Aplicación de la metodología LOPA a la Seguridad funcional de las máquinas

Juncosa, Joan Marc

Instituto Suizo de Seguridad / Calle Lope de Vega, 30, Entlo / 08005 Barcelona, España+34 93 303 66 12 / joan-marc.juncosa@swissiesp.com

Dr. Pey, Alexis

Instituto Suizo de Seguridad / Calle Lope de Vega, 30, Entlo / 08005 Barcelona, España+34 93 303 66 12 / alexis.pey@swissiesp.com

Dr. Dunjó, Jordi

Instituto Suizo de Seguridad / Calle Lope de Vega, 30, Entlo / 08005 Barcelona, España+34 93 303 66 12 / jordi.dunjo@swissiesp.com

ABSTRACT

Dentro de la normativa Europea 2006/42/CE, una máquina debe cumplir las siguientes especificaciones y requisitos: (1) Evaluación del riesgo; (2) Medidas preventivas sobre la propia máquina; y (3) Medidas preventivas adoptadas por el usuario.

El presente estudio se focaliza en integrar los principios de Seguridad Funcional (IEC 61511) para la evaluación del riesgo y la definición de las medidas preventivas sobre la máquina mediante la aplicación de la metodología LOPA (Layer Of Protection Analysis). A través de un caso práctico, el presente estudio demuestra la integración de la metodología LOPA para la definición de las capas de protección adicionales que son requeridas para que la máquina bajo estudio alcance un nivel de riesgo aceptable. El valor añadido de dicha integración es que los datos necesarios para la aplicación de la metodología LOPA proceden de estudios tales como el HAZard & OPerability (HAZOP), Failure Modes & Effects Analysis (FMEA), los cuales son ampliamente utilizados y reconocidos para la fase de identificación de peligros de todo sistema.

Palabras clave

Seguridad de máquinas, LOPA, Seguridad Funcional, Evaluación del Riesgo, Capas de protección.

INTRODUCCIÓN

El presente estudio integra los conceptos de seguridad funcional establecidos en la IEC 61511 [1] aplicados a la industria de procesos en el marco de la seguridad de máquinas. Dicha integración se focaliza en las fases de evaluación del riesgo y definición de las medidas preventivas sobre la propia máquina mediante la aplicación de una de las metodologías propuestas en los estándares referentes a la industria de proceso. Dicha metodología es conocida bajo el nombre de Layer Of Protection Analysis (LOPA) [1,12]. Sus datos de partida proceden de estudios de identificación de peligros, conocidos como Process Hazard Analysis (PHA) [6, 7, 8, 9, 10] tales como el estudio HAZard & OPerability (HAZOP) [6], el estudio Failure Modes & Effects Analysis (FMEA) [9], los cuales son metodologías estructuradas capaces de analizar, los posibles escenarios accidentales que se derivan de todo sistema bajo análisis (ya sea un proceso o una máquina). De esta forma, mediante la información generada durante la ejecución de un estudio PHA se identifica el riesgo, y posteriormente, mediante la aplicación del LOPA, el riesgo es evaluado y se proponen medidas de mejora con la finalidad de obtener un nivel de riesgo tolerable.

Con la finalidad de demostrar la válida integración de los conceptos establecidos en la seguridad de la industria de procesos y la de las máquinas, se ha realizado una comparación entre los contenidos de la norma EN ISO 13849 [2] y la IEC 61511 [1]. En este sentido, la norma EN ISO 13849 [2] define los principios generales para el diseño de sistemas de mando relativos a la seguridad de las máquinas teniendo en cuenta su seguridad inherente, así como durante su manipulación. Su intención es establecer los requisitos de diseño y lógica que deben tener los sistemas de mando relativos a la seguridad de una máquina [5]. En cambio, la IEC 61511 [2] establece los requisitos mínimos a tener en cuenta para los Sistemas Instrumentados de Seguridad (SIS) y su nivel de fiabilidad, Safety Integrity Level (SIL), aplicados a la industria de proceso. Mediante una metodología estructurada tal como el LOPA, se define el nivel de integridad de aquellos elementos de seguridad presentes en el proceso bajo estudio.

