Guia Tecnica Analisis Del Riesgo en Los Establecimientos Afectados de Nivel Inferior

ANLISIS DEL RIESGO EN LOS
ESTABLECIMIENTOS AFECTADOS
DE NIVEL INFERIOR
(en el mbito del Real Decreto 1254/1999 (Seveso II))
Jos Ruiz Gimeno (Coordinador)

Francisco Jos Ruiz Boada (Coordinador)
Enrique Gonzlez Ferrads
Agustn Miana Aznar
Jos Javier Ruiz Cartagena
Antonia Garcs de Marcilla Val
ANLISIS DEL RIESGO EN LOS

ESTABLECIMIENTOS AFECTADOS
DE NIVEL INFERIOR
(en el mbito del Real Decreto 1254/1999 (Seveso II))
DEPARTAMENTO DE INGENIERA QUMICA

UNIVERSIDAD DE MURCIA
DIRECCIN GENERAL DE PROTECCIN CIVIL Y EMERGENCIAS
MINISTERIO DEL INTERIOR
2004
Edita: Direccin General de Proteccin Civil y Emergencias. Ministerio del Interior

Servicio de Publicaciones. Universidad de Murcia
I.S.B.N.: 84-8371-499-X
Depsito Legal: MU-1885-2004
Fotografas de portada: E. Buitrago Martnez
J. J. Ruiz Cartagena
J. Ruiz Gimeno
Impreso en Espaa - Printed in Spain
Imprime: F.G. GRAF, S.L.
ndice general
Prlogo
.......................................................................................................................
Captulo 1. Introduccin .............................................................................................
11
1.1. Anlisis del riesgo: concepto y utilidad .................................................................

1.2. El anlisis del riesgo en el Real Decreto 1254/1999 .............................................
1.3. Contenidos del anlisis del riesgo segn la Directriz bsica .................................
1.4. Contenidos del anlisis del riesgo en los establecimientos E7 ...............................
1.5. Mtodos de anlisis de peligros .............................................................................
1.5.1. Enumeracin y clasificacin de los mtodos ..............................................
1.5.2. Problemtica de la eleccin de un mtodo para un establecimiento E7 .....
1.5.3. Documentacin sobre los distintos mtodos ...............................................
1.5.4. Criterios de seleccin ..................................................................................
1.5.5. Seleccin y propuesta de mtodos ..............................................................
11
14
17
19
21
21
24
25
26
28
Captulo 2. Fundamentos de la metodologa ............................................................
31
2.1. Modelos de accidentes ............................................................................................

2.2. El modelo propuesto en esta Gua ..........................................................................
2.3. Anlisis de los elementos del modelo ....................................................................
2.4. Identificacin de peligros mediante las listas de comprobacin ............................
2.5. Secuencias accidentales: rboles de sucesos ..........................................................
2.6. Ejemplo resumido del procedimiento .....................................................................
2.6.1. Descripcin de la instalacin ......................................................................
2.6.2. Generacin y uso de las listas de comprobacin ........................................
2.6.3. Identificacin y clasificacin de los aspectos de riesgo .............................
2.6.4. Escenarios accidentales ...............................................................................
32
35
38
43
48
50
50
53
54
58
Captulo 3. El uso de las listas de comprobacin .....................................................
67
3.1. Utilidad y limitaciones de las listas de comprobacin ...........................................

3.1.1. Identificacin de peligros ............................................................................
68
69
ANLISIS DEL RIESGO EN LOS ESTABLECIMIENTOS AFECTADOS DE NIVEL INFERIOR
3.1.2. Limitaciones del mtodo .............................................................................

3.2. Estructura formal de las listas ................................................................................
3.2.1. Clasificacin de las cuestiones ....................................................................
3.2.2. Contenido de las tablas ................................................................................
3.3. Procedimiento de anlisis .......................................................................................
3.3.1. Seleccin o elaboracin de la lista ..............................................................
3.3.2. Desarrollo de las actividades de comprobacin ..........................................
3.3.3. Documentacin de los resultados ................................................................
3.3.4. Identificacin de los peligros y de las funciones de seguridad ..................
3.4. Necesidades de recursos .........................................................................................
3.5. Inspecciones y auditoras de seguridad ..................................................................
3.5.1. Inspecciones de seguridad ...........................................................................
3.5.2. Auditoras de los sistemas de gestin de la seguridad ...............................
70
71
71
74
75
75
77
77
78
82
83
83
84
Captulo 4. El anlisis mediante rboles de sucesos ................................................
87
4.1. Introduccin a la tcnica .........................................................................................

4.1.1 Caractersticas esenciales ...............................................................................
4.1.2 Terminologa ..................................................................................................
4.1.3 Recursos necesarios .......................................................................................
4.2 Procedimiento de anlisis ........................................................................................
4.2.1 Definicin del sistema o de la actividad objeto de anlisis ..........................
4.2.2 Identificacin de los sucesos iniciadores de inters ......................................
4.2.3 Identificacin de las funciones de seguridad y otros aspectos .....................
4.2.4 Determinacin de los escenarios de accidentes ............................................
4.2.5 Anlisis de las consecuencias de cada escenario de accidente .....................
4.2.6 Estimacin de frecuencias o probabilidades de cada rama ..........................
4.2.7 Cuantificacin y expresin de los resultados del anlisis .............................
4.2.8 Verificacin de los resultados obtenidos en el anlisis .................................
4.2.9 Utilizacin de los resultados en la toma de decisiones ................................
4.3. Aplicacin de la tcnica ..........................................................................................
4.4. Ventajas y limitaciones ...........................................................................................
4.5. Enfoques complementarios .....................................................................................
4.5.1. El anlisis de las capas de proteccin .........................................................
4.5.2. Los anlisis de la fiabilidad humana ...........................................................
88
88
89
89
90
90
92
93
94
96
97
98
99
100
100
103
104
104
106
Anexo. Instalaciones de almacenamiento de lquidos petrolferos. Listas de

comprobacin ............................................................................................................... 109
Referencias bibliogrficas ........................................................................................... 127
ndice de tablas ............................................................................................................ 137
ndice de figuras .......................................................................................................... 139
Prlogo
Los establecimientos que manejan sustancias peligrosas poseen, en general, elevados

niveles de seguridad; sin embargo, la gravedad de los accidentes que pueden producirse
en sus instalaciones, unida a la gran repercusin social y a la incertidumbre que generan,
viene motivando que exista por parte de las autoridades competentes y del sector industrial
una gran sensibilidad y manifiesta preocupacin orientada a reducir los riesgos potenciales
de estas actividades. Esto conduce a generar lneas de actuacin y mecanismos que
faciliten el desarrollo e implantacin de medidas legales, tcnicas, instrumentales,... que
refuercen tanto las acciones preventivas como las dirigidas a mitigar las consecuencias
de los accidentes.
Entre otros aspectos, las medidas que se adoptan suponen mayores controles sobre
los procedimientos industriales, una planificacin ante el riesgo ms consistente y una
adecuada configuracin, implantacin y mantenimiento de los sistemas de gestin de
la seguridad.
El estudio y la investigacin han permitido adquirir un mejor conocimiento de las
causas de los accidentes y han ayudado a establecer bases convenientes para prevenir su
materializacin y la extensin de sus efectos. Indudablemente, todo ello ha repercutido
favorablemente en la gestin de la seguridad y en la planificacin de las emergencias. En
ambos casos el anlisis del riesgo constituye una etapa fundamental, de extraordinaria
utilidad para garantizar el funcionamiento, bajo condiciones seguras, de las instalaciones
industriales. As est contemplado en los Reales Decretos 1254/1999, de 16 de julio, y
1196/2003, de 19 de septiembre.
Como es conocido, en el primero de los Reales Decretos citados, se especifican, a
efectos de su aplicacin, dos tipos de establecimientos segn el inventario de sustancias
peligrosas presentes. Esta clasificacin conduce a que los establecimientos cuyo inventario
de sustancias es igual o superior a las cantidades de la columna 2, pero inferior a
las de la columna 3, de las partes 1 y 2 del Anexo I del Real Decreto 1254/1999
establecimientos de nivel inferior estn sujetos a determinadas obligaciones, mientras
que los establecimientos cuyo inventario de sustancias es igual o superior a las cantidades
de la columna 3 establecimientos de nivel superior deben cumplir, adems, con
otras de mayor alcance.
Una de las obligaciones comunes a ambos tipos de establecimientos es la de elaborar
un Plan de Autoproteccin, que lleva consigo la realizacin del anlisis del riesgo. Ahora
bien, mientras el contenido de este anlisis, para los establecimientos de nivel superior
est especificado en el Real Decreto 1196/2003, no ocurre as para los establecimientos

de nivel inferior. La pregunta surge de inmediato debern estos establecimientos, en
atencin a su menor peligrosidad, menor inventario de sustancias peligrosas presentes
realizar un anlisis del riesgo de alcance inferior al exigible a los otros establecimientos? o,
en cualquier caso, cul debe ser el contenido de dicho anlisis?
Las respuestas a estas preguntas, fundamentadas por un lado, en el concepto y utilidad
del anlisis del riesgo y, por otro, en lo que se dispone respecto al mismo, en los Reales
Decretos citados, da lugar a la propuesta de contenidos del anlisis del riesgo, para los
establecimientos de nivel inferior, que se formula en el captulo 1 de esta Gua. Para su
elaboracin se deben contemplar cinco grandes apartados: Descripcin del establecimiento,
identificacin de peligros de accidentes graves, clculo de consecuencias, relacin de
accidentes graves potencialmente posibles y planos. El captulo 1 se completa con un estudio
comparativo de los mtodos de anlisis de peligros, orientado a recomendar aquellos que se
consideran ms adecuados para este tipo de establecimientos, situndose en lugar preferente
los mtodos de las listas de comprobacin y del rbol de sucesos.
En el captulo 2 se establece un modelo de accidente, se describen los elementos que
lo constituyen y se fundamentan los pasos ms significativos del proceso de aplicacin
de los mtodos recomendados. As mismo, se ofrecen pautas para su desarrollo, con
referencia a una situacin real como es el caso de una instalacin de almacenamiento
de lquidos petrolferos.
Por ltimo, en los captulos 3 dedicado a las listas de comprobacin y 4 donde se
trata el rbol de sucesos se describen estos mtodos, se comentan sus caractersticas ms
importantes, se exponen los requisitos bsicos para su utilizacin y se indican sus ventajas,
inconvenientes y los resultados que se pueden alcanzar.
Agradecemos, finalmente, a Jess Martnez Alonso sus acertadas sugerencias y valiosa
colaboracin en la elaboracin de esta Gua.
Los Autores
INTRODUCCIN
11
Captulo
Introduccin
1.1. ANLISIS DEL RIESGO: CONCEPTO Y UTILIDAD

A pesar de que la terminologa relativa al anlisis del riesgo se utiliza a menudo con
escaso rigor, existe un elevado nivel de aceptacin de los conceptos involucrados en los
trminos que se citan a continuacin. En un contexto general riesgo se define como la
probabilidad de ocurrencia de un efecto adverso determinado sobre la salud humana,
los bienes materiales o el medio ambiente, como consecuencia de la exposicin a un
peligro (ciertos productos qumicos, tecnologas, fenmenos naturales,...) que puede
materializarse a travs de un suceso accidental. Se entiende por anlisis del riesgo el
uso de la informacin disponible para identificar los peligros existentes y estimar el nivel
de riesgo presente. Por evaluacin de riesgos se entiende el proceso por el cual se juzga
la aceptabilidad del riesgo estimado. Finalmente, la gestin de riesgos es el proceso
de decidir qu debera hacerse respecto a un peligro, a la poblacin expuesta o a los
efectos adversos, implantando la decisin y evaluando sus resultados. En IPCS (2004)1
se recogen definiciones de los conceptos citados, propuestas por un grupo de trabajo de
varios organismos internacionales.
Concretando los trminos anteriores y con referencia a las instalaciones industriales,
las preguntas bsicas son las siguientes:
1.
2.
3.
4.
Cules son los peligros?

Qu sucesos accidentales podran presentarse y cmo?
Cul es la probabilidad de que se presenten?
Cules seran las consecuencias?
La figura 1.1 esquematiza el procedimiento normal para llevar a cabo una evaluacin
de riesgos. Tras una descripcin del sistema, se procede a identificar y analizar los peligros
(escenarios accidentales). Esta etapa precede a un estudio concurrente de la probabilidad y
de las consecuencias de un accidente, lo que conduce a la estimacin del riesgo. Si el riesgo
es aceptable el estudio se considera completo y la instalacin apta para ser construida u
operada; en caso contrario el sistema debe modificarse y analizarse nuevamente.
1 Las siglas indicadas en el texto pueden consultarse en el apartado de referencias bibliogrficas.
12
ANLISIS DEL RIESGO EN ESTABLECIMIENTOS DE NIVEL INFERIOR DE AFECTACIN
DESCRIPCIN DEL SISTEMA
IDENTIFICACIN DE PELIGROS
ANLISIS DE PELIGROS
Identificacin de escenarios:
Sucesos accidentales
Secuencias accidentales
ALCANCE DE LOS
FENMENOS PELIGROSOS
- Valores umbral
- Alcance de los fenmenos
CONSECUENCIAS
DEL ACCIDENTE
- Vctimas/ocurrencia
- Daos/ocurrencia
PROBABILIDAD
DEL ACCIDENTE
- Ocurrencias/ao
ESTIMACIN DEL RIESGO

Probabilidad x Consecuencias
- Vctimas/ao
- Daos/ao
NO
MODIFICACIN
DEL SISTEMA
ELEMENTOS
VULNERABLES
- Personas
- Bienes
- Medio ambiente
RIESGO
ACEPTABLE?
ANLISIS
DEL RIESGO
EVALUACIN
DEL RIESGO
ACTIVIDAD PERMISIBLE
FIGURA
1.1. Procedimiento
paraallevar
caboevaluacin
una evaluacin
de griesgos.
Figura 1.1.
Procedimiento
caboauna
de ries
os.
para llevar
INTRODUCCIN
13
En resumen, si bien es posible detener el proceso de estudio en cualquiera de sus

etapas, una evaluacin de riesgos completa para un establecimiento industrial sera aquella
que comprendiera los siguientes elementos:
1. Una descripcin detallada de sus procesos e instalaciones, inventario de productos
iniciales, intermedios y finales con sus propiedades peligrosas, sistemas de
prevencin y de proteccin, etc.
2. La identificacin de los peligros presentes en las diferentes instalaciones.
3. La identificacin de los accidentes potenciales, de sus previsibles sucesos iniciadores
y de las secuencias de sucesos que pueden conducir a tales accidentes.
4. La cuantificacin de la probabilidad de ocurrencia de los accidentes identificados.
5. Una estimacin de las consecuencias de los accidentes identificados, obtenida
mediante la consideracin de las zonas de alcance y de los elementos vulnerables
incluidos en esas zonas.
6. Una relacin de los accidentes graves posibles.
7. La estimacin del riesgo de los accidentes descritos, obtenida mediante la
consideracin de la probabilidad de ocurrencia y de las consecuencias de los
mismos.
8. La comparacin de los niveles de riesgo presentes con algunos criterios
de aceptacin procedentes de la legislacin o de normas, cdigos, guas o
referencias emanadas de organismos nacionales o internacionales de reconocido
prestigio.
9. Las decisiones respecto a la aceptacin de los riesgos o la planificacin de las
acciones correctivas orientadas a disminuirlos hasta niveles aceptables desde el
punto de vista de los criterios del punto anterior.
La utilidad de estos estudios depende obviamente del grado de profundidad que se
alcance; no obstante, su contenido debera extenderse hasta permitir, como mnimo:
Identificar los accidentes graves que podran presentarse.
Mejorar la seguridad de las instalaciones detectando aspectos en los que un sencillo
cambio o la inclusin de un dispositivo de regulacin o de un sistema de actuacin
de seguridad pueda reducir el riesgo de forma significativa.
Ayudar a establecer el alcance de la formacin que deben recibir los responsables
de la operacin de las instalaciones.
Facilitar la redaccin de prcticas de operacin seguras.
Orientar hacia las necesidades de equipos de proteccin individual y de las
instalaciones fijas de proteccin.
Informar acerca de las carencias en materia de elementos de deteccin y/o
alarmas.
Aportar la informacin necesaria para la planificacin de las emergencias y para
el establecimiento de los medios materiales y humanos necesarios para el equipo
de primera intervencin en caso de accidente.
14
Si el estudio ha llegado hasta sus ltimas etapas, sus resultados son tiles para:
Detectar necesidades de modificacin sustancial de los procesos, instalaciones
o sistemas de trabajo.
Prever sistemas de alerta y/o evacuacin para las poblaciones vulnerables del
entorno.
Planificar las emergencias exteriores y sus interfases con los planes de emergencia
interior.
Desarrollar criterios para la ordenacin del uso del territorio.
Evaluar el riesgo de que se presente el efecto domin en el propio establecimiento
o en otros.
Detectar necesidades de personal con la responsabilidad y la formacin necesaria
para llevar a cabo labores de comunicacin en caso de crisis.
Aconsejar la implantacin de pactos de ayuda mutua con los establecimientos
del entorno.
Gestionar la realizacin de simulacros con intervencin de ayuda externa.
............
1.2. EL ANLISIS DEL RIESGO EN EL REAL DECRETO 1254/1999
El Real Decreto 1254/1999 por el que se aprueban medidas de control de los riesgos
inherentes a los accidentes graves en los que intervengan sustancias peligrosas, no contiene
en ningn momento la expresin anlisis del riesgo; por el contrario, el concepto de
identificacin y evaluacin de los riesgos de accidente se encuentra directamente citado
en dos artculos y en uno de los Anexos de la disposicin:
1. En el articulo 7.2.b, Poltica de prevencin de accidentes graves donde se especifica
que esta poltica debe abarcar y reflejar los objetivos y principios de actuacin
generales ......relativos a:
......................................................
b) Identificacin y evaluacin de los riesgos de accidentes graves
.......................................................
2. En el artculo 9.1.b, Informe de Seguridad, donde se especifica que debe demostrarse
que se han identificado y evaluado los riesgos de accidentes, con especial rigor en
los casos en los que estos puedan generar consecuencias graves.....
3. En el Anexo III.2.ii, Elementos a contemplar en los artculos 7 y 9 relativos a
la gestin de seguridad y a la organizacin del establecimiento con miras a la
prevencin de accidentes graves, en el que se exige que el sistema de gestin de
la seguridad contemple los siguientes elementos
...........................................................
ii) Identificacin y evaluacin de los riesgos de accidentes graves. Adopcin y
aplicacin sistemtica de procedimientos tendentes a identificar los riesgos de
accidentes graves y evaluar sus consecuencias.
INTRODUCCIN
15
En otras ocasiones, si bien no se cita directamente el concepto, se especifican

requisitos que slo son posibles despus de llevar a cabo dicha identificacin y evaluacin,
como por ejemplo:
1. En el artculo 8.1, Efecto domin, donde se establece que las autoridades
competentes determinen los establecimientos o grupos de establecimientos
en los que la probabilidad y las consecuencias de un accidente grave puedan
verse incrementadas debido a la ubicacin y a la proximidad entre dichos
establecimientos...
2. En el apartado 3 del mismo artculo cuando se dice que en los informes de
seguridad se contemplarn aquellos accidentes que puedan producirse por efecto
domin, entre instalaciones de un mismo establecimiento.
3. En el articulo 12.1.c, Ordenacin territorial y limitaciones a la radicacin de los
establecimientos, cuando expresa la obligacin de las autoridades competentes de
controlar las nuevas obras, realizadas en el mbito de influencia territorial que se
derive del estudio de seguridad del establecimiento...
4. En el Anexo III.2.v, Elementos a contemplar en los artculos 7 y 9 relativos a
la gestin de seguridad y a la organizacin del establecimiento con miras a la
prevencin de accidentes graves, donde se pide que se identifiquen las emergencias
previsibles segn un anlisis sistemtico.
Finalmente, en el prrafo segundo del apartado 1 del artculo 11, Planes de emergencia,
al indicar que el contenido del Plan de Autoproteccin, denominado Plan de Emergencia
Interior....se ajustar a lo especificado en la Directriz bsica para la elaboracin y
homologacin de planes especiales en el sector qumico, se exige, de forma indirecta
la identificacin de los riesgos de accidentes graves y de sus consecuencias (en el
interior de las instalaciones), a todos los establecimientos sujetos a las disposiciones
de este Real Decreto,
Esta Directriz mencionada en el citado Real Decreto ha sido sustituida por la Directriz
Bsica de Proteccin Civil para el control y planificacin ante el riesgo de accidentes
graves en los que intervienen sustancias peligrosas (Real Decreto 1196/2003, de 19
de septiembre).
En efecto, en la misma cuando en el artculo 1 se define el Plan de Autoproteccin
se incluye que, entre otros contenidos, ...comprende el anlisis y evaluacin de los
riesgos....
En todo lo que sigue, el smbolo E7 se utiliza para designar a los establecimientos
en los que estn presentes sustancias peligrosas en cantidades iguales o superiores a las
especificadas en la columna 2, sin llegar a alcanzar las indicadas en la columna 3, de
las partes 1 y 2 del Anexo I del Real Decreto 1254/1999, de 16 de julio. Para designar
a los establecimientos en los que estn presentes sustancias peligrosas en cantidades
16
INTRODUCCIN
TABLA 1.1. Comparacin de requisitos aplicables a E y E
7
9
Tabla 1.1. Comparacin de requisitos aplicables a E7 y E9
Requisito
7
9
Debe demostrarse que se ha
Definida y plasmada en un docuPoltica de
establecido una poltica de
mento, comprendiendo los principrevencin de
prevencin de accidentes graves
accidentes graves pios de actuacin generales en relacin con el control de los riesgos de (Artculo 9)
accidentes graves, respecto a los
elementos que se contemplan en el
Anexo III (Artculo 7)
Sistema de
Apropiado, como los restantes
Debe demostrarse que se ha establegestin de la
medios y estructuras, para la puesta
cido un sistema de gestin de la seseguridad
en prctica de la poltica de
guridad, para la aplicacin de la polprevencin. (Artculo 7)
tica, de conformidad con los elementos que figuran en el anexo III
(Artculo 9)
Informe de
No exigido, salvo lo previsto en el
Exigido con el contenido que se
especifica en el artculo 9
seguridad
apartado 10 del artculo 9:
determinados aspectos del informe
de seguridad que puedan resultar
necesarios para el cumplimiento de
lo especificado en el artculo 7
Debe demostrarse que se han
Debe definirse, documentarse y
Identificacin y
identificado y evaluado los riesgos de
evaluacin de
ponerse en prctica la poltica en
accidentes graves, con especial rigor
riesgos
relacin con la identificacin y
en los casos en los que estos puedan
evaluacin de los riesgos de
generar consecuencias graves y que
accidentes graves (Artculo 7)
se han tomado las medidas necesarias
para prevenirlos y limitar sus
consecuencias (Artculo 9)
Planificacin ante Debe definirse, documentarse y
Debe demostrarse que se han elaborado planes de autoproteccin y
situaciones de
ponerse en prctica la poltica en
facilitar los datos necesarios que
emergencia.
relacin con la planificacin ante
situaciones de emergencia.(Artculo posibiliten la elaboracin del plan de
emergencia exterior a fin de tomar
7)
las medidas necesarias en caso de
accidente grave.(Artculo 9)
Plan de
El Plan de Autoproteccin se exige para 7 y 9 en el artculo 11
Autoproteccin
Informacin y
No exigida
Exigida en los trminos previstos en
colaboracin para
el artculo 11.
la elaboracin del
Plan de Emergencia Exterior
No exigida
Informacin a la
el artculo 13
poblacin relativa
a las medidas de
seguridad
Trmite de
No exigida, bajo este Real Decreto
informacin
el artculo 13
pblica
INTRODUCCIN
17
iguales o superiores a las especificadas en la columna 3 de las partes 1 y 2 del citado

Anexo, se usa el smbolo E9.
A continuacin se analizan los aspectos que en el Real Decreto 1254/1999 diferencian
las obligaciones de los E 7 y los E 9, en lo relativo a la identificacin y evaluacin
de riesgos, en atencin a la menor cantidad de sustancias peligrosas presentes en
los primeros.
En la tabla 1.1 se comparan las exigencias que afectan a uno y otro tipo de
establecimientos, en los aspectos de poltica de prevencin de accidentes graves,
sistema de gestin de la seguridad, informe de seguridad, identificacin y evaluacin
de riesgos, planificacin ante situaciones de emergencia, Plan de Autoproteccin,
informacin y colaboracin para la elaboracin del Plan de Emergencia Exterior,
informacin a la poblacin relativa a las medidas de seguridad y trmite de informacin
pblica de los proyectos. De esta comparacin pueden deducirse las siguientes
conclusiones:
1. No hay ninguna mencin explcita respecto a diferencias, en el alcance de la
identificacin y evaluacin de riesgos, entre los establecimientos E7 y E9.
2. Como cabra esperar, la mayor peligrosidad de los E9 frente a los E7, hace que les
sean aplicables un mayor nmero de artculos a los primeros e intensifica el nivel
de exigencia de los requisitos comunes a ambos grupos.
3. La evaluacin de las consecuencias de los accidentes en el exterior del establecimiento es estrictamente necesaria para el cumplimiento de algunos requisitos
exigidos nicamente a los E9. Este es el caso de lo relativo al Plan de Emergencia
Exterior, a la informacin a la poblacin sobre las medidas de seguridad y al trmite
de informacin pblica de los proyectos, sin perjuicio de lo establecido en la Ley
16/2002, de 1 de julio, de prevencin y control integrados de la contaminacin,
en relacin con este ltimo trmite.
1.3. CONTENIDOS DEL ANLISIS DEL RIESGO SEGN LA DIRECTRIZ
BSICA
En la Directriz bsica de Proteccin Civil para el control y planificacin ante el riesgo
de accidentes graves en los que intervienen sustancias peligrosas, se establece, en el
prembulo del artculo 3, el alcance de la autoproteccin:
El Real Decreto 1254/1999, de 16 de julio, por el que se aprueban medidas de
control de los riesgos inherentes a los accidentes graves en los que intervengan sustancias
peligrosas, establece que los titulares de los establecimientos afectados definan en un
documento su Poltica de Prevencin de Accidentes Graves y , en su caso, su Sistema
de Gestin de Seguridad.
18
Adems, los industriales estn obligados a elaborar y presentar a la autoridad

competente un plan de autoproteccin, denominado plan de emergencia interior, que
comprender el anlisis y la evaluacin de los riesgos, el establecimiento de objetivos de
prevencin, la definicin de los medios corporativos humanos y materiales necesarios para
la prevencin y control, la organizacin de stos y los procedimientos de actuacin ante
emergencias que garanticen la evacuacin y/o confinamiento e intervencion inmediatas, as
como su integracin en el sistema pblico de proteccin civil.
Y en el punto 3.3 de dicho artculo se indica:
.......................................................
El Plan de Autoproteccin, denominado Plan de Emergencia Interior, de un
establecimiento deber contemplar la identificacin de los accidentes que justifiquen
su activacin, basndose en un anlisis de riesgos acorde con su grado de afectacin
o el informe de seguridad (en el caso de establecimientos afectados por el Artculo 9
del Real Decreto 1254/1999)
El contenido mnimo del anlisis del riesgo en el Plan de Autoproteccin de un
establecimiento afectado por el Real Decreto 1254/1999 se define en el punto 3.3.1 de este
artculo, contemplando los siguientes extremos:
Descripcin general
La descripcin del emplazamiento, caractersticas constructivas y ocupacin,
accesibilidad y vas de evacuacin, ubicacin de medios externos, adems del estudio de las
instalaciones y zonas donde puedan estar presentes sustancias peligrosas.
Evaluacin del riesgo
Se incluir una descripcin y justificacin breve de los principios y metodologa
utilizados para la evaluacin del riesgo y la determinacin de los posibles accidentes
susceptibles de activar el Plan de Autoproteccin, indicando sus posibles consecuencias.
Planos
Se localizarn en planos a escala adecuada todos aquellos elementos que contribuyan
al riesgo, incluyendo todos los elementos vulnerables que se consideren de inters. Los
diferentes planos deben constituir un conjunto homogneo en cuanto a escala, orientacin
y otros aspectos que faciliten su comprensin.
Por otro lado, cuando en el artculo 4 se describe el Informe de Seguridad, se especifica
el contenido del anlisis del riesgo que deben realizar los industriales de establecimientos
E9 y que en resumen es el siguiente:
INTRODUCCIN
19
Identificacin de peligros de accidentes graves.

Clculo de consecuencias. Zonas de riesgo segn valores umbrales.
Clculo de vulnerabilidad.
Relacin de accidentes graves identificados.
Medidas de prevencin, control y mitigacin.
1.4. CONTENIDO DEL ANLISIS DEL RIESGO EN LOS ESTABLECIMIENTOS E7

Considerando lo expuesto acerca del contenido y la funcionalidad de un anlisis del
riesgo, y teniendo presente el estudio del Real Decreto 1254/1999 y de la Directriz bsica
realizado en los apartados anteriores, se han tenido en cuenta los siguientes criterios para
seleccionar el contenido del anlisis del riesgo en los establecimientos E7:
1. El anlisis del riesgo forma parte del Plan de Autoproteccin lo que orienta a que su
contenido, junto a su utilidad sustantiva de prevenir la aparicin de circunstancias
generadoras de un accidente grave, facilite criterios para gestionar los medios
necesarios para hacer frente a una emergencia.
2. El contenido mnimo del Plan de Autoproteccin de los establecimientos afectados
por el Real Decreto 1254/1999 est especificado en el artculo 3 de la Directriz
bsica.
3. El contenido del anlisis del riesgo slo est definido para los establecimientos
E9, como ya se ha indicado, dentro del Informe de Seguridad, en el Artculo 4
de la citada Directriz.
4. En principio, para un establecimiento E7, puede aceptarse que el anlisis del
riesgo posea un alcance inferior al exigible en los E9, en virtud de la menor
cantidad de sustancias peligrosas presentes y de no tener que facilitar en
primera instancia, documentacin especfica para la elaboracin de Planes de
Emergencia Exterior, la informacin al pblico o el trmite de informacin
pblica de sus proyectos.
5. Si las circunstancias particulares de un establecimiento E7 lo hicieran aconsejable
peligrosidad de sus procesos, vulnerabilidad de su entorno, etc. y en virtud
del apartado 10 del artculo 9 del Real Decreto, el rgano competente podra
exigir a su titular un anlisis del riesgo de una profundidad anloga al de un
establecimiento E9.
Por tanto, se propone para los E7 un anlisis del riesgo, como parte del Plan de
Autoproteccin, con el contenido que se recoge en la tabla 1.2:
20
TABLA 1.2. Contenido del anlisis del riesgo para los establecimientos E7
1. Descripcin del establecimiento
1.1. Identificacin y caractersticas.
1.1.1.
Nombre o razn social del industrial y direccin completa del
establecimiento (Notificacin, punto b).
1.1.2.
Nombreocargodelresponsabledelestablecimientoydatospara
su localizacin (Notificacin, punto d).
1.1.3.
Actividad ejercida o actividad prevista en el establecimiento
(Notificacin, punto f).
1.1.4.
Plantilla total y su distribucin por turnos e instalaciones.
1.1.5.
Emplazamientoydescripcindelentorno(Notificacin,puntoi).
1.1.6.
Accesibilidad y vas de evacuacin.
1.1.7.
Ubicacin de medios externos.
1.2. Descripcin de los procesos e instalaciones.
1.2.1.
Descripcindelosprocesos(sustancias,operaciones,condiciones
de operacin y/o almacenamiento, etc.).
1.2.2.
Relacin de sustancias y/o productos peligrosos (Notificacin,
punto e), con indicacin de las transformaciones fsicas y/o qumicas que
pueden generar riesgos.
1.2.3.
Caractersticas constructivas de los locales.
1.2.4.
Datos de diseo de los equipos y de las tuberas que contienen,
procesan o transportan sustancias peligrosas.
1.3. Medidas de proteccin y mitigacin disponibles.
2. Identificacin de peligros de accidentes graves
2.1. Alcance y metodologa.
2.2. Documentacin de referencia.
2.3. Descripcin de los mtodos utilizados.
2.4. Relacin de sucesos iniciadores y de secuencias accidentales.
3. Clculo de consecuencias
3.1. Metodologa empleada.
3.2. Alcance de los accidentes analizados.
4. Relacin de accidentes graves potencialmente posibles
4.1. Relacin de accidentes.
4.2. Recursos tecnolgicos para evitar o mitigar sus consecuencias.
4.3. Procedimientos previstos en el Plan de Autoproteccin para dichos
sucesos.
5. Planos
5.1. General de la planta.
5.2. Implantacin.
5.3. Esquema de flujo del proceso.
5.4. Esquemas de tuberas e instrumentacin.
5.5. Actuaciones de seguridad: alarmas y enclavamientos.
5.6. Alcance de los accidentes graves.
INTRODUCCIN
21
En relacin al contenido expuesto, se pueden hacer las siguientes observaciones:

