Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2
Copyright, 2001.
ISBN 980 323 050 6
2ª. Edición Adaptada como
herramienta computacional.
Centro de Altos Estudios Gerenciales ISID
3
Indice General
Indice ................................................................................................................................. I
Prólogo ....................................................................................................................................... IV
I
CAPITULO 5
PROCEDIMIENTO SIMPLIFICADO PARA EL ANALISIS DE LAS
FALLAS DE CAUSA COMUN .......................................................................................56
5.1 Presentación general del procedimiento de análisis ..................................57
5.2 Definición y modelación del sistema ........................................................58
5.3 Análisis cualitativo ....................................................................................59
5.4 Análisis cuantitativo limitado....................................................................66
CAPITULO 6
EJEMPLO DE ANALISIS DE FALLAS DE CAUSA COMUN A UN
SISTEMA HIPOTETICO DE EXTINCION DE INCENDIOS........................................74
6.1 Definición y modelación del sistema ........................................................74
6.2 Análisis cualitativo ....................................................................................89
6.3 Análisis cuantitativo limitado....................................................................89
BIBLIOGRAFIA .............................................................................................................129
PARTE II - TRATAMIENTO DE LAS ACCIONES HUMANAS
CAPITULO 7
EL COMPONENTE HUMANO DEL SISTEMA TECNOLOGICO.............................132
7.1 Introducción.............................................................................................132
7.2 El error humano en la industria ...............................................................133
7.3 El sistema hombre-máquina ....................................................................137
CAPITULO 8
PRINCIPALES TERMINOS Y DEFINICIONES ..........................................................141
8.1 Error humano...........................................................................................141
8.2 Esquemas de clasificación del error humano ..........................................141
8.3 Tipos de acciones humanas .....................................................................143
8.4 Fiabilidad humana ...................................................................................145
8.5 Análisis de fiabilidad humana .................................................................145
8.6 Probabilidad de error humano (HEP) ......................................................146
8.7 Modelos del comportamiento humano ....................................................146
II
CAPITULO 9
FACTORES DE INCIDENCIA EN EL COMPORTAMIENTO. TRATAMIENTO
DE LAS DEPENDENCIAS HUMANAS .......................................................................149
9.1 Factores de incidencia en el comportamiento .........................................150
9.2 Tratamiento de las dependencias.............................................................156
CAPITULO 10
THERP : UN METODO DE ANALISIS DE FIABILIDAD HUMANA.......................159
BIBLIOGRAFIA .............................................................................................................186
III
PROLOGO
Uno de los aspectos que presenta mayor complejidad, dentro del campo del análisis
de confiabilidad y riesgo en la industria, está constituidos por las dependencias que pueden
introducirse en el diseño y la explotación de las instalaciones, debido a la incidencia de la
fallas múltiples de equipos y de los errores imputables al componente humano, que
conducen a la disminución de la disponibilidad y pueden deteriorar considerablemente su
seguridad.
IV
CAPITULO 1
En las modernas industrias los diseños de los sistemas han evolucionado hacia el logro de
altos parámetros de disponibilidad y confiabilidad en el cumplimiento de sus funciones.
Tanto por razones económicas como de seguridad, es de sumo interés para diseñadores y
explotadores que su industria mantenga niveles de eficiencia y seguridad aceptables, para
lo cual se realizan inversiones que, en dependencia del tipo de proceso tecnológico que se
lleve a cabo, pueden constituir una fracción significativa del costo total de la inversión.
Uno de los problemas que requiere una atención especial dentro de estos estudios, es el
análisis de las dependencias que pueden introducirse en el diseño y la explotación de las
instalaciones complejas, las cuales pueden detectarse eficazmente durante la realización del
análisis y contra las que deben tomarse las medidas pertinentes, debido a su incidencia en el
incremento de la frecuencia de ocurrencia de sucesos de fallas múltiples, que disminuyen la
disponibilidad de la industria y pueden deteriorar considerablemente su seguridad.
Los diseños de los sistemas de las complejas industrias modernas aplican la redundancia en
componentes principales para disminuir la indisponibilidad y la probabilidad de falla de
estos, de modo que se garantice el grado requerido de disponibilidad y seguridad. Sin
embargo, la existencia de mecanismos capaces de propagar una falla de un componente a
otros similares atenta contra el logro de las metas de confiabilidad de los diseños,
degradando la redundancia introducida. Por otro lado, es imposible prever en su totalidad
estos mecanismos durante el diseño de un sistema, fundamentalmente cuando éste se
interrelaciona con otros para cumplir su función y existen requerimientos económicos y de
plazos que deben satisfacerse. Dentro de tales mecanismos se encuentran los errores
1
humanos en las actividades de inspección y mantenimiento, aspecto que se aborda en la
Parte II del presente texto.
A modo de ilustración en la Tabla 1-1 (adaptada de las ref.) ([1, 2]) se muestra una relación
de sucesos de fallas ocurridos en centrales nucleares de los Estados Unidos en un período
de 10 a 12 años, que cubre un total de 394 a 563 reactor-años de experiencia. En la misma
aparecen clasificados los sucesos en independientes y dependientes, tras un análisis
exhaustivo de los 2654 registros disponibles pertenecientes a 10 tipos de componentes
diferentes. En los registros se incluyeron tanto las fallas evidentes (reales) como las
potenciales, luego de analizar los diagramas lógicos de causa-efecto para cada uno. De los
2654 sucesos, 422 fueron clasificados como sucesos dependientes, de los cuales 113 se
identificaron como sucesos genéricos de causa común, que significa que para determinar su
aplicabilidad a cualquier instalación específica debe realizarse un proceso de selección
adicional.
2
Tipo de suceso
____________________________________________
Componente Reactor- Número de Independientes Dependientes Genéricos de
Años Sucesos Causa Común
Clasificados(a) ______________
Potencial Real
Interruptores de 563 72 56 16 3 8
Disparo del Reactor
Válvulas de Seguridad
Reactores PWR 318 54 30 24 0 0
Reactores BWR 245 172 136 36 7 7
Bombas
Inyección de Seguridad 394 112 77 35 2 6
Extracción de Calor Res. 394 117 67 50 2 3
Spray de Contención 394 48 32 16 1 1
Alimentación Auxiliar 394 255 194 61 2 3
Agua de Servicio 394 203 159 44 2 2
a. Sucesos con uno o más estados de componente reales o potenciales (falla o indisponibilidad
funcional).
Una subclasificación de los sucesos presentados en la Tabla 1-1 según su causa, indica que
las fallas de causa común originadas por errores humanos representaban el 50 % de todos
los sucesos de este tipo [2], no obstante, por su importancia y peculiaridades todos los
aspectos relacionados con las acciones humanas se tratan de manera separada en la Parte II
del presente texto.
Es importante señalar que, a pesar de que los datos que muestra la Tabla 1-1 son extraídos
de la industria nucleoenergética, este problema puede estar presente también en cualquier
industria convencional moderna de alta complejidad, pues la base tecnológica del mismo no
depende de la fuente de energía o del tipo de proceso dado, sino del diseño de los sistemas
y de la organización de la explotación, como se verá más adelante. Sin embargo, los
requerimientos de excelencia impuestos a esta industria han fomentado el intercambio de
experiencias y la divulgación de las buenas y malas prácticas como fuente de enseñanza, lo
que ha facilitado tanto el desarrollo de los métodos de análisis, como la documentación de
3
una amplia gama de estudios de este tipo que pueden servir de referencia para trabajos
similares en la industria convencional.
Con el fin de establecer un lenguaje común que ayude al lector a comprender integralmente
la materia que se discute a lo largo de esta parte del texto, seguidamente se destacan los
conceptos y definiciones fundamentales relativos al análisis de los sucesos dependientes.
Aunque estos pueden encontrarse en la literatura especializada, han sido incluidos aquí para
lograr la mayor consistencia posible, dentro del fin que se persigue. Los conceptos y
definiciones específicos relativos a determinada parte del texto aparecen en ésta según se
requiera.
4
Dentro de los estados de componente puede definirse otra categoría para incluir los casos
en que, a pesar de que el componente ejecuta su función dentro de los límites del criterio de
éxito especificado, se observa alguna anomalía en su funcionamiento que indica que éste
no se encuentra en su condición o estado nominal, aunque no pueda considerarse
indisponible. Esta categoría se refiere al estado potencialmente indisponible.
a. Estado degradado: el componente está en tal estado que se observa una reducción
en su capacidad de trabajo, pero a un nivel tal que no puede considerarse
indisponible en correspondencia con el criterio de éxito especificado. Por ejemplo,
una bomba que entrega un caudal inferior al 100%, pero dentro del margen
establecido de funcionamiento (según el criterio de éxito).
Suceso básico: Suceso incluido en un modelo lógico que representa un estado en el que un
componente o grupo de componentes está indisponible.
5
incluye el estado indisponible de otro componente, que es el resultado de mecanismos de
acoplamiento funcionales y que normalmente se incluye de manera explícita en los
modelos lógicos (por ejemplo, árboles de falla). Este caso se refiere a aquellos sucesos que
no pueden ser incluidos explícitamente en los modelos lógicos, sino a través de modelos
paramétricos, y son referidos comúnmente como fallas de causa común (FCC).
Causa raíz: Mecanismo básico por el cual se produce la falla de un componente, de modo
que si se corrige se evitará la recurrencia de ésta (¿por qué falla el componente?). Este
concepto tiene carácter subjetivo y va a estar asociado con la estrategia defensiva particular
que se adopte contra el mecanismo de falla, de modo que la identificación de una causa raíz
va asociada con la ejecución de las defensas. Este concepto se complementa con los de
suceso activador y suceso condicionador. Pueden identificarse cuatro tipos generales de
causas raíces:
Suceso activador: Suceso, usualmente externo al componente, que activa la falla o inicia
la transición hacia el estado de falla, independientemente de que la falla es revelada en el
momento en que ocurre dicho suceso. Se considera como una característica dinámica del
mecanismo de falla.
6
Mecanismo de falla: Procesos de origen físico y/o químico involucrados en (o
responsables por) la ocurrencia de una falla, incluyendo los sucesos e influencias que
conducen a la misma.
Mecanismo de acoplamiento: Vía por la cual se explica cómo una causa raíz de falla se
propaga para implicar a múltiples componentes del equipo. Existen tres categorías
generales: Funcionales, Espaciales y Humanos.
Táctica defensiva: Medida que puede ser introducida en el diseño, las pruebas funcionales
y el mantenimiento, para disminuir la frecuencia o el impacto de las fallas.
7
CAPITULO 2
MECANISMOS QUE RIGEN LA OCURRENCIA
DE LAS FALLAS DEPENDIENTES
Para comprender la mecánica que rige la ocurrencia de los sucesos dependientes deben
responderse las tres preguntas siguientes:
Estas preguntas se relacionan con los tres factores siguientes: la causa raíz de la falla o
estado indisponible del componente; el mecanismo responsable por la propagación de dicha
causa hacia otros componentes, que provoca la falla múltiple (mecanismo de
acoplamiento); y la existencia o ausencia de defensas tecnológicas u operacionales contra
las fallas de equipo en la instalación.