Con la finalidad de comparar los conceptos establecidos entre las dos normas citadas [1,2], y teniendo en cuenta la disciplina de la “seguridad de máquinas” y la de “seguridad de procesos”, el presente estudio tiene como objetivo principal es la integración del LOPA en el marco de la seguridad de máquinas.

INTRODUCCION AL ANALISIS DEL RIESGO Y LA FIABILIDAD FUNCIONAL

El objetivo de este apartado es describir brevemente los conceptos básicos que se describen en las normas EN ISO 13849 [2] y EN ISO 14121 [3], destinada al campo de la seguridad de máquinas y la IEC 61511 [1], enfocada al campo de la industria de procesos.

Industria de proceso

Las etapas de identificación de peligros y la evaluación del riesgo de un proceso permiten establecer los escenarios accidentales que se pueden generar debido a distintas causas creíbles, así como determinar su nivel de riesgo actual. Existen varias metodologías que se aplican para la identificación y análisis del riesgo, como por ejemplo: Check-list, análisis What-if; HAZOP, FMEA.

El estudio HAZOP es uno de los métodos más utilizados en la industria de procesos, siendo una metodología muy estructurada la cual asegura que el análisis de todo el equipamiento bajo análisis. Dicha metodología facilita la identificación del conjunto de sucesos iniciadores (causas), sus posibles efectos (consecuencias) y las capas de protección presentes en el proceso (salvaguardas). Una vez identificados los escenarios accidentales, se realiza la evaluación de su riesgo, y en caso necesario, se proponen salvaguardas adicionales para aquellos escenarios que presentan un nivel de riesgo superior al que se considera Tolerable. Una vez completado el estudio HAZOP, se seleccionan aquellos escenarios accidentales con un nivel de riesgo superior al establecido como tolerable con la finalidad de estudiar con más detalle la implantación de aquellas salvaguardas que provocarán la reducción del nivel de riesgo requerido. En la IEC 61511 [1] se definen varios métodos para evaluar los escenarios accidentales identificados durante la etapa de identificación de peligros. Los métodos más utilizados son: (1) semi-cuantitativo;(2) matriz de capas de seguridad; (3) semi-cuantitativo: gráfico de riesgos calibrados; (4) semi-cualitativo: gráfico de riesgo; (5) análisis de las capas de protección (LOPA).

La metodología LOPA se focaliza en aquellos escenarios accidentales definidos durante la etapa de identificación de peligros que presentan un nivel de riesgo significativo. Una vez escogidos dichos escenarios, el LOPA ordena de forma estructurada los sucesos iniciadores (las causas) que generan el escenario accidental, así como la totalidad de las salvaguardas existentes en el proceso. A partir de este punto, el LOPA realiza un análisis frecuencial cuantitativo de dichas variables: estima la frecuencia de las causas, así como la probabilidad de fallo de las distintas salvaguardas presentes en el proceso analizado. En el caso de obtener un nivel de riesgo superior al tolerable, y teniendo en cuenta la diferencia entre el nivel de riesgo actual y el considerado como tolerable se define no sólo la tipología de la capa de protección necesaria a instalar, sino también su nivel de fiabilidad que asegure la reducción del nivel de riesgo querida. Se consideran capas de protección: (1) las incorporadas en el propio diseño del proceso, (2) el sistema básico de control del proceso, (3) las alarmas, (4) las medidas adicionales de mitigación, como por ejemplo las mecánicas, estructurales, procedimientos; (5) capas de protección independientes, conocidas como IPLs (Independent Protection Layers), cuya fiabilidad se puede estimar a partir de su probabilidad de fallo en demanda (PFDavg, Probability of Failure on Demand).