1. Los datos del apartado 1 y los planos 5.1 a 5.5 constituyen la informacin tcnica
indispensable en cualquier establecimiento y, en su mayora, habrn sido recopilados
por el industrial como parte del contenido de la Notificacin obligatoria, de acuerdo
con el Artculo 6 y el Anexo II del Real Decreto 1254/1999.
2. El desarrollo del apartado 2 requiere la utilizacin de mtodos de anlisis de
peligros adecuados a las caractersticas de los establecimientos E7 y a las exigencias
legales a que se hallan sometidos. La consideracin de los mtodos de anlisis
que podran aplicarse a esta finalidad, constituye el objeto del siguiente apartado,
mientras que los fundamentos de la metodologa recomendada se justifican en
el captulo 2.
3. Para estimar el alcance de los accidentes se podr utilizar alguno de los mtodos de
clculo de consecuencias propuestos en las Guas Tcnicas o los modelos cientfica
e internacionalmente aceptados. Los planos 5.6 recogern los resultados de la
aplicacin de los modelos y establecern las zonas afectadas.
4. El punto 1 del apartado 4 emana de los resultados obtenidos en los dos apartados
anteriores. Los puntos 2 y 3 se incluyen con el fin de que el anlisis del riesgo sea
un documento autoconsistente, si bien su desarrollo detallado deber incluirse en
los captulos correspondientes del Plan de Autoproteccin.
1.5. MTODOS DE ANLISIS DE PELIGROS
1.5.1. Enumeracin y clasificacin de los mtodos
La literatura relativa al anlisis del riesgo recoge numerosos mtodos que difieren
tanto por la modalidad y el alcance del anlisis que llevan a cabo, como por su propia
naturaleza (Andrews, 1999; Baybutt, 2003; Bernuchon, 2001; CCPS, 1992; Crowl,
1990; DGPC, 1994a, b y c; Kletz, 1992; Lees, 2001; Michison, 1999; Santamara,
1994 y Storch de Gracia, 1998). Entre estos se pueden encontrar los que permiten la
identificacin y el anlisis de peligros. Una primera clasificacin de los mismos se
recoge en la tabla 1.3.
En el grupo de Mtodos cualitativos se incluyen herramientas destinadas a analizar la
significacin de situaciones peligrosas asociadas con un proceso o actividad, sin recurrir
a clculo alguno. Son tcnicas orientadas a la identificacin de los puntos dbiles en el
diseo o la operacin de las instalaciones que podran conducir a accidentes. En algunos
casos listas de comprobacin, auditoras de seguridad pretenden detectar las deficiencias,
con respecto a lo especificado, en el diseo, la construccin, la operacin, el mantenimiento
y/o la gestin de la prevencin. En otros HAZOP, rboles de sucesos o de fallos se
estudia la reaccin del sistema ante la aparicin de una o varias alteraciones respecto a
sus condiciones de operacin normales.
22
Se clasifican como Mtodos semicuantitativos aquellos que permiten una graduacin

de las diversas reas de una instalacin, o una valoracin del conjunto de la instalacin, en
funcin de su potencialidad para causar dao, calculada a partir de una serie de criterios y
valores asignados a los elementos y circunstancias peligrosas.
Los Mtodos para la estimacin de frecuencias arrancan de la identificacin de las
secuencias accidentales o de la concatenacin de fallos necesaria para que se produzca un
accidente; esa primera etapa es simplemente cualitativa, lo que hace que tambin figuraran
dentro del primer grupo. La diferencia estriba en que, disponiendo de la frecuencia de los
fallos o de la probabilidad de actuaciones elementales, son capaces de estimar la probabilidad
de ocurrencia del suceso no deseado. Combinados con los anlisis de consecuencias
constituyen la metodologa del anlisis de riesgos, propiamente dicha.
TABLA 1.3. Clasificacin de los mtodos de anlisis de peligros segn su utilidad
1. Mtodos cualitativos
Anlisis histrico de accidentes
Listas de comprobacin (Check lists)
Anlisis preliminar de riesgos
Anlisis Qu pasara si...? (What if...)
Anlisis funcional de riesgos y operabilidad (HAZOP)
Anlisis del modo de los fallos y sus efectos (FMEA/FMEAC)
rbol de fallos (opcin cualitativa)
rbol de sucesos (opcin cualitativa)
Anlisis causa-consecuencias (opcin cualitativa)
Auditorias de seguridad (Safety audits)
2. Mtodos semicuantitativos
ndice DOW
ndice Mond
Variaciones del mtodo Gretener (ERIC, FRAME, ....)
ndices de riesgos de procesos qumicos (I.N.S.H.T.)
3. Mtodos para la estimacin de frecuencias/probabilidades
Anlisis de la capa de proteccin (LOPA)
ndices de frecuencias
rbol de fallos
rbol de sucesos
Anlisis causa-consecuencias
Una segunda clasificacin, que atiende a la naturaleza del mtodo, se encuentra
en la tabla 1.4.
INTRODUCCIN
23
Los Mtodos comparativos se fundamentan en el examen de una instalacin desde la

experiencia acumulada, tanto en el diseo y operacin de plantas semejantes en cuanto
a productos o procesos involucrados, como en el anlisis de incidentes o accidentes
ocurridos en las mismas.
Los Mtodos generalizados proporcionan sistemas de anlisis aplicables, en principio,
a cualquier situacin, lo que los convierte en herramientas verstiles y de amplia utilizacin.
Salvo en el caso del rbol de fallos, que es de naturaleza inductiva, todos emplean
un razonamiento deductivo para determinar el estado final de la instalacin tras uno o
varios sucesos anmalos.
TABLA 1.4. Clasificacin de los mtodos de anlisis de peligros segn su naturaleza
1. Mtodos comparativos
Anlisis histrico de accidentes
Listas de comprobacin (Check lists)
Auditorias de seguridad (Safety audits)
2. Mtodos generalizados
Anlisis Qu pasara si...? (What if...)
Anlisis preliminar de riesgos
Anlisis funcional de riesgos y operabilidad (HAZOP)
Anlisis del modo de los fallos y sus efectos (FMEA/FMEAC)
Anlisis de la capa de proteccin (LOPA)
rbol de fallos
rbol de sucesos
Anlisis causa-consecuencia
3. ndices de riesgo
ndice DOW
ndice Mond
Variaciones del mtodo Gretener (ERIC, FRAME, ....)
ndices de frecuencias
ndices de riesgos de procesos qumicos (I.N.S.H.T.)
La calificacin de la naturaleza de los mtodos deductivos o inductivos no es
homognea entre las fuentes estudiadas. As el mtodo del rbol de sucesos se califica
en ocasiones de inductivo (DGPC, 1994a, b y c) y en otras de deductivo (Storch de
Gracia, 1998). De la misma manera, el mtodo del rbol de fallos se califica frecuentemente
como deductivo (Santamara, 1994; DGPC, 1994a, b y c), pero es posible encontrar algn
autor que lo describe como inductivo (Storch de Gracia, 1998).
Las razones de esta discrepancia residen probablemente en las diferentes formas de
interpretar la utilidad de estos rboles y el proceso mediante el que se construyen los
mismos. Si un rbol de fallos se construyera desde la base hacia el vrtice desde las
causas individuales hacia el efecto mximo (top event) se estara empleando una forma de
24
razonamiento deductiva (causas efecto); como, en la prctica, el rbol se va construyendo

al revs descendiendo desde el efecto mximo hasta las causas individuales se utiliza
un sistema de razonamiento inductivo (efecto causa).
Un consideracin anloga cabe para el caso del rbol de sucesos. Dado que se
construye desde un suceso iniciador hasta sus consecuencias, se emplea un sistema de
razonamiento deductivo (causa efectos); cuando se utiliza para identificar la cadena de
sucesos que pueden acabar en una situacin peligrosa, se progresa en el rbol a travs de
una cadena inductiva (efecto causa).
En resumen, entendiendo que es el mtodo de elaboracin del rbol lo que califica
su naturaleza, asignaramos el calificativo de inductivo al rbol de fallos y el de
deductivo al rbol de sucesos.
Los ndices de riesgo se basan en asignar una penalizacin numrica a la presencia
de determinados factores de riesgo, en las unidades de una instalacin, a la vez que se
bonifican las medidas preventivas de la misma.
1.5.2. Problemtica de la eleccin de un mtodo para un establecimiento E7
En general, se requiere un buen conocimiento de los mtodos para decidir con respecto
a la naturaleza de la informacin que facilitan y a su mbito de aplicacin (tipo de
instalacin, fase de la vida de la misma, etc.).
Por otro lado, es difcil encontrar informacin completa y fiable sobre la relacin
entre los resultados de la aplicacin del mtodo y los medios que ste exige para su
desarrollo (nivel de detalle de la documentacin previa, experiencia sobre su aplicacin,
medios humanos, etc.).
Pero, adems, en el caso de la seleccin del mtodo ms adecuado para identificar
los peligros en un establecimiento E7, as como los puntos dbiles y/o los sucesos
iniciadores, y las secuencias que podran conducir a un accidente, el proceso presenta
algunas dificultades:
Algunos de los mtodos slo se diferencian en el grado de detalle del anlisis. Este
hecho hace que la frontera entre stos sea, con frecuencia, difusa.
En la mayor parte de ellos existe la posibilidad de realizar el anlisis a diferentes
niveles de profundidad, lo que introduce incertidumbres respecto al nivel mnimo
exigible.
Aunque es frecuente hallar enumeradas las ventajas e inconvenientes de los diversos
mtodos, no es fcil establecer criterios para ponderar unas y otros.
INTRODUCCIN
25
No obstante, se hace necesario establecer un proceso de seleccin, que permita

finalmente recomendar aqul o aquellos mtodos de especial eficacia y eficiencia para su
aplicacin por los establecimientos E7.
Las etapas esenciales del proceso de seleccin se describen a continuacin:
1. Documentacin sobre los distintos mtodos.
Consiste en identificar qu tipo de informacin ha de obtenerse acerca de cada una
de las opciones y debe realizarse teniendo siempre presentes los objetivos que ha
de satisfacer el mtodo finalmente seleccionado.
2. Descripcin de los criterios de seleccin.
Los criterios que deben ser satisfechos por el mtodo seleccionado se eligen
teniendo presentes las caractersticas presumibles en los establecimientos E7, el
contenido del anlisis del riesgo propuesto en la tabla 1.2 y los objetivos de la
aplicacin del mtodo. Los criterios se dividen en excluyentes (aquellos aspectos
que deben estar obligatoriamente presentes o ausentes) y favorables (aquellos
cuyo cumplimiento aporta valor al mtodo).
3. Valoracin de los criterios favorables.
Dado que los criterios elegidos suelen tener una importancia diferente, es preciso
establecer alguna medida del grado relativo de esa importancia, siempre en funcin
de la aplicacin de los mtodos en los establecimientos E7.
4. Examen de los mtodos a la luz de los criterios.
Consta de dos actividades; por un lado la aplicacin de los criterios excluyentes
permite eliminar los mtodos que los incumplen; por otro, se examina el grado en
el que cada uno de los mtodos no excluidos satisface cada uno de los criterios
favorables.
5. Ponderacin del cumplimiento de los criterios favorables.
A cada uno de los mtodos no excluidos se le asigna un valor numrico de acuerdo
con su nivel de satisfaccin del criterio. Estos valores se multiplican por el
ndice numrico del grado de importancia del criterio, acumulndose las sumas
parciales para cada mtodo.
6. Clasificacin de los mtodos y seleccin.
Las sumas acumuladas permiten establecer una clasificacin de los mtodos,
de modo que es posible determinar los niveles relativos de satisfaccin de los
criterios elegidos.
1.5.3. Documentacin sobre los distintos mtodos
Antes de decidir respecto a la informacin que debe obtenerse de cada uno
de los diferentes mtodos de anlisis, cabe preguntarse qu caractersticas debe
poseer un mtodo que resulte especialmente recomendable para su aplicacin en los
establecimientos E7?
26
En el caso particular de estos establecimientos, se considera positivo en un mtodo

de anlisis del riesgo el hecho de que:
Se pueda desarrollar con un coste razonable.

Sea de fcil aplicacin.
No requiera una formacin especifica del usuario.
Resulte aplicable tanto en la fase de diseo como en las de puesta en marcha,
operacin, etc.
No subestime los riesgos presentes.
Se encuentre avalada por la extensin de su utilizacin.
Considere la posibilidad de los errores humanos.
Logre establecer los peligros y los sucesos iniciadores.
Conduzca a la identificacin de las secuencias accidentales.
Permita detectar las reas con mayor acumulacin de riesgo.
Seale las necesidades de mejora de los sistemas.
Precise de una informacin previa fcilmente disponible.
Pueda aplicarse a cualquier instalacin.
Teniendo presentes las caractersticas citadas, se ha recopilado informacin relevante

sobre los mtodos de anlisis del riesgo que contempla tres bloques de datos:
Caractersticas del mtodo
Recursos necesarios para su aplicacin
Resultados del mtodo
Cada uno de estos bloques incluye diversos aspectos, algunos de los cuales presentan
informacin general y otros han sido seleccionados teniendo siempre presente el uso
potencial del mtodo:
Utilizacin para la identificacin de peligros y la determinacin de sucesos
iniciadores y de secuencias accidentales.
Identificacin de los accidentes graves potencialmente posibles.
1.5.4. Criterios de seleccin
Los criterios de seleccin se han elegido teniendo presentes:
Las caractersticas que podran esperarse razonablemente en los establecimientos
E7 menor potencial de riesgo, amplia diversidad de situaciones productivas,
mayor generalizacin de funciones tcnicas, limitaciones para ejecutar anlisis
tcnicos, ...
El contenido del anlisis del riesgo propuesto, y
Los objetivos de la aplicacin del mtodo identificar los peligros, los sucesos
iniciadores, las secuencias accidentales, ....
INTRODUCCIN
27
Teniendo en cuenta los aspectos arriba relacionados, se han excluido aquellos mtodos
que evalan las frecuencias, as como los mtodos semicuantitativos tabla 1.3. Esta
decisin se adopta al considerar que van ms all de la finalidad indicada, suponen una
mayor complejidad, requieren un mayor esfuerzo documental, tcnico, econmico, etc.
o, en algunos casos, no cubren los objetivos bsicos identificar los peligros y los sucesos
iniciadores. En consecuencia, son los mtodos cualitativos sobre los que procede valorar
el cumplimiento de los criterios favorables.
El procedimiento de seleccin empleado aconseja que el nmero de estos criterios que
se maneje simultneamente no sea excesivo. Las numerosas caractersticas identificadas
como positivas en el apartado 1.5.3, hacen aconsejable su agrupamiento en criterios ms
generales con la finalidad de posibilitar un anlisis ms correcto.
As pues, se han definido como criterios favorables los tres siguientes:
Aplicabilidad: Una metodologa satisface este criterio en la medida en la que resulta
aplicable a cualquier establecimiento, en cualquiera de sus fases (diseo, operacin, etc.),
por su propio personal tcnico, aunque este carezca de formacin especfica en anlisis de
riesgos, y a partir de la informacin disponible en el establecimiento sobre la instalacin,
los mtodos de trabajo y los sistemas de gestin.
Fiabilidad: Una metodologa se considera fiable cuando, basndose en un alto nivel de
estructuracin, es capaz de identificar todos los peligros presentes en un establecimiento,
sin subestimar su magnitud, contando con la posibilidad de los errores humanos y
determinando las secuencias accidentales a travs de las cuales pueden materializarse
los peligros.
Eficiencia: La eficiencia de una metodologa se mide por la relacin entre la calidad
del anlisis efectuado y los medios, esencialmente humanos, puestos en juego para
aplicarla. En el concepto de calidad del anlisis se incluyen aspectos relacionados
con los resultados obtenidos por el mtodo: identificacin de todos los peligros,
determinacin de las secuencias accidentales, evaluacin del orden de importancia
de los fallos, propuesta de las medidas correctoras necesarias y consideracin de la
posibilidad del error humano.
A la hora de valorar el nivel de cumplimiento, por los diferentes mtodos no
excluidos, de los criterios favorables, es necesario considerar todos los elementos
que los constituyen. As, teniendo presentes las definiciones recogidas anteriormente,
se ha elaborado la tabla 1.5 en la que se concretan los elementos que se consideran
incluidos en cada criterio.
28
TABLA 1.5. Relacin de elementos incluidos en los criterios favorables elegidos

Criterio favorable
Elementos incluidos
Aplicabilidad
Aplicable a cualquier establecimiento?

Aplicable en cualquier fase?
Documentacin necesaria.
Aplicable por personal propio?
Fiabilidad
Analiza errores humanos?

Identifica todos los peligros presentes?
Establece los sucesos iniciadores?
Determina las secuencias accidentales?
Eficiencia
Calidad de los resultados:

Analiza errores humanos?
Identifica todos los peligros presentes?
Establece los sucesos iniciadores?
Determina las secuencias accidentales?
Ordena la importancia de los fallos?
Clasifica reas en funcin del riesgo?
Orienta hacia las medidas preventivas?
Recursos necesarios
Documentacin necesaria.
Aplicable por personal propio?
Necesidad de horas.hombre.
1.5.5. Seleccin y propuesta de mtodos

Esta fase final de seleccin y propuesta de mtodos se inicia estableciendo una
valoracin relativa de la importancia de los tres criterios favorables.
A continuacin, se examina el grado en el que cada uno de los mtodos satisface a los
diferentes criterios, teniendo en cuenta todos los elementos incluidos en los mismos. Para
ello se fijan tres niveles de satisfaccin segn que el mtodo satisfaga completamente, slo
en parte o escasamente el elemento considerado.
De forma similar al caso de la valoracin relativa de los criterios, la asignacin del
nivel de satisfaccin ha sido consecuencia de una reflexin crtica apoyada en la informacin
obtenida sobre los mtodos y orientada a su potencial aplicacin a los establecimientos
E7. El resultado de este estudio comparativo ha permitido concluir que, para alcanzar
la finalidad buscada, se sitan en lugar preferente los mtodos del rbol de sucesos y
de las listas de comprobacin.
INTRODUCCIN
29
As, mediante la utilizacin de las listas de comprobacin se pueden identificar los

peligros latentes en un establecimiento y asociarlos a los elementos que constituyen el
modelo de accidente que se propone en el captulo siguiente, facilitando la determinacin
de los posibles sucesos iniciadores.
Ahora bien, en determinadas instalaciones, la utilizacin de las listas de comprobacin
exclusivamente, no llevara a considerar con la profundidad requerida todos los puntos
dbiles que podran manifestarse y cul sera su evolucin posterior. Por ello se recomienda
en esta Gua complementar el mtodo de las listas de comprobacin con el de los rboles
de sucesos, de mayor alcance en el anlisis.
Como resultado de la aplicacin del mtodo del rbol de sucesos, se puede llegar
a identificar situaciones peligrosas y a describir con claridad las posibles secuencias
accidentales. Adems, al comparar los diferentes escenarios, se pueden seleccionar
aquellos que resulten ms crebles y de mayor gravedad, con el fin de proceder al
anlisis de consecuencias. Por otro lado, al contemplar las respuestas de los sistemas
de operacin y de seguridad, se pueden detectar las carencias y, por tanto, establecer
las medidas correctoras.
A continuacin, en el captulo 2, se establecen los fundamentos de la metodologa
propuesta, se comentan los elementos ms significativos del proceso que se ha de seguir
hasta completar esta parte del anlisis del riesgo y se ofrecen pautas para su aplicacin,
incluyendo un ejemplo resumido del procedimiento.
El enlace entre las listas de comprobacin identificacin de peligros y los rboles
de sucesos desarrollo de escenarios accidentales se describe en los captulos 3 y 4
dedicados a estos mtodos.
Captulo
Fundamentos de la
metodologa
Cualquier aproximacin racional a la identificacin de peligros de una instalacin

debera basarse en el entendimiento del mecanismo o proceso a travs del que se producen
los accidentes. La primera parte de este captulo trata de establecer un modelo de ese
mecanismo o, si se prefiere, de dibujar lo que podra llamarse el esquema del proceso de un
accidente. La obtencin de un modelo de accidentes ayuda a:
Entender con ms claridad los factores que contribuyen a un accidente y a sus
consecuencias.
Establecer qu elementos deberan estar presentes para evitar la manifestacin
de esos factores.
Investigar, en caso de accidente, qu lo ha activado y cmo han cumplido esos
elementos su labor de evitarlo o mitigarlo.
La consideracin de la naturaleza del mecanismo de los accidentes permite
observar sus aspectos caractersticos: los peligros inherentes a las sustancias o energas
involucradas, las condiciones que hacen posible la presencia de un riesgo, el suceso
capaz de desencadenar una situacin peligrosa, los mecanismos de alerta y control
de esa situacin, etc. La segunda parte del captulo propone el empleo de las listas
de comprobacin como un mtodo adecuado para identificar esos aspectos en una
instalacin dada.
Las consecuencias ltimas de un accidente no pueden deducirse de la simple
enumeracin de los aspectos cuya identificacin se propone en el prrafo anterior; es
preciso analizar en qu momento y cmo deben actuar, adnde conducira su fallo, qu
condiciones mitigaran o agravaran sus consecuencias, etc. En la tercera parte del captulo
se justifica la propuesta de la tcnica conocida como anlisis del rbol de sucesos, como
adecuada para estudiar las posibles secuencias, resultados y estados finales de un incidente
potencialmente grave.
El captulo finaliza con un ejemplo de aplicacin de la metodologa a una instalacin
de almacenamiento y distribucin de combustibles lquidos, de las reguladas por la
Instruccin Tcnica Complementaria MI-IP02 Parques de almacenamiento de lquidos
petrolferos (Real Decreto 1562/1998). El nmero de estas instalaciones en Espaa
32
es elevado, en especial tras la aprobacin de la Ley 34/1992, de 22 de diciembre de

Ordenacin del Sector Petrolero, cuyo objetivo fundamental era la liberalizacin de las
actividades de este sector.
2.1. MODELOS DE ACCIDENTES
Para la elaboracin de sus respectivos modelos, los analistas han observado algunas
caractersticas que se presentan, de modo recurrente, en los accidentes de las industrias de
proceso qumico (Kletz, 1988 y 1990; Kim, 2003):
1. Es necesaria una particular conjuncin de circunstancias (sucesos y/o estados)
para que se produzca el accidente.
2. Antes de que se produzca esa combinacin de circunstancias, puede requerirse
un largo periodo de incubacin.
3. Suelen ir precedidos por incidentes menores (near misses), en los que se han dado
algunas de las circunstancias anteriores, pero no todas las necesarias.
4. Una vez que se ha producido el suceso crtico, sus consecuencias pueden variar
entre lmites muy amplios. En algn caso puede que no haya daos personales,
mientras que en otro, similar al primero en la mayora de los aspectos, hay alguna
circunstancia clave que agrava las consecuencias.
A continuacin se comentan de modo somero algunos de los modelos de accidentes
tiles a los fines de esta Gua. En su mayor parte se basan en una secuencia temporal de los
sucesos y se representan grficamente con una estructura de rboles lgicos.
En los modelos ms sencillos se considera que son necesarios tres elementos para
que se presente el accidente: (1) un receptor sensible, (2) una fuerza impulsora y (3) un
mecanismo activador. Las principales fuerzas impulsoras son la energa y los productos
txicos. Existe una intensidad umbral, por debajo de la cual la fuerza impulsora no provoca
efectos sobre el receptor sensible. El mecanismo activador tiene tambin un valor umbral,
por debajo del cual no es capaz de actuar. El modelo se completa con otros parmetros tales
como la probabilidad de que estn presentes los tres elementos necesarios, la eficiencia
del contacto la fraccin de la fuerza impulsora que alcanza al receptor sensible y la
eficacia del contacto la relacin entre el dao que ha sufrido el receptor y el que habra
sufrido en condiciones normalizadas.
Un avance respecto de los modelos anteriores se encuentra en los que se basan en el
concepto de que es posible definir para el sistema un estado de operacin normal y, por
tanto, desviaciones respecto a ese estado, que estn asociadas al peligro de accidente.
En la mayora de estos modelos (Lees, 2001) se utiliza un rbol lgico para combinar el
suceso iniciador con los posibles fallos de proteccin por los operadores o por los propios
equipos, con las medidas de mitigacin, etc.
2133
FFUNDAMENTOS
LA METODOLOGA
UNDAMENTOS DE DE
LA METODOLOGA
OPERACIN NORMAL
PELIGROS:
- Toxicidad
- Inflamabilidad
- Reactividad
- Altas presiones
- ...........
SUCESO INICIADOR
Fallo mecnico, error de
operacin, fuerza externa,
acumulacin de producto, ...
- Fallo de bomba
- Rotura de lnea
- Vlvula que queda abierta
- .....
DESVIACIN EN EL
PROCESO
PROTECCIN
- Alarmas
- Enclavamientos
- Alivio de presin
- Intervencin operador
- Control fuentes ignicin
- .....
Fuera de los lmites normales de

operacin:
- Ausencia de flujo
- Exceso de temperatura
- Muy alta presin
- Muy bajo nivel
- .......
SUCESO
ACCIDENTAL
Prdida de contencin de un
material o de una energa
- Fuga txica
- Incendio
- Explosin de recipiente
- Derrame de un cido
- ........
MITIGACIN
- Respuesta emergencias
- Lucha contra incendios
- Contencin secundaria
- Cortinas de agua
- ...........
IMPACTO
Daos a las personas, medio
ambiente y/o a la propiedad,
interrupcin de la actividad, ...
FIGURA 2.1. Escenarios de accidentes industriales
Figura 2.1. Escenarios de accidentes industriales
34
ANLISIS
RIESGOrepresenta
EN LOS ESTABLECIMIENTOS
DE NIVEL
AFECTACIN
La figura 2.1
(DOE,DEL1993)
un buen ejemplo
deINFERIOR
uno deDEestos
modelos; en
l se considera que cada secuencia de fallos y de condiciones que conducen a un suceso
accidental es un nico escenario. Cada escenario de accidente incluye un suceso iniciador o
El concepto de condiciones que predisponen al accidente, en su versin ms
causa
fallo humanolatentes
o mecnico),
o varias
desviaciones
en el notable
proceso,en
unelsuceso
general(p.deej.condiciones
(Lees, una
2001),
represent
un avance
accidentaldeo escenarios
consecuencia,
y un impacto
(lesiones
y/odedaos
a la
propiedad
o al medio
modelado
accidentales.
Algunos
ejemplos
estados
latentes
que pueden
ambiente). Las
medidas
de proteccin
para evitar
que ocurra
el accidente,
desencadenar
o facilitar
el suceso
iniciador,seasemplean
como impedir
las acciones
de proteccin
que las
mitigacin
reducir la severidad
impacto.e inadvertida,
omientras
mitigacin,
son:deequipos
que pueden
se han deteriorado
de formadel
paulatina
instrumentos que se encuentran en estado de fallo pasivo y no detectado, modificaciones
en laEl instalacin
difundidas,al instrucciones
operaciones
concepto de insuficientemente
condiciones que predisponen
accidente, en sudeversin
ms general
infrecuentes
mal
recordadas,
etc.
de condiciones latentes (Lees, 2001), represent un avance notable en el modelado de
escenarios
accidentales.
Algunos ejemplos
de estados
quelaspueden
La conveniencia
de contemplar
en el modelado
de unlatentes
accidente
causasdesencadenar
raz del
mismo
propici
la integracin
de los
aspectos
de las
gestin
de lade
seguridad.
El omodelo
o facilitar
el suceso
iniciador, as
como
impedir
acciones
proteccin
mitigacin,
MORT
(Management
Oversight
and
Risk
Tree)
(Lees,
2001)
proporciona
un
sistema
de
son: equipos que se han deteriorado de forma paulatina e inadvertida, instrumentos
seguridad
ideal representado
un rbol
lgico
quedetectado,
contiene factores
de control en la
que se encuentran
en estadocomo
de fallo
pasivo
y no
modificaciones
especficos
y
aspectos
generales
de
gestin.
En
la
figura
2.2,
que
muestra
el
vrtice
del
instalacin insuficientemente difundidas, instrucciones de operaciones infrecuentes
rbol desplegando la parte correspondiente a los aspectos del sistema de gestin, cada
mal recordadas, etc.
bloque representa las deficiencias en ese aspecto; debe leerse, por tanto, como:
Poltica inferior a la adecuada, Implantacin inferior a la adecuada, etc.
22
Vctimas,
daos,
prdidas
Descuidos y
omisiones
Riesgos
asumidos
Factores de
control
especficos
Factores del
sistema de
gestin
Implantacin
Poltica
Metas
Sistemas de
informacin
Evaluacin
de riesgos
Proceso de
anlisis de los
peligros
Figura 2.2. Vrtice

del rbol
fallosdeldel
modelo
M.O.R.T.
FIGURA
2.2.de
Vrtice
rbol
de fallos
del modelo M.O.R.T.
Revisin del
programa de
seguridad
FUNDAMENTOS DE LA METODOLOGA
35
La conveniencia de contemplar en el modelado de un accidente las causas raz del

mismo propici la integracin de los aspectos de gestin de la seguridad. El modelo MORT
(Management Oversight and Risk Tree) (Lees, 2001) proporciona un sistema de seguridad
ideal representado como un rbol lgico que contiene factores de control especficos y
aspectos generales de gestin. En la figura 2.2, que muestra el vrtice del rbol desplegando
la parte correspondiente a los aspectos del sistema de gestin, cada bloque representa las
deficiencias en ese aspecto; debe leerse, por tanto, como: Poltica inferior a la adecuada,
Implantacin inferior a la adecuada, etc.
2.2. El modelo propuesto en esta Gua
Representado en la figura 2.3, el modelo que se propone en esta Gua tiene su origen
en el estudio de los presentados en la bibliografa y en el anlisis de numerosos accidentes
industriales (CEPPO, 2002; CSB, 1998a y b; HID, 2004; Fewtrell, 1998;). Como cualquier
otro, est orientado a ordenar y entender con claridad los factores que contribuyen a un
accidente y a sus consecuencias, as como a determinar qu elementos permiten eliminar
o mitigar esos factores. Aunque no es su utilidad sustancial, tambin facilita el anlisis
sistemtico de las causas de cualquier accidente industrial.
Se han integrado directamente en el modelo algunos elementos propios de un sistema
de gestin de la prevencin de accidentes graves; tal es el caso de la evaluacin de riesgos
y de la planificacin ante situaciones de emergencia. La influencia de otros elementos est
tambin presente, aunque de forma menos explcita; en este caso se encuentran el control de
la explotacin (prcticas de operacin, elementos de accin automtica,...) y la adaptacin
de las modificaciones (diseo y conservacin de la instalacin).
En el modelo se supone que la operacin normal es consecuencia de un adecuado
diseo y conservacin de la instalacin (Koller, 2000; Kletz, 2003) y de unas correctas
prcticas de operacin. No es casual que la cspide del modelo la ocupe la evaluacin de
riesgos, puesto que debe interactuar, desde los primeros pasos y a lo largo del ciclo de vida,
con el diseo y conservacin de la instalacin y con las prcticas de operacin.
La aparicin de una desviacin en el proceso se contempla como consecuencia de
una intervencin externa o de una condicin latente (en estos dos aspectos se engloba el
concepto suceso iniciador de la mayora de los modelos). No son aspectos mutuamente
excluyentes: en ocasiones una actuacin externa normal provoca una desviacin
en el proceso a causa de que una o varias condiciones latentes han ido mermando la
robustez de la instalacin.
El orden de actuacin de los aspectos control manual y accin automtica merece
algn comentario. En modo alguno se afirma en el modelo que, ante una desviacin
en el proceso, siempre interviene en primer lugar un operador. En el caso ms general,
los sistemas de control automtico de la planta tratarn de restablecer las condiciones ante-
24
ANLISIS DEL RIESGO EN LOS ESTABLECIMIENTOS DE NIVEL INFERIOR DE AFECTACIN

36
Evaluaciones de riesgos
(preliminar y continua)
Prcticas de operacin
(normal y de emergencia)
Diseo y conservacin
de la instalacin
Operacin o estado normal
Accin externa
Condicin latente
Desviacin en el proceso
No
Control
manual
Si
Si
Accin
automtica
No
Estado seguro
Accidente
Eficacia de los
medios de
mitigacin
Eficacia de la
gestin de la
emergencia
Consecuencias del
accidente
Esquemade
delun
proceso
de un accidente
industrial.
Figura 2.3. EsqFIGURA
uema del2.3.
accidente
industrial
proceso
37
riores a la desviacin y, slo si no lo consiguen, alertarn al operador mediante alarmas. En

el modelo, el aspecto accin automtica hace referencia a los dispositivos que protegen al
sistema cuando todo lo anterior ha fallado (vlvulas de seguridad, por ejemplo).
El concepto de accidente coincide con la definicin del artculo 3 del Real Decreto
1254/1999 (Cualquier suceso, tal como una emisin en forma de fuga o vertido, incendio
o explosin importantes.....que suponga una situacin de grave riesgo.....). As, la emisin
de una nube txica extensa o la rotura de un tanque de lquido inflamable, se consideran
accidentes en el modelo, con independencia de cules sean sus consecuencias finales.
Es la eficacia de los medios de mitigacin la que puede conseguir, por ejemplo, que
una nube inflamable no encuentre un foco de ignicin o que un lquido se quede contenido
en su cubeto. Por ltimo, la eficacia en la gestin de la emergencia puede determinar de
modo muy significativo la duracin y el alcance de las magnitudes peligrosas, as como la
proteccin de los elementos sensibles en las reas afectadas por el accidente.
El modelo hace intervenir explcitamente a las condiciones latentes slo entre las
causas que provocan o que facilitan una desviacin en el proceso. Esto no significa que el
modelo pase por alto el papel que otras condiciones latentes pueden jugar en el desarrollo
del escenario accidental. Una alarma anulada, un operador insuficientemente entrenado, una
vlvula de seguridad mal tarada o una instalacin de lucha contra incendios mal diseada
o mantenida, son ejemplos de condiciones latentes que pueden ejercer una influencia
determinante en la evolucin del escenario accidental.
El anlisis de un accidente real (CSB, 2003), utilizando la terminologa del modelo,
contribuir a clarificar el alcance de sus elementos y las conexiones entre ellos.
En un establecimiento se trasiega cloro lquido desde vagones cisterna hasta una
instalacin de llenado de botellas de 65 kg y de botellones de 1 tonelada. Los tubos
flexibles, con los que las tuberas fijas se conectan a las vlvulas del vagn cisterna,
tienen un tubo interno de tefln, un refuerzo estructural trenzado de Hastelloy C-276 (para
soportar la presin) y una espiral de proteccin externa de polietileno. Por un error en
el proceso de adquisicin de repuestos, algunos de los tubos flexibles tienen el refuerzo
estructural trenzado de acero inoxidable 316L (diseo y conservacin de la instalacin). La
ligera permeabilidad del tefln a las molculas de cloro, en combinacin con la humedad
atmosfrica, ha facilitado la corrosin del refuerzo estructural de estos tubos flexibles,
disminuyendo su resistencia a la presin. La espiral externa de polietileno impide observar
esa corrosin, crendose as la primera condicin latente.
Existe un sistema de corte de emergencia formado por varias vlvulas de esfera
actuadas neumticamente; se activa manualmente, mediante unos pulsadores, o de forma
automtica cuando los sensores de cloro detectan concentraciones superiores a las 10 ppm.
Los operadores activan el sistema a diario, pero sus prcticas de operacin no exigen la
comprobacin de la posicin real de las vlvulas cuando el sistema de emergencia est
38
activo. Aunque las esferas de las vlvulas son de Monel, se ha ido acumulando sobre ellas
cloruro frrico procedente de las tuberas de acero al carbono (diseo y conservacin de
la instalacin), de modo que la fuerza necesaria para que cierren es muy superior a la que
ejercen los actuadores neumticos (segunda condicin latente).
Durante la operacin de descarga de un vagn cisterna (operacin o estado normal),
los operadores cierran una vlvula manual, en la parte fija de la instalacin, para interrumpir
el proceso durante la pausa del desayuno. Esa simple accin externa provoca un ligero
aumento de presin en los tubos flexibles, uno de los cuales (debilitado por la primera
condicin latente) se rompe e inicia una fuga de cloro lquido (desviacin en el proceso).
Ni la activacin manual del sistema de corte de emergencia (control manual) ni la accin
sobre l de los sensores de cloro (accin automtica) consiguen cerrar las vlvulas de
emergencia, a causa de la segunda condicin latente.
La imposibilidad de acceder a los equipos autnomos de respiracin y la carencia de
un sistema para alertar a las instalaciones vecinas (eficacia de los medios de mitigacin),
unida a una escasa eficacia en la gestin de la emergencia, por parte de las autoridades
locales, conduce a la emisin de ms de 21 000 kg de cloro, durante unas tres horas.
A pesar de que las condiciones atmosfricas son muy favorables y la mayor parte
de la nube es arrastrada hacia zonas muy poco habitadas, un total de sesenta y seis
personas precisan asistencia mdica (tres de ellas permanecen hospitalizadas durante
una noche) aunque por fortuna ninguna de ellas sufre daos permanentes (consecuencias
del accidente).
2.3. Anlisis de los elementos del modelo
El tratar de establecer una lista exhaustiva de los aspectos englobados en cada uno de
los elementos del modelo sera seguramente una tarea tan prolija como intil. No obstante,
la esencia de cada uno de los elementos de modelo se subraya cuando se enumeran algunos
de los aspectos que incluye.
Evaluacin de riesgos. Este elemento se refiere tanto a la evaluacin inicial, que debe
interaccionar con el proceso de diseo para aminorar ab initio los riesgos detectados, como
a las evaluaciones que se realicen como consecuencia de:
Requisitos legales o normativos.
Cambios en los equipos, en las condiciones de proceso, en las materias primas, en
los materiales de construccin, etc.
Incidentes o accidentes sucedidos en la instalacin o en industrias similares.
Nuevos conocimientos sobre los materiales, las sustancias o las reacciones
involucradas
...............................................
39
La evaluacin de riesgos debe identificar los peligros asociados a los productos

qumicos que se manejan (toxicidad, reactividad, inflamabilidad,...), a los procesos
necesarios (presiones, temperaturas,...), a las operaciones (cargas/descargas, paradas,
puestas en marcha, ....), al emplazamiento (instalaciones prximas, trfico, meteorologa,
sismicidad, ...), etc.
Diseo y conservacin de la instalacin. Comprende todos los aspectos relacionados
con elementos fsicos del establecimiento, por ejemplo:
La seleccin del emplazamiento