Así, puede establecerse que las fallas dependientes son el resultado de la coexistencia de
los dos primeros factores anteriores: el primero (causa raíz) proporciona la susceptibilidad
del componente a la falla; el segundo (mecanismo de acoplamiento) crea las condiciones
para que se produzcan fallas múltiples de componentes, dada la existencia de una causa
raíz. Finalmente, puede identificarse el tercer factor (estado de las defensas contra fallas
dependientes) como determinante para la consideración o no de la posibilidad de ocurrencia
de estas fallas, es decir, como medio para eliminar la incidencia de al menos uno de los dos
factores anteriores. De esta manera, de acuerdo con la estrategia de defensa incorporada en
el diseño y explotación de una instalación puede considerarse posible o no la ocurrencia de
fallas múltiples dependientes.
En la práctica a menudo nos encontramos con reportes de falla con una descripción
bastante simple del problema como, por ejemplo, una bomba ha fallado debido a la
presencia de una alta humedad. Sin embargo, para poder comprender a fondo cuál es la raíz
del problema y su potencialidad de provocar fallas múltiples se necesita conocer la razón de
esa alta la humedad y por qué ésta afectó al componente. Ello equivale a decir que es
necesario conocer la cadena causal de la falla, es decir, la secuencia de sucesos que la
determinaron.
Esta secuencia de sucesos, que constituye el mecanismo de falla, puede tener cierto grado
de complejidad, por lo que su identificación no siempre es un proceso simple y puede
encontrarse en la literatura una variedad de métodos para su determinación [13, 14].
8
En la cadena causal de un suceso pueden identificarse varios niveles de causa en función de
su complejidad. La causa inmediata caracteriza el síntoma de la causa final o causa raíz,
pero esta última tiene un carácter relativo, dependiendo en gran medida de la profundidad
del análisis que se realice para su determinación, así como de las defensas que han de
adoptarse para evitar la recurrencia de la falla. En ocasiones es difícil llegar a determinar la
verdadera causa raíz, ya que puede no disponerse de toda la información requerida para
ello.
Para lograr una mejor comprensión del problema durante el proceso de revisión de datos
sobre sucesos ocurridos, es conveniente apoyarse en los dos conceptos siguientes: el suceso
condicionador y el suceso activador.
Otros conceptos de interés con relación a los mecanismos de falla, se refieren a la velocidad
con que estos actúan sobre el componente. Estos son de especial importancia a la hora de
considerar las posibles medidas de defensa, como se verá posteriormente en el epígrafe 2.3.
9
Suceso de falla Causa Inmediata Suceso Activador Suceso Condicionador Causa Raíz
1.Falla en operación de Corrosión por alta Fuga de vapor en el Centro de control de mo- Falta de atención
una bomba por hume- humedad local de la bomba tor mal sellado por error durante el mante-
dad en el centro de tras el mantenimiento nimiento y/o de-
control de motor ficiencias en los
procedimientos
2.Componente cuya prueba Error de diseño Error de diseño Ninguno Error en la concep-
funcional fue exitosa, ción del diseño y en
falla ante una demanda la configuración de
real la prueba
3a.Un componente falla Error de manteni- Acto de manteni- Error o ambigüedad Error o ambigüedad
tras el mantenimiento miento miento en los procedimien- en los procedimien-
tos tos y entrenamiento
inadecuado del per-
sonal
3b.Un componente falla Error de manteni- Acto de manteni- Entrenamiento ina- Entrenamiento ina-
tras el mantenimiento miento miento decuado y falta de decuado y falta de
atención durante motivación
el mantenimiento
4.Falla mecánica del eje Alta vibración Exposición cumula- Error de montaje Entrenamiento ina-
de una bomba tiva de la bomba a decuado del personal
una vibración exce- de montaje y defi-
siva ciencia de los proce-
dimientos de montaje
En la ref. [4] se definen dos tipos de sucesos activadores con respecto a su velocidad de
actuación sobre el componente, los impulsivos (de acción rápida) y los persistentes (de
acción lenta). La velocidad de actuación de los mecanismos de falla impulsivos puede
medirse a través del tiempo entre la ocurrencia del suceso activador y la falla como tal,
mientras que para los mecanismos de falla persistentes ésta puede medirse por el tiempo
que demora el proceso de degradación hasta el momento de la falla. Como ejemplos de
fallas resultantes de mecanismos impulsivos están aquellas debidas a incendios,
inundaciones, explosiones y terremotos, donde el tiempo que transcurre entre el suceso
activador y la falla suele ser del orden de minutos o, a lo sumo, de unas pocas horas.
10
Para completar la idea sobre los mecanismos de falla, se puede definir finalmente el
concepto de causa raíz como la razón o razones básicas por las que falla un componente,
de modo que si cualquiera de ellas es corregida, se evitaría la recurrencia de la falla.
Partiendo de esta definición puede comprenderse que la identificación de la causa raíz está
estrechamente vinculada a ejecución de medidas de defensa contra la ocurrencia de las
fallas.
La causa raíz puede estar asociada con un suceso condicionador, un suceso activador o a
ambos inclusive, como indican los ejemplos de la Tabla 2.2-2. Sin embargo, en la
descripción de los sucesos ocurridos en las instalaciones suele aparecer la causa inmediata
o directa de estos en lugar de la causa raíz que es, en última instancia, la que permite lograr
una comprensión cabal de los fenómenos que conducen a la falla, con el fin de evaluar las
medidas de defensa adecuadas.
Por ejemplo, la causa inmediata del suceso No.1 de la Tabla 2.2-1 se ha identificado como
"corrosión debida a la penetración de humedad". Así aparece registrada en muchos
documentos de notificación de sucesos ocurridos en la industria (por ejemplo, Licensee
Event Reports, de las centrales nucleares de los Estados Unidos). Sin embargo, la razón de
la penetración de humedad en este caso fue un error humano al no sellar de forma
apropiada el equipo tras la realización del mantenimiento. En la última columna de la tabla
se indica que ello se debió a dos factores, uno fue la falta de atención durante el
mantenimiento, ya que el personal debe estar familiarizado con esta parte de la tarea pues
labora con frecuencia con equipos que necesitan ser rehermetizados, y por otro lado, a
deficiencias en los procedimientos escritos donde no aparecía ninguna disposición para la
rehermetización del equipo tras el mantenimiento. De aquí se deduce que la corrosión
debida a la penetración de humedad no fue la causa raíz de este suceso sino sólo el efecto
de la combinación de ciertas deficiencias.
Para determinar la causa raíz de las fallas debe procederse partiendo de las causas
intermedias hasta llegar a la causa final, para lo cual puede realizarse un análisis de "causa-
efecto" como el que se presenta en el ejemplo de la Tabla 2.2-1 (adaptada de la ref. [4]),
donde dos válvulas redundantes fallan a la apertura por falta de lubricante en sus
rodamientos. Esto a su vez se debió a la falta de un mantenimiento preventivo adecuado.
Finalmente, la causa raíz de ambas fallas se determinó como una deficiencia en la
programación realizada, que no incluía un sistema de programación formal para las
válvulas dentro del mantenimiento preventivo de la instalación. Con frecuencia se pueden
encontrar sucesos similares a éste, donde se identifican erróneamente como causa raíz "la
falla de los rodamientos", "falta de lubricante", o "error humano", cuando en realidad
representan causas inmediatas e intermedias de toda la secuencia de sucesos implicados.
11
Causa Inmediata Efecto
Como ya se ha señalado, el concepto de causa raíz está atado a las medidas de defensa que
se adopten, por lo que éste puede ser interpretado de distinta manera por diferente personal,
en la medida en que sean empleados enfoques distintos (diferente estrategia defensiva) en
diferentes instalaciones para prevenir la recurrencia de un suceso de falla. Ello significa que
en distintas instalaciones se le pueden atribuir diferentes causas raíces a un mismo suceso
de falla. La razón de esto es que la filosofía de dirección en las instalaciones no es
necesariamente la misma, como tampoco lo es la experiencia técnica del personal, los
enfoques adoptados para el mantenimiento y la investigación, ni la distribución de los
recursos disponibles. Los dos ejemplos siguientes extraídos de la ref. [4], ilustran este
problema.
En una instalación explotada por la Empresa "X" ha ocurrido un suceso que implica la
falla de varios componentes redundantes. Tanto el explotador como el suministrador
llegaron a la conclusión, tras un análisis detallado del suceso, de que los programas de
mantenimiento preventivo y calibración presentan las siguientes deficiencias:
12
• El personal de mantenimiento no tiene el nivel de preparación ni la experiencia
requeridos, para ejecutar trabajos de mantenimiento en este tipo de equipo en la forma
apropiada.
Un suceso similar ocurre ahora en una instalación explotada por la Empresa "Y" y en este
caso también se obtienen las mismas conclusiones que en el anterior. La gerencia de la
Empresa "Y", luego de analizar dichas conclusiones decide que la razón básica de la
ocurrencia del suceso fue un error durante el mantenimiento. La filosofía de la Empresa
"Y" es muy distinta a la de la Empresa "X". El grupo de mantenimiento de la Empresa "Y"
está bien entrenado y equipado para ejecutar trabajos de mantenimientos e investigación
de mayor complejidad que los que usualmente realiza. Las investigaciones detalladas
sobre las fallas del equipo se llevan a cabo en la propia instalación, por lo que los costos
asociados se compensan al no tener que enviar los equipos al suministradror para realizar
este trabajo.
La gerencia de la Empresa "Y" estima que la instalación cuenta con la cantidad y calidad
de personal apropiadas para realizar los trabajos de mantenimiento con la calidad y en el
tiempo requeridos, por lo que recomienda ejecutar una revisión de los procedimientos y
actividades de mantenimiento concernientes al equipo afectado por este suceso y otros en
condiciones similares, de modo que se asegure que cada tarea la realice el personal
apropiado y que el intervalo de mantenimiento planificado sea el adecuado. En
instalaciones donde se aplique esta filosofía de mantenimiento la causa raíz de un suceso de
este tipo se reporta comúnmente como error de mantenimiento.
A modo de resumen debe señalarse que los conceptos de suceso activador, suceso
condicionador y causa raíz se complementan entre sí. Los dos primeros ayudan a
comprender qué pasa al ocurrir una falla y cómo falla el componente, mientras que el
último ayuda a comprender por qué falla el componente. La identificación de la causa raíz
puede incluir varios niveles de análisis deductivo en función de la profundidad o nivel de
detalle que se requiera. Finalmente, es importante destacar que los conceptos y métodos
descritos más arriba son aplicables al análisis de todo tipo de fallas, tanto dependientes
13
como independientes y, de hecho, un análisis completo de las fallas de causa común debe
integrar ambos tipos de fallas.