Una tipología de IPL se conoce bajo el nombre de Sistema Instrumentado de Seguridad (SIS), el cual se define como una combinación de sensores, lógicas y elementos finales. Dicho sistema, en caso de desviación del proceso, implementará una o varias Funciones Instrumentadas de Seguridad (SIFs) cuyo objetivo es devolver el proceso a un estado seguro. La fiabilidad del SIS se mide mediante el nivel SIL (Safety Integrity Level), variable que es función de la PFDavg, o del nivel de reducción del riesgo requerido. Cabe destacar que un SIS puede operar de dos modos distintos: (1) modo de operación en continuo, el cual tiene como objetivo asegurar la seguridad funcional de un modo permanente (este modo de operación raramente se encuentra en la industria de procesos); (2) modo de operación bajo demanda, en que el SIS sólo actúa en caso de fallo del proceso.

Las siguientes dos tablas muestran la relación del RRF en función de la fiabilidad de la seguridad (SIL y PFD), ya sea para un SIS que opere bajo demanda o en continuo.

Tabla 1. Modo de operación bajo demanda [1]

Tabla 2. Modo de operación en continuo [1]

Seguridad de máquinas

En el campo de la seguridad de máquinas se evalúa los riesgos de una máquina identificando previamente los peligros inherentes a la propia máquina, así como los peligros derivados de su manipulación. En el proceso de identificación del riesgo en el campo de la seguridad de máquinas se utiliza principalmente la lista de chequeo o “Check-List”. El contenido de los puntos a tener en cuenta se extraen a partir de las disposiciones mínimas definidas en la Directiva Europea 2006/42/CE (Anexo I) [3]. Asimismo, el Check-List se ha concebido de forma que la respuesta a todas las preguntas deba ser afirmativa, excepto en los casos en que no sea de aplicación debido a las características del equipo o a las “No conformidades” detectadas en la identificación de los riesgos. Las “No conformidades” detectadas en la identificación del riesgo proporcionan directamente la definición de los escenarios accidentales.

En la norma EN ISO 14121 [4] se describen varios métodos para evaluar el riesgo de una máquina: (1) matriz de riesgo; (2) gráfico de riesgo; (3) puntuación numérica; (4) estimación del riesgo cuantificado; (5) método híbrido. Este último es el que se considera más completo y de uso más frecuente, metodología que mezcla los métodos (1) y (3). Se escoge dicho método porque permite visualizar al mismo tiempo: (1) el tipo peligro identificado; (2) la cuantificación de dicho peligro;(3) la prioridad con que se debe actuar frente al peligro identificado; (4) las medidas correctoras para mitigar el riesgo. Para cada peligro identificado, se debe determinar los siguientes parámetros: la severidad (Se), definida como el daño posible como consecuencia de un peligro (tabla 1); la frecuencia (Fr), intervalo medio de la frecuencia de exposición y la duración de dicha exposición (tabla 2); la probabilidad (Pr) de que ocurra un suceso peligroso (tabla 3); la posibilidad de evitar (Av) un daño o limitarlo (tabla 4). Finalmente, mediante estas variables es posible calcular el parámetro (Cl), como la suma de los parámetros Fr, Pr y Av.

Tabla 3. Valores correspondientes con la severidad

Tabla 4. Valores de probabilidad de que pase un suceso peligros

Tabla 5. Valores de frecuencia de exposición a un peligro

Tabla 6. Valores correspondientes con la posibilidad de evitar un daño

Mediante la matriz de riesgo y considerando como inputs las variables (Se) y (Cl), se determina la prioridad con que se debe actuar frente al riesgo detectado (ver tabla 7).

Tabla 7.Matriz de riesgo extraída de la norma EN ISO 14121-21

Las medidas de protección pueden basarse en la instalación de dispositivos de protección, unidades de mando y elementos de mando de los accionadores. Enla norma EN ISO 13849 [2] se especifica cómo determinar el grado de fiabilidad deldispositivo de protección, el cual es función del parámetro conocido como Performance Level (PL). El cálculo del PL de un sistema integrado de seguridad serealiza mediante la consideración de las siguientes variables: (1) Performance Level required (PLr); (2) Cobertura de Diagnóstico (DC); (3) Tiempo Medio hasta un Fallo peligroso (MTTF); y (4) Categoría y arquitectura del dispositivo. La determinación

1 El área negra, se requieren medidas de protección para reducir el riesgo.

El área gris, las medidas de protección son recomendables para reducir aún más el riesgo. El área blanca, significa que las medidas actuales ya son válidas.

de los parámetros (2), (3) y (4) permite seleccionar el diseño adecuado del componente de seguridad en función de los riesgos identificados y evaluados2.