La eleccin de los procesos productivos
Los accesos y la distribucin en planta.
El diseo de equipos, tuberas de interconexin, instrumentos, controles automticos,
enclavamientos y las restantes medidas de seguridad
La obra civil y las instalaciones mecnica, elctrica, de tuberas, etc.
El diseo de las reas de almacenamiento
La gestin de las modificaciones
....................................................
Prcticas de operacin. Este aspecto engloba todo el conocimiento que la organizacin

debe poner a disposicin de sus empleados para garantizar que todas las operaciones se
realizan en condiciones controladas y seguras. En particular quedan incluidas:
Los documentos (procedimientos, prcticas, instrucciones, guas, etc.) orientados

a:
Las operaciones de puesta en marcha, parada programada, paradas de
emergencia, etc. de equipos e instalaciones.
El control de los equipos e instalaciones durante su marcha normal, con
indicaciones concretas sobre los lmites normales de las variables de operacin.
La vigilancia de los valores crticos en la composicin qumica de algunas
materias primas, productos auxiliares, productos intermedios, productos finales
y servicios. Las instrucciones deben establecer cmo tomar las muestras, los
parmetros a analizar, sus lmites aceptables y las actuaciones a emprender en
caso de superacin de esos lmites.
Las actuaciones previas a las operaciones de mantenimiento en ciertas reas
(cegados, vaciados, inertizados, evaluaciones de atmsfera, etc.).
Los controles administrativos previos a ciertas operaciones de mantenimiento
(permisos de trabajo en caliente, de entrada en espacios confinados, etc.).
Las operaciones de mantenimiento consideradas crticas (ciertos trabajos de
soldadura, revisin y ajuste de puntos de consigna, etc.).
Las calibraciones de instrumentos de planta y/o de laboratorio.
........................................................
40
La formacin del personal, tanto ante un nuevo ingreso o un cambio de puesto de

trabajo, como la continua, orientada a:
Transmitir nuevos conocimientos sobre los procesos, los equipos o las sustancias
involucradas.
Analizar los incidentes o accidentes producidos en la instalacin o en otras
similares.
Adiestrar a los operadores sobre las actuaciones en caso de emergencia.
Eliminar hbitos incorrectos en la forma de hacer las cosas.
..........................................................
La observacin y el control de las prcticas y las actitudes reales en el desempeo
de los puestos de trabajo.
..............................................................
Operacin o estado normal. Aplicado a un nico equipo o a una instalacin completa,

este elemento debe contemplarse en un sentido amplio que comprenda:
Los periodos de marcha normal, con las variables de operacin dentro de sus lmites
(carga de la planta, temperaturas, niveles, presiones, caudales, composiciones,
etc)
Las operaciones de puesta en marcha.
Las operaciones de parada programada y aquellas otras no programadas pero que
sea previsible que se produzcan por causas conocidas (cortes de energa elctrica,
falsas seales en circuitos de enclavamiento, etc.).
Los periodos de parada por mantenimiento, cambios en el proceso, falta de materias
primas, exceso de producto almacenado, etc.
Una cantidad de producto almacenado comprendida dentro de los lmites de
capacidad para los que se disearon los almacenes.
.......................................................................
Accin externa. Cualquier suceso capaz de alterar las condiciones normales de
operacin o de crear, de forma inmediata o diferida, una condicin latente peligrosa. Como
ejemplos se podran citar los siguientes:
Errores de operacin (por accin o por omisin) en la apertura o cierre de vlvulas,
en la puesta en marcha o parada de bombas, en el orden de las etapas de una
secuencia, en la labor de vigilancia, etc.
Utilizacin de materias primas, materias auxiliares o servicios, con una o varias
caractersticas fuera de los lmites especificados.
Cambios en las condiciones de operacin, situndolas ms all de los lmites en los
que se realiz el estudio del proceso y su evaluacin de riesgos.
Modificaciones en el diseo original de la planta (materiales, equipos, venteos,
instrumentos, puntos de consigna, alarmas, enclavamientos, etc.)
Deficiencias en las labores de inspeccin y mantenimiento de la instalacin.
41
Alteraciones provocadas como consecuencia de accidentes en instalaciones

prximas, fenmenos naturales extremos o actos de sabotaje.
................................................................
Condicin latente. Aquella que resulta de difcil deteccin por los instrumentos
de medida y control del proceso productivo y por los propios operadores de la planta.
Puede que se haya introducido desde el propio diseo, que sea consecuencia de alguna
intervencin externa o que se haya ido generando a lo largo de la operacin de la planta.
Los ejemplos ms tpicos son:
Disminucin progresiva de la resistencia de los materiales que constituyen los
equipos, las tuberas, las juntas, etc., por corrosin, fatiga, fragilizacin, etc.
Errores en el diseo que slo se manifiestan cuando se intenta trabajar en la
planta en alguna combinacin de condiciones prxima a sus lmites superior
o inferior.
Acumulacin progresiva de algn producto en el interior de los equipos o
tuberas. Dependiendo de la naturaleza de ese producto, su acumulacin puede
obstruir conductos, catalizar reacciones fuera de los equipos adecuados o sufrir
descomposiciones.
Alteraciones de las condiciones de respuesta de los sistemas de medida, control
y seguridad de los procesos. Entre las ms frecuentes se cuentan los errores de
medida de los instrumentos, las modificaciones introducidas en los puntos de
consigna, en los valores de alarma y de corte, etc.
........................................................
Desviacin en el proceso. Aquella que sita una o varias variables fuera de los lmites
normales de operacin de la instalacin; en particular:
Temperaturas, presiones o niveles de una magnitud tal que superen la capacidad de
los sistemas de control automtico para restablecer los valores normales.
Prdidas de contencin de fluidos.
Alteraciones severas en los productos de reaccin, por ejemplo cuando prevalecen
reacciones que, en otras condiciones, resultaran secundarias.
.........................................................
Control manual. Cualquier actuacin de los operadores orientada a detectar y corregir
la causa de la desviacin, en particular:
Acciones sobre las vlvulas manuales o actuadas a distancia.
Puesta en marcha o parada de motores (ventiladores, bombas, compresores, etc.).
Accionamiento de sistemas de emergencia (secuencias de parada, sistemas fijos
de extincin, etc.).
42
Cabe sealar aqu que, en numerosas ocasiones, la actuacin de los operadores slo
es posible si han sido alertados por el sistema acerca de la presencia de una desviacin.
No es posible cimentar la seguridad de un proceso complejo sobre la necesidad de que un
operador mantenga de modo permanente su atencin sobre cada una de las variables
de ese proceso. Debe entenderse, por tanto, que dentro de este elemento se incluyen
todos los aspectos relacionados con la facultad del sistema para alertar al operador, con
preferencia antes de que se hayan alcanzado los lmites de las variables para las que existen
sistemas de regulacin automtica.
Accin automtica. Actuacin de los sistemas de ingeniera previstos para que acten
cuando determinadas variables estn prximas a alcanzar valores peligrosos (Tamborero
del Pino, 1997). Pueden citarse, entre otros:
Elementos de alivio de presin: vlvulas de seguridad, paneles de venteo, discos
de ruptura, etc.
Sistemas de enfriamiento rpido (quench) de reactores, por ejemplo, mediante la
admisin de grandes cantidades de agua.
Interruptores por presin, temperatura, caudal, nivel, composicin, etc. que
activan automticamente paradas de emergencia (trips) de equipos, sistemas o
instalaciones completas.
.................................................
Accidente. En el presente contexto es perfectamente vlida la definicin incluida en el
Real Decreto 1254/1999, de 16 de julio: Cualquier suceso, tal como una emisin en forma
de fuga o vertido, incendio o explosin importantes, que sea consecuencia de un proceso no
controlado durante el funcionamiento de cualquier establecimiento al que sea de aplicacin
el presente Real Decreto, que suponga una situacin de grave riesgo, inmediato o diferido,
para las personas, los bienes y el medio ambiente, bien sea en el interior o exterior del
establecimiento, y en el que estn implicadas una o varias sustancias peligrosas.
Eficacia de los medios de mitigacin. Relacin entre la cantidad de sustancia o energa que
ha conseguido retenerse por estos medios y la cantidad que escap a las actuaciones de control
descritas en los puntos anteriores. Entre los medios de mitigacin se cuentan:
Sistemas de recogida de los lquidos txicos que puedan ser expulsados de
los recipientes, a travs de los dispositivos de alivio, como consecuencia de
temperaturas y/o presiones elevadas, reacciones fuera de control, etc.
Los sistemas de canalizacin hasta la antorcha, de emisiones de gases y vapores
inflamables.
Los cubetos y diques de retencin de lquidos o lodos que se almacenen a presiones
cercanas a la atmosfrica.
Los sistemas de rociado de agua orientados al enfriamiento de recipientes o a la
absorcin de gases fcilmente solubles.
.................................................................
43
Eficacia de la gestin de la emergencia. Relacin entre los daos evitados y los que
cabra razonablemente pensar que se hubieran producido sin la intervencin del sistema
interno y externo de gestin de las emergencias. Algunos factores que influyen sobre
este elemento son los siguientes:
La existencia de Planes de Autoproteccin y de Emergencia Exterior cuidadosamente
elaborados, e implantados y mantenidos decididamente.
La rapidez y precisin en las comunicaciones entre los responsables del establecimiento y las autoridades competentes en la gestin de emergencias.
La coordinacin entre los agentes implicados en la gestin de la emergencia.
El buen funcionamiento de los sistemas de alerta a la poblacin y a los empleados
de instalaciones vecinas.
La informacin previa que posea la poblacin afectada, as como la confianza que
sta tenga en las autoridades y el grado de colaboracin que ofrezca.
..........................................................
Consecuencias: El grado de materializacin de los daos, inmediatos o diferidos, para
las personas, los bienes y el medio ambiente.
2.4. IDENTIFICACIN DE PELIGROS MEDIANTE LISTAS DE COMPROBACIN
El concepto, la preparacin y el empleo de las listas de comprobacin se tratan
ms extensamente en el captulo 3 de esta Gua. A los efectos del presente captulo ser
suficiente recordar que una lista de comprobacin es una relacin de los atributos o
aspectos deseables en un sistema, para que los riesgos inherentes al mismo se controlen
de forma adecuada.
Lo que se propone en esta Gua es la utilizacin de las listas de comprobacin para
la identificacin de los aspectos peligrosos que pueden darse en una instalacin industrial.
Esos aspectos pueden simultneamente clasificarse dentro de los elementos que se han
definido en el modelo de accidentes propuesto.
Un ejemplo servir nuevamente para aclarar el mtodo. En pginas anteriores se ha
descrito un accidente real que se produjo en agosto de 2002. Unos aos antes (DRC, 1996a)
se haba publicado una lista de comprobacin adecuada para instalaciones de descarga
de cloro lquido desde un recipiente mvil (camin o vagn cisterna) hasta depsitos de
almacenamiento fijos. La pregunta es inmediata habra ayudado la lista de comprobacin a
identificar alguno de los fallos que provocaron las consecuencias de ese accidente?
La tabla 2.1 recoge un pequeo fragmento de la lista de comprobacin citada, con la
nica finalidad de mostrar la parte esencial de su estructura. Se han eliminado las columnas
correspondientes al resultado de la comprobacin (correcto/incorrecto/no aplicable) y a las
observaciones, para destacar la parte ms til de la lista.
44
TABLA 2.1. Lista de comprobacin instalaciones de cloro (parcial)

Riesgos - Objetivos
Medidas
R. Daos a la estacin de descarga a

causa del trfico.
Limitar la circulacin interna

Proteger la estacin de descarga frente a las
colisiones con vehculos (rales de proteccin,...).
R. Movimiento del vagn durante la

descarga.
Inmovilizacin del vagn (por ejemplo con

calzos), con un enclavamiento que pueda
detener el flujo de cloro en la descarga.
O. Limitar la cantidad de cloro fugado

en caso de emisin durante la descarga.
Deteccin automtica de cloro con alarma

sonora en la sala de control e interrupcin de
la descarga. Posibilidad de disminuir la presin
en la cisterna por evacuacin de los vapores
de cloro (hacia su destruccin o utilizacin).
La tabla 2.2 se ha obtenido estudiando la lista de comprobacin en el orden inverso al

que aparece en la tabla 2.1, es decir, para cada una de las medidas (atributos, componentes,
funciones, ..... deseables) en qu riesgo se incurre si esa medida no existe o no se halla
operativa?. Por razones de brevedad, la tabla 2.2 se limita a identificar slo los riesgos que
se hicieron presentes en el accidente objeto de anlisis.
Los aspectos identificados en la tabla 2.2 han sido agrupados en la tabla 2.3 de acuerdo
con los elementos del modelo de accidentes descrito.
Cabe una observacin previa: la mayor parte de los aspectos de la tabla 2.2 pertenecen
inicialmente al elemento Diseo y conservacin de la instalacin; esto es prcticamente
inevitable si entendemos que este elemento incluye la decisin de si se instala o no un
determinado equipo (las vlvulas de cierre rpido, por ejemplo), dnde se le ubica, qu
especificaciones se le exigen, cmo se le protege durante su vida til, con qu frecuencia
se le inspecciona, qu mantenimiento recibe, etc. Pero, si esto es as, cmo decidir en qu
elemento ubicar aspectos tales como el mal funcionamiento de una vlvula o la prdida
de resistencia de un equipo?. Algunos criterios, y su aplicacin en la propia tabla 2.3,
contribuirn a dar una respuesta a esa cuestin:
1. Un dispositivo, potencialmente necesario pero no instalado o dejado fuera de
servicio, es un aspecto de riesgo atribuible exclusivamente al elemento Diseo y
conservacin de la instalacin, con independencia de que proceda, a su vez, de
una ineficaz Evaluacin de los riesgos.
2. Un equipo incorrectamente especificado o verificado, insuficientemente protegido,
instalado en el lugar incorrecto o inspeccionado con una frecuencia inadecuada,
45
TABLA 2.2. Identificacin de aspectos de riesgo en la instalacin de cloro
46
puede dar lugar a una condicin latente en cuyo origen estara un diseo y
conservacin de la instalacin deficiente.
3. El deterioro de un equipo por causas anmalas, en una zona del mismo o en
un periodo de tiempo no cubierto por los criterios de inspeccin habituales en
ese tipo de instalaciones, debera clasificarse exclusivamente en el elemento
condicin latente.
Otro detalle a sealar en la tabla 2.3 es la ausencia de elementos tales como Prcticas
de operacin, Operacin o estado normal y Accin externa. Hay que recordar nuevamente
que, buscando la brevedad, se han extrado de la lista de comprobacin slo los aspectos
que se relacionan ms directamente con el accidente puesto como ejemplo. No obstante,
en el primero de estos elementos cabra cualquier posible error en las operaciones previas
o posteriores a la descarga, que provocara una fuga o la simple contaminacin por aire
hmedo de las lneas destinadas al transporte de cloro seco. La descarga de un vagn o su
interrupcin momentnea caen, evidentemente, dentro del elemento Operacin o estado
normal. Una accin externa tpica podra ser el movimiento no intencionado del vagn
durante el periodo en el que est conectado a la instalacin, provocado, por ejemplo, por
la colisin con otro vagn en movimiento.
Aunque tambin ausente de la tabla 2.3, el elemento Evaluacin de riesgos, est
presente en todo el proceso. Tras la elaboracin de las tablas 2.2 y 2.3, no es difcil extraer
algunos de los requisitos que la citada evaluacin de riesgos hubiera impuesto:
Un diseo muy cuidadoso de la instalacin (equipos, materiales, mtodos de
soldadura, dispositivos de seguridad, ubicacin de los pulsadores, etc.)
Un control riguroso de las modificaciones y de la calidad de los repuestos.
Un sistema de inspeccin que verificara el estado y la actuacin real de los
dispositivos de seguridad.
Una planificacin ms eficaz de las emergencias.
34
47
TABLA 2.3. Asignacin de aspectos de riesgo a los elementos del modelo de accidentes.
Tabla 2.3. Asignacin de aspectos de riesgo a los elementos del modelo de accidentes.
Elemento del modelo
Aspectos
Diseo y conservacin de
la instalacin.
Existencia de materiales sin la resistencia qumica o mecnica

adecuada, en lneas, equipos, vlvulas, juntas, etc.
Carencia de dispositivos de seguridad.
Sistema de cloro seco vulnerable a la entrada de humedad.
Sistema de aire comprimido vulnerable a la entrada de vapores de
cloro.
Uso de flexibles no controlados (fecha de validez, corrosin, etc.).
Dificultades para verificar el estado de apertura o cierre de vlvulas
automticas tanto en operacin normal como con motivo de las
comprobaciones de su buen funcionamiento.
Incorrecto posicionamiento del sistema de vlvulas de cierre rpido en
caso de fallo de aire.
Dependencia de un operador para activar las vlvulas de corte.
Condicin latente.
Prdida de resistencia en lneas o equipos por la presencia en ellos de

materiales inadecuados.
Prdida de resistencia en lneas y equipos que contienen cloro, por
corrosin del acero al carbono.
Presencia de materiales slidos en vlvulas y conductos.
Prdida de resistencia en lneas o equipos de aire comprimido.
Corrosin no advertida bajo los aislamientos.
Desviacin en el proceso
Escape de cloro lquido.
Control manual.
Presencia de materiales slidos en vlvulas y conductos (c. latente).

Desconocimiento del estado de apertura o cierre de las vlvulas en las
comprobaciones de su funcionamiento (condicin latente).
Imposibilidad de actuar sobre las vlvulas por hallarse el acceso a los
pulsadores en una zona invadida por la nube txica.
Accin automtica.
Ausencia de un sistema de cierre rpido que, en caso de rotura de

flexibles haga mnima la cantidad de cloro lquido fugado.
Desconocimiento del estado de apertura o cierre de las vlvulas en las
comprobaciones de su funcionamiento (condicin latente).
Presencia de materiales slidos en vlvulas y conductos (c. latente).
Dependencia de un operador para activar las vlvulas de corte.
Accidente.
Fuga importante de cloro con riesgo grave tanto en el interior como en

el exterior del establecimiento.
Eficacia de los medios de

mitigacin.
Imposibilidad de acceder al punto desde donde la fuga podra ser

controlada.
Imposibilidad de reducir el alcance de la nube con cortinas de agua.
Eficacia de la gestin de
la emergencia.
Desconocimiento de hacia dnde escapar y respecto a qu zonas deben

ser alertadas.
Ineficacia en la aplicacin de medidas de emergencia.
48
2.5. SECUENCIAS ACCIDENTALES: RBOL DE SUCESOS

El captulo 4 de esta Gua contempla en detalle el anlisis de secuencias accidentales
mediante el mtodo del rbol de sucesos. Para los fines del presente captulo bastar tener
presente que un rbol de sucesos es un modelo lgico grfico que identifica los resultados
posibles que siguen a un suceso iniciador, bien a travs de una serie de actuaciones de
los sistemas de proteccin, de las funciones normales de la planta y de las intervenciones
de los operadores o bien, si ya ha ocurrido un incidente, a travs de la serie de posibles
consecuencias.
Continuando con el ejemplo de la instalacin de descarga de cloro lquido, debe
recordarse que:
a) Se han identificado una serie de aspectos, relacionados con la prdida de resistencia
de los materiales, por los que podra producirse una fuga de cloro lquido.
Tambin se ha apuntado la posibilidad de que la fuga sea provocada por una
accin externa.
b) Se conocen las medidas de seguridad para detener esa fuga cuanto antes (sensores
de cloro, pulsadores de emergencia y vlvulas de cierre rpido), pero tambin
se han apuntado algunas condiciones latentes que podran limitar o impedir la
actuacin de esas medidas.
c) Se sabe de la existencia de medios para la intervencin en las proximidades de la
fuga (traje estanco con equipo autnomo), si bien se ha citado alguna razn por
las que esos medios podran resultar inaccesibles.
d) Se supone la existencia de un plan de autoproteccin, aunque se desconoce hasta
que punto se halla bien implantado y mantenido.
La construccin de rbol comienza con la seleccin del suceso iniciador, que en este
caso es la rotura de la conexin flexible debido a una disminucin de su resistencia o a un
esfuerzo de traccin sobre la misma.
En segundo lugar, hay que tomar una decisin respecto a quin intenta actuar sobre
las vlvulas de cierre rpido en primer lugar; aunque en el accidente real, la magnitud de
la fuga hizo que actuara casi inmediatamente el sensor de cloro (el operador slo actu
sobre el pulsador cuando abandonaba la instalacin), se ha supuesto que, en condiciones
normales de descarga, la actuacin del operador precedera a la del sensor; en este caso
particular, el orden de actuacin es prcticamente irrelevante.
En tercer lugar, se contempla la posibilidad de que el operador hubiera conseguido
equiparse adecuadamente y llevar a cabo la intervencin que horas ms tarde realizaron
los equipos de intervencin externa, cerrando las vlvulas manuales sobre el techo
del vagn.
F36
UNDAMENTOS DE LA METODOLOGA
AB
ABC
ABCD
xito
ABCDF
Fallo
ABCDE
ABCDEF
Identificacin de las columnas del rbol:

A. Suceso iniciador. Fuga de cloro lquido por rotura de la conexin flexible.
B. Control manual. Cierre de las vlvulas accionado por el operador.
C. Accin automtica. Cierre de las vlvulas accionado por el sensor de cloro.
D. Eficacia de los medios de mitigacin. Intervencin del operador equipado sobre vlvulas
de accionamiento manual.
E. Eficacia de la gestin de la emergencia. Alerta inmediata a la poblacin, actuacin de
equipos de intervencin externos, etc.
F. Factor de condiciones meteorolgicas. La direccin del viento, su velocidad y la clase de
estabilidad atmosfrica resultan determinantes en las consecuencias de las nubes txicas.
G. Resultado del accidente. Se identifica por las letras que representan el suceso iniciador y
todos los sucesos que han fallado en serie con l. En el caso de las condiciones
meteorolgicas, se interpreta como fallo la presencia de aquella situacin no favorable
para la dispersin inocua de la nube txica.
Ejemplos de resultados:
A
Producida la rotura, el cierre de las vlvulas accionado por el operador ha

limitado la fuga de cloro a unos pocos kg.
AB
Producida la rotura, ha fallado la actuacin del operador, pero no as la del sensor

de cloro, el cual ha cerrado las vlvulas limitando la cantidad de cloro fugado.
ABCDE
Resultado del accidente real que se viene usando como ejemplo en este captulo.
2.4. para
rbol el
de accidente
sucesos para
el accidente ejemplificado.
Figura 2.4. rbolFIGURA
de sucesos
ejemplificado
49
50
La eficacia en la gestin de la emergencia ocupa la cuarta ramificacin del rbol;

en el caso en estudio los fallos ms acusados fueron la inexistencia de un sistema para
alertar a los alrededores, junto con cierta falta de coordinacin inicial entre las fuerzas
responsables del control de la emergencia.
Se ha reservado una ramificacin para incluir el efecto de las condiciones meteorolgicas
que, en este y en otros accidentes similares, pueden establecer diferencias dramticas
en las consecuencias del suceso.
2.6. EJEMPLO RESUMIDO DEL PROCEDIMIENTO
Se incluye en este captulo un ejemplo resumido de aplicacin del procedimiento
de anlisis, con la finalidad de destacar sus etapas esenciales. En una publicacin
complementaria de la actual (Ruiz, 2004), se desarrollan dos ejemplos de aplicacin de
esta metodologa, que cubren todos los contenidos del anlisis del riesgo propuestos
en la tabla 1.2.
El tipo de instalacin elegida para el ejemplo, un parque de almacenamiento de
productos petrolferos, ofrece algunos rasgos diferenciales con respecto a otras instalaciones
donde se manejan sustancias peligrosas:
Existe una amplia experiencia en relacin con las propiedades peligrosas de las
sustancias almacenadas y con el origen de los accidentes potenciales, la cual ha
motivado una reglamentacin preventiva especfica y directamente aplicable.
Puesto que los accidentes tpicos incendios y explosiones tienden a propagarse
por efecto domin, en estas instalaciones estn muy desarrollados los medios de
mitigacin defensa contra incendios y la planificacin de las emergencias.
2.6.1. Descripcin de la instalacin

Se trata de una instalacin de recepcin, almacenamiento y distribucin de lquidos
petrolferos con una capacidad nominal de 25 000 m3, repartida entre gasolina (10 000
m3) y gasleos (15 000 m3).
La cantidad de gasolina presente (aproximadamente 7500 t) hace que el establecimiento
se encuentre afectado por el Real Decreto 1254/1999, de 16 de julio, si bien esa cantidad
slo supera a la especificada en la columna 2 de la parte 1 del Anexo I del citado Real
Decreto, por lo que se trata de una afeccin de las coloquialmente denominadas de
nivel inferior.
51
TABLA 2.4. Parte 1 del Anexo I del Real Decreto 1254/1999 (parcial)
Columna 1
Sustancias peligrosas
Columna 2
Columna 3
Cantidad umbral (toneladas) para la aplicacin de
(Artculos 6 y 7)
(Artculo 9)
5 000
50 000
Gasolina de automocin y otras fracciones ligeras
El parque ocupa una superficie de 20 000 m2 y consta de las siguientes reas:
Zona de almacenamiento.
Circuitos de tuberas.
Estacin de bombeo.
Cargadero de camiones cisterna.
Vas de acceso, circulacin, aparcamiento y maniobra.
Edificio de control de las operaciones de carga y de expedicin de documentos.
Tanques para la separacin de productos contaminados.
Sistema de defensa contra incendios.
Instalaciones auxiliares (tanques de aditivos, red de drenajes, sistema elctrico,..).
La instalacin se construy en 1999 y satisface todos los preceptos de la Instruccin

Tcnica Complementaria MI-IP02 Parques de almacenamiento de lquidos petrolferos,
modificada por el Real Decreto 1562/1998, de 17 de julio.
Los principales procesos que tienen lugar en la instalacin son los siguientes:
Recepcin y acondicionamiento de los productos.

Almacenamiento.
Carga de camiones cisterna.
Separacin de los lquidos petrolferos y el agua.
Defensa contra incendios.
Recepcin y acondicionamiento de los productos.

La instalacin recibe los combustibles por medio de un oleoducto de 10 pulgadas de
dimetro. En su camino hacia los tanques, algunos de estos lquidos reciben la adicin de
colorantes por medio de bombas dosificadoras; este es el caso de las gasolina sin plomo
(verde) y de los gasleos B y C (rojo y azul, respectivamente).
Almacenamiento.
La zona destinada a este fin ocupa una superficie aproximada de 8 000 m2 y contiene
doce tanques (Tabla 2.5); en seis de ellos se almacenan productos de la clase B1 (gasolinas),
y en los seis restantes productos de la clase C (gasleos).
52
TABLA 2.5. Descripcin de los tanques de almacenamiento

N de
tanques
2
2
2
2
2
2
Tipo
Techo
Techo
Techo
Techo
Techo
Techo
fijo
fijo
fijo
fijo
fijo
fijo
y
y
y
y
y
y
pantalla flotante (1)

succin flotante
succin flotante
succin flotante
Producto
Capacidad
nominal, m3
Gasolina 95
Gasolina 97
Gasolina 98
Gasleo A
Gasleo B
Gasleo C
2 500
1 500
1 000
4 000
2 000
1 500
Dimensiones, m
Dimetro
Altura
16,3
12,7
10,4
18,7
13,3
11,5
12,0
12,0
12,0
14,6
14,6
14,6
(1) La unin del techo fijo con las paredes del tanque tiene menor resistencia que stas, de modo que, en caso
de sobrepresin accidental no se produzca rotura por debajo del nivel mximo de utilizacin.
Los tanques son de acero al carbono ASTM A-283C y satisfacen la norma API 650; sus
mximas sobrepresiones y depresiones se calcularon siguiendo la norma API 2000. Cuentan
con los adecuados orificios de venteo y disponen de vlvulas motorizadas de accionamiento
a distancia en sus principales tuberas de entrada y salida.
Existen dos cubetos, con una superficie superior a los 3 000 m2 cada uno, en cuyo
interior se alojan los seis tanques de cada una de las familias de productos. Cada
cubeto cuenta con muros de 1,50 m de altura, resistentes a los hidrocarburos, y est
compartimentado con muretes de 0,7 m de altura. Todos los cubetos cuentan con escaleras
de acceso y con rampas para el acceso de vehculos.
Desde los tanques se bombean los productos a la zona de carga mediante tuberas de 4
y de 6 pulgadas de dimetro. Todos los tramos de lneas aislables cuentan con vlvulas de
alivio trmico con salidas hacia los tanques de almacenamiento.
Carga de camiones cisternas.
Existen cuatro isletas de carga de forma rectangular, rodeadas completamente por un
bordillo que permite el paso de los camiones, pero que impide la dispersin de los posibles
derrames accidentales, los cuales seran conducidos a la red de drenaje a travs de unas
rejillas. En cada isleta existen cuatro brazos desde los que las cisternas se cargan por su parte
inferior, mediante mangueras flexibles, con un caudal aproximado de 2500 l/min en cada
brazo. Se dispone de un sistema de recuperacin de los vapores generados durante el llenado
de los compartimentos de las cisternas (aproximadamente 10 m3/compartimento).
En la sala de control se dispone de informacin sobre niveles y temperaturas de los
tanques, presiones de aspiracin e impulsin de las bombas, estado de apertura o cierre
de las vlvulas motorizadas, productos en carga, situacin de los brazos de carga y de las
cisternas, enclavamientos en servicio, estado de las alarmas, etc.
53
Separacin de los lquidos petrolferos y el agua.

Existe una red de drenajes con circuitos independientes para los productos petrolferos
y para las aguas pluviales. Las aguas que contienen hidrocarburos se recogen en una arqueta
de 36 m3 dotada de un separador API. El hidrocarburo separado se vierte al interior del
tanque correspondiente, mientras que el agua se vierte a la red de pluviales o se recircula
a la arqueta de drenajes para repetir el ciclo.
Sistema de defensa contra incendios.
El suministro de agua procede de la red pblica, que posee en este emplazamiento
una capacidad y presin de descarga adecuadas, complementado con un depsito enterrado
de 1000 m3 de capacidad. La red de agua contra incendios est alimentada por dos grupos
motobomba (elctrico y diesel), se encuentra distribuida en malla y dotada de hidrantes con
monitor que permiten disponer, de manera inmediata y en cualquier rea de la instalacin,
del caudal de agua necesario.
Los tanques de almacenamiento cuentan con un sistema fijo de extincin de incendios
por inundacin de espuma y de anillos fijos de refrigeracin de agua. Los sistemas fijos
de extincin por espuma estn tambin presentes en los cargaderos de cisternas (120
sprinklers de agua/espuma, sobre las cuatro isletas) y en la estacin de bombeo. Estos
sistemas pueden ser activados a distancia desde el edificio de control, con lo que se mejora
la eficacia y la seguridad de las intervenciones.
El centro de transformacin elctrica y el de mando de motores estn protegidos
con un sistema de gas extintor.
Como complemento de todo lo anterior, el establecimiento cuenta con un elevado
nmero de extintores de polvo porttiles, seleccionados de acuerdo con la Instruccin
Tcnica Complementaria MI-IP02 (Real Decreto 1562/1998).
Los procedimientos para controlar y mitigar los efectos de un accidente se
describen en el Plan de Autoproteccin, que se considera adecuadamente implantado
y mantenido.
2.6.2. Generacin y uso de la lista de comprobacin
La preparacin de una lista de comprobacin exige una fase previa en la que debe
recopilarse informacin relacionada con las condiciones exigibles a la instalacin objeto de
estudio. Para este caso particular, se ha partido de las siguientes referencias:
Cejalvo, 1995, DRC, 1996b y 2000, Mndez, 1994a y b, 1995a y b, Turmo, 2001.
Orden de 16 de abril de 1998.
54
Reales Decretos 1942/1993, 2085/1994, 400/1996, 485/1997, 1562/1998, 1523/1999,

842/2002 y 681/2003.
En el Anexo, Instalacin de almacenamiento de lquidos petrolferos. Lista de
comprobacin, se presenta en forma tabular, el conjunto de los aspectos a verificar en la
instalacin, identificados a partir de la documentacin anterior y de las Fichas de Datos
de Seguridad de los combustibles almacenados. Las cuestiones de las listas presentan
una clasificacin mixta, en el sentido de que por una parte es posible encontrar bloques
temticos (Zonificacin, Distancias de seguridad, etc.) y por otra zonales (Tanques,
cargaderos, etc.).
Con respecto a una lista de comprobacin clsica, cuya utilidad slo fuera la de
verificar la existencia o el estado de determinados elementos de seguridad, la tabla A.1
se diferencia en dos aspectos:
1. Se han eliminado las columnas en las que suele registrarse el resultado de la
verificacin (Si / No / No aplicable) y las posibles observaciones. En su lugar, se han
dispuesto dos columnas con el siguiente contenido:
Riesgo o riesgos a evitar o reducir mediante el aspecto que se est verificando.
Elemento del modelo accidental donde ese riesgo se situara preferentemente.
2. Se ha reducido el nivel de detalle con relacin al que debera contener una
lista de verificacin operativa, dado que se trata de un ejemplo cuyo objetivo es la
identificacin genrica de los riesgos y no su deteccin en un rea, sistema, equipo o
dispositivo concreto.
2.6.3. Identificacin y clasificacin de los aspectos de riesgo.
Esta etapa incluye el cumplimentar las columnas segunda y tercera de la lista de
comprobacin del Anexo. En lo que se refiere a la segunda columna, Riesgos a evitar
o reducir, no es probable que surjan dudas; la mayor parte de los Aspectos a verificar
sugieren de forma muy directa el riesgo que se corre si se omite ese criterio constructivo,
ese dispositivo de deteccin o control, o esa prctica operativa.
Por el contrario, el establecer a qu elemento/s del modelo pertenece cada uno de
los aspectos de riesgo identificados no siempre es una tarea sencilla. La mayor parte de
la dificultad procede en ocasiones de la ausencia de una consideracin previa y de una
definicin precisa de hasta dnde se puede hablar de una simple desviacin en el proceso y
a partir de qu punto debe considerarse que se trata de un accidente.
En un parque de almacenamiento de lquidos petrolferos puede considerarse una
desviacin en el proceso la presencia de una nube inflamable fuera de los lmites previstos
55
en el diseo (por ejemplo, a causa de un derrame lquido o por venteo errneo de un

recipiente) o la generacin de focos calientes o chispas en el interior de esos lmites
(por ejemplo provocar descargas electrostticas en la boca de carga de una cisterna); en
consecuencia, todas las acciones dirigidas a detener ese derrame, a dispersar la nube o
a eliminar cualquier fuente de ignicin caeran dentro de una de las categoras Control
manual o Accin automtica.
Como cabra esperar, el elemento Accidente del modelo se reserva para los incendios;
as, la pronta extincin mediante el uso de espuma, la limitacin de la zona incendiada por
medio de cubetos o los dispositivos responsables de evitar la propagacin, son aspectos
propios del elemento Eficacia de los medios de mitigacin.
Las tablas 2.6 y 2.7 proceden casi directamente de las A.1 del Anexo, aunque
muestran con mayor claridad qu aspectos del riesgo se han clasificado dentro de cada
uno de los elementos del modelo. El anlisis, en lo que sigue, se limita al rea de
carga de cisternas por razones de brevedad; su extensin al resto del establecimiento
resulta directa.
TABLA 2.6. Identificacin y clasificacin de aspectos de riesgo.
Elemento en el modelo
Aspectos de riesgo
Diseo y conservacin de
la instalacin.
Cualquier aspecto no adecuado en relacin con:

Recogida y evacuacin de derrames lquidos.
Espacios de circulacin y estacionamiento.
Interconexin elctrica de tuberas y estructuras y de stas
con tierra.
Dispositivos para conexin a tierra de las cisternas.
Enclavamientos ante fallo en conexiones a tierra.
Programa de inspeccin de los sistemas de conexin equipotencial.
Seleccin, inspeccin y conservacin de mangueras.
Enclavamiento ante movimientos del camin.
Iluminacin del cargadero.
Enclavamientos ante sobrellenados.
Programa de inspeccin de los dispositivos preventivos del
sobrellenado.
Vlvulas con accionamiento a distancia para aislar el camin
cisterna de la instalacin con interruptores estratgicamente
situados.
Instalaciones fijas y mviles de extincin.
Prcticas de operacin y
actuacin en emergencias.
Cualquier aspecto no adecuado en relacin con las obligaciones

siguientes:
Cargar con motor parado los productos de la clase B.
Limitar la velocidad de carga si la conductividad no supera
los 50 pS/m.
Evitar la carga de una cisterna que ha llevado un lquido de bajo
punto de inflamacin, con otro cuyo punto sea alto.
56
TABLA 2.6 (cont.). Identificacin y clasificacin de aspectos de riesgo

Aspectos de riesgo
No colocar objetos conductores sobre la cisterna durante la carga,
ni poco despus de que sta haya finalizado.
Dejar al producto un tiempo de relajacin suficiente, si ste ha
atravesado un filtro en su camino al cargadero.
Aportar un aditivo antiesttico para garantizar que la conductividad
supera los 50 pS/m.
Disponer de un procedimiento documentado para la carga de
cisternas.
Inmovilizar los camiones mediante el freno de mano o calzos.
Verificar el vaciado total de cada compartimento.
Inspeccionar visualmente las mangueras, antes de cualquier
utilizacin y conservarlas en lugar adecuado.
Vigilar permanentemente las actividades de carga.
Vaciar o aspirar las tuberas hasta las vlvulas.
Eliminar rpidamente y de manera segura cualquier fuga de
lquido.
Controlar los niveles mximo y mnimo de llenado de las cisternas
y el cerrado de sus bocas.
Acciones externas.
Impacto entre un vehculo y la instalacin o contra otro vehculo.

Ignicin por cargas electrostticas durante el proceso de carga
(generacin de chispas al introducir una regleta en la cisterna,
p. ej.).
Errores de operacin respecto al procedimiento de carga de cisternas:
provocados por condiciones de baja iluminacin.
a los que ha contribuido el hecho de que no todas las conexiones
y vlvulas importantes indican claramente su funcin (producto,
tanque, etc.).
distracciones en las operaciones de carga controladas por un
operador mediante la vigilancia del nivel o de la cantidad
transferida.
Movimientos o marcha del camin durante la carga, mientras que
permanece conectado a la instalacin y en proceso de carga.
Condiciones latentes.
Zonificacin incorrecta o equipo elctrico defectuoso.

Presencia inadvertida de vapores de bajo punto de inflamacin,
durante el proceso de carga de un producto de alto punto de
inflamacin.
Generacin inadvertida de cargas electrostticas, como consecuencia
del paso del producto por un filtro.
Capacidad del producto para generar cargas electrostticas como
consecuencia de su baja conductividad.
Debilitamiento de la manguera por incompatibilidad qumica.
Debilitamiento inadvertido de la manguera durante el uso.
Utilizacin de una manguera cuyo mal estado se desconoce, por
falta de inspeccin visual previa.
Deterioro inadvertido de la manguera por mal almacenamiento.
Fallos no detectados en los enclavamientos ante sobrellenados.
Fallos no detectados en las bombas dosificadoras de control de la
cantidad transferida, con interrupcin automtica.
57
TABLA 2.6 (cont.). Identificacin y clasificacin de aspectos de riesgo

Aspectos de riesgo
Control manual.
Cualquier aspecto no adecuado en el control de:

La ignicin provocada por el motor del camin o por su sistema
elctrico.
La generacin de cargas electrostticas durante el proceso de
carga, por excesiva velocidad del fluido.
La existencia de cualquier problema que se ponga de manifiesto
durante la operacin de descarga.
La liberacin de cantidades importantes de lquido inflamable
tras la deteccin de un problema, relacionada con la actuacin
sobre las vlvulas de cierre rpido.
La extensin de una fuga lquida hasta formar un charco de
gran superficie, relacionada con los elementos y sistemas de
recogida.
Accin automtica.
Cualquier aspecto no adecuado en el control no manual de:

La extensin de una fuga lquida hasta formar un charco de
gran superficie.
La generacin de cargas electrostticas entre tuberas y estructuras.
La generacin de cargas electrostticas entre el sistema de
tuberas y el camin.
El comienzo de la operacin de carga sin las adecuadas conexiones
a tierra.
El deterioro y prdida de funcionalidad de los sistemas de
conexin equipotencial.
La generacin de cargas electrostticas durante el flujo del
producto por la manguera
Los derrames debidos al movimiento o a la marcha del camin
durante la carga.
Eficacia de los medios de

mitigacin.
Acceso difcil o incluso imposible en caso de intervencin.

Cualquier aspecto relacionado con deficiencias en el diseo,
conservacin o acceso a los sistemas de enfriamiento y extincin
(agua, espuma y sistemas mviles).
Eficacia de la gestin de
la emergencia.
58
TABLA 2.7. Resto de elementos del modelo

Operaciones o estados
normales.
El estacionamiento de cisternas, su aproximacin, carga y salida.

El estado de reposo del cargadero, en ausencia de cisternas.
Las labores de limpieza y mantenimiento del cargadero.
Desviaciones en el proceso.
Derrame por sobrellenado.

