Volver al blog
Autoridad Técnica
Error Humano 2.0

Mejora continua en seguridad industrial: casos avanzados

Charly Wigstrom10 de julio de 2026
Mejora continua en seguridad industrial: casos avanzados

Evaluá la madurez de tu organización en PSM

Evalúa el nivel de madurez de tu organización en PSM, disciplina operativa y competencias.

Algunos enlaces pueden dirigir a productos, cursos o recursos de WFS Academy.

Mejora continua en seguridad industrial: casos avanzados que explican los accidentes

La mejora continua en seguridad industrial no consiste en sumar inspecciones ni cerrar hallazgos más rápido. Consiste en aprender, corregir y sostener cambios sobre las causas organizacionales que preceden a un accidente grave. Cuando una planta repite eventos, casi siempre hay una combinación de decisiones de diseño, mantenimiento diferido, supervisión insuficiente y señales tempranas que fueron normalizadas.

Si querés entender por qué una organización “sabía” que algo estaba mal y aun así ocurrió el accidente, este artículo te lleva al nivel que suele quedar fuera del reporte final: gobernanza, cultura, barreras de control y capacidad de aprendizaje. Es la continuación natural de las decisiones latentes en seguridad industrial y de cómo rastrear una decisión crítica antes del accidente.

La lección más dura de la seguridad de procesos es esta: el accidente ocurre hoy, pero la decisión que lo habilitó se tomó meses, o incluso años, antes.

¿Qué significa mejora continua en seguridad industrial para líderes HSE?

La mejora continua en seguridad industrial es un ciclo disciplinado de detección, intervención, verificación y aprendizaje que reduce la probabilidad de eventos mayores y evita la recurrencia. Para un líder HSE senior, no es un programa aislado: es una capacidad organizacional que debe integrarse con operaciones, mantenimiento, ingeniería, calidad, compras y liderazgo ejecutivo.

En seguridad de procesos, esto se alinea con OSHA PSM 29 CFR 1910.119, IEC 61511 para sistemas instrumentados de seguridad, ISO 45001 para gestión de SST y el enfoque de CCPS sobre barreras y desempeño de seguridad de procesos. Además, API RP 754 permite medir eventos de proceso a través de indicadores líderes y rezagados, lo que evita depender solo del dato de “cero accidentes” como evidencia de control.

El problema real es que muchas organizaciones siguen tratando la mejora continua como un tablero de acciones correctivas. Eso sirve para administración documental, pero no para sostener control operativo. La mejora continua útil es la que cambia la forma en que se deciden presupuestos, se prioriza mantenimiento, se aprueban MOC, se gestionan alarmas, se validan protecciones y se define qué riesgo es aceptable.

¿Cuál es el marco técnico que conecta accidentes, cultura y control?

En incidentes mayores, el evento final suele ser solo la última defensa que falló. Antes hubo degradación de barreras, desvíos tolerados, indicadores ignorados y decisiones que privilegiaron producción sobre integridad. Desde un enfoque técnico, conviene mirar el sistema como una cadena de funciones de control: ingeniería, operación, mantenimiento, supervisión y liderazgo.

Los conceptos clave son:

  • Decisión latente: elección previa que introduce vulnerabilidad, como diferir una reparación crítica o aceptar una desviación de diseño.
  • Barrera independiente: capa preventiva o mitigadora que reduce la frecuencia o severidad del evento, por ejemplo, SIS, PSV, interlocks, contención secundaria o procedimientos robustos.
  • Degradación de barreras: pérdida parcial o total de la capacidad de la barrera, detectada por pruebas vencidas, bypass, alarmas frecuentes o mantenimiento atrasado.
  • Normalización de la desviación: aceptación progresiva de condiciones anómalas como si fueran normales.
  • Aprendizaje organizacional: capacidad de convertir incidentes, cuasi-incidentes y hallazgos en cambios verificables del sistema.