En el Capítulo 4 (epígrafe 4.3) se presenta una clasificación de las causas de falla [1, 2],
que ayuda a completar la comprensión del problema en torno a la identificación y análisis
de las mismas.
Este último caso es el que mayor importancia cobra en las industrias donde tales sucesos
implican grandes pérdidas económicas o cuyas consecuencias tengan implicaciones
negativas para la salud del hombre y para el medio ambiente.
Para que las fallas múltiples se consideren dependientes éstas deben ocurrir al mismo
tiempo o lo suficientemente cercanas en el tiempo (por ejemplo, entre dos pruebas
funcionales o dos mantenimientos preventivos sucesivos). La responsabilidad por la
propagación de una causa de falla de un componente a otros, recae sobre los denominados
mecanismos o factores de acoplamiento.
14
1. Entradas o servicios de apoyo comunes.
2. Igualdad del diseño.
3. Similitud de las condiciones ambientales.
4. Ubicación en un mismo local.
5. Igualdad de función o misión.
6. Igualdad de procedimientos de operación.
7. Igualdad de procedimientos de pruebas e inspección en servicio.
8. Igualdad de procedimientos de mantenimiento.
A. Funcionales.
En este último caso existe una dependencia directa cuando el producto del funcionamiento
de un componente constituye una entrada para otro (p.e., enlace entre sistemas de
enfriamiento o de agua de alimentación y los sistemas de alimentación eléctrica,
lubricación, etc.). Una dependencia indirecta existe siempre que los requerimientos
funcionales de un componente dependan del estado de otro (p.e., relación entre sistemas de
cuyo éxito dependen otros que actúan primero en el proceso de funcionamiento de la
instalación, como es el caso de las bombas de agua de alimentación con respecto a las de
condensado, o los sistemas de inyección de emergencia de las centrales nucleares durante la
fase de recirculación con respecto a la fase de inyección).
B. Espaciales.
B.2.Aquellas que están asociadas a condiciones ambientales adversas, creadas por las
fallas que pueden ocurrir tras un suceso iniciador [15], o directamente por éste y que
causan un incremento de la probabilidad de fallas múltiples de sistemas (por ejemplo,
impacto de objetos proyectados, de chorros de vapor y agua, etc.).
15
Es importante destacar que la proximidad no es el único factor que induce a este tipo de
dependencias, sino que existen otros como radiación, campo electromagnético, o a través
de la ventilación (o climatización en general), que pueden proporcionar un acoplamiento
ambiental entre elementos físicamente separados.
Un ejemplo de acoplamiento espacial que puede estar presente en el diseño y afectar tanto a
la disponibilidad como a la seguridad de una instalación, es la disposición en un mismo
espacio de los cables de alimentación eléctrica y de control de las bombas de petróleo que
suministran a la caldera. Un incendio en la estación de bombeo de petróleo, por ejemplo,
debido a un cortocircuito en los cables de alimentación eléctrica de una de las bombas,
podría, por una parte, afectar las demás bombas producto de las condiciones de alta
temperatura, si no se han tomado las medidas apropiadas de separación física entre ellas y,
por otro lado, afectar los cables de control de una o varias bombas, lo que podría significar
el agravamiento de las consecuencias del incendio, si como consecuencia de la afectación
de los circuitos de control no pueden desconectarse las bombas en funcionamiento o se
conectan otras que estuviesen en reserva.
C. Humanos.
En el suceso No.2 aquellos componentes con un mismo diseño y con la misma designación
de funciones podrían fallar ante una demanda común, si están afectados por un error fatal
de diseño. En este caso el suceso activador es el error de diseño y es común a todos los
componentes de ese grupo, por lo que serían afectados todos ellos.
16
alertado por la falla en uno de los componentes implicados y evite cometer el error sobre
los demás. Lo mismo ocurre en el caso del suceso 3b.
En el caso del suceso No.4, el suceso condicionador (error de montaje) podría afectar a
varios componentes redundantes si los trabajos son ejecutados por el mismo grupo de
montaje y aplicando los mismos procedimientos, lo que podría conducir a condiciones de
alta vibración (suceso activador) en los componentes afectados y finalmente podría ocurrir
la falla múltiple de estos.
En las siguientes tablas (adaptadas de la ref. [5]), se resumen algunas de las causas
genéricas que pueden crear acoplamientos entre diferentes componentes, aplicables a las
condiciones de funcionamiento de los sistemas de la industria convencional.
17
Electromagnética Equipos de soldadura; maquinarias eléctricas rotatorias;
tormentas eléctricas; líneas de transmisión.
18
operacionales defectuosos.
19
2.4. Defensas contra fallas dependientes.
Hasta el momento se han tratado los factores que facilitan la ocurrencia de las fallas
dependientes, es decir, la susceptibilidad de un componente a la falla (aplicable a todo tipo
de fallas) y que se refiere a la existencia de una causa raíz, y los factores que propagan esta
susceptibilidad a otros componentes, fundamentalmente a aquellos que son redundantes y
que se refiere al mecanismo de acoplamiento.
Existe un último factor que puede decidir si cabe o no esperar la ocurrencia de fallas
dependientes de componentes. Este se refiere a la ausencia o existencia de medidas de
defensa contra estas fallas, tanto en el diseño como en la explotación de un sistema o
instalación.
Para ilustrar los tipos de estrategia a seguir para prevenir fallas dependientes en una
instalación, podemos auxiliarnos de los ejemplos mostrados con anterioridad en la Tabla
2.2-1. Así, por ejemplo, si se aplica la estrategia de evitar la ocurrencia de la falla, entonces
una medida útil en el caso del suceso No.1 de esta tabla sería proteger los centros de control
de motores de las bombas contra la humedad, mediante un adecuado control de calidad de
sus sellos. Esto fortalecería a dichos componentes ante sucesos condicionadores potenciales
como el identificado en el ejemplo. Otra medida sería adiestrar al personal de
mantenimiento en la correcta interpretación de los procedimientos, asumiendo que en estos
se incluyen disposiciones para rehermetizar los componentes que lo requieran tras su
mantenimiento.
Por otra parte, si la estrategia a seguir es debilitar o eliminar el acoplamiento entre las
fallas, lo que no significa que se eviten las fallas únicas independientes, debe actuarse sobre
las características que sean comunes a varios componentes, para evitar que un tipo
particular de causa afecte a todos los componentes implicados de manera simultánea y
asegurar, así, una mayor oportunidad de detectar las fallas antes de que ocurran en varios
componentes dentro de un mismo grupo. Por ejemplo, en el caso del suceso 3b de la Tabla
2.2-1, si se aplicara la diversidad de personal de mantenimiento, puede disminuirse
considerablemente la oportunidad de ocurrencia del suceso condicionador, es decir, la
20
acción errónea del personal de mantenimiento sobre diferentes componentes del mismo
tipo.
Para prevenir los sucesos dependientes o mitigar sus efectos, es muy importante
comprender cómo podrían fallar los posibles niveles de defensa, por lo que seguidamente
se ejemplifica este enfoque a través de los cuatro sucesos de falla mostrados en la Tabla
2.2-1.
Suceso No.1. El error que se describe como causa de la falla podría haberse cometido si
durante la etapa de diseño no se advierte la posible existencia de condiciones
de alta humedad. En este caso el proceso de revisión del diseño puede
considerarse potencialmente deficiente. Sin embargo, en tal ejemplo se ha
asumido que ha fallado la defensa contra la entrada de humedad en el centro
de control de motor de la bomba, dado que se había previsto la posibilidad de
la presencia de alta humedad y, por lo tanto, la necesidad de asegurar la
hermeticidad durante la explotación de la instalación.
Suceso No.2. En este caso, el proceso de revisión del diseño, como defensa primaria, así
como la prueba funcional, como defensa secundaria se consideran
deficientes.
Suceso No.3a. Aquí la falla en la revisión de los procedimientos (defensa primaria) pudo
conducir a que se confeccionaran procedimientos ambiguos o erróneos. Un
adiestramiento adecuado del personal de mantenimiento podría
considerarse como defensa secundaria contra procedimientos ambiguos, por
lo que se considera también deficiente.
Suceso No.4. Aquí pudo ocurrir que el control de calidad durante el montaje (defensa
secundaria) fuera deficiente, permitiendo que el error pasara inadvertido. A
su vez, el error de montaje se pudo producir debido al entrenamiento
inadecuado del personal que laboró en estas tareas y a deficiencias presentes
en los procedimientos a partir de los cuales se ejecutaron las mismas
(defensa primaria).
Dada la posibilidad de que una misma táctica de defensa pueda ser efectiva contra una clase
completa de mecanismos de acoplamiento que presenten características similares, y para
facilitar el análisis de las medidas de defensa contra fallas dependientes, las causas de la
falla o estado indisponible de componentes se pueden clasificar convenientemente en tres
grandes grupos [4]:
21
Incluyen errores de diseño, fabricación, construcción, montaje y puesta en servicio.
Incluyen causas de falla atribuibles a la forma en que son usados los componentes. Incluyen
errores durante o después de las actividades de mantenimiento, inspecciones en servicio,
pruebas y calibración. (Para una mejor comprensión de éstas, consulte la Parte II).
Incluyen sucesos de falla para los que puede identificarse de manera clara un parámetro
ambiental como la causa del estado indisponible de componentes. De acuerdo con la
clasificación realizada en el epígrafe 4.3 (Capítulo 4), se puede construir una matriz
genérica de "defensa vs. causa" que ayude a revisar las características del diseño, operación
y mantenimiento de sistemas específicos con respecto a la ocurrencia o no de determinadas
fallas dependientes [4, 5]. Esta matriz se muestra en la Tabla 2.4-1.
22
DEFENSA Causas Preoperacionales Causas Operacionales Causas Ambientales
Barreras y y y y y y y y y y y y
Diversidad o y
Mantenimiento Preventivo o y o y o y o y o y o y o y o y
Revisión de Procedimientos y y y y y y y y a a a a
o o o o
C d C d C y C y C y C y C y C y
Vigilancia, Pruebas o o o o o o o o o o
Funcionales, e Inspección en
servicio
_______________
a. Dirigida a aquellos aspectos relativos a la integridad de la barrera.
b. Control de calidad y revisión del diseño.
c. Puede ser una barrera eficaz si pudiese controlarse el proceso de degradación.
d. Pruebas de aceptación de la capacidad funcional.
Cualquier impedimento físico que tienda a confinar y/o restringir una condición
potencialmente dañina. Esta medida resulta particularmente eficaz para el caso de
componentes y sistemas redundantes.
