Post on 28-Oct-2021
1
Reconstrucción de escenarios accidentales y
análisis de causa raíz mediante herramientas
fenomenológicas
Nicolás Armando Villalba Hernández
Asesor
Felipe Muñoz Giraldo Chem E. MSc. PhD.
Departamento de Ingeniería Química
Universidad de los Andes
Bogotá, Colombia
2
Agradecimientos
En los últimos años descubrí la pasión que abarcara los restantes días de mi vida, la pasión que
llevo a la construcción de este trabajo, el cual refleja el esfuerzo realizado por 5 años para llegar a
este triunfo, el triunfo de haber creado con mis propias manos y conocimiento esta investigación;
pero esto no pudo haber sido posible sino fuese gracias a la ayuda de mis padres y su interminable
esfuerzo por proporcionarme educación, a mi familia quienes siempre estuvieron pendientes de
mis avances, a Alejandra quien me acompaño y me apoyó en las largas jordanas de trabajo y los
difíciles momentos de estancamiento intelectual y por ultimo a Felipe Muñoz, a quien le agradezco
por mostrarme el increíble camino de la seguridad en procesos químicos la cual me ha capturado y
espero no me deje ir para poder avanzar por su sendero. Gracias a todos ellos tengo la suerte y la
felicidad de estar orgulloso de esta creación y de las muchas más que vienen en el futuro.
“No creo que haya alguna emoción más intensa para un inventor que ver alguna de sus creaciones
funcionando. Esa emoción hace que uno se olvide de comer, de dormir, de todo.”
Nikola Tesla.
3
Contenido
Resumen ............................................................................................................................................................. 5
1. INTRODUCCIÓN .............................................................................................................................................. 6
3. PROPUESTA METODOLOGICA – CCPS A MODIFICADO. .................................................................................. 9
3.1 Recolección de evidencia ......................................................................................................................... 9
3.2 Listar los hechos relevantes ................................................................................................................... 10
3.3 Construcción de la línea de tiempo. ....................................................................................................... 10
3.4 Construcción del árbol lógico ................................................................................................................. 10
3.5 Validar la consistencia de los hechos con el escenario. ......................................................................... 10
3.6 Verificar la lógica del árbol. .................................................................................................................... 11
3.6.1 Prueba de integridad. ..................................................................................................................... 11
3.6.2 Prueba de las causas relacionadas con los sistemas de gestión. ................................................... 11
3.6.3 Prueba de revisión global. .............................................................................................................. 11
3.7 Desarrollo de Recomendaciones ............................................................................................................ 11
4. HERRAMIENTAS COMPUTACIONALES .......................................................................................................... 12
4.1 Modelo fuente ....................................................................................................................................... 12
4.2 Dispersión .............................................................................................................................................. 12
4.3 Calculo de intensidades ......................................................................................................................... 12
4.4 Calculo de consecuencias ....................................................................................................................... 12
5. CASO DE ESTUDIO......................................................................................................................................... 14
6. APLICACIÓN DE LA METOLOGIA PROPUESTA ............................................................................................... 14
6.1 Recolección de evidencia. ...................................................................................................................... 14
6.2 Hechos relevantes del incidente. ........................................................................................................... 15
6.3 Línea de tiempo de los sucesos ocurridos en el incidente. .................................................................... 15
6.4 Construcción del árbol lógico ................................................................................................................. 17
6.4.1 Análisis del árbol lógico.................................................................................................................. 18
6.5 Verificación de los hechos vs el escenario ............................................................................................. 18
6.5.1 Construcción de la geometría. ........................................................................................................ 18
6.5.2 Resultados de la simulación ............................................................................................................ 19
6.6 Verificación de la lógica del árbol .......................................................................................................... 21
6.6.1 Prueba para la relación de causas con sistemas de gestión. .......................................................... 21
7. CONCLUSIONES ............................................................................................................................................ 22
Referencias ....................................................................................................................................................... 24
ANEXOS ............................................................................................................................................................ 27
4
Figuras
Figura 1. Metodología propuesta ........................................................................................................ 9
Figura 2. Daños en la estructura física tras el Incidente en Buncefield. [34] .................................... 14
Figura 3. Distribución del depósito Buncefield [34] .......................................................................... 17
Figura 4. Escenario construido en FLACS ............................................. ¡Error! Marcador no definido.
Figura 5. Ubicación y extensión de la nube registrada por la BMIIB (izquierda). Ubicación y
extensión de la nube en FLACS (derecha) ......................................................................................... 20
Figura 6. Perfil de sobre presión resultado de la simulación en FLACS (izquierda). Perfil construido
por la BMIIB (derecha). [43] .............................................................................................................. 21
Figura 7. Límite de propagación de llama resultado de la simulación en FLACS (izquierda). Límites
de propagación de llama reportados por HSE (derecha). [36] ......................................................... 22
Figura 8. Árbol lógico A. Árbol para eventos de sobrellenado del tanque TK-912 ........................... 28
Figura 9. Árbol lógico A. Árbol de fallas para el sobrellenado del tanque TK-912 ............................ 29
Figura 10. Árbol B. Árbol lógico para el evento Generación de VCE ................................................. 30
Figura 11. Árbol C. Árbol lógico para el evento Fallas en el sistema de control ............................... 31
Figura 12. Árbol D. Árbol lógico para el evento Ignición de la piscina .............................................. 32
Figura 13. Árbol E. Árbol lógico para el evento fuente de ignición Motores .................................... 33
Figura 14. Árbol F. Árbol lógico para el evento Fuente de ignición chispa eléctrica ........................ 34
Tablas
Tabla 1.Cuadro comparativo metodologías MORT, CCPS A, CCPS B, HPI ........................................... 8 Tabla 2. Comparación softwares para cálculo de consecuencias en escenarios accidentales [30]
[31] [28] [29] [26] .............................................................................................................................. 13
Tabla 3. Línea de tiempo para los eventos sucedidos en el Incidente de Buncefield. ...................... 16
Tabla 4. Títulos y relación entre arboles lógicos. .............................................................................. 18
Tabla 5. Verificación lógica de cada rama del árbol A ....................................................................... 35
Tabla 6. Verificación lógica de cada rama del árbol B ....................................................................... 35
Tabla 7.Verificación lógica de cada rama del árbol C ........................................................................ 36
Tabla 8. Verificación lógica de cada rama del árbol D ...................................................................... 37
Tabla 9. Verificación lógica de cada rama del árbol E ....................................................................... 37
Tabla 10.Verificación lógica de cada rama del árbol F ...................................................................... 38
5
Reconstrucción de escenarios accidentales y análisis de
causa raíz mediante herramientas fenomenológicas
Nicolás Armando Villalba Hernández (na.villalba340@uniandes.edu.co)
Resumen
La reconstrucción de escenarios junto con el análisis de causa raíz han sido herramientas útiles
para la investigación de accidentes mayores y la identificación de lecciones aprendidas. Existen
actualmente diferentes metodologías como MORT1, CCPS2, HPIP3, útiles para lograr lo enunciado
anteriormente. Con el ánimo de alimentar el conocimiento en métodos de investigación a
posteriori y de aprender de las experiencias para la prevención de accidentes mayores en
Colombia; se llevó a cabo este estudio, cuyo propósito es proponer una metodología para la
determinación de causa raíz que incorpore el análisis fenomenológico del accidente por medio de
herramientas computaciones como FLACS®4, Effects®5. Se propuso una metodología para la
identificación de causa raíz a partir del análisis fenomenológico incorporando los programas
Effects® y FLACS®. Se encontraron tres causas raíz en el estudio, fallas en el mantenimiento del
elemento de medición en el sistema de control de nivel del tanque 912, fallas en la instalación del
switch de nivel máximo del sistema de control de nivel del tanque 912 y la ubicación de la bomba
contra incendios. Tras la comparación de las causas raíz con las recomendaciones reportadas en
los reportes de investigación del suceso se puede determinar que la metodología propuesta
cumplió con el objetivo de reconstruir escenarios y determinar causas raíz mediante herramientas
computaciones que trabajan desde el punto de vista fenomenológico.
Palabras clave
Causa raíz, reconstrucción de escenarios, análisis fenomenológico.
1 Management Oversight and Risk Tree. 2 Center for Chemical Process Safety. 3 Human Performance Investigation Process. 4 CFD para el modelamiento de explosiones y liberación de gases tóxicos e inflamables. Desarrollado por GexCon
Laboratory. 5 Software para el cálculo de efectos físicos a partir de un escenario accidental. Desarrollado por TNO.
6
1. INTRODUCCIÓN
En las últimas décadas se ha visto como el
interés por la seguridad en procesos
químicos ha ido en aumento, así mismo se
puede apreciar cómo accidentes mayores
han dado las pautas para generar
lineamientos de seguridad para procesos y
distribuciones de planta [1]. Esto último ha
sido la mayor motivación para los
investigadores a entrar en el tema de la
evaluación y mitigación de riesgos. Algunos
ejemplos de accidentes mayores que
generaron el interés del gremio en mejorar la
seguridad en los procesos son, el desastre de
Bhopal y el desastre de la plataforma Piper
Alpha.
