análisis puede ser repetible por otros analistas. e. Verificar que los resultados del análisis no dependen de la forma en la que se presentan los datos o resultados. Así mismo, revisar la viabilidad técnica y económica de las recomendaciones resultantes del análisis de riesgos. Este paso se debe dar bajo las siguientes consideraciones: • • • Generar las diferentes opciones para la administración del riesgo. Evaluar técnica y económicamente cada opción con el enfoque de costo/beneficio. Presentar las conclusiones de la evaluación del costo/beneficio, considerando aspectos como: - Grado de riesgo remanente. Cumplimiento de la legislación. Costo de la retención del riesgo. Documentación del análisis. El informe del análisis de riesgos documenta el proceso mismo y su contenido mínimo se presenta en la sección 8.4 de ésta Guía. Actualización del análisis. Dado que el análisis de riesgos se requiere para soportar un proceso de administración de riesgos continuo, se debe realizar y documentar de tal forma que este pueda ser actualizado a través del ciclo de vida del proceso, sistema, instalación o actividad. Los analistas deben actualizarlo cada cinco años, o bien antes en caso de que se presenten cambios en las condiciones de diseño, en la tecnología de proceso, o bien, como resultado de incidentes/accidentes mayores o, de acuerdo con las necesidades del proceso de gestión, como lo estipula la NOM-028-STPS-2004 “Organización del trabajo – Seguridad en los procesos de sustancias químicas”. 8.3 METODOLOGÍAS DE ANÁLISIS DE RIESGOS. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 16 de 167 El análisis de riesgos involucra la identificación de los peligros presentes en el proceso bajo estudio y posteriormente, el análisis y la evaluación de los riesgos asociados a esos peligros. Cabe mencionar que el paquete de información sobre la tecnología del proceso utilizado para la aplicación de las metodologías de análisis de riesgo, es el referido en la GUÍA TÉCNICA PARA LA ELABORACIÓN DEL PAQUETE DE TECNOLOGÍA DEL PROCESO, Clave: 800/16000/DCO/GT/005/10, vigente, disponible en la intranet, http://sspa.pemex.com/ >> Manual Pemex SSPA >> Subsistema de Administración de la Seguridad de los Procesos. 8.3.1 Identificación de peligros. Implica la revisión sistemática del sistema bajo estudio con el objetivo de identificar los peligros que se encuentran presentes, así como las formas en las que esos peligros pueden salirse de control, dando lugar a posibles escenarios de riesgo. Las metodologías empleadas para identificar peligros se pueden agrupar en tres clases: • • • 8.3.2 Metodologías comparativas, como las Listas de Verificación. Metodologías fundamentales, consistentes en métodos estructurados para estimular a un grupo multidisciplinario que aplican sus conocimientos sobre el sistema analizado, para identificar peligros y prever la forma en la que se puede perder control sobre ellos. Ejemplos de estas metodologías son: ¿Qué pasa si?, Análisis de Modos de Falla y sus Efectos FMEA y Análisis de Peligros y Operabilidad HazOpRazonamiento inductivo / deductivo, tal como el Análisis de Arboles de Eventos (AAE) / y el Análisis de Arboles de Falla (AAF). Jerarquización de los riesgos. La identificación de peligros en un proceso en particular puede dar origen a una gran cantidad de escenarios de riesgo potenciales. Durante la aplicación de alguna metodología cualitativa (Lista de verificación, ¿Qué pasa si?, FMEA o HAZOP) se deben identificar tanto su frecuencia de ocurrencia como cada una de las posibles consecuencias (daño al personal, a la población, al medio ambiente, a las instalaciones y/o a la producción), las cuales deben ser documentadas en la columna correspondiente y valoradas de acuerdo con los criterios señalados en las matrices de riesgo, establecidos en la sección 8.3.9 de esta Guía. La aplicación de metodologías para realizar análisis cuantitativo de riesgo (AAE, AAF y AC) se reserva para sistemas complejos o bien para aquellos casos, en los que a juicio de los analistas, por el elevado nivel de riesgo obtenido, así lo requieren. El análisis cuantitativo de riesgos requiere del cálculo de la frecuencia (F), o probabilidad de ocurrencia, y de la severidad de las consecuencias (C). Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental 8.3.3 GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 17 de 167 Selección de las metodologías. Los elementos que influyen sobre la selección de las metodologías a emplear son: • • • • • • • • Normatividad aplicable o compromisos contractuales. Los objetivos del estudio (si se desea identificar desviaciones respecto a determinada normatividad o prácticas recomendadas, una lista de verificación puede ser suficiente). La fase del desarrollo del sistema (fases tempranas requieren análisis menos detallados, pues no se cuenta con toda la información técnica requerida para aplicar otro tipo de evaluación). El tipo de sistema y peligro analizado (algunos sistemas implican un grado de complejidad que pueden exceder las capacidades de algunas metodologías). El nivel potencial de severidad (escenarios con niveles de severidad de consecuencias altos, requieren de metodologías más detalladas). Los requisitos de experiencia, entrenamiento y horas dedicadas (una metodología un poco más sencilla bien aplicada puede dar origen a mejores resultados que una metodología más compleja deficientemente aplicada, siempre y cuando cumpla con el objetivo del estudio). La disponibilidad de información (algunas metodologías requieren de mayor cantidad de datos). La necesidad de modificación - actualización de los análisis (algunas metodologías permiten una actualización o modificación más sencilla que otras). En términos generales, la metodología empleada para realizar el análisis de riesgos debe ser la adecuada para cumplir con las siguientes características: • • • Debe ser técnicamente defendible. Debe permitir identificar el peligro que lo origina y valorar la importancia del riesgo, así como la forma en la que este debe ser controlado. Debe ser trazable, reproducible y verificable. En la Tabla 8-1 se muestra el uso típico de las metodologías de acuerdo con la etapa de vida del proceso, aunque en ocasiones en alguna de estas etapas se puede utilizar más de una metodología. Tabla 8-1 Típico de las metodologías de acuerdo a la etapa de vida del proceso Etapa Investigación y desarrollo Diseño conceptual Operación de planta piloto Ingeniería de detalle Construcción y arranque Operación rutinaria Expansión o modificación Desmantelamiento Lista de verificación ¿Qué pasa si? ¿Qué pasa si?/Lista de verificación 9 9 9 9 9 9 9 9 9 9 9 9 9 9 9 9 9 9 9 9 9 9 9 FMEA HAZOP AAE AAF AC 9 9 9 9 9 9 9 9 9 9 9 9 9 9 9 9 9 9 9 9 Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental 8.3.4 GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 18 de 167 Listas de verificación. Deben ser elaboradas a partir de códigos, regulaciones y estándares aplicables y deben ser aprobadas por el personal designado por PEMEX antes de ser aplicadas. El alcance debe cubrir Factores Humanos, Sistemas e Instalaciones. Deben ser tan extensas como sea necesario para satisfacer la situación específica que se analiza, debe ser aplicada de forma que permita identificar y evaluar los problemas que requieren mayor atención. Los resultados deben contener una lista de recomendaciones (alternativas) de mejoras de la seguridad (reducción del riesgo) a ser consideradas por PEMEX. El detalle de su aplicación se presenta en el Anexo A. 8.3.5 ¿Qué pasa sí? Esta metodología debe involucrar el análisis de las desviaciones posibles del diseño, construcción, modificación u operación, así como cualquier preocupación acerca de la seguridad del proceso. Debe promover la lluvia de ideas acerca de escenarios hipotéticos con el potencial de causar consecuencias de interés (eventos no deseados con impactos negativos).Debe ser aplicada con el apoyo de un grupo multidisciplinario de la instalación. El resultado debe ser una lista en forma de tabla de las situaciones peligrosas, sus consecuencias, salvaguardas y opciones posibles para la prevención y/o mitigación de consecuencias. El detalle de su aplicación se encuentra en el Anexo B. 8.3.6 Combinación Lista de Verificación y ¿Qué pasa sí? Al aplicar está combinación de metodologías, se deben considerar los criterios antes descritos en particular para cada una de ellas. En base a las listas de verificación, se debe promover la lluvia de ideas acerca de escenarios hipotéticos. Deben anexarse preguntas relacionadas con cualquier preocupación acerca de la seguridad del proceso, que el grupo considere pertinentes. El resultado debe ser una lista en forma de tabla de las situaciones peligrosas, sus consecuencias, salvaguardas y opciones posibles para la prevención y/o mitigación de consecuencias. El detalle de su aplicación se presenta en el Anexo C. 8.3.7 Análisis de modos de falla y sus efectos (FMEA). Los resultados deben ser una lista de referencia sistemática y cualitativa de equipo, modos de falla y efectos, que incluya un estimado de los peores casos de acuerdo a las consecuencias que resulten de las fallas particulares. Se deben incluir recomendaciones orientadas a incrementar la confiabilidad de los equipos para mejorar la seguridad del proceso. Todos los analistas involucrados en el estudio FMEA deben estar familiarizados con las funciones y los modos de falla del equipo, y con el impacto que estas fallas pueden tener en otras secciones del sistema o la instalación. En esta metodología se evalúan de manera sistemática las posibles fallas de cada componente, porción de un equipo o proceso, identificando cómo éstas pueden ocurrir, las medidas de seguridad con las que se cuenta para prevenir su falla o mitigar sus consecuencias, considerando su ocurrencia y permitiendo reforzar las medidas preventivas o de mitigación. El detalle de su aplicación se presenta en el Anexo D. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental 8.3.8 GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 19 de 167 Análisis de peligros y operabilidad (HAZOP). Debe identificar y evaluar riesgos en instalaciones de procesos, así como identificar problemas operativos, que a pesar de no ser peligrosos, podrían comprometer la capacidad de producción de la instalación (cantidad, calidad y tiempo). Debe ser aplicada con el apoyo de un grupo multidisciplinario de la instalación. La definición de los nodos debe ser conciliada con el grupo multidisciplinario. Las palabras guías deben aplicarse a los parámetros o variables de acuerdo a la intención de diseño del nodo bajo estudio, para identificar y evaluar las desviaciones potenciales de la operación de la instalación. Si las causas y las consecuencias son significativas y las salvaguardas son inadecuadas o insuficientes, se deben recomendar acciones para reducir el riesgo. Los resultados deben ser una lista en forma de tabla que contenga los hallazgos del equipo con la identificación de los riesgos del proceso, los problemas operativos, las causas, las consecuencias, las salvaguardas y las recomendaciones. En aquellos casos en que no se llegue a una conclusión debido a la falta de información se recomendará la realización de estudios posteriores. En esta metodología se evalúa de manera sistemática cada porción de un proceso, identificando desviaciones respecto a la intención de su diseño, cómo éstas pueden ocurrir, medidas de seguridad con las que se cuenta para prevenir fallas o mitigar sus consecuencias, determinando su importancia de acuerdo a su probabilidad de ocurrencia y posibles consecuencias y proponiendo medidas preventivas o de mitigación para reforzar la seguridad. El detalle de su aplicación se presenta en el Anexo E. 8.3.9 Caracterización y jerarquización de los riesgos. Tal y como se mencionó con anterioridad, en los casos en que la categorización sea cualitativa se debe proporcionar una explicación clara de todos los criterios y términos empleados, así como documentar las bases para la asignación de las categorías de frecuencia y consecuencias (ver sección 8.3.9, matrices de riesgo). Con objeto de evaluar los riesgos cuando se utilizan las metodologías de análisis de riesgos, se ha propuesto el uso de categorías de frecuencia, categorías de consecuencias y matrices de riesgo, consensuadas y aprobadas durante la séptima reunión de la Red de Expertos en Análisis de Riesgos, celebrada el 5 de marzo del 2009. El detalle que describe su uso se ha documentado en el Anexo F. 8.3.9.1 Estimación de las frecuencias. Se debe asignar una categoría de frecuencia de ocurrencia de eventos como la que se presenta en el Anexo F. 8.3.9.2 Análisis de Consecuencias. Se debe asignar una categoría de consecuencia de los eventos no deseados como la que se presenta en el Anexo F. 8.3.9.3 Matrices de Riesgo. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 20 de 167 Las matrices que deben utilizarse para establecer el nivel de riesgo de los eventos no deseados se muestran en el Anexo F. 8.3.10 Análisis de Árboles de Eventos (AAE). En esta metodología se explora de manera sistemática la progresión de un evento iniciador y a partir de la actuación (éxito o falla) de las medidas de seguridad con las que cuenta un sistema, para evitar o mitigar resultados indeseables, se identifican todos los posibles resultados y se cuantifica la probabilidad de ocurrencia de estos. Es un método inductivo. El detalle de su aplicación se presenta en el Anexo G. 8.3.11 Análisis de Árboles de Fallas (AAF). Para la aplicación de esta técnica se debe tener un entendimiento detallado acerca del funcionamiento de la instalación y del sistema, de los diagramas detallados y los procedimientos y de los modos de falla de los componentes y sus efectos. Los resultados obtenidos deben ser revisados y validados por personal de PEMEX. El contratista debe fundamentar y documentar cada uno de los valores de las tasas de falla de los equipos y dispositivos que aparezcan en el árbol de fallas, así como explicar las suposiciones, implicaciones y limitaciones del método que usa para la solución numérica (métodos rigurosos o aproximados) de los árboles de fallas analizados. La documentación de esta técnica debe contener como mínimo: • • • • La definición del problema. La construcción del árbol de fallas. El análisis del modelo de árbol de fallas. Análisis de los resultados. El evento tope objeto de análisis debe ser identificado previamente durante la etapa de identificación de riesgos y debe especificar el “qué”, “dónde” y “cuándo” ocurre el evento. En esta metodología se Identifica de manera sistemática las distintas combinaciones de eventos (conjuntos mínimos de corte) que pueden dar origen a un evento indeseado (evento tope), puede evaluar la actuación de las medidas de seguridad con las que cuenta un sistema ya sean errores humanos, fallas de equipo o eventos externos al sistema. Permite la cuantificación de la probabilidad de ocurrencia del evento indeseado. Es un método deductivo. El detalle de su aplicación se presenta en el Anexo H. 8.3.12 Análisis de Consecuencias (AC). Con esta metodología se estiman los posibles daños sobre el personal, la población, el medio ambiente y el negocio (instalaciones y producción), derivados de la pérdida de contención de una sustancia peligrosa (tóxica, inflamable y/o explosiva) a partir de la modelación de nubes tóxicas, incendios y explosiones. Es un método deductivo. El detalle de su aplicación se presenta en el Anexo I. Análisis de riesgos para los sistemas de transporte por ducto Nota: Para el caso del análisis de riesgo en los sistemas de transporte de hidrocarburos por ducto, se deberá cumplir con lo establecido en el “MANUAL DE ADMINISTRACIÓN DE INTEGRIDAD PARA DUCTOS DE PETRÓLEOS MEXICANOS”, vigente. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental 8.4 GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 21 de 167 INFORME DEL ANÁLISIS DE RIESGOS. El reporte del análisis de riesgos documenta el proceso mismo y debe incluir o referirse al plan de trabajo. La presentación de la información en éste reporte es una parte crítica del proceso de análisis de riesgos. La estimación de riesgos debe expresarse en términos entendibles, se deben explicar las fortalezas y debilidades de las diferentes medidas de riesgo empleadas y se deben expresar en un lenguaje apropiado las incertidumbres asociadas con la estimación del riesgo. La extensión del reporte dependerá de los objetivos y el alcance del análisis. Excepto para análisis muy simples, la documentación normalmente deberá contener: 1. 2. 3. 4. 5. 6. 7. Índice Objetivo Alcance Descripción del proceso analizado Descripción del entorno a la instalación Premisas, consideraciones y criterios aplicados Desarrollo de la(s) metodología(s) seleccionada(s) para la identificación de peligros en el proceso 8. Relación de riesgos identificados 9. Evaluación y jerarquización de los riesgos 10. Recomendaciones para la administración de los riesgos 11. Conclusiones 12. Referencias 9. BIBLIOGRAFÍA. • Guidelines for Consequence Analysis of Chemical Releases, CCPS, AICHE, 1999. • Guidelines for Chemical Process Quantitative Risk analysis, CCPS, AICHE, 1989. • NIOSH Pocket Guide to Chemical Hazards, Department of Health and Human Services, September 2007, DHHS (NIOSH) 2005-149. • Criterios técnicos para simular escenarios de riesgo por fugas y derrames de sustancias peligrosas, en instalaciones de Petróleos Mexicanos, vigente. • Guía para la presentación del estudio de riesgo ambiental, ANÁLISIS DETALLADO DE RIESGO, niveles 1, 2 y 3, SEMARNAT, noviembre 2002. • NOM010STPS1999, CONDICIONES DE SEGURIDAD E HIGIENE EN LOS CENTROS DE TRABAJO DONDE SE MANEJEN, TRANSPORTEN, PROCESEN O ALMACENEN SUSTANCIAS QUÍMICAS CAPACES DE GENERAR CONTAMINACIÓN EN EL MEDIO AMBIENTE LABORAL Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 22 de 167 • NORMA Oficial Mexicana NOM-028-STPS-2004, “Organización del trabajo-Seguridad en los procesos de sustancias químicas, Guía C (No Normativa), Administración de Riesgos”, 14 enero 2005. • PEMEX-PEP, “Lineamiento para la determinación del nivel de riesgo tolerable en las instalaciones de proceso de la Región Marina Noreste” clave 250-22100-SI-212-0001, versión primera, enero 1993. • PEMEX-Refinación, “Guía para realizar Análisis de Riesgos a instalaciones industriales”, DGSASIPA-SI-02741”, enero 2005. • Guidelines for Hazard Evaluation Procedures with worked examples, CCPS, AICHE, 1992. • Nigel Hyatt, Dyadem Press “Guidelines for Process Hazards Analysis, Hazards Identification & Risk Analysis” CRC Press, 2003 • Lees F. P., “Loss Prevention in the Process Industries: Hazard Identification, Assessment and Control”, Butterworths-Heinemann, Londres, Second Edition, 1996. • USNRC: NUREG 0492, Fault Tree Handbook, January, 1981. • IEC 61025: International Standard, Fault Tree Analysis, 2006 • IEC 60300-3-9, Risk Analysis of Technological Systems • IEC 60812, Analysis techniques for system reliability – Procedure for failure mode and effects analysis (FMEA), 2006. • Haast, D. F.; Goolberg, F. F.; Roberts, N. H.; Vesely W. E., “Fault Tree Handbook”, U. S. Nuclear Regulatory Commission, NUREG-0492, 1981. • NASA Office of Safety and Mission Assurance: Fault Tree Handbook for Aerospace Applications, Version 1.1, 2002 • SAIC, “CAFTA for Windows - Fault Tree Analysis System - User Manual”, Science Applications International Corporation, Los Altos, California, 1996. • Santamaría J. M. “Análisis y reducción de riesgos en la industria química”, Editorial Mafre, Madrid, 1994. • Swain A. D., “Accident Sequence Evaluation Program Human Reliability Analysis Procedure”, NUREG/CR-4772, 1987. • Guidelines for Hazard Evaluation Procedures with worked examples, CCPS, AICHE, 1992. • NUREG CR/2300, Vol. 1. PRA Procedures Guide. A Guide to the Performance of Probabilistic Risk Assessments for Nuclear Power Plants, 1983 • Hazard and operability studies (HAZOP studies) – Application guide, CEI-IEC61882 • Crawly, F., Preston, M., Tyler, B., HAZOP Guide to Best Practice, IChemE, 2000. • AS/NZS 4360:2004, Risk Management • MIL-STD-1629A, MILITARY STANDARD, Procedure for performing a failure mode, effects and criticality analysis, 1980. • BS IEC 61882: “Hazard and Operability Studies (HAZOP Studies) – Application Guide”. International Electrotechnical Commission, Geneva. • American Petroleum Institute (API), “Management of Process Hazards”, API-RP750, 1990. • American Petroleum Institute (API), “Recommended Practice for Design and Hazards Analysis for Offshore Production Facilities”, API-RP14J, Second Edition, 2001. 10. ANEXOS. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 23 de 167 ANEXO A Listas de Verificación Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 24 de 167 A.1 Propósito Proporcionar una guía a los analistas de riesgos que requieran desarrollar un análisis de riesgos utilizando la metodología Listas de Verificación, para homologar su aplicación en las instalaciones de Petróleos Mexicanos. A.2 Referencias [1] Guidelines for Hazard Evaluation Procedures with worked examples, CCPS, AICHE, 1992. [2] Nigel Hyatt, Dyadem Press “Guidelines for Process Hazards Analysis, Hazards Identification & Risk Analysis” CRC Press, 2003 [3] Lees F. P., “Loss Prevention in the Process Industries: Hazard Identification, Assessment and Control”, Butterworths-Heinemann, Londres, Second Edition, 1996. A.3 Descripción Un Análisis Lista de verificación usa una lista de puntos de un procedimiento para verificar el estado de un sistema. Las listas de verificación varían ampliamente su nivel de detalle y son frecuentemente usadas para indicar el cumplimiento con estándares y políticas. El Análisis Lista de verificación es fácil de usar y puede ser aplicado a cualquier etapa del tiempo de vida de un proceso. Las listas de verificación pueden ser usadas para familiarizar al personal inexperto con el proceso por comparación de los atributos del proceso con varios requerimientos de la lista de verificación. Las listas de verificación además proveen una base común para la revisión por parte de la dirección de las evaluaciones del analista de un proceso u operación. Una lista de verificación detallada provee las bases para una evaluación estándar de los peligros de un proceso. Puede ser tan extenso como necesario para satisfacer una situación específica, pero debe ser aplicada rigurosamente para identificar problemas que requieren mayor atención. Las listas de verificación de peligros genéricas son frecuentemente combinadas con otras metodologías de evaluación de riesgos para evaluar situaciones peligrosas. Las listas de verificación están limitadas por la experiencia del autor; por lo tanto, estas deben ser desarrolladas por autores que tengan amplia experiencia con el sistema que se está analizando. Frecuentemente, las listas de verificación son creadas por simple organización de la información a partir de códigos, estándares y regulaciones. Las listas de verificación deben ser vistas como documentos de vida y deben ser auditadas y actualizadas regularmente. Muchas organizaciones usan listas de verificación estándares para controlar el desarrollo de un proyecto, desde el diseño inicial hasta el desmantelamiento de la planta. La lista de verificación completa debe ser aprobada por varios miembros del personal y directivos antes de que un proyecto se pueda mover a la siguiente etapa. En este sentido, la lista de verificación sirve como medio de comunicación y como forma de control. Utiliza una relación de temas o puntos específicos para verificar el estado de un sistema con una referencia externa, identifica tipos de riesgos conocidos, deficiencias de diseño y situaciones potenciales de accidentes asociados con el proceso y su operación común. Esta técnica también puede utilizarse para evaluar materiales, equipos o procedimientos. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 25 de 167 Esta metodología hace uso de la experiencia acumulada por una organización industrial y está limitado por la experiencia de sus autores. A.4 Propósito Las listas de verificación tradicionales son usadas primeramente para asegurar que las organizaciones están cumpliendo con prácticas estándares. En algunos casos, los análisis usan más de una lista de verificación general en combinación con otros métodos de evaluación de riesgos para descubrir peligros comunes que las listas de verificación podrían omitir. A.5 Tipo de Resultados Para crear una lista de verificación tradicional; el analista define el estándar de diseño o las prácticas de operación, y las utiliza para generar una lista de preguntas basadas en deficiencias o diferencias. Una lista de verificación completa contiene “si”, “no”, “no aplica” o “necesita más información” como respuestas a las preguntas. Los resultados cualitativos varían con la situación específica, pero generalmente pueden llevar a una decisión de “si” o “no” acerca del cumplimiento con los procedimientos estándares. Además, el conocimiento de estas deficiencias generalmente lleva a desarrollar fácilmente una lista de alternativas de posibles mejoras de seguridad a considerar por los directivos. A.6 Requerimientos de Recursos Para la ejecución apropiada de esta metodología, se necesita una lista de verificación apropiada, procedimientos ingenieriles de diseño, manuales de prácticas operacionales, y alguien que complete la lista de verificación que sea quien tenga el conocimiento básico del proceso a ser revisado. Si existe una lista de verificación disponible de un trabajo previo, los analistas deben tener la capacidad de usarla como una guía, si es que así lo consideran necesario. Si no existe esta lista de verificación, una persona (generalmente varias personas) debe de preparar la lista de verificación y ejecutar la evaluación. Un directivo experimentado o ingeniero deben entonces revisar los resultados del Análisis Lista de verificación. El método de Análisis Lista de verificación es versátil. El tipo de evaluación ejecutada con la lista de verificación puede variar: puede ser usada para evaluaciones simples o para evaluaciones más extensas. Esta es una manera altamente rentable para identificar de forma habitualmente peligros reconocidos. La Tabla A.6-1.1 es un estimado del tiempo que toma ejecutar un estudio de evaluación de riesgos usando la metodología de Análisis Lista de verificación. Tabla A.6-1 Estimado de Tiempo para ejecutar un Análisis Lista de verificación Alcance Simple/Sistema pequeño Complejo/Proceso Grande Preparación Evaluación 2-4 hrs 1-3 días 4-8 hrs 3-5 días Documentació n 4-8 hrs 2-4 días Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 26 de 167 A.7 Aplicación de la Técnica La metodología Análisis Lista de verificación comúnmente se utiliza en las siguientes etapas de la vida de un proyecto: diseño conceptual, operación de la planta piloto, ingeniería de detalle, construcción y arranque, operación de rutina, expansión o modificación y desmantelamiento. A.8 Enfoque Técnico En el Análisis Lista de verificación el analista utiliza una lista de puntos específicos para identificar los peligros, designar deficiencias y accidentes potenciales asociados con equipo de proceso y operaciones. La metodología de Análisis Lista de verificación puede ser usada para evaluar materiales, equipo o procedimientos. Las listas de verificación son mayormente utilizadas para evaluar diseños específicos con los cuales una compañía o industria tiene una experiencia significativa, pero también pueden ser usadas en las etapas tempranas de desarrollo de un proceso nuevo para la identificación y eliminación de peligros que hayan sido reconocidos a través de los años en sistemas similares. El uso apropiado de una lista de verificación podría generalmente asegurar que una pieza de equipo cumple con estándares aceptados y puede también identificar áreas que requieren mayor evaluación. Para ser más útil, las listas de verificación deben ser específicamente confeccionadas para una compañía en individual, planta o producto. Un Análisis Lista de verificación de un proceso existente normalmente incluye una visita al proceso y comparar el equipo con la lista de verificación. Como parte del Análisis Lista de verificación de un proceso que no está aun construido, personal experimentado compara la documentación de diseño contra las listas de verificación pertinentes. A.9 Procedimiento de Análisis Una vez que el alcance del análisis ha sido definido, un Análisis Lista de verificación consiste principalmente de tres pasos: 1. Seleccionar o desarrollar una lista de verificación apropiada, 2. Ejecutar la revisión, y 3. Documentar los resultados. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 27 de 167 A.9.1 Seleccionando una Lista de Verificación Un Análisis Lista de verificación tiene un enfoque basado en la experiencia. El analista de riesgos debe seleccionar la lista de verificación apropiada de las fuentes disponibles (ejemplo estándares internacionales, códigos, guías industriales, etc.). Si no hay una lista de verificación especifica y pertinente, entonces el analista debe usar su experiencia y la información disponible de referencias autorizadas para generar una lista de verificación apropiada. Una lista de verificación debe ser preparada por un ingeniero experto que sea familiar con la operación general de la planta, sus políticas, estándares y procedimientos. Una lista de verificación es desarrollada de manera que los aspectos del diseño del sistema u operación que no cumplen con la compañía o con las prácticas estándares comunes industriales serán descubiertos a través de las respuestas a las preguntas de la lista de verificación. Una vez que la lista de verificación ha sido preparada, puede ser aplicada por ingenieros menos expertos como evaluación independiente o parte de otro estudio de revisión de riesgos. Una lista de verificación detallada para un proceso en particular debe de ser soportada por una lista de verificación genérica para ayudar a asegurar rigurosidad. A.9.2 Ejecución de la revisión El análisis de los sistemas existentes debe incluir visitas e inspecciones visuales de los procesos por los miembros del grupo multidisciplinario de análisis de riesgos. Durante estas visitas los analistas compararán el equipo de proceso y las operaciones con los puntos de la lista de verificación. Los revisores responderán a los puntos de la lista de verificación basados en la observación del sitio de las visitas, documentación de los sistemas, entrevistas con el personal de operación, y las percepciones del personal. Cuando los atributos observados del sistema o características operacionales no coincidan con las características especificas deseadas de la lista de verificación, el analista anotará las deficiencias. Un Análisis Lista de verificación de un proceso nuevo, antes de la construcción es generalmente ejecutado por un grupo multidisciplinario en una reunión y se enfocan a la revisión de los diagramas de proceso y discusión de las deficiencias. A.9.3 Seleccionando una Lista de Verificación El grupo de evaluación de riesgos que ejecuta el análisis podría resumir las deficiencias notadas durante las visitas y/o reuniones. El reporte debe contener una copia de la lista de verificación que fue usada para ejecutar el análisis. Cualquier recomendación específica para mejora de seguridad debe ser suministrada junto con las explicaciones apropiadas. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 28 de 167 A.10 Producto Esperado Un análisis tradicional de Análisis Lista de verificación usualmente genera una lista de respuestas a las preguntas estándares de la lista de verificación. Esto puede también resultar en una lista de peligros identificados y un conjunto de acciones correctivas sugeridas. A.11 Software Se tiene el software PHA-Pro (www.dyadem.com/products/phapro). de la compañía Dyadem International Ltd. A.12 Conclusiones Las listas de verificación son usadas comúnmente para verificar el cumplimiento con estándares e identificar áreas que requieren mayor evaluación. Una lista de verificación es fácil de usar y puede emplearse durante cualquier etapa de la vida de un proyecto. Una lista de verificación es un medio conveniente para comunicar el nivel mínimo aceptable de evaluación de riesgos que es requerido para cualquier trabajo. La lista de verificación es preparada por personal con experiencia, familiarizado con el diseño y operación de las instalaciones y con los estándares de la compañía o industria y procedimientos. Una vez que la lista de verificación ha sido preparada, puede ser aplicada por personal menos experimentado. Las listas de verificación están limitadas por la experiencia de los autores y la diligencia de los usuarios. Las listas de verificación deben de ser auditadas y actualizadas regularmente para incorporar nuevas experiencias, incluyendo los resultados de investigaciones de accidentes o incidentes. Una lista de verificación puede ser tan detallada como se necesite y debe de ser aplicada rigurosamente para evaluar si los procedimientos y estándares se están siguiendo y para identificar problemas que requieren mayor atención. Una lista de verificación es generalmente el método más rápido y fácil para analizar peligros y es muy efectivo para el control de peligros. La lista de verificación suministra una guía de temas a ser considerados en la ejecución de evaluaciones de riesgos. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 29 de 167 A.13 Ejemplo Listas de verificación, otros datos y la experiencia propia pueden ser usadas para crear listas de verificación. Adicionalmente se puede usar lo siguiente para ayudar con la preparación: 1. ¿Qué es lo que el equipo hace? ¿En qué maneras puede fallar el equipo? 2. ¿Cuáles son los mayores peligros asociados con el material que está siendo manejado por el equipo? 3. ¿Cuáles son las iteraciones potenciales a la entrada del equipo y a la salida del equipo o las condiciones que podrían conducir a problemas? 4. ¿Podría un evento externo causar problemas? 5. ¿Podrían las condiciones ambientales causar problemas ejemplo bajas temperaturas? 6. ¿Hay problemas con el encendido o apagado? 7. ¿Hay problemas para mantener el equipo o los componentes individuales? 8. ¿Si fallan los sistemas de instrumentación y control, que podría pasar? 9. ¿Hay los sistemas de protección adecuados? Si es así, ¿hay redundancias? 