Para diseñar con seguridad, los peligros deben eliminarse o reducirse.

La
identificación de peligros es una función crítica de la seguridad del
sistema, por lo que es fundamental comprender y apreciar correctamente
la teoría de los peligros. Este capítulo se centra en lo que constituye un
peligro para que los peligros puedan ser reconocidos y comprendidos
durante los procesos de identificación, evaluación y mitigación de
peligros.

El análisis de peligros constituye el fundamento básico de la seguridad de

los sistemas. El análisis de peligros se realiza para identificar los peligros,
los efectos de los peligros y los factores causales de los peligros. El
análisis de peligros se utiliza para determinar el riesgo del sistema,
determinar la importancia de los peligros y establecer medidas de diseño
que eliminen o mitiguen los peligros identificados. El análisis de peligros
se utiliza para examinar sistemáticamente los sistemas, subsistemas,
instalaciones, componentes, software, personal y sus interrelaciones,
teniendo en cuenta la logística, la formación, el mantenimiento, las
pruebas, las modificaciones y los entornos operativos. Para llevar a cabo
análisis de riesgos de forma eficaz, es necesario comprender qué
comprende un riesgo, cómo reconocer un riesgo y cómo definir un riesgo.
Para desarrollar las habilidades necesarias para identificar peligros y
factores causales de peligro, es necesario comprender la naturaleza de los
peligros, su relación con los percances y su efecto en el diseño del
sistema.

En este capítulo se presentan muchos conceptos importantes relacionados

con los peligros, que servirán de base para el análisis de peligros y la
evaluación de riesgos. En resumen y en sustancia, los seres humanos
crean inherentemente el potencial de percances. Los percances
potenciales existen como peligros, y los peligros existen en los diseños de
los sistemas. De hecho, los peligros están integrados en los sistemas que
diseñamos, construimos y utilizamos. Para realizar un análisis de
peligros, el analista debe comprender primero la naturaleza de los
peligros. Los peligros son predecibles, y lo que puede predecirse también
puede eliminarse o controlarse.

DEFINICIONES RELATIVAS A LOS PELIGROS

El proceso general de seguridad del sistema es el de gestión de riesgos de
accidente, en el que la seguridad se consigue mediante la identificación
de peligros, la evaluación del riesgo de accidente y el control de los
peligros que presentan un riesgo inaceptable. Se trata de un proceso de
bucle cerrado, en el que los peligros se identifican, mitigan y controlan
hasta que se implementan y verifican acciones de cierre aceptables. La
seguridad del sistema debe realizarse conjuntamente con el desarrollo
real del sistema para que el diseño pueda verse influido por la seguridad
durante el proceso de desarrollo del diseño, en lugar de intentar imponer
cambios de diseño más costosos una vez desarrollado el sistema.

En teoría esto parece sencillo, pero en la práctica un obstáculo común es

el concepto básico de lo que constituye un peligro, un factor causal de
peligro (HCF) y un percance. Es importante entender claramente la
relación entre un peligro y un HCF a la hora de identificar, describir y
evaluar los peligros. Para comprender mejor la teoría de los peligros,
empecemos por examinar algunas definiciones comunes relacionadas con
la seguridad.

Accidente

Suceso indeseable e inesperado; percance; casualidad o acontecimiento

desafortunado (diccionario).

Cualquier acto o suceso imprevisto que provoque daños a la propiedad,

el material, el equipo o la carga, o lesiones o muerte del personal, cuando
no sea el resultado de una acción enemiga (Navy OP4 & OP5).

Percance

Accidente desafortunado (diccionario).

Suceso o serie de sucesos imprevistos que causan la muerte, lesiones,

enfermedades profesionales, daños o pérdidas de equipo o bienes, o
daños al medio ambiente (MIL-STD-882D).

Suceso o serie de sucesos imprevistos que causan la muerte, lesiones,

enfermedades profesionales, daños o pérdidas de equipos o bienes, o
daños al medio ambiente. Accidente. (MIL-STD-882C). [Obsérvese la
última palabra "accidente" en la definición].

Peligro
Arriesgar; poner en peligro de pérdida o lesión (diccionario).

Cualquier condición real o potencial que puede causar lesiones,

enfermedad o muerte al personal; daño o pérdida de un sistema, equipo o
propiedad; o daño al medio ambiente (MIL-STD-882D).

Una condición que es un prerrequisito para un accidente (Army AR 385-

16).

Riesgo

Peligro; peril; jeopardy (diccionario).

Expresión del impacto y la posibilidad de un percance en términos de

gravedad potencial del percance y probabilidad de que ocurra (MIL-STD-
882D).

Obsérvense tanto las diferencias como las similitudes entre las

definiciones anteriores. De estas definiciones debería desprenderse que
no existe una diferencia significativa entre un percance y un accidente, y
que estos términos pueden utilizarse indistintamente. Para ser coherentes
con la terminología MIL-STD-882D, se preferirá el término percance al
término accidente.

