Tomarse la seguridad en serio
Desde el punto de vista puramente económico, la pérdida de contención en un recipiente o un accidente suponen impactos monetarios desde su aspecto más básico y banal, que es la pérdida de producción y reemplazo de unidades de producción. No digamos cuando se trata de daños a la naturaleza y, mucho peor, cuando hay muertos como consecuencia de un accidente.
Legislación
Asimismo existen normas y estándares (como, por ejemplo, las normas IEC/EN 61508 e IEC/EN 61511 sobre sistemas instrumentados de seguridad o la norma EN 54 sobre sistemas de detección de fuego y gas) que se encargan de establecer procedimientos, enfoques y metodologías de desarrollo, apoyo y análisis. Si bien en Europa las normas y estándares no son de obligado cumplimiento (salvo que la legislación haga referencia de forma explícita a dichos documentos), son considerados como “buenas prácticas de ingeniería” y se convierten automáticamente en el referente de facto en el terreno que tratan. Hoy por hoy, nadie cuestiona las normas ISO-9000 o ISO14000. Simplemente se han constituido en un referente cuasi-obligatorio.
Accidentes
La tabla 1 muestra algunos de los accidentes más conocidos en los últimos años. La lista podría completarse con decenas de casos más, involucrando similares niveles de consecuencias y desgracias. De hecho, ni siquiera las cifras aportadas por distintas organizaciones y autores coinciden, con diferencias, en casos dramáticos, de miles de muertos, bien directamente por el accidente o indirectamente como consecuencia de las emisiones o quemaduras.
| Año | Empresa | Lugar | Instalación | Consecuencias |
|---|---|---|---|---|
| 1974 | Nypro | Flixborough (REINO UNIDO) | Planta de caprolactama | Planta destruida 28 muertos 36 heridos graves Cientos de heridos leves 2.000 edificios afectados |
| 1976 | Icmesa | Seveso (ITALIA) | Planta de pesticidas | Emisión de dioxinas Daños al medio ambiente |
| 1984 | Pemex | San Juan de Ixhuatepec (MÉXICO) | Planta de GLP | Planta destruida 498 muertos 7.000+ heridos |
| 1984 | Union Carbide | Bhopal (INDIA) | Planta de isocianatos | Nube tóxica de isocianato 15.000+ de muertos 500.000+ afectados |
| 1984 | Petrobras | Cubatao (BRASIL) | Oleoducto | Derrame e incendio 508 muertos |
| 1992 | Pemex | Guadalajara (MÉXICO) | Red de alcantarillado | Explosión de gas 190 muertos 470 heridos 1.500 edificios afectados |
| 1993 | PDVSA | Caracas-Tejerias (VENEZUELA) | Gasoducto | 70 muertos |
| 1994 | Pemex | Tabasco (MÉXICO) | Gasoducto | 10 muertos |
| 1994 | PDVSA | Monagas (VENEZUELA) | Gasoducto | 70 muertos |
| 1996 | Repsol YPF | Puertollano (ESPAÑA) | Caldera | 4 muertos 4 heridos |
| 2001 | AZF (Total) | Toulouse (FRANCIA) | Almacén de nitrato amónico | Planta destruida 31 muertos 2.500 heridos 27.000 edificios afectados |
| 2003 | Repsol YPF | Puertollano (ESPAÑA) | Parque de tanques | Varios tanques destruidos 9 muertos Varios heridos |
| 2003 | Sonatrach | Skikda (ARGELIA) | Planta de gas | Planta destruida 27 muertos 74 heridos |
| 2003 | CNPC | Chongqing (CHINA) | Yacimiento de gas | 193 muertos 10.000+ intoxicados 28 núcleos urbanos afectados |
| 2004 | Fluxys | Ghislenghien (BÉLGICA) | Gasoducto | 15 muertos 200+ heridos |
| 2005 | BP | Texas (EEUU) | Unidad de isomerización | Planta destruida 15 muertos 100+ heridos |
La seguridad del proceso
Las primeras medidas de seguridad de las que se suele hablar son aquellas del trabajador: botas de seguridad, guantes, gafas anti-impacto, posturas correctas, arneses, etc. Este conjunto de equipamientos (conocidos como EPIs – Equipos de Protección Individual) conforman la seguridad laboral. Gran cantidad de accidentes provienen de malas prácticas de trabajo o falta de formación y cultura de seguridad laboral. En otros casos, es la seguridad del proceso la que tiene la culpa.
Existen muchas teorías y métodos sobre análisis de riesgos, herramientas para identificar y estudiar los peligros y metodologías para su minimización. Entre los métodos más conocidos de Análisis de Riesgos del Proceso (PHA – Process Hazard Analysis), se incluyen los estudios HAZOP (HAZard and OPerablity), What-If, árboles de fallos (FTA) y otros similares.
Todas estas metodologías de estudio están enfocadas a la identificación de causas de escenarios potencialmente peligrosos. Y a partir de sus resultados se proponen medidas de corrección y protección. Algunas de esas medidas tienen relación con el control del proceso (monitorizar una variable que no se había tenido en cuenta o generar una alarma, por ejemplo); otras tienen relación con el aspecto más físico y civil de la instalación (reforzar las paredes del recipiente, construir cubetos bajo los tanques, o instalar discos de ruptura, por citar algunos); otro grupo puede incluir las modificaciones de procedimientos de operación y acceso a un área concreta.