Para eliminar las dependencias funcionales (por ejemplo, entre un sistema de fluido y el
sistema de alimentación eléctrica), que hayan resultado importantes tras la realización de
un análisis de confiabilidad, puede aplicarse el criterio de independencia funcional entre
componentes redundantes, es decir, asignar para cada componente redundante una fuente
de alimentación independiente. Otras dependencias más sutiles y que sólo pueden
23
detectarse a través de un análisis detallado de confiabilidad o un análisis probabilista de
seguridad, pueden presentarse entre un sistema de fluido y otros sistemas de interfase (por
ejemplo, sistemas de suministro de agua, sistemas de enfriamiento, etc.), donde la
redundancia introducida en el diseño del primero puede degradarse debido a la poca
redundancia de los últimos. Este último problema se presenta con frecuencia cuando
sistemas de categoría superior reciben servicios de otros de una categoría inferior por una
deficiencia no detectada de diseño. (En la ref. [15] se realiza una clasificación de sistemas
atendiendo a diferentes atributos).
Por ejemplo, en la central nuclear de Peach Bottom en Junio de 1977, ocurrió un suceso
que dejó indisponibles a tres de los cuatro generadores Diesel de emergencia. El problema
tiene lugar al dejar abierta la comunicación entre los tanques de los sistemas de aire de
arranque de los Diesel 3 y 4, con el del Diesel 1 tras una reparación. Posteriormente fue
sacado de servicio el Diesel 1 para mantenimiento, quedando éste funcionalmente
indisponible. Finalmente, producto de fugas en las válvulas check, se perdió el suministro
de aire a los Diesel 3 y 4, quedando también inoperables estos últimos.
De manera general, se puede establecer que para que las barreras sean eficaces contra las
fallas de causa común, resultantes del impacto de agentes externos o ambientales, éstas
deben lograr al menos uno de los efectos siguientes:
• Protegiendo algunos o todos los equipos del impacto de sucesos activadores potenciales.
24
b. Adiestramiento del personal.
c. Control de calidad.
Programa que asegure que el "producto" sea de conformidad con el diseño documentado y
que su operación y mantenimiento se realicen de acuerdo con procedimientos y normas
aceptados. Util para evitar errores de montaje, operación y mantenimiento que produzcan
fallas dependientes e independientes.
d. Incremento de la redundancia.
e. Mantenimiento preventivo.
25
contra fallas de causa común originados en la propia realización de estas actividades, en la
medida que se disminuye el tiempo de exposición a estas fallas de manera proporcional al
grado de redundancia presente. Por ejemplo, la probabilidad de que el personal repita una
acción incorrecta sobre un grupo de componentes redundantes, es menor en la medida que
ésta se realice con una mayor separación temporal con respecto a los componentes
afectados. Sin embargo, es poco probable que el escalonamiento influya sobre la
probabilidad de errores relacionados con deficiencias de la programación o los
procedimientos de las pruebas o mantenimientos.
g. Revisión de procedimientos.
h. Diversidad.
26
CAPITULO 3
Existen varios métodos para considerar los efectos de las fallas dependientes en el análisis.
En uno se identifican de manera explícita las causas de las fallas dependientes y así se
incluyen en el modelo lógico (por ejemplo, árbol de fallas), por lo que se le conoce como
método explícito. En el otro, el efecto de las fallas dependientes se incluye en el modelo
lógico sin que se representen explícitamente las causas que las provocan, y utiliza
determinados parámetros para cuantificar el efecto de las fallas dependientes, por lo que se
le conoce comúnmente como método paramétrico (o implícito). Entre los métodos
implícitos desarrollados se encuentran el del factor beta (ß), el de múltiples letras griegas
y el del factor alfa (α), entre otros [1, 2, 3]. Existen también los métodos por computadora,
no abordados en el presente texto. En el epígrafe 3.3 se describen los fundamentos y
características del método del factor ß.
Resulta de gran importancia para la obtención de resultados correctos, que las dependencias
sean clasificadas adecuadamente en el análisis. Al identificarse los sucesos dependientes
tras la revisión de los registros de sucesos de una instalación, debe corresponderse cada
caso con determinado tipo de dependencia, de modo que se evite considerar doblemente su
efecto, es decir, de manera explícita e implícita. Un esquema útil de clasificación de los
tipos de dependencias que facilita esta tarea se presenta más adelante en el epígrafe 3.1.
27
3.1. Tipos de dependencias.
Según este esquema los sucesos dependientes se dividen de manera general en tres tipos:
sucesos iniciadores de causa común; dependencias entre sistemas; y dependencias entre
componentes.
1. Sucesos iniciadores de causa común: en esta clase se encuentran los sucesos externos,
tanto interiores como exteriores a la instalación, que tienen el potencial para provocar
incidentes que afectan el proceso productivo de la misma y a su vez incrementar la
probabilidad de falla de sistemas designados para mitigar las consecuencias de tales
incidentes. Estos sucesos provocan generalmente condiciones ambientales que exceden
las bases de diseño de los equipos y estructuras, afectando severamente la capacidad de
funcionamiento de estos. Ejemplos de estos sucesos son los incendios, las inundaciones,
los terremotos, los huracanes y tornados, y las explosiones. Se puede considerar también
dentro de esta clase la pérdida de la red exterior (pérdida de energía eléctrica exterior)
que en algunas industrias, como en la biotecnológica y en la nucleoenergética, puede
traer consigo graves consecuencias (ya sean económicas o para la salud) si no se toman
las medidas pertinentes.
Por ejemplo, una inundación en la sala de equipos auxiliares puede afectar a todas las
bombas de condensado principal y provocar la salida de servicio de la unidad, en el caso
de una central generadora de electricidad. Por otro lado, los vientos provocados por un
huracán pueden sacar de servicio a una central de este tipo producto de afectaciones en
la subestación eléctrica, aislando la misma de la red eléctrica exterior. Esto podría
afectar considerablemente a la turbina si no se prevén medidas para garantizar la
alimentación eléctrica de emergencia al girador que garantiza el enfriamiento continuado
y balanceado de los cilindros de la misma.
Las dependencias creadas por este tipo de suceso se modelan explícitamente, utilizándose
para ello comúnmente (por ejemplo, en los análisis probabilísticos de seguridad) la
técnica de árbol de eventos, con la cual se pueden representar las interacciones del
suceso iniciador con los diferentes eventos del árbol. El árbol de eventos se combina con
la técnica de árbol de fallas y otras técnicas particulares del tipo de suceso externo, para
cuantificar los efectos del suceso iniciador.
28
En la ref. [15] se definen los sucesos iniciadores para los análisis de riesgo y se
describen el método de análisis de árbol de eventos y otros métodos de análisis de
sucesos externos. En la ref. [16] se muestra cómo se combinan las técnicas de árbol de
eventos y árbol de fallas para el análisis cuantitativo de riesgo y de confiabilidad.
Las dependencias entre sistemas se pueden subdividir según las causas de las mismas
como sigue:
29
presencia de un acoplamiento espacial. Este acoplamiento espacial puede ocurrir
cuando varios sistemas comparten un dominio físico o ubicación común, o cuando
estos se comunican a través de conductos, por ejemplo, de ventilación. Por
ejemplo, la falla de un sistema de ventilación que enfría locales donde se
encuentran equipos de diferentes sistemas que constituyen fuente de calor.
2d. Interacciones humanas: son causadas por acciones humanas (errores humanos)
relacionadas con las actividades de diseño, construcción y montaje, operación,
pruebas funcionales e inspección en servicio, y mantenimiento. Por ejemplo, un
operador de turbinas dispara la unidad por error durante la lectura de los
registradores de parámetros en la sala de control (el error ocurre como
consecuencia de características ergonómicas deficientes de la sala y el panel de
control); una bomba de reserva de agua de alimentación de caldera falla al
arranque debido a un error de mantenimiento, cuando es demandada
automáticamente tras la falla de la bomba que se encontraba operando; una
maniobra incorrecta del operador de calderas debida a la mala interpretación de la
posición de los niveles en el domo-separador, coincidente con la falla de las
protecciones por bajo nivel de agua, provoca la falla de múltiples tubos en el
horno y el disparo de la unidad.
La definición de estos cuatro tipos es similar a la que se realizó más arriba para las
dependencias entre sistemas, pero en este caso se sitúan a nivel de componentes. Los tipos
3a y 3b se modelan siempre de manera explícita, utilizando para ello comúnmente la
técnica de árbol de fallas. Los efectos de las dependencias se incluyen asignándole una
codificación única a los sucesos interdependientes en el modelo para que sean identificados
y resueltos apropiadamente en el proceso de reducción booleana.
Los tipos 3c y 3d pueden modelarse tanto de forma explícita como implícita. El método
explícito se emplea cuando existen datos para estimar los parámetros necesarios para la
cuantificación (por ejemplo, la rata de fallas), debido a que han sido identificadas de
manera clara las causas de falla (por ejemplo, fallas debidas a acciones erróneas del
personal durante la operación o el mantenimiento cuya frecuencia o probabilidad puede ser
estimada; fallas debidas a la existencia de condiciones ambientales anormales, producto de
30
la falla de la ventilación, etc.). Para el resto de los casos debe emplearse el método
implícito o paramétrico, por ejemplo, cuando no puede cuantificarse la contribución
particular de diferentes causas de falla posibles, ya que la complejidad de la secuencia de
sucesos que actúan no lo permite. En este último caso se encuentran los acoplamientos
debidos a componentes redundantes con igual diseño, similares condiciones de operación y
que sean operados o mantenidos bajo los mismos procedimientos y el mismo personal.
En un árbol de eventos esta representación consiste en eliminar las ramas de decisión que
no tienen sentido desarrollar, es decir, para las cuales no se considera la alternativa
"éxito/falla" de un sistema por haber tenido éxito o haber fallado otro del cual depende
para su funcionamiento, o debido a una dependencia del sistema con las condiciones que
crea el suceso iniciador. Ello evita delinear secuencias de eventos imposibles o ilógicas,
para lo cual deben colocarse primeramente en las cabeceras del árbol aquellos eventos de
31
los cuales dependan otros, que serán colocados detrás. En la Figura 3.2-1 se ilustra cómo
pueden incluirse algunas de las dependencias definidas en el epígrafe 3.1 anterior, a través
de un ejemplo hipotético (consulte el Capítulo 5 de la ref. [15] para mayor comprensión de
esta técnica).
En la Fig. 3.2-1, S1, S2, S3 y S4 representan sistemas designados para mitigar el suceso
iniciador de accidente SI (conocidos comúnmente como sistemas de seguridad o
mitigación). El diseño de la instalación es tal que ante la ocurrencia de SI se requiere lo
siguiente para evitar el daño de la misma:
32
Figura 3.2-2. Sistema hipotético de bombeo.
33
Figura 3.2-3. Arbol de fallas simplificado del sistema hipotético de
bombeo, con dependencias intercomponentes incluidas explícitamente.
- Independientes
F-B1
F-B2
F-V2
F-V3
- Dependientes
F-EE
F-T
F-V1
Como se puede apreciar el suceso básico F-EE hace fallar a ambas líneas de bombas
redundantes (B-1 y B-2), ya que ambas dependen funcionalmente de la misma fuente de
alimentación eléctrica, representado esquemáticamente en la figura mediante la envolvente
de línea discontinua denominada EE, que encierra a ambas bombas. Esto se ha modelado
asignándole un mismo código para la falla de la alimentación eléctrica de ambas bombas
(F-EE) como entrada a la compuerta AND. Por otra parte, los sucesos básicos F-T y H1-V1
34
hacen fallar el sistema cada uno por sí solo, lo que se ha modelado colocándolos como
entradas a la compuerta OR de falla del sistema (Tope). Así, los sucesos básicos F-T, H1-
V1 y F-EE, se obtienen en la reducción booleana del árbol como conjuntos mínimos de
orden 1.