La definición del diccionario establece que un accidente o percance es un

suceso aleatorio, lo que da una sensación de futilidad al implicar que los
peligros son impredecibles e inevitables. En cambio, la seguridad de los
sistemas se basa en la premisa de que los percances no son sucesos
aleatorios, sino deterministas y controlables. Los percances y accidentes
no ocurren porque sí, sino que son el resultado de un conjunto único de
condiciones (es decir, peligros), que son predecibles cuando se analizan
adecuadamente. Un peligro es una condición potencial que puede dar
lugar a un percance o accidente, siempre que se produzca el peligro. Esto
significa que los percances pueden predecirse mediante la identificación
de peligros. Y, los percances pueden prevenirse o controlarse mediante la
eliminación, el control o las medidas de mitigación del peligro. Este
punto de vista proporciona una sensación de control sobre los sistemas
que desarrollamos y utilizamos.

TEORÍA DEL PELIGRO

Según las definiciones de seguridad del sistema, una desgracia es un
suceso real que se ha producido y ha provocado muertes, lesiones o
pérdidas; y un peligro es una condición potencial que puede provocar
muertes, lesiones y/o pérdidas. Estas definiciones conducen al principio
de que un peligro es el precursor de un percance; un peligro define un
acontecimiento potencial (es decir, un percance), mientras que un
percance es el acontecimiento ocurrido. Esto significa que existe una
relación directa entre un peligro y una desgracia, como se muestra en la
Figura 2.1.

El concepto que transmite la Figura 2.1 es que un peligro y un percance

son dos estados separados del mismo fenómeno, unidos por una
transición de estado que debe producirse.

Se puede pensar en estos estados como el antes y el después. Un peligro

es un "suceso potencial" en un extremo del espectro que puede
transformarse en un "suceso real" (el percance) en el otro extremo del
espectro en función de la transición de estado. Una analogía podría ser el
agua, donde el agua es una entidad, pero puede estar en estado líquido o
congelado, y la temperatura es el factor de transición.

La figura 2.2 ilustra la relación peligro-percance desde una perspectiva

diferente. Desde este punto de vista, un peligro y un percance se
encuentran en los extremos opuestos de la misma entidad. De nuevo,
algún acontecimiento transitorio provoca el cambio del estado de peligro
condicional al estado de percance actualizado. Obsérvese que ambos
estados son prácticamente iguales, con la diferencia de que el tiempo
verbal ha pasado de referirse a un acontecimiento potencial futuro a
referirse a un suceso actualizado presente, en el que se ha experimentado
alguna pérdida o lesión. Un peligro y un percance son la misma entidad,
sólo ha cambiado el estado, de una hipótesis a una realidad.

Los percances son el resultado inmediato de peligros actualizados. La

transición de un peligro a un accidente se basa en dos factores: (1) el
conjunto único de componentes de peligro implicados y (2) el riesgo de
percance que presentan los componentes de peligro. Los componentes de
peligro son los elementos que componen un peligro, y el riesgo de
percance es la probabilidad de que se produzca el percance y la gravedad
de la pérdida resultante del mismo.
El riesgo de percance es un concepto bastante sencillo, en el que el riesgo
se define como:

Riesgo = probabilidad x gravedad

El factor de probabilidad del percance es la probabilidad de que se

produzcan los componentes del peligro y se transformen en el percance.
El factor de gravedad del percance es la consecuencia global del percance,
normalmente en términos de pérdida resultante del percance (es decir, el
resultado no deseado). Tanto la probabilidad como la gravedad pueden
definirse y evaluarse en términos cualitativos o cuantitativos. El tiempo se
tiene en cuenta en el concepto de riesgo mediante el cálculo de la
probabilidad de que se produzca un fallo, por ejemplo.

La definición del concepto de componente de peligro es un poco más

compleja. Un peligro es una entidad que contiene sólo los elementos
necesarios y suficientes para provocar un accidente. Los componentes de
un peligro definen las condiciones necesarias para que se produzca un
percance y el resultado final o efecto del mismo.

Un peligro consta de los tres componentes básicos siguientes:

Elemento peligroso (HE) Es el recurso peligroso básico que crea el

impulso para el peligro, como una fuente de energía peligrosa como
explosivos que se utilizan en el sistema.

Mecanismo iniciador (MI) Es el evento o eventos desencadenantes o

iniciadores que provocan el peligro. El IM provoca la actualización o
transformación del Peligro de un estado latente a un estado activo de
percance.

Objetivo y Amenaza (T/A) Es la persona o cosa que es vulnerable a

lesiones y/o daños, y describe la gravedad del evento de percance. Es el
resultado del percance y los daños y pérdidas previstos.
Un peligro es algo que tiene el potencial de causar daño o tener un efecto
adverso en una persona o personas. Mucha gente confunde las palabras
peligro y riesgo, especialmente en relación con la seguridad y salud en el
trabajo. El riesgo o nivel de riesgo es la probabilidad de que una persona
pueda sufrir daños o experimentar un efecto adverso si se expone a un
peligro. En otras palabras, es la probabilidad de que un peligro tenga un
impacto negativo en la salud y seguridad de un individuo.