Partiendo de un suceso peligroso y mediante un árbol de sucesos, se obtiene un PLr en función de: (1) severidad, definida como la gravedad de la lesión (reversible o irreversible); (2) frecuencia y/o duración a la exposición del riesgo;(3) posibilidad de evitar el peligro. En este sentido, el PLr permite determinar elvalor mínimo de PL, ya que se debe garantizar que el PL ≥ PLr.

Gráfico A.1 de la norma EN ISO 13849 Anexo A

COMPARACIÓN ENTRE LOS CONCEPTOS APLICADOS A LA SEGURIDAD DE MÁQUINAS Y LA INDUSTRIA DE PROCESOS

La finalidad de este apartado es por un lado ver la relación existente entre el grado de fiabilidad que se utiliza en los dispositivos instalados en las máquinas o conjuntos de máquinas y el grado de fiabilidad de los SIL de un SIS aplicados a la seguridad de procesos.

Relación entre la seguridad funcional en máquinas e industria de proceso

En la norma EN ISO 13849, se muestra una tabla donde se relaciona la seguridad funcional que se aplica en la industria de procesos (SIL) y la seguridad funcional aplicada al campo de las máquinas. Por lo tanto, se establece una directa relación entre el PL de una máquina y el valor de SIL de un SIS establecido en la industria de procesos. Esta relación muestra los niveles de PL y SIL donde se establece la equivalencia entre ambos teniendo como vínculo común el parámetro PFH.

El PL presenta 5 niveles de fiabilidad: desde el de mayor probabilidad de fallo (a); hasta el de nivel más fiable (e). Dicha categorización se establece mediante un rango de valores de probabilidad de fallo peligroso por hora (ver Tabla 2). Cabe destacar, que dicha relación siempre es en el caso de que la probabilidad media de fallo por hora (PFH) sea en continuo.

Tabla 8. Combinación de las tablas 3 y 4 de la EN ISO 13849 [2]

2 No entra el ámbito de este artículo la consideración del diseño de los mandos relativos a la seguridad.

Similitud entre la seguridad de máquinas y la industria de proceso

A modo de resumen, se presenta a continuación una tabla con las variables clave a considerar en la industria de proceso y la seguridad de una máquina, evidenciando de esta manera la similitud entre ambas disciplinas.

Tabla 9. Comparación de conceptos clave en seguridad de máquinas e industria de procesos

Descripción práctica de la aplicación del LOPA a la seguridad de máquinas

En la norma IEC 61511 se explica la metodología LOPA mediante un ejemplo práctico de la industria de proceso. En este apartado del artículo, se pretende describir los pasos a tener en cuenta para la ejecución del método LOPA y su correspondiente aplicación en el campo de la seguridad de máquinas, teniendo en cuenta las consideraciones propuestas que se usan en la industria de proceso.

El desarrollo de un estudio LOPA requiere de la definición del nivel de riesgo TOLERABLE para cada “No conformidad” grave detectada en una máquina o conjunto de máquinas. Este nivel de riesgo debe ser consensuado por un equipo experimentado a nivel corporativo, dado por la legislación vigente, normas internas de una empresa, etc. En un estudio LOPA se deben tener en cuenta los siguientes conceptos y parámetros:

Descripción del suceso iniciador.

En seguridad de máquinas, esta información viene definida a través de la identificación del peligro. En caso de ser un suceso peligroso, se denomina “No conformidad”.

Nivel de severidad.