10. Ha considerado: a. ¿Falla de suministro eléctrico? b. ¿Falla de suministro de aire? c. ¿Falla de suministro de agua de enfriamiento? d. ¿Falla de vapor? e. ¿Han sido considerados los efectos de todos ellos en relación con el tamaño de los quemadores? 11. ¿Los componentes del sistema fallan seguro ejemplo válvulas de control? 12. Ha considerado: a. ¿Aislamiento del equipo? b. ¿Drenaje? c. ¿Venteo? d. ¿Bloqueos de emergencia? Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Página 30 de 167 13. ¿Ha considerado operaciones especiales? 14. Ha buscado problemas comunes como: a. Interfaces de alta presión/baja presión b. Posible flujo reverso c. Ruptura de sellos d. Filtraciones de Gas en el control de nivel e. Los baipases se dejaron abiertos cerca de las válvulas de control f. ¿Rupturas de tubos en calderas e intercambiadores de calor? g. ¿Golpes de agua/flujo en dos fases que dañe las líneas? h. ¿La corrosión rompe el acero en presencia de cloruros? En la Tabla A-13.1, se muestra el ejemplo de una hoja de trabajo para aplicar la Lista de verificación Tabla A-13.1 Ejemplo de hoja de trabajo Lista de Verificación Área: Fecha de Reunión: Plano No.: Miembros del Equipo: Lista de Verificación Consecuencia Salvaguarda (Medidas de seguridad) Gravedad Frecuencia Índice de Riesgo Recomendaciones Responsable GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 31 de 167 ANEXO B ¿Qué pasa si? Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 32 de 167 B.1 Propósito Proporcionar una guía a los analistas que requieran desarrollar un análisis de riesgos utilizando la metodología ¿Qué Pasa Si?, para homologar su aplicación en las instalaciones de Petróleos Mexicanos. B.2 Referencias [1] [2] Guidelines for Hazard Evaluation Procedures with worked examples, CCPS, AICHE, 1992. Nigel Hyatt, Dyadem Press “Guidelines for Process Hazards Analysis, Hazards Identification & Risk Analysis” CRC Press, 2003 Lees F. P., “Loss Prevention in the Process Industries: Hazard Identification, Assessment and Control”, Butterworths-Heinemann, London, Second Edition, 1996. [3] B.3 Descripción La metodología de Análisis ¿Qué pasa si? tiene el enfoque de una lluvia de ideas en la cual el grupo multidisciplinario familiarizado con el proceso formula preguntas o manifiesta preocupaciones acerca de posibles eventos indeseados. Este análisis no es un proceso estructurado como algunas otras metodologías. En su lugar, este requiere que el analista adapte el concepto básico a la aplicación específica. Muy poca información se ha publicado acerca del método de Análisis ¿Qué pasa si? o de su aplicación. De cualquier forma, es frecuentemente utilizado por la industria en sus etapas tempranas o durante la vida de un proceso y tiene buena reputación entre aquellos especialistas que lo aplican. El concepto del Análisis ¿Qué pasa si? anima al grupo de evaluación de riesgos a pensar en preguntas que empiecen con “¿Qué pasa si …?”. Cualquier proceso puede ser manifestado, aun si no es parafraseado como pregunta. Por ejemplo: • • • Me preocupa entregar el material equivocado ¿Qué pasa si la bomba A detiene su funcionamiento durante el arranque? ¿Qué pasa si el operador abre la válvula B en lugar de la válvula A? Generalmente, se registran todas las preguntas y luego éstas se dividen dentro de áreas específicas de investigación (generalmente relacionadas con las consecuencias de interés), como la seguridad eléctrica, protección contra incendios o seguridad del personal. Cada área es subsecuentemente direccionada a un equipo de una o más personas expertas. Las preguntas se formulan en base a la experiencia y aplicando los diagramas y descripciones de procesos existentes. Para una planta en operación, la investigación incluye entrevistas con el personal de la planta no representado en el grupo multidisciplinario de evaluación de riesgos. Puede no haber un patrón específico u orden para las preguntas, a menos que el líder suministre un patrón lógico como una división del proceso dentro de sistemas funcionales. Las preguntas pueden direccionarse a cualquier condición no normal relacionada con la planta, no solo componentes de falla o variaciones de proceso. B.4 Propósito El propósito del Análisis ¿Qué pasa si? es identificar peligros, situaciones peligrosas o eventos de accidentes específicos que pueden producir una consecuencia indeseable. Un grupo multidisciplinario y experimentado identifica las posibles situaciones de accidente, sus consecuencias y las medidas de seguridad existentes, entonces se sugieren alternativas de reducción de riesgos. El método puede Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 33 de 167 involucrar la revisión de posibles desviaciones del diseño, construcción, modificación o de operaciones. Esto requiere un entendimiento básico de la intención del proceso, junto con la habilidad de combinar mentalmente las posibles desviaciones del diseño que podrían resultar en un accidente. Este es un procedimiento poderoso si el personal es experimentado; de otra manera, los resultados serán probablemente incompletos. B.5 Tipo de Resultados En su forma más simple, la metodología del Análisis ¿Qué pasa si? genera una lista de preguntas y respuestas acerca del proceso. Esto puede resultar además en una lista tabular de situaciones peligrosas (no categorizadas o con implicaciones cuantitativas para los escenarios de accidentes potenciales), sus consecuencias, medidas de seguridad y opciones posibles para la reducción de riesgo. B.6 Requerimientos de Recursos Puesto que el Análisis ¿Qué pasa si? es muy flexible, se puede ejecutar en cualquier etapa de la vida del proceso, usando cualquier información del proceso y conocimiento disponible. Para cada área del proceso, dos o tres personas deben ser asignadas para ejecutar el análisis, aunque se prefiere un equipo más grande. Es mejor usar un equipo grande para procesos complejos, dividiendo los procesos en piezas más pequeñas, que usar un grupo pequeño por largo tiempo en todo el proceso. El tiempo y el costo de un Análisis ¿Qué pasa si? son proporcionales a la complejidad de la planta y el número de áreas a ser analizadas. Una vez que la organización ha ganado experiencia con él, el método del Análisis ¿Qué pasa si? puede volverse un medio rentable de evaluación de riesgos durante cualquier fase del proyecto. La Tabla B.6-1 lista los tiempos estimados necesarios para ejecutar un estudio de evaluación de riesgos usando la metodología de Análisis ¿Qué pasa si? Tabla B.6-1 Estimado de Tiempo para ejecutar un Análisis ¿Qué pasa si? Alcance Simple/Sistema Pequeño Complejo/Proceso grande Preparación 4-8 hrs 1-3 días Evaluación 4-8 hrs 3-5 días Documentación 1-2 días 1-3 semanas B.7 Aplicación de la Técnica La metodología de Análisis ¿Qué pasa si? comúnmente se utiliza en las siguientes etapas de la vida de un proyecto: diseño conceptual, operación de la planta piloto, ingeniería de detalle, construcción y arranque, operación de rutina, expansión o modificación, investigación de incidentes, desmantelamiento. B.8 Enfoque Técnico La metodología del Análisis ¿Qué pasa si? es una revisión creativa a una lluvia de ideas de un proceso u operación. El analista de riesgos revisa el proceso o actividad en las reuniones que giran alrededor de los temas de seguridad identificados por el analista. Cada miembro del grupo multidisciplinario de análisis de riesgos es animado a formular preguntas ¿Qué pasa si? o traer a la mesa de discusión temas específicos que les preocupan. La metodología de Análisis ¿Qué pasa si? puede ser usada para revisar virtualmente cualquier aspecto del diseño de la instalación y operación. Es una metodología de análisis de riesgos muy poderosa si el personal que analiza tiene experiencia, de otra manera los Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 34 de 167 resultados serán probablemente incompletos. El Análisis ¿Qué pasa si? de sistemas simples puede fácilmente ser dirigido por una o dos personas; un proceso más complejo demanda de un equipo más grande y más reuniones o bien más largas. Un Análisis ¿Qué pasa si? generalmente revisa el proceso, empezando con la introducción del material alimentado y siguiendo el flujo hasta el final del proceso (o el límite definido por el alcance del analista). Los Análisis ¿Qué pasa si? pueden también centrarse en un tipo particular de consecuencia (seguridad personal, seguridad pública o seguridad ambiental). El resultado de un Análisis ¿Qué pasa si? generalmente direcciona a situaciones potenciales de accidente implicadas por las preguntas y temas propuestos por el equipo. Estas preguntas y temas generalmente sugieren las causas específicas para la identificación de situaciones de accidente. Un ejemplo de de pregunta ¿Qué pasa si? es: “¿Qué pasa si el material está en la concentración incorrecta? Las preguntas y las respuestas, incluyendo los peligros, consecuencias, medidas de seguridad y posibles soluciones para los temas importantes, son todos documentados. B.9 Procedimiento de Análisis Después de que se ha definido el alcance de estudio el análisis ¿Qué pasa si? consiste en los siguientes pasos: 1. Preparación para la revisión, 2. Ejecución de la revisión, y 3. Documentación de los resultados. B.9.1 Preparación de la Revisión La información necesaria para el Análisis ¿Qué pasa si? incluye la descripción del proceso, diagramas de tubería e instrumentación, dibujos y procedimientos de operación. Es importante que toda la información esté disponible para el grupo multidisciplinario de análisis de riesgos, preferiblemente antes de las reuniones del grupo. Si una planta existente es revisada, el equipo revisor puede entrevistar adicionalmente a personal responsable de las operaciones, mantenimiento, instalaciones u otros servicios. Además, si el grupo está llevando a cabo la reunión ¿Qué pasa si? del análisis en sitio, ellos pueden visitar la planta para obtener una mejor idea de las instalaciones, construcción y operación. Así, antes de que la revisión comience, las visitas y entrevistas deben ser concertadas. La última parte es la preparación de algunas preguntas preliminares para el Análisis ¿Qué pasa si? para las juntas de análisis. Si este análisis es una actualización de una revisión anterior o una revisión de una modificación de la planta, cualquier pregunta listada en el reporte del estudio previo puede ser usada. Para plantas nuevas o aplicaciones de primera vez, las preguntas preliminares deben ser desarrolladas por los miembros del equipo antes de las reuniones, a pesar de que preguntas adicionales formuladas durante las reuniones son esenciales. El pensamiento de causa y efecto usado en otros tipos de estudios pueden ayudar a formular las preguntas. B.9.2 Ejecución de la Revisión Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 35 de 167 Las reuniones de revisión deben empezar con una explicación básica del proceso dado por el personal de la planta quienes tienen todo el conocimiento de la misma y de sus procesos. La presentación debe también describir las medidas de seguridad de la planta, equipo de seguridad, y procedimientos de control de salud. El proceso es revisado por los miembros del grupo quienes comentan las principales preocupaciones de seguridad. Sin embargo, el equipo puede no limitarse para preparar preguntas ¿Qué pasa si?. En lugar de eso, ellos deben usar su experiencia combinada con la interacción de equipo para articular cualquier tema que ellos crean necesario para asegurar que la investigación es rigurosa. El equipo no debe presionarse y no debe trabajar muchas horas consecutivamente. Idealmente, un equipo debe reunirse por no más de seis horas por día. Las reuniones del equipo ¿Qué pasa si? que duren más de una semana consecutiva no son deseables. Hay dos maneras de que las reuniones pueden ser llevadas a cabo. Una de ellas a veces preferida es primero listar los temas de seguridad y preguntas, entonces empezar a considerarlas. Otra manera es considerar cada pregunta y tema al mismo tiempo, con el equipo determinando lo significativo de cada situación. Ambas maneras pueden funcionar, pero es preferible listar las preguntas antes de responderlas para prevenir interrupciones al momento creativo del grupo. Si el proceso es complejo o largo, puede ser dividido en pequeños segmentos así el equipo no gasta varios días consecutivos solo en listar las preguntas. A veces, el equipo pensará en preguntas adicionales como resultado de sus consideraciones iníciales. Inicialmente, el líder del equipo debe delinear el alcance propuesto del estudio y el equipo debe de estar de acuerdo con él. El equipo generalmente procede desde el principio del proceso hasta el final del mismo, aunque el líder en evaluación de riesgos puede ordenar el análisis en cualquier orden lógico que se ajuste a las necesidades. Entonces las respuestas del equipo se direccionan a un tema o se indica que se requiere mayor información e identifica el peligro, consecuencias potenciales, medidas de seguridad, y posibles soluciones. En el proceso, se añaden nuevas preguntas ¿Qué pasa si? se vuelven aparentes durante el análisis. Algunas veces las respuestas propuestas son desarrolladas por individuos fuera de la reunión inicial y se realizan modificaciones. B.9.3 Documentación de Resultados Como en cualquier estudio, la documentación es la clave para transformar los hallazgos del equipo en medidas de prevención, mitigación o reducción del peligro. La Tabla B.9.3-1 muestra un ejemplo de una hoja de trabajo ¿Qué pasa si? Esto hace la documentación más fácil y más organizada. Además para completar las tablas el equipo de evaluación de riesgos generalmente desarrolla una lista de sugerencias para mejorar la seguridad del proceso de análisis basado en resultados tabulares de Análisis ¿Qué pasa si?. Algunas compañías documentan sus Análisis ¿Qué pasa si? con un estilo narrativo en lugar de una tabla. Tabla B.9.3-1 Ejemplo de hoja de trabajo ¿Qué pasa si? Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 36 de 167 Fecha de Reunión: Miembros del Equipo: Área: Plano No.: ¿Qué pasa si? GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Consecuencia / Peligro Medidas de seguridad F C R Recomendación Responsable F= Frecuencia, C= Consecuencias, R= Riesgo B.10 Producto Esperado Las tablas ¿Qué pasa si? o las preguntas en estilo narrativo y las respuestas generadas por el análisis son los productos normales del Análisis ¿Qué pasa si?. Estos resultados deben ser revisados con los directivos para asegurar que los hallazgos se transmiten a aquellos que son los responsables finales de cualquier acción llevada a cabo. A veces el equipo puede proveer a los directivos explicaciones más detalladas de las recomendaciones del análisis. B.11 Software Hay tres programas comercialmente disponibles específicamente para diseñar la ejecución del Análisis What-if: WHAT IF-PC (Primatech, Inc., Columbus, Ohio), SAFEPLAN (DuPont, Westlake Village, California) y el software PHA-Pro de la compañía Dyadem International Ltd. Los procesadores de texto estándares pueden también ayudar a documentar los resultados de los estudios de Análisis ¿Qué pasa si?. B.12 Conclusiones El procedimiento de Análisis ¿Qué pasa si? es un método no estructurado para considerar los resultados de eventos inesperados que podrían llevar a un resultado indeseado. Este método usa preguntas que empiezan con “¿Qué pasa si ...?” El equipo analista debe evitar no ser realista ya que podría resultar en postular escenarios improbables. Las preguntas deben ser realistas y seriamente investigadas. Las preguntas deben ser basadas en la experiencia previa del equipo multidisciplinario y variaran para cada sistema del proceso. El análisis es tan bueno como experimentado sea el equipo que lo realiza. El análisis puede ser aplicado a las fases de diseño, modificación u operación. El resultado es una lista de áreas problemáticas que pueden llevar a accidentes y métodos sugeridos o cambios para prevenir o mitigar los accidentes. B.13 Ejemplo Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 37 de 167 Dado el siguiente diagrama de proceso para la unidad de refrigeración de amoniaco anhídrido se presenta su hoja de análisis ¿Qué pasa si? a continuación. Tabla B.13-1 Condiciones de operación de la unidad de refrigeración de amoniaco Corriente Descripción °F psig lb/hrs Estado 1 Flujo a componente 21.7 35 3930 Gas 2 Descarga del componente 84 140 3930 Gas 3 Flujo al condensador 84 140 0 – 3930 Gas 4 Gas reciclado 76 138 0 – 3930 Liquido 5 Condensado liquido 76 138 0 – 3930 Liquido 6 Flash de retorno 21.7 36 0 – 430/3500 Gas/Liquido Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Página 38 de 167 1 2 T V Condensador C W 1 Compr esor C-001 T 1 C 1 L L Recibidor G- C- 2 L T- P 4 C 5 P V L Acumulador V- G- LA H 201 LAL 201 L V 8 1 6 0 T T C T T C V V F F F C V V F 7 C 9 Enfriador de Enfriador de Aire AC- Aire AC- Bomba P-001A/B Figura B.13-1 Diagrama de Flujo para la unidad de refrigeración de amoniaco Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 39 de 167 Formatos ¿Qué pasa si? Subsistema: 1.1 Recibidor V-001 Tipo: Vasija Condiciones de operación/parámetros: 138 psig, 76°F ¿Qué pasa si? Causas Consecuencias 1. Sobrellenado 1.1 Malfuncionamiento de LV-201 o controlador LC-201 1.1 Flujo reverso al condensador y reduce el desempeño. Dibujo: ARU-A1 Matriz de Riesgo C F R 1 3 3 3. La presión excede la especificación de diseño 2.1 Malfuncionamiento de LV-201 o controlador LC-201 2.2 eliminación del compresor 2.1 Tendencia del acumulador a llenar 3.1 Fuego 3.1 Emisión de amoniaco a través del sistema de alivio. 3.2 Algunos peligros de fuego en la vecindad 3.3 Peligro al personal en la vecindad 4.1Peligro al personal en la vecindad 5.1 Perdida de control en la unidad 6.1 El acero puede hacerse añicos por impacto 6.2 Peligro al personal en la vecindad 7.1 Peligro al personal en la vecindad 4.Medidor de nivel fallado (LG-101) 5.falla transmisor de nivel (LT-101) 6. Desquebrajamie nto por baja temperatura 4.1Impacto físico 7. Servicio tóxico o peligroso 7.1 Emisión por uniones o bordes durante el mantenimiento 8. Formación de vórtices en la descarga de líquidos 8.1 Nivel bajo de liquido en V-001 5.1Defecto de manufactura 6.1 Despresurización a la atmosfera durante el mantenimiento Recomendaciones 1.1 Medidor de nivel (LG-101) 1. Establecer procedimientos operacionales para control de inventario de amoniaco. 2. Diseño que asegure que los inventarios de amonio en el recibidor y acumulador mas tuberías son compatibles y no resultan en inundación. 3. El acumulador debe ser suficientemente grande para asegurar todo el contenido del recibidor. 4. Asegurar que los monitores de fuego y extinguidores estén cercanos 5. Ubicación de los venteos de la válvula de alivio en una localización segura. 1.2 Nivel de alarma alto (LAH-201) 1.2 Sobrellenado del llenado inicial de amoniaco 2. Nivel muy bajo Medidas de seguridad 8.1 Perdida de funcionamiento 1 3 3 2.1 Medidor de nivel (LG-101) 1.2 Nivel de alarma bajo (LAL-201) 3.1 punto de ventilación alto 4 2 8 4 3 12 4.1 Ninguno 1 3 3 5.1 Control de nivel (LG-101) 4 1 4 4 3 12 1 4 4 Responsables Ana D. Miguel W. Jorge B. Manuel L. Anna D. 6.Proveer de protección a los medidores de nivel 7. No se requiere acción Miguel W. 6.1 Ninguno 8. Verificar la necesidad de utilizar acero al carbón Jorge B 7.1 Ninguno 9. Aparato de respiración 10. Desarrollo de procedimientos operacionales 11. Instalar rompedores de vórtices Miguel W. 8.1 Control de nivel (LG-101) 8.2 Alarma de nivel bajo (LAL201) F = categoría de frecuencia, C = categoría de consecuencia, R = categoría de riesgo Anna D. Raymundo S. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Página 40 de 167 Dibujo: ARU-A1 Subsistema: 1.2. Acumulador V-002 Tipo: Vasija Condiciones de operación/Parámetros: 35 psig, 21.7 F ¿Qué pasa si? 1.Sobrellenado Causas Consecuencias 1.1.Malfuncionamiento de LV-201 o controlador LC-201 1.1.Flujo reverso hacia el condensador que reduce el desempeño Matriz de Riesgo C F R 1 3 3 Medidas de seguridad 1.1.Indicador de nivel (LG102) 1.2. Sobrellenado del llenado inicial de amoniaco. 2.Nivel my bajo 1.3.Corte del compresor 2.1. Malfuncionamiento de LV-201 o controlador LC-201 2.1. Acumulador tiende a vacarse 1 3 3 2.1 Indicador de nivel (LG102) 2.2. Daño a la bomba 3. La presión excede las especificaciones de diseño 3.1 Incendio 3.1 Punto de venteo alto 3.1 Emisión de amoniaco a través del sistema de alivio 3.2 Peligro de incendio en la vecindad 4. Indicador de nivel roto (LG102) 5. Baja temperatura de ruptura 6. Peligroso o toxico 7. Vórtices en la descarga de liquido 3.3 Peligro para el personal en la vecindada 4.1 Impacto físico 5.1 Despresurización a la atmosfera para despresurizar durante el mantenimiento 6.1 Emisión por uniones o bordes durante el mantenimiento 7.1 Bajo nivel de liquido en V-002 Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 4 2 8 4.1 Peligro al personal en la vecindad 5.1 El hacer se puede despedazar por impacto 5.2 Peligro al personal en la vecindad 6.1 peligro para el personal en la vecindad 4 3 12 7.1Bajo desempeño 1 4.1 Ninguno 5.1 Ninguno 4 1 4 4 3 12 4 4 6.1 Ninguno 7.1 Indicador de nivel (LG102) F = categoría de frecuencia, C = categoría de consecuencia, R = categoría de riesgo Recomendaciones Responsable 1. Establecer procedimientos operacionales para el control de inventario de amoniaco. 15. Diseño para asegurar que los inventarios de amoniaco en el recibidor y acumulador mas la tubería sean compatibles y no resulte en una inundación. 3.Instalar alarma de alto nivel V-002 3. Acumulador debe ser suficientemente grande para asegurar el contenido total del recibidor. 16. Alarma de bajo nivel (LAL-201) 4. Asegurar que los monitores de fuego y extinguidores estén cerca 5. localización de los venteos de las válvulas en una localidad segura 6. Proveer de protección a los indicadores de nivel 6. Suministrar protección a los indicadores de nivel 8. Verificar la necesidad de utilizar acero al carbón Ana D. 9. Aparato de respiración 10. Sistema “buddy” 11. Desarrollo de procedimientos operacionales 12. Instalar rompedora de vórtice 16. Alarma nivel bajo (LAL-201) Miguel W. Jorge B. Jorge B. Jorge B. Esteban L. Ana D. Miguel W. Miguel W. Jorge B. Miguel W. Miguel W. Ana D. Raymundo S. Jorge B. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 41 de 167 ANEXO C Combinación Lista de Verificación y ¿Qué pasa si? Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 42 de 167 C.1 Proósito Proporcionar de una guía a los analistas que requieran desarrollar un Análisis ¿Qué pasa si? – Lista de verificación para homologar su aplicación en las instalaciones de Petróleos Mexicanos C.2 Referencias [1] Guidelines for Hazard Evaluation Procedures with worked examples, CCPS, AICHE, 1992. [2] Nigel Hyatt, Dyadem Press “Guidelines for Process Hazards Analysis, Hazards Identification & Risk Analysis” CRC Press, 2003 [3] Lees F. P., “Loss Prevention in the Process Industries: Hazard Identification, Assessment and Control”, Butterworths-Heinemann, London, Second Edition, 1996. C.3 Descripción La metodología de Análisis ¿Qué pasa si?/Lista de verificación combina la creatividad, las características de la lluvia de ideas del método de Análisis ¿Qué pasa si? con las características sistemáticas del método de Análisis Lista de verificación. Este método hibrido capitaliza las fortalezas y compensa los defectos individuales de los enfoques por separado. Por ejemplo, el método de Análisis Lista de verificación es una metodología basada en la experiencia y la calidad del estudio de la evaluación de los riesgos es altamente dependiente de la experiencia de los autores de la lista de verificación. Si la lista de verificación no está completa, entonces el análisis puede no dirigirse efectivamente a la situación peligrosa. Una porción del Análisis ¿Qué pasa si? anima al grupo multidisciplinario de evaluación de riesgos a considerar los accidentes severos y consecuencias que están más allá de la experiencia de los autores de una buena lista de verificación, y de este modo no están cubiertas por la lista de verificación. En cambio, la porción de la metodología de Lista de verificación se presta a una naturaleza más sistemática que la del Análisis ¿Qué pasa si? La metodología del Análisis ¿Qué pasa si?/Lista de verificación puede ser usada en cualquier etapa de la vida de un proceso. Como la mayoría de otros métodos de evaluación de riesgos, el método trabaja mejor cuando se ejecuta por un grupo multidisciplinario de expertos en el proceso. Esta metodología es generalmente usada para analizar los riesgos más comunes que existen en un proceso. A pesar de esto es posible evaluar el significado de los accidentes a casi cualquier nivel de detalle, el método de Análisis ¿Qué pasa si?/Lista de verificación generalmente se enfoca en un nivel de detalle de resolución menor que otras metodologías. A veces el Análisis ¿Qué pasa si?/Lista de verificación es la primera evaluación de riesgos ejecutada en un proceso, y es, un precursor de estudios subsecuentes más detallados. C.4 Propósito El propósito del Análisis ¿Qué pasa si?/Lista de verificación es identificar peligros, considerando los tipos generales de accidentes que pueden ocurrir en un proceso o actividad, evaluando de una manera cualitativa los efectos de estos accidentes, y determinar si las medidas de seguridad contra estas situaciones potenciales de accidente parecen adecuadas. Frecuentemente, los miembros del grupo multidisciplinario de evaluación de riesgos pueden sugerir maneras para reducir el riesgo de operar el proceso. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 43 de 167 C.5 Tipo de Resultados El grupo de evaluación de riesgos que usa la metodología del Análisis ¿Qué pasa si?/Lista de verificación generalmente emplea una tabla de situaciones de accidentes potenciales, efectos, medidas de seguridad y acciones. Los resultados de este estudio pueden también incluir una lista de verificación completa. De cualquier forma, algunas organizaciones usan un estilo narrativo de documentar los resultados de estos estudios. C.6 Requerimientos de Recursos La mayoría de los Análisis ¿Qué pasa si?/Lista de verificación son ejecutados por un grupo multidisciplinario de personal experimentado en el diseño, operación y mantenimiento del proceso. El número de personas necesarias para el estudio depende de la complejidad del proceso, y en algún grado de la etapa de la vida en la cual el proceso está siendo evaluado. Normalmente, el estudio de evaluación de riesgos que usa esta metodología requiere menos personal y menos reuniones que las metodologías más estructuradas. La Tabla C.6-1 lista los tiempos estimados necesarios para ejecutar el estudio de evaluación de riesgos usados en la metodología de Análisis ¿Que pasa si?/Lista de verificación. Tabla C.6-1 Estimado de tiempo para ejecutar un análisis ¿Que pasa si?/Lista de verificación Alcance Simple/Sistema pequeño Complejo/Proceso grande Preparación 6-12 hrs 1-3 días Evaluación 6-12 hrs 4-7 días Documentación 4-8 hrs 1-3 semanas C.7 Aplicación de la Técnica La metodología de análisis de riesgos ¿Qué pasa si?/Lista de verificación comúnmente se utiliza en las siguientes etapas de la vida de un proyecto: investigación y desarrollo, diseño conceptual, operación de la planta piloto, ingeniería de detalle, construcción y arranque, operación de rutina, expansión o modificación, desmantelamiento. C.8 Enfoque Técnico La metodología de Análisis ¿Qué pasa si?/Lista de verificación es una combinación de dos métodos de evaluación de riesgos. El método es generalmente ejecutado por un equipo multidisciplinario de personas expertas en el proceso. El equipo usa la metodología de Análisis ¿Qué pasa si? para tener una lluvia de ideas de varios tipos de accidentes que pueden ocurrir en el proceso. Entonces el equipo usa una o más listas de verificación para ayudar a llenar los huecos que ellos pudieron pasar por alto. Las listas de verificación utilizadas en esta parte del análisis difieren algo de las listas de verificación tradicionales de diseño, procedimientos o atributos operacionales. En lugar de enfocarse en una lista específica de diseño o características de operación, las listas de verificación usadas en el Análisis ¿Qué pasa si?/Lista de verificación son más generales y enfocadas en fuentes de peligros y accidentes. Estas listas de verificación intentan inspirar el pensamiento creativo acerca de los tipos de fuentes de peligros asociados con el proceso. El uso combinado de estos dos métodos enfatiza sus características positivas principales mientras que al mismo tiempo compensa sus defectos. Por ejemplo, una lista de verificación tradicional de un proceso, por definición, está basada en la experiencia del autor. A veces particularmente, si hay poca Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 44 de 167 experiencia industrial o de la compañía disponible del proceso, la lista de verificación es probablemente un punto de vista incompleto y se necesita una lista de verificación más general. La parte ¿Qué pasa si? del análisis usa la creatividad del equipo y la experiencia para la lluvia de ideas de situaciones potenciales de accidente. Puesto que el método de Análisis ¿Qué pasa si? es generalmente no tan detallado, sistemático o riguroso. El uso de las listas de verificación permite al equipo de evaluación de riesgos llenar los huecos en su proceso de pensamiento. La metodología de Análisis ¿Qué pasa si?/Lista de verificación puede ser usada para cualquier tipo de proceso o actividad en cualquier etapa de la vida del proceso. Normalmente, el método es usado para examinar los efectos potenciales y significado de las situaciones de accidente al nivel más general que algunos de los enfoques más detallados. C.9 Procedimiento de Análisis Un Análisis ¿Qué pasa si?/Lista de verificación consiste en los siguientes pasos: 1. Preparación para la revisión, 2. Desarrollo de una lista y temas ¿Qué pasa si?, 3. Uso de una lista de verificación para cubrir cualquier hueco, 4. Evaluación de cada una de las preguntas y temas, y 5. Documentación de los resultados. Una modificación de este procedimiento es variar el orden de los pasos 2 y 3 para desarrollar las preguntas ¿Qué pasa si? al mismo tiempo que se progresa en la lista de verificación detallada. C.9.1 Preparación de la Revisión Para un Análisis ¿Qué pasa si?/Lista de verificación el líder del equipo multidisciplinario de evaluación de riesgos forma un equipo calificado, determina el alcance físico y analítico del estudio propuesto y, si el proceso/actividad es muy grande, dividirlo en funciones, áreas físicas o tareas para suministrar algún orden a la revisión del proceso. Para la porción de la lista de verificación de este análisis, el líder del equipo de evaluación de riesgos obtiene o desarrolla una lista de verificación apropiada para el equipo para usarla en conjunto con el Análisis ¿Qué pasa si? La lista de verificación se enfoca en características peligrosas generales de los procesos u operación. C.9.2 Desarrollo de una lista de preguntas y temas ¿Qué pasa si? La sección referente al Análisis ¿Qué pasa si? describe el enfoque que el equipo de evaluación de riesgos utiliza cuando se reúne para desarrollar preguntas y temas involucrando situaciones de accidentes potenciales. C.9.3 Uso de la lista de verificación Una vez que el equipo ha identificado todas las preguntas y temas, que pueden ser de un área particular o del proceso o actividad, el líder del equipo multidisciplinario de evaluación de riesgos aplicará la lista de verificación obtenida previamente o preparada. El equipo considera cada tema de la lista para ver si cualquier otra situación de accidente potencial o preocupación aparece. Si esto pasa, estos son evaluados en la misma forma que las preguntas ¿Qué pasa si? originales (la lista de verificación es revisada para cada área o etapa del proceso o actividad). En algunos casos es preferible tener una lluvia de ideas en el equipo multidisciplinario de evaluación de riesgos para obtener los Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 45 de 167 peligros y situaciones potenciales de accidente del proceso antes de usar la lista de verificación. En otras ocasiones, se pueden obtener resultados efectivos empezando con una lista de verificación y usar los temas en ella para crear preguntas ¿Qué pasa si? y temas que podrían no ser considerados de otra manera. Sin embargo, si la lista de verificación es usada primero, los líderes deben de tomar la precaución de evitar dejar una lista de verificación que restrinja la creatividad y la imaginación del equipo. C.9.4 Evaluación de las preguntas y temas Después de desarrollar preguntas y temas que involucran situaciones potenciales de accidente, el equipo considera cada situación de accidente o preocupación de seguridad; cualitativamente determina los efectos potenciales que implica el accidente o la situación preocupante, y se lista si existen medidas de seguridad para prevenir, mitigar o contener los efectos del potencial accidente. El equipo entonces evalúa el significado de cada situación y determina si mejoras particulares a la seguridad deberían ser recomendadas. Este proceso se repite para cada área o paso del proceso o actividad. A veces esta evaluación es ejecutada por miembros específicos del equipo fuera de la reunión del equipo y es posteriormente revisada por el equipo. C.9.5 Documentación de resultados Los resultados del Análisis ¿Qué pasa si?/Lista de verificación son documentados en la misma forma que los resultados del Análisis ¿Qué pasa si?. Siguiendo la reunión, el líder del grupo multidisciplinario de evaluación de riesgos y el redactor resumirán los resultados en forma tabular. Para el Análisis ¿Qué pasa si?/Lista de verificación el grupo multidisciplinario de evaluación de riesgos puede también documentar completamente la lista de verificación para ayudar a ilustrar la completes del estudio. C.10 Producto Esperado El reporte típico contiene una lista de situaciones potenciales de accidente, efectos, medidas de seguridad y acciones generadas en las reuniones, a veces en forma tabular. Sin embargo, algunos analistas documentan los resultados en una forma narrativa. C.11 Software Los únicos software diseñados para Análisis ¿Qué pasa si?