Con miras a resaltar la gran importancia que
tiene la reconstrucción de escenarios, se
describirán dos accidentes cuyas lecciones
aprendidas lograron definir nuevos
lineamientos y modificar los existentes, para
bien en la prevención de accidentes en la
industria química.
Como primer ejemplo encontramos el
desastre en Bhopal, este tomo lugar en la
India, en el año 1984. Una planta para
producción de pesticidas perteneciente a
Union Carbide fue la implicada en este
accidente, el cual tuvo lugar debido a las
malas prácticas durante el mantenimiento de
la planta y al déficit en las medidas de
seguridad, asociadas a una reducción de
costos por la disminución de la demanda de
producto. El evento que desencadeno el
accidente fue un mal desarrollo del
procedimiento de limpieza, donde el agua
utilizada para éste llegó al tanque de
almacenamiento de isocianato y al mezclarse
los dos componentes se desencadenó una
reacción exotérmica generando el aumento
de la temperatura en el tanque, lo cual
provocó una ruptura en la válvula de alivio y
produjo una nube tóxica la cual se dispersó
hasta encontrar la zona poblada de la región
(similar a lo sucedido en Seveso), dejando
como consecuencia la muerte de más de
3.000 personas y de secuelas instantáneas y
a futuro de más de 300.000 personas [2] [3].
Una vez desarrollado el análisis del incidente
en Bhopal, se encontraron diferentes
lecciones aprendidas (locación de la planta,
buen estado del equipo de protección,
mejorar el trabajo de empresas conjuntas,
manejo de emergencias y respuesta pública).
Entre las más importantes están el manejo
de emergencias y trabajo conjunto de
empresas; del primero se definió que es de
vital importancia que las compañías trabajen
en conjunto con los servicios de emergencia
para la identificación de incidentes probables
y el desarrollo de planes para hacer frente a
estos y ejercer dichos planes. Por otro lado el
tema de trabajo conjunto de empresas hace
referencia a que la empresa americana
Union Carbide fue la encargada del diseño de
la planta pero la empresa Hindú era la
encargada de la operación así que era
responsabilidad de ambos la seguridad del
proceso y no deben excluirse de la culpa [4].
Otro accidente que aportó a la seguridad de
procesos después de sucedido fue el
Incidente en Piper Alpha, una plataforma
petrolífera ubicada en las costas de Noruega
y Dinamarca; este accidente tuvo lugar en el
año 1988 y sucedió debido a una mala
comunicación entre el personal que
trabajaba en las diferentes jornadas, un mal
diseño en la plataforma y otros aspectos
técnicos adicionales [5]. Las consecuencias
de este accidente fueron explosiones e
7
incendios en la plataforma tomando las vidas
de 167 personas pertenecientes al equipo de
operación y una docena de heridos [6].
Para desarrollar las lecciones aprendidas de
este accidente expertos realizaron un
análisis de causa raíz y llegaron a diferentes
conclusiones: La administración es
responsable y el enfoque sistemático en la
operación. La primera lección define que
situaciones de riesgo debe existir un
funcionario con las capacidades, el
conocimiento y el podel legar de actuar para
generar un ambiente de trabajo seguro. La
segunda habla sobre la necesidad de
métodos sistemáticos y exhaustivos para la
evaluación de riesgos mayores y del buen
diseño de sistemas de operación [7].
El objetivo de este estudio fue desarrollar
una metodología, la cual facilitará y agilizará
el proceso de análisis de causas de
accidentes a partir de la reconstrucción de
un escenario accidental. Tendrá además
diferentes ventajas como son, facilitar el uso
de la metodología para cualquier industria u
organización que desea hacer ese tipo de
análisis, aplicabilidad a cualquier tipo de
proceso químico, eficacia, exhaustividad y
sistematicidad en el desarrollo de la
metodología.
2. METODOLOGIAS PARA EL CALCULO DE
CAUSA RAIZ.
Este estudio se desarrolló en base al análisis
de causa raíz. La finalidad de este es
identificar las diversas razones subyacentes,
relacionadas con el sistema, que llevaron a
que sucediera dicho incidente y que
identifican una falla corregible en los
sistemas de gestión [8]. Para desarrollar un
análisis de causa raíz existen diferentes
métodos entre los cuales podemos
encontrar: MORT, HPIP y CCPS entre otros
[9].
De las primeras metodologías en ser
planteadas se encuentra MORT la cual fue
desarrollada a final de los años sesentas y
fue un gran aporte ya que llevo a la
construcción de lo que era el sistema de
gestión de seguridad ideal. [10]
Por otro lado las metodologías planteadas
por la CCPS (Center for Chemical Process
Safety) fueron desarrolladas a principios de
la década de los noventas al igual que la
HPIP, la diferencia entre estas dos radica en
que las metodologías de la CCPS están
enfocadas a cualquier tipo de proceso,
mientras que la HPIP está enfocada a los
procesos que involucran tecnología nuclear y
los factores dominantes del método se basan
en los errores humanos que se pueden
cometer en evento nucleares.
Una comparación un poco más extensa se
puede apreciar en la Tabla 1. Donde se
desarrolló un cuadro comparativo entre las
metodologías mencionadas anteriormente.
8
Tabla 1.Cuadro comparativo metodologías MORT, CCPS A, CCPS B, HPI
METODO ENTRADAS ORGANIZACIÓN DE
INFORMACIÓN
TIPO DE ARBOL
DETERMINACION DEL ESCENARIO
DETERMINACION DE CAUSAS
CCPS A Recolección de evidencia (entrevistas, registros de operación y control, testimonios etc.)
Línea de tiempo y lista de eventos
Árbol lógico
Se desarrolla una matriz evento/hipótesis para comparar si los eventos seleccionados son consistentes con el escenario hipotético o si se debe evaluar otro escenario
El investigador y su equipo deben tomarse la tarea de construir el árbol lógico a partir de la línea de tiempo y los eventos seleccionados. Una vez construido el árbol. Se evalúa la lógica de este para verificar su consistencia, junto con la consistencia de los eventos seleccionados. Hecha la verificación, las causas raíz se encontraran en los niveles más bajos del árbol lógico. [11] [12]
CCPS B Recolección de evidencia (entrevistas, registros de operación y control, testimonios etc.)
Lista de eventos y lista de factores causales
Árbol predefinido
Se desarrolla una matriz evento/hipótesis para comparar si los eventos seleccionados son consistentes con el escenario hipotético o si se debe evaluar otro escenario
Una vez identificados los factores causales, el investigador se remite al árbol predefinido asignado al factor causal seleccionado. Evaluará cada uno de los niveles del árbol del tope al fondo, eliminando las ramas que no sean útiles para el análisis, llegando así a la causa raíz del incidente. [13] [14]
MORT Reporte del accidente
Diagrama de factores causales
cuadro MORT
No Aplica El investigador utilizara el cuadro MORT como su hoja de trabajo, identificando las causas que aportaron a que el evento principal sucediera. Esta identificación se realiza en cada ramificación del cuadro. Las causas que no son útiles se descartan tachándolas con un marcador negro. Las demás deben ser evaluadas como adecuadas o no adecuadas. La causa raíz se identificará cuando todas las causas estén catalogadas. [15] [16]
HPIP Recolección de evidencia (entrevistas, registros de operación y control, testimonios etc.)
Diagrama de eventos y factores causales
Árbol SORTM
Para verificar que los hechos seleccionados son los correctos se deben realizar dos tipos de análisis el de barrera y el de cambio
El investigador utilizara el árbol SORTM para identificar las categorías de causas básicas en los módulos HPIP por donde dirigirá su análisis. Cada módulo contiene factores que influencian al error humano durante eventos nucleares. Así mismo a cada módulo le corresponde una tabla la cual asiste al investigador con una serie de preguntas hasta llegar a la causa raíz o causas cercanas a estas. [17] [18]
9
3. PROPUESTA METODOLOGICA – CCPS A
MODIFICADO.
La metodología que se propuesta en este
estudio está basada en el Método A descrito
por la CCPS. La cual tiene una modificación
que se encuentra en la etapa de verificación
del escenario hipotético, originalmente en
este paso se realiza un análisis deductivo de
todo el grupo de investigación, donde
utilizaran una herramienta llamada Matriz de
hipótesis. Esta consiste en contrastar los
hechos relevantes del incidente con los
diferentes escenarios hipotéticos. En la
metodología propuesta esta etapa es
reemplazada por un análisis fenomenológico
el cual se desarrollara por medio del uso de
herramientas computacionales. Esto se
explica con mayor detalle en la descripción
de la metodología. La finalidad de esta
modificación será eliminar un paso que
requiere de un gasto de tiempo considerable
y de la disposición del equipo de
investigación para hacer la deliberación, lo
cual lograra que la implementación de la
metodología sea más eficiente y precisa, ya
que evitará la inclusión de errores humanos
que se pueden generar en el momento en
que el equipo discuta los diferentes
escenarios hipotéticos. A continuación se
describe más a detalle la metodología
propuesta y se encuentra representada en la
Figura 1.