Se describen tres niveles de severidad siendo aplicados a la seguridad de las máquinas como:

• Menor (M)à Daño reversible  que puede ser remediado con una primera cura.
• Serio  (S)  àDaño  normalmente  irreversible,  difícil  de  ejecutar  el mismo trabajo después de la cura.
• Mayor (E)àDaño irreversible. No puede continuar con el trabajo

después de la atención médica.

Causa iniciadora.

Descripción de la posible causa o combinación de causas que pueden dar lugar al suceso peligroso.

Frecuencia con la que puede ocurrir un suceso (Fr).

La norma IEC 61511 [1], propone tres niveles de frecuencia. Se considera que se pueden utilizar los mismos niveles aplicados al campo de la seguridad de máquinas:

• Bajaà Un fallo o una serie de fallos con una muy baja probabilidad de que ocurra dentro del ciclo de vida de la máquina. Con un valor de frecuencia menor a 104/año. Ejemplos: puesta en marcha de forma intempestiva, tres o más componentes de seguridad que fallen al mismo tiempo.
• Mediaà Un fallo o una serie de fallos con una baja probabilidad de que ocurra dentro del ciclo de vida de la máquina. Con un valor de frecuencia de 104/año < f < 102/año. Ejemplos: combinación de error humano y fallo instrumental.
• Altaà Un fallo que de forma razonable se puede dar durante el ciclo de vida de la máquina. Con un valor de frecuencia mayor a 102/año. Ejemplos: riesgo por quemaduras, golpes con aristas o superficies rugosas.

Capas de protección.

Cada capa consiste en incorporar una medida de protección que haga disminuir el riesgo hasta un valor de riesgo tolerable. Cada capa de protección debe ser independiente (Independent Protection Layer, IPL). En la tabla F.3 de norma IEC 61511 [1], se describen varios tipos de capas de protección con su valor correspondiente de PFD medio en demanda. Varios valores descritos se pueden tomar como válidos en el campo de la seguridad de máquinas: La siguiente tabla, muestra un rango de valores de PFD en función de la capa de protección considerada para disminuir el riesgo de un suceso peligroso:

Tabla 10. Categorización de las PFD en seguridad de máquinas

Medidas de mitigación adicional.

Ejemplos de este tipo de mitigaciones adicionales pueden ser las que se muestran a continuación: procedimientos de trabajo seguro, denegar el acceso a una zona restringida (sólo para personal autorizado), procedimientos de evacuación.

Valor intermedio de frecuencia (Fri).

Se calcula multiplicando la frecuencia base del suceso iniciador por el valor del PFD de cada una de las capas de protección que dispone la máquina. Si el valor del riesgo es menor al consensuado como TOLERABLE, se establece que el escenario accidental evaluado es Aceptable. En caso contrario, se deberán establecer salvaguardas adicionales, las cuales pueden ser sistemas instrumentados de seguridad (SIS).

Nivel de integridad SIF.

Se escoge el nivel de SIL que se quiere alcanzar para llegar a un valor de riesgo aceptable para cada una de las SIF que definen el SIS propuesto.

Frecuencia de suceso mitigada (Frm).

Se calcula como el producto del valor intermedio de frecuencia por el nivel de integridad SIF.

Riesgo total (RT).

Se calcula como la suma de todas las frecuencias de suceso mitigadas (Frm) para ese peligro identificado multiplicado por la probabilidad de que ese suceso sea dañino.

CASO PRÁCTICO

Seguridad de máquinas.

En este apartado se describe un caso aplicando por un lado el método LOPA y por otro el método híbrido descrito en la norma EN ISO 14121 [4] para evaluar el riesgo detectado en una máquina destinada al triturado y pulverizado de un sólido orgánico mediante unas cuchillas metálicas.

El producto sólido a tamizar cae por gravedad a través de una tolva (1 metro de largo y con una abertura de 20 centímetros) hasta la parte donde se tritura el material y este se recoge por la parte inferior mediante un bidón. En un principio, se podría considerar que tanto la tolva como el bidón pudieran actuar como protección fija. Se observó que en caso de retirar ambos elementos, estos no estaban enclavados al motor que hace girar las cuchillas, por lo que el equipo podía funcionar con estos elementos retirados.