/Lista de verificación que se encuentra comercialmente disponible son el SAFEPLAN (DuPont, Westlake Village, California) y el PHA-Pro de la compañía Dyadem International Ltd.. Adicionalmente los procesadores de texto estándares y programas de hojas electrónicas pueden ayudar al analista a documentar los resultados de los estudios del Análisis ¿Qué pasa si?/Lista de verificación. C.12 Conclusiones Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 46 de 167 El propósito del Análisis ¿Qué pasa si?/Lista de verificación es identificar riesgos, evaluando de una manera cualitativa y determinar si las medidas de seguridad contra estas situaciones potenciales de accidente son adecuadas. La metodología de Análisis ¿Qué pasa si?/Lista de verificación capitaliza las fortalezas y compensa los defectos individuales de los enfoques por separado. Como la mayoría de otros métodos de evaluación de riesgos, el método trabaja mejor cuando se ejecuta por un grupo multidisciplinario de expertos en el proceso. A veces el Análisis ¿Qué pasa si?/Lista de verificación es la primera evaluación de riesgos ejecutada en un proceso, y es, un precursor de estudios subsecuentes más detallados. El reporte contiene una lista de situaciones potenciales de accidente, efectos, medidas de seguridad y acciones generadas en las reuniones. C.13 Ejemplo C.13.1 Ejemplo A A continuación se cita un ¿Qué pasa si?/Lista de verificación aplicada a un calentador de aceite: 1. La funcionalidad del calentador de aceite • El horno calienta el aceite y lo vaporiza • Usa gas natural para calentar el aceite • Controla el flujo de aceite • Contiene el aceite en tubos • Controla la temperatura del aceite • Mantiene negativa la presión del calentador • Controla el aire de combustión a través de una rejilla • Controla la presión del gas natural • La flama del piloto asegura la combustión Los siguientes son algunas preguntas ¿Qué pasa si? generales para el calentador de aceite: a. ¿Qué pasa si se pierde el calentamiento? b. ¿Qué pasa si el aceite se sobrecalienta? c. ¿Qué pasa si hay una interrupción en el suministro de gas natural? Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 47 de 167 d. ¿Qué pasa si el flujo de aceite es muy bajo? e. ¿Qué pasa si el flujo de aceite es muy alto? f. ¿Qué pasa si la temperatura del aceite es muy alta? g. ¿Qué pasa si la temperatura del aceite es muy baja? h. ¿Qué pasa si hay muy poco aire para la combustión? i. ¿Qué pasa si hay mucho aire para la combustión? j. ¿Qué pasa si la presión del gas es muy baja? k. ¿Qué pasa si la presión del gas es muy alta? l. ¿Qué pasa si el piloto se extingue? m. ¿Qué pasa si el piloto no inicia la flama? 2. Peligros mayores a. ¿Qué pasa si el tubo que contiene el aceite se rompe? b. ¿Qué pasa si hay una purga insuficiente? 3. Emisiones inflamables a. ¿Qué pasa si los tubos que contienen el aceite se rompen? b. ¿Qué pasa si es insuficiente la purga? c. ¿Hay protección contra fuego? 4. Control a. ¿Se controla a temperatura adecuadamente? b. ¿La presión se controla/regula? 5. Peor evento/pero escenario creíble a. ¿Cuáles son los pasos de mitigación tomados para reducir los efectos de una explosión? b. ¿Cuáles son los pasos de mitigación tomados para reducir los efectos de una ruptura de tubería? c. ¿Cuáles son los pasos de mitigación tomados para reducir los efectos de una explosión de nube de vapor? Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 48 de 167 6. Soporte a. ¿El aire de combustión se regula? b. ¿El suministro de gas natural es continuo? ¿Hay interrupciones? 7. Proceso a. ¿Se monitorea la temperatura en el área de proceso y se mantiene en nivel aceptable? 8. Fallas de componentes individuales a. ¿Hay controles para regular/detectar alta presión en un lado del tubo? ¿Fallan seguras? b. ¿Podría ser el calentador fuente de ignición para la nube de vapor o inflamable? 9. Encendido/apagado a. ¿Están abiertas las válvulas de control? b. ¿Hay monitores de temperatura extra para detectar las fluctuaciones de temperatura durante un apagado de emergencia? c. ¿El sistema de agua de enfriamiento está relacionado con el apagado de emergencia? 10. Hay suficientes monitores/alarmas para detectar: a. Tubería local sobrecalentada b. Presión alta. c. Perdida/escape de flama de piloto 11. Apagado de emergencia a. ¿Puede el calentador tener una falla de suministro de energía? b. ¿Puede el calentador tener una falla de suministro para los instrumentos de aire? ¿Están los controles en falla segura si hay una interrupción del suministro en los instrumentos de aire? c. ¿Puede el calentador tener una falla de suministro de pérdida de flujos de proceso? d. ¿Puede el calentador tener una falla de suministro de vapor? C.13.2 Ejemplo B La planta de Químicos ABC Inc se ha vuelto menos eficiente conforme los años han pasado, y se ha decidido reducir la producción como un esfuerzo por reducir costos, las plantas nuevas de la compañía Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 49 de 167 incrementaran su producción. Como parte de la reducción de capacidad se desmantelara uno de los hornos usados en el proceso. Antes del desmantelamiento se ha requerido un análisis de riesgos. Ninguno de los empleados ha participado o ejecutado un análisis de riesgos de un desmantelamiento de proceso. Por lo cual se ha pedido la ayuda del grupo de análisis de riesgos de la compañía para que les den soporte y asignaron al Ing. Sánchez a este proyecto. El Ing. Sánchez ha ejecutado numerosas revisiones de riesgos incluyendo desmantelamientos. A través de su experiencia y la experiencia de otros grupos de análisis de riesgos de la compañía, se ha desarrollado la siguiente lista de verificación para la revisión de las actividades de desmantelamiento y el Ing. Sánchez piensa utilizar tentativamente esta lista de verificación. Lista de Verificación. Apagado y aislamiento: 1. ¿Existen procedimientos para paro de la unidad? ¿El personal está familiarizado con estos procedimientos? ¿Se ha apagado la unidad anteriormente? ¿Se ha informado al área de operaciones del desmantelamiento? 2. ¿Existen procedimientos de desmantelamiento? ¿Se ha revisado su contenido técnico? 3. ¿El equipo ha sido cambiado o modificado y estas no han sido reflejadas en la documentación del sistema? ¿Se han incorporado los efectos potenciales de estos cambios en las acciones de mantenimiento? 4. ¿Se van a desconectar los suministros de la unidad? ¿Existen procedimientos de desconexión documentados? ¿Las desconexiones pueden afectar otras unidades? 5. ¿Alguna característica de seguridad o control será desconectada temporal o permanentemente? ¿Cómo afectara esto a otros equipos de operación? ¿Podría esto dar inicio a un apagado? 6. ¿Habrá alguien familiarizado con desmantelamientos siempre disponible para emergencias? ¿Existe un plan de emergencias? 7. ¿Se requiere alguna vigilancia médica especial durante el desmantelamiento? 8. ¿Hay algún sistema de protección contra fuego deshabilitado como parte del desmantelamiento? 9. ¿El equipo estará siempre aterrizado eléctricamente? 10. ¿Cómo serán aisladas las líneas de las unidades de proceso de otros sistemas de la planta? ¿Alguien verificara estos aislamientos? 11. ¿Todos los recipientes aislados tienen la protección de alivio adecuada? ¿Hay vías de alivio despejadas y operables durante el desmantelamiento? 12. ¿Algún recipiente requiere protección de vació durante el desmantelamiento? ¿Algún recipiente aislado será enfriado durante el desmantelamiento? Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 50 de 167 Drenaje: 1. ¿Existen procedimientos para drenar el material de proceso de la unidad? 2. ¿Hay alguna protección especial del engranaje durante las operaciones de drenaje? 3. ¿Serán rotas las líneas para drenar la unidad? ¿Existen medidas adecuadas para asegurar que materiales muy calientes, muy fríos o a alta presión no estén en la línea? ¿Existen las medidas adecuadas para proteger contra emisiones toxicas o inflamables? ¿Se requiere permiso para trabajo en caliente o rompimiento de línea? 4. ¿Cómo será dispuesto el material drenado? ¿Esta vasija contendrá materiales incompatibles? 5. ¿El área tendrá ventilación apropiada? ¿tendrá drenaje apropiado? ¿Tendrá protección adecuada contra incendio? 6. ¿El acceso al área será limitado durante las actividades de drenado? 7. ¿El área está libre de fuentes de ignición? ¿El área está libre de materiales combustibles? 8. ¿El equipo usado para drenar la unidad es compatible con estos materiales de proceso? 9. ¿Se requiere confinar el espacio de entrada para drenar la unidad? ¿Se han obtenido los permisos? 10. ¿Hay posibilidad de flujo reverso en la línea de drenado? Limpieza: 1. ¿Será el equipo de la unidad limpiado después del drenado? 2. ¿Los materiales de limpieza tienen reactividad potencial con cualquier material del proceso? ¿Se puede utilizar algún material menos peligroso? 3. ¿Los materiales de limpieza requieren algún manejo especial? ¿Se requiere algún equipo de protección personal? 4. ¿Podría utilizarse algún material de limpieza inapropiado inadvertidamente? 5. ¿Cómo será dispuesta la solución de limpieza? 6. ¿Si el material de limpieza es combustible, se han tomado las medidas de protección contra incendio apropiadas? 7. ¿Hay alguna preocupación referente a los residuos después de la limpieza? Desmantelamiento: 1. ¿Se usará equipo pesado durante el desmantelamiento de la unidad? ¿Hay medidas adecuadas en el lugar para monitorear los movimientos del equipo pesado en el lugar? ¿Hay la iluminación adecuada? 2. ¿Hay materiales peligrosos o inflamables en el área que puedan ser emitidos en un accidente? ¿Hay las precauciones de seguridad en el lugar? 3. ¿El equipo en la unidad será reutilizado? ¿Es adecuadamente diseñado para el nuevo servicio? 4. ¿Está el equipo etiquetado apropiadamente? 5. ¿Dónde se almacenara el equipo? ¿Hay requerimientos especiales de almacenamiento? 6. ¿Se requieren procedimientos especiales para cumplir con la regulación ambiental? Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 51 de 167 7. ¿Hay otras unidades, líneas, etc., en las áreas que puedan ser golpeadas por el equipo pesado usado en el desmantelamiento? El Ing. Sánchez ha decidido complementar el Análisis Lista de verificación con un Análisis ¿Qué pasa si?, para ello el Ing. Sánchez anima al grupo revisor a plantear preguntas ¿Qué pasa si? conforme el se va moviendo a través de la lista de verificación. El Ing. Sánchez espera que los miembros del equipo formulen preguntas que revelen situaciones potencialmente peligrosas. El Análisis ¿Qué pasa si?/Lista de verificación se programa para las 9:00 AM y se ha convocado al personal con las habilidades y experiencias requerida para analizar el desmantelamiento. La reunión inicia con una visita al área, mientras tanto los ingenieros de proceso les explican cómo será aislada la zona del resto del proceso. El grupo regresa al salón de reunión y antes de estudiar el material disponible el Ing. Sánchez les comunica las reglas del análisis: 1. Todos los miembros del grupo tienen el derecho y la responsabilidad de poner en la mesa de discusión cualquier tema que les preocupe 2. Todo es importante 3. El objetivo es identificar preocupaciones de seguridad no resolverlas 4. No se permite la critica entre los miembros del equipo 5. Todos los miembros del equipo son iguales. Antes de iniciar la discusión se le pide a uno de los integrantes del grupo de análisis familiarizado con el proceso a desmantelar que de una revisión al proceso al resto del grupo para unificar el conocimiento. Una vez hecha la revisión se procede con la lista de verificación. Se analiza cada una las preguntas y en su caso se plantean preguntas ¿Qué pasa si? donde aplique para complementar la lista de verificación. Los integrantes del grupo dan opiniones y/o recomendaciones que se documentan como parte del reporte de análisis. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 52 de 167 ANEXO D Análisis de Modos de Falla y sus Efectos (FMEA) Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 53 de 167 D.1 Propósito Proporcionar una guía a los analistas que requieran desarrollar un análisis de riesgos utilizando la metodología Análisis de Modos de Falla y Efectos (FMEA), para homologar su aplicación en las instalaciones de Petróleos Mexicanos. D.2 Referencias • • IEC 60812, Analysis techniques for system reliability – Procedure for failure mode and effects analysis (FMEA), 2006. Guidelines for Hazard Evaluation Procedures with worked examples, CCPS, AICHE, 1992. D.3 Introducción El Análisis de los Modos de Falla y sus Efectos (FMEA por sus siglas en inglés Failure Modes and Effect Analysis) es un procedimiento sistemático para el análisis de sistemas e identificar sus modo de falla potenciales, sus causas y efectos en el desempeño del sistema (en el entorno inmediato del componente y el sistema o proceso en su conjunto) ya sea durante su diseño, construcción u operación. Los análisis pueden iniciarse tan pronto como se defina suficientemente el sistema representado como un diagrama funcional de bloques donde se encuentra definido el desempeño de sus elementos. Un análisis FMEA detallado es el resultado de un equipo compuesto por individuos calificados para reconocer y evaluar la magnitud y consecuencias de varios tipos de deficiencias potenciales del sistema que puedan conducir a fallas. Las ventajas del trabajo en equipo es que estimula el proceso de pensamiento y permite la conjunción de experiencia. El FMEA es un método para identificar la severidad de modos de falla potencial y permite identificar las medidas para mitigar la severidad de las consecuencias y así reducir el riesgo. En algunas aplicaciones el FMEA también incluye una estimación de la probabilidad de ocurrencia de los modos de falla, de tal forma que con base en esto se pueden identificar las medidas para reducir la probabilidad de ocurrencia de los modos de falla y de esta forma reducir el riesgo. Antes de iniciar la aplicación del FMEA se debe realizar una descomposición jerárquica de los sistemas en sus elementos más básicos. Es útil emplear diagramas de bloques para ilustrar esa descomposición. El análisis inicia con los elementos del más bajo nivel. El efecto de un modo de falla a un bajo nivel puede ser la causa de un modo de falla de un componente en el siguiente nivel más alto. El análisis procede de abajo hacia arriba hasta que se identifique el efecto final en el sistema. El análisis FMEA generalmente trata con modos de falla individuales y los efectos de esos modos de falla en el sistema. Cada modo de falla se trata de manera independiente, sin relación con otras fallas en el sistema. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 54 de 167 Tradicionalmente ha habido muchas variaciones en la forma en la que se conduce y se presenta el FMEA. Sin embargo, el análisis siempre debe estar basado en el análisis de los modos de falla. Los resultados analíticos se presentan en formatos de trabajo que contienen la información esencial de un análisis para un sistema completo desarrollado para ese sistema específico. El análisis muestra las formas en las que el sistema puede fallar potencialmente, los componentes y sus modos de falla que pueden causar la falla del sistema y las causas de ocurrencia de cada modo de falla individual. Cuando se trabaja sobre un FMEA ya existente, es esencial asegurarse que el sistema actual tiene las mismas condiciones y características al momento en el cual se le realizó ese análisis. El procedimiento para realizar un FMEA se ilustra en la Figura D.3-1. GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 55 de 167 1. DEFINICIÓN • • • Definir propósito y objetivos del FMEA Seleccionar el equipo de trabajo Definir roles y responsabilidades de los miembros del equipo 2. PLANEAR Y PROGRAMAR ACTIVIDADES • • Planeación el estudio • • • Definir formatos de registro del análisis Recolectar y procesar datos (Elaborar descripciones y diagramas simplificados o de bloques, listado de componentes) Definir el tiempo para el análisis Programar actividades 3. ANÁLISIS • Seleccionar un componente y describir sus funciones y referencias de desempeño - Identificar modos de falla, - Identificar efectos y consecuencias, - Identificar causas de los modos de falla, - Identificar medidas de seguridad o protecciones, - Identificar posibles soluciones o medidas de mitigación, en caso de ser necesarias (emitir recomendaciones valorando la tolerabilidad del riesgo). • Repetir el proceso para cada componente del sistema 4. DOCUMENTACIÓN Documentación: • Documentación del análisis (Llenar formatos FMEA y minutas de reuniones) • • Generación del informe final Liberación del informe final Tabla D.3-1 Procedimiento para realizar un FMEA Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 56 de 167 D.4 Procedimiento para realizar un FMEA D.4.1 Definir alcance y objetivos del estudio Las razones que motivan la realización de un FMEA pueden incluir entre otras, las siguientes: 1. Identificar aquellas fallas que puedan tener consecuencias indeseadas en la operación (por ejemplo comprometer o degradar significativamente la operación o afectar la seguridad del personal). 2. Satisfacer los requerimientos contractuales de un cliente 3. Permitir mejoras en la confiabilidad o la seguridad de sistemas (resaltando las áreas con alto riesgo) Con base en lo anterior el objetivo al realizar un análisis podría incluir lo siguiente: • • • • • • Identificar de forma clara y evaluar todos los efectos no deseados dentro de las fronteras del sistema y la secuencia de eventos que implica la ocurrencia de cada modo de falla a diferentes niveles de la jerarquía funcional del sistema. La determinación de la criticidad o prioridad para administrar las acciones de mitigación de cada modo de falla con respecto al desempeño o a la correcta función del sistema y el impacto en el proceso analizado. Una clasificación de los modos de falla identificados de acuerdo a sus características importantes, incluyendo su facilidad de detección, capacidad para diagnosticar, facilidad de prueba, políticas de mantenimiento, etc. Identificación de las fallas funcionales de sistemas y estimación de la severidad y probabilidad de falla. Desarrollo o mejora del diseño de planes de mitigación de modos de falla. Apoyar el desarrollo de planes de mantenimiento efectivos para mitigar o reducir la probabilidad de falla. D.4.2 Definir roles, responsabilidades y formar equipo de trabajo Se deben definir claramente los roles y responsabilidades de los miembros del equipo FMEA. Para esto se toma en cuenta las habilidades necesarias de cada miembro que conformará el equipo de trabajo. Un estudio FMEA es el resultado de un esfuerzo en equipo, cada miembro se selecciona para que juegue un rol y tenga responsabilidades específicas. Normalmente requiere de al menos cuatro personas y en raras ocasiones supera las siete personas. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 57 de 167 Roles y responsabilidades: • Líder del estudio. Persona entrenada y experimentada en análisis FMEA, responsable de: - Planear el estudio, - participar en la conformación del equipo de trabajo, - suministrar y requerir la información necesaria a los miembros del equipo, - lograr la comunicación entre los miembros del equipo, - conducir el estudio, y - asegurar la apropiada documentación de resultados. • Auxiliar del líder. Persona entrenada y experimentada en análisis FMEA, responsable de: - Ayudar al líder en la planeación y ejecución del estudio, - documentar el estudio. • Personal relacionado con el diseño del sistema. Persona que participó en la elaboración del diseño del sistema o que es competente en los aspectos del diseño del sistema por laborar en áreas como ingeniería de proceso. Responsable de: - Explicar y aclarar dudas sobre el diseño (principalmente ayuda a establecer funciones y referencias de desempeño de los equipos o componentes), y - participar en la identificación y evaluación de modos de falla y sus causas. • Personal operativo. Persona competente en labores de operación del sistema, su participación se centra en: - Explicar el contexto operativo del sistema y los efectos de los modos de falla sobre la operación del sistema, - participar en la identificación y evaluación de modos de falla desde el punto de vista de la operación, y - participa en la emisión de recomendaciones. • Personal de mantenimiento. Persona competente en labores de mantenimiento del sistema: - Explicar aspectos relacionados con el mantenimiento (correctivo, preventivo y predictivo, pruebas, calibraciones y reemplazos de equipos), y posibles daños a equipos derivados de un modo de falla, así mismo, - participar en la identificación y evaluación de modos de falla desde el punto de vista del mantenimiento. • Personal especialista (entre otros de seguridad). Persona competente en prevención y mitigación de eventos no deseados: - Explicar aspectos relacionados con la prevención y mitigación de eventos no deseados, como lo pueden ser fuga de materiales peligrosos, incendios y explosiones, - participar en la identificación y evaluación de modos de falla desde el punto de vista de las consecuencias principalmente, y - en general, personal con competencias específicas que puede participar de manera concreta, y definida por el líder, en algunos aspectos del análisis. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 58 de 167 D.4.3 Preparativos para realizar un FMEA • Responsabilidades del líder durante la etapa de preparación del FMEA: - D.4.3.1 Obtención de la información, convertir la información a un formato adecuado (descripciones y diagramas simplificados), definir un programa de trabajo con fechas establecidas para las reuniones FMEA, y gestionar las reuniones necesarias, generar el listado de los componentes del sistema a analizar, preparar listas de modos de falla al nivel adecuado, definir los formatos en los que se documentará el análisis FMEA, y definir el formato y contenido del informe final. Planeación. Se deben integrar dentro del plan de trabajo todas las actividades relacionadas con el análisis FMEA (actividades del FMEA, su seguimiento, acciones correctivas y su cierre). El plan debe contener los siguientes puntos: • • • • • • Definición clara del propósito específico del análisis y sus resultados esperados El alcance del análisis en términos de cómo debe enfocarse el FMEA Si este forma parte de un proyecto mayor, la descripción de cómo el análisis FMEA lo complementa Identificar las medidas a usar para controlar las revisiones del FMEA y la documentación relacionada Asegurar la participación de expertos en el análisis Establecer referencias que permitan evaluar el avance del análisis con respecto al tiempo El plan debe reflejar el consenso de todos los participantes y debe ser aprobado por el responsable del proyecto. Estructura del sistema Información sobre la estructura del sistema Los siguientes componentes deben incluirse dentro de la información sobre la estructura del sistema: Los diferentes elementos del sistema con sus características, funciones dentro del contexto operativo y sus referencias de desempeño. • • • • • Las conexiones lógicas entre los elementos (sus interacciones) El nivel de redundancia y la naturaleza de esas redundancias La posición y la importancia de los sistemas dentro de la instalación como un todo (si es posible) Identificación de entradas y salidas del sistema Cambios en la estructura del sistema por variación de los modos de operación Definición de las fronteras del sistema para el análisis Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 59 de 167 La frontera del sistema forma la interface física y funcional entre el sistema y su ambiente, incluyendo otros sistemas con los que el sistema analizado interactúa. La definición de las fronteras del sistema para el análisis debe corresponder a las fronteras como se definió en el diseño y en el mantenimiento. Al definir las fronteras del sistema en estudio se debe asegurar no olvidar otros sistemas o componentes fuera de las fronteras del mismo, documentando explícitamente que estos se excluyen del análisis. Nivel de análisis Es importante definir el nivel de detalle en los componentes del sistema al cual se va a realizar el análisis. Por ejemplo los sistemas pueden subdividirse por funciones, por subsistemas, por unidades reemplazables o por componentes individuales (ver la Figura D.4.3.1-1). Las reglas para seleccionar el nivel de detalle del sistema para el análisis dependen de los resultados deseados y de la disponibilidad de información. Algunas guías útiles son: 1. El mayor nivel dentro del sistema, se selecciona a partir de los requerimientos de salida especificados en el diseño. 2. El nivel más bajo dentro del sistema al cual el análisis es efectivo, es aquel en el cual la información está disponible para establecer la descripción de las funciones. 3. El mantenimiento deseado o especificado y el nivel de reparación puede ser una buena guía para identificar los niveles más bajos del sistema En el FMEA, la definición de modos de falla, causas de falla y efectos de falla depende del nivel de análisis y de los criterios de falla del sistema. A medida que el análisis progresa, los efectos de la falla identificados al nivel más bajo pueden convertirse en modos de falla en un nivel más alto. Los modos de falla en un nivel bajo pueden convertirse en causas de falla a un nivel mayor y así sucesivamente. Cuando un sistema se descompone en sus elementos, los efectos de una o más de las causas de una falla hacen un modo de falla. Quien después es causa de un efecto a un nivel mayor (falla de un componente). La falla de un componente puede ser después la causa de falla de un módulo (efecto). Este por sí mismo es la causa de falla de un subsistema. El efecto de la falla de un subsistema puede ser la causa de falla de un sistema (en otro nivel) y así sucesivamente, ver la Figura D.4.3.1-1. Representación de la estructura del sistema La representación del sistema a través de diagramas de bloques y diagramas simplificados es muy útil para el análisis, ya que estos proveen información sobre la función de los componentes del sistema, condiciones de operación, así como sobre la interacción de estos con otros sistemas. También son muy útiles las descripciones simplificadas del sistema y sus componentes, en las cuales se describe claramente la función de cada componente y las interacciones de estos con su entorno. Este tipo de información permite que se identifiquen adecuadamente las fallas funcionales de los modos de falla potenciales y sus causas. Considerar que se pueden requerir diferentes diagramas de bloques para cada modo de operación. Los diagramas de bloques deben contener como mínimo la siguiente información: ° Identificación de los subsistemas que conforman el sistema incluyendo su relación funcional Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 60 de 167 ° Identificación de todas las entradas y salidas e identificación de cada bloque de tal forma que se pueda hacer referencia a cada subsistema. ° Las redundancias, trayectorias alternativas de señales o cualquier otra característica que provea protección contra las fallas del sistema. Definir el estado operativo del sistema (arranque del sistema, operación, mantenimiento, etc.) Se deben especificar las diferentes condiciones de operación del sistema, tanto los cambios en la configuración o la posición del sistema y sus componentes durante los diferentes modos de operación. También se deben establecer claramente los criterios tanto de éxito, como de falla del sistema. La información sobre la disponibilidad o niveles de seguridad debe permitirnos determinar la aceptabilidad de posibles daños. En general se debe lograr un conocimiento adecuado de: ° La duración de cada función que el sistema pueda desarrollar ° El intervalo de tiempo entre pruebas periódicas ° El tiempo disponible para realizar acciones correctivas antes de que se presenten consecuencias serias en el sistema ° La instalación en su conjunto, el ambiente y el personal incluyendo las interfaces y las interacciones con operadores ° Procedimientos de operación durante arranque, paros y otros transitorios operacionales ° El control durante las fases operacionales ° El mantenimiento correctivo y/o preventivo ° Procedimientos para pruebas de rutina, si son necesarios Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 61 de 167 Figura D.4.3.1-1Relación entre modos de falla y efectos de la falla dentro de la jerarquía de un sistema Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 62 de 167 Ambiente del sistema Se deben especificar las condiciones ambientales del sistema y aquellas condiciones creadas por otros sistemas en su entorno. También debe delimitarse con respecto a sus relaciones, dependencias o interconexiones con otros sistemas auxiliares y sus interfaces con los humanos. En el caso de aplicación del FMEA durante la etapa de diseño alguna información no se conoce con suficiente detalle, de tal forma que podría ser necesario trabajar con aproximaciones y suposiciones. A medida que avanza el proyecto se podrá modificar el análisis para que refleje el diseño definitivo. Normalmente el FMEA ayuda para definir las condiciones requeridas para el diseño. D.4.3.2 Determinación de modos de falla. El éxito en la operación de un sistema depende del desempeño de ciertos elementos críticos del sistema. La clave para evaluar el desempeño del sistema, es la identificación y evaluación de esos elementos críticos. El procedimiento para identificar modos de falla, sus causas y efectos puede ser más efectivo si se prepara previamente una lista de modos de falla considerando lo siguiente: ° ° ° ° ° ° ° El uso del sistema El tipo de elemento particular del sistema El modo de operación Las especificaciones operacionales Limitantes por tiempo Limitantes ambientales Limitantes operacionales Cada falla individual es considerada como una ocurrencia independiente, sin relación con otras fallas en el sistema excepto por los efectos subsecuentes que pudieran producir. Sin embargo, en situaciones especiales, las fallas de causa común más de un componente del sistema pueden ser considerados La Tabla D.4.3.2-1 muestra como ejemplo una lista de modos de falla generales Tabla D.4.3.2-1 Ejemplo de un conjunto de modos de falla generales 1 2 3 4 Falla durante la operación Falla para operar a un tiempo preestablecido Falla a detener la operación a un tiempo preestablecido Operación anticipada Prácticamente cualquier tipo de modo de falla puede clasificarse en una o más de esas categorías, sin embargo estas categorías generales son demasiado amplios en alcance para un análisis definitivo, por lo tanto la lista debe ampliarse para hacer que las categorías sean más especificas. Cuando esta información se emplea junto con las especificaciones de desempeño que determinan las entradas y salidas en los diagramas de bloques, se pueden identificar y describir todos los modos de falla potenciales. Tomar en cuenta que cada modo de falla puede tener varias causas. Es importante que la evaluación de todos los componentes dentro de las fronteras del sistema en el nivel más bajo sea consistente con los objetivos del análisis para identificar todos los modos de falla potenciales. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 63 de 167 Los proveedores de componentes pueden ser la fuente principal para identificar los modos de falla potenciales de dichos componentes. Para apoyar la búsqueda de modos de falla se puede tomar en cuenta lo siguiente: a) Para componentes nuevos, se puede tomar como referencia otros componentes similares con la misma estructura y función. b) Para componentes nuevos, el intento por diseño y el análisis funcional detallado puede conducir a modos de falla potenciales y sus causas. Este método es preferible al punto anterior, debido a que aquí se toma en cuenta el esfuerzo y la misma operación, que puede ser diferente para componentes similares. c) Para componentes en uso, se pueden consultar los registros de operación y los datos de falla. d) Se pueden deducir modos de falla potenciales a partir de los parámetros típicos, tanto físicos como funcionales de la operación del componente. D.4.3.3 Causas de modos de falla. Se deben identificar y describir las causas más probables de cada modo de falla potencial. La identificación y descripción de causas de falla no siempre es necesaria para todos los modos de falla identificados en el análisis. La identificación y descripción de causas de falla, tanto como sus recomendaciones para su mitigación se deben hacer con base en los efectos de la falla y su severidad. A medida que los efectos de un modo de falla son más severos, se deben identificar y describir con mayor precisión las causas de la falla. De otro modo el analista puede dedicar esfuerzo innecesario en la identificación de causas de fallas de modos de falla que tiene poco o ningún efecto en la funcionalidad del sistema. Cuando se analiza un diseño nuevo y si no se cuenta con experiencia previa las causas pueden identificarse a través de juicios de expertos. Cuando se identifican las causas de cada modo de falla la evaluación de las recomendaciones puede basarse en la estimación de la probabilidad de ocurrencia y la severidad de sus efectos. D.4.3.4 Efectos y consecuencias de la falla. El efecto de una falla es la consecuencia de un modo de falla en términos de la operación, función o estado de un sistema. Un efecto de una falla puede ser causado por uno o más modos de falla de uno o más componentes. Se deben identificar, evaluar y registrar las consecuencias de cada modo de falla sobre la operación, la función o el estado del sistema. Los efectos de la falla también pueden influir el siguiente nivel y al final el mayor nivel dentro del sistema. Por lo tanto, se deben evaluar en cada nivel los efectos de las fallas en el nivel superior. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 64 de 167 Cuando los efectos de una falla causan efectos en los componentes de los niveles bajos (en el nivel de análisis), se habla de “efectos locales”. El propósito de identificar efectos locales, es asegurar la disposición de la información necesaria para evaluar posibles alternativas de acciones preventivas o correctivas que puedan recomendarse para enfrentar estos modos de falla. Cuando los efectos de una falla causan efectos en el nivel más alto del sistema se habla de “efectos finales”. Estos efectos finales resultantes de fallas múltiples, también deben documentarse en las hojas de trabajo. Como parte de la identificación de los efectos también se documentan los métodos de detección de la falla. Así, para cada modo de falla el analista debe identificar la forma en que se detecta la falla y los medios mediante los cuales el usuario o el mantenedor tienen para identificar su ocurrencia. Por ejemplo, la detección de la ocurrencia de la falla puede estar basada en características inherentes del diseño (por ejemplo, por pruebas durante la construcción), por la aplicación de procedimientos de verificación antes de la operación del sistema o mediante la inspección durante las actividades de mantenimiento. Esta puede ser implantada en el arranque del sistema o continuamente durante la operación o mediante intervalos preestablecidos. En los casos anteriores, la detección de la falla y su indicación debe anteceder a condiciones operativas peligrosas. Otros modos de falla diferentes al considerado que se manifiestan de la misma forma, deben ser analizados y listados. Se deben considerar por separado los medios de detección de fallas de elementos operativos redundantes. D.4.3.5 Identificación de medidas de seguridad o protecciones. Es muy importante la identificación de cualquier protección o medida de seguridad para prevenir o reducir el efecto del modo de falla. Así el FMEA debe mostrar claramente el comportamiento real de esas protecciones o medidas de seguridad cuando ocurre ese modo de falla. Algunas de las protecciones que se deben documentar incluyen: • • • • Componentes redundantes que permiten la operación continua si uno o más elementos fallan. Medios alternativos de operación. Dispositivos de monitoreo y alarma Cualquier otro medio que permita la operación efectiva o limite los daños Clasificación de la severidad La severidad es una evaluación de la importancia de los efectos de los modos de falla sobre la operación del componente. La clasificación de la severidad es totalmente dependiente de la aplicación del FMEA y su aplicación y desarrollo depende de diferentes factores: • • • • • Los efectos resultantes sobre los usuarios o el ambiente por la naturaleza del sistema, debido a la ocurrencia de la falla. El desempeño funcional del sistema o proceso Cualquier requerimiento impuesto por el usuario o cliente Cualquier requerimiento regulatorio en materia de seguridad Requerimientos impuestos por garantía Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 65 de 167 En las GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO en PEMEX presenta la forma en la que se clasifican la severidad de las consecuencias Frecuencia o probabilidad de ocurrencia Para cada modo de falla debe determinarse su frecuencia o probabilidad de ocurrencia a fin de evaluar el efecto o la criticidad del modo de falla. Para la determinación de la probabilidad de ocurrencia del modo de falla, se debe considerar el contexto operativo (que incluye los esfuerzos debido al ambiente, mecánicos y/o eléctricos) de cada componente y que tienen una contribución importante a la probabilidad de ocurrencia. D.4.4 Análisis El análisis FMEA se realiza aplicando el protocolo indicado en la Figura D.4.3.1-1. Su aplicación se inicia en las fronteras del sistema y sistemáticamente el análisis continúa sobre los componentes en el orden en que estos aparecen en los diagramas del sistema o proceso analizado. Los formatos FMEA documentan ente otra la siguiente información (ver la Figura D.4.4.7-1): D.4.4.1 Identificador del equipo. Se debe contar con un identificador único del equipo que relacione el análisis con la información contenida en el diagrama de referencia, proceso o ubicación. Este identificador permite distinguir entre piezas de equipo similares que realizan funciones diferentes dentro del mismo sistema. Cualquier codificación sistemática es aceptable si esta permite relacionar claramente el análisis con los diagramas, procesos o ubicaciones y puede ser clara para otros analistas que deben trabajar con los resultados del análisis FMEA. D.4.4.2 Descripción del equipo Esta debe incluir el tipo de equipo, configuración y otras características que puedan influir en los modos de falla y sus efectos (por ejemplo altas temperaturas, altas presiones o características propias de los materiales como naturaleza corrosiva). Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental D.4.4.3 GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 66 de 167 Modos de falla El analista debe listar todos los modos de falla de cada componente que sean consistentes con la descripción del equipo, considerando las condiciones de operación normal del equipo y todas las posibles condiciones que eviten que este cumpla con su función y que alteren el estado de operación normal. D.4.4.4 Efectos y consecuencias Para cada modo de falla el analista debe identificar los efectos inmediatos en la falla y su efecto en otros equipos y en el sistema o proceso. Típicamente el analista evalúa los efectos con base en el peor caso razonable, suponiendo que las medidas de seguridad existentes fallan. En esta parte también se documentan los medios con que se cuenta para detectar la ocurrencia de la falla. D.4.4.5 Causas Para cada modo de falla se identifican sus causas o mecanismos de falla (causas físicas de la ocurrencia del modo de falla), en muchas ocasiones la adecuada identificación de estas causas permite establecer de manera precisa las recomendaciones que reducirán los riesgos asociados con el modo de falla. D.4.4.6 Medidas de seguridad Para cada modo de falla identificado el analista debe describir cualquier dispositivo de seguridad o procedimiento asociado con el sistema y que reduce la probabilidad de ocurrencia de una falla específica o que pueda mitigar sus consecuencias. D.4.4.7 Recomendaciones Para cada modo de falla identificado el analista debe listar cualquier acción correctiva sugerida para reducir la probabilidad de ocurrencia del modo de falla o para minimizar sus consecuencias. Los resultados deben documentarse en el formato indicado en la Figura D.4.5-1. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 67 de 167 Figura D.4.4.7-1 Protocolo para realizar el análisis FMEA Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 68 de 167 D.4.5 Documentación El reporte de un FMEA puede ser incluido en un estudio más amplio o estar solo. En cualquier caso (ver 8.4), el reporte debe incluir un resumen y un registro detallado del análisis y el diagrama funcional o de bloques que define la estructura del sistema. El reporte también debe contener los diagramas simplificados en los que se basó el análisis FMEA. La documentación del análisis FMEA incluye: • • • • • • Alcance y objetivos del análisis FMEA Personal participante Descripción y diagramas simplificados o de bloques del proceso, así como referencias a diagramas y procedimientos empleados. Lista de componentes analizados Formatos empleados para documentar el análisis FMEA, elaborados durante las reuniones de análisis, ver Figura D.4.5-1. Recomendaciones. GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Instalación: Subsistema: Ident Descripción Página 69 de 167 Sistema: Función Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Modo de falla Efectos C Causas F = categoría de frecuencia, C = categoría de consecuencia, R = categoría de riesgo Figura D.4.5-1 Formato de Análisis FMEA Facilitador: Revisor: F Protecciones Fecha: Fecha: R Recomendaciones Hoja____ de____ Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 70 de 167 D.5 Ejemplo de la aplicación del FMEA Alcance y objetivos del análisis FMEA Realizar el análisis FMEA del sistema de aceite lubricante de la turbina de generación de energía eléctrica que se muestra en el diagrama anexo, Figura D.5-1. El objetivo de este análisis FMEA es identificar deficiencias en el diseño, operación y mantenimiento sistema de lubricación de una turbina. Personal participante Líder del análisis FMEA: Ing. A. González C. (AGC) Auxiliar del líder FMEA: Ing. L. Ramírez. O. (LRO) Personal de ingeniería del proceso: Ing. J. Gutiérrez R. (JGR) Personal de operación del proceso: Ing. M. Campos G. (MCG) Personal de seguridad Industrial del proceso: Ing. R. Méndez F. (RMF) Descripción, diagramas del proceso y referencias El sistema de aceite lubricante entre otros componentes consta de un tanque de almacenamiento del cual se suministra el aceite a las chumaceras de la turbina y del generador a través de una bomba principal acoplada a la flecha de la turbina, durante las secuencias de arranque y paro el aceite es suministrado por la bomba de pre/postlubricación. Esta bomba de pre/postlubricación de aceite lubricante (P902) de la turbina provee aceite lubricante a los rodamientos de la turbina y el generador durante la secuencia de paro y arranque del conjunto turbogenerador. La bomba es impulsada por un motor eléctrico de 5 HP y alimentada con corriente alterna de 460 V. Durante la secuencia de arranque se desactiva a 35 psi y durante la secuencia de paro se activa a 25 psi, estas presiones medidas en el cabezal principal de aceite lubricante. En caso de falla de esta bomba durante las secuencia de arranque o paro de la turbina se genera una señal de disparo de la turbina y se arranca la bomba de respaldo alimentada con CD. El sistema de aceite lubricante se muestra en la Figura 5.1; los componentes analizados se encuentran sobre la línea de la bomba de pre/postlubricación, indicada con un círculo punteado en la propia Figura D.5-1. Para evitar la presurización en la descarga de la bomba, esta se encuentra protegida por una válvula de alivio VR902 que retorna el aceite lubricante al tanque cuando la presión es mayor de 20 psi. Diagrama simplificado Ver Figura D.5-1. Referencias • • Manual de operación y mantenimiento de la turbina, rev. 3. Diagrama de proceso del sistema de propano PID-201 rev. 7. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 71 de 167 Lista de componentes del sistema de lubricación La Figura D.5-2 muestra una forma de asignar identificadores a los componentes de un sistema. Algunos de estos componentes son los siguientes: TG.03.01 Tanque de almacenamiento de aceite lubricante TG.03.02 Bomba de pre/postlubricación TG.03.03 Motor eléctrico de la bomba de pre/postlubricación TG.03.04 Válvula de alivio de la bomba de pre/postlubricación Formatos FMEA Ver secciones más adelante. Recomendaciones. 1. Analizar la conveniencia de cambiar el tipo de acoplamiento motor-bomba (P902), actualmente es de plástico. 2. Asegurar que en cada mantenimiento de la bomba P902 se verifique el buen estado del strainer. 3. Verificar periódicamente y llevar el registro de la operabilidad de la resistencia calefactora. 4. Asegurar que se registre la realización de la verificación de la calibración de la válvula VR902. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 72 de 167 Figura D.5-1 Sistema de aceite de lubricación de la turbina de generación Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 73 de 167 Figura D.5-2 Componentes y subsistemas de una turbina de generación y ejemplo de identificadores de componentes GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Instalación: Central de compresión Subsistema: 03.Sistema de aceite lubricante Ident Descrip. Función 02 03 Bomba de pre/postlubrica ción, P902 Motor eléctrico de la bomba de aceite de pre/poslubricaci ón de 5 HP, B321 Suministrar aceite lubricante antes y durante el arranque y durante y después de un paro (se desactiva a 35 psi y se activa a 25 psi) Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 74 de 167 Sistema: TG. Turbina de generación Modo de falla Descarga baja Contener el aceite lubricante que bombea Fuga externa Impulsar la bomba de aceite de pre/poslubricació n con una potencia de 5 HP y 460 VCA Paro inesperado Efectos C Causas F Facilitador: MSD Revisor: ARR Protecciones El bajo flujo de aceite provoca baja presión durante la secuencia de arranque y causa su interrupción por señal de baja presión (Cuando no se alcanzan 6 psi durante 60 segundos a través del TP380). Durante un disparo de turbina y con bajo flujo de aceite se pueden dañar las chumaceras de la turbina. Para evitar el paso de partículas que puedan dañar los impulsores se cuenta con el strainer FS902-2. También, se cuenta con bomba de respaldo de pre/postlubricación que arrancará cuando la presión sea menor o igual a 6 psi. Derrame de aceite lubricante en el interior del encabinado y posible incendio con daños al equipo y al personal. Una fuga puede provocar baja presión en el suministro de aceite lubricante y daños a las chumaceras de la turbina. Se cuenta con el sistema de detección de incendios. • Falla del acoplamiento motor-bomba. • Falla en internos de la bomba. • Obstrucción del strainer. • Engazamiento. Se cuenta con el disparo de la turbina por baja presión de aceite lubricante. • Rotura de mangueras. • Falla de sellos. La bomba y sus conexiones se encuentran en la parte de baja temperatura del encabinado. Durante los paros se inspeccionan el interior del encabinado en busca de fugas. La falla del motor provoca la pérdida del bombeo de aceite lubricante. Durante el arranque se interrumpe la secuencia de arranque. Durante el paro de la turbina se pueden causar daños severos a la turbina. Se cuenta con bomba de respaldo, BP903 para garantizar la lubricación y enfriamiento del equipo. • Corto circuito en contactos. • Falla bobina del contactor. • Fusibles abiertos o relevador de sobrecarga descalibrado o en falla. • Terminales flojas o sulfatadas. • Corto circuito en los devanados del motor por bajo índice dieléctrico. F = categoría de frecuencia, C = categoría de consecuencia, R = categoría de riesgo Para asegurar la lubricación y el enfriamiento en caso de falla de esta bomba, se cuenta con bomba de emergencia R Fecha: 23/05/08 Fecha: 10/06/08 Recomendaciones 1). Analizar la conveniencia de cambiar el tipo de acoplamiento motor-bomba (P902), actualmente es de plástico. 2) Asegurar que en cada mantenimiento de la bomba P902 se verifique el buen estado del strainer. • Durante los mantenimientos se realiza el reapriete de conexiones Hoja____ de____ GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Instalación: Central de compresión Subsistema: 03.Sistema de aceite lubricante Ident Descrip. Función 03 04 Motor eléctrico de la bomba de aceite de pre/poslubricaci ón de 5 HP, B321 Válvula de alivio de la bomba de pre/postlubrica ción, VR902 Impulsar la bomba de aceite de pre/poslubricació n con una potencia de 5 HP y 460 VCA Abrir para mantener una presión de 20 psi (1.4 kg/cm2) en la descarga de la bomba de pre/postlubricació n Cerrar para mantener una presión de 20 psi (1.4 kg/cm2) en la descarga de la bomba de pre/postlubricació n Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 75 de 167 Sistema: TG. Turbina de generación Modo de falla Falla a iniciar a la demanda LOO Salida baja HIO Salida alta Efectos La falla del motor provoca la pérdida del bombeo de aceite lubricante. Durante el arranque se interrumpe la secuencia de arranque. Durante el paro de la turbina se pueden causar daños severos a la turbina. Se cuenta con bomba de respaldo, BP903 para garantizar la lubricación y enfriamiento del equipo. Alta presión en la descarga de la bomba P902, la alta presión en línea de aceite lubricante puede provocar fugas en las líneas de descarga, posible incendio con daños al equipo. Se cuenta con sistema de detección de incendios dentro del encabinado, que provoca el disparo de la turbina y la descarga del agente extintor. Alto flujo de recirculación de aceite hacia el tanque lo que provoca baja presión de aceite lubricante en la turbina. En arranque se interrumpe la secuencia de arranque y en paro se puede dañar severamente a la turbina (al no cumplirse el periodo de 55 minutos de enfriamiento). Se cuenta con bomba de respaldo de pre/postlubricación. F = categoría de frecuencia, C = categoría de consecuencia, R = categoría de riesgo C Causas • Falla de mecanismo por mal ajuste o daño de la palanca de accionamiento. • Falla de permisivo de arranque/operación por causas propias. • Falla del PLC que controla la operación del motor por falla de tarjetas de entrada/salida. • Fusibles dañados. • Corto circuito en los devanados del motor por bajo índice dieléctrico. • Válvula cerrada por falla propia. • Fuera de ajuste por descalibración o mala calibración • Válvula abierta por falla propia. • Fuera de ajuste por descalibración o mala calibración F Facilitador: MSD Revisor: ARR Protecciones R Fecha: 23/05/08 Fecha: 10/06/08 Recomendaciones El motor cuenta con resistencia calefactora para reducir la condensación dentro del devanado. 3) Verificar periódicamente y llevar el registro de la operabilidad de la resistencia calefactora. Durante el mantenimiento programado se verifica la operabilidad de esta válvula, así como su calibración. 4). Asegurar que se registre la realización de la verificación de la calibración de la válvula VR902. Durante el mantenimiento programado se verifica la operabilidad de esta válvula, así como su calibración. 4). Asegurar que se registre la realización de la verificación de la calibración de la válvula VR902. Hoja____ de____ Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 76 de 167 ANEXO E Análisis de Peligros y Operabilidad (HazOp) Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 77 de 167 E.1 Propósito Proporcionar una guía a los analistas que requieran desarrollar un análisis de riesgos utilizando la metodología Análisis de Peligros y Operabilidad (HAZOP), para homologar su aplicación en las instalaciones de Petróleos Mexicanos. E.2 Referencias [1] [2] [3] [4] Hazard and operability studies (HAZOP studies) – Application guide, CEI-IEC61882 Crawly, F., Preston, M., Tyler, B., HAZOP Guide to Best Practice, IChemE, 2000. Lees, F.P., Loss Prevention in the process industries, 2nd. ed., 1996. Guidelines for Hazard Evaluation Procedures with worked examples, CCPS, AICHE, 1992- E.3 Principios de la Metodología La metodología HazOp (Hazard and Operability) es un método estructurado y sistemático para examinar un sistema con el objetivo de identificar peligros potenciales y problemas operativos; en particular para identificar las causas y sus implicaciones [1, 2]. El desarrollo de la metodología de estudio o método HazOp se atribuye a la ICI (Imperial Chemical Industries) en la década de 1960. La metodología, tal como se conoce actualmente, es el resultado de varias metodologías desarrolladas por, entre otras, la ICI Chemical Division (Binsted, 1960) y la ICI Mond Division (Elliott y Owen, 1968) [3]. Su uso y desarrollo fue impulsado fuertemente por la Chemical Industries Association del Reino Unido, mediante la publicación: A guide to Hazard and Operability Studies [2]. El propósito principal de un estudio HazOp es identificar y evaluar los peligros potenciales en un sistema [1,2]. La metodología HazOp también se puede emplear para identificar problemas de operabilidad, en particular perturbaciones operativas y desviaciones que pueden llevar a productos fuera de especificaciones [1,2]. La metodología HazOp es un proceso creativo en el cual se identifican las desviaciones potenciales de un sistema, a partir de un rango de valores entre los que se espera se encuentre, de acuerdo al propósito del diseño. Esas desviaciones se emplean como “estímulos” para que los analistas examinen las posibles causas y las consecuencias de cada desviación [1]. El análisis se realiza bajo la guía de un líder entrenado y con experiencia en la aplicación de la metodología. El líder es apoyado por una persona que documente el análisis. El análisis es apoyado por especialistas de diversas disciplinas con habilidades apropiadas y experiencia, quienes deben poseer buenos juicios y ser intuitivos. El análisis debe desarrollarse en un clima de pensamiento creativo (lluvia de ideas), positivo y que permita discusiones que lleven a resultados constructivos. GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 78 de 167 El procedimiento para realizar un HazOp se ilustra en la Figura E.3-1. 1. DEFINICIÓN • • • Definir alcance y objetivos del HazOp Seleccionar el equipo de trabajo (Grupo Multidisciplinario) Definir roles y responsabilidades de los miembros del equipo 2. PREPARACIÓN • • Planear el estudio • • • Definir formatos de registro del análisis Recolectar y procesar datos (Elaborar descripciones y diagramas simplificados, propuesta de esquema de nodos y lista de variables y palabras guías) Definir el tiempo para el análisis Programar actividades 3. ANÁLISIS • • Definir y fraccionar el sistema en nodos o etapas Seleccionar un nodo y describir el propósito de acuerdo al diseño - Identificar variables y/o parámetros, - Identificar palabras guía y obtener desviaciones, - Identificar causas y consecuencias, - Identificar protecciones , - Identificar posibles soluciones o medidas de mitigación, en caso de ser necesarias (emitir recomendaciones valorando la tolerabilidad del riesgo). • Repetir el proceso para cada nodo del sistema 4. DOCUMENTACIÓN Documentación: • Documentación del análisis (Llenar formatos HazOp y minutas de reuniones) • • Generación del informe final Liberación del informe final Figura E.3-1 Procedimiento para realizar un HazOp Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 79 de 167 E.4 Procedimiento para realizar un HazOp E.4.1 Definir alcance y objetivos del estudio El responsable técnico por parte de la instalación y el líder del estudio deben establecer de forma conjunta tanto el alcance como el objetivo del estudio. Ambos deben ser claramente descritos para asegurar: • • Una definición precisa de las fronteras del sistema en estudio, sus interfaces con otros sistemas y el ambiente. Que el equipo de análisis se enfoque sólo en las áreas definidas en el alcance y relevantes al estudio. El alcance y objetivos del estudio dependen de: • • • Fronteras físicas del sistema. Alcance de estudios previos HazOp, o cualquier otra metodología de análisis de riesgo aplicada al sistema. Cualquier requisito regulatorio que aplique al sistema. Los siguientes factores deben considerarse cuando se define el objetivo: • • • • • El propósito para el cual se utilizaran los resultados del estudio. La etapa del ciclo de vida en la cual se realiza el estudio (diseño, construcción, operación, desmantelamiento). Personas o propiedad que podrían estar en riesgo (por ejemplo, el personal operativo, la población, el medio ambiente y el propio sistema). Problemas operativos que se quieran analizar. Los estándares requeridos del sistema, tanto en términos de seguridad como de desempeño operativo. E.4.2 Definir roles, responsabilidades y formar equipo de trabajo Se deben definir claramente los roles y responsabilidades de los miembros del equipo HazOp (Grupo Multidisciplinario). Para esto se toma en cuenta las habilidades y especialidades necesarias de cada miembro que conformará el equipo de trabajo. Un estudio HazOp es el resultado de un esfuerzo en equipo, cada miembro se selecciona para que juegue un rol y tenga responsabilidades específicas. Normalmente requiere de al menos cuatro personas y en raras ocasiones supera las siete personas. Roles y responsabilidades: • Líder del estudio. Persona entrenada y experimentada en la aplicación de la metodología y desarrollo de estudios HazOp, responsable de: - Planear el estudio, - participar en la conformación del equipo de trabajo, - realizar una plática de inducción al Grupo Multidisciplinario, para homologación de criterios - suministrar y requerir la información necesaria a los miembros del equipo, Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental - GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 80 de 167 lograr la comunicación entre los miembros del equipo, conducir el estudio, y asegurar la apropiada documentación de resultados. • Auxiliar del líder. Persona entrenada y experimentada en estudios HazOp, responsable de: - Ayudar al líder en la planeación y ejecución del estudio, - documentar el estudio (peligros, causas, consecuencias y medidas de seguridad identificadas, así mismo recomendaciones y problemas encontrados). • Personal relacionado con el diseño del sistema. Persona que participó en la elaboración del diseño del sistema o que es competente en los aspectos del diseño del sistema por laborar en áreas como ingeniería de proceso. Responsable de: - Explicar y aclarar dudas sobre el diseño (principalmente ayuda a establecer el propósito del diseño), y - participar en la identificación y evaluación de desviaciones desde el punto de vista del diseño. • Personal operativo. Persona competente en labores de operación del sistema, su participación se centra en: - Explicar el contexto operativo del sistema y los efectos de una desviación sobre la operación del mismo, - participar en la identificación y evaluación de desviaciones desde el punto de vista de la operación, y - participa en la emisión de recomendaciones. • Personal de mantenimiento (en caso necesario). Persona competente en labores de mantenimiento del sistema: - Explicar aspectos relacionados con el mantenimiento (correctivo, preventivo y predictivo, pruebas, calibraciones y reemplazos de equipos), y posibles daños a equipos derivados de una desviación, así mismo, - participar en la identificación y evaluación de desviaciones desde el punto de vista del mantenimiento. • Personal especialista (entre otros de seguridad). Persona competente en prevención y mitigación de eventos no deseados: - Explicar aspectos relacionados con la prevención y mitigación de eventos no deseados, como lo pueden ser fugas y derrames de materiales peligrosos, incendios y explosiones, - participar en la identificación y evaluación de desviaciones desde el punto de vista de las consecuencias principalmente, y - en general, personal con competencias específicas que puede participar de manera concreta, y definida por el líder, en algunos aspectos del estudio. E.4.3 Preparativos para realizar un HazOp - Obtención de la información, convertir la información a un formato adecuado (descripciones y diagramas simplificados), definir un programa de trabajo con fechas establecidas para las reuniones HazOp, y gestionar las reuniones necesarias, descomponer el sistema en nodos, proponer una lista de palabras guía, definir los formatos en los que se documentará el estudio HazOp, y Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental - GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 81 de 167 definir el formato y contenido del informe final. Es necesario que el líder del análisis HazOp predefina los nodos de estudio conjuntamente con personal de operación de la planta a analizar (seccionar el proceso) y prepare una lista preliminar de desviaciones (identificación de variables y palabras guía). El esquema de nodos previo y la lista preliminar de desviaciones serán revisados y modificados en su caso, por el equipo multidisciplinario de análisis. E.4.3.1 Recolección de Datos. Los datos al ser recolectados incluyen (pero no están limitados): Datos de diseño y descripciones, diagramas de flujo, diagramas de bloques de proceso, diagramas de control, diagramas eléctricos, hojas de datos de ingeniería como balances de materia y energía y valores de variables de proceso, especificación de suministros y servicios y requisitos de operación y mantenimiento. Diagramas de tubería e instrumentación, dibujos y planos de equipos y su disposición en planta, isométricos y hojas de datos de seguridad de materiales. Condiciones ambientales de diseño y de trabajo, procedimientos e instrucciones de trabajo, experiencia de accidentes y experiencia operacional y de trabajo del sistema analizado y sistemas similares. E.4.3.2 Procesamiento de Datos. Elaborar una descripción de la totalidad del proceso a ser analizado. • La descripción debe contener: Valores de variables en los que se deba encontrar operando el proceso; lo anterior para que se identifique de forma clara y precisa una desviación. El enunciado claro del propósito o la intención de acuerdo al diseño de cada etapa del proceso. Los equipos que componen cada etapa (recipientes, compresores, turbinas, motores, bombas, entre otras), incluyendo su instrumentación y dispositivos de control, con sus identificadores, ej. separador FA5071B, válvula LV3120A, etc. Elaborar diagrama de bloques e interacciones y diagramas simplificados del proceso a ser analizado. • Los diagramas deben contener: Los equipos que componen cada etapa (recipientes, compresores, turbinas, motores, bombas, entre otras), incluyendo su instrumentación y dispositivos de control, con sus identificadores, ej. separador FA5071B, válvula LV3120A. Las interconexiones entre los equipos que sean relevantes al estudio, tuberías de proceso, lazos de control y suministros, entre otras. Anotaciones pertinentes como diámetro de válvulas, puntos de ajuste de lazos de control, apertura de válvulas de alivio y disparos por alto / bajo valor de las variables monitoreadas. E.4.4 Análisis Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 82 de 167 Al comenzar las reuniones se debe asegurar que los miembros del equipo multidisciplinario están familiarizados con el sistema a ser analizado, los objetivos y el alcance del estudio. El líder del estudio HazOp conduce las reuniones de análisis y su auxiliar documenta el proceso. Es recomendable que el tiempo máximo de duración de las reuniones sea acotado a valores razonables. El análisis del sistema se desarrolla de acuerdo con el protocolo de la metodología HazOp, Figura E.4.4.2-1 [4], y se documenta en los formatos seleccionados para tal fin, en el ejemplo E.4.6 se muestra un ejemplo de un formato HazOP. En el ejemplo E.4.7 se muestra un ejemplo de la aplicación del HazOp. E.4.4.1 Fraccionar el sistema en nodos o etapas. Al comenzar las reuniones es importante que se realice una revisión de los nodos elaborados en los preparativos y definición del esquema final de nodos por parte del equipo multidisciplinario y se pueda emitir una lista de nodos. La definición de los nodos es hasta cierto punto una decisión subjetiva en la que se debe tomar en cuenta: • • • El objetivo y el alcance del estudio. La función que cumple el equipo (ya sea en forma individual o colectiva). Por ejemplo, un nodo puede incluir uno o varios equipos, individuales o compuestos, que en su conjunto cumplen una función en el sistema. Secciones de un proceso que incluyen diferentes equipos, en donde las variables o parámetros que los caracterizan tengan comportamientos similares. Una vez definido el esquema de nodos se debe aplicar el protocolo que se muestra en la Figura E.4.4.2-1 [4]. E.4.4.2 Seleccionar un nodo y describir el propósito de acuerdo al diseño La descripción del propósito del nodo define la manera en cómo se espera que opere el sistema en ausencia de desviaciones. La descripción debe incluir el rango de valores operativos en los que, de acuerdo al diseño, se espera se encuentren las variables de proceso. Con base en esos valores, el grupo multidisciplinario puede identificar más claramente las desviaciones. El propósito del nodo por diseño no sólo se refiere a equipos, también a materiales, condiciones, cambios, orígenes, destinos y medios de control. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Página 83 de 167 Inicio Lista de nodos Fin Si Seleccionar una/otra sección del proceso o nodo de estudio No ¿Último nodo? Describir el propósito del diseño del nodo Si Seleccionar una/otra variable del nodo No ¿Última variable del nodo? Si Aplicar una/otra palabra guía a la variable seleccionada y obtener la desviación No ¿Última palabra guía? Listar las posibles causas de la desviación Examinar las consecuencias asociadas con la desviación (suponiendo que todas las salvaguardias fallan) Emitir recomendaciones valorando la tolerabilidad del riesgo Identificar las protecciones existentes para prevenir la desviación o limitar sus consecuencias Figura E.4.4.2-1 Protocolo de análisis para realizar un HazOp GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental E.4.4.3 Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 84 de 167 Identificar variables y/o parámetros El equipo examina cada nodo e identifica las variables y parámetros que sean relevantes en la búsqueda de desviaciones del propósito por diseño y que puedan conducir a consecuencias indeseables. En las Tablas E.4.4.3-1 y E.4.4.3-2 se muestran ejemplos de variables y parámetros. Tabla E.4.4.3-1 Ejemplos de variables - Flujo Presión Temperatura Mezclado Agitación Transferencia Nivel Viscosidad Reacción Composición Adición Separación - Tiempo - Fase - Velocidad - Medida - Control - pH - Señal - Inicio/paro - Secuencia - Operar - Tamaño de partícula Tabla E.4.4.3-2 Ejemplos de parámetros - E.4.4.4 Espesor Diámetro Longitud Altura Composición de materiales Capacidad Rugosidad Identificar palabras guía y generar desviaciones Para cada variable o parámetro seleccionado, el equipo identifica las palabras guía que generen desviaciones lógicas. En la Tabla E.4.4.4-1 se muestran ejemplos de palabras guía. Cada palabra guía se aplica a cada variable relevante que caracteriza el nodo analizado. Para realizar una identificación detallada de riesgos es necesario que los nodos y las variables que los caracterizan cubran todos los aspectos relevantes del propósito por diseño y que la combinación de variables con palabras guías cubran todas las desviaciones. Evitar desviaciones ilógicas como: “viscosidad inversa”, “nivel en lugar de” o “tamaño de partícula lento”. Para generar las desviaciones se combinan las variables o parámetros con las palabras guía, en la Tabla E.4.4.4-1 se muestra un ejemplo. GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 85 de 167 Tabla E.4.4.4-1 Ejemplos de palabras guía Palabra guía No Más / Alta Menos / Baja Inverso Parte de Otro En lugar de Antes / Después Temprano / Tarde Rápido / Lento Significado Negación de la intención del diseño Incremento cuantitativo Decremento cuantitativo Opuesto lógico al propósito del diseño Sólo se logra parte del propósito del diseño Sólo se logra parte del propósito del diseño Sustitución Fuera de secuencia Antes o después de tiempo Fuera de velocidad Tabla E.4.4.4-2 Ejemplos de desviaciones Variable o parámetro Flujo Presión Voltaje E.4.4.5 Palabra guía No Alta Bajo Desviación No flujo Alta presión Bajo voltaje Identificar causas de las desviaciones Una vez que se ha identificado una desviación, es recomendable estar atentos a desviaciones con consecuencias evidentemente triviales, pues no tiene sentido buscar sus causas. Para las consecuencias no triviales se deben buscar las causas usando el concepto de “lluvia de ideas”, para identificar tantas causas como sea posible. Las causas pueden ser tanto fallas de equipo como errores humanos. Durante la identificación de causas es importante que los miembros del equipo tomen una actitud positiva y crítica, sin ser ofensiva ni defensiva. E.4.4.6 Identificar consecuencias de las desviaciones Es esencial identificar por completo las consecuencias; lo que ocurre en la cadena de eventos (desde la ocurrencia de la desviación hasta la pérdida “creíble” en materia de seguridad, ambiente y negocio). Las consecuencias se deben enunciar considerando que todas las protecciones existentes fallan. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental E.4.4.7 GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 86 de 167 Identificar protecciones existentes Se deben de enunciar los dispositivos disponibles para evitar la ocurrencia de la causa de la desviación o para minimizar las posibles consecuencias. Las protecciones incluyen las etapas de detección de la condición y medidas correctivas. E.4.4.8 Emitir recomendaciones valorando la tolerabilidad del riesgo Cuando el grupo estima que las protecciones existentes no mantienen el riesgo dentro de valores tolerables, entonces se enuncian recomendaciones tendientes a fortalecer las protecciones existentes o a adicionar protecciones, de acuerdo como lo decida el equipo multidisciplinario. Para valorar la tolerabilidad al riesgo referirse al Anexo F. Las recomendaciones deben representar el consenso de opiniones del equipo multidisciplinario. Dichas recomendaciones pueden ser tan específicas como la competencia, metodología y autoridad administrativa lo permita, dentro del grupo multidisciplinario. Cuando exista el consenso, la competencia técnica y administrativa, entonces se documenta la recomendación. En caso contrario, la recomendación se enuncia de manera genérica haciendo énfasis en la problemática, las funciones que se deben cumplir para resolver la problemática y se deben de hacer gestiones fuera del HazOp para dar solución técnica o administrativa específica. En ocasiones, estudios más detallados, tanto técnicos como administrativos, serán necesarios para llegar a las soluciones requeridas. En ocasiones se requiere el empleo de otras metodologías de análisis de riesgos, más detalladas, para determinar con mayor precisión si es necesaria alguna mejora y especificar con mejores bases técnicas el tipo de mejora. Eso debe ser documentado y efectuado fuera del desarrollo del HazOp. E.4.5 Documentación La documentación del estudio HazOp (ver sección 8.4) incluye: • • • • • • Alcance y objetivos del estudio HazOp Personal participante Descripción y diagramas simplificados del proceso, así como referencias a diagramas y procedimientos empleados. Lista de nodos Formatos empleados para documentar el análisis HazOp, elaborados durante las reuniones de análisis, Ejemplo E.4.6. Recomendaciones. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 87 de 167 E.4.6 Ejemplo de Formato de documentación HazOp Nombre del estudio: Sección o nodo: Propósito de acuerdo al diseño: Equipo multidisciplinario2: Área para comentarios o datos de control adicionales, en caso de requerirse. Palabra No. Variable Desviación Causas Consecuencias Protecciones guía 1 2 Rev. Fecha de reunión: Referencias1: Hoja: n de (total) F C R Recomendaciones Fecha compromiso Responsable Referencias los diagramas y documentos empleados para el análisis. F = categoría de frecuencia, C = categoría de consecuencia, R = categoría de riesgo Colocar iniciales de participantes de la reunión y en el cuerpo del informe indicar nombres completos. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 88 de 167 E.4.7 Ejemplo de la aplicación HazOp Actualizar el estudio HazOp del área de almacenamiento de propano del centro de procesamiento de gas amargo, como parte de la actualización 2008 del Análisis de Riesgos del centro de procesamiento de gas amargo. EL objetivo de este estudio HazOp es analizar los riesgos a partir de las posibles desviaciones del equipo e instalaciones que conforman el área de almacenamiento de propano y emitir recomendaciones, evaluar la tolerabilidad de los riesgos identificados y en su caso emitir recomendaciones tendientes a mantener o reducir los riesgos dentro de valores tolerados. Personal participante Responsable técnico por parte de la instalación: Ing. A. Gallardo (AG) Líder del estudio HazOp: Ing. R. C. Rodríguez (RCR) Auxiliar del líder HazOp: Ing. R. R. Soto (RRS) Personal de ingeniería del proceso: Ing. S. S. Valenzuela (SSV) Personal de operación del proceso: Ing. R. M. Campos G. (RMCG) Personal de seguridad Industrial del proceso: Ing. R. V. Flores. (RVF) Descripción, diagramas del proceso y referencias El área de almacenamiento de propano cuenta con un tanque cilíndrico de 12.8 m de largo y 2.7 metros de diámetro, tiene una capacidad de 18 000 Gal (68137 L) de propano líquido y una presión de diseño de 17.6 kg/cm2 Descansa sobre dos soportes de concreto a 1.2 metros del piso. Al nivel del piso hay dos pares de tuberías (L1, L2, L3 y L4) que salen del tanque. Un par de tuberías (L1 y L2), paralelas a los extremos del tanque, conducen el propano de recarga desde el autotanque (una línea conduce vapor y la otra líquido). El punto de conexión para la carga está a 12 m del tanque. El otro par de tuberías (L3 y L4) sale del tanque por uno de los costados, llega a los calentadores ubicados a 11 m. La función de los calentadores de flama directa es llevar al propano a su fase gaseosa. Ninguna de las líneas ubicadas a nivel del suelo, ni el tanque, tienen valla de protección o alguna otra barrera destinada a protegerlas físicamente debido a la circulación de vehículos. El primer componente de la línea de líquido es una válvula de sobreflujo de 3”, soldada a la parte baja del tanque. Ésta se encuentra conectada a una válvula manual de corte a través de un niple de 2”. De la válvula de corte sale una tubería de 3/4” que una vez en el piso se extiende por 11 m hasta los vaporizadores. La línea de vapor se conecta de la parte superior del tanque e inicia en una válvula de sobreflujo de 2” soldada a un registro, al bajar al piso corre paralela a la línea de líquido hasta los vaporizadores. Las válvulas de sobreflujo cierran en caso de que el flujo exceda un valor predeterminado, esta acción evita que eventos como la ruptura en una línea aguas abajo de la válvula, libere sin control el material confinado. El tanque cuenta con una válvula de alivio por sobrepresiones que abre a 17.6 kg/cm2, mientras que la presión normal en el tanque es de 9 kg/cm2, también cuenta con un manómetro. GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 89 de 167 El propano se emplea como suministro para el procesamiento de gas amargo. Este proceso se encuentra en un sitio en donde la temperatura ambiente puede ser de -10°C. Diagrama simplificado Válvula de alivio de 3” Válvulas de sobreflujo de 3” Línea de propano A proceso Válvulas de sobreflujo de 2” Válvulas de corte Línea de propano líquido de 3/4” Vaporiz ador a fuego directo Líneas de carga de Referencias • • Manual del sistema de almacenamiento de propano, M-PR-001, rev. 2. Diagrama de proceso del sistema de propano PP-160-2 rev. 3. Lista de nodos 1. Línea de carga de propano líquido (flujo, presión) 2. Tanque de almacenamiento (presión) 3. Línea de descarga de propano líquido (flujo, presión) Formatos HazOp Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 90 de 167 Ver secciones más adelante. Recomendaciones. 1. Elaborar procedimiento de carga que indique que el personal que recibe la carga verifique el funcionamiento de los sistemas de control de presión de carga del autotanque. 2. Verificar periódicamente la funcionalidad del indicador de presión del tanque. 3. Verificar de acuerdo a la normatividad la funcionalidad de la válvula de alivio. 4. Elaborar un estudio para determinar si la capacidad de alivio del tanque es adecuada. 5. Analizar la conveniencia de reducir el punto de ajuste de apertura de la válvula de alivio, ya que ésta se encuentra justo en el valor de diseño del tanque (17.6 kg/cm2). 6. Analizar la conveniencia de controlar el acceso al área del tanque y sus accesorios. 7. Asegurar proteger las líneas se salida de gas (enterrarlas o usar barreras que eviten daño externo). 8. Cambiar las válvulas de sobreflujo ya que estas son de 3” y la línea es de ¾”, lo que evita que éstas cumplan con su función. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Página 91 de 167 Nombre del estudio: HazOP del área de almacenamiento de propano del centro de procesamiento de gas amargo. Rev. 0 Sección o nodo: 2. Tanque de almacenamiento de propano Fecha de reunión: 15/Oct/2008 Propósito de acuerdo al diseño: Almacenar 18000 galones de gas propano licuado a 13 kg/cm2 para su consumo Referencias: PP-160-2 R3 en calentadores del proceso. Equipo multidisciplinario2: RCR, RRS, RVF, RMCG, SSV Hoja: 6 de 18 El presente análisis HazOp forma parte de la actualización 2008 del Análisis de Riesgos del centro de procesamiento de gas amargo. Palabra No. Variable Desviación Causas Consecuencias Protecciones F C R Recomendaciones guía 1 Presión Alta Alta presión Sobrepresión Rotura catastrófica Los autotanques que 2 4 Ama- 1. Elaborar procedimiento de carga en el llenado del recipiente que realizan la descarga de rillo 8 que indique que el personal que recibe del tanque. puede ocasionar la propano cuentan con la carga verifique el funcionamiento de indicadores de presión fuga de gas, los sistemas de control de presión de de llenado y el sistema provocando un carga del autotanque. incendio y explosión de carga evita la sobre2. Verificar la funcionalidad del si se alcanza una presurización. indicador de presión del tanque cada fuente de ignición. semana. Esto puede causar El tanque cuenta con 3. Verificar la funcionalidad y indicador de presión y dos fatalidades y calibración de la válvula de alivio cada daños a la una válvula de alivio año. instalación. cuyo punto de ajuste es 4. Elaborar un estudio para determinar 17.6 kg/cm2. si la capacidad de alivio del tanque es adecuada. 2 Presión Alta Alta presión Incendio en la Rotura catastrófica parte inferior del recipiente que del tanque. puede provocar la fuga de gas provocando un incendio y explosión. Esto puede causar dos fatalidades y daños a la instalación. F = categoría de frecuencia, C = categoría de consecuencia, R = categoría de riesgo Cada dos años se realiza una verificación del estado de la integridad del tanque. El tanque cuenta con una válvula de alivio cuyo punto de ajuste es 17.6 kg/cm2. 2 4 Ama- 3. Verificar la funcionalidad y rillo 8 calibración de la válvula de alivio cada año. 4. Elaborar un estudio para determinar si la capacidad de alivio del tanque es adecuada. 5. Hacer un análisis de ingeniería para determinar un nuevo valor para el punto de ajuste de apertura de la válvula de alivio, ya que esta se encuentra justo en el valor de diseño del tanque (17.6 kg/cm2). Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 92 de 167 Nombre del estudio: HazOP del área de almacenamiento de propano del centro de procesamiento de gas amargo. Rev. 0 Sección o nodo: 3. líneas de salida Fecha de reunión: 15/Oct/2008 Propósito de acuerdo al diseño: Transportar gas propano para su consumo en calentadores del proceso. Referencias: PP-160-2 R3 Equipo multidisciplinario2: RCR, RRS, RVF, RMCG, SSV Hoja: 6 de 18 El presente análisis HazOp forma parte de la actualización 2008 del Análisis de Riesgos del centro de procesamiento de gas amargo. 3 Flujo Alto Alto flujo Línea de Fuga de gas e incendio La conexión al tanque de 3 6 Rojo 7. Proteger las líneas se salida salida rota. en la parte baja del la línea cuenta con válvula de gas (enterrarlas o usar tanque que puede limitadora de flujo (3”). barreras físicas que eviten daño provocar la falla por impacto externo). catastrófica del El tanque cuenta con una 8. Cambiar las válvulas de recipiente. Esto puede válvula de alivio cuyo sobreflujo ya que estas son de causar dos fatalidades punto de ajuste es 17.6 3” y la línea es de ¾”, lo que y daños a la instalación. kg/cm2. evita que estas cumplan con su función. 4. Elaborar un estudio para determinar si la capacidad de alivio del tanque es adecuada. 4 Flujo No No flujo Válvula de No arranque o paro del Dentro de la secuencia de 1 3 Verde 6. Establecer controles para el corte cerrada. proceso productivo cuyo arranque del proceso, se acceso al área del tanque. costo es de 50,000 USD considera la verificación por hora. de apertura de la válvula de corte. F = categoría de frecuencia, C = categoría de consecuencia, R = categoría de riesgo Nota: Considerar en éste ejemplo “HAZOP del área de almacenamiento de propano del centro de procesamiento de gas amargo”, la inclusión de las columnas correspondientes a “Fecha compromiso” de cumplimiento de la(s) recomendación(es) surgidas del HAZOP y, del “Responsable” de llevarla(s) a cabo. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 93 de 167 ANEXO F Matrices de Riesgo Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 94 de 167 F.1 Propósito Establecer las Matrices de Riesgo que deben utilizarse en Petróleos Mexicanos y Organismos Subsidiarios, para su aplicación en los Análisis de Riesgos de Proceso. F.2 Referencias [1] [2] [3] [4] NORMA Oficial Mexicana NOM-028-STPS-2004, “Organización del trabajo-Seguridad en los procesos de sustancias químicas, Guía C (No Normativa), Administración de Riesgos”, 14 enero 2005. PEMEX-PEP, “Lineamiento para la determinación del nivel de riesgo tolerable en las instalaciones de proceso de la Región Marina Noreste” clave 250-22100-SI-212-0001, versión primera, enero 2003. PEMEX-Refinación, PREF, “Guía para realizar Análisis de Riesgos a instalaciones industriales”, DGSASIPA-SI-02741”, enero 2005. LINEAMIENTOS que deberán observar Petróleos Mexicanos y sus Organismos Subsidiarios en relación con la implementación de sus sistemas de seguridad industrial. SENER, Diario Oficial, 20 de Enero 2011. F.3 Introducción En diferentes tipos de industrias, incluida la petrolera, se realizan análisis de riesgos de proceso por medio de herramientas que permiten realizar una estimación del riesgo. El riesgo tiene dos componentes: la frecuencia de ocurrencia de un evento indeseado y la magnitud de las consecuencias de ese evento. Debido a lo anterior, existen procesos en los que se identifican una gran cantidad de riesgos, como riesgo de daños al personal, a la población, al medio ambiente o al negocio, a los bienes de terceros o a los bienes de la nación. Contar con una metodología para valorar los niveles de riesgo es importante cuando el conjunto de riesgos identificados es amplio y los recursos para su control o reducción son limitados. El valorar los niveles de riesgo y asignar prioridades a la atención de las recomendaciones, permite un manejo adecuado de los recursos. F.4 Principio ALARP Las siglas ALARP significan: Tan Bajo Como Sea Razonablemente Práctico, del Inglés As Low As Reasonably Practicable. El concepto ALARP fue desarrollado en el Reino Unido. La legislación de ese país estableció el término ALARP por medio del Health and Safety at Work etc. Act 1974, el cual requiere que se mantengan las instalaciones y sus sistemas “seguros y sin riesgo a la salud” hasta donde fuera razonablemente práctico. Esta última frase se interpreta como una obligación de los propietarios de las instalaciones para reducir el riesgo a un nivel tan bajo como sea razonablemente práctico. Existen riesgos que son tolerables y otros riesgos no tolerables. El principio ALARP se encuentra precisamente entre los riesgos que se toleran y los que no. Esta idea se explica con un diagrama que ilustra el principio, ver Figura F 4.1. En la mencionada Figura se explica que para que un riesgo se Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 95 de 167 considere dentro de la región ALARP, debe demostrarse que el costo relacionado con la reducción del riesgo (su frecuencia y/o consecuencias) es desproporcionado con respecto al beneficio que se obtiene. El principio ALARP surge del hecho de que sería posible emplear una gran cantidad de tiempo, dinero y esfuerzo al tratar de reducir los niveles de riesgo a un valor de cero, lo cual en la práctica no es costeable ni posible. Adicionalmente, este principio, no debe entenderse como simplemente una medida cuantitativa de los beneficios contra los daños. Se debe entender como una buena práctica de juicio del balance entre riesgo y el beneficio a la sociedad y al negocio. Nivel de riesgo no tolerable Región ALARP (Se tolera el riesgo, sólo si el análisis costo beneficio lo justifica) Riesgo tolerable Figura F.4-1 Principio ALARP Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 96 de 167 F.5 Matrices de Riesgo Una escala de valores de riesgo se diseña para contar con una medida de comparación entre diversos riesgos. Aunque un sistema de este tipo puede ser relativamente simple, la escala debe representar valores que tengan un significado para la organización y que puedan apoyar la toma de decisiones. Esa escala debe de cumplir con las siguientes características: • • • • Ser simple de entender y fácil de usar, Incluir todo el espectro de frecuencia de ocurrencia de escenarios de riesgo potenciales , Describir detalladamente las consecuencias en cada categoría (personal, población, medio ambiente, negocio, bienes de terceros y bienes de la nación), Definir claramente los niveles de riesgo tolerable, ALARP y no tolerable. Las matrices de riesgos normalmente se emplean para calificar inicialmente el nivel de riesgo y podría ser la primera etapa dentro de un análisis cuantitativo de éstos. Esa matriz aplica única y exclusivamente para la organización que la desarrolla. Las matrices de riesgos son gráficas en dos dimensiones en cuyos ejes se presenta la categoría de frecuencia de ocurrencia y la categoría de severidad de las consecuencias sobre él personal, la población, el medio ambiente, el negocio, bienes de terceros y bienes de la nación. Esas matrices están divididas en regiones que representan los riesgos tolerables, en región ALARP y los no tolerables. Por un lado, las ventajas en el uso de las matrices de riesgos son, entre otras, las siguientes: • • Son simples de entender y fáciles de aplicar Bajo costo de aplicación Por otro lado, algunas de las desventajas que se tienen al utilizar las matrices de riesgo son las siguientes: • • La evaluación de la frecuencia de ocurrencia es subjetiva, de “Muy Frecuente” a “Extremadamente raro” Las categorías de frecuencias y de consecuencias son cualitativas y generan un alto grado de incertidumbre F.6 Matrices de Riesgo para aplicación en PEMEX y Organismos Subsidiarios. Con base en la información que se ha presentado en la sección anterior, las categorías de frecuencia, las categorías de consecuencias, así como sus correspondientes matrices de riesgo, que deben utilizarse para realizar los Análisis de Riesgos de Proceso en Petróleos Mexicanos y sus Organismos subsidiarios, se presentan a continuación: Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 97 de 167 Tabla F.6-1 Categorías de frecuencia para aplicación en PEMEX Categoría de frecuencia Tipo Descripción de la frecuencia de ocurrencia 6 Muy Frecuente Ocurre una o más veces por año 5 Frecuente Ocurre una vez en un periodo entre 1 y 3 años 4 Poco frecuente Ocurre una vez en un periodo entre 3 y 5 años 3 Raro Ocurre una vez en un periodo entre 5 y 10 años 2 Muy raro Ocurre solamente una vez en la vida útil de la planta. 1 Extremadamente raro Evento que es posible que ocurra, pero que a la fecha no existe ningún registro. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 98 de 167 Tabla F.6-2 Categorías de consecuencias para aplicación en PEMEX Categoría de consecuencia Daños al personal 6 Heridas o daños físicos que pueden resultar en más de 15 fatalidades 5 Heridas o daños físicos que pueden resultar de 4 a 15 fatalidades 4 Heridas o daños físicos que pueden resultar en hasta 3 fatalidades 3 Heridas o daños físicos que generan incapacidad médica 2 Heridas o daños físicos reportables y/o que se atienden con primeros auxilios 1 No se esperan heridas o daños físicos Efecto en la población Heridas o daños físicos que pueden resultar en más de 100 fatalidades Heridas o daños físicos que pueden resultar de 15 a 100 fatalidades Heridas o daños físicos que pueden resultar de 4 a 15 fatalidades Heridas o daños físicos que pueden resultar en hasta 3 fatalidades. Evento que requiere de hospitalización a gran escala. Heridas o daños físicos reportables y/o que se atienden con primeros auxilios. Evento que requiere de evacuación. Ruidos, olores e impacto visual que se pueden detectar No se esperan heridas o daños físicos. Ruidos, olores e impacto visual imperceptibles Impacto ambiental Pérdida de producción [Millones de USD] Daños a la instalación [Millones de USD] Daños a bienes de terceros o de la nación [Millones de USD] Fuga o derrame externo que no se pueda controlar en una semana Mayor de 50 Mayor de 50 Mayor de 50 Fuga o derrame externo que se pueda controlar en una semana De 15 a 50 De 15 a 50 De 15 a 50 Fuga o derrame externo que se pueda controlar en un día De 5 a 15 De 5 a 15 De 5 a 15 Fuga o derrame externo que se pueda controlar en algunas horas De 0.500 a 5 De 0.500 a 5 De 0.500 a 5 Fuga o derrame externo que se pueda controlar en menos de una hora (incluyendo el tiempo para detectar) De 0.250 a 0.500 De 0.250 a 0.500 De 0.250 a 0.500 No hay fuga o derrame externo Hasta 0.250 Hasta 0.250 Hasta 0.250 Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Página 99 de 167 6 5 4 3 2 1 1 Consecuencia 2 3 4 5 6 C C C C C B B C C C A B B B C A A A A B A A A A B A A A A A C C C C B B Frecuencia/año Frecuencia/año Tabla F.6-3 Matrices de Riesgo para aplicación en PEMEX 6 5 4 3 2 1 1 Consecuencia 2 3 4 5 6 C C C C C B B B C C A B B C C A A B B C A A A A B A A A A A C C C C C B Impacto Ambiental Consecuencia 2 3 4 5 6 C C C C C B B B B B A A A A A A A A A A A A A A A A A A A A C C B A A A Daños a la población Frecuencia/año Frecuencia/año Daños al personal 6 5 4 3 2 1 1 6 5 4 3 2 1 1 Consecuencia 2 3 4 5 6 B C C C C B B C C C A B B C C A A B B C A A A B B A A A A A C C C C C B Daños a la instalación/producción/bienes de terceros/bienes de la nación Región de Riesgo No Tolerable “A” (región “roja”): Los riesgos de este tipo deben provocar acciones inmediatas para implantar las recomendaciones generadas en el análisis de riesgos. El costo no debe ser una limitación y el hacer nada no es una opción aceptable. Estos riesgos representan situaciones de emergencia y deben establecerse Controles Temporales Inmediatos. Las acciones deben reducirlos a una región de Riesgo ALARP y en el mejor de los casos, hasta riesgo tolerable. Región de Riesgo ALARP “B” (As Low As Reasonably Practicable - Tan bajo como sea razonablemente práctico), (región “amarilla”): Los riesgos que se ubiquen en esta región deben estudiarse a detalle mediante análisis de tipo costo-beneficio para que pueda tomarse una decisión en cuanto a que se tolere el riesgo o se implanten recomendaciones que permitan reducirlos a la región de riesgo tolerable. Región de Riesgo Tolerable “C” (región “verde”): El riesgo es de bajo impacto y es tolerable, aunque pudieran tomarse acciones para reducirlo. Se debe continuar con las medidas preventivas que permiten mantener estos niveles de riesgo en valores tolerables. Nota 1. La clasificación del riesgo analizado, corresponderá al que resulte de la evaluación de su frecuencia – consecuencia, en cualquiera de las cuatro matrices, en primer lugar como Riesgo No Tolerable “A”, en segundo lugar como Riesgo ALARP “B” y finalmente, en tercer lugar como Riesgo Tolerable “C”. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 100 de 167 ANEXO G Análisis de Arboles de Eventos (AAE) Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 101 de 167 G.1 Propósito Proporcionar una guía a los analistas que requieran desarrollar un Análisis de Árboles de Eventos, para homologar su aplicación en las instalaciones de Petróleos Mexicanos. G.2 Referencias [1] NUREG CR/2300, Vol. 1. PRA Procedures Guide. A Guide to the Performance of Probabilistic Assesments for Nuclear Power Plants, 1983 [2] Guidelines for Hazard Evaluation Procedures with worked examples, CCPS, AICHE, 1992 [3] SAIC, “CAFTA for Windows - Fault Tree Analysis System - User Manual”, Science Applications International Corporation, Los Altos, California, 1996. G.3 Principios de la Metodología El Análisis de Árbol de Eventos es una herramienta analítica que ha sido frecuentemente usada para caracterizar el potencial de un accidente [1]. Un Árbol de Eventos gráficamente muestra los posibles resultados de un accidente a partir de un evento iniciador (la falla de un equipo específico o error humano). Un Análisis de Árboles de Eventos (ETA, Event Tree Analysis) considera las respuestas de los sistemas de seguridad y de los operadores hacia el evento iniciador cuando se está determinando los resultados del accidente potencial. Los resultados del Análisis de Árboles de Eventos son secuencias de accidentes; que son un conjunto de fallas o errores que llevan a un accidente. Estos resultados describen los posibles resultados del accidente en términos de la secuencia de eventos (éxitos o fallas de las funciones de seguridad) que sigue un evento iniciador. Un Análisis de Árboles de Eventos es muy adecuado para analizar un proceso complejo que tiene varias capas de seguridad o procedimientos de emergencia para responder a específicos eventos iniciadores. Propósito Los Árboles de eventos su usan para identificar los diversos accidentes que pueden ocurrir en un proceso complejo. Después de que estas secuencias de accidentes individuales se identifican, las probabilidades de ocurrencia de las combinaciones específicas de las fallas que pueden desencadenar los accidentes, se pueden determinar usando el Análisis de Árboles de Fallas [2]. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 102 de 167 Tipos de resultados Los resultados de un Análisis de Árboles de Eventos son las secuencias de eventos en las que se consideran el éxito o la falla de los sistemas de seguridad que llevan a un resultado definido. Las secuencias de accidentes descritas en el árbol de eventos representan combinaciones lógicas AND de eventos; por consiguiente, estas secuencias pueden ponerse en forma de un modelo de árboles de falla para un análisis más cualitativo. El análisis usa estos resultados para identificar debilidades de diseño y de procedimiento, y normalmente da recomendaciones para reducir la probabilidad y/o las consecuencias de los accidentes potenciales analizados [2]. G.4 Enfoque Técnico El Análisis de Árboles de Eventos evalúa el potencial de un accidente que es el resultado de un tipo general de falla de equipo o un proceso alterado (conocido como un evento iniciador). A diferencia de un Análisis de Árboles de Fallas (un proceso de razonamiento deductivo), el Análisis de Árboles de Eventos es un proceso de razonamientos inductivo donde el analista comienza con un evento iniciador y desarrolla las posibles secuencias de eventos que llevan a un accidente potencial explicando tanto los éxitos como las fallas de cualquiera de las funciones de seguridad asociadas cuando el accidente progresa. Los Árboles de Eventos dan una manera sistemática de registrar las secuencias de los accidentes y definen las relaciones entre los eventos iniciadores y los eventos subsecuentes que resultan en accidentes. Los Árboles de Eventos son apropiados para analizar los eventos iniciadores que podrían resultar en una variedad de resultados. Un Árbol de Eventos resalta la causa inicial de accidentes potenciales y los mecanismos desde el evento iniciador hasta los efectos finales del evento. Cada rama del árbol de eventos representa una secuencia separada del accidente que es un conjunto claramente definido de las relaciones funcionales entre las funciones de seguridad de un evento iniciador. G.5 Procedimiento para realizar un Análisis de Arboles de Eventos El Análisis de Árboles de Eventos es una metodología inductiva que evalúa las consecuencias que podrían presentarse a partir de un evento determinado (evento iniciador). El análisis parte del evento iniciador y desarrolla las posibles secuencias de eventos que llevarán a consecuencias potenciales. Esto permite analizar los escenarios posibles y establecer entre ellos una jerarquía en cuanto a su gravedad y posibilidad de ocurrencia, seleccionar situaciones de emergencia para su evaluación cuantitativa y preparar respuestas a las mismas. Los Árboles de Eventos son diagramas que muestran el desarrollo de secuencias de accidentes que comienzan con la ocurrencia del evento iniciador y progresan según las respuestas de las acciones de mitigación, principalmente de los sistemas de seguridad. El desarrollo del Árbol de Eventos muestra los posibles resultados (estados finales) que pueden causar la ocurrencia del evento iniciador. El procedimiento general para realizar el Análisis de Árboles de Eventos (AAE) se muestra en la Figura G.5.1. A continuación se describe el proceso que tiene como base el procedimiento propuesto en las Guías del AICHE [2] y la experiencia que el Grupo de Análisis de Riesgos (GAR) ha adquirido en la realización de AAE, las etapas principales son: Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental 1. 2. 3. 4. 5. 6. 7. 8. 9. GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 103 de 167 Identificación del (los) evento(s) iniciador(es) de interés. Selección de un evento iniciador. Recolección de información específica. Identificación de las funciones de seguridad diseñadas para mitigar el evento iniciador y de los fenómenos que afectan la progresión física del evento. Construcción/Modificación del árbol de eventos. Evaluación cualitativa del árbol de eventos Evaluación cuantitativa del árbol de eventos. Análisis de Sensibilidad. Documentación. G.5.1 Identificación del (los) evento(s) iniciador(es) de interés. El objetivo de esta etapa es identificar uno o varios eventos iniciadores que se utilizarán en la construcción de los árboles de eventos. Los eventos iniciadores se pueden identificar mediante el uso de metodologías como el HAZOP, FMEA, ¿Qué pasa si? (¿What if?), entre otras, o bien a partir de necesidades específicas del estudio. La identificación de los eventos iniciadores es una parte importante del AAE. El evento iniciador es considerado como la base del árbol de eventos y puede tener consecuencias muy diferentes dependiendo de las medidas de seguridad del sistema, de las acciones de los operadores del mismo y de las condiciones del medio. Para que la aplicación del análisis del árbol de eventos tenga sentido, el evento iniciador no debe estar demasiado cerca de los escenarios finales del árbol. Las diferentes progresiones que vayan resultando de desarrollar el árbol son consideradas como las ramas del árbol que conducen a diferentes estados finales (consecuencias). Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Página 104 de 167 INICIO Se requiere AAE Eventos definidos con el cliente u otras técnicas Identificación de eventos iniciadores Selección del evento iniciador Recolección de información específica Identificación de las funciones de seguridad y a la fenomenología que afecta progresión física del evento Construcción/ Modificación del árbol de eventos ¿ Existe algún cambio propuesto durante la construcción del AE? SI NO Evaluación cualitativa del árbol de eventos Análisis de Sensibilidad Asignación de probabilidades de éxito/falla de encabezados correspondientes a funciones de seguridad o fenómenos físicos SI ¿Se requiere hacer Análisis de Sensibilidad? Evaluación cuantitativa del árbol de eventos NO ¿Las funciones de seguridad son suficientes para mitigar las consecuencias del evento iniciador ? Emisión de recomendaciones SI Aceptación del sistema SI ¿Otro evento iniciador? NO FIN Figura G.5.1 Procedimiento para realizar AAE NO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 105 de 167 El evento iniciador puede ser una falla de algún equipo del sistema, un error humano o un evento externo. Ejemplos de eventos iniciadores pueden ser: • • • • Ruptura de un cabezal de descarga de gas de turbocompresoras. Fuga de gas por válvula de carga a un reactor. Pérdida del sistema de remoción de calor de un reactor. Dosificación incorrecta de la alimentación a un reactor. G.5.2 Selección de un evento iniciador. Se selecciona un evento iniciador, de los identificados en la actividad anterior, y se realizan las actividades descritas de los incisos 3 al 9 de acuerdo con los alcances del proyecto. G.5.3 Recolección de información específica. Es importante que la información específica referente al proceso sea lo más actualizada posible. La información se puede obtener de visitas e inspecciones a las instalaciones sujetas al análisis, así como de entrevistas con el personal del grupo multidisciplinario (área eléctrica, mantenimiento, ingeniería de procesos, operación, mecánica, diseño, seguridad, etc.) para conocer la respuesta del mismo ante situaciones de emergencia. Se debe contar con la siguiente documentación: Diagramas de operación (Diagramas de Tubería e Instrumentación, Diagramas de Flujo de Proceso, Diagramas Unifilares, etc.), manuales de operación, etc. G.5.4 Identificación de las funciones de seguridad diseñadas para mitigar el evento iniciador y de los fenómenos que afectan la progresión física del evento. El éxito o falla de las funciones de seguridad así como los fenómenos que afectan la progresión física del evento, determinan los posibles estados finales del árbol de eventos. Las funciones de seguridad y los fenómenos físicos deben ordenarse en la forma cronológica en la que se espera actúen o se presenten. Los fenómenos físicos son los sucesos que podrían modificar la progresión del evento iniciador y que puede conducir a estados finales distintos. Las funciones de seguridad (sistemas de seguridad, acciones de operadores, etc.) que responden al evento iniciador son las defensas o las protecciones de las plantas contra las consecuencias del evento iniciador. Estas funciones de seguridad generalmente incluyen: Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental • • • • GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 106 de 167 Sistemas activos de respuesta automática, sistemas de cierre automático, sistemas contraincendio, sistemas de alivio de presión, etc. Alarmas que alertan al operador cuando el evento iniciador ocurre Acciones del operador diseñadas a realizarse en respuesta a alarmas o a lo requerido en los procedimientos Sistemas pasivos, barreras o métodos de contención que tienen la intención de limitar los efectos de los eventos iniciadores G.5.5 Construcción/Modificación del árbol de eventos. El objetivo de esta etapa es desarrollar el árbol de eventos que representa la progresión del evento iniciador evaluando las funciones de seguridad y obteniendo los estados finales. La construcción de un árbol de eventos se realiza de la siguiente manera: Se elabora un formato como el que se muestra en la Figura 5.5-1, Se escribe en la parte superior izquierda el evento iniciador, seguido de acuerdo al orden cronológico, las funciones de seguridad o fenómenos físicos, llamados encabezados. La línea (rama) sobre el texto del evento iniciador representa la ocurrencia de éste hasta la actuación u ocurrencia del segundo encabezado. Para la construcción del AE en cada encabezado se evalúa la falla (no ocurrencia, falso o negación) y el éxito (ocurrencia, verdadero o afirmación) de los encabezados con respecto a la progresión del evento iniciador. Cada una de las evaluaciones da como resultado una rama del árbol. Normalmente la falla es desarrollada en la parte inferior y el éxito constituye la rama superior. Si el encabezado no afecta la progresión del evento iniciador, la línea se continúa hasta el punto donde se encuentre la actuación del siguiente encabezado. Para el caso del ejemplo genérico utilizado en este documento, las letras A, B, C y D son usadas para indicar la ocurrencia del encabezado y las letras testadas ( A , B , C y D ) indican la no ocurrencia del encabezado. Todas las ramas del AE deben evaluarse hasta un estado final. En las Figura G.5.6-1, G.5.7-1 y G.5.7-2 se representan las evaluaciones de las funciones de seguridad 1, 2, y 3 respectivamente del ejemplo genérico del árbol de eventos. La construcción del modelo del árbol de eventos se puede hacer mediante el uso de alguna herramienta computacional, tal como el código ETA for Windows [3], entre otros. GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental EVENTO INICIADOR (A) Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 107 de 167 FUNCIÓN DE SEGURIDAD 1 (B) FUNCIÓN DE SEGURIDAD 2 (C) FUNCIÓN DE SEGURIDAD 3 (D) DESCRIPCIONES DE LA SECUENCIA DEL ACCIDENTE (ESTADO FINAL) ÉXITO EVENTO INICIADOR A FALLA Figura G.5.5-1 Primera etapa de la construcción del árbol de eventos G.5.6 Evaluación cualitativa del árbol de eventos. La siguiente etapa del procedimiento del Análisis de Árboles de Eventos es describir los estados finales. Los estados finales representan la variedad de resultados que puede seguir el evento iniciador. La importancia del análisis cualitativo radica en que: • En esta etapa se analizan los estados finales para conocer sus consecuencias y valorar su importancia cualitativa. • Algunas secuencias llevan a estados similares y estas pueden agruparse, en la Figura G.5.8-1 se presenta un ejemplo genérico de la agrupación de estados similares. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental EVENTO INICIADOR (A) GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 108 de 167 FUNCIÓN DE SEGURIDAD 1 (B) FUNCIÓN DE SEGURIDAD 2 (C) FUNCIÓN DE SEGURIDAD 3 (D) DESCRIPCIONES DE LA SECUENCIA DEL ACCIDENTE (ESTADO FINAL) ÉXITO EVENTO INICIADOR A FALLA Figura G.5.6-1 Desarrollo de la primera función de seguridad en el ejemplo genérico del árbol de eventos. G.5.7 Evaluación cuantitativa del árbol de eventos. El objetivo de esta etapa es determinar la probabilidad o frecuencia de ocurrencia de cada uno de los estados finales. En esta etapa del proceso es necesario obtener las probabilidades de éxito y falla de los encabezados correspondientes a las funciones de seguridad o fenómenos físicos. Es importante mencionar que las probabilidades son complementarias entre sí, lo que significa que si se asigna la probabilidad de éxito de una rama, la probabilidad de falla será el complemento de la unidad para ese encabezado. Estas probabilidades pueden ser calculadas a partir de: • • • • • • • Bases de datos específicas para los componentes del sistema de seguridad. Árboles de fallas Registros de mantenimiento. Registro de operación del sistema. Datos proporcionados por el fabricante. Análisis de Consecuencias Análisis de confiabilidad humana. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental EVENTO INICIADOR (A) GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 109 de 167 FUNCIÓN DE SEGURIDAD 1 (B) FUNCIÓN DE SEGURIDAD 2 (C) FUNCIÓN DE SEGURIDAD 3 (D) DESCRIPCIONES DE LA SECUENCIA DEL ACCIDENTE (ESTADO FINAL) ÉXITO EVENTO INICIADOR A FALLA Figura G.5.7-1 Desarrollo de la segunda función de seguridad en el ejemplo genérico del árbol de eventos En la Tabla G.5.7-1 se presentan los modelos empleados para el cálculo de probabilidad de falla de un componente. Tabla G.5.7-1. Modelos empleados para el cálculo de probabilidad de falla de un componente. Tipo de componente Datos Fórmula - Operación continua (Modelo λ) * No reparable * Reparable con vigilancia (monitoreo) * Reparable con pruebas periódicas - Operación por demanda (Modelo ρ) λ Q = 1 – e -λt ≅ λt, λt < 0.1 λ , TD Q= λ,T, Q= ρ, n(t) Q = 1- (1 - ρ) n(t) ≅ n(t) ρ , n(t)ρ<0.1 TR λTD 1+ λT ≅ λTD, λTD< 0.1 + λTR ≅ λT , TR< 0.1T GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 110 de 167 Donde : Q = Indisponibilidad. λ = Tasa de falla del componente por hora (aplicable en operación o en espera) t = Tiempo misión TD = Tiempo promedio de reparación por falla. T = Tiempo entre pruebas. TR = Tiempo de reparación de la falla. ρ = Tasa de falla del componente a la demanda. n(t) = Número de demandas esperadas del componente en el tiempo t Con las probabilidades asignadas a cada una de las ramas (éxito y falla), se calcula la probabilidad o frecuencia para cada estado final. Este valor es el producto de las probabilidades de las ramas que aparecen en la trayectoria de cada una de las secuencias por la probabilidad o frecuencia del evento iniciador. La probabilidad condicional de los estados finales se obtiene cuando se asigna un valor de probabilidad igual a la unidad al evento iniciador. La frecuencia de los estados finales se obtiene cuando se asigna la frecuencia de ocurrencia del evento iniciador. El analista debe definir de manera precisa lo que implica cada uno de los estados finales, para con base en ello poder realizar las recomendaciones adecuadas para el sistema. EVENTO INICIADOR (A) FUNCIÓN DE SEGURIDAD 1 (B) FUNCIÓN DE SEGURIDAD 2 (C) FUNCIÓN DE SEGURIDAD 3 (D) DESCRIPCIONES DE LA SECUENCIA DEL ACCIDENTE (ESTADO FINAL) ABCD DESCRIPCIÓN DE LA SECUENCIA DE ACCIDENTE PARA ABCD ABCD DESCRIPCIÓN DE LA SECUENCIA DE ACCIDENTE PARA ABCD ÉXITO EVENTO INICIADOR A ABCD DESCRIPCIÓN DE LA SECUENCIA DE ACCIDENTE PARA ABCD ABD DESCRIPCIÓN DE LA SECUENCIA DE ACCIDENTE PARA ABD ABD DESCRIPCIÓN DE LA SECUENCIA DE ACCIDENTE PARA ABD FALLA Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 111 de 167 Figura G.5.7-2. Descripción de la tercera función de seguridad en el ejemplo genérico del árbol de eventos G.5.8 Análisis de Sensibilidad. El objetivo del Análisis de Sensibilidad es cuantificar la reducción de la probabilidad o frecuencia de ocurrencia de los estados finales con consecuencias más relevantes al aplicar una o varias recomendaciones. Cuando el alcance del proyecto así lo contemple, esta actividad se desarrolla de la siguiente forma: A juicio del analista se selecciona una o más de las recomendaciones. La aplicación de las recomendaciones en el sistema puede ser evaluada realizando un nuevo árbol de eventos, o bien, modificando las probabilidades del éxito o falla de los encabezados correspondientes. De esta forma se determina la reducción en la frecuencia o probabilidad de los estados finales del AE. GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental EVENTO INICIADOR (A) Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 112 de 167 FUNCIÓN DE SEGURIDAD 1 (B) FUNCIÓN DE SEGURIDAD 2 (C) FUNCIÓN DE SEGURIDAD 3 (D) DESCRIPCIONES DE LA SECUENCIA DEL ACCIDENTE (ESTADO FINAL) ABCD DESCRIPCIÓN DE LA SECUENCIA DE ACCIDENTE PARA ABCD ABCD DESCRIPCIÓN DE LA SECUENCIA DE ACCIDENTE PARA Éxito ABCD ÉXITO EVENTO INICIADOR A ABCD DESCRIPCIÓN DE LA SECUENCIA DE ACCIDENTE PARA ABCD ABD DESCRIPCIÓN DE LA SECUENCIA DE ACCIDENTE PARA ABD ABD DESCRIPCIÓN DE LA SECUENCIA DE ACCIDENTE PARA ABD FALLA Fracaso Figura G.5.8-1. Ejemplo genérico de la agrupación de estados similares en un árbol de eventos G.5.9 Documentación. La documentación (ver sección 8.4) de los resultados obtenidos en este análisis debe incluir la versión final de: • • • • • • • • Descripción del sistema analizado. Una discusión de la definición del sistema. Identificación y selección de eventos iniciadores. Para cada Árbol de Eventos, el diagrama desarrollado. Para cada Árbol de Eventos, la descripción del evento iniciador y los encabezados. Esta descripción debe incluir las bases de asignación de la probabilidad de éxito o falla de los encabezados (frecuencia del evento iniciador si fuera el caso). Los resultados obtenidos del análisis cuantitativo (descripción de los estados finales). Los resultados obtenidos del análisis cuantitativo (frecuencia o probabilidad de ocurrencia de los estados finales). Un listado de las recomendaciones generadas de este análisis y el resultado del análisis de sensibilidad. En la sección G.6 se presentan algunos ejemplos de la aplicación de los Análisis de Árboles de Eventos. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 113 de 167 G.6 Ejemplos G.6.1 Ejemplo 1 Identificación del evento iniciador de interés. El Ing. R. C. Rodríguez tiene el interés de calcular la probabilidad de éxito que implica el cambiar la llanta de su auto dado que ha sufrido una ponchadura de llanta. Selección de un evento iniciador. El evento iniciador es la ponchadura de llanta. Recolección de la información específica Lo que se necesita para cambiar con éxito una llanta es: una llave, un gato hidráulico, y la llanta de refacción. Identificación de las funciones de seguridad Al momento de presentarse la ponchadura de la llanta, lo primero que hace el Ing. R. C. Rodriguez es revisar si cuenta con una llave, en seguida si cuenta con el gato hidráulico y finalmente si cuenta con la refacción. Construcción del Árbol de Eventos En la Figura G.6.1-1 se presenta el Árbol de Eventos correspondiente a la ponchadura de la llanta. Evaluación cualitativa del árbol de eventos El estado final que corresponde a la secuencia ABC, significa que al presentarse el evento iniciador y al contar con la llave disponible (A), el gato hidráulico disponible (B) y la refacción disponible (C), el estado final es el cambio exitoso de la llanta. La secuencia AB C , significa que no es posible el cambio de la llanta porque aunque se tenga la llave disponible y el gato hidráulico disponible, no se cuenta con la refacción disponible ( C ). La secuencia A B , significa que no es posible el cambio de llanta porque aunque se cuente con la llave disponible, no se cuenta con el gato hidráulico disponible. La secuencia A , significa que no es posible el cambio de llanta porque no se cuenta con la llave disponible. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Ponchadura de llanta GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 114 de 167 Llave disponible (A) Gato disponible (B) Refacción disponible (C) Estados finales ABC ABC AB Evento iniciador A Figura G.6.1-1 Árbol de Eventos de la ponchadura de llanta Evaluación cuantitativa del árbol de eventos. • • • Se puede emplear una frecuencia de ocurrencia del evento iniciador y se calcula la frecuencia de ocurrencia de los estados finales. Se puede emplear la probabilidad de ocurrencia del evento iniciador y se calcula la probabilidad de ocurrencia de los estados finales. También se puede suponer que el evento iniciador ya ha ocurrido (P = 1) y se calcula la probabilidad condicional de ocurrencia de los estados finales. Se necesitan datos para estimar la probabilidad de ocurrencia de los encabezados. • En el caso de la llanta, y con base en la práctica a lo largo de varios años, en el auto no se dispone de llave en promedio 15 días por año. Los mismos en los que no se dispone del gato. Con base en estos datos la probabilidad de no disponer de la llave y del gato en un momento determinado a lo largo del año son: PFA = PFB = (15 días/365 días) = 0.041 Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Página 115 de 167 Y la probabilidad de disponer de la llave y del gato es el complemento de la probabilidad de falla: PA = (1- PFA ) = 0.959 PB = (1- PFB ) = 0.959 • Debido a diversos factores propios del entorno, no se dispone de llanta de refacción en promedio 60 días al año. Así, la probabilidad de no disponer de la refacción en un momento determinado a lo largo del año es: PFC = (60 días/365 días) = 0.164 Y la probabilidad de disponer de la refacción es: PC = (1- PFC ) = 0.836 En la Figura G.6.1-2 se muestra el árbol de eventos cuantificado Ponchadura de llanta Llave disponible (A) Gato disponible (B) Refacción disponible (C) 0.836 Estados finales Frecuencia (ev/año) Probabilidad condicional ABC 0.384 0.768 ABC 0.075 0.152 AB 0.019 0.039 A 0.020 0.041 0.959 0.164 0.959 0.041 0.5 ev/año 0.041 Figura G.6.1-2 Árbol de Eventos de la ponchadura de llanta cuantificado La probabilidad del estado final deseado es 77%, mientras que los no deseados es del 23%, aproximadamente. Análisis de sensibilidad Con base en los resultados cuantitativos se recomienda que cada vez que se cargue gasolina al auto, se verifique la disponibilidad de la llanta de refacción. En promedio se recarga gasolina cada 7 días, por lo tanto: GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 116 de 167 PFC = (7 días/365 días) = 0.019 PC = (1- PFC ) = 0.981 En la Figura G.6.1-3 se muestra el árbol de eventos cuantificado que se obtuvo en el análisis de sensibilidad. Ponchadura de llanta Llave disponible (A) Gato disponible (B) Refacción disponible (C) 0.981 Estados finales Frecuencia (ev/año) Probabilidad condicional ABC 0.451 0.902 ABC 0.009 0.018 AB 0.019 0.039 A 0.021 0.041 0.959 0.019 0.959 0.041 0.5 ev/año 0.041 Figura G.6.1-3 Análisis de sensibilidad del Árbol de Eventos de la ponchadura de llanta La probabilidad del estados final deseado es 90%, mientras que los no deseados es del 10%, aproximadamente. Si aún la probabilidad del estado final deseado es baja, es necesario identificar otras acciones para su reducción. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 117 de 167 G.7 Ejemplo 2 Identificación del evento iniciador de interés. Fuga grande en cabezal de descarga de gas de proceso (16” φ), de una estación de compresión de gas dulce. • Comprime 55 MMPCD de 4 kg/cm2 a 24 kg/cm2 En la Figura G.7-1 se presenta el diagrama simplificado de la estación de compresión de gas dulce. DESCARGA GENERAL SEPARADOR 1 COMPRESORA 1 LLEGADA 1 COMPRESORA 2 SEPARADOR 2 LLEGADA 2 COMPRESORA 3 LLEGADA 3 CABEZAL DE DESCARGA CABEZAL DE RECEPCIÓ RECEPCIÓN QUEMADOR Figura G.7-1 Diagrama simplificado de la estación de compresión de gas dulce Selección de un evento iniciador. El evento iniciador es la Fuga grande en cabezal de descarga de gas de proceso (16” φ) Recolección de la información específica • • • Cuenta con procedimiento de paro de emergencia pero no cuenta con dispositivos automáticos de aislamiento No cuenta con detectores de mezcla explosiva Cuenta con equipo de comunicación a central contraincendio Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental • GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 118 de 167 Puede contar con auxilio calificado, externo a la instalación, hasta aproximadamente una hora después de reportar un evento Identificación de las funciones de seguridad Los fenómenos que afectan a la progresión física del evento son: a) Progresión física • Ignición inmediata - Dardo de fuego (jet fire) • Formación de nube - Nube inflamable + Incendio de nube + Explosión de nube no confinada Y los sistemas de seguridad son: • • • Aislamiento manual de la fuga por el operador Notificación a la central contraincendio por operador Aislamiento de la fuga en localidades externas a la instalación Construcción del Árbol de Eventos El árbol de eventos se construyó empleando el software ETA, ver Figura G.7-1. Evaluación cualitativa del árbol de eventos Algunos de los estados finales que se obtienen son: • • • Operador Afectado por ignición, imposibilitado para tomar acciones, fuga no controlada (IGN_OP_AFEC) El operador no logra el aislamiento manual en el largo plazo (Nube_LP, IGN_LP, IGN_MLP) Fenómenos físicos (Dardo de fuego, Nube) Evaluación cuantitativa del árbol de eventos. En la Figura G.7-2 se presenta árbol de eventos ya cuantificado. A continuación se presentan algunos resultados: • • • Operador Afectado por ignición, imposibilitado para tomar acciones, fuga no controlada (IGN_OP_AFEC), 89.70% El operador no logra el aislamiento manual en el largo plazo: Nube_LP, 4.97%; IGN_LP, 4.67%; IGN_MLP, 0.05% Fenómenos físicos, Dardo de fuego 0.59%; Nube 1x10-6 % Algunas inferencias a partir de los resultados: Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental • • • GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 119 de 167 La secuencia con mayor probabilidad condicional es aquella en la que el operador se afecta y está imposibilitado a tomar acciones correctivas. El control del incidente radica en gran medida en acciones del operador. Las secuencias en las que el operador aísla la fuga con éxito son poco probables. Lo anterior debido a que la acción de aislamiento tiene que ser manual, lo que toma mucho tiempo, demanda un esfuerzo físico considerable bajo condiciones muy adversas. Algunas recomendaciones • • • • • • Instalar dispositivo automático de aislamiento rápido en la descarga Instalar alarma por demanda de aislamiento e indicador de actuación de aislamiento Instalar interruptor de aislamiento remoto en cuarto de control Instalar válvula anti-retorno en la descarga Desarrollar programa de mantenimiento y pruebas a dispositivo de aislamiento en la descarga, así como a válvula anti-retorno Desarrollar procedimiento de aislamiento de emergencia Figura G.7-2 Árbol de eventos cuantificado para la fuga en el cabezal de descarga de proceso (16” φ) de una estación de compresión de gas dulce. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 120 de 167 Análisis de sensibilidad En el análisis de sensibilidad se implementó en el modelo del árbol de eventos, que el sistema cuente con un dispositivo automático de aislamiento en la descarga. En la Figura G.7-3 se presenta el análisis de sensibilidad. Figura G.7-3 Análisis de sensibilidad para la fuga en el cabezal de descarga de proceso (16” φ) de una estación de compresión de gas dulce. Algunos resultados que se obtuvieron al aplicar el análisis de sensibilidad son: • Aislamiento exitoso de la fuga por ESD, 99%. • Operador Afectado por ignición, imposibilitado para tomar acciones, fuga no controlada (IGN_OP_AFEC), 0.90 % • El operador no logra el aislamiento manual en el largo plazo: Nube_LP, 0.05%; IGN_LP, 0.05%; IGN_MLP, 5 x 10 -4 % • Fenómenos físicos, Dardo de fuego 0.01%; Nube 1x10-8 % GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 121 de 167 ANEXO H Análisis de Arboles de Fallas (AAF) Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 122 de 167 H.1 Propósito Proporcionar una guía a los analistas que requieran desarrollar un Análisis de Árboles de Fallas (AAF), para homologar la aplicación de la metodología en las instalaciones de Petróleos Mexicanos. H.2 Referencias [1] USNRC: NUREG 0492, Fault Tree Handbook, January, 1981. [2] IEC 61025: International Standard, Fault Tree Analysis, 2006 [3] NASA Office of Safety and Mission Assurance: Fault Tree Handbook for Aerospace Applications, Version 1.1, 2002 [4] SAIC, “CAFTA for Windows - Fault Tree Analysis System - User Manual”, Science Applications International Corporation, Los Altos, California, 1996. [5] Santamaría J. M. “Análisis y reducción de riesgos en la industria química”, Editorial Mafre, Madrid, 1994. [6] Swain A. D., “Accident Sequence Evaluation Program NUREG/CR-4772, 1987. [7] Lees F. P., “Loss Prevention in the Process Industries: Hazard Identification, Assessment and Control”, Butterworths-Heinemann, Londres, Second Edition, 1996. [8] Guidelines for Hazard Evaluation Procedures with worked examples, CCPS, AICHE, 1992. Human Reliability Analysis Procedure”, H.3 Principios de la Metodología El Análisis de Árboles de Fallas (AAF) es una metodología deductiva y sistemática para analizar la seguridad de sistemas complejos durante sus etapas de diseño, construcción y operación. El fundamento del AAF es representar fallas en sistemas mediante diagramas lógicos o Árboles de Fallas. Algunas aplicaciones del AAF son las siguientes: • • • • • • Cuantificar la seguridad y confiabilidad de sistemas. Localizar los puntos débiles de sistemas. Determinar la mejor ubicación de sensores de diagnóstico. Establecer políticas de inspección y mantenimiento. Generar estrategias de localización de fallas. Analizar accidentes. Un árbol de fallas es un diagrama lógico-gráfico en el cual se describen todas las combinaciones “creíbles” de fallas o eventos normales que causan un evento indeseado (denominado evento tope). Algunos ejemplos de eventos tope son los siguientes: • • Incendio de un transformador. Incendio de un tanque de almacenamiento. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental • • GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 123 de 167 Explosión de un generador de vapor. Paro del turbogenerador. Las fallas que se incluyen en un árbol de fallas pueden ser originadas por: • • • Errores humanos. Fallas en el equipo. Eventos de otra índole (ejemplos: condiciones climatológicas, acciones de sabotaje, etc.). Las fallas de equipo se clasifican, a su vez, en tres categorías: • • • Falla primaria: involucra la falla de un componente operando bajo las condiciones normales de diseño u operación. Falla secundaria: involucra la falla de un componente operando fuera de las condiciones normales de diseño u operación. Falla de comando: involucra la operación inadecuada del componente, esto es, fuera de lugar o del tiempo de operación normal. Se debe interpretar como la falla del comando que controla la operación del componente. Al construir un árbol de fallas es importante hacer una clara determinación de las interrelaciones entre eventos. Para este fin, es de particular utilidad tener presentes los siguientes conceptos: • • • Efectos de falla: son las consecuencias que originan la falla de un componente. Modos de falla: son los que especifican el “cómo” un equipo deja de cumplir su función. Mecanismos de falla: consideran la forma en que un modo de falla puede ocurrir, es decir especifica el “por qué” de la falla. El procedimiento para realizar un AAF se ilustra en la Figura H.3-1 Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Página 124 de 167 INICIO Se requiere AAF Identificación de eventos tope Eventos definidos con el cliente u otras técnicas Selección del evento tope Recolección de datos sobre equipo y componentes del sistema Construcción / Modificación del árbol de fallas basada en la configuración del sistema ¿Existe algún cambio propuesto durante la construcción del árbol? SI NO Evaluación cualitativa del árbol de fallas ¿Existe algún cambio propuesto? SI NO ¿Se requiere evaluar cuantitativamente el árbol? NO A SI Análisis de Sensibilidad Recopilación datos de falla Evaluación cuantitativa del árbol de fallas SI ¿Se requiere hacer Análisis de Sensibilidad? ¿Es aceptable la probabilidad o frecuencia de ocurrencia del evento tope? SI NO ¿Se requiere emitir recomendaciones? A SI Emisión de recomendaciones NO Aceptar el sistema SI ¿Otro evento tope? NO FIN Figura H.3-1. Procedimiento para realizar un AAF NO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 125 de 167 H.4 Procedimiento para realizar un AAF Las etapas principales para realizar el Análisis de Árboles de Fallas. Son las siguientes: • • • • • • • • Identificación de eventos tope. Selección del evento tope. Recolección de datos sobre el equipo y componentes del sistema. Construcción/Modificación del árbol de fallas basado en la configuración del sistema. Evaluación cualitativa del árbol de fallas. Evaluación cuantitativa del árbol de fallas. Análisis de Sensibilidad. Documentación. H.4.1 Identificación de eventos tope El evento tope está relacionado generalmente con una falla catastrófica del sistema a analizar. La información proporcionada por el Árbol de Fallas depende de la selección del evento tope e influye sobre la estructura del árbol. Los eventos tope pueden ser identificados mediante: • • • La aplicación de metodologías cualitativas como: HAZOP, ¿Qué pasa si??, FMEA, etc. Los encabezados de los Árboles de Eventos. Por necesidades específicas. H.4.2 Selección del evento tope. Se selecciona un evento tope, de los identificados en la actividad anterior, y se realizan las actividades descritas en las secciones H.4.3 a H.4.8 de acuerdo con el alcance del proyecto. H.4.3 Recolección de datos sobre el equipo y componentes del sistema. En esta etapa de recopilación de información se definen las fronteras del sistema de estudio. Es importante que la información específica referente al proceso sea lo más actualizada posible, alguna de la información podría obtenerse a partir de visitas e inspección a las instalaciones sujetas al análisis, así como de entrevistas con el personal de operación para conocer sus acciones sobre el equipo y componentes del sistema. Adicionalmente se requiere la verificación de programas de mantenimiento. Entre la información que es necesario obtener, en esta etapa del análisis, se encuentra la siguiente: • • • Diagramas de operación (Diagramas de Tubería e Instrumentación, Diagramas de Flujo del Proceso, Diagramas Unifilares, etc.). Manuales de operación. Equipo de personal multidisciplinario (área eléctrica, mantenimiento, ingeniería de procesos, operación, mecánica, diseño, seguridad, etc.). Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 126 de 167 H.4.4 Construcción/Modificación del árbol de fallas basado en la configuración del sistema. El objetivo de esta etapa es desarrollar el árbol de fallas que represente las secuencias de fallas que llevan a la ocurrencia del evento tope. Existen cuatro reglas fundamentales para la construcción de árboles de fallas las cuales se enuncian a continuación: Regla declaración del evento. Escribir dentro del símbolo del evento el enunciado que describa de manera precisa y concreta las causas que provocan la falla. Este enunciado debe de responder a las cuestiones en “dónde” y en “qué” parte del sistema se encuentra la desviación o falla. Se permiten abreviaciones de palabras pero no de ideas. Regla “No milagros”. Si la operación normal del sistema propaga la secuencia de la falla, se supone que el equipo funciona normalmente. No se debe suponer que un evento inesperado (“milagro”), fuera de la función normal del equipo, evite la secuencia de la falla. Regla compuerta completa. Todos los eventos de una compuerta se deben definir antes de continuar con el desarrollo de otra compuerta. Regla no compuerta a compuerta. Las compuertas no deben ser directamente unidas a otras compuertas sin que exista entre ellas un evento intermedio. El evento intermedio debe contener la descripción de las entradas de la compuerta. Para la construcción del modelo del árbol de fallas se utilizan los símbolos de eventos que se presentan en la Tabla H.4.4-1 y los símbolos de compuertas que se presentan en la Tabla H.4.4-.2. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 127 de 167 Evento Básico. Describe una condición normal o de falla en el árbol (falla de equipo, errores humanos, etc.). Los eventos básicos definen el nivel de resolución del árbol. Evento no desarrollado. Falla específica en la cual no se han desarrollado las causas de ocurrencia de este evento por falta de información, o bien, por considerarse poco relevante. Evento Condicionante. Indica una condición o restricción aplicada a cualquier compuerta lógica. Evento Externo. Evento tipo “switch” (también conocido como evento casa). A este evento sólo puede asignársele el valor de “verdadero” (el evento ocurre), o bien un valor de “falso” (el evento no ocurre). Evento Intermedio. Falla que describe la señal de salida de una compuerta lógica. Tabla H.4.4-1 Símbolos de eventos utilizados en la construcción de árboles de fallas Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 128 de 167 Compuerta “OR”. El evento de salida ocurre si uno o más de los eventos de entrada ocurren. Compuerta “AND”. El evento de salida ocurre si todos los eventos de entrada ocurren. Compuerta “INHIBIT”. Existe sólo un evento de entrada, pero para que el evento de salida ocurra debe cumplirse una condición específica. Compuerta “EXCLUSIVE OR”. El evento de salida ocurre sólo uno de los eventos de entrada ocurre (no ambos). Compuerta “PRIORITY AND”. El evento de salida ocurre sólo si los eventos de entrada ocurren con una secuencia específica OUT Símbolos de TRANSFERENCIA. Son usados como una forma conveniente de evitar duplicados. IN Tabla H.4.4-2. Símbolos de compuertas utilizados en la construcción de árboles de fallas Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 129 de 167 En esta etapa se siguen los siguientes lineamientos: • • • • • • Se construye para un modo de falla específico del sistema (evento tope seleccionado). Los mecanismos de fallas no son exhaustivos. Sólo incluyen las fallas creíbles, determinadas por el evento tope y el juicio de los analistas. La construcción se realiza mediante el análisis de las causas inmediatas que ocasionan el evento tope. Los eventos intermedios se unen mediante el uso de compuertas lógicas (Tabla H.4.4-2). Los eventos básicos y no desarrollados (Tabla H.4.4-1) determinan el nivel de resolución del árbol de fallas. Las modificaciones del árbol dependen de las revisiones que se realicen conforme avanza la construcción del mismo. Pueden agregarse o borrarse eventos, o bien, modificarse la estructura del árbol (ramas del árbol). En esta etapa se recomienda iniciar la documentación de eventos básicos, para la cual debe hacerse uso del formato ilustrado en la Tabla H.4.4-.3. Esta información incluye: Formato de documentación de eventos básicos Árbol de Fallas de (Nombre del Evento Tope) Nombre Descripción Tipo Explicación Probabilidad Bases para asignación de probabilidad Tabla H.4.4-3. Formato de documentación de eventos básicos Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 130 de 167 Nombre. En este campo se escribe el nombre del evento asignado durante la construcción del árbol (descriptor corto del evento básico). Descripción. Texto del evento tal cual se presenta en el árbol de fallas, incluyendo abreviaciones. En la construcción del árbol se permite abreviación de palabras pero no de ideas. Tipo. Especifica la clase de evento: • Probabilístico (eventos que involucran la falla de equipo o componentes). 9 Humano (eventos que involucran las acciones del personal de la instalación). 9 Externo o fenomenológico (eventos que involucran condiciones que pueden provocar una falla en el sistema). Explicación. Describe de manera detallada las condiciones que se tomaron como base para la ocurrencia del evento. Si existe una abreviación en la descripción del evento, se debe escribir el significado completo del texto. Probabilidad. Este campo contiene la probabilidad de falla del evento básico. Bases para la asignación de probabilidad. Este campo describe los criterios empleados para la asignación de la probabilidad del evento básico. Detalla las referencias utilizadas para obtener los datos y tasas de fallas, métodos y modelos matemáticos aplicados para evaluar la probabilidad de ocurrencia. H.4.5 Evaluación cualitativa del Árbol de Fallas El objetivo de esta etapa es obtener los Conjuntos Mínimos de Corte (CMC) del árbol desarrollado y hacer una valoración de los eventos más importantes en términos cualitativos. Una vez construido el árbol puede evaluarse para obtener resultados cualitativos y cuantitativos. Para obtener esos resultados se requiere aplicar reglas del Álgebra Booleana y algunos conceptos de Probabilidad [1,2,3]. Para reducir considerablemente el tiempo empleado para realizar los cálculos de forma manual, puede hacerse uso de alguna herramienta computacional, por ejemplo el código CAFTA for Windows [4]. En la evaluación cualitativa se obtienen los Conjuntos Mínimos de Corte (CMC) y el orden de los mismos. Los CMC son combinaciones mínimas de eventos básicos que provocan la ocurrencia del evento tope. Se pueden considerar como los modos de ocurrencia del evento tope. El orden de un CMC está determinado por el número de eventos básicos que incluye, de esta forma, un CMC de orden dos (o segundo orden) está integrado por dos eventos básicos; un CMC de orden tres (o tercer orden) está integrado por tres eventos básicos, y así sucesivamente. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 131 de 167 La importancia cualitativa de un CMC es determinada por el orden, es decir, el número de eventos básicos incluidos en el CMC. Estos CMC son relevantes, puesto que se considera más probable que ocurra el CMC de menor orden. La evaluación cualitativa permite verificar de manera sistemática la consistencia del modelo, ya que es un excelente mecanismo de revisión entre los analistas y personal con experiencia operacional. H.4.6 Evaluación cuantitativa del árbol de fallas. El objetivo de esta etapa es obtener la probabilidad de ocurrencia del evento tope, así como de cada uno de los CMC del árbol desarrollado e identificar los eventos de mayor contribución en la ocurrencia del evento tope. Una vez obtenidos los CMC, la evaluación cuantitativa se desarrolla de una manera secuencial, primero se asignan las probabilidades de falla de los eventos básicos, luego se calcula la probabilidad de falla de los CMC (el cálculo se obtiene multiplicando las probabilidades de los eventos básicos incluidos en el CMC); y por último se obtiene la probabilidad de falla del evento tope (el resultado aproximado se obtiene con la sumatoria de las probabilidades de los CMC). Para llevar a cabo esta cuantificación es necesario obtener las tasas de fallas para la asignación de probabilidades de los eventos básicos. La información requerida es obtenida de diversas fuentes: • • • • • • Bibliografía especializada (bases de datos genéricas y específicas). Tablas de programas de mantenimiento. Registros de operación del sistema. Datos proporcionados por el fabricante. Resultados del Análisis de Consecuencias. Análisis de confiabilidad humana. Alguna de la bibliografía especializada en donde se encuentran datos de falla de componentes son las siguientes: • CCPS/AICHE, “Guidelines for process equipment reliability data”, 1989 • IEEE, “Guide to the Collection and Presentation of Electrical, Sensing Component, and Mechanical Equipment Reliability Data for NPG stations”, IEEE std 500-1984 • OREDA, “Offshore Reliability Data”, SINTEF, 4th Edition, 2002 • IAEA “Survey of Ranges of Component Reliability Data for Use in PSA”, IAEA-TECDOC-508,1998 Para calcular la probabilidad de falla de un componente es necesario conocer su modo de operación (continua o por demanda), si el componente es reparable, si su funcionamiento es monitoreado, si cuenta con un programa de mantenimiento y la frecuencia del mismo. Estos datos determinan el modelo que se empleará para calcular la probabilidad de falla del componente. En la Tabla H.6-1 se encuentra una tabla con los modelos matemáticos que se utilizan para calcular la probabilidad de falla de equipos. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 132 de 167 Tipo de componente Datos Fórmula - Operación continua (Modelo λ) * No reparable * Reparable con vigilancia (monitoreo) * Reparable con pruebas periódicas - Operación por demanda (Modelo ρ) λ Q = 1 – e -λt ≅ λt, λt < 0.1 λ , TD Q= λ,T, Q= ρ, n(t) Q = 1- (1 - ρ) n(t) ≅ n(t) ρ , n(t)ρ<0.1 TR λTD 1+ λT ≅ λTD, λTD< 0.1 + λTR ≅ , TR< 0.1T λT Tabla H.4.6-1. Modelos empleados para el cálculo de la probabilidad de falla de un componente Donde: λ = Tasa de falla del componente por hora (aplicable en operación o en reserva) TD = Tiempo promedio de reparación por falla. T = Tiempo entre pruebas. TR = Tiempo requerido para llevar a cabo la prueba. ρ = Tasa de falla del componente por demanda. n(t) = Número esperado de demandas del componente por hora. Para asignar el valor de probabilidad a eventos ocasionados por error humano, se sugiere emplear métodos para evaluación de la confiabilidad humana, tal como el TESEO [5] o ASEP [6], o bien, utilizarse datos genéricos (Ver Referencia: [7], pág. 14/09, Tabla 14.15; y [5], pág. 297, Tabla 6.3). Después de asignar las probabilidades de los eventos básicos (se debe hacer uso del formato de la Tabla H.4.4-.3 para su documentación) se procede a calcular la probabilidad de ocurrencia del evento tope y se analizan los CMC que tienen una mayor contribución a la ocurrencia de dicho evento. Cuando el árbol de fallas posee un número muy extenso de CMC se requiere definir un criterio de corte tanto para el análisis cualitativo y cuantitativo. Esto es con el objeto de facilitar la identificación de los eventos de mayor importancia para la ocurrencia del evento tope y reducir el tiempo de análisis [1,2,3]. Este criterio de corte puede ser definido por el orden de los CMC, o bien, puede ser determinado por un valor de corte de acuerdo a la probabilidad de ocurrencia de los CMC. El analista es responsable de determinar estos valores de corte. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 133 de 167 H.4.7 Análisis de Sensibilidad. El objetivo de esta etapa es evaluar la probabilidad de ocurrencia del evento tope, dada la incorporación de recomendaciones tendientes a reducir la probabilidad de falla del sistema. Cuando el alcance del proyecto así lo contemple, esta actividad es desarrollada. Una vez realizados las evaluaciones cualitativas y cuantitativas del árbol de fallas desarrollado en el análisis, se identifican los eventos básicos que tienen mayor relevancia en la ocurrencia del evento tope. De acuerdo con esto, se proponen acciones correctivas o recomendaciones tendientes a disminuir la probabilidad de ocurrencia de estos eventos básicos, y por consiguiente, la reducción en la probabilidad del evento tope. En esta etapa se evalúa la aplicación de las recomendaciones en el árbol de fallas mediante la incorporación de las modificaciones pertinentes: • Se modifican las probabilidades de ocurrencia para los eventos básicos en que se han aplicado las recomendaciones. • Se modifica la estructura del árbol de fallas (se agregan ramas al árbol). Con estas modificaciones se obtiene el análisis de la proporción de la reducción de la probabilidad de ocurrencia de este evento tope y las conclusiones finales del análisis. H.4.8 Documentación. La documentación de los resultados obtenidos en este análisis, de acuerdo con el alcance del proyecto, debe incluir: • • • • • • Las suposiciones hechas para desarrollar el(los) árbol(es). El(los) árbol(es) de fallas desarrollado(s). La lista de los CMC obtenidos en las evaluaciones. La documentación de eventos básicos del árbol de fallas. Los resultados obtenidos del análisis de sensibilidad. Un listado con las recomendaciones generadas de este análisis. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 134 de 167 H.5 Ejemplo de Aplicación del AAF Se cuenta con un sistema que suministra agua a través de la línea primaria hacia la descarga de la Bomba D (Ver Figura H.5-1). Se cuenta con una línea secundaria de respaldo de suministro de agua. La función del sistema es proveer ininterrumpidamente agua al sistema de seguridad por tres horas. (Normalmente cerrada) LINEA SECUNDARIA TANQUE A VALVULA MANUAL A1 BOMBA D MEDIDOR DE FLUJO (Normalmente abierta) TANQUE B F LINEA PRIMARIA VALVULA MANUAL B1 Figura H.5-1. Sistema de suministro de agua A continuación se presenta el árbol de fallas (Ver Figura H.5-2) construido para el evento tope: “Falla a mantener el flujo de agua por tres horas”. En esa figura se presentan los datos de falla que han sido utilizados para cuantificar los eventos básicos. El cálculo de la probabilidad del evento tope se realiza por tres métodos: • • • Por compuertas Con aproximación de la compuerta OR (sumatoria) Por Conjuntos Mínimos de Corte (CMC) GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 135 de 167 ** La asignación de probabilidad de estos eventos se hace con técnicas de análisis de Confiabilidad Humana 8.76E-04 λt,t=3h 1.08E-02 n(t) n(t) ρ λ = 2.92E-04/h ρ = 1.08E-02 /d 4.31E-02 λt 3.28E-04 λ T/2 3.28E-04 λ T/2 t = 5 años λ = 9.85E-07/h T = 6 meses λ = 1.52E-07/h T = 6 meses λ = 1.52E-07/h 3.0E-05 ** 4.78E-04 λ TD / (1+ λ TD) 3.0E-02 TD = 16 h λ = 3E-04/h ** Figura H.5-2. Árbol de Fallas para el sistema de suministro de agua Cálculo de la Probabilidad del evento tope por compuertas m POR = 1- π (1- Pi) i=1 k PAND = π Pi i=1 P(G4) = 1- (1-P(TB))(1-P(B1H))(1-P(B1C)) = 1- (1-4.31E-02) (1- 3.0E-05) (1-3.28E-04) = 4.34E-02 P(G8) = 1- (1-P(FF))(1-P(A1H)) = 3.046E-02 P(G7) = 1- (1-P(G8))(1-P(A1C))(1-P(TA)) = 7.25E-02 P(G2) = (P(G4)) (P(G7)) = 3.15E-03 P(G1) = 1- (1-P(BA))(1-P(BO))(1-P(G2)) P(G1) P(G1) = 1.478E1.478E-02 4.31E-02 λt t = 5 años λ = 9.85E-07/h GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 136 de 167 Cálculo de la Probabilidad del evento tope con aproximaciones de la compuerta OR m P OR = Σ P i i=1 k PAND = π Pi i=1 P(G4) = P(TB) + P(B1H) + P(B1C) = 4.31E-02 + 3.0E-05 + 3.28E-04 = 4.3458E-02 P(G8) = P(FF) + P(A1H) = 3.0478E-02 P(G7) = P(G8) + P(A1C) + P(TA) = 7.3906E-02 P(G2) = P(G4) * P(G7) = 3.2118E-03 P(G1) = P(BA) + P(BO) + P(G2) P(G1) P(G1) = 1.4887E1.4887E-02 Cálculo de la Probabilidad del evento tope por CMC w PCMCi = π Pij j=1 PTOPE ≤ 1- π (1- PCMCi) CMC Prob. CMC Prob. (1-PCMC) BA TA A1H B0 FF A1C B1C A1H B1C B1H A1H B1H A1C A1C 1.08E-02 1.86E-03 1.29E-03 8.76E-04 2.06E-04 1.41E-05 1.41E-05 9.84E-06 1.57E-06 1.29E-06 9.00E-07 1.43E-07 1.08E-07 9.84E-09 0.9892 0.99814 0.99871 0.999124 0.999794 0.9999859 0.9999859 0.99999016 0.99999843 0.99999871 0.9999991 0.999999857 0.999999892 0.99999999016 TB TB TB TB TA B1C FF TA B1H FF B1C B1H P(G1) = 1- 0.984978 P(G1) P(G1) =1.50E=1.50E-02 Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 137 de 167 De acuerdo con el sistema y su respectivo árbol de fallas del ejemplo mostrado en el análisis cuantitativo se desarrolló el análisis de sensibilidad. Dado el análisis cuantitativo se identifican los eventos de mayor relevancia. Los eventos que tienen una contribución importante a la probabilidad del evento tope se han señalado en el recuadro en amarillo siguiente: CMC Prob. CMC Prob. (1-PCMC) BA TA A1H B0 FF A1C B1C A1H B1C B1H A1H B1H A1C A1C 1.08E-02 1.86E-03 1.29E-03 8.76E-04 2.06E-04 1.41E-05 1.41E-05 9.84E-06 1.57E-06 1.29E-06 9.00E-07 1.43E-07 1.08E-07 9.84E-09 0.9892 0.99814 0.99871 0.999124 0.999794 0.9999859 0.9999859 0.99999016 0.99999843 0.99999871 0.9999991 0.999999857 0.999999892 0.99999999016 TB TB TB TB TA B1C FF TA B1H FF B1C B1H P(G1) = 1- 0.984978 P(G1) P(G1)B =1.50E=1.50E-02 Para el evento BA (Bomba D falla a arrancar) se recomienda instalar otra bomba de relevo (R) que deberá actuar cuando falle la bomba D. Así el sistema cambiaría de la siguiente forma que se ilustra en la Figura H.5-3: F Figura H.5-3. Modificación del sistema de suministro de agua Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 138 de 167 Dado que hay un cambio en la configuración del sistema, se requiere modificar la estructura del árbol de fallas para realizar el análisis de sensibilidad. El nuevo árbol de fallas, con la recomendación implantada, se presenta en la Figura H.5-4. Esta rama permanece igual que en el caso base. Figura H.5-4. Árbol de fallas modificado del sistema de suministro de agua Realizando la cuantificación del árbol se obtiene: P(G1)R1 =3.53E-03 Para los eventos TA y TB (Ruptura en el tanque de almacenamiento de agua A, B) se recomienda disminuir el tiempo entre mantenimiento de los tanques (operación continua) de 5 años a 3 años. Esto no afecta la estructura del árbol del sistema base, sólo es necesario cambiar las probabilidades de los eventos básicos TA y TB. TAB = TBB = λ t = 9.85E-07/h * 5 años = 4.31E-02 TAR2 = TBR2 = λ t = 9.85E-07/h * 3 años = 2.59E-02 Realizando la cuantificación del árbol se obtiene: P(G1)R2 =1.32E-02 De esta forma se determina cuánto se reduce la probabilidad al implantar cada recomendación. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 139 de 167 Prob. Caso Base Prob. Caso Factor de sensib. red. % de red. RECOMENDACIÓN Caso • Instalar otra bomba de reserva (R) a falla de la bomba D. R1 1.50E-2 3.53E-3 4.249 • Disminuir R2 1.50E-2 1.32E-2 1.136 12.0 • Ambas recomendaciones (R1 y R1 y R2 1.50E-2 1.73E-3 8.670 88.4 el tiempo entre mantenimiento del tanque de 5 años a 3 años. R2) 76.4 Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 140 de 167 ANEXO I Análisis de Consecuencias (AC) Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 141 de 167 I.1 Alcance Proporcionar una guía a los analistas que requieran desarrollar un Análisis de Consecuencias de escenarios de riesgo por fugas o derrames de sustancias peligrosas, para homologar la aplicación de criterios en su desarrollo. I.2 Referencias [1] [2] [3] [4] [5] [6] [7] Guidelines for Consequence Analysis of Chemical Releases, CCPS, AICHE, 1999. Guidelines for Chemical Process Quantitative Risk analysis, CCPS, AICHE, 1989. Lees, F.P., Loss Prevention in the process industries, 2nd., ed., 1996. NIOSH Pocket Guide to Chemical Hazards, Department of Health and Human Services, September 2007, DHHS (NIOSH) 2005-149. Criterios técnicos para simular escenarios de riesgo por fugas y derrames de sustancias peligrosas, en instalaciones de Petróleos Mexicanos, vigente. Guía para la presentación del estudio de riesgo ambiental, ANÁLISIS DETALLADO DE RIESGO, niveles 1, 2 y 3, SEMARNAT, noviembre 2002. NOM010 STPS1999, Condiciones de seguridad e higiene en los centros de trabajo donde se manejen, transporten, procesen o almacenen sustancias químicas capaces de generar contaminación en el medio ambiente laboral I.3 Principios de la Metodología Se entiende por análisis de consecuencias la evaluación cuantitativa de la evolución espacial y temporal de las variables físicas representativas de los fenómenos peligrosos en los que intervienen sustancias peligrosas, y sus posibles efectos sobre las personas, el medio ambiente y los bienes, con el fin de estimar la naturaleza y magnitud del daño. El Análisis de Consecuencias (AC) de incendios, explosiones y nubes tóxicas es una metodología de Análisis de Riesgos que permite estimar la medida de los efectos esperados de la ocurrencia de un evento potencialmente peligroso. Mediante el AC permite estimar los posibles daños debido a la pérdida de control sobre sustancias peligrosas. Los diversos tipos de accidentes graves a considerar en las instalaciones en las que haya sustancias peligrosas, pueden producir determinados fenómenos peligrosos para las personas, el medio ambiente y los bienes materiales: Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental • • • GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 142 de 167 Fenómenos de tipo mecánico: ondas de presión y proyectiles Fenómenos de tipo térmico: radiación térmica Fenómenos de tipo químico: fugas o derrames incontrolados de sustancias tóxicas o contaminantes. El procedimiento para realizar un análisis de consecuencias se ilustra en la Figura I.3-1. Selección y especificación de escenarios de accidente • Obtención de lista de escenarios para analizar. • Llenado de formatos para especificar y documentar los escenarios de accidente. Determinación del término fuente (Modelos para liberación de sustancias) • Determinación de la masa liberada • Determinación del flujo de liberación y de la fase de liberación. Determinación de la dispersión del material (Modelos de dispersión del material) • Obtención de la longitud y área de las zonas de riesgo y amortiguamiento por toxicidad. • Obtención de la longitud y área de la nube inflamable hasta la concentración del LFL y 0.5 LFL. Determinación de intensidad de radiación y onda de presión (Modelos de incendios o explosiones) • Obtención de la longitud y área de las zonas de riesgo y amortiguamiento por intensidad de radiación térmica. • Obtención de la longitud y área de las zonas de riesgo y amortiguamiento por onda de presión. Cuantificación de posibles daños (Modelos de consecuencias) • Estimación de posibles daños a personas, ambiente y negocio a partir de las longitudes áreas perfiles de concentración de intensidad de radiación y onda de presión. Documentación del análisis de consecuencias • Emisión de recomendaciones • Escritura del informe final Figura I.3-1 Procedimiento para realizar un análisis de consecuencias Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 143 de 167 I.4 Procedimiento para realizar un análisis de consecuencias I.4.1 Selección y especificación de escenarios de riesgo El responsable técnico de realizar los análisis de consecuencias, conjuntamente con el líder del Análisis de Riesgos, y en acuerdo con el responsable técnico - operativo por parte de la instalación, definen una lista de escenarios de accidente. Esa lista puede provenir de: • • • • La aplicación de metodologías para identificación de peligros y riesgos, como HazOp, FMEA, ¿Que pasa si?, lista de verificación (checklist). La aplicación de metodologías para realizar análisis cuantitativo de riesgos, como el análisis de árboles de eventos y de fallas. La aplicación de definiciones tal como Peor Caso Necesidades particulares surgidas de otros estudios, peticiones especiales o la inquietud de conocer las posibles afectaciones derivadas de un escenario de riesgo. El responsable técnico de realizarlos análisis de consecuencias, conjuntamente con personal de apoyo que puede provenir del grupo multidisciplinario que realiza un análisis de riesgos, especifica cada escenario de riesgo en la lista. Esa lista de escenarios debe contener (Figura I.4.1-1): • • • Una clave única para el escenario Un nombre para cada escenario Una referencia al origen del escenario (número de desviación del HazOp, número de mecanismo de falla del FMEA, identificador de la secuencia del árbol de eventos, etc.) Especificar el escenario significa recabar y documentar la información necesaria para realizar las simulaciones o cálculos requeridos para realizar el análisis de consecuencias. La especificación de los escenarios de accidente se hace empleando el formato de la Figura I.4.1-1. La selección de los escenarios de accidente depende del objetivo del análisis de consecuencias. Un análisis de consecuencias se puede realizar para uno de varios propósitos entre los que se encuentran los requeridos por la normatividad, los empleados por otros estudios como los relacionados con la seguridad física o para diseñar los planes de emergencia externos e internos. Para esos casos, la aplicación de la definición de “peor caso”, sección 5.2, conjuntamente con la definición de caso alterno (dentro de los cuales pueden encontrarse los casos considerados como más probables), podría requerirse. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 144 de 167 Nombre del estudio que origina el AC: Actualización 2008 del Análisis de Riesgos de Proceso de la central de compresión “El asoleadero II”. Número del proyecto o actividad bajo el cual se realiza el AC: 09845 Nombre del organismo o centro de trabajo, planta o área de trabajo: Central de compresión “El asoleadero II” Propósito del análisis de consecuencias: (Describa el motivo que origina el AC y el uso que se le dará a los resultados, ej.. como parte de un Análisis de Riesgos de Proceso, Análisis de Riesgo de Seguridad Física, entre otros) Datos de los escenarios: Clave Nombre Ref. de Origen Fuga de gas natural amargo de filtro separador FA-4562B Desviación 4.3.2 del ARP08_AsoII01 por un orificio equivalente a 2” Ø HazOp Figura I.4.1-1. Formato para documentar la lista de escenarios para realizar Análisis de Consecuencias Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 145 de 167 I. Datos del escenario. Peor Caso Clave: Nombre: Fuga de gas natural amargo de filtro separador FA-4562B ARP08_AsoII01 por un orificio equivalente a 2” de diámetro Caso alterno Descripción: Fuga por brida de alimentación de gas al filtro Fecha: Elaboró: SS separador FA-4562B por un orificio equivalente a 2” Ø 11/dic/2008 Nombre y versión Determinar el perfil de intensidad de radiación térmica para evaluar la del simulador posibilidad de éxito o falla de las acciones indicadas en el paso 3.4 ObjetivoÆ empleado del procedimiento de emergencia de la instalación. II. Sustancias involucradas. Nombre de la sustancia: Composición: % molar , % másico , % volumétrico Compuesto % Tox. Inf. IDLH STEL TWA III. Condiciones de confinamiento y características de liberación. Presión: Temperatura: Estado: Vapor , líquido abajo de su p.e. , líquido arriba de su p.e. . Fase del material liberado: Vapor , líquido , vapor y líquido Contenedor: Cilindro , esfera , Tipo de fuga: Falla catastrófica , válvula de alivio , orificio en cuerpo tubería , otro : o tubería , cizalla de tubería, otro : Alto del recipiente: Diámetro o ancho del recipiente: Largo del recipiente: Área del orificio: Coef. de pérdida del orificio: Elevación del punto de liberación: Dirección de la fuga: Vertical , horizontal , hacia abajo , golpea contra , inclinada (ángulo___) Tiempo estimado de liberación: Masa estimada de liberación: IV. Condiciones atmosféricas y del entorno. Pares (velocidad de viento, estabilidad atmosférica): Temperatura atmosférica Temperatura del suelo (si distinta a la atmosférica) Humedad atmosférica Tipo de suelo (rugosidad empleada) Direcciones dominantes del viento V. Lugares de particular interés (Descripción y distancia del punto de fuga). Sitio 1 Sitio 2 Sitio 3 Sitio 4 VI. Estados finales para análisis. Dardo, antorcha o jet de fuego , Charco de fuego , incendio de nube , explosión de nube , BLEVE / bola de fuego . Nube tóxica VII. Memoria de cálculo y Suposiciones. Utilice este espacio si requiere realizar la documentación detallada o memoria de cálculo de algunos parámetros que juzgue necesarios, típicamente el tiempo de liberación o la masa liberada deben ser documentados a extenso. Documente las suposiciones que realizó al especificar, simular o valorar las consecuencias del escenario. VIII. Resumen de resultados (Distancias y afectaciones) Alcance de la radiación Alcance por toxicidad1 del compuesto: Alcance de la sobre-presión (kg/cm2) 2 térmica (kw/m ) IDLH STEL TWA 1.4 5 0.035 (0.5 psi) 0.07 (1 psi) Alcance por inflamabilidad de la mezcla o compuesto: ½LFL ___ m LFL ____ m Evaluación de posibles pérdidas: (Describa la cantidad de personas y equipos que pueden ser afectados, indique el valor de la concentración (ppm), sobre presión (psi), o radiación térmica (kW/m2) con la que serían afectados y la forma en la que se cree pueden ser afectados (valor Probit o efecto esperado de acuerdo a tablas). No omita incluir los sitios de interés declarados anteriormente. Haga referencia a ilustraciones, descripciones anexas y tablas como lo considere apropiado). Recomendaciones: Emita las recomendaciones pertinentes asignándole un número identificador único a cada una de ellas. Figura I.4.1-2. Ejemplo de formato para especificación de escenario para análisis de consecuencias Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 146 de 167 I.4.2 Determinación del término fuente El objetivo de esta actividad es determinar la masa liberada, el flujo y la fase de liberación. Estos parámetros son muy importantes pues determinan la cantidad de material toxico que se dispersa y combustible que explota o se incendia, que son fundamentales para calcular la concentración, intensidad de radiación y onda de presión a partir de los cuales se determinan las zonas de riesgo y amortiguamiento y se evalúan los posibles daños. Para el Peor Caso, la simulación debe contemplar los aspectos que se muestran en la Tabla I.4.2-1 Tabla I.4.2-1 Definición de Peor Caso para especificar un escenario de riesgo Peor Caso. Corresponde a la liberación accidental del mayor inventario del material o sustancia contenida en un recipiente, línea de proceso o ducto, la cual resulta en la mayor distancia hasta alcanzar los límites por toxicidad, sobre-presión o radiación térmica, de acuerdo a los criterios para definir las zonas de riesgo y amortiguamiento. Para tal efecto se deben tomar en consideración incluso las condiciones especiales de almacenamiento, ej. almacenamiento por mal tiempo, en las que los inventarios pueden ser inusualmente altos. De acuerdo al tipo de sustancia, se deben aplicar los siguientes criterios para especificar el escenario Tipo de sustancia Criterios a considerar para especificar el escenario Tóxica Gases: Se debe considerar que la liberación se realiza durante un periodo de 10 minutos. Inflamable / explosiva Líquidos: Se debe considerar que la cantidad total es derramada al instante. Para líquidos que se fugan de tuberías se debe suponer que forman un charco. Se deben tomar en cuenta medidas de mitigación pasivas, como lo son diques de contención. Rotura catastrófica del recipiente o de la línea de proceso o ducto (si se emplea el modelo TNT se debe usar una eficiencia de conversión de energía del 10%). En el caso de la falla catastrófica de un recipiente, la totalidad de la masa se incorpora con gran rapidez, es una liberación puntual. En el caso de una fuga paulatina, los principios de la mecánica de fluidos y de la termodinámica nos proporcionan las herramientas necesarias para conocer la masa liberada y el flujo de material que escapa. En este caso, para determinar el término fuente se emplean modelos matemáticos que se encuentran comúnmente en los simuladores para realizar análisis de consecuencias. En la sección III, condiciones de confinamiento, del formato para especificar un escenario de riesgo, Figura I.3 se encuentran los parámetros que se requieren para los modelos de la mecánica de fluidos. De esos parámetros, existen algunos que tienen cierto grado de incertidumbre y estos son: • • • Área del orificio. Coeficiente de pérdida del orificio. Tiempo de liberación y masa liberada. GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 147 de 167 Área del orificio. El área y forma del orificio es uno de los parámetros que tienen gran incertidumbre. Por lo general se supone un orificio circular y lo simuladores cuentan con modelos de fuga para orificios circulares. En ocasiones se simulan eventos ya ocurridos con orificios de geometría distinta a la circular. Para el caso de orificios con geometrías distintas a la circular se debe calcular un área equivalente a un círculo a partir del área del orificio considerado. Este cálculo debe ser documentado en la sección correspondiente del formato de la Figura I.3. La gran mayoría de los escenarios de riesgo a analizar no han ocurrido por lo que existe incertidumbre sobre el valor del área del orificio. Para seccionar el valor del área del orificio ver Tabla I.4.2-2. Tabla I.4.2-2 Diámetro equivalente de la fuga Líneas de proceso: ¾” ≤ DN ≤ 2” Línea de proceso: 2” < DN ≤ 4” Línea de proceso o ductos de transporte: 6” ≤ DN Para el caso alterno: Para el caso más probable: Bridas DEF= 1.00 veces del diámetro nominal (DN) de la línea de proceso. DEF= 0.30 veces del diámetro nominal (DN) de la línea de proceso. DEF= 0.20 veces del diámetro nominal (DN) de la línea de proceso. Según el diámetro de la línea de proceso, aplican los criterios anteriores [1.0*(DN), 0.3*(DN) y 0.2*(DN)]. Sellos mecánicos en Para todos los tamaños de flechas, equipo rotatorio de DEF= Calcularlo con el 100% del área anular. proceso Sellos o Para todos los tamaños de vástagos, empaquetaduras en DEF= Calculatorio con el 100% del área anular. válvulas de proceso El DEF en el cuerpo de un recipiente, será aquel que sea determinado por el Grupo Multidisciplinario de Análisis y Evaluación de Riesgos. Líneas de proceso: DEF= 0.20 veces del diámetro nominal (DN) de la línea de ¾” ≤ DN ≤ 4” proceso. Línea de proceso: DEF= 0.6” [por corrosión, pérdida de material, golpe o falla en 2” < DN ≤ 4” soldadura] DEF= 0.75” para DN de 6” a 14” Línea de proceso o DEF= 1.25” para DN de 16” a 24” ductos de transporte: 6” DEF= 2.0” para DN mayores de 30” ≤ DN [por corrosión, pérdida de material, golpe o falla en soldadura] Aplican los mismos criterios de las líneas de proceso para los Bridas casos más probables. Sellos mecánicos en el equipo de proceso rotatorio. DEF= Calcularlo con el 40% del área anular que resulte. Empaquetaduras en válvulas de proceso El DEF en el cuerpo de un recipiente, será aquel que sea determinado por el Grupo Multidisciplinario de Análisis y Evaluación de Riesgos Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Página 148 de 167 Coeficiente de pérdida del orificio. Un enfoque sugerido por el CCPS del AICHE es: • • • • Para descargas con Número de Rynolds, Re > 30,000 use Cd = 0.61 (para estas condiciones la velocidad del fluido es independiente del tamaño del orificio) Para orificios redondeados y suaves Cd ~ 1 Para secciones de tubería cortas unidas a la vasija, l/d < 3, Cd = 0.81 Para casos donde Cd es desconocido utilice el valor 1 para ser conservador. Tiempo de liberación y masa liberada. En el caso de una liberación paulatina, la masa total liberada dependerá del tiempo en el cual termina la fuga, ya sea porque el inventario se termina o porque los dispositivos pasivos, activos o acciones de mitigación aislaron la fuga. Este parámetro debe ser cuidadosamente calculado y documentado en la sección correspondiente del formato de la Figura I.4.2-1 Una guía para el cálculo se muestra en la Figura I.4.2-1. Estimar tiempo de liberación de todo el inventario Ti Estimar tiempo de aislamiento de fuga o derrame TA TA= T1 + T2 T1= Tiempo requerido para identificar la condición anormal. T2= Tiempo transcurrido al efectuar acciones correctivas. Tiempo de liberación TL = TA S I Ti > TA N O Tiempo de liberación TL= Ti Figura I.4.2-1. Formato para especificación de escenario para análisis de consecuencias El tiempo de liberación del total del material se puede calcular empleando los modelos de los simuladores para realizar análisis de consecuencias o empleando otros simuladores o cálculos, siempre y cuando sean suficientemente detallados para el propósito. Un parámetro importante para el cálculo es el flujo de liberación y pueden hacerse dos suposiciones. • • El flujo másico de fuga inicial (cuando la energía que impulsa al fluido a salir del recipiente, típicamente la presión de confinamiento o columna del fluido, no cambian significativamente o para hacer un cálculo conservador). Un flujo másico de la fuga variable. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 149 de 167 Si se considera que la fuga es aislada, para el cálculo del tiempo de aislamiento tome en cuenta lo siguiente (puede haber otros factores a tomar en cuenta dependiendo de la situación): • • - Tiempo para la detección de la fuga (considere los medios por los que identificaría la fuga): Detectores de mezcla inflamable y toxicidad Variables de proceso Actividades rutinarias de personal operativo Disponibilidad de medios de alerta o comunicación Tiempo para el control de la fuga (Considere las acciones de respuesta a emergencias): Dispositivos remotos y automatizados para aislar la fuga y programa de mantenimiento aplicado Existencia de procedimientos de respuesta a emergencias Existencia de grupos de respuesta a emergencias Realización de simulacros Dificultad para acceder al sitio y tomar acciones de control Los vehículos y equipo en general están en buenas condiciones I.4.3 Determinación de la dispersión del material Las sustancias liberadas pueden ser líquidos, gases o mezclas bifásicas. En el caso de los líquidos se expanden formando acumulaciones que se les llama charcos. La expansión de los líquidos puede ser limitada por diques, muros o singularidades en el terreno, o puede ser no limitada. En el caso de los charcos limitados, el área superficial del charco y su profundidad viene dada por la geometría de las estructuras o singularidades que los contienen. A partir de esa geometría se puede estimar la tasa de evaporación, en caso de que aplique. En el caso de las fugas no limitadas estas evolucionan hasta formar un charco cuyas dimensiones máximas en el tiempo dependen del equilibrio entre la absorción y tipo de suelo, la evaporación del líquido y el flujo de la fuga. A partir de la evaporación del líquido se puede calcular la forma y tamaño de una nube tóxica o inflamable y aplicar los modelos de dispersión de gases. Para el caso de las sustancias inflamables a partir de la geometría del charco, y de otros parámetros, se calculan, con modelos de incendios, las intensidades de radiación térmica. Todos los escenarios de riesgos anteriormente mencionados son modelados en simuladores y el usuario sólo provee el valor de los parámetros requeridos, que se documentan en las secciones correspondientes del formato para la especificación de escenarios de accidente de la Figura I.4.2-1. En el caso de las mezclas bifásicas, una parte se comportará como gas y la otra como líquido, dependiendo de las características del líquido se podrá transformar a la fase de vapor y nutrir la formación de la nube originada por la fracción gaseosa. Cuando se produce una emisión de un gas o vapor a la atmósfera, ya sea procedente de una fuga de gas propiamente dicha o como consecuencia de la evaporación de un charco de líquido, el gas en contacto con la atmósfera sufre una dispersión por dilución del gas en la atmósfera y se extiende en ella arrastrado por el viento y las condiciones meteorológicas. Otra característica importante es la duración del escape, que puede dar lugar a escapes instantáneos, formando una bocanada (puf), escapes continuos, formando un penacho (plume), escapes variables con el tiempo. GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 150 de 167 Los modelos tratan de calcular las concentraciones de gases que se encuentran a una determinada distancia del foco emisor, tanto para gases tóxicos como inflamables, así como las cantidades de gas inflamable que se encuentran entre los límites de inflamabilidad de sustancias inflamables. La dispersión de un gas puede proceder de una fuga de gas de un depósito o tubería a presión y como consecuencia de la fuga de líquido que se evapora. Esto implica dos fenómenos: • • Dispersión de chorro o tipo jet. Dispersión de la nube. Para gases inflamables el modelo de chorro se puede emplear para determinar la longitud de un dardo de fuego, si se produjese la ignición del chorro, además para la determinación de la dispersión de gas que formaría una hipotética explosión de vapor. Para gases tóxicos el modelo de chorro se puede acoplar a un modelo de dispersión de contaminantes. Un modelo gaussiano de dispersión de contaminantes permite conocer la concentración de los contaminantes en función de la localización de un punto respecto a la fuente, de la variable tiempo, condiciones meteorológicas y topografía del terreno, entre otras. Este modelo describe el comportamiento de los gases o vapores de fuerza ascensional neutra, dispersados en la dirección del viento y arrastrados a la misma velocidad, eso es lo que se denomina modelo tipo Pasquill-Guifford. Ese tipo de modelos calculan la concentración en los tres ejes espaciales (x,y,z) con una función matemática correspondiente a distribución estadística de Gauss en donde, entre otros, los parámetros empleados para calcular sus dimensiones, requiere del uso de una clase de estabilidad atmosférica conocida como Pasquill. Todos los fenómenos anteriormente mencionados son modelados en simuladores y el usuario sólo provee el valor de los parámetros requeridos, que se documentan en las secciones correspondientes del formato para la especificación de escenarios de accidente de la Figura I.4.1-2. Algunos de esos parámetros se requieren calcular o estimar y a continuación se presenta una guía para la estimación de los parámetros: • • • Estabilidad atmosférica Velocidad de viento Rugosidad del terreno Estabilidad atmosférica. Los modelos empleados para simular el complejo comportamiento de una nube de gas que se diluye en el aire requiere de la especificación de un parámetro llamado Pasquill. En la Tabla I.4.3-1 se presentan las clases de estabilidad atmosférica que se seleccionan dependiendo de las condiciones atmosféricas, incluyendo el grado de insolación, el cual se selecciona con la Tabla I.4.3-1. Rugosidad del terreno. El movimiento de una nube de contaminantes en el aire, como cualquier fluido se ve influenciado por la fricción de la superficie sobre la que se desplaza, algunos simuladores ya tienen en sus bases de datos valores de rugosidad para distintos tipos de terreno, en la Tabla I.4 se muestran algunos valores para que el usuario cuente con una referencia. Tabla I.4.3-1. Condiciones meteorológicas para la definición de clases de estabilidad Pasquill Velocidad del Radiación Solar Recibida Cobertura de Nubes Nocturna Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Página 151 de 167 viento(1) Fuerte (m/s) <2 A 2-3 A-B 3-5 B 5-6 C >6 C (1) A 10 metros de altura. Moderada Ligera A-B B B-C C-D D B C C D D Delgada <3/8 E D D D Moderada >3/8 F E D D Nublada >4/5 D D D D D Tabla I.I.4.3-2. Condiciones meteorológicas para la definición del grado de insolación Nubosidad Ángulo de elevación del sol φ > 60º Ángulo de elevación del sol φ 35º ≤ φ ≤ 60º Ángulo de elevación del sol φ 15º ≤ φ ≤ 35º Fuerte Moderada Ligera Moderada Moderada Ligera Ligera Ligera Ligera Nubes cubriendo un área menor que 4/8 del cielo o cualquier grado de nubosidad con altas y poco espesas Nubes cubriendo un área entre 5/8 y 7/8 del cielo y las nubes ocupan una altura media (entre 2100 m y 4900 m) Nubes cubriendo un área entre 5/8 y 7/8 del cielo y las nubes ocupan una altura baja (< 2100 m) Tabla I.I.4.3-3. Factores de rugosidad para distintos tipos de terreno Tipo de Superficie Factor de rugosidad Valles con pocos árboles 0.06 Tierras de cultivo 0.09 Tierras con vegetación y árboles 0.11 Área rural o industrial 0.17 Área urbana 0.33 Si el material liberado es tóxico solamente el resultado de la aplicación de los modelos de dispersión es información que permite determinar el perfil de concentraciones, el alcance máximo y el área de la nube cuyas concentraciones son mayores o iguales a los valores empleados para evaluar los posibles daños, ver sección I.4.5. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 152 de 167 En caso de no contar con información sobre las condiciones atmosféricas del sitio durante los últimos tres años, se debe usar la velocidad de 1.5 m/s y clase de estabilidad F. No existe un solo par de condiciones velocidad de viento, clase de estabilidad atmosférica (Pasquill) que describa correctamente la dispersión de una nube para todas las estaciones del año y horas del día (día / noche). Por lo anterior y en caso de contar con información meteorológica confiable, se sugiere seleccionar al menos tres pares de velocidad, clase de estabilidad atmosférica y realizar la evaluación de consecuencias empleando los resultados más desfavorables. El empleo de los valores 1.5 m/s y F favorecen la formación de nubes extensas en el plano horizontal y que para el caso de nubes inflamables en sitios donde pueden existir fuentes de ignición elevadas se sugiere investigar condiciones atmosféricas que favorezcan mayores concentraciones en la dirección vertical, para evitar omisiones importantes. I.4.4 Determinación de intensidad de radiación y onda de presión Si el material es tóxico, para evaluar las consecuencias será suficiente conocer las concentraciones de la nube tóxica, en cambio, para el material inflamable, se debe conocer la distribución de la energía liberada por el incendio o la explosión, en términos de la intensidad de radiación térmica o de sobre-presión. A partir de la fuga de un material inflamable existen distintos tipos de incendios que se pueden presentar. Si el material emerge como chorro (jet), también conocido como flujo sónico o crítico, y se encuentra con una fuente de ignición cercana, se incendia y se puede establecer un incendio tipo jet (jet fire), también llamado dardo de fuego y antorcha. Los mayores daños del dardo de fuego son la intensidad de radiación térmica. Si el material liberado, ya sea mediante una liberación de chorro o no, no se incendia de inmediato, si es liquido y no se evapora rápidamente, puede formar un charco. Si es gas o un líquido que se evapora rápidamente, se puede formar una nube. Si el charco inflamable se pone en contacto con una fuente de ignición se establece un incendio tipo charco (pool fire). Los mayores daños del dardo de fuego son la intensidad de radiación térmica. Cuando una masa de material inflamable forma una nube encuentra una fuente de ignición antes de haberse diluido por abajo de su límite inferior de inflamabilidad puede entrar en ignición. Esa ignición puede ser una deflagración, formando una onda de presión, llamándosele explosión de nube VCE (Vapor cloud explosion) o puede que sólo se origine un incendio súbito de nube de gas (flash fire). La frontera entre este tipo de situaciones no está muy clara y depende de la velocidad de combustión de la mezcla y de las características del vapor. Por lo anterior ambos fenómenos deben ser investigados. El mayor peligro de los incendios tipo flash es la radiación térmica y ese tipo de incendios no dura más allá de algunos momentos. Los modelos de los incendios tipo flash requieren del conocimiento de la radiación de la flama, que depende de la cuarta potencia de la temperatura, por lo que cualquier error en el cálculo de esa temperatura propaga la incertidumbre fuertemente en los resultados obtenidos. Por lo anterior algunos simuladores reportan para este fenómeno la extensión de la nube hasta la dilución correspondiente al límite inferior de inflamabilidad y el 50% de ese mismo límite. Para el caso de la explosión de la nube, se reporta la onda de sobre-presión. Existe la posibilidad de que la liberación del material inflamable no sea paulatina sino súbita. Al respecto, existe un caso de particular interés que es la bola de fuego que se conoce en inglés como BLEVE – (Boiling GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 153 de 167 Liquid Evaporating Vapor Explosion). La ocurrencia de este fenómeno puede provocar daño tanto por onda de presión como por intensidad de radiación térmica. En la Figura I.4.4-1 se muestra un diagrama de flujo como guía para saber los tipos de fenómeno que deben evaluarse dependiendo de las características del escenario de riesgo y que deben documentarse en la sección correspondiente del formato mostrado en la Figura I.4.1-2. Pérdida de control sobre una sustancia peligrosa Ruptura catastrófica del Fuga de líquido Fuga de gas ¿Flujo sónico? NO SI Nube NO ¿Evaporación? ¿Incendio inmediato? SI NO SI NO ¿Ignición? ¿Ignición inmediata? ¿Ignición? NO SI ¿Material tóxico? NO SI SI ¿Material tóxico? NO SI NO Dardo de fuego Incendio de nube RT Estados Finales que pueden causar daños RT Explosión de nube SI Nube tóxica OP Dispersión sin consecuencias Incendio tipo charco Charco tóxico RT Bola de fuego OP RT Acumulación de líquido RT = Radiación térmica OP = onda de presión Figura I.4.4-1 . Diagrama de flujo con el que se pueden identificar los tipos de fenómenos que deben evaluarse en el análisis de consecuencias de un escenario de riesgo Como parte de los modelos disponibles para calcular los perfiles de presión resultado de una explosión se tienen el equivalente de TNT, el TNO y el Baker extendido. El modelo TNT se basa en observaciones experimentales que indican que si se obtiene el cociente de la distancia a partir del centro de la explosión y la raíz cúbica de la masa del combustible en términos de su equivalente energético de TNT, se obtiene una “distancia reducida o escalada”. Así mismo, que los efectos de dos explosiones son los mismos sobre puntos que se encuentren a la misma distancia reducida o Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 154 de 167 escalda. Un parámetro importante en este modelo es la eficiencia de transformación de energía térmica en mecánica el cual de acuerdo con resultados experimentales puede oscilar entre el 15 y el 10%. De acuerdo con la Guía para la presentación del estudio de riesgo ambiental, , niveles 0. 1, 2 y 3, de la SEMARNAT, se debe usar el valor de 10%. Los modelos TNO y Baker extendido se basan en la premisa de que en las explosiones de vapor, la cantidad de energía liberada se limita al volumen “parcialmente confinado” de la nube (si la nube es mayor que la región confinada) o al volumen completo de la nube de vapor (si la nube es menor que el espacio de confinamiento). El modelo TNO utiliza un parámetro de “fuerza” de la explosión, de muy baja, 1, a muy alta 10. El modelo de Baker extendido emplea la velocidad de la flama en la nube, en términos de su número de Mach, para calcular la “fuerza” de la explosión. Los modelos TNO y Baker extendió exceden el alcance de la presente guía y en caso de que se quiera realizar simulaciones con este detalle de modelado se pide al lector consultar textos más avanzados. Para cada escenario de riesgo seleccionado y especificado se deben evaluar las consecuencias de todos los posibles estados finales que apliquen de acuerdo a la Figura I.4.41, y deben ser evaluados para las variables que apliquen: intensidad de radiación térmica, onda de sobepresión y concentración de sustancias tóxicas. Para el caso de las explosiones se debe emplear el valor de 10% como factor de eficiencia de conversión de energía. I.4.5 Cuantificación de posibles daños Una vez obtenida la estimación de la dispersión de los materiales, de las distribuciones de concentración y de energía, se pueden emplear dos métodos complementarios para estimar los posibles daños. • • Relaciones magnitud – efecto (Efectos directos). Dosis – respuesta y funciones Probit (Efectos probabilísticos). Las tablas magnitud – efecto permiten establecer un vínculo entre la intensidad de una variable (concentración, intensidad de radiación térmica o presión) con efectos observados o valores usados como referencia en documentos de diseño o normativos. Una ventaja de las relaciones de efecto directo es que se pueden evaluar distintos daños observados o referencias disponibles. Una desventaja es que está construida con valores discretos (ej. existe un valor específico y no siempre se puede conocer la extensión de un mismo daño con distintos valores de intensidad de la variable que los provoca). Otra desventaja es que no toma en cuenta la variación de la respuesta de los organismos vivos a una misma dosis. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 155 de 167 Para tomar en cuenta la variación de la respuesta de los organismos vivos a una misma dosis se puede emplear la metodología de Probit (unidad de probabilidad). Dosis – respuesta y funciones Probit. Es difícil evaluar de manera precisa la respuesta humana ante la exposición severa a una dosis de algo que puede causar daño y ser letal, ej. a un compuesto tóxico. Lo anterior debido a la variación de la severidad de los efectos con la intensidad de la exposición y la duración. También debido a que existe una respuesta variable entre individuos. Factores como la edad y estado de salud física afectan la respuesta. Como resultado se espera una variación de respuestas ante dosis determinadas. Lo anterior se puede modelar empleando un modelo probabilístico y el parámetro estadístico Probit, ecuaciones 1 y 2. ⎡ ⎛ Y − 5 ⎞⎤ P = 0.5 × ⎢1 + erf ⎜ ⎟ ⎥ ……..(1) ⎝ 2 ⎠⎦ ⎣ Y = A + B ⋅ ln(I ) ……..(2) Donde: Y es la unidad de probabilidad Probit. P es la probabilidad de ocurrencia de algún efecto. I es la intensidad de la causa. erf es la función error. A y B son constantes de la función para un efecto particular. Aunque algunos simuladores ya reportan el comportamiento de la ecuación 2 con la distancia, para el uso de la ecuación 2 en una hoja de cálculo puede emplear la ecuación 1b. ⎡ ⎛ Y − 5 ⎞⎤ Y −5 ⎟ ⎥ ……..(1b) P = 50 × ⎢1 + erf ⎜⎜ ⎟ Y −5 ⎢⎣ ⎝ 2 ⎠ ⎥⎦ La expresión de la unidad Probit para los casos de probabilidad de muerte exposición a material tóxico, ecuación 2a [2], muerte por intensidad de radicación térmica [2], ecuación 2b, muerte por hemorragia pulmonar por onda de presión 2c [2] y rotura de tímpano por onda de presión 2d [3]. ( Y = A + B ⋅ ln C N ⋅ t 60 ) ……..(2a) GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 156 de 167 ⎛ 43 ⎜ I ⋅t Y = −14.9 + 2.56 ⋅ ln⎜ 4 ⎜ 1x10 ⎝ ⎞ ⎟ ⎟ ……..(2b) ⎟ ⎠ Y = −77.1 + 6.91 ⋅ ln (P0 ) ……..(2c) Y = −15.9 + 1.93 ⋅ ln (P0 ) ……..(2c) Donde: Y es la unidad de probabilidad Probit. P es la probabilidad de ocurrencia de algún efecto. C es la concentración en ppm volumétricas. A, B y N son constantes que dependen de cada sustancia química. Ln es la función logaritmo natural t es el tiempo de exposición en segundos I es la intensidad de radiación térmica en W/m2. Po es la presión en Pascales manométricos Para determinar las variables A, B y N se puede consultar las referencias [2] y [3]. Adicionalmente, alguno de los simuladores comerciales, como Phast, cuentan con valores para A, B y N para varios compuestos tóxicos. Relaciones magnitud – efecto. Para intensidad de radiación térmica por incendios: En la Tabla I.4.5-1 se encuentra una relación de efectos esperados u observados con un valor de intensidad de radiación térmica. En la Tabla I.6 se encuentran valores de exposición en segundos para alcanzar el umbral del dolor. Para onda de presión por explosiones: En la Tabla I.6 se encuentra una relación de efectos esperados u observados con un valor de presión. Para sustancias tóxicas: En la NOM 010 STPS 1999, “Condiciones de seguridad e higiene en los centros de trabajo donde se manejen, transporten, procesen o almacenen sustancias químicas capaces de generar contaminación en el medio ambiente laboral” se establecen los límites máximos permisibles de exposición en los centros de trabajo donde se manejen, transporten, procesen o almacenen sustancias químicas que por sus Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 157 de 167 propiedades, niveles de concentración y tiempo de exposición, sean capaces de contaminar el medio ambiente laboral y alterar la salud de los trabajadores. En la NOM 010 STPS 1999 se establecen los límites: • • • • Límite máximo permisible de exposición (LMPE): es la concentración de un contaminante del medio ambiente laboral, que no debe superarse durante la exposición de los trabajadores en una jornada de trabajo en cualquiera de sus tres tipos. El límite máximo permisible de exposición se expresa en mg/m3 o ppm, bajo condiciones normales de temperatura y presión. Límite máximo permisible de exposición de corto tiempo (LMPECT): es la concentración máxima del contaminante del medio ambiente laboral, a la cual los trabajadores pueden estar expuestos de manera continua durante un periodo máximo de quince minutos, con intervalos de al menos una hora de no exposición entre cada periodo de exposición y un máximo de cuatro exposiciones en una jornada de trabajo y que no sobrepase el LMPEPPT. Límite máximo permisible de exposición pico (P): es la concentración de un contaminante del medio ambiente laboral, que no debe rebasarse en ningún momento durante la exposición del trabajador. Límite máximo permisible de exposición promedio ponderado en tiempo (LMPEPPT): es la concentración promedio ponderada en tiempo de un contaminante del medio ambiente laboral para una jornada de ocho horas diarias y una semana laboral de cuarenta horas, a la cual se pueden exponer la mayoría de los trabajadores sin sufrir daños a su salud. En las guías para la presentación del estudio de riesgo ambiental, niveles 0, 1, 2 y 3 de SEMARNAT, se especifica el uso de los índices IDLH, TLV8 y TLV15. Esos índices deben ser empleados en el análisis de consecuencias cuando se realice con propósitos que impliquen apegarse a la NOM0 10 STPS 1999. Índices IDLH, TLV e índices auxiliares Algunas asociaciones y agencias gubernamentales extranjeras emplean índices de toxicidad para medir la peligrosidad de las sustancias. El National Institute for Ocupational Safety and Health establece el índice IDLH como: En el evento de una exposición accidental a una sustancia química, este límite representa la concentración abajo de la cual un individuo puede escapar, dentro de 30 minutos, sin experimentar dificultades para el escape o efectos irreversibles a su salud. Los valores IDLH son publicados en la NIOSH Pocket Guide to Chemical Hazards y sus valores pueden llegar a cambiar por lo que es importante que el analista revise la última versión disponible. La Association Conference Government Industry Higienyc (ACGIH) establece los índices TLV (TWA, STEL, C), como los valores límite umbral (Threshold Limit Values) para condiciones que corresponden más al campo de la salud ocupacional que de los accidentes y se definen como: • “TLV-TWA” (Time Weighted Average), concentración media a la cual la mayoría de trabajadores expuestos durante su vida laboral no sufren efectos adversos. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental • • GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 158 de 167 “TLV-STEL” (Short Term Exposure Limit), concentración a la que la mayoría de trabajadores pueden exponerse por hasta 15 min. sin sufrir adormecimiento que les predisponga a accidente o dificulte mecanismos de defensa. “TLV-C” (Ceiling), concentración que no debe ser rebasada incluso instantáneamente. Los valores TLV son publicados por la ACGIH en “TLV`s and Bel´s values” y sus valores pueden llegar a cambiar por lo que es importante que el analista revise la última versión disponible. En caso extremo y de no encontrar disponibles los valores TLV, se puede recurrir a los valores PEL o REL, publicados por OSHA y NIOSH, con una sólida justificación técnica. Esos valores se encuentran en la NIOSH Pocket Guide to Chemical Hazards y sus valores pueden llegar a cambiar por lo que es importante que el analista revise la última versión disponible. Las definiciones de los índices PEL (exposición máxima permitida por OSHA bajo el CFR (Code of Federal Regulations) título 29, sección 1910, subparte Z) son: • • • “TWA” (time-Weighted Average), indica una concentración promediada durante hasta 8 h de trabajo en un turno de una semana laboral de 40 h. “STEL” / “ST” (Short Term Exposure Limit), exposición promediada durante 15 min., que no debe ser excedida durante todos los días de trabajo. “C” (Ceiling), valor máximo que no debe ser excedido ni por algún instante durante un turno. Los índices REL son límites de exposición máxima recomendada. Los REL son valores sugeridos para las actividades industriales pero, con excepción de algunas jurisdicciones en EUA, no son valores normativos. • • • “TWA” (Time-Weighted Average) indica una concentración promediada durante hasta 10 h de trabajo de una semana laboral de 40 h. STEL, “ST”, (Short Term Exposure Limit) exposición promediada durante 15 min., que no debe ser excedida durante todos los días de trabajo. “C” (Ceiling); valor máximo que no debe ser excedido ni por algún instante. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 159 de 167 Tabla I.4.5-1. Efectos esperados u observados para radiación térmica Intensidad de radiación térmica en kW/m2 37.5 25 Efecto esperado u observado Suficiente para causar daño en equipos de proceso (Banco Mundial). Intensidad de energía mínima requerida para provocar la ignición de la madera en exposiciones prolongadas, no requiriéndose fuente de ignición alterna (Banco Mundial). 15.77 Intensidad en áreas con estructuras en donde no es deseable tener personal y en donde se cuenta con blindaje a la radiación térmica (API 521). 12.5 Intensidad de energía mínima requerida para fundición de conductos de plástico (Banco Mundial). 9.5 El umbral del dolor se alcanza con 8 seg. de exposición; las quemaduras de segundo grado se presentan con períodos de exposición de 20 seg. (Banco Mundial). 9.46 La exposición debe ser limitada a pocos segundos, suficientes para escapar. (API 521). 6.31 Intensidad en áreas donde acciones de emergencia, con duración hasta de un minuto, pueden ser realizadas con equipo apropiado (API 521). 4.73 Intensidad de calor en áreas donde acciones de emergencia, con duración hasta de varios minutos, se pueden realizar por parte de personal sin blindaje, pero con ropa apropiada (API 521). 4 Suficiente para causar dolor al personal, en caso de que éste no se resguarde en 20 seg.; Sin embargo es probable la formación de ampollas en la piel (Banco Mundial). 1.58 Valor empleado para localidades donde el personal es expuesto continuamente (API 521). 1.4 No se presentan molestias, aunque durante largos periodos de exposición equivale a la intensidad del sol de verano a medio día. Tabla I.4.5-2 Umbral del dolor de acuerdo al API RP 521:1990 Tiempo para alcanzar el umbral Intensidad de radiación del dolor* en segundos térmica en kW/m2 1.74 60 2.33 40 2.9 30 4.73 16 6.94 9 9.46 6 11.67 4 19.87 2 * Intensidad máxima de un estímulo a partir de la cual se experimenta sensación de dolor. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 160 de 167 Tabla I.4.5-3. Efectos esperados u observados por sobrepresión kPa Psig Efecto 0.14 0.02 Ruido fuerte (equivalente a 137 dB a bajas frecuencias, 10-15 Hz). 0.21 0.03 Ruptura ocasional de vidrio en ventanas grandes y bajo tensión. 0.28 0.04 Ruido muy fuerte (143 dB), rotura de vidrios por onda sonora. 0.69 0.1 Rotura de ventanas pequeñas bajo tensión. 1.03 0.15 Presión típica para rotura de vidrio. 2.07 0.3 Probabilidad de 0.95 de no sufrir daño serio debajo de este valor de presión; 10% de vidrios rotos. 2.76 0.4 Daño estructural menor. 3.4-6.9 0.5-1.0 4.8 0.7 Daño menor a estructuras de casa. 6.9 1.0 Demolición parcial de casas (tal que son inhabitables). 6.9-13.8 1-2 Asbesto corrugado, acero corrugado y paneles de madera desplazados y dañados. 13.8 2 13.8-20.7 2-3 Muros no reforzados ladeados y parcialmente dañados. 15.8 2.3 Límite inferior para daño estructural serio. 17.2 2.5 Destrucción del 50% de construcciones de ladrillo. 20.7 3 20.7-27.6 3-4 Rotura de tanques de almacenamiento de crudo. 27.6 4 Recubrimiento de edificios industriales fracturado. 34.5 5 Rotura de postes de madera 34.5-48.2 5-7 48.2 7 48.2-55.1 7-8 62 9 Demolición completa de carros de ferrocarril cargados 68.9 10 Probable destrucción total de casas, maquinaria de 7000 lb desplazada y dañada severamente, sobrevive la maquinaria de 12,000 lb. 2068 300 Formación de cráter. Daño a ventanas pequeñas y grandes. Colapso parcial de paredes y techos de casas. Daños a edificios con estructura metálica, equipo pesado sufre poco daño. Destrucción prácticamente completa de casas. Volcado de carros de ferrocarril Muros de ladrillo, de 8 a 12 pulgadas de espesor y no reforzados, fallan. A. B. C. D. E. F. G. Página 161 de 167 Sobrepresión en psi Equipo Cuarto de control de techo de lámina Cuarto de control de techo de concreto Torre de enfriamiento Tanque de domo cónico Cubículo de instrumentos Caldera de fuego Reactor químico Filtro Regenerador Tanque de domo flotante Rector de craqueo Soportes Servicios: Medidor de gas Servicios: transformador eléctrico Motor eléctrico Soplador Columna fraccionadora Vasija presurizada horizontal Servicios: regulador de gas Columna de extracción Turbina de vapor Intercambiador de calor Tanque esférico Vasija presurizada vertical Bomba Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental 0.5 1.0 A C D A E P B 1.5 2.0 2.5 3.0 3.5 4.0 4.5 5.0 5.5 6.0 6.5 7.0 7.5 8.0 8.5 9.0 9.5 10 12 14 16 18 N D N F O D K IM A G A H Se rompen ventanas y carátulas de cristal. Las rejillas se desplazan y caen entre 0.3 y 0.5 psi. Tableros, buses, centros de control dañados por colapso de techo. Colapso de techo. Instrumentos dañados. Internos dañados. El ladrillo se rompe. U T I T I P T F I K V IP T T U I P D I T SO Q H I T H Q I V T R T PI I T MQ V I I I T M I I I H. I. J. K. L. M. N. Ocurren daños por fragmentos que actúan como proyectiles. Unidades movidas y se rompen las tuberías. Falla de soportería. Unidades desplazadas (a la mitad de su capacidad). Líneas de corriente se rompen. Controles dañados. Fallan muros de hechos con block. S V T O. P. Q. R. S. T. U. V. I T T V Colapso de estructuras. Deformación de estructuras. Cajas dañadas. Estructura agrietada. Rotura de tubería. La unidad vuelca o se destruye. Unidades desplazadas (con 90% de su capacidad). La unidad se desplaza de sus cimientos} Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Página 162 de 167 Las Guías para la presentación del estudio de riesgo ambiental niveles 1, 2 y 3 de la SEMARNAT. indican que los “Radios Potenciales de Afectación” para definir y justificar las zonas de seguridad deberán utilizar los siguientes valores: Zona de: IDLH Amortiguamie nto TLV8 5 kW/m2 1.4 kW/m2 0.070 kg/cm2 0.035 kg/cm2 Alto riesgo Toxicidad (concentración) Inflamabilidad (radiación térmica) Explosividad (sobre-presión) Los análisis de consecuencias practicados bajo las direcciones de esta guía deben reportar los radios de afectación tal como se piden por SEMARNAT. Adicionalmente y dependiendo del objetivo del análisis deben incluir estimaciones de consecuencias usando las herramientas descritas en la sección I.5.5. I.4.6 Documentación del análisis de consecuencias El objetivo de esta actividad es materializar el AC en un documento o formato único que sirva para: • • • • Transmitir información detallada a otros grupos del AR. Justificar las conclusiones obtenidas en el estudio. Rastrear suposiciones y cálculos. Reproducir del estudio. El contenido mínimo sugerido para el reporte final de un análisis de consecuencias es: • • • • • • • • • Objetivo. Datos de seguridad de las sustancias. Formato de “Lista de escenarios analizados”. Formatos de “Especificación de escenarios para análisis de consecuencias”. Resultados (presentación de resultados y discusión de los mismos). Conclusiones. Recomendaciones. Bibliografía. Tablas y figuras. I.4.7 Ejemplo de aplicación del análisis de consecuencias En el HAZOP de una instalación se identificaron los escenarios de accidente: • “Incendio en parte superior de tanque TV-1 de gasolina tipo2. • “Incendio en dique de tanque TV-1 de gasolina tipo2. Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 163 de 167 Realice el análisis de consecuencias que podría ocasionar este evento en la instalación que se muestra a continuación. I. Datos del escenario. Clave: Gas01 Elab: SS ObjetivoÆ Nombre: Incendio en parte superior y en dique de tanque TV-1 de gasolina tipo2 Descripción: Se postula el colapso del domo del tanque TV-1 y su posterior incendio, así mismo, la falla del tanque TV-1 tal que se derrama en el dique y se incendia. Evaluar las posibles afectaciones en el entorno. Tipo se caso1: CA Fecha: 19/Oct/08 Phast 6.53.1 II. Sustancias involucradas. Nombre: Compuesto Composición: % molar X, % másico , % volumétrico % Tox. Inf. IDLH STEL TWA n-Butano 0.673 X n-Pentano 53.786 X n-Hexano 29.266 X n-Heptano 13.326 X n-Octano 2.73 X Tolueno 0.020 X Benceno 0.200 X III. Condiciones de confinamiento y características de liberación. Estado: Vapor , líquido abajo de su p.e. X, Presión: 1 bar Temperatura: 18 °C líquido arriba de su p.e. Fase del material liberado: Vapor , líquido X, vapor y líquido Tipo de fuga: Falla catastrófica , válvula de Contenedor: Cilindro , esfera , tubería , otro : alivio , orificio en cuerpo o tubería , cizalla Dique de tubería, otro X: Incendio en el dique Alto del recipiente: 1.8 m Diámetro o ancho del recipiente: 20m Largo del recipiente: 20m Área equivalente del orificio: N/A Elevación del punto de liberación: N/A Dirección de la fuga: Vertical , horizontal , hacia abajo , golpea contra , inclinada (ángulo___) N/A Tiempo estimado de liberación: Masa que participa: 600 m3 Instantáneo IV. Condiciones atmosféricas y del entorno. Pares (velocidad de viento, estabilidad atmosférica): F 1.5 Temperatura atmosférica 24 °C Temperatura del suelo (si distinta a la atmosférica) 20 °C Humedad atmosférica 70% Tipo de suelo: terreno abierto con objetos aislados Direcciones dominantes del viento: N/A V. Lugares de particular interés (Descripción y distancia del punto de fuga). Sitio 1 Sitio 2 Sitio 3 Sitio 4 VI. Estados finales para análisis. Dardo, antorcha o jet de fuego , Charco de fuego X, incendio de nube , explosión de nube , BLEVE / bola de fuego , Nube tóxica V. Resumen de resultados (Distancias y afectaciones) Alcance por toxicidad1 del Alcance de la radiación Alcance de la sobrepresión (kg/cm2) compuesto: térmica (kw/m2) IDLH STEL TWA 1.4 5 0.035 (0.5 psi) 0.07 (1 psi) Alcance por inflamabilidad de la mezcla o compuesto: Recomendaciones: ½LFL ___ m LFL ____ m GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Página 164 de 167 1 2 PC = Peor, CA = Alterno 5m TE-1 Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 El peor alcance en caso de participar más de un compuesto tóxico. 15 m 15 m TV-1 TV-2 22.352 m 22.352 m 30.9 m TE-2 43.80 m 15 m 12.192 m 1.80 m Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Página 165 de 167 Intensidad de Radiación (kW/m^2 Incendio en parte superior TV-1 30 25 2m 5m 10 m 15 m 20 15 10 5 0 0 5 10 15 20 25 30 35 40 45 50 Distancia (m) Incendio en la parte superior del tanque TV-1 Otros equipos Referencia espacial Tanque TV-2 15 m al este y entre 0 - 15 m de altura Intensidad de radiación térmica kW/m2 4–9 Evaluación Esta intensidad de radiación podría ocasionar el calentamiento del combustible almacenado, incrementando la presión y cantidad de gas en el tanque; en consecuencia, la cantidad de vapores desalojados por el tanque se podría ver incrementada. El umbral del dolor se encuentra entre 16 y 4 segundos. Separadores elevados TE-1 y TE-2 20 m al oeste y entre 0 - 15 m de altura 4–7 Esta intensidad de radiación podría ocasionar el calentamiento del combustible almacenado, incrementando la presión y cantidad de gas en el tanque; en consecuencia, la cantidad de vapores desalojados por el tanque se podría ver incrementada. El umbral del dolor se encuentra entre 16 y 6 segundos. Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Página 166 de 167 Intensidad de Radiación (kW/m^2 Incendio en parte superior dique TV-1 25 20 2m 5m 10 m 15 m 15 10 5 0 0 5 10 15 20 25 30 35 40 45 50 Distancia (m) Incendio en la parte superior en el dique del tanque TV-1 Otros equipos Referencia espacial Tanque TV-2 6.5 m al este y entre 0 - 15 m de altura. Intensidad de radiación térmica kW/m2 11 – 18 Evaluación Intensidad de radiación suficiente para fundir conductos de plástico, se podría calentar considerablemente los tanques de almacenamiento. El umbral del dolor se encuentra entre 6 y 2 segundos. Separadores elevados TE-1 y TE-2 5 m al oeste y entre 0 - 15 m de altura. 12 – 20 Los almacenes elevados se encuentran aproximadamente a 5 metros de distancia a partir del dique del tanque y a 15 metros respecto al piso. En caso de que el viento oriente la flama del dique en dirección a estos almacenes, los almacenes y las estructuras que los soportan se verían expuestos al contacto directo de la flama. Se podría presentar la falla catastrófica de separadores o las estructuras que los soportan. El umbral del dolor se encuentra entre 4 y 2 segundos. GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 167 de 167 Probabilidad de muerte (Probit) a 10 m, en dirección horizontal de la frontera de la flama 1.2 Probabilidad 1.0 0.8 0.6 0.4 P (Tanque) P (Dique) 0.2 0.0 0 5 10 15 Tiempo (min) 20 25 30 Dirección Corporativa de Operaciones Subdirección de Disciplina Operativa Seguridad, Salud y Protección Ambiental a) GUÍAS TÉCNICAS PARA REALIZAR ANÁLISIS DE RIESGOS DE PROCESO Clave: 800-16400-DCO-GT-75 Revisión: 1 Fecha: 10/08/2012 Página 10 de 167 Comunicación y consulta En cada etapa de la gestión del riesgo se deben establecer canales de comunicación y consulta con niveles directivos. b) Definición del contexto Definir el contexto externo e interno en donde el proceso de gestión de riesgos tiene lugar. Se deben establecer y estructurar los criterios contra los cuales se evalúa el riesgo. c) Identificación de los peligros y los riesgos Identificar las todas las posibles fuentes de, peligros, así como las formas en las que dichos peligros pueden salirse de control, identificando escenarios de riesgos o de posibles accidentes, así como condiciones o situaciones que generen o induzcan riesgos. d) Identificación y evaluación de los controles existentes Determinar la probabilidad de ocurrencia del escenario de riesgo y sus posibles consecuencias, así como estimar si los controles existentes, incluyendo todos los sistemas de seguridad, son suficientes para el control y administración del riesgo evaluado. e) Jerarquización de los riesgos Comparar los niveles estimados de riesgo contra los criterios preestablecidos y considerar el balance entre los beneficios potenciales y los resultados adversos. Esto permite tomar decisiones sobre las recomendaciones requeridas y sus prioridades de atención. f) Administración de los riesgos Desarrollar e implantar medidas o estrategias eficaces, así como planes de acción para mantener los riesgos en niveles tolerables. g) Monitoreo y revisión de riesgos Con objeto de mantener la mejora continua, es necesario monitorear la efectividad de cada paso del proceso de gestión de riesgo, considerando la definición y supervisión de cumplimiento, en base a responsables y fechas compromiso, de las recomendaciones surgidas del análisis de riesgos. Aún cuando el proceso de gestión de riesgos contempla todas estas etapas, la presente Guía se enfoca únicamente a las etapas c), d) y e), las cuales engloban el proceso de identificación, análisis y evaluación de riesgos. 8.2.2 El Proceso de Identificación, Análisis y Evaluación de Riesgos. Este proceso debe realizarse de acuerdo con la secuencia de las siguientes etapas: 1. Definición del alcance. 2. Identificación de peligros y riesgos. 3. Estimación del nivel de riesgo.