3.1 Recolección de evidencia
Para la recolección de evidencia se realizara
un plan específico de desarrollo. El cual
constara de, visitas al lugar de los hechos,
recolección de diversos recursos ente los
cuales están: recursos electrónicos (como
videos, fotografías, datos del control
electrónico etc.), recursos físicos (partes
mecánicas de las unidades, equipos,
muestras químicas etc.), recursos de
personas (testimonios o declaraciones
Recolección de información y evidencia
Listar los hechos relevantes
Construcción línea de tiempo
Construcción árbol lógico
Verificación hechos vs. escenario
Comparación efectos escenario hipotético
vs. Escenario real Effects
FLACS
Es el mismo escenario?
Verificar la lógica del árbol
Pruebas de garantía de
calidad
Aprueba?
NO
NO
SI
Evaluar el problema lógico
Determinar la solución
Determinación de las fallas en sistemas de
gestión
SI
Check List de los hechos
Bases de datos
Concawe MHIDAS
Figura 1. Metodología propuesta
10
escritas de los testigos, participantes o
victimas) y por ultimo recursos en papel
(registros de alarmas, operaciones,
procedimientos y entrenamientos entre
otros). Toda esta información esta
aglomerada y será ordenada
cronológicamente mediante la construcción
de una línea de tiempo [19].
3.2 Listar los hechos relevantes
La lista de hechos relevantes debe contener
todos los hechos que son de importancia
para el escenario del incidente, adicional
debe tener todos los datos que se crean
pertinentes de eventos pasados o externos,
que pudiesen tener influencias sobre el
sistema. Lo anterior es debido a que los
hechos listados serán la base para
seleccionar el escenario del incidente
correcto [20].
3.3 Construcción de la línea de tiempo.
La línea de tiempo funciona como una
herramienta investigativa de organización,
para poder observar los eventos y los datos
obtenidos en la recolección de evidencia, en
orden cronológico y relacionar varias
ocurrencias entre sí y el suceso final. Se
deben tomar los eventos y las condiciones
del proceso más relevantes y organizarlos
según su hora de suceso progresivamente
hasta el incidente. Es importante que la línea
de tiempo no tenga espacios entre eventos y
sea lo más consistente posible, ya que el
árbol lógico se construirá a partir de esta; es
por esto que la línea de tiempo tiene un lazo
iterativo que va conectado con el paso de
recolección de evidencia dado que con este
aumentara su contenido y precisión con lo
realmente sucedido [21].
3.4 Construcción del árbol lógico
Una vez se tiene la línea de tiempo completa
se procede a construir el árbol lógico. El
árbol lógico es una herramienta sistemática
para organizar y analizar los elementos del
escenario donde sucedió el incidente (lo que
se encuentra en la línea de tiempo), este
utiliza una aproximación deductiva con la
cual observando hacia atrás en el tiempo, se
pueden examinar los eventos precedentes
que llevaran a un resultado en específico.
Una vez bien logrado el árbol, se podrán
identificar las causas relacionadas con el
sistema. Como se mencionó anteriormente,
la línea de tiempo es constantemente
alimentada con nueva información, así que el
árbol lógico también tendrá la característica
de ser dinámico y al momento de presentar
inconsistencias este podrá ser modificado
para llegar a la causa real del incidente [22].
3.5 Validar la consistencia de los hechos con
el escenario.
Una vez terminado el árbol lógico, es
necesario comparar los hechos conocidos
con el escenario hipotético para determinar
si la consistencia del árbol es la correcta.
Para esto se hará uso del análisis
fenomenológico del escenario, comparado
con el del escenario hipotético establecido
por los hechos relevantes, esto con el fin de
lograr la validación. Para desarrollar dicho
análisis se utilizaran las herramientas
computacionales Effects, RiskCurves para
simular los hechos conocidos (que fueron
identificados en el paso 3.2). Estas
herramientas trabajan bajo el modelo de
cálculo de efectos llamado TNO, el cual
arrojara los niveles de sobrepresión y
radiación del escenario simulado, los cuales
pueden ser representados en pérdidas
materiales o afectaciones individuales por
11
medio de las funciones PROBIT [23]. Una vez
calculadas las afectaciones se compararan
con las del escenario reconstruido; si estas
son iguales, el escenario es válido por lo
tanto también lo serán los hechos y se podrá
proceder al siguiente paso. En el caso
contrario, en que la simulación no sea
consistente con el incidente, se activara un
lazo de iteración el cual dirigirá el método de
nuevo a la recolección de evidencia, ya que
aquí es donde se debe hacer una búsqueda
más exhaustiva de los hechos que se van a
utilizar en el escenario hipotético.
3.6 Verificar la lógica del árbol.
Una vez el árbol está construido y su
estructura se ve consistente, se deben aplicar
tres pruebas de garantía de calidad. Estas
pruebas aseguraran que la lógica del árbol es
correcta en cuanto a la globalidad y a la
especificidad de las ramas de este. En total
son tres pruebas las cuales soportaran el
hecho que el árbol está listo para ser usado.
Puede suceder que alguna de las pruebas de
calidad no sean aprobadas, en este caso se
activara un lazo iterativo el cual lleva a la
pregunta “¿Cuál es el problema lógico?”. Una
vez definido el problema se deben hacer las
modificaciones necesarias en la estructura
del árbol para que apruebe todas las pruebas
de calidad.
3.6.1 Prueba de integridad.
Esta prueba consiste en examinar la lógica
general de la estructura del árbol para
verificar su integridad. Así mismo la lógica en
cada una de las ramas del árbol será probada
para determinar si esta es necesaria y
suficiente [24].
3.6.2 Prueba de las causas relacionadas con
los sistemas de gestión.
Para aplicar esta prueba se debe responder
la pregunta “¿Están las causas identificadas
realmente relacionadas con los sistemas de
gestión?”. Para esta prueba es importante
tener en cuenta que las causas relacionadas
con los sistemas de gestión no solo se
encuentran ubicadas en la parte baja del
árbol, así que es importante revisar toda la
estructura para no perder de vista causas
que pueden estar ubicadas en la cima o en la
mitad del árbol [24].
3.6.3 Prueba de revisión global.
Como su nombre lo indica esta prueba
consta de hacer una revisión de todo el
árbol, es la última revisión y se hará con la
finalidad de encontrar errores que se
pasaron por alto en la primera prueba de
calidad. Se deberá analizar la lógica del árbol
como un todo y hacer una revisión más
consiente y exhaustiva de las ramas de este.
También se comparará exhaustivamente el
diagrama lógico final con la línea de tiempo
para verificar que son consistentes el uno
con el otro [24].
3.7 Desarrollo de Recomendaciones
Una vez establecidas las múltiples causas
relacionadas con los sistemas de gestión, se
procede a definir un conjunto de
recomendaciones; estas recomendaciones
deben ser efectivas en su aplicación y
deberán representar un cambio en los
sistemas de gestión con la finalidad de
eliminar por completo las causas
subyacentes que generaron el incidente y de
la misma forma prevenir accidentes futuros
[25].
12
4. HERRAMIENTAS COMPUTACIONALES
Siendo la incorporación de herramientas
computacionales a la metodología la base de
este estudio es importante conocer que hay
detrás de estas herramientas. El software
que se utilizara (EFFECTS) trabaja bajo un
modelo llamado TNO - Multi energía el cual
se describirá brevemente a continuación
4.1 Modelo fuente
Cuando sucede una liberación de un material
la forma en que este va a ser expulsado va a
depender de diversos factores como son la
temperatura del material, la presión y el
tamaño del orificio por donde escapa. Por lo
tanto la unión de estas tres condiciones y sus
diversos valores va a generar diversas formas
de liberación; algunos ejemplos de modelos
fuentes son: escape de un gas licuado de un
recipiente presurizado, derrame de un
líquido refrigerado en el agua, chorro de alta
velocidad proveniente de un recipiente
refrigerado entre otros. [26]
4.2 Dispersión
Una vez el material es liberado pueden
suceder dos casos de dispersión, uno será
evaporación a partir de una piscina, el cual
sucede cuando un gas licuado aún en fase
liquida es derramado sobre una superficie y
debido a la transferencia de calor entre estos
sucede la evaporación. El otro caso es
cuando el gas es liberado en forma gaseosa,
lo que sucederá es la formación de una nube
de vapor o vapor cloud dispersión. Es una
nube que dependiendo de las condiciones
atmosféricas será visible y podrá desplazarse
largas o cortas distancias. [27]
4.3 Calculo de intensidades
Este paso depende de la dispersión ya que la
nube generada en conjunto con escenarios
específicos dará como resultado un evento
diferente, ya sea una explosión o un
incendio. Los modelos para calcular
intensidades seran diferentes para
explosiones o incendios, en el caso de un
incendio se calculara la intensidad de del
calor irradiado y para explosiones la
magnitud de la sobrepresión generada. [28]
4.4 Calculo de consecuencias
En esta etapa se calcularán las consecuencias
de haber estado expuesto a el riesgo que se
ha estado estudiando, es por esto que
existen unas funciones que relacionan el
porcentaje de fatalidades con la intensidad
generada por un incidente especifico estas
funciones son conocidas como modelos
PROBIT. [29]
Existe también otro software llamado FLACS.