Método LOPA

La siguiente tabla muestra el análisis LOPA sobre el suceso descrito en el apartado 4.1 del presente artículo. Se considera un valor de riesgo aceptable menor o igual a 10-5∙año-1:

Sumando todas las Frm para este suceso peligroso y multiplicando este valor por la probabilidad de que si ocurre sea dañino.

RT=1.2∙10-6 x 1=1.2x10-6

El riesgo total es menor al riesgo aceptable previamente considerado, por lo que el estudio LOPA finaliza en cuanto a la cuantificación del riesgo para este suceso se refiere.

Se consideraron dos capas de protección necesarias. La formación del operador es una medida básica para evitar un accidente, aunque no definitiva. Un buen diseño de la tolva puede evitar la introducción de la extremidad superior. Al introducir un componente de seguridad, se consideró que debía ser nivel de SIL 2, dado que en caso de retirada del resguardo, la situación puede ser crítica si la fiabilidad del componente no fuese la adecuada.

Una modificación del diseño inicial de la máquina y sus accesorios disminuye el riesgo dado que es una protección física que separa la parte móvil del equipo del trabajador.

Método híbrido

En función del tipo de peligro detectado y conociendo los valores de los parámetros Fr, Se, Pr y Av, se puede evaluar el riesgo del equipo.

Tabla 11. Tabla de resultados después de aplicar el método híbrido.

Con la puntuación de los parámetros de Se, Fr, Pr y Av, dio lugar que ambos peligros identificados se debían actuar para prevenir el riesgo de las no conformidades detectadas con una prioridad alta.

El grado de fiabilidad obtenido mediante el método híbrido es menor que el nivel de fiabilidad escogido para el método LOPA. Este hecho no debe considerarse relevante dado que para obtener el nivel final de fiabilidad PL, hay que tenerse en cuenta otros parámetros como la categoría y el MTTF, descritos durante este artículo.

Utilizando ambos métodos, se llegan a las mismas medidas correctoras a implantar:

(1) Introducir en la tolva dos barras de tal forma que el brazo no pudiera alcanzar las cuchillas, modificando su diseño inicial.

(2) Soldar una protección fija en forma de rejilla en la parte inferior del equipocon una luz inferior a 2 centímetros.(3) Introducir un dispositivo de seguridad funcional con enclavamiento y bloqueo entre la boca donde están situadas las cuchillas y la tolva.(4) Formar e informar al trabajador de manipular el equipo de forma segura.

Descripción del caso: enfoque según la industria de procesos

Desde el punto de vista de la seguridad de procesos, en el proceso de tamizar el producto sólido, se observó que el hecho de que sea un polvo de tipo orgánico y que el polvo generado tenga un tamaño de partícula suficientemente pequeño, se consideró un posible riesgo de explosión. Por lo tanto, en el interior del equipo, se podía dar una ATmósfera EXplosiva (ATEX) [12]. En el proceso de identificación de las fuentes de ignición que podían ser efectivas para dar un riesgo de explosión, se detectó un riesgo provocado por chispas mecánicas. El hecho de que existan chispas mecánicas es debido a que dentro del producto sólido a tamizar, puede haber trazas de material metálico ya sea proveniente del propio producto, como del desgaste del equipo. Este material al estar en contacto con las cuchillas metálicas del equipo, que se mueves a una velocidad superior a 1 metro/segundo (según norma EN UNE 1127-1 [13]), se podía generar este tipo de fuente de ignición. El equipo no está fabricado para prevenir riesgos ATEX, pero en caso de que lo fuera, el hecho de la presencia de partes metálicas, seria inherente al propio equipo, ya que la fuente vendría del proceso previo al tamizado. Como medida de protección, se recomendó:

(1) Utilizar un detector de metales que analizara el producto sólido antes de ser tamizado. De este modo, se puede descartar el riesgo por chispas mecánicas.