Liberacin de pequeas cantidades de lquido inflamable durante
la desconexin de las mangueras.
Liberacin por rotura o agrietamiento de la manguera de carga.
Liberacin de cantidades importantes de lquido inflamable, incluso
tras la deteccin precoz de una fuga.
Existencia de condiciones que puedan crear un foco de ignicin
en puntos donde resulta inevitable la presencia de mezclas inflamables
(interior de la cisterna, por ejemplo).
Accidente.
Cualquier incendio o explosin importantes.
2.6.4. Escenarios accidentales

Las tablas 2.6 y 2.7 permiten identificar los aspectos que pueden encadenarse en forma
de rbol de sucesos para crear cada una de las secuencias que constituyen los diversos
escenarios accidentales. El por dnde empezar depende de la finalidad que se persiga:
alguien interesado en conocer slo cmo puede llegarse a una desviacin en el proceso,
iniciar el rbol por alguna de las acciones externas, comprobar si alguna de las posibles
condiciones latentes es capaz de precipitar o agravar el resultado, revisar el papel de los
sistemas de regulacin automtica, alarmas, etc. y obtendr un rbol en cuyos resultados
aparecern las desviaciones del proceso, junto a otras ramas representativas del xito
de algunos sistemas de seguridad.
Por el contrario, si la finalidad fuera la de estudiar las posibles consecuencias finales de
una desviacin en el proceso, el analista usara sta como suceso iniciador y se preguntara
qu aspectos del control manual y de las acciones automticas se pondran en juego y
en qu orden. Finalmente, hara intervenir los aspectos incluidos en la eficacia de las
acciones de mitigacin y de gestin de las emergencias para tratar de evaluar las posibles
consecuencias del accidente.
Para la finalidad de este ejemplo, se ha elegido como incidente un derrame por
sobrellenado durante la carga de un camin cisterna.
Suceso iniciador.
Se trata de la presencia inadvertida de gasolina (~ 400 litros) en uno de los compartimentos de la cisterna, provocada por la descarga incompleta del lquido que ste contena,
a causa del cierre intempestivo de su vlvula de fondo (obturador interno), en el porte
inmediatamente anterior. El conductor haba omitido la preceptiva verificacin del vaciado
59
de la cisterna antes de iniciar la carga y program un volumen que superaba la capacidad

libre de ese compartimento. Con esa condicin latente presente, se inici la carga con un
caudal que supera ligeramente los 40 l/s, pero que disminuye a medida que el volumen
transferido se acerca al programado.
An partiendo de un compartimento vaco, se podra presentar una situacin de peligro
de sobrellenado semejante a la descrita por otras dos vas: programando errneamente un
volumen superior a la capacidad nominal del recipiente (accin externa) o por fallo del
contador volumtrico que interrumpe la carga cuando se alcanza el volumen programado
(condicin latente).
Funciones de seguridad.
En primer lugar, se cuenta con una sonda de nivel que, al detectar un sobrellenado,
acta cerrando una electrovlvula en la lnea de carga. Este sistema puede producir
tres clases de resultados:
Cierre de la vlvula con la suficiente antelacin para evitar el derrame.
Cierre de la vlvula, pero en un momento en el que la inercia del sistema pueda
dar lugar a un pequeo derrame.
Fallo en su funcin de cerrar la vlvula, permitiendo un derrame continuado.
En segundo lugar, existe la posibilidad de activar manualmente el cierre de las
electrovlvulas, mediante unos pulsadores situados localmente y tambin en el cuarto
de control (parada de emergencia). Esta es una funcin de seguridad cuyos resultados
dependen del tiempo que se tarde en actuar sobre los pulsadores. Podra considerarse un
xito que la actuacin tuviera lugar antes de 5 segundos (unos 100 litros derramados) y
un fallo el que se superara ese periodo.
La tercera de las funciones de seguridad es el corte automtico cuando se ha alcanzado
el volumen programado; si el suceso iniciador es el que se ha descrito, el xito de este
sistema limitara el derrame a una cantidad inferior a 400 l; su fallo no dara lugar a un
derrame ilimitado, porque se debe contar con que en todo caso se activarn los pulsadores
de parada de emergencia. Por tanto, en el rbol se prescindir de esta funcin, considerando
que acta en paralelo con el corte de emergencia.
Resumiendo los resultados que puede esperarse razonablemente de la combinacin del
suceso iniciador y de las funciones de seguridad implantadas son:
Ausencia de derrame.
Derrame mnimo (< 25 litros).
Derrame intermedio (25-100 litros).
Derrame importante > (100 litros).
60
46
Continuando con las funciones de seguridad, la disposicin del cargadero es tal que
cualquier derrame accidental fluye rpidamente hacia un sumidero, situado fuera de la
la proyeccin
proyeccin vertical
vertical del
del vehculo
vehculo yy conectado
conectado con
con lala red
redde
deaguas
aguashidrocarburadas.
hidrocarburadas.ElEl
xito
de de
estaesta
funcin
consiste
en evitar
la existencia
de charcos
de lquido
inflamable
en
xito
funcin
consiste
en evitar
la existencia
de charcos
de lquido
inflamable
losen
alrededores
de la de
cisterna.
los alrededores
la cisterna.
Para el caso de obstruccin del sumidero o en cualquier circunstancia en la que

se hayaPara
confinado
unobstruccin
derrame ydel
se sumidero
quiera limitar
su emisin
de vapores,
el caso de
o en cualquier
circunstancia
en laexisten
que se
sistemas
fijos y mviles
de espuma
paralimitar
cubrirsusuemisin
superficie.
Se trataexisten
de unasistemas
funcinfijos
de
haya confinado
un derrame
y se quiera
de vapores,
seguridad,
xito separa
cifracubrir
en lasu
eliminacin
deluna
riesgo
de ignicin
retardada
y mvilescuyo
de espuma
superficie. efectiva
Se trata de
funcin
de seguridad,
cuyo
de xito
una superficie
de
lquido
inflamable
o
de
los
vapores
de
ste.
se cifra en la eliminacin efectiva del riesgo de ignicin retardada de una superficie
de lquido
inflamable
o de los vapores
de con
ste. un separador para la depuracin de las
Finalmente,
la instalacin
cuenta
aguas hidrocarburadas, cuyo funcionamiento correcto da lugar a una separacin eficaz
Finalmente,
la instalacin cuenta con un separador para la depuracin de las aguas
del agua
y de los hidrocarburos.
hidrocarburadas, cuyo funcionamiento correcto da lugar a una separacin eficaz del
2.5 muestra el rbol de sucesos correspondiente al suceso iniciador y
figura
agua La
y de
los hidrocarburos.
a las funciones de seguridad enumeradas. Los resultados se han identificado con un
cdigo que corresponde a las funciones de seguridad que han tenido que fallar para que
La figura 2.5 muestra el rbol de sucesos correspondiente al suceso iniciador y a las
se llegue a esa situacin. La descripcin detallada de cada resultado se recoge en la tabla
funciones de seguridad enumeradas. Los resultados se han identificado con un cdigo que
2.8.
corresponde a las funciones de seguridad que han tenido que fallar para que se llegue a esa
situacin. La descripcin detallada de cada resultado se recoge en la tabla 2.8.
Suceso Sonda de
iniciador
nivel
A
B
Pulsador Corte por

volumen
parada
C
D
Parada
bombas
E
Sistema
drenaje
F
Sistemas
espuma
G
Balsa
API
H
Resultado
A
AB
ABC
ABCH
ABCF
ABCFG
ABCD
ABCDH
ABCDF
ABCDFG
ABCDE
FIGURA 2.5. rbol de sucesos en ausencia de ignicin.
Figura 2.5 . rbol de sucesos en ausencia de ignicin.
61
TABLA 2.8. Secuencias y resultados de los escenarios del rbol de la figura 2.5
Secuencia
Resultados
La sonda de nivel ha cerrado la electrovlvula impidiendo el derrame. Deber

comprobarse si el grado de llenado del compartimento excede del mximo
autorizado, vaciando, en su caso, el exceso.
AB
El fallo o el retraso en la actuacin del sistema de corte por alto nivel ha

permitido un derrame que afecta, en primer lugar, a la propia cisterna y a un
rea limitada a su alrededor. Se requiere el ms estricto control de las fuentes de
ignicin, incluyendo la inmovilizacin del camin, la absorcin y eliminacin
del vertido y una limpieza escrupulosa del rea.
ABC
Ha fallado el corte por alto nivel y se ha llegado al corte por volumen transferido
antes de poder actuar sobre los pulsadores de emergencia. Se ha derramado una
cantidad de producto que ha fluido en parte por el drenaje. Se ha controlado la
balsa separadora evitando el vertido de hidrocarburos a los cauces pblicos.
ABCH
Secuencia semejante a la anterior, pero con ausencia de control en la

balsa separadora y vertido de una cantidad poco significativa de lquidos
hidrocarburados.
ABCF
Con un volumen de derrame relativamente importante, el fallo en el sistema de

drenaje, ha obligado a cubrirlo con espuma. Se hace necesario un periodo de
cierre del cargadero hasta que se elimine el producto
ABCFG
La situacin anterior, pero con fallo en la aplicacin de espuma. Emisin de

vapores y elevado riesgo de ignicin.
ABCD
El derrame slo se ha interrumpido mediante la parada de las bombas. A

travs del drenaje, una cantidad importante del producto ha alcanzado la balsa
separadora. Un buen control sobre la misma ha evitado el vertido al exterior
de la instalacin.
ABCDH
En la situacin anterior, se ha perdido el control sobre la balsa separadora y se

han vertido cantidades importantes de hidrocarburos.
ABCDF
En la situacin de mayor volumen derramado, un fallo en el drenaje ha provocado

el embalse del producto en la zona de carga. Se ha conseguido cubrirlo de
espuma y se inician las labores de recogida y limpieza.
ABCDFG
Es la situacin anterior, en el supuesto de que fallara el proceso de cubrir el

charco con espuma. Peligro de ignicin de la nube de vapor.
ABCDE
Es una situacin altamente improbable caracterizada por un derrame de mayor

duracin. El control de la balsa separadora resulta esencial para evitar el vertido
al exterior de aguas hidrocarburadas.
62
Otras circunstancias capaces de modificar los resultados.

El rbol analizado corresponde a escenarios de los que est ausente la ignicin de los
vapores procedentes de la gasolina derramada. El control efectivo de las fuentes de ignicin
es el resultado de medidas de control manual (parada del motor, desconexin de la batera
del vehculo, etc.) y de accin automtica (instalacin elctrica, conexiones equipotenciales,
etc.). Un fallo en alguna de estas medidas, o la ubicua presencia de la electricidad esttica,
puede provocar la ignicin de los vapores inflamables en cualquier momento y lugar de los
escenarios descritos. Este hecho multiplica el nmero de rboles posibles, si bien el anlisis de
los ms probables ofrece una visin fcilmente extrapolable a los dems.
As pues, para completar la hiptesis del derrame por sobrellenado, se ha supuesto que
se produce la ignicin de los vapores del producto derramado, inmediatamente despus
de que el rebose se haya interrumpido por actuacin sobre los pulsadores de parada de
emergencia o por haberse transferido ya la cantidad programada.
Por tanto, en las dos ramas que surgen del nodo C, se intercala un nuevo nodo
correspondiente a la posibilidad de ignicin. Las ramas superiores de ese nodo el control
efectivo de las fuentes de ignicin mantienen los escenarios descritos en la figura 2.5.
Las ramas inferiores del nodo la presencia y el efecto de una fuente de ignicin dan
lugar a nuevas secuencias accidentales, en las que intervienen otras funciones de seguridad
que se comentan a continuacin.
Otro nodo que corresponde a la funcin de seguridad basada en los extintores porttiles
de polvo seco, se ha asociado exclusivamente a la rama superior del nodo C, es decir a
derrames de pequeo volumen, puesto que en un incendio de gran magnitud se acudira
directamente a otros medios. El xito de esta funcin supone el que el propio conductor de
la cisterna o un operador cercano al suceso consiguen extinguir el fuego.
El cargadero cuenta, como se ha apuntado en la descripcin de las instalaciones, con
un sistema fijo de espuma compuesto por un conjunto de rociadores dispuestos en el techo
de la zona de carga. Pueden activarse mediante pulsadores situados tanto en la sala de
control, como localmente, o bien pueden abrirse manualmente las vlvulas que los ponen
en funcionamiento. Su eficacia es muy elevada y la posibilidad de que fallen ante una
demanda es remota. La ramificacin superior de este nodo debe interpretarse como la
extincin inmediata del incendio, mientras que la inferior correspondera a un fallo total
del sistema de espuma o a que el incendio ha superado la superficie cubierta por el efecto
de los rociadores y se precisa de medios complementarios.
Todo el personal de la instalacin de almacenamiento se encuentra formado para
actuar como equipo de primera intervencin en caso de siniestro. El jefe de la instalacin,
el operador de la sala de control y los dos operadores de campo, cuentan con los medios de
proteccin personal y con los sistemas de extincin mviles necesarios para complementar,
en su caso, la accin de los sistema fijos. No obstante, el Plan de Autoproteccin del
63
establecimiento establece la necesidad de que, en paralelo con la decisin de que intervenga

FUNDAMENTOS
49
DE LA METODOLOGA
este
equipo, se
solicite ayuda exterior. La rama superior de la funcin de seguridad
representada por el equipo de primera intervencin corresponde al hecho de que ste logre
extinguirSeelha
incendio
la llegada
de esa
ayuda
externa.
previstoantes
en elde
rbol
de sucesos
de este
segundo
caso, una circunstancia que
puede agravar notablemente los resultados del accidente. Se trata de la posibilidad de
previsto
en el se
rbol
de sucesos
de este
caso, una
queSela ha
propia
cisterna
encuentre
afectada
porsegundo
el incendio.
Si elcircunstancia
diseo y elque
mantenimiento
de
la
superficie
del
cargadero
son
los
correctos,
no
se
habr
producido
puede agravar notablemente los resultados del accidente. Se trata de la posibilidad
de que
acumulacin
significativa
de lquidopor
bajo
la cuba del
caso
contrario
launa
propia
cisterna se
encuentre afectada
el incendio.
Sivehculo;
el diseoen
y el
mantenimiento
producirse
colapso,son
la los
explosin
o elnoincendio
otros compartimentos
depuede
la superficie
del el
cargadero
correctos,
se habrde
producido
una acumulacin
cargados
de
combustibles.
Por
tanto,
la
rama
superior
de
este
nodo
no
debe
interpretarse
significativa de lquido bajo la cuba del vehculo; en caso contrario puede
producirse el
como que la cisterna s est afectada, sino como el xito de los sistemas responsables de
colapso, la explosin o el incendio de otros compartimentos cargados de combustibles.
evitarlo.
Por tanto, la rama superior de este nodo no debe interpretarse como que la cisterna s est
se xito
ha reservado
un ltimo
nodo bajo de
la denominacin
genrica de
afectada,Finalmente,
sino como el
de los sistemas
responsables
evitarlo.
Gestin de la emergencia. Corresponde al caso lmite en el que el incendio haya
superado la capacidad de respuesta del establecimiento, la cisterna se haya visto
Finalmente, se ha reservado un ltimo nodo bajo la denominacin genrica de Gestin
involucrada, etc. Se incluyen en el concepto la prontitud de actuacin y la eficacia de
deloslamedios
emergencia.
Corresponde
al caso
lmite
el que
el incendio
externos,
la evacuacin
ordenada
deen
otros
camiones
cisternahaya
que superado
pudieran la
capacidad
de respuesta
del establecimiento,
la Su
cisterna
se cifra
hayaenvisto
involucrada,
etc. Se
estar cargando
o esperando
turno de carga, etc.
xito se
el control
del alcance
incluyen
en elen
concepto
la prontitud
de actuacin
y la
eficacia
de accidentados.
los medios externos, la
del incendio,
su extincin
y en la atencin
urgente
a los
posibles
evacuacin ordenada de otros camiones cisterna que pudieran estar cargando o esperando
turno de carga, etc. Su xito se cifra en el control del alcance del incendio, en su extincin
El nuevourgente
rbol correspondiente
a la presencia de ignicin se representa en la
y en la atencin
a los posibles accidentados.
figura 2.6 y sus resultados se detallan en la tabla 2.9.
El nuevo rbol correspondiente a la presencia de ignicin se representa en la figura
2.6 y sus resultados se detallan en la tabla 2.9.
Fallo
sonda
nivel
Pulsador Control
parada ignicin
C
I
Eficacia Sistema
Equipo
extintores espuma intervencin
J
K
L
Cisterna
Gestin
afectada emergencia Resultado
M
N
AB
ABI
ABIJ
ABIJK
ABIJKL
ABC
ABCI
ABCIK
ABCIKL
ABCIKLM
ACBIKLMN
FIGURA 2.6. rbol de sucesos en presencia de ignicin.
Figura 2.6. rbol de sucesos en presencia de ignicin.
64
TABLA 2.9. Secuencias y resultados de los escenarios del rbol de la figura 2.6
Secuencia
Resultados
AB
El fallo o el retraso en la actuacin- del sistema de corte por alto nivel ha

permitido un derrame que afecta, en primer lugar, a la propia cisterna y a un
rea limitada a su alrededor. Se ha conseguido controlar las fuentes de ignicin
y se ha limpiado el rea.
ABI
Se ha producido un incendio de pequeas proporciones, que ha sido controlado

mediante el empleo de los extintores de polvo seco
ABIJ
Se ha producido un incendio de pequeas proporciones que ha requerido el disparo

de los rociadores de espuma para su extincin.
ABIJK
Se ha producido un incendio cuya ubicacin ha hecho necesaria la intervencin

complementaria del equipo de primera intervencin para su extincin.
ABIJKL
Es un escenario que limita con los de la rama inferior del nodo C. El tamao del
incendio est resistiendo la actuacin de todos los medios anteriores y requerir
la presencia de ayuda externa.
ABC
Ha fallado el corte por alto nivel y se ha llegado al corte por volumen transferido
antes de poder actuar sobre los pulsadores de emergencia. Se ha derramado una
cantidad de producto que ha fluido en parte por el drenaje. No se ha producido la
ignicin Se ha controlado la balsa separadora evitando el vertido de hidrocarburos
a los cauces pblicos.
ABCI
Se ha producido un incendio cuya magnitud ha aconsejado el disparo de los

rociadores de espuma, los cuales han logrado su inmediata extincin.
ABCIK

rociadores de espuma, los cuales no han logrado su completa extincin. Ha
actuado eficazmente el equipo de primera intervencin completando las labores
de extincin.
ABCKIL

rociadores de espuma, los cuales no han logrado su completa extincin. Aunque
se precisar ayuda externa para completar la extincin del incendio, ste se
limita a una zona que no es probable que llegue a afectar a la cisterna que se
hallaba cargando.
ABCIKLM
El incendio est afectando a la cisterna, pero la gestin de la emergencia est siendo

la correcta; estn actuando los servicios de intervencin externos, se ha atendido a
los posibles accidentados, se han retirado ordenadamente los restantes vehculos, el
personal no necesario ha sido evacuado, etc.
ABCIKLMN Es el peor de los escenarios; todos los esfuerzos por extinguir el fuego con los
medios internos estn resultando insuficientes, la cisterna se halla afectada por el
fuego y el resto de los procedimientos previstos en el mbito de la gestin de las
emergencias estn resultado inferiores a lo adecuado.
65
El anlisis del riesgo llevado a cabo para el cargadero, ha permitido evaluar algunos
escenarios que van desde el simple derrame sin consecuencias, hasta incendios con
capacidad para devastar el propio cargadero y quin sabe si algunas infraestructuras
prximas. Tambin habr cumplido la misin de alertar ante aspectos peligrosos tales
como: olvidos o negligencias en los procedimientos de carga, pulsadores de emergencia
de difcil acceso o mal sealizados, suelos sin las pendientes adecuadas, poca formacin o
adiestramiento en el manejo de extintores, etc.
El titular de un establecimiento como el que se ha ejemplificado, debera ampliar el
anlisis, con un procedimiento semejante, al resto de las reas peligrosas de su instalacin
y, en concreto, a los tanques de almacenamiento, las bandejas de tuberas, los centros de
bombeo, los depsitos de aditivos, etc.
EL USO DE LAS LISTAS DE COMPROBACIN
67
Captulo
El uso de las listas

de comprobacin
Una lista de comprobacin es una relacin ordenada y detallada de los atributos que se
desean en un sistema o de la secuencia de actividades que ha de llevar a cabo un operador o
un dispositivo automtico. En trminos generales, la lista se redacta desde la experiencia y
se utiliza para evaluar la aceptabilidad o el estado del sistema u operacin en comparacin
con algunos criterios establecidos previamente (CCPS, 1992).
Existe un amplio conocimiento sobre la operacin de algunos sistemas tecnolgicos
tales como medios de transporte, equipos de telecomunicaciones, procesos qumicos,
operaciones unitarias, sistemas a presin, instrumentos de medida y regulacin automtica,
etc. Este conocimiento de los aspectos operativos, que puede aprovecharse completamente
mediante el empleo de listas de comprobacin, se obtiene a partir de:
La experiencia personal, o compartida, sobre una situacin dada.
La conciencia de que una situacin determinada es similar a otra anmala de la
cual ya se dispone de experiencia.
La investigacin cientfica del comportamiento de un equipo o de las propiedades
de una sustancia.
El conocimiento acumulado en cdigos de buenas prcticas (normas, reglamentos,
etc.).
Cualquier anlisis basado en listas de comprobacin utiliza, por tanto, una relacin
escrita de aspectos o etapas procedimentales, con los que verifica el grado de aproximacin
entre el estado real de un sistema y el que resultara exigible en base a la experiencia
acumulada sobre el mismo. As, una lista de comprobacin resulta esencialmente una
forma emprica y simple de aplicar la experiencia a los diseos, a las instalaciones o a
las operaciones, para asegurar que los aspectos que aparecen en la lista y que suelen
ser los ms crticos no se olvidan.
Las listas de comprobacin extienden su utilidad a cualquiera de las etapas del ciclo
de vida de un sistema, incluyendo su diseo, fabricacin, comercializacin, uso y abandono
o reciclado. En el caso particular de las industrias de proceso qumico, se ha desarrollado
una gran variedad de listas que cubren las etapas del diseo, puesta en servicio, operacin,
68
mantenimiento y puesta fuera de servicio, incluyendo numerosos aspectos relativos a la

calidad, la seguridad y los aspectos medioambientales.
3.1. UTILIDAD Y LIMITACIONES DE LAS LISTAS DE COMPROBACIN
Aunque pueden encontrarse para ellas otras aplicaciones ms especficas, las listas de
comprobacin se emplean como instrumento de:
Verificacin de diseos e instalaciones.
Adquisicin de familiaridad con un sistema o procedimiento.
Identificacin de peligros.
En la primera de las funciones enumeradas, las listas de comprobacin se usan para
verificar el estado de un diseo, un proceso, un material, un procedimiento, un sistema o
un equipo en particular. La comparacin se realiza frente a reglamentos, cdigos, normas,
procedimientos normalizados o simplemente frente a las prcticas que una compaa ha
normalizado a lo largo de aos de experiencia. De hecho, una opcin til para mejorar
la gestin del conocimiento en una organizacin consiste en el mantenimiento, revisin,
actualizacin y aplicacin de estas listas, en las que las sucesivas generaciones de tcnicos
y operadores pueden ir dejando reflejadas sus experiencias sobre el diseo o la operacin
de cada sistema en particular.
Muchas organizaciones usan listas de comprobacin normalizadas para controlar el
desarrollo de un proyecto, desde el diseo inicial hasta las operaciones de demolicin
y gestin de los residuos. La lista de comprobacin cumplimentada debe ser aprobada
por varios miembros de la organizacin antes de que el proyecto pueda pasar de una
etapa a la siguiente, sirviendo de esta forma como un medio de comunicacin y como un
instrumento de control. Desempean, por tanto, un papel muy til en las diferentes etapas
de cualquier diseo, para asegurarse de que se tiene en cuenta la experiencia y de que
no se pasan por alto las consideraciones bsicas generales. Las listas facilitan tambin
una base comn para la revisin por la direccin de las evaluaciones de los analistas
de un proceso u operacin.
En la segunda de las aplicaciones citadas, las listas pueden usarse para que el personal
recin incorporado a un puesto de trabajo se familiarice con el proceso que debe controlar,
haciendo que compare los atributos de ese proceso con los requisitos de una o varias
listas de comprobacin.
La tercera de las utilidades propuestas, la identificacin de peligros, es la sustancial
a los efectos de la presente Gua, por lo que el resto del captulo est dedicado de forma
exclusiva a esa aplicacin.
69
3.1.1. Identificacin de peligros

Se admite generalmente que la eficacia de un proceso de identificacin de peligros
depende de estos dos factores:
El conocimiento y la experiencia que se posee sobre esos peligros.
El uso de un mtodo sistemtico que asegure que esos conocimientos se aplican.
Las listas, como se viene indicando, constituyen una recopilacin de los conocimientos
y la experiencia que se poseen sobre un sistema, pero tambin sobre sus peligros y sobre los
medios necesarios para evitar que stos se materialicen. La propuesta de una metodologa
para conseguir que esos conocimientos se articulen dando lugar a una evaluacin de riesgos,
al menos cualitativa, es uno de los objetivos principales de esta Gua.
En su aplicacin a la identificacin de peligros, las listas contienen una relacin
de aspectos peligrosos, situaciones potencialmente accidentales u otras preocupaciones
sobre la seguridad de los procesos, basadas en la experiencia y usadas para estimular la
identificacin de situaciones peligrosas para un proceso u operacin.
El conjunto de tcnicas de identificacin de peligros que recurre bsicamente al
conocimiento obtenido de la experiencia ha sido descrito como Mtodos Comparativos
(Parry, 1986). Estos mtodos pueden tomar la forma de una lista de comprobacin o
pueden usar cdigos de buenas prcticas, como una norma mnima frente a la cual
puedan contemplarse las desviaciones respecto a lo que la experiencia ha establecido
como prcticas seguras.
Las listas de comprobacin son pues un mtodo comparativo y pueden deducirse slo
de la experiencia (incluyendo cdigos de buenas prctica y normas) o pueden generarse, para
un tipo de planta en particular, a partir de la aplicacin de tcnicas fundamentales, evitando la
necesidad de repetir todo el estudio cuando se considera un diseo muy similar.
Las listas de comprobacin se consideran un procedimiento eficiente para identificar
peligros comunes, deficiencias en el diseo de los procesos, situaciones accidentales
potenciales asociadas con equipos (almacenamientos, distribucin en planta, sistemas
elctricos,...), operaciones de proceso impropias, etc. Para esta funcin, la lista debe
ser especfica de la instalacin a analizar y nutrirse de la experiencia acumulada en esa
instalacin y en otras similares.
Una lista de comprobacin detallada proporciona las base para una evaluacin
normalizada de los peligros de un proceso. Puede ser tan extensa como sea necesario
para satisfacer la situacin especfica, pero debera aplicarse con el suficiente detalle
para identificar problemas que requieran atencin adicional. Las listas de comprobacin
genricas se combinan frecuentemente con otras tcnicas de evaluacin de peligros para
evaluar reas o situaciones especialmente peligrosas.
70
Un par de ejemplos, extrados de listas de comprobacin, contribuirn a precisar los

conceptos que se vienen exponiendo:
En el almacenamiento de oxicloruro de fsforo (R14; reacciona violentamente
con el agua), la lista indica que se verifique si las canalizaciones del agua de
lluvia, procedente de los tejados, se conducen a los desages por el exterior de los
almacenes. Se pone as de manifiesto el peligro derivado de que la rotura de una de
esas canalizaciones (golpes por vehculos en movimiento) o la obstruccin de las
mismas (suciedad, hielo, etc.) facilitara la entrada de agua en el almacn.
En una instalacin de almacenamiento de lquidos inflamables, la lista indica la
necesidad de comprobar si los materiales de recubrimiento de los suelos en las
zonas peligrosas con suficientemente conductores, as como si los operadores y los
conductores estn obligados a utilizar calzado con suelas antiestticas. La lista
est as alertando del peligro de que una descarga electrosttica generada como
consecuencia del movimiento de los operadores, acte como foco de ignicin ante
una eventual nube de gas inflamable.
3.1.2. Limitaciones del mtodo
Las listas de comprobacin son el mtodo ms bsico para la identificacin de
peligros; como cabra esperar, ese carcter bsico lleva asociadas algunas limitaciones e
inconvenientes, que se comentan a continuacin.
Omisiones en las listas.
Al tratarse de un mtodo comparativo, la identificacin de peligros mediante listas
de comprobacin es tan completa como lo sean las listas que se utilizan como referencia.
Es altamente probable que los aspectos no incluidos en las listas sean pasados por alto en
el proceso de anlisis. Cuando las listas se extraen de manuales o de fuentes similares,
el menor de los inconvenientes es que muchas de las preguntas puede que no sean
aplicables al proceso que est siendo estudiado; lo ms grave es que puedan presentarse
peligros tan inusuales que no se encuentren en las listas de comprobacin estndares
(USCG, 2003a).
El progreso en el conocimiento de los peligros de los sistemas y las sustancias presentes
en las plantas de proceso qumico, junto con las actuales posibilidades de acceso a la
informacin, han reducido notablemente las dimensiones de esta limitacin.
Exceso de confianza en el analista.
Para que una lista de comprobacin sea completa es muy probable que, durante su fase
de creacin, haya sido necesario incluir en ella muchas preguntas; ms adelante, a medida
que la experiencia de la operacin recoge problemas, la lista va aumentado con nuevos
71
aspectos a comprobar. Ante una lista voluminosa, el analista puede confiarse pensando
que todos los aspectos que podran cuestionarse han sido incluidos en la lista, sin poder
confirmar que este es efectivamente el caso. Esto puede representar un problema en la
medida en que la lista conduzca al analista a una actitud mecnica de comprobacin,
anulando o minimizando su capacidad crtica.
Dificultades en procesos nuevos.
El mtodo de las listas de comprobacin no es capaz de llegar al examen fundamental
de los peligros de un proceso (aunque s puede alertar acerca de la necesidad de tal
examen). De hecho las listas de comprobacin son muy eficaces si el grado de innovacin
de un proceso es escaso o nulo y todos sus peligros han sido identificados con anterioridad,
pero son menos satisfactorias cuando el diseo es nuevo. Por tanto, en el caso del diseo de
nuevos procesos e incluso en la operacin de equipos e instalaciones poco comunes, se hace
aconsejable el empleo de mtodos con un enfoque ms creativo.
Limitaciones en los resultados.
En instalaciones en las que pueda presentarse un accidente muy grave, el apoyarse
exclusivamente en las listas de comprobacin no permitira considerar con suficiente
profundidad qu podra ir mal y cmo. Como tales, las listas de comprobacin slo deberan
aplicarse durante las etapas preliminares de la identificacin de peligros y no deberan usarse
como alternativa a tcnicas de identificacin de riesgos ms completas.
Esta ltima limitacin es la que ha conducido, en la preparacin de esta Gua,
a recomendar la complementariedad entre este mtodo bsico y el de los rboles de
sucesos, como metodologa de mayor alcance en la determinacin de sucesos y secuencias
accidentales.
3.2. ESTRUCTURA FORMAL DE LAS LISTAS
Dos aspectos caracterizan la apariencia de una lista de comprobacin: el criterio
utilizado para clasificar las cuestiones de la lista y el nmero y contenido de las columnas
que deben rellenarse en cada cuestin. A continuacin se repasan las posibilidades
existentes, en cada uno de esos aspectos.
3.2.1. Clasificacin de las cuestiones
Las preguntas incluidas en las listas de comprobacin deben agruparse de acuerdo
con algn criterio definido, de modo que se facilite la fase de comprobacin y el posterior
anlisis de los resultados.
72
No siempre es posible encontrar una forma de clasificar que favorezca simultneamente a ambas fases; en general, los agrupamientos por reas geogrficas tienden a facilitar
la fase de toma de datos, mientras que los basados en el flujo del proceso o en la naturaleza
de los riesgos simplifican la etapa del anlisis.
Una posibilidad simple consiste en clasificar las cuestiones en estos cuatro grupos:
Aspectos relacionados con el emplazamiento.

Productos qumicos involucrados en las instalaciones.
Equipos.
Procedimientos de trabajo.
La tabla 3.1 recoge una clasificacin ms detallada, ampliamente aceptada en la

industria de proceso qumico (Parry, 1986).
TABLA 3.1. Clasificacin adecuada para una industria de proceso qumico
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
Eleccin, situacin y distribucin del emplazamiento.

Materias involucradas en los procesos.
Reacciones qumicas, condiciones del proceso y anlisis de alteraciones.
Equipos de proceso.
Almacenamiento y manejo de sustancias peligrosas.
Manejo y eliminacin de productos residuales peligrosos.
Aspectos relativos a la ingeniera civil.
Zonificacin y clasificacin de zonas.
Proteccin contra incendios.
Planificacin general de las emergencias.
Tras esa primera clasificacin, es necesario subdividir cada una de las clases; en la
tabla 3.2 se propone una de esas subdivisiones aplicada a la clase Eleccin, situacin
y distribucin del emplazamiento.
Dado que es prcticamente inexcusable que la lista de comprobacin se adapte a
cada instalacin en particular, el analista decide qu grupos deben estar presentes y
en qu orden. A modo de ejemplo, la tabla 3.3 recoge el agrupamiento que propone el
Comit Tcnico Europeo del Flor para las instalaciones donde se consume fluoruro de
hidrgeno licuado (CTEF, 1993).
73
TABLA 3.2. Subdivisin de la Eleccin, situacin y distribucin del emplazamiento

Subdivisin
Aspectos a comprobar
1.1
Impacto de accidentes en las

instalaciones vecinas y en las
redes de transporte.
Instalaciones independientes localizadas en

el mismo establecimiento. Instalaciones en
el exterior de la valla. Transporte de sustancias
peligrosas (por carretera, barco, f.f.c.c.,
tuberas, etc.).
1.2
Interdependencia funcional con

las actividades vecinas.
Instalaciones.
Tuberas.
Servicios comunes.
1.3
Redes y centros de transporte.
Carreteras de la planta, incluyendo las de acceso.

Vas pblicas cercanas al establecimiento.
Ferrocarriles, aeropuertos, etc.
1.4
Fuentes de peligros naturales.
Lluvias extremas, tormentas, inundaciones,...

Temperaturas extremas, incendios forestales, ...
Actividad ssmica, subsidencia,...
1.5
Redes adyacentes o cercanas.
Alcantarillado, redes hidrulicas, ...
TABLA 3.3. Grupos en la lista de comprobacin de instalaciones de consumo de HF

Grupo
Aspectos a comprobar
1. Descarga.
rea de descarga, instalaciones, procedimiento de

descarga.
2. Almacenamiento del lquido.
Situacin del tanque, diseo, accesorios, operacin,

procedimientos de emergencia, mantenimiento e
inspecciones peridicas, seguridad y alarmas.
3. Tuberas.
Materiales, dimensiones, bridas, juntas, tornillos,...
4. Vaporizacin.
Diseo, medio de calefaccin, deteccin de fugas,...
5. Sistema de absorcin de seguridad. Presencia, tamao, capacidad de absorcin, cantidad

de absorbente, trampas para HF lquido,...
6. Servicios.
Aire de instrumentos, gases de purgado, desages.
7. Consideraciones generales y
sistema de gestin de la seguridad.
Informacin sobre la seguridad del proceso, prcticas

de operacin, instrucciones de seguridad, integridad
de los equipos, anlisis de los peligros del proceso,
prcticas de trabajo seguro, formacin, gestin de las
modificaciones, revisiones de puesta en marcha, ...
74
59
3.2.2. Contenido de las tablas

En3.2.2.
su forma
ms elemental,
una lista de comprobacin slo contiene una columna
Contenido
de las tablas
con el aspecto a comprobar y otra con el resultado de la comprobacin. Las listas ms
En su forma ms elemental, una lista de comprobacin slo contiene una columna
completas incluyen las siguientes columnas (CRC, 1998):
con el aspecto a comprobar y otra con el resultado de la comprobacin. Las listas ms
completas incluyen las siguientes columnas (CRC, 1998):
1. Un cdigo relativo al nmero de orden de la cuestin.
cdigo
nmeroo de
ordenodeellaobjetivo
cuestin.
2. 1.El Un
riesgo
que relativo
se quiereal anular
reducir,
de seguridad a alcanzar.
riesgo que
se deben
quiere anular
o reducir,
o el objetivo
de seguridad
a alcanzar. del
3. 2.LasElmedidas
que
hallarse
implantadas
para asegurar
esa reduccin
o la consecucin
ese objetivo.
En elpara
casoasegurar
de ciertos
la del
lista
Las medidas
que debendehallarse
implantadas
esa riesgos,
reduccin
3.riesgo
de riesgo
comprobacin
puede ofrecer
sencillos
o la consecucin
de ese medidas
objetivo. alternativas.
En el caso deUnos
ciertos
riesgos, smbolos
la lista
ayudan
a
diferenciar
las
medidas
alternativas
de
aquellas
que
deben
estar
presentes
de comprobacin puede ofrecer medidas alternativas. Unos sencillos smbolos
simultneamente.
ayudan a diferenciar las medidas alternativas de aquellas que deben estar
4. El presentes
resultado simultneamente.
de la comprobacin de la implantacin y el correcto funcionamiento
esasresultado
medidas,degeneralmente
en trminos
SI, NO, NOy APLICABLE,
la comprobacin
de la de
implantacin
el correcto
4de
. El
PENDIENTE
DE
REVISIN,
etc.
funcionamiento de esas medidas, generalmente en trminos de SI, NO, NO
5. LasAPLICABLE,
observacionesPENDIENTE
o recomendaciones
que al analista
DE REVISIN,
etc. le parezcan pertinentes o que
desee hacer constar el responsable de la unidad sometida a verificacin.
5. Las observaciones o recomendaciones que al analista le parezcan pertinentes o
que desee hacer constar el responsable de la unidad sometida a verificacin.
La figura 3.1 muestra el formato de lista de comprobacin que se propone en esta
Laencabezado
figura 3.1 muestra
el formato
de lista de comprobacin
queobjeto
se propone
en esta y,
Gua. El
identifica
el establecimiento
o la instalacin
de anlisis
Gua. El encabezado identifica el establecimiento o la instalacin objeto de anlisis y,
dentro de ella, el grupo o rea concreta a la que aplican las cuestiones. Para que la lista
dentro de ella, el grupo o rea concreta a la que aplican las cuestiones. Para que la lista
conserve
mantienen
todas
laslas
columnas
queque
se se
hanhan
descrito
ms
conservesusuutilidad
utilidadsustantiva,
sustantiva,sese
mantienen
todas
columnas
descrito
arriba.
La
nica
columna
aadida
Elemento
del
modelo
permitir
reflejar
el
resultado
ms arriba. La nica columna aadida Elemento del modelo- permitir reflejar el
deresultado
la reflexin
qu sobre
papel qu
podra
desempear
ese riesgoese
enriesgo
una hipottica
secuencia
de lasobre
reflexin
papel
podra desempear
en una hipottica
accidental,
como setal
hacomo
indicado
el captulo
secuencia tal
accidental,
se haenindicado
en elanterior.
captulo anterior.
IDENTIFICACIN DE LA INSTALACIN
IDENTIFICACIN DEL GRUPO O REA
Aspecto a
comprobar
N14
Medida A
Medidas:
Medida B
Medida C
Medida D
................
Resultado
Si
No N.A.
Riesgo a
reducir
Fecha:
Analista:
Elemento del
modelo
Pgina:
de
Observaciones
Indica la eleccin entre diferentes medidas.