Es un CFD (computational fluid dynamics) el
cual proporciona el modelamiento de
explosiones y dispersión de nubes
inflamables y toxicas. Este software puede
ser otra opción para incorporar como
herramienta computacional.
En la Tabla 2. Se muestra la comparación en
los modelos que hay detrás de la
funcionalidad de los dos software
mencionados anteriormente.
13
Tabla 2. Comparación softwares para cálculo de consecuencias en escenarios accidentales [30] [31] [28] [29] [26]
Software
FLACS EFFECTS
Mo
de
lo
Escenario accidental
Permite la definición de las condiciones del escenario que se quiere estudiar. (p.e. propiedades de las substancias, condiciones del ambiente, presencia de fuetes de ignición, tipo de terreno)
Permite la definición de las condiciones del escenario que se quiere estudiar. (p.e. propiedades de las substancias, condiciones del ambiente, presencia de fuetes de ignición, tipo de terreno)
Modelo fuente Ofrece siete diferentes modelo fuente para la liberación del material. Algunos ejemplos. Difusivo: para una liberación con un momentum bajo, tipo jet ara una liberación con alto momentum y formación de piscina: para liberaciones liquidas sobre superficies.
Utiliza tres modelos fuente principales, liberación de gas, liberación de gas licuado y liberación de líquido. Estos tres tipos de liberación tienen casos más específicos lo cuales dependen de las condiciones del escenario.
Dispersión del material peligroso
Utiliza las ecuaciones de conservación de masa energía y momento para modelar el fluido junto con el modelo de turbulencia kapa-epsilon
Utilizan dos modelos diferentes los cuales son empíricos y semi empíricos, los cuales deben aplicarse dependiendo del tipo de dispersión. Los modelo son: crecimiento de jets y plumas y dispersión de gases densos
Calculo de intensidades
Este software proporciona el impulso generad por la explosión y las dosis de nube toxica a lo largo de la dispersión el impulso se calcula usando el rea bajo la curva presión-tiempo. Para las dosis tóxicas muestra el perfil de concentración de la nube indicando picos altos y bajos
Este programa ofrece la posibilidad de calcular la sobrepresión, la radiación y la dosis debido a una liberación de material dependiendo de la sustancia y las condiciones. Estos cálculos se realizan por medio de tres ecuaciones matemáticas las cuales fueron modeladas basándose en registros de daños y muertes.
Calculo de consecuencias
El software no tiene u modelo para el cálculo de consecuencias, estos deben realizarse con otra herramienta
El cálculo de las consecuencias se desarrolla con el uso de las ecuaciones PROBIT las cuales relaciones los puntos PROBIT con las intensidades por medio de una relación matemática. Mediante una relación probabilística se puede saber cuántos puntos PROBIT equivalen al porcentaje de daños en individuos o materiales
Riesgo individual y social
El software no tiene un modelo para el cálculo de riesgos individuales y sociales
El software no tiene un modelo para el cálculo de riesgos individuales y sociales
14
5. CASO DE ESTUDIO
La metodología propuesta en este trabajo
será aplicada a un evento conocido como el
Incidente de Buncefield. Esto con el fin de
comparar los resultados de un estudio
llevado a cabo en el 2005-2006 por la BMIIB6
para encontrar las causas del accidente y
compararlas con los resultados arrojados por
la metodología propuesta.
El incidente de Buncefield tuvo lugar en
diciembre del 2005 en una locación llamada
Buencefield Tank Farm, el cual se encuentra
ubicado en Hemel Hempstead,
Hertfordshire, UK. Es un depósito de
petróleo encargado de proveer gasolina,
combustible para avión y Diesel a Londres y
todo el sureste de Inglaterra. Para la fecha en
que sucedió el evento, Buncefield retenía en
sus tanques 35 millones de litros de
combustible. Un derrame de combustible
debido al sobre llenado de uno de los
tanques (tanque 912) dio paso a la formación
de una nube combustible la cual generó una
serie de explosiones y grandes incendios los
cuales destruyeron una extensa área del
depósito. [32]
Las sobrepresiones generadas por la
conflagración fueron de niveles muy altos,
los cuales se vieron representados en
grandes daños en la estructura física como se
puede observar en la Figura 2. Adicional a
esto hubo daños a propiedades aledañas al
lugar del accidente las cuales no pertenecían
a la administración del depósito. Por otro
lado 43 personas sufrieron heridas menores
y no se registraron pérdidas humanas. [33]
6 Buncefield Major Incident Investigation Board.
6. APLICACIÓN DE LA METOLOGIA
PROPUESTA
A continuación se describirá el trabajo
realizado al aplicar la metodología propuesta
al caso de estudio enunciado anteriormente.
de información, la HSE (Health & Safety
Executive) nombro una junta encargada de
realizar una investigación del incidente. Esta
junta publico diferentes reportes los cuales
contienen la evidencia e información que
encontraron relevante para la investigación y
serán estos reportes los que se utilizaran en
este trabajo como la fuente de evidencia
para el desarrollo de la metodología.
6.1 Recolección de evidencia.
La obtención directa de información y
evidencia del incidente es imposible, ya que
este evento sucedió hace 10 años
aproximadamente. Por lo tanto tomar
registros fotográficos o de video no es viable,
los records de operación del depósito y de
los dispositivos de control, así como planos
del mismo son confidenciales y solo se puede
acceder a estos con permiso de las
compañías propietarias del depósito y por
Figura 2. Daños en la estructura física tras el Incidente en Buncefield. [34]
15
ultimo las entrevistas a los testigos (ya sean
operarios del depósito o vecinos del área)
están restringidos a si aún están disponibles
a dar declaraciones. Dicho lo anterior es
necesario hacer uso de fuentes secundarias.
La información se recolectara de los
siguientes reportes The Buncefield Incident
11 December 2005 Volume 1, The Buncefield
Incident 11 December 2005 Volume 2a and
2b, Buncefield Explosion Mechanism - Phase
1 Volumes 1 and 2 y Buncefield Response –
HSE.
6.2 Hechos relevantes del incidente.
Una vez realizada la recolección de
información y evidencia de las fuentes
secundarias se identifican los hechos más
importantes que definirán el escenario del
accidente y se organizan en una lista [33]
[34]. La ubicación y distribución del depósito
se pueden observar en la Figura 3.
El tanque 912 empieza su llenado
como es de costumbre.
No se reportaron cambios en la
lectura del medidor de nivel del
tanque 912.
El llenado del tanque 912 nunca se
detuvo y el combustible en este se
desbordó.
Debido al sobrellenado del tanque se
generó una piscina de combustible
dentro del dique que rodeaba el
tanque.
Se generó una nube de vapor visible
la cual se dispersó a lo largo del área
del depósito.
Entidades climáticas no registraron
vientos y reportaron una estabilidad
de Pasquill tipo F para el área del
incidente.
Ocurrió una serie de explosiones,
seguidas por un fuego que abarco
varios tanques de almacenamiento.
Debido a la sobrepresión generada
por la explosión se generaron
perdidas de contención secundarias
en los tanques aledaños al tanque
912, lo cual alimento más las llamas.
Observando los daños y la forma de
destrucción de la casa de bombas
contra incendios, se definió que el
punto de ignición estaba ubicado allí.
Se declaró estado de emergencia y
se establecieron puestos de control
de inmediato.
Los bomberos iniciaron maniobras y
tomaron control del fuego hasta
extinguirlo.
Se declaró controlada la emergencia.
6.3 Línea de tiempo de los sucesos ocurridos
en el incidente.
En la Tabla 3 que se muestra a
continuación, están organizados
cronológicamente los sucesos de
mayor relevancia que llevaron al
accidente ocurrido en el depósito de
Buncefield.
16
Tabla 3. Línea de tiempo para los eventos sucedidos en el Incidente de Buncefield.
Fecha Tiempo Evento
10/12/2005 19:00 El tanque 912 ubicado en la sección A, empezó a recibir una carga de combustible para motor a un flujo de 550 m
3/hora.