CONCLUSIONES

Se ha verificado que es viable aplicar la metodología LOPA en el campo de la seguridad de máquinas ya que es una metodología que esencialmente tiene el mismo enfoque que los métodos descritos en la norma EN ISO 14121 para evaluar el riesgo de una máquina, cuantificar y proponer medidas correctoras para disminuir el riesgo hasta un nivel tolerable.

Se ha observado que la mayor dificultad en la aplicación del método LOPA en el campo de la seguridad de máquinas, es la de determinar qué nivel de reducción de riesgo es el adecuado en función del tipo de capa de protección que se propone. La dificultad para escoger un valor de probabilidad en caso de daño en función del peligro identificado y el modo de decidir qué valor se puede considerar como riesgo tolerable o no es complejo de determinar. Por lo tanto, la experiencia del equipo evaluador del riesgo es clave para determinar estos valores y poder alcanzar el nivel de riesgo tolerable.

Las acciones correctoras para reducir el riesgo a un nivel tolerable, ya sea aplicado a la seguridad de las máquinas como a seguridad de procesos, no cubren algunos aspectos relevantes en ambos campos como las operaciones demantenimiento o ajustes de los equipos como en las condiciones distintas a las de operación normal. Realizando este tipo de operaciones, la aplicación de estos métodos en muchos casos su efectividad queda mitigada ya que las capas deprotección propuestas dejan de ser efectivas, siendo las medidas organizacionales propias de la empresa el modo de operación de trabajo más seguro frente a los nuevos riesgos generados con las nuevas condiciones de operación.

REFERENCIAS

[1] IEC 61511: “Functional safety – Safety instrumented systems for the process industry sector”. International Electrotechnical Comission, 2003.

[2] Norma UNE-EN ISO 13849: “Partes de los sistemas de mando relativas a laseguridad”. AENOR, Madrid, España, 2009.

[3] Directiva Europea 2006/42/CE, de 17 de mayo de 2006, relativa a las máquinas y por la que se modifica la Directiva 95/16/CE.

[4] Norma EN ISO 14121: “Evaluación del riesgo”. AENOR, Madrid, España, 2008.

[5] Influencia y vinculación de la seguridad funcional en la realización de un análisis del riesgo. Instituto Suizo de Seguridad, Barcelona, España, 2010.

[6] BS IEC 61882, 2001 Hazard and operability studies (HAZOP studies) – Application guide. International Electrotechnical Commission.

[7] CCPS, 1992, Guidelines for hazard evaluation procedures, second edition withworked examples. Centre for Chemical Process Safety, American for Chemical Engineers, 3 Park Avenue, New York.

[8] Dunjó, J., Fthenakis, V., Vílchez, J.A., Arnaldos., 2010, Hazard and operability (HAZOP) analysis. A literature review. Journal of Hazardous Materials, 173 (1- 3), pp. 19-32.

[9] Gould, J., Glossop, M., Ioannides, A., 2005, Review of hazard identificationtechniques, Health & Safety Laboratory Report, Uk. Link:

http://www.hse.gov.uk/research/hsl_pdf/2005/hsl0558.pdf

[10] Crawely, F., Brian, T., 2003, Hazard identification methods, European Process Safetz Centre (EPSC), IChemE, Rugby, Uk.

[11] CCPS, 2001, Layer of protection analysis: simplified process risk assessment, Center for Chemical Process Safety, American Institute of Chemical Engineers, Second Edition, 3 Park Avenue, NY 10016-5991.

[12] Directiva Europea 1999/92/CE, de 16 de diciembre de 1999, relativa a lasdisposiciones mínimas para la mejora de la protección de la salud y la seguridad de los trabajadores expuestos a los riesgos derivados de atmósferas explosivas

[13] Norma UNE-EN 1127-1:1998. Atmósferas explosivas. Prevención y protección contra la explosión. Parte 1: Conceptos básicos y metodología

ACRÓNIMOS