Se han desarrollado varios modelos paramétricos para tratar las dependencias residuales
(factor ß, múltiples letras griegas, factor, etc.) los cuales se recogen en la literatura
especializada [1, 2, 3, 4, 5, 6, 7, 8, 9,11, 12, 17]. En el transcurso del presente epígrafe se
explican los fundamentos y características del método del Factor ß, ya que puede
considerarse el más apropiado para su utilización en los análisis de confiabilidad y riesgo
de la industria convencional, por las siguientes razones:
• Puede ser empleado cuando la disponibilidad de datos sea escasa o nula, asumiendo un
valor genérico de ß ya que, como se verá más adelante, los valores estimados varían
generalmente en un rango pequeño para una amplia variedad de componentes.
• Comparado con otros métodos, éste es más sencillo ya que utiliza un único parámetro
adicional a la rata o probabilidad de falla total del componente, para cuantificar la
probabilidad de falla de causa común.
Este modelo asume que la rata de falla de un componente tiene dos contribuciones, una
debida a causas atribuibles únicamente a ese componente y la otra a causas que son
35
compartidas por otros componentes del mismo grupo. Es decir, que existe una fracción
constante (ß) de la rata de falla del componente que está asociada a sucesos de causa común
que son compartidos con otros componentes del mismo grupo. Además de esto, se asume
que cuando ocurre un suceso de causa común todos los componentes pertenecientes a ese
grupo fallan. Partiendo de estas consideraciones la definición del factor ß se puede deducir
como sigue:
λi + λc = λ (3−1)
λc λc
∴ ß = = ; 0≤ ß ≤1 (3−2)
λi + λc λ
Con lo que queda definido ß como la fracción de las fallas totales que son debidas a fallas
dependientes. De la ecuación (3-2) se desprende que:
λi = (1 - ß) · λ , y (3-3)
λc = ß · λ (3-4)
Q = qA · qB + q(AB)c (3-5)
q(AB)c = ß · qA = ß · qB (3-6)
36
donde Q es la indisponibilidad o probabilidad de falla del sistema
qA es la probabilidad del suceso básico "falla del componente A por causas
independientes"
qB es la probabilidad del suceso básico "falla del componente B por causas
independientes"
q(AB)c es la probabilidad del suceso básico de causa común "falla simultánea de
A y B"
Nótese que en la ecuación (3-6) se ha asumido que la probabilidad del suceso básico "falla
del componente A" es idéntica a la del suceso básico "falla del componente B", partiendo
de la condición de que ambos sucesos son similares (igual modo de falla) y de que ambos
componentes son idénticos (condición de simetría). Ello reduce considerablemente la
cantidad de probabilidades a estimar en la práctica.
Este problema se puede ver con mayor claridad si hacemos corresponder a cada suceso
básico con un valor de probabilidad, digamos 1E-03 y asumimos un valor de ß para este
caso, digamos ß=0.1. Sustituyendo en la ecuación (3-6):
Nota: el factor (0.9) se ha introducido para obtener el valor real de Q en los ejemplos
mostrados. Esto significa que existe un 10% de contribución de fallas por causas
comunes y un 90% de contribución de fallas por causas independientes a la
indisponibilidad de cada componente.
37
Si no se incluyera la contribución de la falla de causa común (es decir, asumiendo total
independencia entre ambos componentes), tenemos que:
Este último resultado refleja que se ha subestimado la probabilidad de falla del sistema en
dos órdenes.
Veamos ahora cómo influyen las fallas de causa común en la probabilidad de falla de un
sistema formado por dos componentes A y B en serie (sin redundancia), como el que
muestra la Figura 3.3-2.
En este caso la probabilidad de falla del sistema se determina por la ecuación (3-7):
Q = qA + qB + q(AB)c (3-7)
- Sin considerar las fallas de causa común (es decir, asumiendo total independencia entre
ambos componentes):
38
Por otro lado, la consideración de las dependencias residuales en sistemas con componentes
en serie complicaría innecesariamente los modelos, ya que como resultado se obtendría una
ligera reducción en el valor estimado de probabilidad de falla del sistema, en tanto el
número de sucesos básicos en el modelo se incrementaría considerablemente en proporción
a la cantidad de componentes - modos de falla considerados en el análisis.
A modo de ilustración se listan en la Tabla 3.3-1 los factores ß genéricos estimados para los
componentes de las centrales nucleares que se incluyeron en la Tabla 1-1. [1, 2].
qm
ß = (3-10) qt = q1 + qm (3-11)
q1 + qm
39
CAPITULO 4
SISTEMA PARA LA CLASIFICACION DE LOS
DATOS
Sin embargo, un analista de datos que estudie los registros de operación y mantenimiento
como parte de las tareas a realizar en un análisis de confiabilidad o de riesgo, no sería
capaz de determinar, a partir de descripciones como ésta, si la fuga constituyó una falla
catastrófica, o simplemente se utilizó la ocasión de una salida planificada o de otro tipo
para realizar una reparación de una falla de menor significación. En este caso el analista de
datos no tiene otra alternativa que decidir si clasifica este suceso como un estado
indisponible del componente o como potencialmente indisponible. El resultado de su
decisión afectará evidentemente la estimación de la rata de fallas de este tipo de
componente, para ese modo de falla, tendiendo equivocadamente hacia el lado conservador,
si se incluye el suceso como estado indisponible y en realidad no lo es, o hacia el lado
optimista, en caso contrario.
Este problema tiene una significación mayor donde los registros sean escasos o
insuficientes. Como puede apreciarse en la Tabla 1-1 (Capítulo 1), la cantidad de sucesos
puede ser enorme y, de estos, los sucesos dependientes suelen representar una fracción
relativamente pequeña. De aquí la importancia de que las instalaciones cuenten con un
sistema de recolección de datos organizado y orientado hacia la confiabilidad, que sirva de
fuente a estos estudios, con el objetivo de reducir las incertidumbres en la estimación de los
parámetros de interés. Así, por ejemplo, se reconoce a partir de los resultados obtenidos de
estudios especializados, que la fuente mayor de incertidumbres proviene de la
interpretación de los datos [1, 3].
40
clasificación de sucesos ocurridos en la industria para propósitos de delineación de las
interrelaciones lógicas entre la causa de un suceso y el impacto del mismo, aunque se
reconoce en la literatura que estos métodos no son definitivos y están aún en desarrollo [1,
2, 3, 4, 5]. Es conveniente aclarar que este sistema es independiente del sistema de
recolección de datos de una industria, y su objetivo es asistir a los analistas en la
interpretación de los registros de sucesos, de modo que se reduzca el grado de subjetividad
y las ambigüedades.
Una vez que se hayan coleccionados todos los datos de interés en la instalación que va a ser
objeto de estudio, debe realizarse la revisión y clasificación los mismos para incluirlos
apropiadamente en las categorías predefinidas en el sistema, y que van a describir el tipo de
suceso, sus causas y el número de componentes afectados. A partir de esta clasificación se
identificarán con mayor claridad los sucesos de causa común que serán modelados
mediante métodos paramétricos y aquellos sucesos (independientes y dependientes) que se
incluirán de manera explícita en los modelos. Adicionalmente, podrán ser eliminados del
análisis de datos para la estimación de parámetros, aquellos sucesos que no constituyan
estados fallados o de indisponibilidad funcional.
41
•
42
• Fallado: el componente no es capaz de ejecutar su función, o funciona cuando no es
requerido. Para restablecer su capacidad funcional es necesaria la reparación o la
sustitución del componente. Se incluyen en esta categoría los casos donde un
componente resulte dañado y necesite ser reparado, siendo la causa del daño la falla
de algún otro componente (o sistema) del cual dependa funcionalmente el
componente dañado (por ejemplo, sobrecalentamiento de un componente debido a la
falla del sistema de ventilación o aire acondicionado).
Los modos de falla representan la forma en la que pueden ocurrir los estados de
componentes diferentes del nominal, es decir, describen la manera en la que es violado el
criterio de éxito de un componente (ya sea potencial o realmente).
Resulta importante definir los modos de falla, ya que en la práctica los componentes
pueden tener diferentes modos de operación o encontrarse en diferente posición y, por
tanto, el modo en que pueden fallar va a depender de la posición o el estado que ocupaba el
componente antes de la falla.
Por ejemplo, un interruptor de circuito puede encontrarse normalmente abierto y, ante una
determinada situación, requerirse su cierre. Si estamos analizando la confiabilidad de un
sistema en el cual dicho interruptor debe cerrar para que éste cumpla su función, entonces
el modo de falla de interés para ese componente sería "falla al cierre" y así, para estimar su
rata de falla, serían consideradas sólo las fallas en tal modo durante el proceso de revisión
de las estadísticas relativas a todos los estados indisponibles de ese componente.
Hay casos en que la función de un componente puede afectarse por diferentes vías. Por
ejemplo, un intercambiador de calor puede quedar indisponible por una rotura apreciable en
su carcaza, o por una disminución apreciable de la eficiencia de intercambio térmico
(debida a incrustaciones en las paredes de los tubos), así como también debido a que la
función del sistema que suministra el agua de enfriamiento está indisponible.
43
En los dos primeros casos los modos de falla de interés para este tipo de componente son
"ruptura de la carcaza" y "pérdida de eficiencia de intercambio térmico". Para las bombas,
ventiladores, generadores Diesel de emergencia, etc., de los cuales se requiere
primeramente el arranque y posteriormente el funcionamiento por espacio de un tiempo
determinado, los modos de falla de interés serían "falla al arranque" y "falla a continuar
operando" (o, simplemente, "falla en operación").
Para lograr la uniformidad en la definición de los modos de falla, dada la gran variedad de
estos que pueden tener lugar, y de acuerdo con la experiencia acumulada en el campo de
recopilación y manipulación de datos, es conveniente definir modos de falla genéricos
aplicables a diferentes tipos de componentes genéricos de la industria. En la Tabla 4.2-1 se
listan tales modos de falla, su codificación y explicación [17].
La lista incluida en la Tabla 4.2-1 no es absoluta y, en función del nivel de detalle deseado
y la disponibilidad de información, podrían definirse modos de falla más específicos para el
análisis. Asimismo, para el caso de estados potenciales de componentes, puede añadirse al
código del modo de falla una letra "P" (por ejemplo, "PR", para el caso de "falla potencial
a seguir operando"). Por otro lado, hay modos de falla que pueden requerir alguna
especificación, como es el caso de la falla al mantenimiento de la posición ("D"), que puede
significar "arranque espúreo" (o falso) si el componente arranca sin que sea requerido, o
"parada espúrea" (o falsa) si el componente estaba operando y detiene su funcionamiento
antes de que ello sea requerido, así como también aquellos casos de "cierre falso" o
"apertura falsa" en interruptores y válvulas. Para todos estos modos de falla se incluirá una
codificación especial en la medida que se considere conveniente y práctico.