11/12/2005 00:00 La terminal se cerró a carro tanques y se llevó a cabo una revisión de inventario.
01:30 No se encontraron anormalidades en la revisión.
03:00 No se registraron cambios en las lecturas del medidor de nivel del tanque 912. Sin embargo se continuó con el flujo de carga.
05:00 Para esta hora el tanque ya debía estar lleno y comenzar a desbordarse, el flujo de carga debía ser detenido por el sistema de seguridad. El flujo de carga siguió continuando.
05:38 Se puede apreciar en las cintas de video de seguridad como se desprende vapor del combustible vertido y se mueve oeste.
05:46 La nube se ha aumentado su espesor a aproximadamente 2 metros y se dispersa fuera de la sección A en todas las direcciones.
5:50-6:00 el flujo de bombeo de carga al tanque 912 aumento gradualmente hasta alcanzar un valor de 890 m
3/hora.
06:01 La nube se extendió hacia el oeste hasta llegar a Boundary Way. Hacia el noroeste se extiende hasta Catherine House. En dirección norte alcanza a tocar el tanque número 12 y hacia el sur no alcanza a llegar al portal de carga.
06:02 Ocurre la primera explosión. Seguida por una serie de explosiones y un gran fuego el cual abarca cerca de 20 tanques. La explosión principal parece estar centrada en la casa de bombas contra incendio, junto al lago.
06:08 Se declara un estado de incidente mayor y un comando operacional y de control se establece cerca al área del incidente.
12/12/2005 12:00 el incendio se encuentra en su pico máximo. Se utilizan todos los recursos contra incendios del depósito y el apoyo adicional de 180 bomberos y 20 camiones contra incendios.
14/12/2005 Hubo grandes pérdidas por contención secundaria debido a filtraciones en los diques. También hubo grandes pérdidas por contención terciaria la cual significo contaminación de aguas subterráneas y superficiales.
15/12/2005 Se declara la extinción total del incendio.
17
6.4 Construcción del árbol lógico
Para la construcción del árbol lógico se
siguieron los pasos definidos en la
metodología propuesta anteriormente.
Como evento tope del árbol se definió el
evento sobrellenado del tanque 912. A partir
de esto se desarrollaron los árboles para
describir los eventos que se generaron
debido al evento tope más las fallas que
debieron suceder para llegar a este. La
generación de una VCE7, Las fallas en el
sistema de control, La fuente de ignición
ubicada en motores y la fuente de ignición
debido a chispa eléctrica se desarrollaron en
arboles diferentes para facilitar la
comprensión del árbol global. Algunos de los
7 Vapour Cloud Explosion (explosión debido a
nube de vapor)
arboles están conectados por lo que en la
Tabla 4 se muestran los nombres de los
árboles y las relaciones entre ellos.
Figura 3. Distribución del depósito Buncefield [34]
18
Tabla 4. Títulos y relación entre arboles lógicos.
Árbol Título del árbol
A
Causas y Eventos del sobrellenado del tanque TK-912 (árbol A en relación con árbol B,C y D)
B Generación de VCE (árbol B en relación con árbol E y F)
C Fallas en el sistema de control
D Ignición en la piscina
E Fuente de ignición - Motores
F Fuente de ignición - Chispa eléctrica
6.4.1 Análisis del árbol lógico
A través del análisis de la evidencia y los
arboles construidos se llegó a la conclusión
que el sobrellenado del tanque TK-912
sucedió debido a fallas en el sistema de
control de nivel, este sobrellenado llevo a la
generación de una piscina y a la dispersión
de una nube. La fuente de ignición de la
nube tuvo su ubicación en la casa de bombas
la cual alojaba una bomba contra incendio, la
cual se encendió debido a la activación el
sistema contra incendios. Esto genero una
gran explosión la cual dejo daños físicos
devastadores y además sirvió como ignición
de la piscina que se había creado por el
sobrellenado maximizando aún más los
daños físicos del depósito.
Las causas raíz que se determinaron del
análisis fueron:
Habían fallas en el elemento de
medición perteneciente al sistema
de control de nivel del tanque TK-
912, esto debido a la falta de
mantenimiento del elemento.
Existen fallas en el elemento de
control (switch de nivel máximo),
debido a la mala instalación de este
no se enviaron las señales correctas
para el buen funcionamiento del
sistema de control de nivel.
La ubicación de la bomba contra
incendios y la casa donde se
encontraba ubicada no cumplían con
los requisitos mínimos para
prevención de accidentes mayores.
6.5 Verificación de los hechos vs el escenario
Anteriormente se listaron los hechos
escogidos como los más relevantes para el
incidente, los cuales con ayuda de la
evidencian se validaran para verificar que la
escogencia de estos fue correcta. En este
estudio la verificación e hará con el software
FLACS®, esto se debe a que durante la
recolección de información se encontró que
las sobrepresiones generadas por la
explosión, no eran consistentes con los
cálculos del nivel de confinamiento que
realizaron en las fuentes de información
consultadas [35]. Los modelos utilizados por
el BMIIB son los mismos que se utilizan en el
software Effects® por lo que se descarta el
uso de este, ya que se asume que se
obtendrán resultados similares a los
reportados en la literatura consultada y por
lo tanto no se obtendrían resultados
correctos.
6.5.1 Construcción de la geometría.
Para reconstruir el suceso usando FLACS®,
se debe construir una geometría a escala del
escenario donde sucedió el accidente. Para
esto se utilizó la herramienta Google Earth®
19
con el fin de determinar las dimensiones del
área donde se encuentra ubicado el depósito
y de las unidades que lo componen como:
edificios, tanques, tuberías etc. Una vez
definida esta información se desarrolla la
estructura del escenario la cual se puede ver
en la ¡Error! No se encuentra el origen de la
referencia.
La BMIIB en su investigación determino
diferentes parámetros de la nube
combustible que se produjo por la pérdida
de contención como: área y espesor de la
nube, posición de la nube, ubicación de la
nube en el escenario y composición de esta.
A pesar de tener identificado el área que alcanzó a cubrir la nube es necesario identificar en que parte del depósito estuvo
ubicada para poder replicar las consecuencias de la explosión. Por medio de la información proporcionada por los videos de cámaras de seguridad y mapas del depósito donde se muestra el alcance que tuvo la nube combustible reportados por la BMIIB y la HSE.
Estos son parámetros fundamentales para
poder replicar el accidente correctamente.
Adicional se deben identificar las condiciones
climáticas las cuales tienen un aporte muy
importante a los resultados de la simulación.
Por ultimo según información en los reportes
el punto de ignición se ubicó en la casa de
bombas contra incendios cerca del lago por
lo tanto se utilizó esta misma posición para la
ignición en la simulación [36]. En la portada
por la BMIIB.
Tabla que se muestra a continuación están
listados los parámetros que se utilizaron en
la simulación.
En la Figura 5. Ubicación y extensión de la
nube registrada por la BMIIB (izquierda).
Ubicación y extensión de la nube en FLACS
(derecha) se muestra la comparación entre la
ubicación de la nube en la simulación y la
ubicación reportada por la BMIIB.
Tabla 4. Parámetros para la simulación del Incidente de Buncefield [36] [34] [33]
PARAMETRO VALOR
Área de la nube combustible [m2] 120000
Espesor de la nube [m] 2
Velocidad del viento [m/s] 1
Clasificación de Pasquill F
Temperatura ambiente [°C] -1.7
Presión ambiente [kPa] 100
6.5.2 Resultados de la simulación
Una vez definidos los parámetros para la
simulación e ingresados en el software se
obtuvieron diferentes resultados los cuales
se compararán con las consecuencias del
accidente.
6.5.2.1 Perfil de sobrepresión
En la Figura 6 se muestra la comparación
entre el perfil de sobrepresión arrojado por
la simulación y el perfil propuesto por la
BMIIB. La información obtenida de los
reportes de la BMIIB se propuso basada en
Figura 4. Geometría generada en FLACS
20
los daños físicos de automóviles, edificios,
tanques etc. encontrados a lo largo del área
del incidente, de esta forma se puede saber
la sobrepresión que afecto a los diferentes
objetos y construir el perfil de presión.
Se puede ver en los resultados de la simulación como la presión a lo largo de los árboles que bordean los caminos es mucho mayor que las presiones cercanas a tanques o en otras áreas lo cual es completamente congruente con los perfiles generados a partir de los daños físicos que se pueden observar en las imágenes del lugar del accidente. En cuanto a los perfiles obtenidos por la BMIIB se puede apreciar en la figura como después de los caminos la presión disminuye a medida que la distancia aumenta desde ese punto. En los resultados de la simulación realizada en este este estudio se puede apreciar el mismo efecto.