Tipos de sistemas instrumentados de seguridad
- ESD (Emergency Shutdown o Sistema de Parada de Emergencia). Sistema encargado de la prevención de accidentes, que llevará la planta a estado seguro (parada parcial o total) ante una situación de riesgo.
- F&G (Fire & Gas System o Sistema de Fuego y Gas). Sistema encargado de la mitigación de las consecuencias de un accidente o de otro evento derivado de fugas, incendios, etc.
- BMS (Burner Management System o Sistema de Gestión de Quemadores). Sistema encargado de la protección de la caldera, arrancando y parando sus quemadores y monitorizando las llamas. Evita que los quemadores arranque si no se han cumplido las condiciones adecuadas e inicia la parada de los quemadores ante condiciones inseguras
- HIPS (High Integrity Protection System o Sistema de Protección de Alta Integridad). Sistema encargado de sustituir a los dispositivos de alivio de presión. Debe ser suficientemente rápido para prevenir la sobrepresión del recipiente.
Normas IEC 61508 y 61511
Dicho SIS se diseña mediante el análisis de la información del HAZOP y el estudio y modificación de los P&IDs de proceso. De tal manera surge nueva instrumentación de medida y de actuación (independiente de la del control básico) cuya función es llevar el proceso a un estado seguro (parada total o parcial) ante condiciones inseguras. La “cabeza” de este conjunto (SIS) es el elemento lógico, que puede estar meramente basado en relés o incluso en equipos programables electrónicos (PLCs). Al conjunto de lazos de seguridad (SIF – Safety Instrumented Function) es lo que realmente se denomina SIS. Y a cada lazo SIF se le asigna un nivel de integridad de la seguridad (SIL – Safety Integrity Level), que determina la criticidad de dicho lazo y que está relacionado con la probabilidad de que falle el SIF ante una necesidad de parada o, inversamente, la disponibilidad del equipo de seguridad cuando sea requerida su acción (ver tabla 2).
En otras palabras, el SIL se relaciona con la probabilidad de que alguno de los componentes del sistema de seguridad falle cuando tiene que llevar el proceso a estado seguro (bajo petición de demanda). Evidentemente este dato es crítico, ya que supone el nivel que aceptamos para que el vigilante de seguridad no acierte ante un fallo del equipo de control básico y todas las demás salvaguardas físicas. Las consecuencias son obvias: cuando falla el sistema de seguridad se produce un accidente. El nivel SIL también obliga al uso de determinadas redundancias en la instrumentación de campo y en el elemento lógico (IEC 61511, cláusula 11.4), aspecto que a veces se olvida.
Por lo tanto, es obvio que el nivel SIL es un valor muy importante. Sin embargo, no menos importante es el hecho de que, siguiendo estas normas, y en concreto la 61511, es el usuario final el responsable de asignar su nivel de tolerancia objetivo a cada riesgo, y consecuentemente, si necesita un lazo de seguridad o no, y el nivel de seguridad de dicho SIF.
Un aspecto habitualmente olvidado, por el hecho de que no está tenido en cuenta de momento por las normas, es el dato de disparos en falso provocados por el SIS. Se considera la disponibilidad del SIS, relacionada con el SIL, pero no se suele tener en cuenta la disponibilidad del proceso, aspecto igualmente importante. Un disparo en falso se produce cuando el vigilante de seguridad provoca una parada de planta sin que las condiciones de proceso sean inseguras.
Es simplemente, un fallo. Un fallo a veces debido a la instrumentación y otras veces debido a la “cabeza pensante” del vigilante. ¿Y qué consecuencias tiene esta tasa de disparos en falso? Una parada innecesaria genera como primera medida pérdidas económicas, ya que se detiene, o como poco se disminuye, la producción. Pero no hay que olvidar que una parada repentina de planta genera un movimiento humano enorme en la instalación.
Se quiere averiguar los motivos de dicha parada, evitar otros problemas y re-arrancar lo antes posible. Consecuentemente se producen momentos de alto estrés entre operarios, personal de mantenimiento e ingenieros de planta. Y el estrés provoca errores. Y los errores, accidentes. Pues no hay que olvidar que el arranque de una planta es su momento más peligroso y delicado, donde muchos elementos están en “by-pass” por requerimientos del procedimiento de arranque y donde el propio proceso es más delicado.
SIL | Disponibilidad requerida | Probabilidad de Fallo en Demanda (1/año) (Low Demand Mode) | Probabilidad de Fallo en Demanda (1/hora) (High Demand Mode) | Factor de Reducción de Riesgo |
|---|---|---|---|---|
| 4 | >99.99% | 10-5 a 10-4 | 10-9 a 10-8 | 10.000 a 100.000 |
| 3 | 99.90- 99.99% | 10-4 a 10-3 | 10-8 a 10-7 | 1.000 a 10.000 |
| 2 | 90.00- 99.90% | 10-3 a 10-2 | 10-7 a 10-6 | 100 a 1.000 |
| 1 | 90.00- 99.00% | 10-2 a 10-1 | 10-6 a 10-5 | 10 a 100 |