Indica que estas medidas deben estar presentes simultneamente.
Figura 3.1.
Formato
la lista
comprobacin
que se
enenesta
FIGURA
3.1. de
Formato
de de
la lista
de comprobacin
quepropone
se propone
estaGua.
Gua.
75
3.3. PROCEDIMIENTO DE ANLISIS

Una vez que se ha definido el mbito del anlisis (un establecimiento completo, una
planta de proceso, un rea delimitada, etc.), el procedimiento de anlisis que se propone
en esta Gua consta de las cuatro etapas principales:
1.
2.
3.
4.
Seleccin o elaboracin de una lista de comprobacin adecuada.

Desarrollo de las actividades de comprobacin.
Documentacin de los resultados.
Identificacin de los peligros y de las funciones de seguridad.
3.3.1. Seleccin o elaboracin de la lista.

Bsicamente hay tres tipos de listas de comprobacin disponibles: las generales, que
pueden encontrarse en textos relacionados con la prevencin de accidentes industriales
(CCPS, 1992; Crowl, 1990; DGPC, 1994b; Lees, 2001; Santamara, 1994; UOF, 2001b),
las dedicadas a unos equipos o servicios determinados riesgo de incendio (Piqu, 1993),
proteccin contra incendios (UOF, 2001a), proteccin catdica de tanques enterrados
(WDE, 2003) y las especficas para instalaciones que manejan un producto o una familia
de ellos de propiedades peligrosas similares.
Para algunos productos peligrosos, el extenso conocimiento sobre sus propiedades
y la amplia experiencia obtenida del anlisis de los incidentes que han protagonizado,
han permitido desarrollar listas de comprobacin de las medidas capaces de neutralizar la
gnesis o la evolucin de tales incidentes. En no pocas ocasiones, estas listas tambin se
han beneficiado del conocimiento obtenido llevando a cabo anlisis de riesgos por otros
mtodos. Una relacin no exhaustiva de estas listas se recoge en la tabla 3.4.
TABLA 3.4. Listas de comprobacin especficas.
Producto o tipo de instalacin
cido sulfrico y leum
Almacenes
Almacenamiento atmosfrico de lquidos inflamables
Amoniaco
Cloro
Fenol
Flor
Fluoruro de hidrgeno
Gases combustibles licuados
Hidrgeno
GLP
xido de etileno
Sustancias txicas
Referencias
ATCR, 2004
DRC, 1997a
DRC, 2000
DRC, 2002a
DRC, 1996a
DCRC, 2004
LLNL, 2000
CRD, 1998; CTEF, 1993
DRC, 2003a
DRC, 2003b
DRC, 1997b
DRC, 2002b
NJDEP, 1999
76
En numerosas ocasiones, el analista no dispondr de una lista de comprobacin

especfica para su categora de instalacin y deber elaborarla a partir de la informacin a
su alcance. La siguiente es una relacin de posibles fuentes en las que encontrar requisitos
y recomendaciones para incluir, de forma ordenada, en la lista:
Reglamentacin de Seguridad Industrial:
Aparatos a presin.
Aparatos que utilizan gas como combustible.
Aparatos y sistemas de proteccin para uso en atmsferas potencialmente
explosivas.
Material elctrico de baja tensin.
Almacenamiento de productos qumicos.
Centrales elctricas, subestaciones y centros de transformacin.
Gases combustibles.
Instalaciones de proteccin contra incendios.
Instalaciones petrolferas.
Plantas e instalaciones frigorficas.
Electrotcnicos para alta y baja tensin.
.............................................................
Fichas de datos de seguridad de las sustancias involucradas.
Cdigos y normas aplicables durante el diseo.
Instrucciones de utilizacin, conservacin y seguridad de los equipos del proceso.
Manuales de operacin de las plantas existentes en la instalacin.
Buenas prcticas de manejo y almacenaje vigentes entre las asociaciones
empresariales relacionadas con los productos del establecimiento.
Lecciones aprendidas de incidentes o accidentes sucedidos en instalaciones
anlogas o que puedan extrapolarse a la actual.
Listas de comprobacin de aspectos muy concretos, aplicables a un gran nmero
de instalaciones, por ejemplo:
Proteccin contra incendios.
Sistemas de alivio de presin y vaco.
Proteccin ante emisiones contaminantes.
Ubicacin y distribucin del establecimiento.
Proteccin catdica de tanques enterrados.
Control de los equipos de proteccin individual.
............................................................
Las listas de comprobacin son documentos vivos, cuya utilidad est limitada por la
experiencia de sus autores; por tanto deberan elaborarse por tcnicos provistos de amplia
experiencia en el sistema que va a ser analizado y revisarse y actualizarse regularmente,
incluyendo, por ejemplo, los fallos hallados en las inspecciones y auditoras.
77
3.3.2. Desarrollo de las actividades de comprobacin

Si el anlisis mediante listas de comprobacin se realiza antes de la fase de construccin
de la planta, debe realizarse en una sala en la que se disponga de toda la informacin
sobre la instalacin (criterios de diseo, planos, etc.). El equipo de anlisis centra su
estudio en la revisin de los esquemas del proceso y de los planos de la instalacin,
para descubrir anticipadamente deficiencias e incluso ir completando las propias listas
de comprobacin.
Por el contrario, el anlisis de una instalacin ya construida exige que los miembros
del equipo recorran e inspeccionen visualmente las reas de la instalacin, para comparar la
disponibilidad de equipos, su estado, las condiciones de operacin, etc. con las condiciones
especificadas en las listas de comprobacin. Cada analista refleja en la lista sus propios
hallazgos visuales, los datos encontrados en la documentacin de los procesos, las lecturas
de los registros de operacin y de los instrumentos de campo, las respuestas del personal de
operacin y sus propias percepciones personales. Cuando los atributos de las instalaciones,
las condiciones de operacin del proceso o los criterios operativos del personal no
se ajustan a las caractersticas especificadas en la lista de comprobacin, el analista
anota la deficiencia.
Una prctica recomendable aconseja al analista que, ante ciertas cuestiones, no se
limite a consignar Si o No como respuesta. Este tipo de respuesta es adecuado cuando
la pregunta se refiere a la presencia o ausencia de un elemento especificado en la lista
(an as cabra argumentar por qu no est presente, si ese es el caso). Sin embargo, en
preguntas relativas a actuaciones u operaciones, las respuestas deberan complementarse
mediante preguntas tales como: Qu le garantiza la ausencia de presin?, Con
qu frecuencia se revisa?, Cmo se asegura de su estado?, Dnde se registra la
comunicacin?, Cundo considera suficiente el purgado?, etc.
3.3.3. Documentacin de los resultados
Con este apartado concluye lo que en esta Gua se viene denominando la utilizacin
clsica de las listas de comprobacin, es decir la deteccin de las deficiencias de un
sistema que son capaces de aumentar los riesgos del mismo.
El informe final del anlisis de una instalacin con la metodologa de las listas de
comprobacin debera incluir:
Una relacin de las deficiencias materiales encontradas (sistemas que no se
hallan presentes o que lo estn en un estado de conservacin o de funcionamiento
inadecuado).
Una relacin de las prcticas de operacin que presentan actuaciones irregulares e
injustificadas (omisin de etapas, anulacin de seguridades, etc.).
78
Una relacin de los aspectos que no han podido verificarse por inexistencia de
registros, imposibilidad de acceso u otras circunstancias.
La lista de peligros identificados y de recomendaciones especificas o de posibles
alternativas para la mejora de la seguridad.
Como anexo debera incluirse una copia de las listas de comprobacin utilizadas.
El resultado de la aplicacin de una lista de comprobacin es, ante todo, una lista
de marcadores orientados hacia temas que requerirn o que ya estn requiriendo
atencin en cada etapa de la vida del proyecto. A este respecto cabe recordar que los
resultados sern tan significativos como los esfuerzos dedicados a preparar las listas y a
verificar la exactitud de las respuestas.
3.3.4. Identificacin de los peligros y de las funciones de seguridad.
Esta etapa del anlisis es especfica de la metodologa que se sugiere en esta Gua,
puesto que pretende relacionar los aspectos de riesgo, identificados en las listas de
comprobacin, con los elementos del modelo de accidentes propuesto en el captulo 2. La
finalidad de esta etapa es el actuar de enlace entre la identificacin de peligros (listas de
comprobacin) y el desarrollo de escenarios accidentales (rboles de sucesos).
As pues el analista se encuentra con los diferentes aspectos incluidos en la columna
Riesgo a reducir, de la lista de comprobacin, y con la necesidad de etiquetar cada uno
de ellos en funcin de su papel en un hipottico escenario accidental. Es el momento de
recordar que la columna Riesgo a reducir se encuentra rellena tanto si se han llevado a
cabo las actividades de comprobacin, como si no. Para qu sirve, entonces, el proceso
de comprobacin?. La respuesta es inmediata: el analista contempla cada aspecto de riesgo
como posibilidad, en general remota, de que se produzca un suceso no deseado. El proceso
de comprobacin tiene como finalidad garantizar la presencia de los medios que hacen
remota esa posibilidad. La ausencia de una o de varias de las medidas de seguridad eleva
la probabilidad de que se materialice el accidente.
Una etapa previa que debe dejar resuelta el analista, antes de iniciar su proceso de
etiquetado de los aspectos de riesgo, es la clarificacin de los conceptos de Desviacin en
el proceso y de Accidente. La frontera entre ambos conceptos es frecuentemente difusa. Las
alteraciones por encima de sus lmites normales de operacin de variables tales como la
composicin de una corriente o del contenido de un recipiente, las presiones, temperaturas
o niveles de equipos de proceso, las revoluciones de un equipo rotativo, etc., son ejemplos
claros de desviaciones en el proceso. El problema puede aparecer cuando se consideran
las prdidas de contencin de fluidos txicos o inflamables. En la tabla 3.5 se propone una
posible diferenciacin, basada exclusivamente en un criterio temporal: la evolucin de la
prdida de contencin entre el momento de producirse y aquel otro en el que las acciones
de control se revelan incapaces de atajarla.
79
TABLA 3.5. Diferenciacin entre conceptos del modelo de accidentes

Desviaciones en el proceso
Accidentes
Fuga de gases en cantidad suficiente para

activar las alarmas y permitir acciones de
control manual o automtico.
Nube txica fuera de control.
Derrame de un lquido inflamable.
Incendio.
Fuga de gases inflamables en cantidad

suficiente para activar las alarmas y
permitir acciones de control manual o
automtico.
Nube inflamable fuera de control.

Explosin de la nube.
La conveniencia de diferenciar con claridad entre Desviacin en el proceso y Accidente,

no debera suponer ningn problema para el analista. ste posee autonoma para establecer
sus propias reglas. Si considera que cualquier emisin de un gas txico es, en s misma,
un accidente, todas las medidas que el sistema tenga previstas para evitarla caern dentro
de las categoras de Control manual o de Accin automtica. Producida la emisin,
cualquier actuacin debe clasificarse como Eficacia de la mitigacin o como Gestin de
la emergencia. Un caso anlogo se presenta cuando el analista considera que el derrame de
un lquido inflamable es, en s mismo, un suceso accidental. En esta Gua, tal como se indica
en el captulo 2, se ha optado por considerar Accidente a los sucesos que mejor encajan con
la definicin presente en el Real Decreto 1254/1999, de 16 de julio.
El clsico concepto de suceso iniciador con el que suelen comenzar los rboles
de sucesos se sustituye, en el modelo de accidentes que se propone en esta Gua, por los
de Accin externa y Condicin latente, con las definiciones y ejemplos que se indican
en el captulo 2. La mayor parte de los aspectos de riesgo de las listas de comprobacin
relacionados con la formacin de los operadores, la existencia de prcticas de operacin
documentadas, el control de las materias primas, la sealizacin, la gestin de los cambios,
etc. pueden englobarse dentro del elemento Accin externa. Cualquier estado de los equipos
o instrumentos de la planta, capaz de disminuir su robustez o su capacidad de respuesta,
y cuya deteccin resulte difcil porque no forme parte de los esquemas de inspeccin
o porque escape a la simple observacin visual, cae dentro del elemento Condicin
latente. La posibilidad de una eleccin incorrecta de los materiales de tuberas y equipos
o el uso de un cdigo de diseo inadecuado son aspectos de riesgo que caen de lleno
en este elemento.
Las funciones de seguridad (sistemas de seguridad, actuaciones de los operadores,
etc.) pueden imaginarse como las defensas de la planta frente a las consecuencias del
suceso iniciador. Dos posibles criterios de clasificacin para estas funciones seran
los siguientes:
80
1. Por la naturaleza de la funcin de seguridad.

2. Por el orden previsto de actuacin ante un suceso iniciador.
En el primer caso, siguiendo la clasificacin del CCPS (1992), se tienen estos cuatro
tipos de soluciones para la reduccin de riesgos:
Soluciones de diseo inherentemente seguro. Eliminan o mitigan los peligros usando
materias y condiciones de proceso menos peligrosas (sustitucin de disolventes inflamables,
eliminacin de grandes inventarios de productos peligrosos, etc.)
Soluciones de diseo pasivo. Ofrecen un alto nivel de fiabilidad puesto que operan
sin ningn dispositivo que sea sensible o que responda activamente a una variable de
proceso (equipos diseados para soportar deflagraciones internas, cubetos, diques que
retienen derrames y los conducen a reas remotas, etc.)
Soluciones de diseo activo. Utilizan dispositivos que miden continuamente las
variables del proceso y se activan para mitigar una situacin peligrosa. Estas soluciones
activas conocidas como controles de ingeniera suelen ser menos fiables que las
soluciones pasivas, puesto que necesitan un mantenimiento adecuado y unos procedimientos
de diseo y ajuste correctos (vlvulas de seguridad, interruptores de alto nivel actuando
sobre vlvulas o bombas, reguladores automticos, etc.).
Soluciones basadas en procedimientos operativos. Evitan los peligros a travs de la
actuacin de uno o varios operadores. La actuacin puede ser el responder a una alarma,
a la indicacin de un instrumento, a una fuga visible, a un ruido anormal o al resultado de
un anlisis y puede concretarse en la apertura o cierre de una vlvula, la realizacin de una
labor de mantenimiento, la puesta en marcha o parada de una bomba, etc. El involucrar a
una persona en la secuencia de solucin de una situacin de emergencia significa incorporar
factores humanos y su correspondiente riesgo de errores. En general, las soluciones basadas
en procedimientos operativos se consideran en el ltimo lugar de la escala de fiabilidad
ante una situacin potencialmente accidental.
A los fines de la metodologa que se propone en esta Gua, resulta ms conveniente
la clasificacin de las funciones de seguridad basada en el orden en el que se tiene
intencin que acten, a saber:
Diseo y conservacin de la instalacin: sistemas que responden de modo
automtico ante una desviacin en el proceso.
Se incluyen en este grupo los sistemas de regulacin automtica de variables tales
como temperatura, presin, nivel, etc. Salvo que se encuentren en estado de fallo (Condicin
latente), son capaces de restaurar pequeas alteraciones en los procesos, sin necesidad de
intervencin a veces sin percepcin por parte de los operadores. Suelen ser la primera
de las actuaciones ante Acciones externas o ante la materializacin de alguna Condicin
81
latente y slo la superacin de su capacidad de regulacin conduce a Desviaciones

en el proceso.
Control manual.
Dentro de este elemento se incluyen:
Indicadores y alarmas. Forman parte de este elemento puesto que tienen que alertar
a los operadores cuando se presenta el suceso iniciador o cuando sus consecuencias
van a superar la capacidad de regulacin automtica del proceso. No siempre
son sistemas activos; las medidas de seguridad incluidas en este campo son
a veces tan sencillas como no interponer obstculos entre el operador y los
equipos a vigilar.
Actuaciones del operador. Previstas para ser llevadas a cabo en respuesta a las
alarmas, tal como lo especifiquen los procedimientos operativos o en funcin de
su propio criterio, ante situaciones extraordinarias. Las Prcticas de operacin
estn orientadas tanto a evitar incorrectas Acciones externas, como a propiciar
correctas actuaciones de Control manual.
Accin automtica.
Este grupo se reserva para todas las actuaciones de seguridad, previas al accidente,
para las que no se requiere la intervencin del operador y en particular: enclavamientos
de seguridad, sistemas automticos de corte, vlvulas de seguridad y otros sistemas
de alivio de presin, etc.
Las medidas orientadas a la eliminacin de focos de ignicin, tales como equipos
antideflagrantes, conexiones equipotenciales, etc., se clasifican en este elemento puesto que
actan pasivamente eliminando factores necesarios para el accidente, sin la intervencin
directa de los operadores.
Eficacia de los medios de mitigacin.
Es un elemento que agrupa las medidas previstas para ser ejecutadas inmediatamente
despus de la materializacin del accidente, tales como circuitos de lavado de gases
txicos, cubetos, cortinas de agua pulverizada, sistemas de extincin y refrigeracin,
etc. En la secuencia de un accidente puede fallar tanto la presencia de estos medios,
como sus posibilidades de acceder al lugar necesario o la formacin necesaria en lo
operadores que deben manejarlos.
82
Gestin de la emergencia.
Como su propio nombre indica, se refiere ms a medidas organizativas que a los
propios medios materiales. Estn incluidos en este elemento la propia planificacin interior
de las emergencias, la agilidad de los sistemas de comunicacin con el entorno, la existencia
de una planificacin exterior de emergencias, etc.
La tabla A.1 del Anexo ofrece un amplio nmero de ejemplos de cmo convertir los
Aspectos a verificar en Riesgos a evitar o reducir y estos en Elementos del modelo.
3.4. NECESIDADES DE RECURSOS

El mtodo de la lista de comprobacin es sumamente verstil. En funcin del objetivo
que se persiga, el tipo de evaluacin puede variar desde las ms simples y rpidas a las
ms profundas y costosas. Cualquiera que sea el caso, el mtodo mantiene su eficiencia
como sistema de identificacin de peligros.
Como se ha comentado previamente, para llevar a cabo esta tcnica de forma adecuada,
se requiere una lista de comprobacin con preferencia adaptada al proceso y a la instalacin
objeto de anlisis; esta adaptacin evitar el encontrar numerosos aspectos no aplicables
y lo que sera mucho peor el omitir peligros realmente presentes. Si no existe una
lista adecuada, sta debe ser preparada por uno o varios tcnicos; en este ltimo caso
resulta esencial su revisin por un tcnico con experiencia en la instalacin. El manual
del proceso, la coleccin de prcticas operativas y un manual de tcnicas de diseo en
ingeniera qumica, completarn la documentacin necesaria.
Un tcnico con conocimientos detallados del proceso, los equipos y los procedimientos
de trabajo de la instalacin sometida a anlisis, es capaz de aplicarle una lista de
comprobacin; en todo caso es preferible que se involucren varios tcnicos en la preparacin
de la lista y en su aplicacin a un proceso dado. Los resultados finales ganan en fiabilidad
si se revisan por un analista independiente, el cual puede dirigir las acciones que resulten
como consecuencia del anlisis.
La duracin aproximada del anlisis se recoge en la tabla 3.6 (DOE, 1996).
TABLA 3.6. Duracin del proceso de aplicacin de una lista de comprobacin
Preparacin
Comprobacin
Documentacin
Sistema simple
2 4 horas
4 8 horas
4 8 horas
Sistema complejo
1 3 das
3 5 das
2 4 das
83
3.5. INSPECCIONES Y AUDITORAS DE SEGURIDAD

Aunque con una finalidad, metodologa, mbito y alcance diferentes, los conceptos de
inspeccin y auditora conviven en los textos tcnicos y legales relativos a la prevencin
de accidentes en establecimientos industriales. En los prrafos que siguen se clarifica la
diferencia entre estos conceptos, que en ningn caso deben considerarse completamente
ajenos e independientes los unos de los otros, sino ms bien complementarios y, a menudo,
parcialmente solapados.
3.5.1. Inspecciones de seguridad
Las inspecciones por parte de la administracin han venido siendo una de las
herramientas clave mediante las que las autoridades industriales se han asegurado del
cumplimiento de los reglamentos de seguridad. La Directiva 96/82/CE, del Consejo,
de 9 de diciembre, impuso mayores exigencias a las inspecciones que deban realizar
los Estados Miembros en las instalaciones que entraban en el campo de aplicacin de
esa Directiva.
Los objetivos, sistemtica y contenidos de esas inspecciones se detallan en los artculos
19 y 5 de los Reales Decretos 1254/1999 y 1196/2003, respectivamente. En el contexto
de los textos legales citados, estas inspecciones comprendern un examen sistemtico
y planificado de los sistemas implantados en el establecimiento, tanto de naturaleza
tcnica como de organizacin y de gestin de la seguridad, de forma que el industrial
pueda demostrar:
a) Que ha tomado las medidas adecuadas para prevenir accidentes graves, de
acuerdo con las actividades realizadas en el establecimiento.
b) Que ha adoptado las medidas necesarias para limitar las consecuencias de los
accidentes graves dentro y fuera del establecimiento.
c) Que los datos y la informacin facilitados en el informe de seguridad o en
cualquier otro informe o notificacin presentados, reflejan fielmente el estado de seguridad
del establecimiento.
d) Que ha establecido programas e informado al personal del establecimiento sobre
medidas de prevencin, proteccin y actuacin en caso de accidente.
El sistema de inspecciones y medidas de control adecuadas a los establecimientos
afectados por el Real Decreto 1254/1999 debe ser llevado a cabo por los rganos
competentes de las Comunidades Autnomas, sin perjuicio de que, para la realizacin de
las inspecciones, el citado rgano pueda requerir la colaboracin de organismos de control
acreditados por la Administracin competente.
84
Algunas autoridades competentes en la aplicacin de la Directiva 96/82/CE han

preparado documentos gua destinados al examen sistemtico de la capacidad de gestin
y organizacin de las empresas en cuanto al plan de control de los riesgos de accidentes
graves de tipo qumico (CRD, 2002; DGPC, 2003; Papadakis, 1999). Estas guas son,
en primer lugar, una herramienta de inspeccin para los equipos que tienen a su cargo la
vigilancia del respeto a la legislacin preventiva de accidentes graves, pero tambin se
ponen a disposicin de las empresas para permitirles que preparen mejor sus sistemas de
gestin de la prevencin. En el desarrollo de alguna de estas guas (CRD, 2002) se recurre
a las listas de comprobacin para aspectos tales como:
los anlisis ergonmicos sistemticos de nuevas instalaciones.
los anlisis ergonmicos sistemticos de las interfases hombre-mquina en
sistemas de control.
los anlisis sistemticos de la facilidad de mantenimiento e inspeccin de una
instalacin en proyecto.
el control de que los equipos se han instalado de acuerdo con las especificaciones
de detalle.
3.5.2. Auditoras de los sistemas de gestin de la seguridad
En los ltimos veinte aos, se ha producido un aumento muy significativo en el
nmero de organizaciones que han implantado sistemas de gestin certificables, en los
mbitos de la calidad o del comportamiento medioambiental; en el caso ms frecuente, los
requisitos de estos sistemas se especifican en las normas internacionales ISO de las series
9000 y 14000. Un requisito comn a todos ellos, es la necesidad de que un organismo de
certificacin independiente lleve a cabo regularmente auditoras detalladas para confirmar
que los requisitos del sistema de gestin estn correctamente implantados.
En el mbito de estos sistemas tcnicos de gestin, la auditora es el proceso de
verificacin sistemtico, independiente y documentado para obtener y evaluar objetivamente evidencias para determinar si el sistema de gestin de una organizacin se ajusta
al conjunto de polticas, procedimientos o requisitos marcados por esa organizacin, y
para la comunicacin de los resultados de este proceso a la direccin (UNE-EN ISO
9000:2000).
Con relacin a la seguridad de los procesos qumicos, en el pasado exista una
tendencia a que las leyes y reglamentos especificaran enfoques casi exclusivamente
tcnicos; actualmente hay un nfasis creciente en complementar esos enfoques con la
implantacin de sistemas de gestin de la seguridad, mxime tras el hecho evidente de que
la causa bsica o raz de la mayora de los accidentes graves en procesos qumicos puede
relacionarse con algn fallo del sistema de gestin.
85
La auditora como elemento del sistema de gestin de la seguridad en los establecimientos afectados por el Real Decreto 1254/1999, se menciona en su artculo 7 y en
el punto 2.vii de su Anexo III; una descripcin algo ms detallada se encuentra en el
artculo 3.2.7 del Real Decreto 1196/2003, en donde se cita como objetivo asegurarse
que la organizacin, los procesos y procedimientos establecidos son consistentes con el
sistema de gestin de seguridad.
Por tanto, a diferencia de las inspecciones de seguridad, las auditoras se centran en
el aseguramiento de la correcta y completa implantacin de los objetivos de la poltica
de prevencin de accidentes graves y del sistema de gestin de la seguridad. Se llevan
a cabo por tcnicos con experiencia de la propia compaa o con el auxilio de medios
externos, pero siempre siguiendo un plan definido previamente. Sus resultados son uno
de los elementos de entrada para la Revisin que tambin se exige en el punto 2.vii del
Anexo III del Real Decreto 1254/1999.
Captulo
El anlisis mediante
rboles de sucesos
En numerosos escenarios accidentales, el suceso con el que se inicia el proceso

puede tener un amplio espectro de resultados posibles, oscilando entre la ausencia de
consecuencias y la catstrofe. En la mayor parte de los sistemas tcnicos bien diseados,
existen varios elementos de seguridad implantados con la finalidad de anular o mitigar
los efectos de los sucesos accidentales potenciales. Estos efectos vienen determinados por
cmo se ve afectada la progresin del accidente por los subsiguientes fallos o actuaciones
correctas de esos elementos de seguridad, por los errores o los aciertos humanos en la
respuesta al hecho accidental y por otros factores circunstanciales.
La probabilidad global del suceso no deseado se basa habitualmente en las de un cierto
nmero de hechos individuales encadenados. Estos hechos se agrupan en dos categoras
generales: los que inician la cadena y los que la orientan en alguna de las mltiples
direcciones posibles. Ambas categoras comparten una cualidad: estimar sus frecuencias
o sus probabilidades individuales es mucho ms sencillo que hacerlo respecto al suceso
global.
Los modelos de propagacin de fallos se emplean para estimar la probabilidad global
de un suceso no deseado, en base a las probabilidades individuales de los factores cuya
presencia es necesaria para que aquel se produzca. Este tipo de modelado es imprescindible
cuando no existen datos suficientes para hacer una inferencia estadstica vlida de la
probabilidad del suceso no deseado. Utilizando las tasas de fallo asociadas a cada uno
de esos factores y las tcnicas de modelado que permiten analizar la cadena de sucesos
que conducen a un accidente, se est en condiciones de obtener una estimacin de la
frecuencia del suceso no deseado, mucho ms precisa que si se emplearan tcnicas
ms subjetivas.
El campo de la ingeniera de la fiabilidad ha facilitado varios modelos de propagacin
de fallos, entre los que se encuentran el anlisis mediante rboles de sucesos, el anlisis
mediante rboles de fallos, los esquemas de bloques de fiabilidad y el modelado de Markov.
De entre los citados, el anlisis mediante rboles de sucesos es el ms adecuado para
documentar y modelar secuencias de sucesos, como las que suelen presentarse en un
proceso accidental. De hecho, la tcnica se presta especialmente bien a la representacin
de las secuencias accidentales que se ajusten al modelo propuesto en el captulo 2 de
88
esta Gua, por lo que el resto del presente captulo est dedicado a la descripcin de
esta metodologa.
4.1. INTRODUCCIN A LA TCNICA
Un rbol de sucesos es un modelo lgico grfico que identifica y es capaz de
cuantificar los resultados posibles que siguen a un suceso iniciador. Surge de un proceso
de razonamiento inductivo, en el que se parte de un suceso iniciador y se desarrollan las
posibles secuencias de sucesos que conducen a los potenciales accidentes, teniendo en cuenta
tanto los xitos como los fallos de todas las funciones de seguridad asociadas.
El rbol facilita, por tanto, una cobertura sistemtica de la secuencia temporal de
la propagacin de sucesos, bien a travs de una serie de actuaciones de los sistemas de
proteccin, de las funciones normales de la planta y de las intervenciones de los operadores
o bien, si ya ha ocurrido un accidente, a travs de la serie de posibles efectos.
4.1.1. Caractersticas esenciales
Modela el rango de posibles accidentes que resultan de un suceso iniciador o de
una categora de los mismos.
La estructura del rbol de sucesos es muy semejante a la que se utiliza en los
anlisis de los rboles de decisin (Clemens 2002), que se utilizan ampliamente
para anlisis econmicos y empresariales. Cada suceso de los que siguen al
iniciador depende del suceso precursor. Los resultados de un suceso son, en la
mayora de los casos, binarios (s o no; xito o fallo), pero tambin podran ser
mltiples (xito, fallo parcial o fallo total).
Cada rama de rbol representa una secuencia accidental diferenciada, que es
una serie claramente definida de relaciones funcionales entre las funciones de
seguridad para un suceso iniciador.
La cuantificacin de un rbol de sucesos permite predecir la frecuencia de cada
uno de los posibles resultados. stas se definen como el producto de la frecuencia
del suceso iniciador y de todas las probabilidades condicionales de los sucesos
subsiguientes que conducen a ese resultado.
Es una tcnica para la evaluacin de riesgos que tiene en cuenta de modo efectivo
la evolucin temporal, la dependencia y los posibles efectos domin entre los
diferentes contribuyentes a un accidente, que resultaran engorrosos de modelar
con rboles de fallos
Los resultados del anlisis permiten identificar debilidades en los procedimientos y
en el diseo; tambin proporcionan recomendaciones para reducir la probabilidad
y/o los efectos de los accidentes potenciales analizados.
EL ANLISIS MEDIANTE RBOLES DE SUCESOS
89
4.1.2. Terminologa
En la aplicacin de esta metodologa se emplean habitualmente los siguientes
trminos:
Suceso iniciador. La aparicin de algn fallo con el potencial de producir unas
consecuencias indeseables. En el contexto de esta Gua, y con relacin al modelo
de accidentes que se propone en el captulo 2, los sucesos iniciadores deben ser
buscados entre las acciones externas, las condiciones latentes o sus posibles
combinaciones.
Funcin de seguridad. Un sistema de proteccin (sistemas de regulacin automtica,
alarmas, enclavamientos, dispositivos de alivio de presin, barreras, etc.) o una
actuacin humana que puede responder ante el suceso iniciador o ante su evolucin.
En el modelo de accidente que se propone en esta Gua, las funciones de seguridad
pueden manifestarse como sistemas de regulacin automtica que actan tratando
de evitar que se produzca una desviacin en el proceso o si sta se ha producido
como actuaciones de control manual o de accin automtica.
Punto de ramificacin. Representacin grfica de dos o ms resultados
potenciales cuando una funcin de seguridad se pone a prueba; otros aspectos que
requieren punto de ramificacin son aquellos estados o circunstancias capaces
de modificar el resultado final del accidente (presencia de puntos de ignicin,
condiciones meteorolgicas, etc.)
Secuencia accidental o escenario. Un camino especfico a travs de rbol de sucesos,
que va desde el suceso iniciador hasta alguno de los resultados finales.
4.1.3. Recursos necesarios
El desarrollo de un anlisis mediante rboles de sucesos requiere la identificacin
de los potenciales sucesos iniciadores (fallos de equipos o perturbaciones de los sistemas
que puedan provocar un accidente) y el conocimiento de cmo deben actuar las funciones
de seguridad o los procedimientos de emergencia, para tratar de mitigar los efectos de
cada uno de aquellos sucesos.
El trabajo podra llevarse a cabo por un nico analista, con la condicin de que tuviera
un conocimiento detallado del sistema, pero resulta preferible un equipo de entre dos y
cuatro personas. El enfoque de equipo promueve la aportacin de ideas, lo que acaba
produciendo unos rboles de sucesos ms completos. El equipo debera incluir a alguien
con conocimientos de la metodologa, mientras que los restantes miembros deberan
tener conocimientos slidos del proceso y experiencia en la forma de respuesta de los
sistemas incluidos en el anlisis.
La duracin y el coste del anlisis dependen del nmero y de la complejidad de los
sucesos iniciadores y de las funciones de seguridad incluidas en el estudio. Las entrevistas,
90
las inspecciones de campo y la evaluacin de varios sucesos iniciadores ocupar al equipo

unos pocos das para sistemas simples; los procesos complejos pueden necesitar varias
semanas. La tabla 4.1 (CCPS, 1992) contiene estimaciones del tiempo necesario para llevar
a cabo una evaluacin de peligros mediante el empleo de rboles de sucesos
TABLA 4.1. Estimacin del tiempo necesario para un anlisis con rboles de sucesos
mbito del anlisis
Preparacin
Construccin
del modelo
Evaluacin
cualitativa
Documentacin
de resultados
Sistema simple
1-2 das
1-3 das
1-2 das
3-5 das
Proceso complejo
4-6 das
1-2 semanas
1-2 semanas
3-5 semanas
4.2. PROCEDIMIENTO DE ANLISIS

La figura 4.1 esquematiza el proceso de construccin y anlisis de un rbol de sucesos.
Como puede verse, se han incluido en el proceso las etapas 6 y 7, que son necesarias
slo si se necesita una evaluacin cuantitativa del riesgo. El motivo de la inclusin no
es otro que el de mostrar la tcnica en toda su potencia y complejidad, evitando que el
captulo muestre una versin excesivamente simplificada de la misma. Debe, no obstante,
recordarse que la aplicacin del anlisis del rbol de sucesos que se propone en esta Gua
se limita a su versin cualitativa. Para esta ltima aplicacin, deben eliminarse las etapas
citadas, pasando directamente desde la 5 hasta la 8.
4.2.1. Definicin del sistema o de la actividad objeto de anlisis.
Se trata de especificar y definir con claridad los lmites de la instalacin, o de la
operacin, en la que se va a llevar a cabo el anlisis mediante rboles de sucesos, con
especial atencin a aspectos como (USCG 2003b):
Lmites fsicos. En las plantas de proceso qumico, no es frecuente que los
sistemas operen aisladamente, sino conectados o interactuando con otros. Esta
interdependencia es aun ms acusada en el caso de los servicios comunes, tales
como vapor, energa elctrica o aire comprimido. Estableciendo ntidamente los
lmites del sistema, el analista puede evitar el pasar por alto elementos esenciales
situados en las interfases o, por el contrario, complicar de forma innecesaria el
anlisis incluyendo equipos o actuaciones ajenas al sistema.
Lmites analticos. En esencia, un anlisis mediante rboles de sucesos puede
incluir todos los fallos y condiciones que pueden actuar como sucesos iniciadores,
y todas las funciones de seguridad y circunstancias que pueden anular los efectos
de esos sucesos. Sin embargo, resulta ms prctico establecer algunos lmites
sucesos. Como puede verse, se han incluido en el proceso las etapas 6 y 7, que son
necesarias slo si se necesita una evaluacin cuantitativa del riesgo. El motivo de la
inclusin no es otro que el de mostrar la tcnica en toda su potencia y complejidad,
evitando que el captulo muestre una versin excesivamente simplificada de la misma.
Debe, no obstante, recordarse que la aplicacin del anlisis del rbol de sucesos que se
EL ANLISIS
MEDIANTE
RBOLES
DE SUCESOS
91
propone
en esta
Gua
se limita a su versin cualitativa. Para esta ltima aplicacin,
deben eliminarse las etapas citadas, pasando directamente desde la 5 hasta la 8.
1. Definicin del sistema o de la

actividad objeto de anlisis
2. Identificacin de los sucesos

iniciadores de inters
3. Identificacin de las funciones
de seguridad y otros aspectos
4. Determinacin de los
escenarios de accidente
5. Anlisis de las consecuencias de

cada escenario de accidente
Actuaciones derivadas
de las conclusiones del
anlisis
6. Estimacin de frecuencias o
probabilidades de cada rama.
7. Cuantificacin y expresin de
los resultados del anlisis
8. Verificacin de los resultados

obtenidos en el anlisis
9. Utilizacin de los resultados en

la toma de decisiones
FIGURA 4.1. Esquema del proceso de anlisis del rbol de fallos.
analticos, tales como el nivel de resolucin (por ejemplo, no desmenuzar los

posibles problemas que conducen al fallo de un lazo de control) o el tipo de sucesos
que se excluirn del anlisis (por ejemplo, los actos intencionados).
Condiciones iniciales. El estado inicial del sistema, incluyendo aquellos equipos
que se sabe que se hallan fuera de servicio, influye sobre las combinaciones
de sucesos necesarios para engendrar un problema. Por ejemplo, si se sabe que
un enclavamiento de seguridad se mantiene de ordinario fuera de servicio, el
riesgo de ciertos tipos de problemas ser superior y afectar la forma en la que
se dibuje y evale el rbol.
92
Misin de las funciones de seguridad. El anlisis mediante rboles de sucesos se

centra en los caminos por los cuales pueden progresar los sucesos iniciadores,
a travs de los posibles fallos de las medidas de seguridad. Una definicin clara
de la misin que se espera que cumpla cada una de esas medidas es, por tanto,
una primera etapa importante para identificar su efectividad como funcin de
seguridad.
4.2.2. Identificacin de los sucesos iniciadores de inters
La seleccin de un suceso iniciador relevante es muy importante para la calidad del
anlisis. El suceso iniciador puede ser una accin externa, el fallo de un sistema o algn
error humano y es probable que se haya detectado mediante otras tcnicas de identificacin
de peligros, tales como las listas de comprobacin u otros (Papazoglou 2003). Para que
el anlisis posterior resulte interesante, el suceso iniciador debe ser capaz de dar lugar a
varias secuencias diferentes de sucesos.
Ante una instalacin determinada, diferentes analistas pueden proponer sucesos
iniciadores ligeramente distintos. Por ejemplo, en el anlisis de seguridad de un equipo que
necesita refrigeracin un analista podra elegir como suceso iniciador relevante Ausencia
de flujo de agua de refrigeracin, frente a otro que propusiera, por ejemplo, Rotura de
la tubera de agua de refrigeracin. Ambos planteamientos son, en principio, correctos, si
bien el primero de ellos es ms general que el segundo; esta circunstancia deber reflejarse,
en anlisis cuantitativos, en un mayor valor de la frecuencia del primero de los sucesos
frente al segundo (la ausencia de flujo puede deberse a la rotura de la tubera pero tambin a
obstrucciones, fallo de la bomba, vlvulas errneamente cerradas, etc.)
Algunos ejemplos de posibles sucesos iniciadores son los siguientes:
Fallo de equipos o de sistemas

Sensores, controladores, vlvulas de control
Electrovlvulas, bombas, tuberas, recipientes
Sistemas de suministro de energa, vapor, agua, aire, ....
Errores humanos
Activar/desactivar el equipo inadecuado
Retrasos en las actuaciones
Uso de productos qumicos errneos
Modificaciones peligrosas en las condiciones del proceso
Condiciones de proceso fuera de los lmites
Huidas de la presin, la temperatura, el nivel, la composicin,...
Explosiones de recipientes o de tuberas
Ignicin de combustibles almacenados
Un enfoque sistemtico para la ejecucin de esta etapa incluye las fases:
93
Identificacin de los peligros. Tal como se sugiere en esta Gua, el uso de las listas
de comprobacin permite identificar una serie de aspectos de riesgo (acciones
externas a la planta, actuaciones errneas de los operadores, aparicin de fallos en
los sistemas como consecuencia de condiciones latentes, etc.). Esta fase ayuda
a identificar los peligros y los sucesos mediante los que se pueden materializar.
Las listas de comprobacin consideran globalmente todas las operaciones dentro
del marco en estudio y ayudan a identificar el conjunto de sucesos iniciadores
potenciales y sus consecuencias inmediatas, produciendo una lista, en general
extensa, de dichos sucesos.
Seleccin de los peligros. A partir de la lista de posibles sucesos iniciadores, el
analista debe aplicar algunos criterios para seleccionar los sucesos de ms inters,
los cuales sern posteriormente analizados mediante rboles de sucesos. Un criterio
de seleccin suele ser el que el suceso iniciador no tenga un resultado nico y
evidente, sino que su complejidad aconseje un anlisis que aclare las diferentes
interacciones, entre los sistemas o entre ellos y los operadores, que pueden dar
lugar a distintos resultados finales.
Agrupamiento en categoras. Si el nmero de sucesos que requieren anlisis es
elevado, puede facilitarse el estudio de los resultados si aquellos se agrupan en
categoras tales como: sucesos que pueden dar lugar a emisiones, a incendios,
etc.
4.2.3. Identificacin de las funciones de seguridad y otros aspectos
Frecuentemente, una gran parte de los sucesos iniciadores se identifican como posibles
generadores de accidentes, en las primeras etapas del diseo, dando lugar a que se prevean
funciones de seguridad para neutralizarlos adecuadamente (Rausand 2003). Una funcin
de seguridad es un dispositivo, accin o barrera que puede interrumpir la secuencia desde
el suceso iniciador hasta el resultado peligroso. En el concepto accin, se incluyen todas
las actuaciones que pueden ser ejecutadas por uno o varios operadores en respuesta a
una situacin peligrosa.
Otros aspectos que deben ser identificados son aquellos estados o circunstancias
capaces de modificar el resultado final de un accidente. Se trata condiciones que se hallan
presentes en el momento de aparicin del suceso iniciador y sobre los que, en general,
no se tiene control; el momento del da y los factores meteorolgicos son los ejemplos
ms tpicos de estos aspectos.
Las funciones de seguridad pueden ser de muchos tipos, pero suelen caracterizarse
como capaces de actuar con xito o fallar ante una demanda. Algunos ejemplos son:
Sistemas de ingeniera tales como alarmas, enclavamientos, vlvulas automticas,
sistemas de parada de emergencia, etc. que responden ante el suceso iniciador
de modo automtico.
94
Barreras o contenciones para limitar el efecto de un accidente (cubetos, pendientes

de superficies, balsas de recogida, etc.).
Sistemas basados en el personal, tales como la deteccin de problemas a travs de
la observacin, el sonido o los olores, los equipos de respuesta ante emergencias,
etc.
Algunos ejemplos de aspectos capaces de modificar el resultado de un accidente,
son (Bestratn 1993):
La ignicin de la fuga o la ausencia de este fenmeno.