1 Todos los modos A Caracteriza cualquier tipo de falla que pueda ocurrir
sobre cualquier componente. Incluye fallas
incipientes, por degradación y catastróficos. Se
emplea cuando no se dispone de la definición del
modo de falla detallado o de los datos de falla para
modos particulares. Indica que el componente está
fuera de servicio o debe ser sacado de servicio en
condiciones normales de operación.
44
Tabla 4.2-1. Modos de falla genéricos (cont.)
45
Tabla 4.2-1. Modos de falla genéricos (cont.)
46
Tabla 4.2-1. Modos de falla genéricos (cont.)
A pesar del esfuerzo realizado en el tema de la clasificación de las causas raíces de fallas,
aún se trabaja para completar y perfeccionar los esquemas desarrollados. Por ejemplo, en el
Anexo D de la ref. [16] (Fig. D.1) se presenta un esquema de clasificación de las causas de
fallas dependientes (aplicable también a las fallas independientes), mediante una estructura
jerárquica "de arriba hacia abajo", que parte de categorías más generales que se van
subdividiendo en niveles más bajos hasta llegar a las posibles causas raíces específicas.
Así, una falla pudo haberse producido por fenómenos relacionados con la explotación y,
dentro de ésta, con defectos en los procedimientos de mantenimiento relativos a la
calibración del equipo afectado. Este esquema intenta orientar a los analistas que realizan la
revisión de los datos de una instalación, para determinar las causas raíces de falla de los
equipos, ya que identificar éstas significa poder evitar la recurrencia de las fallas. No
obstante, no debe considerarse definitivo, sino que debe tomarse como una guía en el
proceso de identificación de la causa de falla. De hecho, en muchas ocasiones se necesita
realizar una investigación más a fondo para llegar a la verdadera causa raíz, sobre todo en
los casos donde intervienen múltiples fenómenos.
47
El esquema que se presenta a continuación sigue un enfoque alternativo y, como parte del
sistema de clasificación de datos, resulta útil para seleccionar el método apropiado a utilizar
para incluir las dependencias intercomponentes en los modelos lógicos.
Como muestra la Figura 4.3-1, las causas se clasifican en ocho clases generales, las cuales
se subdividen a su vez en niveles inferiores que sirven, además, de guía para la recopilación
de información más detallada sobre las causas (en el caso de que dicha información esté
disponible). A diferencia del esquema de la Fig. D.1 de la ref. [16], aquí se ha incluido la
clase de "otro componente", para reflejar los casos de indisponibilidad de un componente
debida al estado de otro, asimismo, a cada clase le corresponde un código gráfico-
alfanumérico para permitir su identificación en el sistema de clasificación de datos.
48
(DX) Otras.
(PX) Otras.
(HX) Otras.
(EF) Incendio.
(ER) Radiación.
49
(EC) Reacciones químicas.
- Vibración.
- Humedad
50
- Fatiga térmica
- Corrosión inducida por ambientes salinos, etc.
También ocurren fallas donde es difícil identificar la causa final, por lo que con frecuencia
se asigna la categoría de "desconocida" (U). Tal puede ser el caso de un equipo rotatorio
que se ha desajustado, presentando determinadas piezas sueltas. Ello pudo ser el resultado
de un error del personal de montaje al no ajustarlas adecuadamente; a que el equipo ha
estado sometido a altas vibraciones por causas externas a éste; o a la propia naturaleza de
diseño del equipo que contribuye con el tiempo a que se suelten dichas piezas. En este caso,
no se le suele atribuir una causa interna a la falla del componente, sino una serie de causas
potenciales, lo cual indica que la categoría asignada es "desconocida" (U) en lugar de
"interna" debida a condiciones ambientales normales (IE).
Por último, debe tenerse en cuenta que la categoría de "mantenimiento correctivo" (MF) se
asigna sólo si no se conoce la causa de la falla del componente.
51
4.4. Diagrama lógico de causa-efecto.
Hasta aquí han sido definidas las categorías de estados de componentes y sus causas, con su
respectiva codificación y simbología. Esto constituye la base para la delineación de los
diagramas lógicos de causa-efecto, que serán usados para representar los diferentes
escenarios que describe un suceso.
Este diagrama significa que ha ocurrido una falla del componente "1" debida a causas
internas a éste y como resultado los componentes "2" y "3" han quedado funcionalmente
indisponibles, por presentar una dependencia funcional con el primer componente. Esto
podría haber sido, por ejemplo, la apertura falsa (espúrea) de un interruptor (componente
"1" del ejemplo) que deja desconectadas de la alimentación eléctrica a las dos bombas del
sistema contra incendio de una instalación (componentes "2" y "3" del ejemplo), lo que
impide que éstas no puedan arrancar para mitigar un incendio ocurrido. (Vea el ejemplo del
esquema de la Figura 3.2-2, del Capítulo 3).
• Círculo: se utiliza para representar las causas. También de utilizan para representar
operadores lógicos para los casos donde varias causas están presentes y es necesario
indicar si se requieren todas o un grupo de ellas para que ocurra el suceso. Por ejemplo,
en el siguiente diagrama están presentes dos causas, pero la existencia de una sola de
ellas es suficiente para que ocurra el suceso (lógica (1/2), equivalente a una compuerta
OR con dos entradas, en los diagramas lógicos de confiabilidad).
52
Por otra parte, si ambas causas son necesarias para que ocurra el suceso el diagrama sería el
siguiente:
Donde la lógica (2/2) es equivalente a una compuerta AND con dos entradas, en los
diagramas lógicos de confiabilidad.
• Enlaces: son las líneas sólidas que unen a los cuadros y círculos y representan los
mecanismos de acoplamiento entre esos elementos, de modo que un elemento situado a la
izquierda de la línea es la causa del elemento situado a la derecha.
Pueden presentarse sucesos en los que una misma causa impacta a varios componentes,
situación que se representa mediante múltiples líneas que conectan la causa con los
diferentes estados de componente resultantes, como lo muestra el primero de los tres
ejemplos anteriores.
53
4.5. Clasificación de los sucesos.
54
Una característica de los diagramas lógicos de causa-efecto, que resulta útil para clasificar
los sucesos, se refiere a la posibilidad de dividirlos en subestructuras denominadas
unidades. Una unidad es cualquier porción del diagrama lógico de causa-efecto, formada
por una causa y todos lo estados de componente resultantes de dicha causa. De esta manera
las unidades se clasifican en lineales o ramificadas, como se muestra en la Figura 4.5-2.
Así, un diagrama lógico de causa-efecto puede contener varias unidades, ya sean lineales,
ramificadas o una combinación de ambas, en función de las características del suceso
ocurrido.
Todas estas definiciones forman la base del esquema de clasificación jerárquica de sucesos
que presenta la Figura 4.5-3. En esta figura se presenta, además, la relación entre el tipo de
suceso (independiente y dependiente) y las categorías de sucesos que se obtienen de las
diferentes estructuras lógicas causa-efecto.
55
Figura 4.5-3. Esquema de clasificación jerárquica de los sucesos.
El esquema presentado en la Figura 4.5-3 comienza clasificando los sucesos en dos grandes
categorías: "lineales" y "ramificados". Como puede verse, los sucesos lineales están
formados solamente por unidades lineales, mientras que los ramificados tienen al menos
una unidad ramificada.
56
componente" (BMC) y "sucesos ramificados de unidad múltiple de causas mixtas"
(BMM).
Todos los sucesos de la categoría LM y aquellos que son causados por componente, sean
lineales o ramificados (BSC, BMC y BMM) deben incluirse en los modelos de análisis de
confiabilidad, de manera explícita. Los sucesos de causa común se refieren al subconjunto
de la categoría BSR, que satisface los criterios de selección para modelarlos en un análisis
de sistema como un suceso básico de causa común, es decir, de manera implícita.
57
CAPITULO 5
PROCEDIMIENTO SIMPLIFICADO PARA EL ANALISIS DE LAS
FALLAS DE CAUSA COMUN
Para lograr completar el análisis de las dependencias dentro de los estudios de confiabilidad
y riesgo (es decir, en adición a la consideración de las dependencias de manera explícita),
de forma tal que sean considerados todos los sucesos verosímiles que impacten sobre la
capacidad funcional de los sistemas de interés, se presenta en este capítulo un
procedimiento simplificado para el análisis de las fallas de causa común (dependencias
residuales).
A pesar de que el análisis de las dependencias es parte integral de las tareas de modelación
de sistemas (y secuencias de accidente, en el caso de los análisis probabilísticos de
seguridad), se le da un tratamiento diferenciado a las dependencias residuales entre
componentes idénticos, redundantes y activos, por sus particularidades e impacto sobre la
confiabilidad y el riesgo (para el caso de sistemas con determinado grado de redundancia).
58
5.1. Presentación general del procedimiento de análisis.
Esta etapa incluye todos los pasos o tareas comunes de un análisis tradicional de árbol de
fallas de un sistema, sin llegar a la cuantificación. El objetivo de esta etapa es asegurar la
familiarización del analista con el sistema que va a ser analizado, de modo que se
identifiquen las fronteras del sistema, los modos de falla de interés, y se defina el criterio de
éxito del mismo. Como resultado debe definirse el suceso tope y construirse el modelo
lógico (árbol de fallas).
El producto de salida de la Etapa 1 constituye la entrada para esta etapa, así, una vez
construido el árbol de fallas del sistema, el próximo paso es el análisis cualitativo. El
objetivo de este análisis es identificar de manera conservadora las vulnerabilidades
potenciales del sistema que se analiza, a las fallas de causa común, realizando un análisis
selectivo de los posibles componentes implicados en este tipo de suceso y evaluando la
capacidad del sistema (o incapacidad) para contrarrestar o mitigar tales fallas. Como
resultado se obtendrán los grupos de componentes de causa común que serán la base para
definir los componentes - modos de falla (sucesos básicos de causa común) que serán
incluidos en el análisis cuantitativo del sistema, en la siguiente etapa.
En esta etapa se definen los sucesos básicos de causa común que se incluirán en el modelo
del sistema, se determinarán las probabilidades o ratas de falla de estos y se cuantificará la
indisponibilidad del sistema. Finalmente se documentarán los resultados de la evaluación
de la confiabilidad del sistema en términos de los sucesos que contribuyen de manera
significativa a su indisponibilidad y las recomendaciones pertinentes. Esto incluye los
resultados de los análisis de sensibilidad que sean requeridos para evaluar el impacto de la
variación de los valores genéricos asumidos. La denominación de limitado, significa que no
se realizará una cuantificación preliminar y una detallada basada en estimaciones rigurosas
de parámetros, como en el caso de los análisis de fallas de causa común que se realizan, por
ejemplo, para la industria nucleoenergética, ya que no es este el objetivo por las razones
planteadas al inicio del presente capítulo.