Un peligro es un "suceso o acontecimiento" que tiene potencial a causar

muertes, lesiones o pérdidas. Estas definiciones conducen al principio de
que un peligro es el iniciador de un accidente, este acontecimiento al
materializarse puede transformarse en un "suceso real" (el accidente)
mientras que un accidente es el acontecimiento ocurrido. Esto significa
que existe una relación directa entre un peligro y un accidente

RECONOCIMIENTO DE PELIGROS

La identificación de peligros es una de las principales tareas de la

seguridad de sistemas, y la identificación de peligros implica su
reconocimiento. El reconocimiento de peligros es el proceso cognitivo de
visualizar un peligro a partir de un paquete variado de información sobre
el diseño. Para reconocer o identificar peligros son necesarias cuatro
cosas:

 Comprensión de la teoría de riesgos.

 Una técnica de análisis de peligros que proporcione un proceso
coherente y metódico.
 Comprensión de los métodos de reconocimiento de peligros.
 Comprensión del diseño y el funcionamiento del sistema.

En este capítulo se ha tratado la teoría de los peligros para que el analista

de seguridad comprenda mejor los diversos aspectos de un peligro, como
la relación peligro-percance, los tres componentes de un peligro y los
tipos de factores causales de peligro. El capítulo 3 trata de los tipos de
análisis de peligros para la seguridad del sistema que son necesarios para
proporcionar una cobertura completa para la identificación de diversos
tipos de peligros. El resto de este libro describe un número de diferentes
técnicas de análisis de peligros que proporcionan diferentes niveles de
estructura, rigor y detalle del análisis de peligros. Esta sección se centra
en cómo reconocer cognitivamente un peligro.

Uno de los tópicos más molestos de la seguridad de sistemas es que

normalmente es más fácil mitigar un peligro que reconocerlo o
encontrarlo en primer lugar. Un analista puede comprender
perfectamente la teoría de los peligros y disponer de una herramienta de
análisis de peligros, pero sigue existiendo la enojosa realidad de
reconocer realmente un peligro. El reconocimiento del peligro es un
aspecto clave del proceso de identificación de peligros y, por tanto, un
elemento clave de todos los análisis de peligros. A veces, los peligros
parecen pequeñas criaturas ubicuas y escurridizas que hay que cazar y
capturar, y la caza es similar al proceso de reconocimiento.

Otro tópico de la seguridad de sistemas es que el reconocimiento de

peligros es más un arte que una ciencia (ésta puede ser una de las razones
por las que los analistas de seguridad de sistemas cualificados tienen un
valor incalculable). Sin embargo, hay algunos factores clave de
reconocimiento que pueden ayudar al analista de seguridad a visualizar
los peligros, tales como:

Cuando considere el componente HE del triángulo de peligros, céntrese

en las listas de comprobación de elementos peligrosos. El componente HE
incluye elementos que se sabe que son una fuente peligrosa, como
explosivos, combustible, baterías, electricidad, aceleración, productos
químicos y similares. Esto significa que se pueden utilizar listas de
comprobación de fuentes de peligro genéricas para ayudar a reconocer
los peligros dentro del diseño único del sistema. Si un componente del
sistema que se está analizando aparece en una de las listas de
comprobación de fuentes de peligro, se trata de un indicador directo de
los peligros potenciales que puede haber en el sistema. Especule todas las
formas posibles en que el elemento peligroso puede ser peligroso dentro
del diseño del sistema. Existen muchos tipos diferentes de listas de
comprobación de fuentes de peligro, como las relativas a fuentes de
energía, operaciones peligrosas, productos químicos, etcétera. Consulte el
Apéndice C para ver algunos ejemplos de listas de comprobación.
Los peligros pueden reconocerse centrándose en los mecanismos
desencadenantes de peligros consecuentes conocidos (el componente de
peligro IM). Por ejemplo, en el diseño de aeronaves es de conocimiento
común que las fuentes de ignición de combustible y las fuentes de fuga
de combustible son mecanismos iniciadores de peligros de
incendio/explosión. Por lo tanto, el reconocimiento de peligros se
beneficiaría de una revisión detallada del diseño de las fuentes de
ignición y las fuentes de fuga cuando hay combustible implicado. Los
modos de fallo de los componentes y los errores humanos son modos
comunes de desencadenamiento de peligros.

Otro método para reconocer los peligros es la revisión y el análisis de los

factores causales genéricos del nivel 2 de peligro. Considerando los
diversos factores causales

TABLA 2.2 Lista de comprobación del estado de fallo

No funciona.

Funciona incorrectamente/erróneamente.

Funciona inadvertidamente.

Funciona a destiempo (temprano, tarde).

No se puede detener el funcionamiento.

Recibe datos erróneos.

Envía datos erróneos.

Datos o información contradictorios.

El componente está expuesto a fluidos procedentes de fuentes externas.

El componente está sometido a calor procedente de una fuente externa.

Las categorías generales pueden ayudar a reconocer los peligros. Las

categorías generales de factores causales incluyen el hardware, el
software, el ser humano, las interfaces y el entorno. Por ejemplo, la
evaluación de todos los entornos potenciales en los que funcionará el
sistema, o a los que estará expuesto, puede ayudar a reconocer los
peligros del sistema causados por factores medioambientales.