En plantas de hidrocarburos, química, minería y alimentos, este marco se aplica igual: cuando la organización se acostumbra a “operar con riesgo administrado” sin límites claros, el sistema pierde resiliencia. La calidad, el mantenimiento y la seguridad de procesos se separan artificialmente, cuando en realidad son partes del mismo control operacional.

Elemento Qué controla Señal de degradación Fuente/estándar relacionado
SIS / SIF Prevención o mitigación automática de escenarios mayores Pruebas vencidas, bypass, demandas frecuentes IEC 61511, CCPS
PSV / alivio Protección frente a sobrepresión Sellos dañados, set points mal gestionados, obstrucciones API, PSM 1910.119
Mantenimiento preventivo Confiabilidad del activo Atrasos recurrentes, backlog crítico, OT repetitivas ISO 55000, gestión de activos
MOC Control de cambios temporales y permanentes Cambios sin evaluación, “as found/as left” deficiente OSHA PSM 1910.119(l)
Gestión de alarmas Detección temprana y respuesta operativa Flood de alarmas, alarmas ignoradas ISA 18.2, EEMUA 191

Casos avanzados: ¿qué nos enseñan los accidentes cuando miramos más allá del turno?

Los accidentes avanzados no se explican bien con una sola causa. Se entienden mejor como el resultado de una secuencia de decisiones organizacionales que erosionaron barreras durante meses. A continuación, dos casos reales muy documentados muestran por qué la mejora continua en seguridad industrial debe enfocarse en el sistema y no en la culpa individual.

Case 1: Texas City, BP Refinery, 2005

En marzo de 2005, una explosión en la unidad de isomerización de la refinería de BP en Texas City mató a 15 personas y lesionó a más de 180. El accidente ocurrió durante el arranque de una unidad con un nivel de líquido mucho más alto de lo normal, y el sistema de alivio descargó a una torre de venteo sobrecapada, generando una nube inflamable que detonó. El desastre no fue “un error del operador”; fue la convergencia de decisiones previas de diseño, mantenimiento, entrenamiento y supervisión.

Situación: la planta arrastraba años de recortes de costos, mantenimiento diferido y cultura de presión por arrancar. Los indicadores internos mostraban vulnerabilidades: equipos envejecidos, procedimientos inconsistentes, instrumentación deficiente y una normalización del riesgo operacional. Investigaciones posteriores, incluidas las del U.S. Chemical Safety Board, describieron problemas profundos en la gestión de seguridad de procesos.

Problema: se aceptó operar con una torre de venteo que descargaba a una ubicación inadecuada para un arranque seguro. También hubo falta de barreras administrativas para impedir una sobrecarga del sistema. La organización no corrigió a tiempo señales de advertencia como paradas repetitivas, equipos temporales y desviaciones operativas.

Consecuencia: 15 fallecidos, más de 180 heridos, pérdidas económicas de cientos de millones de dólares y consecuencias regulatorias y reputacionales de largo plazo. El caso impulsó sanciones, reformas y un fuerte replanteo sobre cultura, liderazgo y PSM.

Lección: cuando la dirección tolera que una unidad crítica opere con riesgos conocidos, el “acto inseguro” del día es solo la última expresión de una gobernanza fallida. La mejora continua debe actuar sobre presupuesto, diseño, MOC, mantenimiento y disciplina operativa, no solo sobre comportamiento individual.

Case 2: Buncefield, Reino Unido, 2005

En diciembre de 2005, el terminal de almacenamiento de Buncefield sufrió una de las mayores explosiones no nucleares en Europa. El desborde de un tanque de gasolina generó una nube de vapor que explotó, causando daños extensos, aunque sin muertes directas por la hora del evento. Las investigaciones mostraron una combinación de alarmas no confiables, sobrellenado y fallas de gestión del sistema de protección contra sobrellenado.

Situación: el terminal operaba con niveles de confiabilidad insuficientes en la medición de inventario y con arreglos de gestión que no aseguraban una defensa independiente robusta. El evento reveló debilidades en el diseño, en la verificación de protecciones y en la supervisión de cambios temporales.

Problema: el dispositivo de medición de nivel falló sin que existiera una barrera secundaria efectiva. La alarma de alto nivel no estaba diseñada para ser una última defensa confiable. Hubo una dependencia excesiva de una única función que, en la práctica, no tenía el grado de independencia esperado.

Consecuencia: daños masivos en instalaciones, interrupción de suministro de combustibles, costos de recuperación enormes y una revisión profunda de estándares y prácticas de almacenamiento. El caso se convirtió en referencia global para entender por qué una sola barrera nunca debe ser tratada como suficiente.

Lección: el riesgo no se gestiona declarando que existe una barrera; se gestiona probando que la barrera cumple su función en condiciones reales. En términos de IEC 61511 y pensamiento CCPS, una protección que no es independiente, no está probada o no tiene demand frequency aceptable no puede sostener la confianza operativa.

Caso Decisiones previas críticas Falla organizacional Impacto cuantitativo Lección para líderes
Texas City, 2005 Mantenimiento diferido, arranque inseguro, gestión débil de cambios Gobernanza por costo y producción 15 muertos, más de 180 heridos No aceptar operar con riesgos estructurales conocidos
Buncefield, 2005 Protección contra sobrellenado insuficiente, confianza en una sola defensa Diseño y verificación de barreras deficientes Explosión mayor, daños de gran escala Validar independencia, prueba y mantenibilidad de cada barrera

¿Qué patrón común aparece en ambos casos?

El patrón común es la pérdida de control sistémico mucho antes del accidente. En ambos eventos hubo señales tempranas, alertas técnicas y debilidades en las defensas, pero la organización no las tradujo en decisiones estructurales. La cultura de “seguir adelante” ganó sobre la cultura de “detener y corregir”.

Ese patrón también se vio en incidentes como Deepwater Horizon en 2010, donde la combinación de decisiones sobre barreras, pruebas y priorización operativa culminó en 11 muertes y un derrame catastrófico. El mensaje para HSE senior es claro: la mejora continua debe medir la calidad del control, no solo la ausencia de lesiones.

¿Cómo se conecta la mejora continua con gobernanza, calidad y mantenimiento?

La mejora continua en seguridad industrial fracasa cuando vive solo dentro del área HSE. Para que sea sostenible, debe integrarse con los sistemas que realmente mueven el comportamiento de la planta. Eso incluye gestión de activos, calidad, confiabilidad, compras, ingeniería de cambios y planificación de producción.

Por ejemplo, un backlog de mantenimiento crítico no es solo un problema de confiabilidad; es un indicador líder de riesgo. Una desviación de calidad en materia prima no es solo un issue comercial; puede convertirse en condición de proceso insegura. Un cambio “menor” en set points, software o bypass de instrumentación es un MOC que puede alterar el LOPA de una unidad sin que el negocio lo perciba.

Redefiní cómo abordás el error humano

Una nueva forma de entender y gestionar el error humano en operaciones críticas.

Algunos enlaces pueden dirigir a productos, cursos o recursos de WFS Academy.

ISO 45001 empuja la integración del sistema de gestión, pero en seguridad de procesos esto debe aterrizarse con métricas concretas: cumplimiento de pruebas de SIS, número de alarmas por operador por hora, porcentaje de acciones vencidas de alto riesgo, tiempo de cierre de hallazgos críticos, y tendencia de eventos API 754 Tier 1 y Tier 2.

¿Qué señales de alerta muestran que tu organización ya entró en zona de recurrencia?

Cuando una compañía repite incidentes similares, casi nunca es falta de intención. Es falta de aprendizaje operativo verificable. Estas señales suelen aparecer antes del siguiente evento mayor:

  • Acciones correctivas cerradas “en papel” sin verificación en campo.
  • Backlog creciente de mantenimiento crítico con justificación normalizada.
  • Alarmas repetitivas que dejan de considerarse problema.
  • MOC aprobados por urgencia, no por evaluación de riesgo.
  • Investigaciones que terminan en “error humano” sin acciones sobre diseño o gobernanza.
  • Indicadores rezagados buenos, pero con barreras degradadas y hallazgos abiertos.
  • Reuniones de liderazgo donde se habla de TRIR, pero no de eventos de proceso ni de integridad de barreras.

Si querés ir un paso más atrás en el análisis, te conviene revisar primero el diagnóstico de decisiones latentes en seguridad industrial. Ese artículo te ayuda a identificar dónde nació la vulnerabilidad. Luego, el método de rastreo de decisiones críticas antes del accidente te muestra cómo reconstruir la secuencia que llevó al evento.

¿Cómo construir un modelo de mejora continua que sí sostenga cambios?

Un modelo efectivo debe combinar disciplina operativa, aprendizaje estructurado y gobernanza ejecutiva. No alcanza con “hacer acciones”; hay que diseñar un sistema que evite que los mismos problemas vuelvan a aparecer. El siguiente enfoque funciona bien en organizaciones con riesgo mayor.

1. Detectar con indicadores líderes y de proceso

No monitorees solo lesiones. Integra API 754, backlog crítico, vencimientos de pruebas, alarmas, pruebas de barreras, hallazgos de auditoría y cumplimiento de MOC. La detección temprana debe apuntar a la pérdida de contención, no solo al daño a personas.

2. Intervenir sobre la causa organizacional

Si la causa real fue una decisión de presupuesto, de diseño o de priorización, la acción también debe ser organizacional. Eso puede significar rediseñar una protección, cambiar criterios de parada, redefinir autoridad de aprobación o eliminar excepciones permanentes.

3. Verificar en campo y con evidencia

La verificación no es pedir un cierre en sistema. Es comprobar que el cambio existe, que la barrera funciona y que la operación lo sostiene. En seguridad industrial, lo que no se verifica en campo tiende a degradarse con el tiempo.

4. Aprender y estandarizar

El aprendizaje debe convertirse en estándar: procedimiento, capacitación, diseño o especificación técnica. Si el hallazgo no modifica el estándar, queda como anécdota y el sistema vuelve a cometer el mismo error con otro nombre.

Etapa Qué hacer Responsable típico Indicador de éxito Quick win
Detección Integrar API 754, backlog, alarmas y vencimientos de pruebas HSE + Operaciones + Confiabilidad Tendencia visible de riesgo Dashboard semanal de barreras críticas
Intervención Eliminar excepciones, corregir diseño, priorizar hallazgos críticos Gerencia de planta Reducción de vulnerabilidades repetidas Top 10 riesgos con sponsor ejecutivo
Verificación Auditar en campo y probar efectividad real HSE + mantenimiento + supervisión Cierre con evidencia física Walkdowns mensuales de barreras
Aprendizaje Actualizar estándares, procedimientos y entrenamiento Líderes funcionales Menor recurrencia Lección aprendida obligatoria en cambios de estándar

¿Qué modelo de liderazgo necesita la mejora continua en seguridad industrial?

Necesita un liderazgo que no delegue la seguridad de procesos en HSE como si fuera un departamento aislado. El rol del líder es crear condiciones para que la verdad operativa sea visible, incluso cuando incomoda. Eso implica premiar el reporte de debilidades, parar cuando el riesgo supera los límites y exigir correcciones que ataquen la causa sistémica.

En plantas maduras, los gerentes no preguntan solo “¿qué pasó?”, sino “¿qué barrera falló, quién la mantenía, qué decisión la debilitó y qué aprendizaje cambió el estándar?”. Ese es el lenguaje de un sistema que aprende. También es el lenguaje que exige CCPS cuando habla de desempeño de barreras y gestión de riesgos mayores.

Si querés una vía práctica para acelerar esa madurez, una herramienta útil es un diagnóstico de madurez en PSM, disciplina operativa y competencias. No reemplaza el liderazgo, pero te da una lectura objetiva de dónde se está perdiendo el control y qué brecha organiza la recurrencia. Cuando el problema es sistémico, la solución también debe serlo.

¿Cómo aplicar esto en el día a día de un líder HSE senior?

En el trabajo cotidiano, la mejora continua se ve en rutinas concretas. No se trata de más reuniones, sino de mejores decisiones. Un líder HSE senior puede aplicar este enfoque con tres prácticas semanales:

  1. Revisión de barreras críticas: mirar vencimientos, fallas repetitivas y bypass antes de revisar el reporte de lesiones.
  2. Walkdowns de verificación: confirmar en campo que las acciones cerradas realmente existen y funcionan.
  3. Escalamiento de decisiones: si una acción requiere presupuesto, diseño o cambio de criterio, debe subir al nivel que puede decidir, no quedar atrapada en el nivel operativo.

Además, incorporá análisis de recurrencia: si un hallazgo reaparece, preguntate si el sistema cambió o solo cambió el formulario. Esa pregunta simple evita la ilusión de progreso. En organizaciones con riesgo mayor, la madurez no se demuestra por la cantidad de acciones, sino por la caída sostenida de vulnerabilidades de proceso.

Si necesitás apoyo para estructurar esa transición, la visión de mejora continua en Process Safety complementa este enfoque con una mirada más amplia sobre integración y futuro. Y si querés bajar el concepto a método, el artículo de diagnóstico de decisiones latentes y el de rastreo de decisiones críticas te dan la base para intervenir con criterio.

Preguntas frecuentes sobre mejora continua en seguridad industrial

¿Por qué la mejora continua falla aunque haya muchas acciones cerradas?

Porque cerrar acciones no equivale a eliminar el riesgo. Muchas organizaciones miden actividad administrativa, no efectividad real. Si una acción no modifica una barrera, un estándar o una decisión de gobernanza, es muy probable que el problema reaparezca. La mejora continua útil exige evidencia en campo, verificación de desempeño y aprendizaje incorporado al sistema.

¿Cuál es la diferencia entre aprendizaje y recurrencia controlada?

El aprendizaje cambia el sistema para que el error no se repita o repita con menor probabilidad. La recurrencia controlada, en cambio, acepta que el problema volverá y solo intenta contenerlo. En seguridad industrial avanzada, eso es insuficiente. El objetivo debe ser reducir la dependencia de la intervención humana y fortalecer barreras de ingeniería y gestión.

¿Qué indicadores debería seguir un director además del TRIR?

Debe seguir indicadores líderes y de proceso como cumplimiento de pruebas de barreras, backlog crítico, cierre de acciones de alto riesgo, eventos API 754 Tier 1 y Tier 2, estado de MOC, y calidad de las investigaciones. El TRIR es útil, pero llega tarde. Para gobernar riesgo mayor, necesitás ver la salud del sistema antes de que aparezca la lesión.

¿Cómo conecto mantenimiento con seguridad de procesos sin crear burocracia?

Priorizando activos y funciones críticas. No todo equipo necesita la misma intensidad de control. Debés definir cuáles componentes protegen escenarios mayores y darles reglas especiales: backlog máximo, prueba obligatoria, escalamiento inmediato y revisión ejecutiva. Eso reduce burocracia en lo no crítico y aumenta disciplina donde realmente importa.

¿Qué hago si la operación insiste en que “siempre se hizo así”?

Usá datos, no opiniones. Mostrá tendencias de incidentes, vencimientos, fallas repetitivas y ejemplos de casos reales como Texas City o Buncefield. Después, rediseñá el proceso para que la desviación no dependa de voluntad individual. La frase “siempre se hizo así” suele esconder un estándar débil, no una verdad operativa.

¿Cuándo conviene usar un diagnóstico de madurez?

Conviene cuando hay recurrencia, expansión, cambio de liderazgo, múltiples plantas o señales de desconexión entre HSE, operaciones y mantenimiento. Un diagnóstico de madurez ayuda a ubicar si el problema está en cultura, competencias, barreras o gobernanza. En organizaciones complejas, esa lectura evita invertir en iniciativas que no atacan la causa.

Cierre: ¿qué deja esta mirada para el futuro de la disciplina?

La seguridad industrial madura cuando deja de perseguir solo eventos y empieza a gestionar decisiones. Ese cambio parece sutil, pero transforma todo: qué se mide, qué se prioriza y cómo se lidera. La mejora continua en seguridad industrial, entendida así, no es una campaña; es una arquitectura de aprendizaje que conecta diseño, operación, mantenimiento y cultura.

Si hoy tu organización investiga accidentes pero no cambia la forma de decidir, está perdiendo la oportunidad más valiosa. Y si solo mide resultados finales, está mirando el espejo retrovisor. Para cerrar el ciclo de esta serie, primero necesitás diagnosticar las decisiones latentes, luego aprender a rastrear la decisión crítica, y finalmente sostener una mejora continua que evite recurrencias y eleve la madurez organizacional.

Ese es el verdadero trabajo de un líder HSE senior: construir un sistema que aprenda antes de que vuelva a doler.

Acompañamiento para llevar estas ideas a la práctica

Acompañamiento personalizado de Charly Wigstrom para líderes de seguridad y operaciones.

Algunos enlaces pueden dirigir a productos, cursos o recursos de WFS Academy.

Nota de transparencia: Algunos enlaces en este artículo pueden dirigir a productos, cursos o recursos de WFS Academy. Solo recomendamos recursos directamente relacionados con el tema técnico tratado.

Preguntas Frecuentes

¿La mejora continua en seguridad industrial sirve solo para HSE?

No. Sirve para toda la organización, especialmente para operaciones, mantenimiento, ingeniería, compras y liderazgo. Si la mejora continua queda encerrada en HSE, se convierte en administración de hallazgos. Cuando se integra con decisiones de negocio, diseño y confiabilidad, deja de ser un programa y se vuelve una capacidad del sistema.

¿Qué diferencia hay entre un incidente repetido y una recurrencia sistémica?

Un incidente repetido puede deberse a una falla puntual. La recurrencia sistémica aparece cuando el mismo patrón vuelve porque la organización no cambió la causa organizacional: criterio de aprobación, diseño, presupuesto, entrenamiento o supervisión. En esos casos, el síntoma cambia, pero la vulnerabilidad sigue intacta.

¿Qué métricas ayudan a anticipar accidentes mayores?

Las más útiles son las de proceso y barreras: cumplimiento de pruebas de SIS, backlog crítico, vencimiento de alarmas y bypass, calidad de MOC, hallazgos abiertos de alto riesgo y eventos API 754. Estas métricas muestran la salud del control antes de que aparezca una lesión o una pérdida de contención relevante.

¿Cómo evito que las acciones correctivas se queden en papel?

Exigiendo verificación en campo, definiendo un sponsor ejecutivo para acciones críticas y vinculando el cierre a evidencia física, no solo documental. Además, cada acción debe cambiar algo del sistema: un estándar, una barrera, una frecuencia de prueba o una decisión de gobernanza. Si no cambia nada, probablemente no resuelve la causa.

¿Por qué los casos como Texas City o Buncefield siguen siendo relevantes?

Porque muestran patrones que siguen vigentes: presión por producción, barreras degradadas, mantenimiento diferido y aprendizaje débil. Cambian las tecnologías, pero no cambia la lógica del error sistémico. Por eso siguen siendo referencia obligada para líderes que gestionan riesgo mayor.

¿Qué primer paso recomendarías a una planta que quiere madurar?

Hacer un diagnóstico de madurez de PSM, disciplina operativa y competencias. Eso permite ubicar dónde está la brecha real: en liderazgo, barreras, mantenimiento, competencias o gobernanza. Sin una línea base, la mejora continua termina dispersa y con bajo impacto. Con una línea base, las prioridades se vuelven visibles y accionables.

¿Te resultó útil este análisis?

Recibe contenido técnico exclusivo directamente