A continuación se detallan los pasos de cada una de las etapas más arriba señaladas.
59
Figura 5.1-1. Estructura del procedimiento para el análisis de fallas de causa
común.
El primer paso en esta etapa se refiere a la identificación del sistema que va a ser
analizado. Esto está en correspondencia con los objetivos del análisis y significa que el
analista debe identificar cuál es el sistema de interés dentro de la instalación particular. Una
vez identificado, el analista debe familiarizarse con la designación, el diseño y la operación
del sistema, en un grado de detalle que esté en correspondencia con los objetivos del
análisis y que le permita obtener toda la información suficiente para abarcar el alcance de
las tareas que definen los objetivos.
60
Adicionalmente, deben definirse las fronteras interiores, que marcan el grado de resolución
del análisis. Esto significa definir qué va a considerar como componente, es decir, las
partes componentes de cada elemento del sistema que no se subdividen más para el análisis.
Por ejemplo, en el caso de una bomba podrían incluirse dentro de sus fronteras el motor, el
cuerpo, el eje con el impelente, los rodamientos y los sellos, el circuito de control, el
sistema de lubricación y enfriamiento (si es aplicable) y el interruptor de circuito del motor.
Por otro lado, quedarían fuera de la frontera de este componente las válvulas de succión y
descarga de la bomba, los relays del sistema de actuación, etc. . No obstante, el problema
de la definición de las fronteras de los componentes depende en gran medida de cómo está
organizado el sistema de registro de datos en la instalación particular (por ejemplo, de
acuerdo con la organización de la sección de mantenimiento) y de la resolución de los datos
disponibles en la instalación particular, para cuantificar las fallas e indisponibilidades de
los componentes.
Habiendo definido las fronteras, pueden identificarse entonces los modos de falla de
interés. Una lista bastante completa de estos que puede servir de referencia, se presenta en
la Tabla 4.2-1 (Capítulo 4). Es importante tener en cuenta que aunque pueden definirse un
variado número de modos de falla para un mismo componente, sólo son de interés aquellos
que puedan ser representativos de la violación del criterio de éxito del mismo, para lo cual
es necesario conocer la función del componente dentro del sistema, su estado en los
diferentes regímenes en que participe el sistema, la realineación que pueda sufrir al
requerirse su funcionamiento, etc. (para mejor orientación remítase al epígrafe 4.2 del
Capítulo 4). Estos modos de falla van a constituir en principio los elementos del árbol de
fallas del sistema a construir.
El siguiente paso se refiere a la definición del criterio de éxito del sistema y del suceso
tope, y por último la construcción del árbol de fallas del sistema, técnica con la cual se
asume que el analista está familiarizado, por lo que no se detallan aquí las reglas que
normalmente se siguen para ello. Note que en el árbol de fallas construido deben estar
incluidas las dependencias que permitan su modelación explícita (guíese por la información
presentada en los epígrafes 3.1 y 4.5, Capítulos 3 y 4, respectivamente).
61
las medidas de defensa correspondientes introducidas. Estos mecanismos son los que
distinguen a las fallas únicas independientes de las fallas múltiples de causa común. Del
examen de las fallas de causa común ocurridas en el campo de la nucleoenergética, se ha
llegado a la conclusión de que estos mecanismos de acoplamiento están asociados a
determinados factores que eran comunes a los componentes fallados. Un primer intento de
selección debe basarse en los siguientes atributos de componentes activos y redundantes:
Como apoyo a este proceso es conveniente desarrollar una lista de chequeo que incluya a
los atributos anteriores, para evaluar el grado de similitud entre los posibles componentes
implicados. Esta lista de chequeo puede incluir lo siguiente:
• Función del componente en el sistema: aislamiento del sistema; regulación del caudal;
obstrucción; conexión o interrupción de alimentación eléctrica, etc.
62
• Características y procedimientos de prueba del componente: por ejemplo, intervalo
de pruebas; configuración o realineamiento de prueba; efecto de la prueba sobre la
operación del sistema, etc.
Los grupos de componentes que compartan similitudes en uno o más atributos de la lista
presentada, pueden considerarse con potencial de falla de causa común. No obstante, en
dependencia de las características específicas de diseño y operación y de los requerimientos
funcionales, pueden ser necesarias determinadas combinaciones de atributos similares para
que existan condiciones reales para la ocurrencia de fallas de causa común. La evaluación
debe realizarse caso por caso, antes de decidir si existe o no-vulnerabilidad potencial a este
tipo de falla.
• Cuando se usen componentes activos, idénticos, sin que incluyan diversidad funcional
para proporcionar redundancia en un sistema, tales componentes deben ser asignados a un
grupo de componentes de causa común; uno por cada grupo de componentes redundantes
idénticos.
En la Tabla 5.3-1 se relaciona un listado mínimo de componentes genéricos en los que debe
centrarse esta revisión, obtenidos de la experiencia operacional y de análisis realizados para
la industria nucleoenergética, aunque la lista final debe resultar de la revisión detallada del
sistema.
63
Grupo Descripción Modo de falla cubierto
No.
5.1 Motorizada
5.2 Neumática
5.3 Cheque
5.4 Alivio/seguridad
Hasta este punto el análisis tiene un carácter conservador y el objetivo es que en el caso de
que no se prosiga producto del alcance definido, la disponibilidad de recursos, los objetivos
perseguidos, etc., no sean omitidas las vulnerabilidades principales. En tal caso el estudio
deberá ir acompañado de la documentación correspondiente a las tareas realizadas y los
criterios técnicos que justifiquen la no-continuidad del mismo.
Si se decide proseguir, de acuerdo con los objetivos del análisis, el alcance correspondiente
a dichos objetivos y los recursos y tiempo disponibles, el próximo paso es la realización de
un análisis cualitativo detallado, para incluir la experiencia y las prácticas de operación
específicas de la instalación (sistema).
64
• Revisión del diseño y prácticas operacionales del sistema (o instalación).
Para ejecutar esta parte del análisis cualitativo detallado, debe realizarse una inspección in-
situ del sistema, así como entrevistas con el personal de operación y mantenimiento.
Así, van a ser revisadas las características de diseño y todas las prácticas de operación del
sistema, como resultado de las cuales pueden eliminarse algunos de los grupos de
componentes de causa común seleccionados en el paso anterior (análisis selectivo
preliminar), dada la aparición de medidas de defensa introducidas en el sistema (o la
instalación) contra estos sucesos. En el epígrafe 2.4 del Capítulo 2, se relacionan las
medidas o tácticas de defensa que pueden identificarse durante el proceso de revisión. Debe
tenerse en cuenta que cada táctica no presenta la misma eficacia en la reducción o
eliminación de la ocurrencia de las fallas de causa común para cada tipo de acoplamiento o
causa presentes. En tal sentido se desarrolló el epígrafe 2.4 y la Tabla 2.4-1.
Esta revisión le permitirá al analista completar sus criterios en torno a las causas y
mecanismos de falla, y en qué medida estos se vinculan con las características físicas y
funcionales de los componentes y sistema en general (o instalación).
Al llevar a cabo esta tarea, el analista debe consultar las bases de datos disponibles. Pero,
para que sea completamente fructífera la revisión, estas bases de datos deben incluir
descripciones detalladas de los sucesos ocurridos, cuestión ésta que se presenta como un
problema real particularmente para las fallas de causa común, incluso para el caso de las
centrales nucleares, donde se exige un riguroso registro de tales incidencias dentro de los
requerimientos para mantener la licencia de explotación. No obstante, la consulta de
fuentes de información que describan las características físicas y funcionales del sistema (o
instalación) y los procedimientos de explotación, unida a la revisión de los datos
disponibles puede ayudar considerablemente al cumplimiento del objetivo de esta etapa,
que no incluye la recopilación de estadísticas de falla ni la clasificación de los datos.
Antes de la ejecución de esta tarea, es importante que el analista esté familiarizado con los
conceptos definidos en los epígrafes 2.2 y 2.3, del Capítulo 2.
El resultado de los pasos anteriores del análisis cualitativo detallado, se puede representar
mediante las denominadas matrices de Causa vs Defensa y de Factor de Acoplamiento vs
Defensa. El objetivo de estas matrices es mostrar de manera explícita la influencia de las
tácticas defensivas sobre las causas raíces y los factores de acoplamiento identificados en
los pasos anteriores. Esta influencia se evalúa cualitativamente a través de símbolos, como
65
los que muestra la Tabla 2.4-1, del Capítulo 2. Como se observa en dicha tabla, el cuadro
obscurecido significa un impacto (o influencia) fuerte; el círculo en blanco significa un
impacto moderado o débil; el punto significa que la influencia es nula o no apreciable.
Como guía para la construcción de estas matrices han de consultarse las tácticas de defensa
que se pueden emplear contra estos tipos de sucesos, las cuales se analizan en el epígrafe
2.4, del Capítulo 2. El estudio de la matriz genérica de Defensa vs Causa, mostrada en la
Tabla 2.4-1, puede resultar útil para la construcción de las matrices específicas de Causa vs
Defensa para los grupos de componentes de causa común de interés.
Una vez que el analista haya revisado toda la información disponible acerca del diseño y
operación del sistema (o instalación), recogerá sus criterios sobre la efectividad de las
defensas que hayan sido incorporadas, relativas a los grupos de componentes que pasen el
análisis selectivo preliminar, en matrices específicas que construirá sobre la base de los
formatos de las Tablas 5.3-2, 5.3-3 y 5.3-4, siguientes.
La construcción de estas matrices permitirá a los analistas sugerir las mejoras al diseño y la
operación del sistema para reducir las vulnerabilidades a tales sucesos.
El análisis de las fallas de causa común puede detenerse en este punto, si con ello han sido
satisfechos los objetivos propuestos. En tal caso el estudio deberá ir acompañado de la
documentación correspondiente a las tareas realizadas y los criterios técnicos que
justifiquen la no-continuidad del mismo. En caso de que se requiera un análisis cuantitativo
de confiabilidad o riesgo, debe continuarse con la tercera etapa del procedimiento.
66
Tácticas Defensivas
Mecanismos de Falla Táctica "X" Táctica "Y" Táctica "Z"
del Componente Causa Factor de Causa Factor de Causa Factor de
Raíz Acoplam. Raíz Acoplam. Raíz Acoplam.
Xxx x º º x º
Yyy º x x x º
Tabla 5.3-2. Ejemplo de formato de matriz Causa vs Defensa, para mostrar el impacto
de las tácticas defensivas sobre causas raíces y factores de acoplamiento.
Xxx x º
Yyy x º
Xxx x º
Yyy x º
67
5.4. Análisis cuantitativo limitado.
Tomando como entradas los resultados de la etapa 2 (epígrafe 5.3), es decir, la definición
de los grupos de componentes que presentan una susceptibilidad apreciable a fallas de
causa común, se realizarán los pasos necesarios para cuantificar los efectos de éstas sobre
la indisponibilidad del sistema (o el riesgo de la instalación).