6.5.2.2 Propagación del frente de llama
La HSE realizo un estudio del mecanismo de
la explosión que tuvo lugar en Buncefield. En
dicho estudio se muestra el área afectada
por las llamas generadas en la explosión; en
la Figura 7 se compara el área definida por la
HSE con al frente de llama resultante de la
explosión generada por la simulación.
En la imagen de la izquierda se pueden ver
los tanques y edificios afectados por las
llamas y la irradiación de estas (delimitado
con la línea punteada negra) por otro lado
los resultados de la propagación de llama
generados por la simulación muestran que
las llamas afectaron una extensión igual a la
definida por la HSE.
Una vez realizadas las comparaciones se
puede decir que los efectos resultantes de la
simulación son muy similares a los
reportados por los organismos encargados
de investigar los sucesos, por lo tanto se
puede decir que los eventos y condiciones
seleccionadas para la simulación y para el
estudio son consistentes con el escenario
accidental y se puede continuar a la
verificación de la lógica del árbol construido.
Una vez realizadas las comparaciones se
puede decir que los efectos resultantes de la
simulación son muy similares a los
reportados por los organismos encargados
de investigar los sucesos, por lo tanto se
puede decir que los eventos y condiciones
seleccionadas para la simulación y para el
estudio son consistentes con el escenario
accidental y se puede continuar a la
Figura 5. Ubicación y extensión de la nube registrada por la BMIIB (izquierda). Ubicación y extensión de la nube en FLACS (derecha)
21
verificación de la lógica del árbol construido.
6.6 Verificación de la lógica del árbol
Para la verificación integral del se debe
realizar un análisis lógico de cada rama del
árbol, anteriormente se separó el árbol en
diferentes árboles para facilitar su
entendimiento, para la verificación se
utilizara esta misma diferenciación.
Basándose en la lógica conjuntiva si las
ramas de los sub árboles son lógicas por
consiguiente el árbol global lo será [37].
Siguiendo lo anterior se desarrolló una tabla
para cada árbol construido los cuales se
encuentran en Anexos. Una vez realizado el
análisis lógico de cada rama se encontró que
la lógica del árbol es consistente para cada
uno de sus eventos por lo tanto se continua
con el proceso de verificación de lógica.
6.6.1 Prueba para la relación de causas con
sistemas de gestión.
Para esta prueba se tomaran las causas raíz
determinadas en este estudio para el
escenario reconstruido y se definirán las
relaciones de estas con los sistemas de
gestión.
Para la primera causa raíz que se identificó,
fallas en el mantenimiento del elemento de
medición en el sistema de control de nivel
del tanque 912, se encuentra sujeta al
sistema de gestión conocido como Diseño
Operacional de Procesos, se encarga de la
gestión del mantenimiento, instalación y
reemplazo de los dispositivos o unidades que
presenten fallas o hayan cumplido su tiempo
operacional.
Por otro lado se encontró otra causa raíz
ubicada en la bomba contra incendios, la
ubicación de esta bomba y la estructura de la
casa de bombas donde se encontraba
ubicada. Esta causa raíz muestra vacíos en la
gestión de riesgos realizadas para el depósito
y adicionalmente con la distribución y
planeación de este mismo, ya que se pasó
por alto que podía ser una fuente potencial
de ignición y se ubicó cerca a los tanques de
almacenamiento los cuales representan un
potencial escenario accidental.
La tercera causa raíz identificada es la falla
en la instalación del elemento de control en
Figura 6. Perfil de sobre presión resultado de la simulación en FLACS (izquierda). Perfil construido por la BMIIB (derecha). [43]
22
el sistema de control de nivel del tanque 912.
Esta causa raíz también está conectada con
el Diseño Operacional de procesos ya que es
función de éste asegurar la correcta
instalación de los dispositivos que
constituyen los sistemas de control.
7. CONCLUSIONES
Con base en las verificaciones realizadas
anteriormente (al árbol lógico construido
como al escenario seleccionado) se
identificaron tres causas raíz que generaron
el accidente. En primera instancia está la
falla en el elemento de medición
perteneciente al sistema de control de nivel
del tanque 912, el cual se dio debido a fallas
en el mantenimiento de este dispositivo.
Como segunda causa raíz se determinó falla
del switch de nivel máximo en el sistema de
control de nivel del tanque 912, esto debido
a la mala instalación del switch en el tanque.
Como ultima causa raíz esta la bomba de
emergencia contra incendios como fuente de
ignición para la explosión que tuvo lugar el
depósito. Esto debido a la ubicación de la
bomba cerca a posibles escenarios
accidentales.
Una vez definidas las causas raíz se
determinan los sistemas de gestión que
fallaron para dar paso a dichas causas. Para
las dos primeras causas existen problemas en
el mismo sistema de gestión, el Diseño
operacional de procesos, el cual como se
explicó anteriormente define las etapas de
mantenimiento de los dispositivos y
unidades, además de proporcionar la
correcta instalación o reemplazo de
dispositivos según sea el caso. En cuanto a la
causa centrada en la ubicación de la bomba,
se presentaron fallas en los sistemas de
gestión conocidos como distribución de
planta, que en este caso aplica para el
depósito de tanques y la gestión de riesgos la
cual debe ir de la mano con la distribución.
En los reportes emitidos por la BMIIB no se
encuentran definidas las causas raíz que
encontraron los investigadores. Por lo tanto
se utilizaran las recomendaciones expuestas
por la junta para compararlas con las causas
raíces desarrolladas en este estudio.
La recomendación número 2 plasmada en
los reportes cita “Los operadores de sitios del
tipo de Buncefield deben tener como
prioridad, la revisión y reforma de los sus
Figura 7. Límite de propagación de llama resultado de la simulación en FLACS (izquierda). Límites de propagación de llama reportados por HSE (derecha). [36]
23
sistemas de gestión que sean necesarios para
el mantenimiento de los equipos y sistemas
para garantizar su integridad y
funcionamiento.” [33]. Como se puede ver q
en la recomendación se hace énfasis en que
se debe garantizar la efectividad de los
sistemas de gestión de manteamiento e
instalación por lo que una de las causas raíz
que identificaron están enfocadas en
sistemas que fallaron y se convirtieron en
causas del evento. Las recomendaciones 4 y
5 hacen más énfasis en que los sistemas de
gestión deben estar enfocados en el sistema
de prevención de sobrellenado por lo que se
entiende que encontraron una causa raíz en
las fallas del sistema de control de nivel del
tanque 912.
En cuanto a la causa raíz basada en la ubicación de la bomba contra incendios, se remite a la recomendación 11 la cual cita “…Los operadores de sitios tipo Buncefield deben revisar la clasificación de áreas con la regulación COMAH donde las atmosferas explosivas pueden ocurrir y la selección de equipo y sistemas de protección (como es requerido por las Regulaciones de substancias peligrosas y explosivas 2002)…” [33]. Esta recomendación muestra la presencia de la causa raíz localizada en la bomba contra incendios, ya que la razón por la cual recomiendan basarse en COMAH es para evitar la ubicación de posibles fuentes de ignición en donde puedan existir atmosferas explosivas y además hacer hincapié en que deben seguir sistemas de gestión de riesgo. Basándose en la comparación anterior se pueden ver las similitudes entre las causas raíz encontradas en este estudio y las reportadas por la BMIIB, por lo tanto es posible concluir que la metodología propuesta cumple con el objetivo de
reconstruir escenarios accidentales y definir las causas raíz de dicho escenario haciendo uso de herramientas computacionales desde el punto de vista fenomenológico.
24
Referencias
[1] Trevor Kletz, Lessons from Disaster –
How Organisations have No Memory
and Accidents. Rugby, UK: Institution of
Chemical Engineers, 1993.
[2] J.P. Gupta, "The Bhopal gas tragedy:
could it have happened in a developed
country?," Journal of Loss Prevention in
the Process Industries, vol. 15, no. 1, pp.
1-4, 2002.
[3] I. Eckerman, "Bhopal Gas Catastrophe
1984: Causes and Consequences,"
Encyclopedia of Environmental Health,
pp. 302-3016, 2011.
[4] Trevor Kletz, "Bhopal," in Learning from
Accidents. Oxford, UK: Gulf professional
publishing, 2001, pp. 110-120.
[5] Ian Sutton,. Oxford: ELSEVIER, 2014, pp.
51-97.
[6] Paul Jukesa, Ben Pobletea, Bob
Wittkowera Binder Singha, "20 Years on
lessons learned from Piper Alpha. The
evolution of concurrent and inherently
safe design," Journal of Loss Prevention
in the Process Industries, vol. 23, no. 6,
pp. 936-953, 2010.
[7] Trevor Kletz , "Piper Alpha," in Learning
from Accidents. Oxford, UK: Gulf
professional Publishing, 2001, pp. 205-
207.
[8] Robert S. Mueller III, "FBI law
enforcement Bulletin ," vol. 77, no. 6,
pp. 4-5, 2008.
[9] G Jackson ,K Priestley A D Livingston,
Root causes analysis:Literature review.
Norchwich, Londres : HSE Books, 2001.
[10] Health & Safety Executive, "Root causes
Analysis : Literature Review," in ROOT
CAUSES IDENTIFICATION - ‘TREE
TECHNIQUES’. Colegate, UK: HSE Books,
2001, pp. 20-22.
[11] T.S Ferry, Modern Accident Investigation
and Analysis, segunda ed. New York,
USA: Jhon Wiley & Sons, 1988.
[12] BP (formerly BP Amoco), Incident
investigation. Root Cause Analysis
Training. Comprehensive List of Causes.
Londres, UK, 1999.
[13] CCPS, Guidelines for Hazard evaluation
Procedures, Segunda ed. Nueva York,
USA: AIChE, 1992.
[14] Dew John R, In search of the Root Cause,
Quality Progress., 1991.
[15] R.J. Buys, Standarization Guide for
Construction and use of MORT-type
Analitical trees. Idaho: Idahp National
Engineering Laboratory, 1977.
[16] Jhonson W.G, MORT, Safety Assurance
Systems. Nueva York, USA: Marcel
Dekker, 1980.
[17] ME Armstrong, Human Factors in
Incident Investigation, in Proceedings.:
Human Factor Society, 1989.
[18] G B. Wilpert, R. Miller, B. Fahlbruch, M.
Fank, M. Freitag, HG. Giesa, Becker,
Analysis and Causes of Human Failures
25
In Nuclear Power Plants., 1994.
[19] CCPS, Guidelines for Investigatin
Chemical Process Incidents. Nueva York,
USA: American Institute of Chemical
Engineers, 2003, p. Cap 8.
[20] CCPS, Guidelines for Investigating
Chemical Process Incidents. Nueva York:
American Institute of Chemical
Engineers, 2003, p. 197 a 198.
[21] "GUIDELINES FOR Investigating Chemical
Process Incidents," in Center for
Chemical Process Safety. Nueva York :
American Institute of Chemical
Engineers, 2003, pp. 185-190 y 198.
[22] Center for Chemical Process Safety,.
New York: American Institute of
Chemical Engenieers, 2003, pp. 198-205.
[23] Daniel Crowl, "Models for dose and
response curves," in Chemical Process
Safety fundamentals with aplications.
Upper Saddle River, NJ: Pretince Hall,
2002.
[24] Center of Chemical Process Safety,
Guidelines for Investigation of Chemical
Process incidents. Nueva York : America
institute of Chemical Engineers, 2003,
pp. 198-200.
[25] CCPS, "Developing Effective
Recomendations," in Guidelines for
Investigating Chemical Proces Incidents.
Nueva York, NY: American Institute of
Chemical Engineers, 2003.
[26] Comittee for the prevention of disasters,
Methods for the calculation of physical
effects. Yelow book., 2005.
[27] Diana Villafañe Santander, Estudio de la
dispersión e incendio de nubes
inflamables de gas (GNL y GLP).
Barcelona, 2013.
[28] CCPS, Guidelines for Vapor Cloud
Explosion, Pressure Vessel Burst, BLEVE
and Flash Fire Hazards, segunda ed.:
Wiley, 2010.
[29] A.J Roos, Methods for the determination
of possible damage to people and
objects from releases of hazardous
materials-green book. Voorburg, 1992.
[30] TNO, "Models for Physicl Effects," in
Effects training material.: TNO, pp. 9-19.
[31] GexCon, "Scenario Menu," in FLACS
Manual.: GexCon Laboratory, 2013, pp.
78-148.
[32] Buncefield Major Incident Investigation
Board, "The Buncefield incident 11
December 2005 – a summary of the site
and events," in The Buncefield Incident
Volume 1., 2008, pp. 5-15.
[33] Buncefield Major Incident Investigation
Board, "The Buncefield Incident 11
December 2005 Volume 2," in The
Investigation so far- The incident., 2008,
pp. 4-14.
[34] Buncefield Major Incident Investigation
Board, The Buncefield Incident 11
December 2005 Volume 1.: The Office of
Public Sector Information, 2008.
[35] Buncefield Major Incident Investigation
Board, "The Buncefield incident 11
26
December 2005," in a summary of the
site and events - Effects of the explosions
and fire., 2008, p. 10.
[36] Health & Safety Executive, "Buncefield
Explosion Mechanism Phase 1," 2009.
[37] Carlos Barco Gomez, Elementos de
Lógica. Manizales : Universidad de
Caldas , 2004.
[38] Center for Chemical Process Safety,
GUIDELINES FOR Investigating Chemical
Process Incidents. Nueva York: American
Institute of Chemical Engineers, 2003, p.
197 a 198.
[39] Mark Kaszniak, Lisa Long Giby Joseph,
"Lessons after Bhopal: CSB a catalyst for
change," Journal of Loss Prevention in
the Process Industries, vol. 18, no. 4-6,
pp. 537-548, 2005.
[40] Paul Jukesa, Ben Pobletea, b, Bob
Wittkowera Binder Singha, "20 Years on
lessons learned from Piper Alpha. The
evolution of concurrent and inherently
safe design," Journal of Loss Prevention
in the Process Industries, vol. 23, no. 6,
pp. 936-953, 2010.
[41] Trevor Kletz, Learning from Accidents.
Oxford: Gulf Professional Publishing,
2001.
[42] CCPS, Guidelines for Chemical Process
Quantitaive Risk Analysis , Segunda ed.
Nueva York: AIChE, 2000.
[43] Peter Hinze, Olav Hansen, Kees Van
Wingerden Scott G. Davis, "2005
Buncefield vapor cloud explosion:
unraveling the mistery of the blast,"
Bethesda,.
27
ANEXOS
28
ÁR
BO
L A
Sob
re ll
enad
o d
el t
anq
ue
TK-9
12
Fuga
tip
o je
t
Form
ació
n d
e p
isci
na
en d
iqu
e
ORD
isp
ersi
ón
del
gas
Ign
ició
n d
e la
p
isci
na
OR
Nu
be
toxi
ca
OR
Gen
erac
ión
de
Flas
hfi
re
Gen
erac
ión
de
VC
ED
isp
ersi
ón
de
gas
no
co
ntr
ola
da
Dis
per
sió
n d
e ga
s co
ntr
ola
da
OR
OR
B
D
Figu
ra 8
. Árb
ol l
ógi
co A
. Á
rbo
l pa
ra e
ven
tos
de
so
bre
llen
ado
de
l tan
qu
e T
K-9
12
29
ÁR
BO
L A
Sob
re ll
enad
o d
el t
anq
ue
TK-9
12
ORO
bst
rucc
ión
en
las
línea
s d
e p
rod
ucc
ión
Falla
s en
el s
iste
ma
de
con
tro
l de
niv
el
Falla
s en
el
alin
eam
ien
toD
e vá
lvu
las
AND
Falla
en
el s
iste
ma
de
alar
mas
Falla
en
el s
iste
ma
de
con
tro
l
OR
Falla
s té
cnic
as e
n e
l si
stem
a d
e al
arm
as
Falla
po
r er
ror
hu
man
o e
n s
iste
ma
de
alar
mas
C
Figu
ra 9
. Árb
ol l
ógi
co A
. Á
rbo
l de
fal
las
par
a e
l so
bre
llen
ad
o d
el t
anq
ue
TK
-91
2
30
ÁR
BO
L B
Gen
erac
ión
de
VC
E
AN
D
Dis
per
sió
n d
e ga
s co
mb
ust
ible
Fuen
te d
e ig
nic
ión
OR
Mo
tore
s P
rese
nci
a d
e lla
ma
abie
rta
Ch
isp
a el
ecrt
ica
Pre
sen
cia
de
sup
erfi
cies
ca
lien
tes
Cab
les
eléc
tric
os
abie
rto
s p
rese
nte
s
Pre
sen
cia
de
oxi
gen
o
EF
LFL:
0.0
19
% U
FL: 0
.07
9%
LO
C: 1
1.7
%C
anti
dad
de
mat
eria
l co
mb
ust
ible
> 1
TO
N
A
Figu
ra 1
0. Á
rbo
l B.
Árb
ol l
ógi
co p
ara
el e
ven
to G
en
era
ció
n d
e V
CE
31
Árb
ol C
Falla
s en
el s
iste
ma
de
con
tro
l
OR
Falla
en
la
com
un
icac
ión
Falla
en
el
elem
ento
de
con
tro
l
Falla
s en
el
actu
ado
r
Falla
en
el
elem
ento
de
med
ició
n
OR
Falla
s en
el
man
ten
imie
nto
del
si
stem
a d
e co
mu
nic
ació
n
Falla
s en
la in
stal
ació
n
del
sis
tem
a d
e co
mu
nic
ació
n
OR
Falla
s en
el
man
ten
imie
nto
del
si
stem
a d
e m
edic
ión
Falla
s en
la
calib
raci
ón
del
el
emen
to d
e m
edic
ión
Falla
s en
la
inst
alac
ión
del
si
stem
a d
e m
edic
ión
Falla
s en
el
man
ten
imie
nto
del
el
emen
to d
e co
ntr
ol
Falla
s en
la
inst
alac
ión
del
el
emen
to d
e co
ntr
ol
OR
OR
Falla
s en
la
inst
alac
ión
del
ac
tuad
or
Falla
s en
el
man
ten
imie
nto
d
el a
ctu
ado
r
Figu
ra 1
1. Á
rbo
l C.
Árb
ol l
ógi
co p
ara
el e
ven
to F
alla
s e
n e
l sis
tem
a d
e c
on
tro
l
32
Árb
ol D
Ign
ició
n d
e la
p
isci
na
AN
D
Pre
sen
cia
de
mat
eria
l in
flam
able
Fuen
te d
e Ig
nic
ión
OR
Mo
tore
s P
rese
nci
a d
e lla
ma
abie
rta
Ch
isp
a el
ecti
ca
Pre
sen
cia
de
sup
erfi
cies
ca
lien
tes
Co
nce
ntr
ació
n
limit
e d
e o
xige
no
: 21
%
EF
A
Flas
h F
ire
gen
erad
o p
or
VC
E
Figu
ra 1
2. Á
rbo
l D. Á
rbo
l ló
gico
par
a e
l eve
nto
Ign
ició
n d
e la
pis
cin
a
33
ÁR
BO
L E
Fuen
te d
e Ig
nic
ión
M
oto
res
OR
Mo
tore
s d
e co
mb
ust
ión
Mo
tore
s el
éctr
ico
s
OR
Mo
tore
s d
e ve
híc
ulo
sM
oto
r d
e b
om
bas
OR
OR
Cam
ion
es c
iste
rna
Veh
ícu
los
par
ticu
lare
s
A la
ho
ra d
el
even
to, l
a en
trad
a y
salid
a d
el d
epo
sito
es
tab
a re
stri
ngi
da
Bo
mb
a si
stem
a co
ntr
a in
cen
dio
sB
om
bas
de
pro
ceso
OR
OR
Act
ivac
ión
del
si
stem
a d
e em
erge
nci
a
Ence
nd
ido
de
ruti
na
OR
Tuvo
luga
r u
na
emer
gen
cia
Falla
s en
el
sist
ema
de
emer
gen
cia
Erro
r H
um
ano
Car
ga/d
esca
rga
de
tan
qu
es d
e al
mac
enam
ien
to
Tran
spo
rte
de
pro
du
cto
En
cen
did
o d
e ru
tin
a
Exis
ten
re
gist
ros
de
la a
ctiv
ació
n
del
sis
tem
a
A la
ho
ra d
el
inci
den
te n
o
hab
ían
cam
bio
s d
e tu
rno
au
tori
zad
os
Al m
om
ento
del
in
cid
ente
se
enco
ntr
aba
en
fase
del
car
ga e
l ta
nq
ue
91
2
Figu
ra 1
3. Á
rbo
l E. Á
rbo
l ló
gico
par
a e
l eve
nto
fu
en
te d
e ig
nic
ión
Mo
tore
s
34
ÁR
BO
L F
Fuen
te d
e ig
nic
ión
chis
pa
eléc
tric
a
OR
Pu
esta
en
mar
cha
de
mo
tore
s o
b
om
bas
Ener
gía
está
tica
Sold
adu
ras
Ch
oq
ue
entr
e d
os
pie
zas
met
álic
as
OR
Pu
esta
en
mar
cha
de
la b
om
ba
con
tra
ince
nd
ios
Pu
esta
en
mar
cha
de
un
veh
ícu
lo
OR
Sist
ema
de
emer
gen
cia
acti
vad
o
Pu
esta
en
mar
cha
de
ruti
na
OR
Salid
a d
e em
ple
ado
sSa
lida
de
cam
ión
ci
ster
na
Exis
ten
re
gist
ros
de
la
acti
vaci
ón
del
si
stem
a d
e em
erge
nci
a
A la
ho
ra d
el
even
to, l
a en
trad
a y
salid
a d
el
dep
osi
to e
stab
a re
stri
ngi
da
A la
ho
ra d
el
inci
den
te n
o
hab
ían
cam
bio
s d
e tu
rno
au
tori
zad
os
OR
Tuvo
luga
r u
na
emer
gen
cia
Falla
s en
el s
iste
ma
de
emer
gen
cia
Figu
ra 1
4. Á
rbo
l F. Á
rbo
l ló
gico
par
a e
l eve
nto
Fu
en
te d
e ig
nic
ión
ch
isp
a e
léct
rica
35
Tabla 5. Verificación lógica de cada rama del árbol A
Árbol A
Rama Juicio Causa Raíz
Sobre llenado del tanque TK-912 - Fallas técnicas en el sistema de alarmas
Lógico NO
Sobre llenado del tanque TK-912 - Falla por error humano en sistema de alarmas
Lógico NO
Sobre llenado del tanque TK-912 - Falla en el sistema de control
Lógico NO
Sobre llenado del tanque TK-912 - Nube toxica Lógico NO
Sobre llenado del tanque TK-912 - Generación de Flashfire
Lógico NO
Sobre llenado del tanque TK-912 - Generación de VCE
Lógico NO
Sobre llenado del tanque TK-912 - Ignición de la piscina
Lógico NO
Tabla 6. Verificación lógica de cada rama del árbol B
Árbol B
Rama Juicio Causa Raíz
Generación de VCE - Motores Lógico NO
Generación de VCE - Chispa eléctrica Lógico NO
Generación de VCE - Presencia de superficies calientes
Lógico NO
Generación de VCE - Presencia de llama abierta Lógico NO
Generación de VCE - Cables eléctricos abiertos presentes
Lógico NO
Generación de VCE - Dispersión de gas combustible
Lógico NO
36
Tabla 7.Verificación lógica de cada rama del árbol C
Árbol C
Rama Juicio Causa Raíz
Fallas en el sistema de control - Fallas en el mantenimiento del sistema de comunicación
Lógico NO
Fallas en el sistema de control - Fallas en la instalación del sistema de comunicación
Lógico NO
Fallas en el sistema de control - Fallas en el mantenimiento del sistema de medición
Lógico SI
Fallas en el sistema de control - Fallas en la calibración del elemento de medición
Lógico NO
Fallas en el sistema de control - Fallas en la instalación del sistema de medición
Lógico NO
Fallas en el sistema de control - Fallas en el mantenimiento del elemento de control
Lógico NO
Fallas en el sistema de control - Fallas en la instalación del elemento de control
Lógico SI
Fallas en el sistema de control - Fallas en la instalación del actuador
Lógico NO
Fallas en el sistema de control - Fallas en el mantenimiento del actuador
Lógico NO
37
Tabla 8. Verificación lógica de cada rama del árbol D
Árbol D
Rama Juicio Causa Raíz
Ignición de la piscina - Presencia de material inflamable
Lógico NO
Ignición de la piscina - Presencia de superficies calientes
Lógico NO
Ignición de la piscina - Motores Lógico NO
Ignición de la piscina - Flash Fire generado por VCE
Lógico NO
Ignición de la piscina - Chispa electica Lógico NO
Tabla 9. Verificación lógica de cada rama del árbol E
Árbol E
Rama Juicio Causa Raíz
Fuente de Ignición Motores - Vehículos particulares Lógico NO
Fuente de Ignición Motores - Camiones cisterna Lógico NO
Fuente de Ignición Motores - Tuvo lugar una emergencia
Lógico NO
Fuente de Ignición Motores - Fallas en el sistema de emergencia
Lógico NO
Fuente de Ignición Motores - Error Humano Lógico NO
Fuente de Ignición Motores - Carga/descarga a tanques de almacenamiento
Lógico NO
Fuente de Ignición Motores - Transporte de producto
Lógico NO
Fuente de Ignición Motores - Encendido de rutina Lógico NO
38
Tabla 10.Verificación lógica de cada rama del árbol F
Árbol F
Rama Juicio Causa Raíz
Fuente de ignición chispa eléctrica - Tuvo lugar una emergencia
Lógico SI
Fuente de ignición chispa eléctrica - Fallas en el sistema de emergencia
Lógico NO
Fuente de ignición chispa eléctrica - Salida de empleados
Lógico NO
Fuente de ignición chispa eléctrica - Salida de camión cisterna
Lógico NO
Fuente de ignición chispa eléctrica - Choque entre dos piezas metálicas
Lógico NO
Fuente de ignición chispa eléctrica - Energía estática
Lógico NO
Fuente de ignición chispa eléctrica - Soldaduras Lógico NO