La explosin de una nube inflamable o su incendio tipo flash.
La contencin o no, del escape lquido o gaseoso.
El derrame del lquido contenido en un dique o su retencin definitiva.
El periodo diurno o nocturno.
La direccin del viento hacia una zona poblada o no.
Las condiciones de estabilidad de la atmsfera.
Los encabezamientos o nodos de la figura 4.2 son el resultado final de la etapa que
se acaba de describir. El analista debe ser cuidadoso para identificar todos aquellos
elementos que pudieran afectar materialmente el resultado del suceso iniciador. Adems,
es esencial que entienda la cronologa de actuacin de las funciones de seguridad y
los momentos precisos en los que los dems aspectos (horarios, meteorolgicos, etc.)
son importantes. As, circunstancias tales como la presencia o ausencia de fuentes de
ignicin pueden aparecer ms de una vez en el rbol de sucesos, dependiendo de lo
que est ocurriendo en el tiempo.
4.2.4. Determinacin de los escenarios de accidente
Al llegar a esta etapa del proceso, se dispone de informacin suficiente para empezar
el desarrollo de los rboles de sucesos. Como puede apreciarse de lo expuesto hasta este
momento, una de las ventajas de esta tcnica de anlisis es la posibilidad de modelar la
evolucin temporal y la interaccin de los diferentes sistemas que responden ante el suceso
iniciador. Para tener en cuenta de modo adecuado estas interacciones el analista debe:
Determinar la progresin del accidente. Afortunadamente, no todos los fallos
dan lugar a consecuencias negativas sobre las personas, el medio ambiente o los
bienes materiales. De la misma manera, no todas las funciones de seguridad estn
llamadas a intervenir ante cada suceso que ocurra. Existe una evolucin lgica
que arranca del suceso iniciador y que, a medida que se hace ms severa, requiere
que diferentes sistemas entren en accin. El entender la progresin y la evolucin
temporal del sistema y de sus respuestas es esencial para desarrollar la lgica
correcta del rbol de sucesos.
95
Identificar las dependencias entre los sistemas. Una buena parte de los sistemas
operan en conexin con otros equipos o procesos. Estas dependencias pueden
degradar los niveles de proteccin ofrecidos por sistemas redundantes que
comparten servicios comunes. Los sucesos accidentales que se originan con ocasin
de interrupciones bruscas del suministro elctrico, son un ejemplo tpico de los
problemas asociados a estas dependencias.
Entender el carcter condicional de algunas de las respuestas. An en su opcin
cualitativa, los rboles de sucesos responden a probabilidades condicionales.
En otras palabras, no es raro que la probabilidad de xito o de fallo de una
funcin de seguridad venga condicionada por el xito o el fallo de las funciones
que la preceden.
Construir la lgica del rbol de sucesos. Puede sistematizarse a travs de las
siguientes fases:
1. Situar en primer lugar el suceso iniciador en el lado izquierdo del rbol, dado
que convencionalmente ste se construye de izquierda a derecha.
2. Colocar las funciones de seguridad y el resto de los aspectos a lo largo del borde
superior del marco reservado para el dibujo, en el orden cronolgico en el que
afectarn a la progresin del accidente. En cada uno de estos encabezamientos
o nodos se analizan dos o ms alternativas hasta que se obtenga un resultado
final para cada nodo. Solamente deberan mostrarse en un rbol de sucesos
aquellos nodos que afectan materialmente a los resultados.
3. Identificar, en cada posible punto de ramificacin (bajo cada nodo), los
conceptos de xito y de fallo asociados a ese nodo en particular. La rama xito
o s se coloca habitualmente hacia arriba y la rama fallo o no hacia abajo. Con
ms generalidad podra decirse que, en cada nodo, el rbol se divide en dos
ramas: la rama superior significa que la descripcin del suceso que se encuentra
en la parte superior del nodo es cierta, mientras que la rama inferior significa
que es falsa. Empezando por el suceso iniciador, muchos analistas identifican
cada encabezamiento con una letra. Si se hace de esta manera, cada secuencia
final de sucesos puede especificarse con una combinacin de letras nica. Una
letra tachada (figura 4.2) indica que el suceso designado no tuvo xito. Debe
considerarse, adems, lo que sigue:
Algunos puntos de ramificacin (direccin del viento, estabilidad atmosfrica,
etc.) pueden tener ms de dos salidas, por lo que se representarn con el
nmero adecuado de ramas.
Algunos puntos de ramificacin tendrn slo una salida; en otras palabras,
habr una lnea recta a travs de esa funcin de seguridad, lo que significa
que esa funcin no afecta al resultado, como consecuencia del fallo o xito
precedente de alguna otra funcin.
Para una secuencia de n sucesos, el rbol tendr 2n ramas en el caso ms
simple (decisiones binarias). No obstante, ese nmero se ve reducido
normalmente debido a que numerosas ramas no son posibles.
ms simple (decisiones binarias). No obstante, ese nmero se ve reducido

normalmente debido a que numerosas ramas no son posibles.
96
Suceso
iniciador
A
Funcin de
seguridad
B
Condicin
fsica
C
Funcin de
seguridad
D
Condicin
fsica
E
Funcin de
seguridad
F
Resultado
AB
ABC
ABCD
ABCDE
ABCDEF
ABCDEF
FIGURA 4.2. Ejemplo de un rbol de sucesos simple.
Figura 4.2. Ejemplo de un rbol de sucesos simple
4.2.5. Anlisis de las consecuencias de cada escenario de accidente

La ltima etapa en la parte cualitativa del anlisis es describir las diferentes secuencias
de sucesos que pueden presentarse como consecuencia del suceso iniciador. Una o ms de
las secuencias pueden representar una recuperacin segura de las condiciones normales de
operacin o una parada ordenada. Las secuencias importantes desde el punto de vista de la
4.2.5. Anlisis
de las
de cada escenario de accidente
seguridad,
son aquellas
queconsecuencias
terminan en accidentes.
El analista debe esforzarse en describir las consecuencias resultantes de una manera
clara y carente de ambigedad. Cuando se hayan descrito todas las consecuencias, el
analista puede clasificarlas de acuerdo con su severidad. La estructura del diagrama, que
muestra claramente la progresin del accidente, ayuda al analista a especificar dnde sern
ms eficaces los sistemas de seguridad o los procedimientos operativos adicionales, a fin
de proteger frente a esos accidentes.
El objetivo de la construccin del rbol es la identificacin de los posibles resultados
importantes que tengan relacin con el anlisis cuantitativo de riesgos de la planta de
proceso qumico. As, si el objetivo del anlisis es la estimacin del riesgo de aparicin de
vctimas en el exterior del establecimiento, slo tendrn que desarrollarse los resultados
relevantes para ese objetivo. Las ramas del rbol que conduzcan a consecuencias ms
leves pueden dejarse sin desarrollar. En aquellas ramas en las que los resultados son de
significacin, es una prctica frecuente detener la construccin en el incidente en s mismo
(por ejemplo: explosin, nube de vapor txico a la deriva). El clculo del anlisis de riesgos
consecuente considerar los factores individuales de influencia (por ejemplo: direccin del
viento, estabilidad atmosfrica) sobre las posibles consecuencias.
97
Muchos de los resultados obtenidos al desarrollar diferentes ramas del rbol de

sucesos sern similares (por ejemplo, una explosin puede tener lugar a partir de
ms de una secuencia de sucesos). Los resultados del rbol de sucesos final pueden
clasificarse de acuerdo al tipo de modelo de consecuencias que debe emplearse para
completar el anlisis.
4.2.6. Estimacin de frecuencias o probabilidades de cada rama
En general, si el rbol se ha construido de acuerdo con las etapas precedentes,
sus resultados aparecern ordenados (de arriba abajo) desde los de alta frecuencia y
consecuencias leves hasta los de baja frecuencia y consecuencias severas. De una forma
cualitativa la frecuencia de un resultado dado puede determinarse simplemente observando
el nmero de funciones de seguridad que han tenido que fallar para que ese resultado se
produzca. Por ejemplo, el fallo catastrfico de un equipo slo se producira si el operador
no reconociera a tiempo la aparicin de un problema en el proceso y si varios sistemas de
seguridad independientes tambin fallaran a la hora de detectar y proteger al equipo. Por el
contrario, cuando slo existe una funcin de seguridad para proteger de las consecuencias
de un suceso determinado, no es aventurado suponer que, de producirse ste, es probable
que se llegue a esas consecuencias.
La evaluacin cuantitativa de las frecuencias accidentales exige previamente el
determinar las probabilidades de todos los encabezamientos. El resto de este apartado est
orientado en esa direccin y, como se ha dicho, debe omitirse si slo se desea la opcin
cualitativa del anlisis mediante rboles de sucesos.
Las apariciones del suceso iniciador se representan habitualmente por una distribucin
de Poisson con frecuencia , que se mide como el nmero esperado de apariciones por ao
(o por alguna otra unidad de tiempo).
Cada encabezamiento en el rbol de sucesos (excepto el suceso iniciador) corresponde
a una probabilidad condicional de algn resultado, si el suceso precedente ha tenido lugar.
As, las probabilidades asociadas con cada rama deben sumar 1 para cada encabezamiento.
Esto es cierto tanto en el caso de resultados binarios como si caben mltiples salidas
a un nodo.
Para cada funcin de seguridad, ha de estimarse la probabilidad condicional de
que vaya a funcionar adecuadamente en el contexto relevante, es decir cuando han
tenido lugar los sucesos previos en la cadena. Algunas funciones de seguridad, tales
como los sistemas de parada automtica, son muy complejos y necesitan un anlisis
de fiabilidad muy detallado.
La fiabilidad (condicional) de una funcin de seguridad depender de un gran
nmero de factores ambientales y operacionales, como por ejemplo de las cargas que ha
98
recibido como consecuencia de los sucesos previos de la cadena, del tiempo transcurrido
desde la ltima vez que se prob, etc. En muchos casos resultar difcil distinguir entre
funcionando y no funcionando; una bomba puede empezar a funcionar pero no dar el
caudal requerido o pararse antes de tiempo.
La evaluacin de la fiabilidad de una funcin de seguridad requerir en muchas
ocasiones un anlisis del rbol de fallos o un estudio basado en los diagramas de bloques de
fiabilidad. En algunas aplicaciones informticas, se establece un enlace entre la evaluacin
de fiabilidad y el nodo correspondiente del rbol de sucesos para facilitar la actualizacin
automtica de las frecuencias de resultados y de los anlisis de sensibilidad. Por ejemplo,
puede tener inters estudiar el efecto de cambiar el intervalo de tiempo entre revisiones de
una vlvula de seguridad, sobre la frecuencia de los sucesos accidentales.
Tambin deben estimarse las probabilidades de los diferentes aspectos capaces de
modificar el resultado de un accidente. Algunos de ellos sern independientes de los
sucesos previos en la cadena del rbol, pero otros no lo sern.
Es importante sealar una vez ms que la mayor parte de las probabilidades en el
rbol de sucesos sern probabilidades condicionales. Por ejemplo la probabilidad de que
funcione un detector de incendios despus de una explosin no ser la misma que la que
se obtiene cuando se le prueba en condiciones normales.
Las fuentes de datos de probabilidad condicional pueden ser los registros histricos,
los datos de planta y del proceso, datos de tipo qumico, datos de tipo medioambiental
datos de fiabilidad de los equipos, datos de fiabilidad de los operadores y el uso de la
opinin de expertos.
En la actualidad, se dispone de numerosas bases de datos de fiabilidad de componentes
mecnicos y electrnicos, as como de estimaciones de la probabilidad de fallo de los
operadores, en funcin de las circunstancias que concurren en el instante en el que tienen
que ejecutar una determinada tarea (Less, 2001).
4.2.7. Cuantificacin y expresin de los resultados del anlisis.
Las frecuencias de los resultados se calculan usando un mtodo que se basa en
el teorema que establece que la probabilidad de un suceso producto de otros dos (A
y B) es igual a la probabilidad de uno de los sucesos por la probabilidad del otro
condicionada al primero.
Utilizando este teorema como punto de partida, se deduce el hecho de que la frecuencia
de cada resultado particular es el producto de la frecuencia del suceso iniciador y de todas
las probabilidades condicionadas de las ramas que existen entre el suceso iniciador y el
resultado final. Respecto a las probabilidades, stas pueden basarse en datos histricos
99
para los componentes especficos que se estn evaluando, en datos genricos o en el

juicio subjetivo de expertos en la materia. Puesto que el objetivo es estimar los valores
de frecuencias o probabilidades esperadas, los datos de partida deberan ser sensibles a
cualquier cambio en los sistemas, en el personal o en los factores organizativos.
Con referencia al ejemplo simplificado de la figura 4.2, suponiendo que las frecuencias
o probabilidades condicionadas aplicables son las de la tabla 4.2 (todas las probabilidades lo
son de la opcin ms desfavorable), se obtendran las frecuencias de la tabla 4.3, cuya suma
ha de coincidir obviamente con la frecuencia del suceso iniciador.
TABLA 4.2. Datos de partida para la cuantificacin del rbol de la figura 4.2
Suceso, funcin de seguridad
o condicin
Frecuencia o
probabilidad
Origen del dato
A. Suceso iniciador
0,1 veces/ao
Base de datos histricos
B. Funcin de seguridad
0,1
Anlisis independiente
C. Condicin fsica
0,15
Opinin de expertos
D. Funcin de seguridad
0,30
Opinin de expertos
E. Condicin fsica
0,08
Climatologa de la zona
F. Funcin de seguridad
0,05
Datos del fabricante del sistema
TABLA 4.3. Resultados y frecuencias del rbol de sucesos de la figura 4.2

Resultado del accidente
Clculo
Frecuencia, veces/ao
AB
0,1 x 0,9
0,09
0,1 x 0,1 x 0,85
0,0085
0,1 x 0,1 x 0,15 x 0,7
0,00105
0,1 x 0,1 x 0,15 x 0,30 x 0,92
0,000414
ABCDEF
0,1 x 0,1 x 0,15 x 0,30 x 0,08 x 0,95
0,0000342
ABCDEF
0,1 x 0,1 x 0,15 x 0,30 x 0,08 x 0,05
0,0000018
0,1
0,1
ABC
ABCD
ABCDE
Suma de frecuencias
4.2.8. Verificacin de los resultados obtenidos en el anlisis

Algunas de las causas frecuentes de error en los anlisis mediante rboles de sucesos
son la omisin de ramas importantes, la incorrecta secuencia de las funciones de seguridad
o el pasar por alto el carcter condicional de las probabilidades. Una etapa importante en
el anlisis es la de comprobar los resultados con el sentido comn y frente a los registros
histricos. Esta etapa es ms eficaz si se lleva a cabo por un agente independiente del
equipo que ha llevado a cabo el anlisis previo.
100
Una comprobacin trivial la constituye el hecho de que la suma de todas las frecuencias
de los resultados debe igualar a la frecuencia del suceso iniciador.
Por el contrario, una verificacin ms detallada incluira la consideracin de los
efectos de:
Alterar el orden de actuacin de las diferentes funciones de seguridad.
Considerar xitos o fracasos parciales de esas funciones.
Contar con la contribucin en paralelo de actuaciones de los operadores y de los
sistemas automticos de regulacin.
Ampliar el nmero de los diferentes aspectos capaces de modificar el resultado de
un accidente, prevalecientes en el momento del suceso.
Reconsiderar la condiciones que unas actuaciones imponen sobre otras.
4.2.9. Utilizacin de los resultados en la toma de decisiones
Los resultados de un anlisis mediante rboles de sucesos deben manifestarse como una
serie de recomendaciones orientadas a la mejora de la seguridad, tanto en su vertiente de
reduccin del nmero de sucesos iniciadores posibles, como en la limitacin del alcance de
sus consecuencias. Estos resultados pueden tambin servir de base para acometer estudios
adicionales y ms profundos de determinadas posibilidades de accidente. Entre las actuaciones
que siguen a un anlisis mediante rboles de sucesos, se encuentran las siguientes:
Identificacin de oportunidades de mejora. stas suelen encontrarse entre los
elementos que presentan mayor probabilidad de contribuir a futuros problemas.
Recomendaciones para la mejora. Las sugerencias especficas para mejorar el
funcionamiento en el futuro pueden incluir modificaciones en los equipos, cambios
en los procedimientos normalizados de trabajo, modificaciones en la poltica tales
como mayor frecuencia de inspecciones, ms formacin, etc.
Justificacin de la utilizacin de los recursos. Si las recomendaciones para la
mejora son caras o suscitan controversias, el anlisis puede ayudar a comparar
sus costes con los beneficios esperados durante todo el ciclo de vida de la planta
a la que intentan proteger.
4.3. Aplicaciones de la tcnica
Los rboles de sucesos se utilizan en los anlisis de riesgos de un amplio abanico de
sistemas tecnolgicos. Son una parte consustancial en la mayora de los anlisis de riesgos,
pero pueden utilizarse tambin como una herramienta de diseo para evaluar y demostrar
la efectividad de los sistemas de proteccin en una planta. Se aplicaron en primer lugar en
la industria nuclear, pero ahora se han extendido a la industria de procesos qumicos, a las
plataformas petrolferas y al transporte.
101
Resultan especialmente tiles para el anlisis de procesos que:

Presentan potencialmente un nmero elevado de sucesos iniciadores.
Poseen varios niveles de sistemas de seguridad o de procedimientos de emergencia
implantados para responder a sucesos iniciadores especficos, por lo que los
accidentes slo es probable que ocurran por mltiples sistemas en fallo.
Los sucesos iniciadores pueden desembocar en un gran nmero de resultados
diferentes.
Tambin se usan eficazmente para analizar la combinacin de circunstancias que rodean
a un derrame desde un vehculo de transporte o para procesos discontinuos.
Con relacin a las fases del ciclo de la vida de un proyecto en las que estos anlisis
resultan aplicables, pueden citarse las de planta piloto, ingeniera de detalle, operaciones
de rutina, modificaciones y ampliaciones e investigacin de accidentes. Se usan ms
escasamente o son directamente inapropiados- en la fase de I+D, en el diseo conceptual,
en la construccin y puesta en marcha, y en la retirada de servicio de la planta.
Respecto a los objetivos, el anlisis puede ser cuantitativo o cualitativo, dependiendo de
si calcula o no las frecuencias o probabilidades de los diferentes resultados finales.
Otra clasificacin posible es la que atiende al momento incidental en el que se
considera el suceso iniciador (figuras 4.3 y 4.4)
La aplicacin previa a un accidente examina los sistemas de proteccin preparados
para evitar que los incidentes precursores acaben conduciendo a un accidente; a
menudo, el anlisis del rbol de sucesos de estos sistemas es suficiente para
evaluar la eficacia del sistema de proteccin, contemplado como conjunto. Un
ejemplo de esta aplicacin sera el anlisis que sigue al fallo de la refrigeracin
de un reactor exotrmico sometido a la posibilidad de una reaccin descontrolada
(figura 4.3)
La aplicacin posterior a un accidente se usa para identificar y distribuir
cuantitativamente los diferentes resultados del mismo suponiendo que ste ya
ha ocurrido. Un rbol de sucesos de este tipo se usara para evaluar los posibles
resultados (por ejemplo: incendio flash, UVCE, BLEVE, dispersin segura, etc.)
que podran tener lugar a partir del escape de un material inflamable. Un ejemplo es
el escape de un material inflamable en el punto X y los resultados de ese incidente
en el punto Y, situado a favor del viento respecto de X (figura 4.4) .
De hecho, ambos usos son complementarios: el rbol de sucesos posterior a un
accidente puede adjuntarse a aquellas ramas de rbol de sucesos previo a un accidente que
den lugar a fallo del sistema de seguridad.

E102
83
L ANLISIS MEDIANTE RBOLES DE SUCESOS
83
Alarma por bajo Alarma por alta

Fallo de la
Fallo
de
la
Alarma
bajo Alarma
por alta
temperatura
en
refrigeracin del caudal por
de agua
temperatura
caudal
de
agua
refrigeracin
del
el reactoren
reactor
al reactor
el reactor
al reactor
reactor
A
B
C
A
B
C
Vaciado rpido
Vaciado
rpido
automtico
del
automtico
reactor del
reactor
D
D
Descripcin del
Descripcin
estado deldel
estado
del la
sistema tras
sistema
tras
secuenciala
secuencia
Parada segura
Parada segura
Reaccin fugitiva
Reaccin fugitiva
Parada segura
Parada segura
Reaccin fugitiva
Reaccin fugitiva
Parada segura
Parada segura
Reaccin fugitiva
Reaccin fugitiva
Reaccin fugitiva
Reaccin fugitiva
Reaccin fugitiva
Reaccin fugitiva
FIGURA 4.3. Ejemplo de rbol de sucesos previo a un potencial accidente.
Figura 4.3. Ejemplo de rbol de sucesos previo a un potencial accidente

Figura 4.3. Ejemplo de rbol de sucesos previo a un potencial accidente
Fuga de gas
Fuga
de gas
inflamable
inflamable
A
A
Control de
Control
fuentes de
de
fuentes
de
ignicin
ignicin
prximas
prximas
B
B
Viento hacia
Viento
hacia
zonas
zonas
despobladas
despobladas
C
C
Control de
Slo se
Control
Slo se la
fuentes de
de
produce
fuentes
producede
la la
ignicindeen
ignicin
ignicin
en
ignicin
zonas
pobladas
nubede la
zonas pobladas
nube
E
F
E
F
Descripcin
Descripcin
del estado del
del
estadotras
del
sistema
sistema
tras
la secuencia
la secuencia
Dispersin
Dispersin
Dispersin
Dispersin
Incendio zonas
pobladaszonas
Incendio
pobladas
Explosin
Explosin
zonas pobladas
zonas pobladas
Incendio en
instalacin
Incendio
en
instalacin
Explosin en
Explosin
instalacinen
instalacin
FIGURA 4.4. Ejemplo de rbol de sucesos posterior a un accidente.
Figura 4.4. Ejemplo de rbol de sucesos posterior a un accidente

Figura 4.4. Ejemplo de rbol de sucesos posterior a un accidente
103
4.4. VENTAJAS Y LIMITACIONES

Entre las primeras se encuentran las siguientes:
Los sucesos finales no tienen que adivinarse; por el contrario, el rbol de sucesos
refleja los resultados finales de un suceso iniciador, de una forma sistemtica, lgica
y autoexplicativa, que resulta fcil de revisar por alguien ajeno al autor.
Los clculos aritmticos y las deducciones lgicas son simples y el formato es
normalmente compacto.
El mtodo permite que destaquen tanto la utilidad como las potenciales debilidades
de los sistemas de proteccin, indicando especialmente qu resultados podran
conducir directamente a accidentes, sin que puedan intervenir sistemas de proteccin
(fallos potenciales de punto nico).
Las dependencias pueden tratarse de forma explcita en un rbol de sucesos a base
de considerar los fallos dependientes como sucesos mximos y analizando con
un rbol de fallos sus probabilidades condicionales.
Permite descartar los elementos u opciones de los sistemas que no valen la pena.
Aunque el anlisis mediante rboles de sucesos es una tcnica muy efectiva a la hora
de determinar cmo varios sucesos iniciadores pueden dar lugar a accidentes de inters,
est sometida a las siguientes limitaciones:
El rbol de sucesos no es un enfoque exhaustivo para identificar las causas que
pueden dar lugar a un accidente. Para identificar estas causas, la tcnica debe
reforzarse con otras tales como las listas de comprobacin, como se recomienda
en esta Gua.
Los sucesos iniciadores se tratan individualmente; para mltiples sucesos se
necesitan mltiples rboles.
Cada nodo de un rbol de sucesos multiplica por dos (o ms) el nmero de
resultados y aumenta la complejidad de la clasificacin y de la combinacin de
frecuencias. Desde un punto de vista prctico, esto limita el nmero de nodos que
puede manejarse razonablemente a un valor entre 7 y 10.
Puede pasar por alto dependencias sutiles entre las funciones de seguridad
(componentes comunes, sistemas de utilities, etc.) produciendo una estimacin
optimista del nivel de riesgo.
Es preciso anticipar los caminos que seguirn las operaciones realizadas por los
operadores o por los sistemas de control.
No resulta fcil la consideracin de sucesos iniciadores concurrentes en el tiempo,
ni de los xitos o fallos parciales.
Los escenarios que dependen de la secuencia no se modelan bien.
104
85
4.5. ENFOQUES COMPLEMENTARIOS
4.5. Enfoques complementarios
Este apartado final incluye descripciones someras de dos tcnicas cuya metodologa
apartado final
descripciones
someras
dos tcnicas
cuya
se apoya Este
y complementa
a la deincluye
los anlisis
mediante rboles
de de
sucesos.
La primera
de
metodologa
se
apoya
y
complementa
a
la
de
los
anlisis
mediante
rboles
de
sucesos.
ellas, el anlisis de las capas de proteccin, ha ido adquiriendo relieve como herramienta
La primera
degrado
ellas, de
el anlisis
las capas
ido adquiriendo
relieve
para
evaluar el
robustezde
necesario
ende
unproteccin,
sistema de ha
seguridad,
para garantizar
como herramienta para evaluar el grado de robustez necesario en un sistema de
un nivel de riesgo tolerable bajo los criterios de una organizacin. La segunda, el anlisis
seguridad, para garantizar un nivel de riesgo tolerable bajo los criterios de una
de la fiabilidad humana, constituye a menudo una etapa previa en la evaluacin de la
organizacin. La segunda, el anlisis de la fiabilidad humana, constituye a menudo una
probabilidad
de los seresdehumanos
cuando se
a lahumanos
necesidadcuando
de actuar
etapa previadeenfallo
la evaluacin
la probabilidad
deven
fallosometidos
de los seres
se
deven
unasometidos
forma determinada;
frecuentemente,
esa
actuacin
y
sus
resultados
forman
parte
a la necesidad de actuar de una forma determinada; frecuentemente, esa
deactuacin
la potencial
secuencia
accidental
representada
rboles desecuencia
sucesos. accidental
y sus resultados
forman
partemediante
de la potencial
representada mediante rboles de sucesos.
4.5.1. El 4.5.1
anlisis
de las capas
proteccin
El anlisis
de lasdecapas
de proteccin
tcnica
semicuantitativa
de evaluacin
de riesgos,
ms conocida
por sus
Esta Esta
tcnica
semicuantitativa
de evaluacin
de riesgos,
ms conocida
por sus siglas
en
(LOPA:
Layer
of
protection
analysis),
se
basa
en
el
concepto
de
capa
de
siglas
en
ingls
ingls (LOPA: Layer of protection analysis), se basa en el concepto de capa de proteccin
proteccin de seguridad. Una posible forma de mostrar los diferentes niveles de
de seguridad. Una posible forma de mostrar los diferentes niveles de proteccin para un
proteccin para un proceso se recoge en la figura 4.5.
proceso se recoge en la figura 4.5.
Alarmas y operadores
Sistemas de seguridad instrumentados
Diseo del proceso

Control bsico del proceso
Proceso
Otros sistemas tecnolgicos

Reduccin externa
Respuesta ante emergencias

Respuesta de la comunidad
FIGURA
4.5. Concepto
del anlisis
de las capas de proteccin.
Figura 4.5. Concepto
del anlisis
de las capas
de proteccin.
La tcnica suele aplicarse despus de una etapa de identificacin de peligros realizada

mediante listas de comprobacin, HAZOP, etc. Su carcter de semicuantitativa procede
aplicarse
despus
una etapa
de en
identificacin
peligros
del hechoLadetcnica
que la suele
estimacin
numrica
delderiesgo
se hace
trminos de de
rdenes
de
realizada
mediante
listas
de
comprobacin,
HAZOP,
etc.
Su
carcter
de
semicuantitativa
magnitud y no de estimaciones precisas (Dowell, 2002).
procede del hecho de que la estimacin numrica del riesgo se hace en trminos de
rdenes de magnitud y no de estimaciones precisas (Dowell, 2002).
105
La primera y ms interna de las capas de proteccin es la naturaleza inherente del

proceso; la ltima y ms externa de las capas es la respuesta que la comunidad est en
condiciones de ofrecer ante una emergencia.
La prevencin y la mitigacin de los sucesos peligrosos dependen de la disponibilidad
y del funcionamiento correcto de las diferentes capas de proteccin de seguridad (DRC
2003c). En caso de fallo de una de las capas, todava se dispone de la del nivel siguiente
para llevar el proceso hasta un estado seguro. A medida que crece el nmero de capas de
proteccin y su fiabilidad, tambin lo hace la seguridad del proceso.
El anlisis de las capas de proteccin se centra en la caracterizacin del funcionamiento
de los diferentes sistemas de seguridad y en su orden de actuacin durante las situaciones
inseguras. Contribuye, por tanto, a entender la secuencia de sucesos que tienen lugar entre
la causa y un determinado resultado peligroso.
La tcnica se lleva a cabo a travs de las siguientes etapas:
1. Identificacin de todos los sucesos peligrosos, mediante un anlisis de los peligros
del proceso con alguna de las tcnicas convencionales.
2. Para cada uno de los sucesos peligrosos, y en base al orden de magnitud de
las prdidas que provocara, seleccin de la mxima probabilidad tolerable
para ese suceso.
3. Identificacin y listado de todos los sucesos iniciadores que pueden conducir al
impacto no deseado. La tcnica se centra en cada uno de los escenarios posibles,
considerando como tales a las combinaciones suceso iniciador/ consecuencias.
4. Determinacin provisional de todas las capas de proteccin disponibles para
prevenir que un suceso iniciador dado se propague hasta convertirse en el
impacto no deseado (algunas capas de proteccin pueden ser diferentes para
cada suceso iniciador).
5. Caracterizacin de cada una de las capas, desde los siguientes puntos de vista:
De actuar correctamente, sera efectiva para evitar que el escenario alcance
las consecuencias temidas?
Es independiente del suceso iniciador y del estado de xito o fallo de las
capas precedentes?
Slo si ambas condiciones se cumplen, puede considerarse que ese sistema es una
capa de proteccin independiente.
6. Cuantificacin de la frecuencia de los sucesos iniciadores, en base a datos histricos
o a criterios de ingeniera.
7. Evaluacin de la eficacia de cada capa de proteccin, en trminos de probabilidad de
fallo ante demanda, en base al anlisis histrico o a criterios de ingeniera.
8. Clculo de la frecuencia del suceso peligroso.
9. Comparacin de la frecuencia estimada con el objetivo de probabilidad establecido
en el punto 2, para identificar la naturaleza de las capas de proteccin adicionales
que seran necesarias para cumplir el objetivo.
106
9 . Comparacin de la frecuencia estimada con el objetivo de probabilidad

establecido en el punto 2, para identificar la naturaleza de las capas de
NLISIS DEL RIESGO EN LOS ESTABLECIMIENTOS AFECTADOS DE NIVEL INFERIOR
proteccin adicionales queAseran
necesarias para cumplir el objetivo.
Capa de proteccin 3
Capa de proteccin 2
Capa de proteccin 1
Manifestacin
de las
consecuencias
Resultado seguro
Suceso iniciador
Resultados
indeseables, pero
tolerables
Consecuencias
no tolerables
FIGURA
4.6. Relacin
el anlisis
las capas
de proteccin
el rbol
sucesos.
Figura
4.6. Relacin
entre entre
el anlisis
de lasdecapas
de proteccin
y elyrbol
de de
sucesos
El anlisis de las capas de proteccin es una variante del anlisis mediante rboles de
sucesosElenanlisis
la que solamente
se consideran
dos categoras
de resultados
finales:
el impacto
de las capas
de proteccin
es una variante
del anlisis
mediante
no deseado
o su ausencia.
La figura
4.6 muestra
una comparacin
entre elde
rbol
de sucesos
rboles
de sucesos
en la que
solamente
se consideran
dos categoras
resultados
y
el
anlisis
de
las
capas
de
proteccin;
este
ltimo
describe
una
nica
trayectoria
finales: el impacto no deseado o su ausencia. La figura 4.6 muestra una comparacin a
travseldel
rbol
de sucesos,
se haderepresentado
unaeste
lnea
msdescribe
gruesa. La
entre
rbol
de sucesos
y el que
anlisis
las capas de mediante
proteccin;
ltimo
frecuencia
del suceso
iniciador
es la de
que
inicia que
el rbol
sucesos. Ms
all de
una
nica trayectoria
a travs
del rbol
sucesos,
se hade
representado
mediante
unaeste,
lnea
ms gruesa.
La frecuencia
del suceso iniciador
es la
inicia
el rbol
hay varias
ramificaciones,
correspondiendo
cada una
deque
ellas
a una
capa de
de sucesos.
proteccin.
Ms
de este, haytiene
varias
ramificaciones,
cada una dedel
ellas
a unay el
Cadaall
ramificacin
slo
dos caminos:correspondiendo
uno para la propagacin
suceso
capa
de
proteccin.
Cada
ramificacin
tiene
slo
dos
caminos:
uno
para
la
propagacin
otro para su ausencia.
del suceso y el otro para su ausencia.
4.5.2. Los anlisis de la fiabilidad humana
Los rboles de sucesos aplicados al anlisis de la fiabilidad humana sirven para evaluar
la frecuencia de los posibles errores cometidos por las personas cuando llevan a cabo
determinados procedimientos de trabajo. Esta tcnica puede modelar el intervalo completo
de los posibles resultados de la ejecucin de un procedimiento realizado por una o varias
personas, contemplando tanto los errores como las acciones encaminadas a corregirlos
y los posibles fallos de los equipos involucrados. Como se indica en la figura 4.7,
completo de los posibles resultados de la ejecucin de un procedimiento ejecutado por

una o varias personas, contemplando tanto los errores como las acciones encaminadas a
corregirlos y los posibles fallos de los equipos involucrados. Como se indica en la figura
4.7, cada etapa del procedimiento se representa por una letra y puede realizarse correcta
o incorrectamente. La letra minscula representa la actuacin correcta, mientras que la
EL ANLISIS MEDIANTE
RBOLES DE SUCESOS
107
mayscula
designa
el error.
Inicio del
procedimiento
Primera tarea a
realizar
Segunda tarea a
realizar
Anulacin tareas
ejecutadas
a/A
b/B
c/C
b/a
Procedimiento
correcto
a
c/aB
B/a
b/A
Resultado final
de la secuencia
de actuaciones
C/aB
c/Ab
Maniobra anulada
Fallo
Maniobra anulada
C/Ab
Fallo
A
c/AB
Maniobra anulada
B/A
C/AB
Fallo
FIGURA 4.7. Aplicacin del rbol de sucesos a los anlisis de la fiabilidad humana.
Figura 4.7. Aplicacin del rbol de sucesos a los anlisis de la fiabilidad humana
cada etapa del procedimiento se representa por una letra y puede realizarse correcta o
incorrectamente.
La letra
minsculaen
representa
actuacin
correcta,que
mientras
que la
Para el ejemplo
representado
la figura la4.7,
se ha supuesto
un operador
mayscula
designados
el error.
tiene
que realizar
tareas en serie; la maniobra slo es correcta si ambas tareas se
realizan correctamente. No obstante, existe un periodo de tiempo durante el cual el

Parapuede
el ejemplo
figura 4.7, seguras,
se ha supuesto
que un operador
tiene
operador
anular representado
la maniobra, en
en la
condiciones
para comenzarla
de nuevo.
que realizar dos tareas en serie; la maniobra slo es correcta si ambas tareas se realizan
Si los cdigos
alfabticos
ramas
se interpretan
probabicorrectamente.
No obstante,
existeque
unidentifican
periodo de las
tiempo
durante
el cual el como
operador
puede
lidades, es decir si c/aB, por ejemplo, representa la probabilidad de que el operador
anular la maniobra, en condiciones seguras, para comenzarla de nuevo.
consiga anular la maniobra habiendo realizado correctamente la tarea a/A, pero
habiendo fallado en la b/B, resulta:
Si los cdigos alfabticos que identifican las ramas se interpretan como probabilidades,
es decir si c/aB, por ejemplo, representa la probabilidad de que el operador consiga
anular la maniobra habiendo realizado correctamente la tarea a/A, pero habiendo
fallado en la b/B, resulta:
Probabilidad de maniobra correcta = a(b/a)
Probabilidad de maniobra anulada = a(B/a)(c/aB)+A(b/A)(c/Ab)+A(B/A)(c/AB)
Probabilidad de fallo no anulado = a(B/a)(C/aB)+A(b/A)(C/Ab)+A(B/A)(C/AB)
Esta tcnica puede generar tanto descripciones cualitativas de los potenciales sucesos
no deseados, como estimaciones cuantitativas de las frecuencias o probabilidades de
los fallos y de la importancia relativa de las diferentes secuencias accidentales. De su
108
aplicacin puede surgir una lista de recomendaciones para reducir los riesgos e incluso
puede ayudar a evaluar la eficacia de las medidas recomendadas.
El mtodo est orientado a la evaluacin detallada de las operaciones a cargo de
operadores, en especial de las tareas ajustadas a un procedimiento; es frecuente que
se utilice como suplemento de evaluaciones de riesgos ms amplias realizadas usando
otras tcnicas. Su campo ms especfico es el de aquellas situaciones en las que son
necesarias combinaciones complejas de errores humanos y de fallos de equipos, para
que se materialice un accidente.
Las limitaciones de la metodologa no son ajenas a las del resto de las aplicaciones
de los anlisis mediante rboles de sucesos: por un lado, para obtener resultados fiables,
resulta esencial el contar con personal entrenado en la aplicacin de la tcnica; por otro,
la calidad de los resultados del anlisis depende de la disponibilidad de datos aplicables
a cada situacin particular objeto de estudio. Debe tenerse presente, adems, la influencia
que ejercen determinados elementos de los sistemas de gestin de la seguridad (formacin,
comunicacin, etc.), sobre la fiabilidad de las respuestas de los que operan o mantienen
los sistemas tcnicos (Hurst 1998).
Anexo
Instalacin de almacenamiento
de lquidos petrolferos
Lista de comprobacin
110
92
TABLA A.1. Listas de comprobacin y de identificacin de riesgos

TABLA A.1. Listas de comprobacin y de identificacin de riesgos
Aspecto a verificar
Riesgo/s a evitar o reducir
Zonas donde sea posible la

presencia de mezclas explosivas
y cuyos equipos no tengan el
nivel de proteccin adecuado.
Evaluacin de riesgos.
Diseo y conservacin.
Condicin latente.
Accin automtica.
Presencia de focos de ignicin.
Condicin latente.
Accin automtica.
Zonas donde sea posible la

presencia de mezclas explosivas
y cuyos equipos no tengan el
nivel de proteccin adecuado.
Condicin latente.
Accin automtica.
1 Zonificacin y adecuacin de
los equipos instalados.

1.1 Las reas del establecimiento se
han clasificado en zonas, en

funcin del riesgo de explosin
por la presencia de gases,
vapores o nieblas inflamables
mezcladas con el aire (1).
1.2 Las instalaciones, equipos y
materiales elctricos cumplen

los reglamentos de alta y baja
tensin que les afectan.
1.3 Los restantes aparatos y
sistemas de proteccin que se

utilizan, poseen la categora
adecuada (2).
2 Distancias de seguridad.
2.1 Desde equipos que contienen
lquidos petrolferos (estaciones

de bombeo, almacenamientos,
cargaderos, balsas separadoras)
a:
a) Otros equipos con
lquidos petrolferos.
Efecto domin por propagacin Diseo y conservacin.

Eficacia mitigacin.
del incendio o por explosin.
b) Centrales de vapor.
Ignicin de nubes inflamables.
Accin automtica.
c) Edificios administrativos
y sociales, laboratorios, etc.
Accin automtica.
d) Estaciones de bombeo
contra incendios.
Daos a los ocupantes del local.
Eficacia mitigacin.
Destruccin de las estaciones o Diseo y conservacin.
imposibilidad de operarlas en el Eficacia mitigacin.
Gestin emergencias.
momento necesario.
e) Vallado del parque de

almacenamiento.
Accin automtica.
f) Terrenos en los que

pueden edificarse inmuebles
habitados. Vas exteriores.
Accin automtica.
Daos a la poblacin.
Eficacia mitigacin.
g) Locales de pblica
concurrencia.
Accin automtica.
Daos a los ocupantes del local.
Eficacia mitigacin.
(1) Clasificacin de acuerdo con la Norma UNE-EN 60.079(10) Material elctrico para atmsferas de gas
explosivas. Parte 10: Clasificacin de emplazamientos peligrosos
(2) Real Decreto 400/1996, de 1 de marzo, por el que se dictan las disposiciones de aplicacin de la
Directiva del Parlamento Europeo y del Consejo 94/9/CE, relativa a los aparatos de proteccin para uso
en atmsferas potencialmente explosivas.
ANEXO. INSTALACIN DE ALMACENAMIENTO DE LQUIDOS PETROLFEROS. LISTA DE COMPROBACIN
111
93
ANEXO 1. ALMACENAMIENTO LQUIDOS PETROLFEROS. LISTA VERIFICACIN
TABLA A.1. (cont.). Listas de comprobacin y de identificacin de riesgos

TABLA A.1 (Cont.). Listas de comprobacin y de identificacin de riesgos
Aspecto a verificar
Presencia de personas no
autorizadas en las instalaciones.
Acceso difcil (incluso

imposible) en caso de necesidad
de intervencin.
3 Limitacin de accesos.
3.1 Existe un cerramiento de 2,5 m
de altura mnima, rodeando el

conjunto de las instalaciones.
3.2 El cerramiento no obstaculiza la
aireacin y posee accesos para

intervencin y la evacuacin en
caso de necesidad.
3.3 El vallado permite la salida de
aguas pluviales, pero no de

gases de hidrocarburos.
3.4 Slo permanecen abiertas las
puertas que cuentan con control

de accesos.
3.5 Las puertas del parque poseen
anchura suficiente y estn bien

sealizadas.
3.6 Plano de circulacin indicando
las zonas de aparcamiento de

modo que quede libre todo
acceso necesario para la lucha
contra incendios.
Accin externa.
Eficacia mitigacin.
Gestin emergencias.
Presencia de mezclas explosivas Accin automtica.

en zonas de fuego abierto.
Presencia de personas no
autorizadas en las instalaciones.
Prcticas de operacin.
Colisiones.
Accin externa.
Gestin emergencias.
Acceso difcil en caso de

intervencin.
Acceso difcil o incluso
imposible en caso de
intervencin.
Accin externa.
Gestin emergencias.
4 Disposicin y separacin de
tanques.
4.1 Distancia entre paredes de los
recipientes.
4.2 Existencia de una calle o va de
acceso adyacente a cada tanque.

4.3 El acceso a los tanques y a las
instalaciones de carga rene las

siguientes caractersticas:
a) Puede hacerse desde dos
direcciones diferentes.
b) Posee la anchura necesaria
para permitir el acceso de
los medios de intervencin.
c) Carece de fondos de saco
no sealizados (o existe
espacio suficiente para dar
media vuelta).
d) Existe una distancia mnima
de 3 m entre el cubeto y el
lmite del terreno.
Efecto domin por propagacin Diseo y conservacin.

Eficacia mitigacin.
del incendio o por explosin.
Acceso difcil o incluso imposi- Diseo y conservacin.
Gestin emergencias.
ble en caso de intervencin.
Acceso difcil o incluso imposi- Diseo y conservacin.
Gestin emergencias.
ble en caso de intervencin.
112
94

Aspecto a verificar
5 Existencia y estado de los
sistemas o servicios por los

que han podido reducirse las
distancias de seguridad.
5.1 Muros cortafuegos RF 120
situados entre las instalaciones.

5.2 Sistemas fijos de agua pulveri-
zada con accionamiento situado

a ms de 10 m de la instalacin
protegida (1).
5.3 Sistemas fijos de espuma con
Efecto domin por propagacin. Diseo y conservacin.

Eficacia mitigacin.
Eficacia mitigacin.
Incendio continuado.
Eficacia mitigacin.
Eficacia mitigacin.
accionamiento a ms de 10 m
de la instalacin protegida (1).
5.4 Otros sistemas fijos de
extincin de incendios de
accionamiento manual (1).
5.5 Brigada de lucha contra incen-
dios propia, especialmente

adiestrada y con los medios
adecuados.
5.6 Medios para verter, de forma
Eficacia mitigacin.
Gestin emergencias.
eficaz y rpida, espuma en el

rea de almacenamiento (1).
5.7 Nmero de hidrantes suficiente
para cubrir con dos de ellos

cada punto de la zona de riesgo.
5.8 Detectores automticos fijos,
con alarma, de atmsferas

explosivas (1).
5.9 Sistemas fijos de inertizacin
permanente en el interior de los

recipientes de almacenamiento.
5.10 Los sistemas 5.2, 5.3 y 5.4 pero
dotados de deteccin y accionamiento automticos.

5.11 Monitores fijos protegiendo las
Eficacia mitigacin.
Presencia inadvertida de atms- Diseo y conservacin.
feras explosivas.
Control manual.
Atmsfera explosiva en el
interior de tanques.
Dependencia del operador para

controlar los riesgos enunciados
en 5.2, 5.3 y 5.4.
Eficacia mitigacin.
reas circundantes a la instalacin considerada.

5.12 Para productos de la subclase
Eficacia mitigacin.
Presencia de atmsferas exploB1: techo flotante en el depsito sivas. Incendio continuado

de almacenamiento y sistema
sobre el techo del tanque.
fijo de espuma de accionamiento manual.
Eficacia mitigacin.
Accin automtica.
Eficacia mitigacin.
(1) En las condiciones fijadas en el artculo 7 del Real Decreto 1562/1998, de 17 de julio, por el que se
modifica la I. T. C. MI-IP02 Parques de almacenamiento de lquidos petrolferos
113
95
A.1.Listas
(cont.).
de comprobacin
y de identificacin
TABLATABLA
A.1 (Cont.).
de Listas
comprobacin
y de identificacin
de riesgos de riesgos
Aspecto a verificar
6 Cargaderos.
6.1 Existe una prctica de operacin
Errores de operacin.
documentada, para la carga de

cisternas, incluyendo:
-
Riesgos y prevencin ante

la contaminacin de
productos.
Daos en equipos de usuarios.

Existencia inadvertida de
mezclas explosivas.
Condicin latente.
Colocacin apagallamas
antes de entrar al recinto.
Ignicin por chispas del tubo de

escape.
Accin automtica.
Comprobacin de ausencia
de producto en la cisterna.
Sobrellenados.
Condicin latente.
Desviacin en proceso.
Aproximacin al cargadero.
Colisiones.
Accin externa.
Posicin del vehculo.
Tensin en brazos/mangueras.
Accin externa.
Inmovilizacin
Rotura de brazos/mangueras.
Accin externa.
Parada del motor.
Accin automtica.
Desconexin batera.
Ignicin en el motor del camin

o en su sistema elctrico.
Desactivacin telfono
mvil.
Ignicin por sistema elctrico.
Accin automtica.
Puesta a tierra cisterna.
Cargas electrostticas.
Accin automtica.
Verificacin del producto y

la cantidad a cargar en cada
compartimento.
Sobrellenado. Contaminacin
entre productos.
Condicin latente.
Verificacin del vaciado

total de cada
compartimento.
Sobrellenado. Contaminacin
entre productos.
Condicin latente.
Conexin de los brazos y

apertura de vlvulas.
Tensin en brazos/mangueras.
Derrames.
Accin externa.
Operacin de carga.
Derrames.
Vigilancia continua durante

el proceso de carga.
Sobrellenado. Goteos.
Condicin latente.
Actuacin ante anomalas

durante la carga..
Progreso de las anomalas hasta

convertirse en un incidente.
Control manual.
Desconexin de los brazos.
Derrames.
Desconexin puesta a tierra. Daos al cable de conexin.

Derrames durante el transporte.
Posicin de vlvulas.
No aplicable.
No aplicable.
Comprobacin de la
inexistencia de fugas.
Derrames durante el transporte.
No aplicable.
Maniobra en caso de
cambio de isleta.
Colisiones.
Accin externa.
Actuaciones en caso de
emergencia.
Retrasos en la aplicacin de
actuaciones de emergencia.
Eficacia de la
mitigacin.
Salida del cargadero.
Colisiones.
Accin externa.
114
96

6.2 La disposicin del cargadero es
tal que los derrames lquidos

fluyen hacia un sumidero, fuera
de la proyeccin vertical del
vehculo.
6.3 Los cargaderos son suficiente-
mente espaciosos para que los

camiones entren y salgan en un
solo movimiento, sin necesidad
de maniobra.
6.4 Est claramente sealizado el
sentido nico de movimiento de

las cisternas en el cargadero.
6.5 Existen espacios para que los
camiones estacionados en
espera no obstaculicen la salida
de los que estn cargando, ni la
circulacin de los medios de
lucha contra incendios.
6.6 La estructura y las tuberas
Extensin de una fuga lquida Diseo y conservacin.

hasta formar un charco de gran Accin automtica.
superficie.
Impacto entre un vehculo y la

instalacin o colisin contra
otro vehculo.

otro vehculo.

otro vehculo.
Accin externa.
Accin externa.
Accin externa.
Eficacia mitigacin.
Gestin emergencias.
Generacin de cargas
electrostticas entre tuberas y
estructuras.
Generacin de cargas
existe un conductor flexible
electrostticas entre el sistema
permanentemente conectado por de tuberas y el camin.
un extremo a tierra y por otro a
una pieza de conexin de longitud suficiente para conectar a
tierra la masa de la cisterna del
camin.
estn conectadas elctricamente

entre s y a una puesta a tierra
mediante un conductor
permanente.
6.7 Junto a cada puesto de carga,
6.8 Para los productos de clase B,
Comienzo de la operacin de
existe un enclavamiento o dis- carga sin las adecuadas
positivo de alarma que garantiza conexiones a tierra
la adecuada conexin a tierra.
6.9 Con lquidos de conductividad Generacin de cargas
inferior a 50 pS/m, se limita a 1 electrostticas durante el

m/s la velocidad de entrada.
proceso de carga.
6.10 Est rigurosamente implantado
un programa de inspeccin de
los sistemas de conexin
equipotencial.
Accin automtica.
Accin automtica.
Accin automtica.
Control manual.
Deterioro y prdida de
funcionalidad de los sistemas de Accin automtica.
conexin equipotencial.
115
97
A.1. Listas
(cont.).
de comprobacin
y de identificacin
TABLATABLA
A.1 (Cont.).
deListas
comprobacin
y de identificacin
Aspecto a verificar
6.11 Se garantiza (mediante el aporte
de un aditivo antiesttico) que

la conductividad supera los 50
pS/m.
6.12 Se evita cargar una cisterna que
ha llevado un lquido con bajo

punto de inflamacin, con otro
de alto punto de inflamacin.
6.13 No se coloca ningn objeto
conductor en la cisterna durante

ni poco despus de la carga
(reglas de nivel, termmetros,..).
6.14 Si el producto pasa a travs de
filtros, se le permite un tiempo

de relajacin en un recipiente
intermedio antes de la carga.
Capacidad del producto para Prcticas de operacin.

generar cargas electrostticas.
Condicin latente.
Presencia inadvertida de vapo- Prcticas de operacin.

res de bajo punto de inflama- Condicin latente.
cin.
Ignicin por cargas electrostti- Prcticas de operacin.

cas durante el proceso de carga. Accin externa.
Generacin inadvertida de Prcticas de operacin.

cargas electrostticas.
Condicin latente.
6.15 Las mangueras flexibles que se
Generacin de cargas
utilizan conducen la electricidad electrostticas durante el flujo
o son antiestticas.
del producto por la manguera.
6.16 Las mangueras son compatibles
con el lquido a cargar.

6.17 Las mangueras flexibles se re-
visan peridicamente, al menos

cada ao, dejando registro.
6.18 Existe un mecanismo que
interrumpe la carga en caso de

movimiento del camin.
6.19 El procedimiento de carga exige
6.20
6.21
6.22
6.23
una inspeccin visual antes de

cada utilizacin de la manguera.
Tras su utilizacin, las mangueras se disponen en un lugar
adecuado y seguro.
Existe iluminacin suficiente
(incluyendo la de emergencia) o
se carga slo durante el da.
Se ejerce una vigilancia continua de las operaciones de carga.
Existe un enclavamiento ante
sobrellenado o bombas dosificadoras de parada automtica.
6.24 Se efecta el vaciado o la aspi-
racin de las tuberas hasta la

vlvula.
Accin automtica.
Debilitamiento de la manguera Diseo y conservacin.

Condicin latente.
por incompatibilidad qumica.
Debilitamiento inadvertido de la Diseo y conservacin.
Condicin latente.
manguera durante el uso.
Derrames debidos al movimiento o a la marcha del camin

durante la carga.
Accin automtica.
Utilizacin de una manguera Prcticas de operacin.

cuyo mal estado se desconoce.
Condicin latente.
Deterioro inadvertido de la
manguera por almacenarla en
un lugar inadecuado.
Errores de operacin o fallos en
actuaciones de control, por baja
iluminacin.
Ausencia de deteccin de un
problema.
Condicin latente.
Accin externa.
Control manual.
Control manual.
Condicin latente.
Liberacin de producto durante

la desconexin de las
mangueras.
116
98

Aspecto a verificar
los mecanismos automticos
utilizados para prevenir el
sobrellenado.
6.26 Se efecta el vaciado o la aspi-
Condicin latente.

mangueras.

recogida de los restos de lquido la desconexin de las
durante la desconexin.
mangueras.
racin de las tuberas hasta la

vlvula.
6.27 Se dispone de cubos para
6.28 Existen los medios necesarios
para eliminar inmediatamente y

de manera segura una fuga de
lquido.
6.29 Existen vlvulas con mando a
distancia para aislar el camin

cisterna de la instalacin.
6.30 Existen interruptores de parada
de emergencia:
a) situados en las vas de
evacuacin,

mangueras.
Liberacin de cantidades impor- Diseo y conservacin.

tantes de lquido incluso tras la Control manual.
deteccin precoz de una fuga.
Liberacin de cantidades impor- Diseo y conservacin.
tantes de lquido inflamable,
Control manual.
incluso tras la deteccin precoz
de una fuga.
b) que cierran
automticamente las
vlvulas de mando a
distancia,
c) que paran inmediatamente
la carga y
d) que activan una alarma en
la sala de control.
6.31 Existen sistemas de recogida de
Extensin de una fuga lquida Diseo y conservacin.

las fugas lquidas (pozo de recu- hasta formar un charco de gran Control manual.
peracin para grandes fugas y
superficie.
Accin automtica.
bandejas para las pequeas).
6.32 Todas las conexiones y vlvulas
importantes indican claramente

su funcin (producto, tanque,
etc.).
6.33 Se controla el nivel mximo de
Accin externa.
Problemas durante el transporte. Prcticas de operacin.
llenado de las cisternas.

6.34 Se controla el nivel mnimo de
llenado para evitar las oscilaciones excesivas de la carga.
Problemas durante el transporte. Prcticas de operacin.
117
99

Aspecto a verificar
7 Tuberas.
7.1 Las tuberas han sido diseadas
Fallos por mal diseo.
de acuerdo a una norma o

cdigo reconocido.
Condicin latente.
7.2 El material de las tuberas es
Fallos por incompatibilidad de Diseo y conservacin.

acero u otro material compatible materiales.
Condicin latente.
con el lquido a transportar.
7.3 Se han usado tramos de la
Fugas por bridas.
Condicin latente.
Fallos por tensiones

estructurales.
Condicin latente.
Fallos en la construccin.
Condicin latente.
Fallos en la construccin.
Condicin latente.
mayor longitud posible, unidos

por soldadura, limitando las
uniones embridadas a las
estrictamente necesarias.
7.4 Durante el diseo se han tenido
en cuenta las tensiones estructurales (empujes, vibracin, dilataciones, contracciones, etc.).

7.5 Se ha verificado en profundi-
dad, mediante inspeccin, que

en la construccin se ha seguido
el diseo.
7.6 Se ha efectuado una prueba de
estanqueidad de las tuberas

antes de su puesta en servicio.
7.7 Los materiales de los puntos
dbiles tales como juntas de

bridas, cierres de bombas y
prensas de vlvulas, son adecuados a los hidrocarburos con
los que tienen contacto y para
las condiciones extremas de
presin y temperatura.
7.8 Para cada situacin (tuberas
Fugas por bridas, vlvulas, Diseo y conservacin.

cierres de bombas, etc.
Condicin latente.
Fallos por corrosin.
Condicin latente.
Condicin latente.
Condicin latente.
enterradas, tuberas con aislamiento trmico, etc. ) se ha

usado una proteccin adaptada
al tipo de corrosin posible.
7.9 No existen puntos muertos en
las tuberas susceptibles de facilitar un fenmeno de corrosin

interna.
un programa de inspeccin para

seguir el estado de las tuberas.
118
100
A.1.Listas
(cont.).
de comprobacin
y de identificacin
TABLATABLA
A.1 (Cont.).
de Listas
comprobacin
y de identificacin
Aspecto a verificar
7.11 Los soportes de los haces de

Impactos del trfico rodado.
Condicin latente.
Accin externa.
Impactos del trfico rodado.
Condicin latente.
Accin externa.
Presin externa. Inestabilidad

del suelo que acabe rompiendo
el sistema de tuberas
enterradas.
Condicin latente.
Accin externa.
Impactos por trabajos de

excavacin.
Condicin latente.
Accin externa.
Impactos por trabajos de

excavacin.
Accin externa.
Afeccin de las tuberas por

posibles incendios.
Condicin latente.
Accin externa.
Extensin de un incendio
debido a la rotura de una
tubera.
Eficacia mitigacin.
tuberas areas aseguran una

altura libre mnima de 4,5 m en
los pasos de vehculos.
7.12 El trfico rodado es orientado a
lo largo de un itinerario seguro

mediante seales y/o barreras.
7.13 La profundidad de las tuberas
enterradas o su proteccin est

adaptada a la carga que
soportan.
7.14 Existen planos de todas las
tuberas enterradas, incluyendo

su profundidad.
7.15 Existe un procedimiento
documentado para los trabajos

de excavacin.
7.16 Est exenta de maleza y de
materias combustibles la zona

en torno a los haces de tuberas.
7.17 Los apoyos de las tuberas
tienen una resistencia al fuego

de 2 h como mnimo.
7.18 Los tramos de tubera en los que
Rotura de tuberas debida a la

pueda quedar lquido atrapado,
expansin trmica del lquido
poseen una vlvula de alivio, en confinado.
caso de que la presin pueda superar la de diseo de la tubera.
7.19 La velocidad a la que se cierran
las vlvulas est adaptada a la

red de tuberas.
7.20 Toda la red de tuberas est
diseada para la presin mxima que puede producirse en

caso de un golpe de ariete.
7.21 Las tuberas estn provistas de
alivios de presin.
7.22 Existen supresores de detona-
cin en los conductos que pueden contener mezclas vapor

inflamable/aire.
7.23 Existe un sistema de identifica-
cin de tuberas que indica el

producto y el sentido del flujo.
Accin automtica.
Rotura de las tuberas por

golpes de ariete.
Accin externa.

golpes de ariete.
Condicin latente.
Accin externa.

golpes de ariete.
Accin automtica.
Propagacin de una explosin a

travs de los conductos que
contienen vapores.
Accin automtica.
Errores de operacin o de
mantenimiento.
Accin externa.
119
101
A.1.Listas
(cont.).
de comprobacin
y de identificacin
TABLA TABLA
A.1 (Cont.).
de Listas
comprobacin
y de identificacin
Aspecto a verificar
8 Tanques (general).
8.1 Diseados y construidos segn
normas o cdigos reconocidos.

8.2 Su material es compatible con
los lquidos almacenados.

8.3 Se han proyectado para que, en
caso de sobrepresin accidental,

no se rompan por debajo del
nivel mximo de utilizacin.
8.4 Se han dotado del adecuado
Mal diseo o construccin del Diseo y conservacin.

tanque.
Condicin latente.

tanque.
Condicin latente.
Rotura completa del tanque con Diseo y conservacin.

derrame de gran cantidad de Accin automtica.
producto.
Rotura por corrosin.
Condicin latente.
Condicin latente.
sobreespesor por corrosin.

8.5 Cuentan con proteccin contra
la corrosin (materiales resistentes, recubrimientos, etc.).

8.6 Est suficientemente impedida
la infiltracin de agua entre el

fondo del tanque y su solera.
8.7 Drenaje del agua acumulada en
Prdida de resistencia de la Diseo y conservacin.

unin entre paredes y fondo.
Condicin latente.
Condicin latente.
Condicin latente.
el interior del tanque.

8.8 Existencia de inspecciones
externas e internas, de acuerdo

con el cdigo adoptado.
8.9 En tanques reutilizados, se ha
verificado su adecuacin (compatibilidad, densidad del lquido, temperatura de trabajo).

tanque.
Condicin latente.

Condicin latente.
de espesor y de resistencia antes tanque.
de la puesta en servicio.
8.10 Se han certificado las medidas
8.11 La estabilidad del suelo est
Movimientos del terreno.
Condicin latente.
Insuficiente estanqueidad y
estabilidad del tanque.
Condicin latente.
Flotacin del tanque el caso de

inundacin.
Accin externa.
Condicin latente.
garantizada por el diseo de la

solera (medidas peridicas).
8.12 Se ha sometido a prueba hidros-
ttica, comprobando las fugas,

deformaciones o asentamientos.
8.13 Fijacin slida a una solera
suficientemente pesada.
8.14 Ante el riesgo de inundacin, se
mantiene un nivel suficiente.

8.15 Sus accesorios tienen caracters-
ticas mecnicas al menos

iguales a las del propio tanque.
Flotacin del tanque el caso de

inundacin.
Derrame a travs de accesorios.
Condicin latente.
120
102

Aspecto a verificar
8.16 Las vlvulas acopladas a los
Puntos dbiles entre las vlvulas Diseo y conservacin.

tanques son de acero y se
y las paredes de los tanques.
Condicin latente.
conectan mediante tubuladuras
soldadas directamente al tanque.
8.17 Las vlvulas a pi de tanque son
resistentes al fuego.
8.18 La resistencia al fuego de las
juntas entre el tanque y sus

vlvulas es la adecuada.
8.19 Los tramos de tubera entre el
tanque y las vlvulas estn

protegidos contra el fuego.
8.20 Existen vlvulas comandables a
distancia lo ms cerca posible

de los tanques.
8.21 Las vlvulas comandables a
Extensin de un incendio por

rotura de la vlvula.
Eficacia mitigacin.

rotura de una junta.
Eficacia mitigacin.

rotura del tramo de tubera.
Eficacia mitigacin.
Vaciado de un tanque en caso

de una rotura del sistema de
tuberas.
Eficacia mitigacin.
Propagacin de los peligros

despus de la deteccin de un
problema (derrame, incendio,
etc.).
Eficacia mitigacin.
distancia:
- Se cierran desde el exterior
de la zona peligrosa.
- Poseen indicador de estado.
- Adoptan un estado seguro
en caso de fallo.
- Se activan por el interruptor
de parada de emergencia.
- Su cierre activa la parada de
las bombas.
8.22 En tanques de escasos trasiegos Vaciado de un tanque en caso
existe un procedimiento que
de una rotura del sistema de
garantiza que sus vlvulas pertuberas.
manecen cerradas.
8.23 El procedimiento de llenado
Fuga limitada por sobrellenado.
Condicin latente.
Desviacin en proceso
Condicin latente.
Condicin latente.
Condicin latente.
incluye la comprobacin del

espacio libre disponible.
8.24 Medida continua del nivel, con
alarma por alto nivel.

un programa de inspeccin del

sistema de medida del nivel.
8.26 Existe una proteccin indepen-
diente contra el sobrellenado.

8.27 Presencia regular de operadores
u otros medios de supervisin.
Eficacia mitigacin.
Deteccin tarda de problemas y Control manual.

derrame de cantidad importante.
121
103
A.1.Listas
(cont.).
de comprobacin
y de identificacin
TABLATABLA
A.1 (Cont.).
de Listas
comprobacin
y de identificacin
Aspecto a verificar
8.28 Elementos de deteccin precoz:
Alarmas ante todo cambio

de nivel inesperado.
- Detectores de lquido en los
cubetos.
- Detectores de gases
inflamables.
8.29 Estudio de los riesgos de la
operacin de drenaje del agua y
procedimiento operativo acorde.
8.30 Doble vlvula en las aberturas
destinadas al drenaje de agua

del interior de los tanques.
8.31 Los tanques, sus apoyos y, en su
No deteccin de una fuga y

liberacin de una cantidad
importante de lquido o vapor.
Control manual.
Liberacin incontrolada de
lquidos petrolferos durante el
drenaje de agua del tanque.
Accin externa.
Liberacin incontrolada de
lquidos petrolferos durante el
drenaje de agua del tanque.
Accin externa.
Electricidad esttica.
Accin automtica.
Electricidad esttica.
Accin automtica.
Carga esttica del lquido en las

operaciones de llenado.
Accin automtica.
Ignicin electrosttica durante

operaciones de medida.
Accin automtica.
caso, los techos flotantes, estn

puestos a tierra.
las resistencias de las tierras.
8.33 Se impide la formacin de una
atmsfera inflamable en el
tanque inertizando o mediante
el uso de techos flotantes.
8.34 Todos los accesorios (regletas
de nivel, frascos de toma de

muestras,..) son conductores y
se conectan a tierra.
8.35 Procedimiento para realizar
Accidentes durante el trabajo en

labores de mantenimiento:
los tanques.
- Aislamiento con bridas
ciegas.
- Limpieza en profundidad de
la totalidad del tanque.
- Eliminacin de gases y
ventilacin permanente.
- Prueba continua de la
presencia de mezclas
inflamables.
- Permisos de trabajo en
caliente.
8.36 Se indica en cada tanque su
cdigo, producto y capacidad de
almacenamiento.
Accin externa.
Condicin latente.
Accin externa.
122
104

Aspecto a verificar
Colapso del tanque por sobrepresin (incendio o explosin).
Eficacia mitigacin.
Rotura completa del recipiente

por (vaco) sobrepresin.
Accin externa.
9 Tanques (techo fijo).
9.1 Cuentan con una unin dbil
entre las paredes y el techo.

9.2 Disponen de venteos abiertos en
nmero y con seccin suficiente

para equilibrar la (de)presin
producida por los trasiegos.
9.3 Vlvulas de descarga dimensio-
nadas contra la carga de fuego.

9.4 No puede acumularse agua de
condensacin sobre las vlvulas

de respiracin.
9.5 Si existen tubos buzo para la
alimentacin de lquidos, cuentan con sistemas cortasifones.

9.6 El sistema de recuperacin de
vapor impide que se acumule

lquido en l.
9.7 Todas las bocas diferentes de
las de respiracin son estancas.

9.8 Sistema de inertizacin o corta-
llamas en todas las bocas de

respiracin.
9.9 Los vapores de lquidos muy
inflamables no pueden llegar

por las tuberas de vapor.
Condicin latente.
Colapso del tanque por sobrepresin (incendio o explosin).
Eficacia mitigacin.
Rotura del tanque debido al

funcionamiento defectuoso o al
mal reglaje de las vlvulas.
Accin externa.
Vaciado de un tanque en caso

de una rotura en el sistema de
tuberas.
Accin externa.
Presencia de lquido en el
sistema de recuperacin de
vapor.
Condicin latente.
Ignicin de los vapores

procedentes del tanque.
Accin automtica.
Explosin en el tanque debida

al retorno de llamas por las
bocas de respiracin.
Eficacia mitigacin.
Mezcla explosiva de vapores en

el tanque del lquido menos
inflamable.
Condicin latente.
Inversin del techo a causa de

una acumulacin de gas.
Condicin latente.
Presencia de inflamables por

encima del techo.
Presencia de inflamables por

encima del techo.
Ignicin por carga

electrosttica.
Accin automtica.
Imposibilidad de extinguir un
incendio por encima del techo.
Eficacia mitigacin.
Imposibilidad de extinguir un
incendio por encima del techo.
Eficacia mitigacin.
Cuando el techo descansa sobre

sus apoyos, aparecen algunos
riesgos de los de techo fijo.
Accin externa.
Condicin latente.
Condicin latente.
10 Tanques (pantalla flotante).
10.1 El lquido se introduce en el
tanque bien desgasificado.

10.2 Junta (rim seal) adecuada al
material que contiene el tanque.

10.3 Control peridico de la ausencia
de lquido inflamable sobre el

techo y del estado de la junta.
10.4 Conexin equipotencial eficaz
del techo y la pared del tanque.

10.5 Presencia de una instalacin de
extincin.
10.6 Pantalla de retencin de espuma
concntrica con las paredes.

10.7 El techo se mantiene en todo
momento en posicin flotante.
123
105
A.1. Listas
(cont.).
de comprobacin
y de identificacin
TABLATABLA
A.1 (Cont.).
deListas
comprobacin
y de identificacin
Aspecto a verificar
11 Cubetos.
11.1 Existencia de cubetos (1):
11.2 a) De capacidad suficiente.

11.3 b) Compartimentados con
diques de tierra o muretes.
Formacin de grandes charcos

de derrames lquidos, porque el
lquido inflamable pueda
expandirse cubriendo grandes
reas.
Acumulacin de vapor a causa

de insuficiente ventilacin.
Dificultad de las labores de

extincin.
Gestin emergencias.
Acceso difcil o incluso imposible de los vehculos de lucha

contra incendios.
Gestin emergencias.
Incendios en el interior del

cubeto.
Accin externa.
Accin automtica.
11.4 c) De paredes estancas y resis-
tentes al fuego.
11.5 d) Resistentes a la presin
hidrosttica en caso de llenado.

11.6 e) De una altura inferior a 3 m
en la mitad de su periferia (con

preferencia, la altura debera ser
inferior a 1,5 m).
11.7 f) Rodeados en una cuarta parte
de su periferia por vas de 4m

de anchura.
11.8 g) Libres de materias combusti-
bles e incompatibles con los

productos almacenados o con el
mtodo de extincin.
11.9 h) Libres de muros cortafuegos
salvo que sean absolutamente

indispensables para asegurar la
prevencin de incendios.
11.10 i) Equipados con escaleras y
rampas de acceso.
Dificultades para la extincin de Gestin emergencias.

incendios.
Acumulacin de vapores debida
a una ventilacin insuficiente.
Evacuacin difcil.
Eficacia mitigacin.
Acceso difcil o incluso imposible de los vehculos de lucha

contra incendios.
11.11 Procedimiento de drenaje de las
Propagacin de fugas lquidas a

aguas del cubeto slo en presen- travs del drenaje del cubeto.
cia de un operador. En estado
normal el drenaje est cerrado.
11.12 Revisin regular del estado de
cierre de la vlvula del cubeto.