La no-realización de una cuantificación detallada no puede verse como una limitación del
presente procedimiento, ya que el objetivo que se persigue es precisamente identificar los
sucesos básicos de causa común potenciales, y cómo estos pueden afectar la
indisponibilidad del sistema. Constituye un objetivo la investigación futura de la posible
aplicación de métodos más exactos de estimación de parámetros, en función de los datos
disponibles y de su costo-beneficio.
Un suceso básico de causa común es aquel que implica la falla de un conjunto específico de
componentes por una causa común. Considere un sistema que tiene dos ramas redundantes,
como el de la Figura 3.2-2. Para este caso, se identifican como grupos de componentes de
causa común potenciales a las válvulas {V2, V3} y las bombas {B1, B2}. Asumiendo que
tras el análisis selectivo preliminar y el análisis cualitativo detallado, ambos grupos quedan
como susceptibles a fallas de causa común, entonces los sucesos básicos de causa común
serán los siguientes:
68
requeridas para que se considere cumplida la función del sistema, entonces no sería
necesaria la definición de estos sucesos (ambas bombas no serían redundantes).
Considere ahora un sistema formado por tres componentes redundantes (A, B y C), cuyo
criterio de éxito es el funcionamiento de uno de los tres componentes. En este caso,
asumiendo que los tres componentes son idénticos, se identifican como un grupo de causa
común del cual se pueden definir tres sucesos básicos de causa común dobles y uno triple,
de la siguiente forma:
(CABC)
(FA*FB*FC)
Según el criterio de éxito del sistema, las fallas dobles por causa común deben combinarse
entre sí para que se produzca la falla del sistema (conjuntos mínimos) como sigue:
El producto de este paso es una lista de sucesos básicos de causa común, que serán
incluidos en el modelo del sistema.
69
• Incorporación de los sucesos básicos de causa común en el árbol de fallas.
Aquí se incluyen en el modelo del sistema los sucesos básicos de causa común que fueron
identificados en el paso anterior, para lo cual es preciso hacer algunas modificaciones en el
árbol de fallas.
Existen dos formas de incluir los sucesos básicos de causa común en el árbol de fallas del
sistema. En una de ellas estos se incluyen en el nivel más cercano posible a la puerta tope
adicionando una puerta OR, cuyas entradas serían tales sucesos (para modelos detallados
con gran cantidad de sucesos básicos). De otro modo, los sucesos básicos de causa común
serán incluidos en el nivel inferior del árbol, es decir, adicionando una puerta OR en el
lugar donde aparezca el modo de falla del componente implicado, siendo las entradas a esa
compuerta las fallas independientes y de causa común definidas para el componente (caso
de modelos sencillos con pocos sucesos básicos).
Los ejemplos de las Figuras 5.4-1 y 5.4-2 muestran el árbol de fallas de la Figura 3.2-3
modificado para incluir los sucesos básicos de causa común empleando ambos enfoques.
Figura 5.4-1. Arbol de fallas con sucesos básicos de causa común incluidos al nivel
más cercano a la puerta tope.
70
Figura 5.4-2. Arbol de fallas con sucesos básicos de causa común incluidos al nivel
inferior del árbol.
71
CM-B1/2-S: Falla de causa común de las bombas "B1" y "B2" al arranque ante la
demanda.
CM-B1/2-R: Falla de causa común de las bombas "B1" y "B2" en operación dado que
arrancó ante la demanda.
CM-V2/3-C: Falla de causa común de las válvulas "V2" y "V3" a cambiar de posición ante
la demanda.
Los árboles de falla de las figuras anteriores modelan la indisponibilidad del sistema
representado en la Figura 3.2-2, con las fallas de causa común incluidas empleando dos
enfoques diferentes. A diferencia del árbol de fallas de la Figura 3.2-3, en éstas se han
incluido los modos de falla en cada suceso básico, para que los ejemplos se acerquen a la
modelación real del sistema.
Como se aprecia en ambas figuras, cuando las fallas de causa común se incluyen en el nivel
inferior del árbol (a nivel de componentes - modos de falla), la dimensión del árbol de
fallas se incrementa en proporción al número de sucesos básicos de causa común
existentes. Por otra parte, esto complica la cuantificación en el caso de árboles complejos
con un gran número de sucesos básicos, como podría ser en el caso de sistemas reales
complejos, debido a la gran cantidad de operaciones de reducción booleana que tendrían
lugar.
Ambos enfoques conducen a los mismos resultados si los modelos han sido construidos
correctamente. La adopción de uno u otro método queda a la opción del analista. Sin
embargo, es conveniente tener claro cuándo es mejor seguir uno u otro método para incluir
los sucesos básicos de causa común en el árbol de fallas.
En este paso se calculan las ratas de fallas para cada suceso básico de causa común
incluido en el modelo del sistema, partiendo de los siguientes factores:
- rata de fallas genéricas para tipos de componente (tomadas de una base de datos
genérica);
- valor genérico de ß=0.1 para los sucesos básicos de causa común con fallas dobles y para
todo los tipos de componentes incluidos y modos de falla de interés de componentes a la
espera; y
- valor genérico de ß=0.05 para los sucesos básicos de causa común con fallas dobles y
para todo los tipos de componentes incluidos y modos de falla de interés de componentes
en operación; y
- orden de la falla múltiple del suceso básico de causa común dado (ß2 o ß3, para fallas
dobles o triples, respectivamente).
72
Los parámetros ß de los sucesos básicos de causa común con falla triple (ß3) serán
calculados usando la siguiente expresión tomada de la referencia [18]:
donde ßk = factor BETA para la falla de "k" componentes de un mismo grupo genérico
de dimensión "m", (m=k);
La ecuación (5-1) anterior resulta de aplicar iterativamente la ecuación (5-2) siguiente, que
asume que la probabilidad condicional de falla del componente k-ésimo (k>2), dado que (k-
1) componentes han fallado, es igual al promedio de la unidad (1.0) y el ß para (k-1) de k
componentes que fallan:
Para el caso del presente procedimiento, se ha asumido que los grupos de componentes de
causa común tendrán una dimensión máxima m=3 (por lo que generarían a lo sumo sucesos
básicos de causa común con fallas triples, ß3). No obstante, si se diera el caso de grupos de
dimensiones mayores, la expresión (5-1) puede aplicarse para calcular los ß respectivos.
La rata de fallas del suceso básico de causa común se determina entonces, multiplicando el
ß dado por la rata de fallas que aparece en la base de datos genérica, para el componente.
73
- estrategia de pruebas/mantenimiento del componente (si es tipo 4).
El tipo de componente del suceso básico de causa común se corresponde con el del suceso
básico independiente que le da origen.
Para los componentes cuyo dato sea una probabilidad fija en lugar de la rata de fallas (tipo
1, ARCON), la probabilidad del suceso básico de causa común se determina directamente,
mediante el producto de la probabilidad de falla fija del componente, dada en la base de
datos genérica (asumida o estimada si se requiere en casos específicos), por el ß del mismo.
Lo cual determina que para pruebas escalonadas se introduzca como dato de intervalo entre
pruebas el valor TI/n.
Para los sucesos especiales (si es aplicable), se presentan las bases para la estimación de su
probabilidad.
Finalmente se presenta la base de datos del estudio, donde aparezcan los datos estimados
(ratas o probabilidades de falla de causa común), las ratas o probabilidades de fallas
independientes, datos referentes a pruebas y mantenimientos, etc.
Este paso se refiere a la cuantificación del árbol de fallas del sistema, mediante la
sustitución de los sucesos básicos del árbol de fallas (dependientes e independientes) por
sus parámetros de fiabilidad. Esto se realiza automáticamente con la ayuda de un código de
análisis como, por ejemplo, el ARCON.
74
• Análisis de resultados y documentación.
Los resultados cuantitativos obtenidos en el paso anterior son interpretados por el analista.
Ello incluye la valoración de las contribuciones relativas de las fallas independientes, los
errores humanos, las indisponibilidades por mantenimiento y las fallas de causa común.
Finalmente, deberán documentarse todas las hipótesis del análisis, los pasos dados en cada
etapa, con relación a las fallas de causa común y los resultados, tanto cualitativos como
cuantitativos del análisis, con las respectivas conclusiones y recomendaciones.
- Identificar causas raíces y mecanismos de acoplamiento para los sucesos de causa común
significativos.
75
CAPITULO 6
EJEMPLO DE ANALISIS DE FALLAS DE CAUSA COMUN A UN
SISTEMA HIPOTETICO DE EXTINCION DE INCENDIOS
76
Composición del esquema.
En la Tabla 6.1-1 se describen los componentes principales del sistema de la Figura 6.1-1.
77
Funcionamiento del sistema.
Las válvulas V1 y V6 se encuentran siempre abiertas, a menos que se necesite realizar una
reparación en el tanque T o en las bombas B1 (B2) y B3, respectivamente.
En caso de incendio, el sistema de detección de incendios pone en marcha a las tres bombas
B1, B2 y B3. Si todas tienen éxito el operador procede a dejar sólo una en funcionamiento.
La alineación del sistema en este modo de operación es la siguiente:
- Válvula V4 abierta.
- Válvula V5 cerrada
- Válvula V2 (V3, V8) se abre de manera pasiva al organizarse el flujo por las líneas de
bombas correspondientes.
- Válvula V7 se abre automáticamente sólo en el caso de que no se establezca el flujo a
través de V4. Esta misma señal hace que la válvula V9 se coloque en la posición
requerida para restringir el caudal al enfriamiento de componentes (si se encontraba
funcionando en ese modo) al mínimo posible, para garantizar el éxito de la función de
extinción de incendio.
En este sistema todos los componentes son controlados (excepto la válvula check V8). El
tanque T se controla continuamente, mediante la indicación de los medidores de nivel.
Las bombas B1 y B2 se prueban secuencialmente, con una frecuencia de una vez al mes, en
modo de recirculación al tanque T, a través de la válvula V5.
78
La duración total de la prueba de ambas bombas es de dos horas. Posteriormente el
operador realinea el sistema en el modo de espera (abre V4 y cierra V5).
Si durante la prueba se detecta fallado algún componente, se procede al mantenimiento
correctivo del mismo (ver mantenimiento del sistema, más adelante).
• Preventivo planificado
• Correctivo
- Tanque T
Se cierran V1 y V4. La válvula V5 se mantiene cerrada (sino es sobre ella que se realiza
el mantenimiento correctivo). Se interrumpe la alimentación eléctrica a las bombas B1
y B2 (sistema EE1). En estas condiciones la instalación puede operar por sólo 240
horas.
- Válvulas V1 y V6
- Bomba B3
- Válvula V8
79
Se cierra V4 y V7 se mantiene cerrada. En estas condiciones la instalación puede operar
por 48 horas.
- Válvula V4
- Válvula V7
- