BowTie para diagnosticar brechas en seguridad de procesos

En seguridad de procesos, el problema no suele ser la falta de normas. El problema es que muchas plantas tienen procedimientos, matrices y hasta BowTie, pero no tienen una rutina confiable para detectar brechas antes de que se conviertan en una pérdida de contención, un incendio o una explosión. BP Texas City dejó una lección brutal: 15 personas murieron y más de 170 resultaron heridas en un arranque de planta donde había tecnología, procedimientos y supervisión, pero no una gestión efectiva de barreras. En Buncefield, el sobrellenado de un tanque terminó en una de las mayores explosiones en tiempo de paz de Europa, con 43 heridos y un incendio que ardió por más de 60 horas.

Si trabajás como profesional HSE o supervisor, este artículo no te va a pedir que admires el concepto. Te va a mostrar cómo usar BowTie para diagnosticar brechas en seguridad de procesos de manera simple, repetible y útil para el turno, el taller y la toma de decisiones. Si todavía estás definiendo si el problema pertenece a seguridad de procesos o a seguridad industrial, te conviene repasar primero seguridad de procesos vs seguridad industrial: diferencias clave, porque esa validación cambia el evento tope, las amenazas y el tipo de barreras que vas a gestionar.

La trampa más común es usar BowTie como un dibujo elegante que se presenta en una reunión y luego se archiva. Un BowTie útil no es un poster; es una herramienta de diagnóstico, priorización y verificación. Sirve para responder preguntas incómodas: ¿qué evento tope estamos previniendo?, ¿qué barreras son realmente críticas?, ¿quién las verifica?, ¿cómo sabemos que siguen funcionando?, ¿y qué hacemos cuando una barrera está degradada?

En esta segunda entrega de la serie, vamos a bajar el marco a tierra. Vas a encontrar un paso a paso para construir el BowTie, una plantilla para talleres con HSE, supervisores y operación, y un checklist de calidad para que el análisis no quede flojo de consistencia, trazabilidad o responsabilidad. La idea es que termines con una rutina de trabajo, no con una maqueta conceptual.

BowTie para diagnosticar brechas en seguridad de procesos: del diagnóstico a la rutina

El valor de BowTie aparece cuando lo usás como puente entre el diagnóstico y la acción. El artículo anterior de la serie te ayuda a separar con criterio si estás frente a un problema de seguridad de procesos o de seguridad industrial. Este artículo parte de esa base y te lleva al método: cómo traducir ese diagnóstico en un mapa de barreras verificable, auditable y entendible por la gente que opera la planta.

BowTie funciona especialmente bien en riesgos críticos porque combina tres cosas que muchas organizaciones gestionan por separado: amenaza, control y consecuencia. En un mismo esquema podés ver qué puede iniciar el evento, qué barrera evita que ocurra, qué barrera reduce el daño si falla la prevención, y qué factores pueden degradar el control. Eso permite discutir mejor con mantenimiento, operaciones, ingeniería y contratistas.

Hay una diferencia importante entre tener un análisis y tener un sistema. Un análisis te dice qué podría pasar. Un sistema te dice quién mantiene la barrera, con qué estándar, cada cuánto la verifica y qué pasa si falla. Ahí es donde BowTie se conecta con OSHA PSM 1910.119, IEC 61511, ISO 45001, API 754 y las buenas prácticas de CCPS. No como marco decorativo, sino como estructura de gestión.

Conceptos clave que sí tenés que dominar

Evento tope: es la pérdida de control concreta y creíble que separa la prevención de la consecuencia. No es el incendio, no es la muerte y no es la causa raíz. En un tanque de almacenamiento puede ser el sobrellenado; en una línea de proceso, la pérdida de contención primaria; en un reactor, la desviación fuera de control de temperatura o presión.

Amenaza: es cualquier cosa que pueda provocar el evento tope. Debe formularse de forma específica y observable. No alcanza con poner “error humano” o “falla de equipo”; eso no ayuda a diagnosticar ni a priorizar. Una amenaza útil se puede buscar, medir y asignar a una barrera concreta.

Barrera preventiva: controla la amenaza antes del evento tope. Puede ser física, instrumental, administrativa o humana, pero si no es independiente, verificable y con estándar de desempeño, no la trates como barrera crítica.

Consecuencia: es el daño potencial después del evento tope. En seguridad de procesos suele incluir incendio, explosión, exposición tóxica, daño ambiental, interrupción operacional y pérdida de activos.

Barrera mitigadora: reduce la severidad de la consecuencia después del evento tope. Ejemplos: detección y extinción automática, aislamiento, sistema de agua contra incendio, respuesta de emergencia, contención secundaria o protección de personas.

Factor de escalada: es lo que debilita o anula una barrera. Un bypass activo, una prueba vencida, una alarma silenciada, una válvula trabada, una capacitación incompleta o un turno con fatiga no son detalles menores; son señales de degradación del sistema.

Estándar de desempeño: define qué significa que una barrera funcione. No basta con “existe”. Hay que saber cuándo está disponible, cómo se prueba, cuál es el tiempo de respuesta, quién es responsable y qué criterio dispara una intervención.

OSHA PSM 1910.119 te obliga a pensar en procesos, procedimientos, capacitación, integridad mecánica, gestión del cambio e investigación de incidentes. BowTie te ayuda a integrar todo eso visualmente y, sobre todo, a ponerle dueño. IEC 61511 agrega una capa clave cuando hay sistemas instrumentados de seguridad: no alcanza con instalar un SIS, hay que gestionar su ciclo de vida, su independencia, su prueba y su capacidad real para reducir riesgo.

ISO 45001, por su parte, empuja a que el control operacional no dependa del heroísmo de una persona ni de la memoria del supervisor. Y API 754 te recuerda que no podés gobernar seguridad de procesos solo con indicadores rezagados como TRIR. Si querés ver si tus barreras están vivas, necesitás indicadores adelantados y de desempeño de barreras, no solo números de lesiones.

Si no podés verificar una barrera en campo, no la cuentes como barrera crítica; contala como una intención.

Análisis profundo con casos: cuando el BowTie no estaba, o no estaba vivo

Caso 1: BP Texas City, 2005

La refinación arranca, los equipos se reconfiguran, el proceso se estabiliza tarde y las decisiones operativas se mezclan con señales confusas. En Texas City, durante el arranque de la unidad Isomerization, se produjo un sobrellenado y una liberación de hidrocarburo que encontró una fuente de ignición. El evento dejó 15 personas fallecidas, más de 170 heridas y pérdidas económicas estimadas en miles de millones de dólares, además de un impacto reputacional y regulatorio duradero.

¿Cuál fue el problema desde la perspectiva BowTie? No fue solo una falla de operador. Hubo fallas en la instrumentación, en la interpretación de los niveles, en la gestión del arranque, en la ubicación de personas y trailers cerca de una fuente de liberación, y en la supervisión de barreras críticas. La barrera no era un solo elemento; era un conjunto de controles que debían funcionar coordinadamente.

Si hubieras construido el BowTie de esa unidad con criterio operativo, el evento tope habría sido una pérdida de contención durante arranque o reconexión. Las amenazas creíbles habrían incluido nivel mal medido, error en la secuencia de arranque, instrumentación no confiable, válvulas en posición incorrecta y falta de confirmación independiente antes de introducir inventario. Las barreras preventivas habrían tenido que incluir verificación del nivel, lógica de interbloqueo, procedimiento de arranque con hold points y revisión de condiciones del área antes de exponer personas.

La lección clave no es “hay que entrenar más”. La lección es que una planta puede tener procedimientos extensos y aun así carecer de una barrera confiable si nadie verifica su desempeño en condiciones reales. Texas City mostró que el problema no es el papel; es la fragilidad del sistema de barreras cuando entran en juego fatiga, presión por arrancar, comunicación deficiente y diseño inseguro del entorno.

Caso 2: Buncefield, 2005

En Buncefield, un tanque de gasolina fue sobrellenado durante una transferencia. El sistema de medición no evitó el evento, la alarma no resolvió el desvío y la liberación terminó en una nube de vapor que detonó, generando uno de los mayores incendios en tierra firme de Europa. Hubo 43 heridos y el fuego duró más de 60 horas, con daños masivos a instalaciones, infraestructura y operaciones.

Desde BowTie, este caso es una clase magistral de degradación de barreras. Si la prevención dependía de un único indicador de nivel sin suficiente independencia, si la respuesta operativa estaba basada en alarmas que no disparaban acciones efectivas y si la escalada no se controlaba con lógica de protección robusta, el sistema estaba pidiendo fallar. El evento no fue sorpresa; fue la consecuencia de varias capas de defensa que no estaban aseguradas.

En un taller serio de BowTie, este escenario obliga a separar bien las funciones. Una cosa es detectar un nivel alto. Otra cosa es detener el bombeo. Otra cosa es impedir la formación de una nube inflamable. Y otra cosa es contener y responder al incendio. Si mezclás esos pasos en una sola línea de defensa, perdés trazabilidad y no sabés dónde está la verdadera brecha.

La lección para HSE y supervisores es simple pero exigente: una barrera sin prueba, sin dueño y sin criterio de degradación es una ilusión. Buncefield empujó a la industria a mirar con más atención la integridad de los sistemas de medición, alarmas, interlocks, procedimientos de transferencia y diseño de almacenamiento. Si querés profundizar en cómo integrar ese aprendizaje con gestión y mejora continua, más adelante te va a servir Integrar BowTie en seguridad de procesos y mejora continua.

Qué muestran estos dos casos en común

Texas City y Buncefield no fallaron por ausencia de documentación. Fallaron por ausencia de control efectivo. En ambos casos hubo degradación de barreras, señales ignoradas, decisiones locales sin suficiente verificación y una brecha entre el diseño teórico y la operación real. Eso es exactamente lo que BowTie te ayuda a ver cuando se usa bien.

Los dos casos también muestran algo incómodo: cuando una organización solo persigue indicadores de lesiones personales, puede creer que está bien mientras acumula vulnerabilidades catastróficas. API 754 insiste en medir eventos de proceso y la salud de barreras. Si tu tablero no ve pérdida de contención, alarmas críticas, pruebas vencidas o bypasses activos, estás manejando con el espejo retrovisor.

Diagnóstico y autoevaluación: señales de alerta en tu BowTie

Antes de sentarte a construir o revisar un BowTie, conviene hacer una autocrítica rápida. No porque el ejercicio sea académico, sino porque la calidad del diagnóstico depende de la calidad del equipo que lo conduce y de la información que mete al sistema. Si el BowTie nace pobre, se convierte en un dibujo difícil de defender y fácil de ignorar.

Estas son señales de alerta muy comunes en plantas industriales: el BowTie se arma solo en oficina, sin operadores ni supervisores; las amenazas son genéricas; las consecuencias se confunden con el evento tope; todas las barreras tienen la misma importancia; no hay responsable nominal; la verificación está ausente; y nadie puede demostrar en campo que la barrera está disponible. Si ves tres o más de estas señales, no estás frente a una herramienta de gestión, sino a un documento de cumplimiento.

• El evento tope cambia según quién esté en la sala.
• Se usan frases vagas como “error humano” o “falla operacional”.
• Las barreras preventivas son solo procedimientos.
• Las barreras mitigadoras no tienen prueba de efectividad.
• No hay criterio para decidir cuáles barreras son críticas.
• Los dueños de barreras no aparecen en la estructura de gestión.
• Los hallazgos de mantenimiento, inspección o auditoría no actualizan el BowTie.
• El turno conoce el riesgo, pero no sabe qué barrera debe proteger.

Autoevaluación para HSE: ¿podés explicar qué barreras reducen el riesgo principal de tu planta sin leer un PowerPoint?, ¿sabés cuáles barreras están degradadas hoy y cuál es el plan para recuperarlas?, ¿tu BowTie está conectado con MOC, investigación de incidentes e integridad mecánica?, ¿tenés criterios claros para priorizar acciones cuando aparecen varias brechas al mismo tiempo?

Autoevaluación para supervisión: ¿sabés cuál es el evento tope más sensible de tu área?, ¿podés identificar tres amenazas reales que sí podrían ocurrir en tu turno?, ¿sabés qué barrera mirar primero en campo si cambia una condición de proceso?, ¿tu equipo sabe qué hacer cuando una barrera está fuera de servicio?

Solución: cómo construir y revisar un BowTie útil en planta

La metodología más efectiva es la más simple que no sacrifica rigor. Un BowTie útil se construye con un equipo pequeño, con lenguaje claro, con datos de planta y con una revisión que termine en acciones responsables. No necesitás un consultor para cada amenaza; necesitás un método consistente y una disciplina de verificación.

Paso a paso para construir el BowTie

Paso 1: Definí el alcance. Elegí un escenario crítico, no intentes cubrir toda la planta en una sola reunión. Un buen alcance es una unidad, un sistema o un evento top crítico. Si querés mezclar tanques, reactores, carga de camiones y mantenimiento en el mismo BowTie, vas a perder foco.

Paso 2: Acordá el evento tope. Tiene que ser una pérdida de control clara y única. Ejemplos: sobrellenado de tanque, pérdida de contención en una línea de hidrocarburo, runaway térmico en reactor, liberación de gas tóxico. Si el equipo no se pone de acuerdo en una frase simple, el alcance todavía está mal definido.

Paso 3: Listá amenazas creíbles. Usá datos de incidentes, mantenimiento, inspecciones, desviaciones operativas y experiencia del personal. Cada amenaza debe llevar a la pregunta: ¿qué mecanismo concreto puede empujar el proceso al evento tope? Nada de cajones vacíos.

Paso 4: Asigná barreras preventivas. Definí qué evita cada amenaza. Preferí controles de ingeniería e instrumentación por sobre controles administrativos. Si una barrera es administrativa, asegurate de que tenga estándar, entrenamiento, verificación y seguimiento.

Paso 5: Mapeá consecuencias y barreras mitigadoras. Identificá qué pasa si el evento tope ocurre y qué limita el daño. Acá suele aparecer la verdad incómoda: muchas plantas confían demasiado en emergencia y demasiado poco en prevención.

Paso 6: Revisá factores de escalada. Preguntá qué puede inutilizar cada barrera. Un procedimiento no vale nada si el turno está sobrecargado, un interlock no vale nada si está inhibido y una válvula no vale nada si nadie la prueba.

Paso 7: Definí estándares de desempeño y dueños. Cada barrera crítica necesita un responsable nominal, un criterio de disponibilidad y una frecuencia de verificación. Si no tiene dueño, no tiene vida operativa.

Paso 8: Priorizá brechas. No todas las fallas pesan igual. Priorizá por severidad, frecuencia, independencia de barrera, exposición, degradación y criticidad regulatoria. Una barrera de alto impacto y baja confiabilidad no puede quedar detrás de una acción cosmética.

Paso 9: Validá en campo. Llevá el BowTie al terreno. Revisá indicadores, tags, alarmas, bypasses, procedimientos, registros de prueba, competencias y condiciones reales. El campo siempre corrige lo que la sala de reuniones exagera o simplifica.

Paso 10: Cerrá el ciclo. Actualizá el BowTie cuando haya cambios de proceso, incidentes, MOC, hallazgos de mantenimiento o auditorías. Si el BowTie no cambia con la planta, dejó de ser una herramienta y se transformó en un archivo.

Plantilla práctica para talleres con HSE, supervisores y operación

La mejor manera de acelerar el aprendizaje es trabajar con una plantilla sencilla. Un taller útil no necesita veinte personas hablando al mismo tiempo; necesita las voces correctas, un facilitador que mantenga el foco y un entregable que sirva en la planta. Como mínimo, sentá en la mesa a HSE, supervisor de área, operador experimentado, mantenimiento y, si aplica, instrumentación o procesos.

Checklist de calidad del BowTie

• ¿El evento tope es único, específico y creíble?
• ¿Las amenazas son observables y no genéricas?
• ¿Cada barrera preventiva realmente evita una amenaza y no solo la detecta?
• ¿Las barreras mitigadoras limitan daño real y no solo describen respuesta?
• ¿Cada barrera tiene dueño, estándar y método de verificación?
• ¿Se identificaron factores de escalada o degradación?
• ¿Existe trazabilidad con procedimientos, mantenimiento, MOC, PSSR e incidentes?
• ¿La prioridad de las acciones responde al riesgo y no al ruido político?
• ¿El BowTie se revisó en campo con personal operativo?
• ¿Hay una fecha de revisión y actualización vinculada al ciclo del negocio?

Cómo priorizar barreras: si la barrera controla un escenario de alta severidad, si se degrada con frecuencia, si depende de muchas personas, si no se puede verificar en campo o si ya tuvo fallas repetidas, sube de prioridad. La lógica no es “qué acción queda más linda”; la lógica es “qué brecha puede dejarte expuesto a un evento mayor mañana por la mañana”.

Quick wins: definir un solo evento tope por análisis, eliminar amenazas duplicadas, nombrar un dueño para cada barrera crítica, agregar una columna de verificación en campo, y revisar los BowTie existentes contra incidentes recientes. Cambios estructurales: integrar BowTie con PSM, mantenimiento, MOC, gestión de competencias, investigación de incidentes y tablero de indicadores. Ahí el análisis deja de ser una foto y pasa a ser un sistema.

Si querés acelerar la madurez sin improvisar, un Diagnóstico Digital te ayuda a ubicar qué tan robusto está tu sistema de barreras hoy. Y si lo que necesitás es acompañamiento para pasar de la idea a la rutina, la clave es trabajar con un método que baje a campo y no se quede en la carpeta.

Aplicación práctica: cómo usar BowTie en el día a día

El BowTie no se termina cuando cerrás el taller. Ahí recién empieza. En el día a día de una planta, la herramienta tiene que aparecer en tres momentos: antes del trabajo, durante la verificación en campo y en la revisión de eventos o desvíos. Si no entra en esas tres rutinas, se convierte en un archivo de consultoría.

Para HSE, una buena práctica es usar el BowTie como agenda de revisión mensual: ¿qué barreras críticas están vencidas?, ¿qué pruebas están atrasadas?, ¿qué hallazgo de mantenimiento cambió el nivel de confianza?, ¿qué MOC impacta en amenazas o barreras?, ¿qué incidente de la última semana debe actualizar el mapa? Esa conversación es más poderosa que un tablero de lesiones desconectado del riesgo real.

Para supervisores, el BowTie tiene que estar metido en el arranque de turno, en el permiso de trabajo y en el cierre de jornada. No hace falta una reunión larga. A veces alcanza con tres preguntas: ¿cuál es el evento tope de mi área hoy?, ¿qué barrera no puedo dar por sentada?, ¿qué condición cambió desde el último turno?

Para operadores, la utilidad está en reconocer cuándo una barrera se está debilitando. Si una alarma está en bypass, si un instrumento está fuera de servicio, si la comunicación entre turnos falló o si una válvula no responde como debe, no se trata de un detalle técnico menor. Se trata de una barrera que dejó de garantizar el control esperado.

Herramientas específicas por rol

• HSE: tablero de barreras críticas, auditoría de verificación, revisión de tendencias API 754, control de acciones abiertas, integración con investigación de incidentes.
• Supervisor: checklist de turno de top events, walkdown de barreras, revisión de permisos, verificación de cambios temporales, cierre de desviaciones.
• Operación: tarjeta de barreras, confirmación de alarmas y setpoints, observación de condiciones anómalas, escalamiento temprano, comunicación estructurada en handover.
• Mantenimiento e instrumentación: plan de prueba, registros de disponibilidad, gestión de bypass, calibración, prueba funcional y seguimiento de fallas repetitivas.

Una práctica que funciona muy bien es el walkdown de 15 minutos. Tomás una barrera crítica, bajás al campo y la verificás con una lista corta: identificación, estado físico, prueba reciente, fecha de vencimiento, responsable y evidencia de funcionamiento. Ese simple recorrido muestra más brechas reales que una reunión larga sin campo.

También sirve implementar una regla operativa sencilla: si una barrera crítica no está disponible, no se sigue como si nada. Se evalúa el riesgo residual, se ajustan condiciones, se informa al supervisor y se define una compensación temporal, idealmente aprobada por el dueño del proceso. Eso evita normalizar la desviación.

La madurez no aparece por acumulación de documentos. Aparece cuando cada actor sabe qué barrera protege, cómo se verifica y qué hacer si falla. Ahí BowTie deja de ser una metodología para “cumplir” y pasa a ser una rutina de seguridad operacional.

FAQ

¿Cuántas amenazas debería tener un BowTie?

No existe un número mágico, pero el criterio práctico es simple: las amenazas deben ser las mínimas necesarias para explicar los escenarios creíbles relevantes. Si aparecen veinte amenazas, probablemente estás mezclando causas, duplicando escenarios o intentando cubrir demasiado en un solo BowTie. Para supervisión y HSE, suele ser más útil trabajar con 5 a 10 amenazas bien definidas que con una lista larga e inmanejable. La calidad está en la credibilidad y la trazabilidad, no en la cantidad.

¿Cómo sé si un control realmente es una barrera?

Una barrera real evita el evento tope o mitiga su consecuencia de manera independiente, verificable y con desempeño esperado. Si el control depende de la memoria de una persona, no tiene estándar o no puede probarse en campo, no lo trates como barrera crítica. Puede ser una defensa útil, pero no una barrera robusta. El error más común es llamar barrera a cualquier actividad de control. BowTie te obliga a separar intención de efectividad.

¿BowTie sirve para seguridad de procesos y seguridad industrial al mismo tiempo?

Sí, pero no con el mismo evento tope ni con el mismo nivel de detalle. BowTie es un marco común, pero primero tenés que validar qué tipo de riesgo estás gestionando. Si el problema es una pérdida de contención mayor, estás en seguridad de procesos. Si el evento tope es una lesión por contacto, atrapamiento o caída, el enfoque cambia. Por eso la serie arranca con la diferenciación conceptual y luego aterriza la metodología. El error sería usar un mismo BowTie para todo.

¿Quién debería ser dueño del BowTie?

El dueño no debería ser solo HSE. El BowTie debe pertenecer al dueño del proceso o del activo, con HSE como facilitador y garante metodológico. Si el análisis queda dentro de una función de soporte sin conexión con operación, mantenimiento y liderazgo, pierde fuerza. El objetivo es que quien decide sobre el proceso también vea sus barreras y sus brechas. HSE acompaña, desafía y verifica, pero no reemplaza la responsabilidad operativa.

¿Cada cuánto se debe revisar un BowTie?

La frecuencia depende de la criticidad, pero nunca debería revisarse solo cuando hay un incidente. Debe actualizarse después de cambios de proceso, hallazgos de inspección, desvíos relevantes, MOC, fallas repetidas y revisiones periódicas de riesgo. En escenarios críticos, una revisión mensual de barreras y una validación en campo más frecuente son buenas prácticas. Si el BowTie no cambia cuando cambia la planta, el sistema está desalineado.

¿Qué hago si no tengo datos suficientes para construirlo?

Empezá con un BowTie de hipótesis, pero no lo dejes ahí. Usá experiencia operativa, incidentes internos, estándares de ingeniería, información de mantenimiento y walkdowns en campo. La falta de datos no justifica la inacción; justifica una gestión más cuidadosa y un plan de validación. En muchas plantas, el problema no es la ausencia total de datos, sino que están dispersos. BowTie ayuda a organizarlos en un lenguaje común.

Cierre: del diagnóstico a la mejora continua

Si el artículo anterior te ayudó a entender qué problema tenés, este te dio el método para decidir cómo lo vas a gestionar. BowTie para diagnosticar brechas en seguridad de procesos funciona cuando deja de ser un ejercicio aislado y pasa a formar parte de la rutina de planta: definir, verificar, priorizar y actualizar. Ahí aparece el valor real para HSE y supervisores.

La secuencia correcta es bastante clara: primero validás el diagnóstico con criterio, después construís un BowTie con calidad, luego lo llevás a campo, y finalmente lo conectás con el resto del sistema. Ese puente es el que te prepara para el siguiente nivel de la serie, donde vamos a ver cómo integrar BowTie con otros sistemas de gestión, mejorar la gobernanza y evitar que el análisis quede desconectado de la operación real.

Si querés volver a la base para no perder el criterio de diagnóstico, revisá seguridad de procesos vs seguridad industrial: diferencias clave. Y si ya estás listo para escalar desde la herramienta hacia la arquitectura de gestión, seguí con Integrar BowTie en seguridad de procesos y mejora continua. Entre esos tres artículos está la ruta completa: diagnóstico, metodología e integración.