11.13 Existencia de un dispositivo
para separar el agua de los

lquidos inflamables.
11.14 El dispositivo de separacin es
resistente al fuego y puede

actuarse sobre l desde un lugar
seguro.
Gestin emergencias.
Control manual.

travs del drenaje del cubeto.
Accin automtica.

Accin automtica.

Control manual.
124
106
A.1.Listas
(cont.).
de comprobacin
y de identificacin
TABLA TABLA
A.1 (Cont.).
de Listas
comprobacin
y de identificacin
Aspecto a verificar
12 Redes de drenaje.
12.1 Diseadas para proporcionar
Contaminacin de aguas.
una adecuada evacuacin de
Inundaciones. Encharcamientos. Accin externa. Accin
aguas hidrocarburadas, de lluvia
automtica.
y del servicio contra incendios.
12.2 Las redes permiten separar las
Extensin de los derrames de

aguas hidrocarburadas o suscep- lquidos inflamables.
tibles de serlo de las no
Contaminacin de las aguas.
contaminadas.
12.3 Las redes de drenaje de aguas
hidrocarburadas disponen de
sifones para evitar la salida de
gases.
12.4 Las redes de agua no contami-
nada pueden aislarse de su punto de vertido normal y conectarse a un estanque de reserva o a

una instalacin de depuracin.
12.5 Todas las arquetas tienen cierre
hidralico por salida a nivel

superior a la entrada.
12.6 Los derrames lquidos no pue-
den llegar a las alcantarillas

(separadores de capacidad suficiente o recogida en un pozo de
recuperacin que se vaca de
forma controlada).
12.7 Las alcantarillas estn equipa-
das con un sistema que impide

la propagacin de lquidos
inflamables y de sus vapores.
Accin automtica.
Presencia de nubes de gases

inflamables.
Accin automtica.
Extensin de los derrames de

lquidos inflamables.
Control manual.
Contaminacin de las aguas.
Posible propagacin de
incendios.
Accin automtica.
Extensin de una fuga lquida

en un charco de gran superficie.
Accin automtica.
Propagacin de lquidos
inflamables a travs de las
alcantarillas.
Accin automtica.
Indisponibilidad de medios de
enfriamiento y de extincin.
13 Medios de lucha contra
incendios.
13.1 Utilizacin de agua (1):
a) Fuentes de suministro.
b) Reserva permanente de agua.
c) Dimensionado de la red. Presin mnima de trabajo.
Eficacia mitigacin.
Gestin emergencias.
d) Distribucin en malla y con

vlvulas de bloqueo.
125
107

Aspecto a verificar
13.1 Utilizacin de agua (cont.) (1):
e) Tuberas independientes, pro- Indisponibilidad de medios de

tegidas de heladas y corrosin.
enfriamiento y de extincin.
f) Hidrantes normalizadas y
estratgicamente situadas.
Gestin emergencias.
Eficacia mitigacin.
g) Caudal suficiente en la
situacin ms desfavorable.
h) Ms de un grupo de bombeo.
Fuentes de energa distintas.
i) Mantenimiento automtico de
la presin.
13.2 Utilizacin de espuma (1):
a) Disponibilidad de medios
fijos y/o mviles de generacin.
Indisponibilidad de medios de
extincin.
b) Para la subclase B1, proteccin fija por espuma.
Extensin de pequeos
incendios.
Eficacia mitigacin.
c) Reserva de espuma.
d) Caudal mnimo de agua.
e) Proteccin de incendios en
derrames dentro de cubetos.
13.3 Mando de las instalaciones
fijas: sealizados y utilizables

en todas las circunstancias.
Medios de lucha contra el fuego

no utilizables en caso de
intervencin.
Eficacia mitigacin.
Gestin emergencias.

intervencin.

intervencin.
Retraso en la comunicacin de
una situacin de alarma.
Eficacia mitigacin.
Gestin emergencias
13.4 Utilizacin de extintores (1):
a) De polvo y adecuados a la
clase de fuego posible.
b) En puestos de carga/descarga
en cargaderos.
Eficacia mitigacin.
c) En zonas de bombas, separadores, acceso a los cubetos, etc.

d) En los diversos locales, de
acuerdo con la legislacin
vigente.
un programa de inspeccin del

material de lucha contra el fuego (extintores, bombas, etc,).
13.6 Situacin de los puntos fijos de
alarma en caso de incendio (1).
Eficacia mitigacin.
Gestin emergencias.
(1) En las
fijadas
en el artculo
39 del Real Decreto
1562/1998,
de 17 de julio, por el que se
modifica
la condiciones
I. T. C. MI-IP02
Parques
de almacenamiento
de lquidos
petrolferos
126
108
A.1.Listas
(cont.).
de comprobacin
y de identificacin
TABLATABLA
A.1 (Cont.).
de Listas
comprobacin
y de identificacin
Aspecto a verificar
Quemaduras graves al personal.
14 Proteccin personal.
14.1 Mantas ignfugas en los puestos
donde pueda existir peligro de

quemaduras para el personal
(productos clase B).
14.2 Trajes de aproximacin al
fuego, equipos respiratorios,

pantallas anticalricas y dems
elementos de proteccin.
Eficacia mitigacin.
Daos al personal por radiacin Diseo y conservacin.

trmica, gases de combustin, Eficacia mitigacin.
etc.
15 Normas de explotacin.
15.1 Manual de seguridad entregado
a todo el personal con registro

de su recepcin (1).
15.2 Normas particulares para las
Operaciones inadecuadas que Prcticas de operacin.

pongan en peligro la seguridad Accin externa.
de las personas y/o de las
Control manual.
instalaciones.
operaciones o trabajos bien

definidos (1).
15.3 Normas particulares para las
empresas de servicios (1).

15.4 Normas de seguridad de
operacin (1).
16 Control de la existencia de
otras fuentes de ignicin.

16.1 Existen prohibiciones de fumar,
de llamas desnudas y de utilizacin de telfonos mviles, en

todos los puntos de acceso y en
los emplazamientos peligrosos.
Presencia
ignicin.
de
fuentes
de Prcticas de operacin.
Accin automtica.
16.2 Existe y est rigurosamente
implantado un sistema de
permisos de trabajo en caliente.
16.3 Todos los motores/vehculos
que se utilizan en las zonas

clasificadas son seguros desde
el punto de vista de la
proteccin de explosiones (2).
16.4 Todos los equipos elctricos
porttiles (receptores de radio,

linternas, etc.) son seguros
desde el punto de vista de la
proteccin contra explosiones.
(2) Debe prestarse una atencin especial a los motores y a las mquinas herramienta utilizadas por los
contratistas, as como a cualquier instalacin de carcter temporal.
Referencias bibliogrficas
ANDREWS, J.D. y S.J. DUNNETT, 1999. Event Tree Analysis Using Binary Decision
Diagrams. Preprints [en lnea]. Lougborough U.K.: Department of Mathematical
Sciences. Lougborough University, [Consultado 27 noviembre 2003]. Disponible en:
<http://www.lboro.ac.uk/departments/ma/preprints/papers99/99-25.pdf>
ATCR [Afdeling Toezicht Chemische Risicos], 2004. Checklist. Zwavelzuur en Oleum [en
lnea]. CRC/CL/006-N, ver. 1.0. Bruselas: Fod Werkg., Arbeid en Sociaal Overleg.
[Consulta 8 mayo 2004]. Disponible en <http://meta.fgov.be/pa/ena_index.htm>.
BAYBUTT, P. 2003. On the Ability of Process Hazard Analysis to Identify Accidents.
Process Safety Progres.. 22(3), 191.
BERNUCHON, E. et al. 2001. Improvement of the Hazard Identification and Assessment
in Application of the Seveso II Directive [en lnea]. European Safety & Reliability
International Conference (Esrel 2001), Turn, septiembre 2001. Milano: Associazione
Italiana di Ingegneria Chimica. [Consultado 4 febrero 2003]. Disponible en
<http://www.aidic.it/italiano/congressi/esrel2001/webpapersesrel2001/26.pdf>.
BESTRATN BELLOV, M. 1993. NTP 328: Anlisis de riesgos mediante el rbol
de sucesos [en lnea]. Madrid: Instituto Nacional de Seguridad e Higiene en el
Trabajo. [Consultado 9 mayo 2003]. Disponible en <http://www.mtas.es/insht/ntp/
ntp_328.htm>.
CCPS [Center for Chemical Process Safety]. 1989. Guidelines for Chemical Process
Quantitative Risk Anlisis. Nueva York: American Institute of Chemical Engineers.
CCPS [Center for Chemical Process Safety]. 1992. Guidelines for Hazard Evaluation
Procedures. Second Edition with Worked Examples. Nueva York: American Institute
of Chemical Engineers.
CEJALVO LAPEA, A. 1995. NTP 369: Atmsferas potencialmente explosivas:
instalaciones elctricas [en lnea]. Madrid: Inst. Nac de Seg. e Higiene en el
ntp_369.htm>.
CEPPO, 2002. Audit and Investigation Reports [en lnea]. Washington: United States
Environmental Protection Agency. [Consultado 20-24 octubre 2003]. Disponible en
<http://yosemite.epa.gov/oswer/ceppoweb.nsf/content/ap-chai.htm>.
CLEMENS, P.L. 2002. Event Tree Analysis [en lnea]. 2 ed., febrero 2002. Tullahoma,
TN: Jacobs Sverdrup. [Consultado 28 noviembre 2003]. Disponible en <http://
www.sverdrup.com/safety/eventtree.pdf>.
130
CRD [Chemical Risks Directorate], 1998. Checklist Hydrogen Fluoride [en lnea].
CRC/CL/007, ver. 1.0. Bruselas: Federal Ministry of Labour and Employement.
[Consultado 6 junio 2003]. Disponible en <http://meta.fgov.be/pa/ena_index.htm>.
CRD, 2002. Metatechnical Evaluation System Manual [en lnea]. Segunda versin.
Bruselas: Fedral Ministry of Employment and Labour. [Consultado 5 mayo 2003].
Disponible en <http://meta.fgov.be/pdf/pm/enm02.pdf>.
CROWL, D.A. y J.F. LOUVAR, 1990. Chemical Process Safety: Fundamentals with
Applications. Englewood Cliffs, NJ: Prentice Hall.
CSB [Chemical Safety and Hazard Investigation Board], 1998a. Investigation Report.
Chemical Manufacturing Incident [en lnea]. 1998-06-I-NJ. Washington: United States
Chemical Safety and Hazard Investigation Board. [Consultado 10 septiembre 2003]. En
<http://www.csb.gov/completed_investigations/docs/MortonInvestigationReport.pdf>.
CSB, 1998b. Investigation Report. Propane Tank Explosion [en lnea]. 98-007-I-IA.
Washington: U. S. Chemical Safety and Hazard Investig. Board. [Consultado 2 mayo
2003]. En <http://www.csb.gov/completed_investigations/docs/Final%20Herrig.pdf>.
CSB, 2003. Investigation Report. Chlorine Release. DPC Enterprises, L.P. [en lnea].
Report No. 2002-04-I-MO. Washington: United States Chemical Safety and
Hazard Investigation Board. [Consultado 28 noviembre 2003]. Disponible en:
<http://www.csb.gov/completed_investigations/docs/DPC-IR_053003.pdf>.
CTEF [Comit Technique Europen du Fluor], 1993. A safety visit scheme at HF customers
plant. STS 92/85. Bruselas: Comit Technique Europen du Fluor.
DCRC [Division du Contrle des Risques Chimiques], 2004a. Checklist. Phenol [en lnea].
CRC/CL/0011-F, ver. 1.0. Bruselas: SPF Emploi, Travail et Concertation sociale.
[Consultado 26 abril 2003]. Disponible en <http://meta.fgov.be/pa/ena_index.htm>.
DGPC [Direccin General de Proteccin Civil], 1994a. Gua Tcnica. Metodologas
para el anlisis de riesgos. Visin general. Madrid: Ministerio del Interior.
Disponible en <http://www.proteccioncivil.org/centrodoc/guiatec/vision_general/
indice_metodologia.htm>.
DGPC, 1994b. Gua Tcnica. Mtodos cualitativos para el anlisis de riesgos. Madrid:
Ministerio del Interior. Disponible en <http://www.proteccioncivil.org/centrodoc/
guiatec/metodos_cualitativos/indice_cualitativos.htm>.
DGPC, 1994c. Gua Tcnica. Mtodos cuantitativos para el anlisis de riesgos. Madrid:
Ministerio del Interior. Disponible en <http://www.proteccioncivil.org/centrodoc/
guiatec/metodos_cuantitativos/indice_cuantitativos.htm>.
DGPC, 2003. Gua para la realizacin de inspecciones Tcnicas Administrativas (en
el mbito del Real Decreto 1254/99 [Seveso II]). Madrid: Ministerio del Interior.
Disponible en <http://www.proteccioncivil.org/peq/guita/guiatec_ita.pdf>.
DOE [Department of Energy], 1993. Example Process Hazard Analysis of a Department
of Energy Water Chlorination Process [en lnea]. DOE/EH-0340. Washington:
United States Department of Energy. [Consultado 30 enero 2003]. Disponible en
<http://tis-hq.eh.doe.gov/chem_safety/pdfs/cover_contents.pdf>.
DOE, 1996. DOE Handbook 1100-96. Chemical Process Hazards Analysis [en lnea].
Washington: United States Department of Energy. [Consultado 17 septiembre 2003].
Disponible en <http://www.tis.eh.doe.gov/techstds/standard/hdbk1100>.
REFERENCIAS BIBLIOGRFICAS
131
DOWELL, A.M. y D.C. HENDERSHOT, 2002. Simplified Risk Analysis Layer of

Protection Analysis (LOPA). Paper 281a. American Institute of Chemical Engineers.
2002 National Meeting. Indianapolis, IN. Nov. 3-8, 2002.
DRC [Direction Risques Chimiques], 1996a. Check-list Chlore [en lnea]. CRC/CL/003-F,
ver. 1.1. Bruselas. Ministre de lEmploi et du Travail. [Consultado 27 enero 2003].
Disponible en <http://meta.fgov.be/pdf/pm/frm14.pdf>.
DRC, 1996b. Zonage. Manuel pour ltablissement dun dossier de zonage [en lnea].
CRC/IN/005-F, ver. 1.0. Bruselas. Ministre de lEmploi et du Travail. [Consultado 27
noviembre 2003]. Disponible en <http://meta.fgov.be/pdf/pm/frm09.pdf>.
DRC, 1997a. Check-list Entrept [en lnea]. CRC/CL/004-F, ver. 1.2. Bruselas: Ministre
Fdral de lEmploi et du Travail. [Consultado 27 abril 2002]. Disponible en
<http://meta.fgov.be/pdf/frm.pdf>.
DRC, 1997b. Check-list LPG [en lnea]. CRC/CL/005-F, ver. 2.0. Bruselas: Ministre
de lEmploi et du Travail. [Consultado 26 noviembre 2003]. Disponible en
<http://meta.fgov.be/pdf/pm/frm16.pdf>.
DRC, 2000. Check-list. Stockage atmosphric de liquides inflammables [en lnea].
CRC/CL/008-F, ver. 2.0. Bruselas: Ministre Fdral de lEmploi et du Travail.
[Consultado 4 junio 2003]. Disponible en <http://meta.fgov.be/pa/ena_index.htm>.
DRC, 2002a. Check-list. Ammoniac [en lnea]. CRC/CL/009-F, ver. 1.0. Bruselas:
Ministre Fdral de lEmploi et du Travail. [Consultado 4 junio 2003]. Disponible
en <http://meta.fgov.be/pdf/pm/frm35.pdf>.
DRC, 2002b. Check-list. Oxyde dthylne [en lnea]. CRC/CL/002-F, ver. 1.0. Bruselas:
Ministre Fdral de lEmploi et du Travail. [Consultado 22 enero 2003]. Disponible
en <http://meta.fgov.be/pdf/pm/frm29.pdf>.
DRC, 2003a. Checklist. Gaz Combustibles Liqufis [en lnea]. CRC/CL/010-F, ver. 1.0.
Bruselas: SPF Emploi, Travail et Concertation sociale. [Consultado 16 junio 2003].
DRC, 2003b. Checklist. Hydrogne [en lnea]. CRC/CL/014-F, ver. 1.0. Bruselas: SPF
Emploi, Travail et Concertation sociale. [Consultado 30 octubre 2003]. Disponible en
<http://meta.fgov.be/pdf/pm/frm40.pdf>.
DRC, 2003c. PLANOP. Mthologie por lexcution danalyses des librations [en lnea].
Bruselas: SPF Emploi, Travail et Concertation sociale. [Consultado 4 octubre 2003].
FAWCET, H.H. y W.S. WOOD. 1965. Safety and Accident Prevention in Chemical
Operations. Nueva York: John Wiley & Sons.
FEWTRELL, P. e I.L. HIRST, 1998. A review of high-cost chemical/petrochemical accidents
since Flixborough 1974. IchemE Loss Prevention Bulletin. 140, 1-12.
HID [Hazardous Installations Directorate], 2004. Safety Report Assessment Guidance
(Technical Aspects). Case Studies [en lnea]. Londres: Health and safety Executive.
[Consulta 2/2/2004]. En: <http://www.hse.gov.uk/comah/sragtech/casestudyind.htm>.
HURST, N.W. 1998. Risk Assessment: The Human Dimension. Cambridge: The Royal
Society of Chemistry.
IPCS [The International Programme on Chemical Safety], 2004. Descriptions of
selected key generic terms used in chemical hazard/risk assessment [en lnea].
132
Nueva York: World Health Organization. [Consulta 2 febrero 2004]. Disponible en;
<http://www.who.int/ipcs/publications/methods/harmonization/definitions_terms/
en/>
KIM, D. et al. 2003. Automatic generation of accident scenarios in domain specific chemical
plants. Journal of Loss Prevention in the Process Industries. 16, 121-132.
KLEINDORFER, P.R. y H.C. KUNREUTHER (eds.), 1987. Insuring and Managing
Hazardous Risks: From Seveso to Bhopal and Beyond. Institute for Applied Systems
Analysis. Berlin: Springer-Verlag.
KLETZ, T.A. 1988. Learning from Accidents in Industry. Londres: Butterworths.
KLETZ, T.A. 1990. Critical Aspects of Safety and Loss Prevention. Oxford:
Butterworths.
KLETZ, T.A. 1992. Hazop and Hazan. Identifying and Assessing Process Industry Hazards.
Rugby: The Institution of Chemical Engineers.
KLETZ, T.A. 2003. Equipment that cannot do what we want it to do. Journal of Hazardous
Materials. 104, 95-105.
KOLLER, G., U. FISCHER y K. HUNGERBHLER, 2000. Assessing Safety, Health
and Environmental Impact Early during Process Development. Ind. Eng. Chem.
Res. 39, 960-972.
LEES, F.P. 2001. Loss Prevention in the Process Industries. 2 ed. reimpresa con
correcciones. Oxford: Butterworth-Heinemann.
LLNL [Lawrence Livermore National Laboratory], 2000. EH & S Manual. Environment,
Safety and Health [en lnea]. Actualizado a 1 de abril 2001. United States Department
of Energy. Document 14.6; Safe Handling of Fluorine. [Consultado 7 junio 2003].
Disponible en http://www.llnl.gov/es_and_h/hdm/doc_14.06/doc14-06.html
MNDEZ BERNAL, B. 1994a. NTP 356: Condiciones de seguridad en la carga y descarga
de camiones cisterna: lquidos inflamables (I) [en lnea]. Madrid: Instituto Nacional
de Seguridad e Higiene en el Trabajo. [Consultado 9 mayo 2003]. Disponible en
<http://www.mtas.es/insht/ntp/ntp_356.htm>.
MNDEZ BERNAL, B. 1994b. NTP 357: Condiciones de seguridad en la carga y descarga
de camiones cisterna: lquidos inflamables (II) [en lnea]. Madrid: Instituto Nacional
de Seguridad e Higiene en el Trabajo. [Consultado 9 mayo 2003]. Disponible en
<http://www.mtas.es/insht/ntp/ntp_357.htm>.
MNDEZ BERNAL, B. 1995a. NTP 374: Electricidad esttica: carga y descarga
de camiones cisterna (I) [en lnea]. Madrid: Inst. Nac. de Seg. e Higiene en el
ntp_374.htm>.
MNDEZ BERNAL, B. 1995b. NTP 375: Electricidad esttica: carga y descarga
de camiones cisterna (II) [en lnea]. Madrid: Inst. Nac. de Seg. e Higiene en
el Trabajo. [Consultado 8 mayo 2003]. Disponible en <http://www.mtas.es/insht/ntp/
ntp_375.htm>.
MICHISON, N., GARCS DE MARCILLA, A. y SMEDER, B., eds. 1999. Accident
Scenarios and Emergency Response, Toledo, october 1995. Luxembourg: Institute for
Systems Informatics and Safety. Joint Research Centre. European Commission.
133
NJDEP [New Jersey Department of Environmental Protection], 1999. Toxic Catastrophe

Prevention Act (TCPA) Program. TCPA Audit Checklist [en lnea]. New Jersey, NJ: N.
J. Department of Environmental Protection. [Consultado 27 marzo 2003]. Disponible
en <http://www.state.nj.us/dep/enforcement/relprev/tcpa/rmpcheck.htm>.
ORDEN de 16 de abril de 1998 (Ministerio de Industria y Energa) sobre normas de
procedimiento y desarrollo del Real Decreto 1942/1993, de 5 de noviembre, por el que
se aprueba el Reglamento de Instalaciones de Proteccin Contra Incendios y se revisa
el anexo I y los apndices del mismo. BOE 101, 28 abril 1998, 14109.
PAPADAKIS, G.A. y S. PORTER (Eds.), 1999. Guidance on Inspections as required
by article 18 of the Council Directive 96/82/EC (Seveso II). Institute for Systems
Informatics and Safety. Luxembourg: Office for Official Publications ef the European
Communities.
PAPAZOGLOU, I.A. y O.N. ANEZIRIS, 2003. Master Logic Diagram: method for
hazard and initiating event identification in process plants. Journal of Hazardous
Materials. A97, 11-30.
PARRY, S.T. 1986. A review of hazard identification techniques and their application
to major accident hazards. Culcheth Warrington, UK: Safety and Reliability
Directorate.
PIQU ARDANUY, T. 1993. NTP 324: Cuestionario de chequeo para el control de
riesgos de accidente [en lnea]. Madrid: Inst. Nac. de Seguridad e Higiene en
el Trabajo. [Consultado 8 mayo 2003]. Disponible en <http://www.mtas.es/insht/ntp/
ntp_324.htm>.
RAUSAND, M. 2003. Event Tree Analysis [en lnea]. Trondheim, Noruega: Norwegian
University of Science and Technology. [Consultado 28 noviembre 2003]. Disponible
en: <http://plato.ivt.ntnu.no/emner/TPK4120/filer/1062588227-Eventtree.pdf>.
REAL DECRETO 1942/1993, de 5 de noviembre (Ministerio de Industria y Energa), por
el que se aprueba el Reglamento de Instalaciones de Proteccin contra incendios.
BOE 298, 14 diciembre 1993, 35159.
REAL DECRETO 2085/1994, de 20 de octubre (Ministerio de Industria y Energa),
por el que se aprueba el Reglamento de Instalaciones Petrolferas. BOE 23, 27
enero 1995, 2591.
REAL DECRETO 400/1996, de 1 de marzo (Ministerio de Industria y Energa), por el
que se dicta las disposiciones de aplicacin de la Directiva del Parlamento Europeo
y del Consejo 94/9/CE, relativa a los aparatos y sistemas de proteccin para uso en
atmsferas potencialmente explosivas. BOE 85, 8 abril 1996, 12903.
REAL DECRETO 485/1997, de 14 de abril, sobre disposiciones mnimas en materia de
sealizacin de seguridad y salud en el trabajo. BOE 97, 24 abril 1997, 12911.
REAL DECRETO 1562/1998, de 17 de julio (Ministerio de Industria y Energa), por
el que se modifica la Instruccin Tcnica Complementaria MI-IP02 Parques de
almacenamiento de lquidos petrolferos. BOE 189, 8 agosto 1998, 27124.
REAL DECRETO 1254/1999, de 16 de julio (Ministerio de la Presidencia), por el que se
aprueban medidas de control de los riesgos inherentes a los accidentes graves en los
que intervengan sustancias peligrosas. BOE 172, 20 julio 1999, 27167.
134
REAL DECRETO 1523/1999, de 1 de octubre (Ministerio de Industria y Energa) por

el que se modifica el Reglamento de instalaciones petrolferas, aprobado por Real
Decreto 2085/1994, de 20 de octubre, y las instrucciones tcnicas complementarias
MI-IP03, aprobada por Real Decreto 1427/1997, de 15 de septiembre, y MI-IP04,
aprobada por Real Decreto 2201/1995, de 28 de diciembre. BOE 253, 22 octubre
1999, 37164.
REAL DECRETO 842/2002, de 2 de agosto (Ministerio de Ciencia y Tecnologa) por
el que se aprueba el Reglamento electrotcnico para baja tensin. BOE 224, 18
septiembre 2002, 33084.
REAL DECRETO 681/2003, de 12 de junio (Ministerio de la Presidencia), sobre la
proteccin de la salud y la seguridad de los trabajadores expuestos a los riesgos
derivados de atmsferas explosivas en el lugar de trabajo. BOE 145, 18 junio
2003, 23341.
REAL DECRETO 1196/2003, de 19 de septiembre (Ministerio del Interior), por el que
se aprueba la Directriz bsica de proteccin civil para el control y planificacin ante
el riesgo de accidentes graves en los que intervienen sustancias peligrosas. BOE
242, 9 octubre 2003, 36428.
RUIZ GIMENO, J. y F. J. RUIZ BOADA (Coordinadores), 2004. Casos prcticos de
anlisis del riesgo (establecimientos de nivel inferior de afectacin en el mbito del
Real Decreto 1254/1999). Murcia: Universidad de Murcia. Servicio de Publicaciones.
Madrid: Direccin General de Proteccin Civil y Emergencias. Ministerio del
Interior.
SANTAMARA RAMIRO, J. M. y P. A. BRAA ASA, 1994. Anlisis y reduccin de
riesgos en la industria qumica. Madrid: MAPFRE.
STORCH DE GRACIA Y ASENSIO, J. M. 1998. Manual de Seguridad Industrial en
Plantas Qumicas y Petroleras. Fundamentos, Evaluacin de riesgos y Diseo. Madrid:
McGraw-Hill Interamericana.
TAMBORERO DEL PINO, J.M. 1997. NTP 460: Mantenimiento preventivo de las
instalaciones peligrosas [en lnea]. Madrid: Inst. Nac. de Seg. e Higiene en el
ntp_460.htm>.
TURMO SIERRA, E. 2001. NTP 567: Proteccin frente a cargas electrostticas [en lnea].
Madrid: Instituto Nacional de Seguridad e Higiene en el Trabajo. [Consultado 6 mayo
2003]. Disponible en <http://www.mtas.es/insht/ntp/ntp_567.htm>.
UNE-EN ISO 9000:2000. Sistemas de gestin de la calidad. Fundamentos y vocabulario.
Madrid: AENOR.
UOF [University of Florida], 2001a. Process Improvement Engineering. Fire protection
Checklist [en lnea]. Gainesville, FL: University of Florida. [Consultado 6 mayo 2003].
Disponible en <http://pie.che.ufl.edu/guides/safety_health/fire_checklist.html>.
UOF, 2001b. Process Improvement Engineering. Process Safety Review Checklist [en
lnea]. Gainesville, FL: University of Florida. [Consultado 6 mayo 2003]. Disponible
en <http://pie.che.ufl.edu/guides/hazop/process_checklist.html>.
USCG [U.S. Coast Guard], 2003a. Risk-based Decision-making Guidelines [en lnea].
3 ed. Washington: United States Coast Guard. [Consultado 24 febrero 2004]. Vol.
135
3 Procedures for Assessing Risks. Chap. 4 Checklist Analysis. Disponible en

<http://www.uscg.mil/hq/gm/risk/E-Guidelines/RDBMGuide.htm>.
USCG [U.S. Coast Guard], 2003b. Risk-based Decision-making Guidelines [en lnea].
3 ed. Washington: United States Coast Guard. [Consultado 24 febrero 2004]. Vol.
3 Procedures for Assessing Risks. Chap. 12 Event Tree Analysis. Disponible en
<http://www.uscg.mil/hq/gm/risk/E-Guidelines/RDBMGuide.htm>.
WDE [Washington Department of Ecology], 2003. Underground Storage Tank. Cathodic
protection Checklist [en lnea]. Rev. junio 2003. Washington: Washington Department
of Ecology. [Consultado 17 diciembre 2003]. Disponible en <http://www.ecy.wa.gov/
biblio/ecy07070.html>.
ndice de tablas
Tabla 1.1
Tabla 1.2
Tabla 1.3
Tabla 1.4
Tabla 1.5
Tabla 2.1
Tabla 2.2
Tabla 2.3
Tabla 2.4
Tabla 2.5
Tabla 2.6
Tabla 2.7
Tabla 2.8
Tabla 2.9
Tabla 3.1
Tabla 3.2
Tabla 3.3
Tabla 3.4
Tabla 3.5
Tabla 3.6
Tabla 4.1
Tabla 4.2
Tabla 4.3
Comparacin de requisitos aplicables a E7 y E9 ..................................

Contenido del anlisis del riesgo para los establecimientos E7 ...........
Clasificacin de los mtodos de anlisis de peligros segn su
utilidad ...................................................................................................
Clasificacin de los mtodos de anlisis de peligros segn su naturaleza ......................................................................................................
Relacin de elementos incluidos en los criterios favorables elegidos ..
Lista de comprobacin del cloro (parcial) ............................................
Identificacin de aspectos de riesgo en la instalacin de cloro ............
Asignacin de aspectos de riesgo a los elementos del modelo de
accidentes ...............................................................................................
Parte 1 del Anexo I del Real Decreto 1254/1999 (parcial) ..................
Descripcin de los tanques de almacenamiento ....................................
Identificacin y clasificacin de aspectos de riesgo ..............................
Resto de elementos del modelo .............................................................
Secuencias y resultados de los escenarios del rbol de la figura 2.5 ...
Secuencias y resultados de los escenarios del rbol de la figura 2.6 ...
Clasificacin adecuada para una industria de proceso qumico ............
Subdivisin de la Eleccin, situacin y distribucin del emplazamiento .....................................................................................................
Grupos en la lista de comprobacin de instalaciones de consumo de
HF ...........................................................................................................
Listas de comprobacin especficas .......................................................
Diferenciacin entre conceptos del modelo de accidentes ...................
Duracin del proceso de aplicacin de una lista de comprobacin ......
Estimacin del tiempo necesario para un anlisis con rboles de
sucesos ...................................................................................................
Datos de partida para la cuantificacin del rbol de la figura 4.2 ........
Resultados y frecuencias del rbol de sucesos de la figura 4.2 ............
16
20
22
23
28
44
45
47
51
52
55
58
61
64
72
73
73
75
79
82
90
99
99
ndice de figuras
Figura 1.1
Figura 2.1
Figura 2.2
Figura 2.3
Figura 2.4
Figura 2.5
Figura 2.6
Figura 3.1
Figura 4.1
Figura 4.2
Figura 4.3
Figura 4.4
Figura 4.5
Figura 4.6
Figura 4.7
Procedimiento para llevar a cabo una evaluacin de riesgos ...............

Escenarios de accidentes industriales ....................................................
Vrtice del rbol de fallos del modelo M.O.R.T. ..................................
Esquema del proceso de un accidente industrial ...................................
rbol de sucesos para el accidente ejemplificado .................................
rbol de sucesos en ausencia de ignicin .............................................
rbol de sucesos en presencia de ignicin ...........................................
Formato de la lista de comprobacin que se propone en esta Gua .....
Esquema del proceso de anlisis del rbol de sucesos .........................
Ejemplo de un rbol de sucesos simple ................................................
Ejemplo de rbol de sucesos previo a un potencial accidente ..............
Ejemplo de rbol de sucesos posterior a un accidente .........................
Concepto del anlisis de las capas de proteccin .................................
Relacin entre el anlisis de las capas de proteccin y el rbol de
sucesos ...................................................................................................
Aplicacin del rbol de sucesos a los anlisis de la fiabilidad
humana ...................................................................................................
12
33
34
36
49
60
63
74
93
96
102
102
104
106
107

Guia Tecnica Analisis Del Riesgo en Los Establecimientos Afectados de Nivel Inferior

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Guia Tecnica Analisis Del Riesgo en Los Establecimientos Afectados de Nivel Inferior

Diunggah oleh

Hak Cipta:

Format Tersedia

ANLISIS DEL RIESGO EN LOS

Jos Ruiz Gimeno (Coordinador)

ANLISIS DEL RIESGO EN LOS

(en el mbito del Real Decreto 1254/1999 (Seveso II))

DEPARTAMENTO DE INGENIERA QUMICA

Edita: Direccin General de Proteccin Civil y Emergencias. Ministerio del Interior

Captulo 1. Introduccin .............................................................................................

1.1. Anlisis del riesgo: concepto y utilidad .................................................................

Captulo 2. Fundamentos de la metodologa ............................................................

2.1. Modelos de accidentes ............................................................................................

Captulo 3. El uso de las listas de comprobacin .....................................................

3.1. Utilidad y limitaciones de las listas de comprobacin ...........................................

ANLISIS DEL RIESGO EN LOS ESTABLECIMIENTOS AFECTADOS DE NIVEL INFERIOR

3.1.2. Limitaciones del mtodo .............................................................................

Captulo 4. El anlisis mediante rboles de sucesos ................................................

4.1. Introduccin a la tcnica .........................................................................................

Anexo. Instalaciones de almacenamiento de lquidos petrolferos. Listas de

Los establecimientos que manejan sustancias peligrosas poseen, en general, elevados

est especificado en el Real Decreto 1196/2003, no ocurre as para los establecimientos

1.1. ANLISIS DEL RIESGO: CONCEPTO Y UTILIDAD

Cules son los peligros?

ANLISIS DEL RIESGO EN LOS ESTABLECIMIENTOS AFECTADOS DE NIVEL INFERIOR

ANLISIS DEL RIESGO EN ESTABLECIMIENTOS DE NIVEL INFERIOR DE AFECTACIN

DESCRIPCIN DEL SISTEMA

ESTIMACIN DEL RIESGO

En resumen, si bien es posible detener el proceso de estudio en cualquiera de sus

ANLISIS DEL RIESGO EN LOS ESTABLECIMIENTOS AFECTADOS DE NIVEL INFERIOR

En otras ocasiones, si bien no se cita directamente el concepto, se especifican

ANLISIS DEL RIESGO EN LOS ESTABLECIMIENTOS AFECTADOS DE NIVEL INFERIOR

TABLA 1.1. Comparacin de requisitos aplicables a E y E

iguales o superiores a las especificadas en la columna 3 de las partes 1 y 2 del citado

ANLISIS DEL RIESGO EN LOS ESTABLECIMIENTOS AFECTADOS DE NIVEL INFERIOR

Adems, los industriales estn obligados a elaborar y presentar a la autoridad

Identificacin de peligros de accidentes graves.

1.4. CONTENIDO DEL ANLISIS DEL RIESGO EN LOS ESTABLECIMIENTOS E7

ANLISIS DEL RIESGO EN LOS ESTABLECIMIENTOS AFECTADOS DE NIVEL INFERIOR

En relacin al contenido expuesto, se pueden hacer las siguientes observaciones:

ANLISIS DEL RIESGO EN LOS ESTABLECIMIENTOS AFECTADOS DE NIVEL INFERIOR

Se clasifican como Mtodos semicuantitativos aquellos que permiten una graduacin

Los Mtodos comparativos se fundamentan en el examen de una instalacin desde la

ANLISIS DEL RIESGO EN LOS ESTABLECIMIENTOS AFECTADOS DE NIVEL INFERIOR

razonamiento deductiva (causas efecto); como, en la prctica, el rbol se va construyendo

No obstante, se hace necesario establecer un proceso de seleccin, que permita

ANLISIS DEL RIESGO EN LOS ESTABLECIMIENTOS AFECTADOS DE NIVEL INFERIOR

En el caso particular de estos establecimientos, se considera positivo en un mtodo

Se pueda desarrollar con un coste razonable.

Teniendo presentes las caractersticas citadas, se ha recopilado informacin relevante

ANLISIS DEL RIESGO EN LOS ESTABLECIMIENTOS AFECTADOS DE NIVEL INFERIOR

TABLA 1.5. Relacin de elementos incluidos en los criterios favorables elegidos

Aplicable a cualquier establecimiento?

Analiza errores humanos?

Calidad de los resultados:

1.5.5. Seleccin y propuesta de mtodos

As, mediante la utilizacin de las listas de comprobacin se pueden identificar los

Cualquier aproximacin racional a la identificacin de peligros de una instalacin

ANLISIS DEL RIESGO EN LOS ESTABLECIMIENTOS AFECTADOS DE NIVEL INFERIOR

es elevado, en especial tras la aprobacin de la Ley 34/1992, de 22 de diciembre de

Fuera de los lmites normales de

FIGURA 2.1. Escenarios de accidentes industriales

Figura 2.1. Escenarios de accidentes industriales

ANLISIS DEL RIESGO EN LOS ESTABLECIMIENTOS AFECTADOS DE NIVEL INFERIOR

Figura 2.2. Vrtice

La conveniencia de contemplar en el modelado de un accidente las causas raz del

ANLISIS DEL RIESGO EN LOS ESTABLECIMIENTOS DE NIVEL INFERIOR DE AFECTACIN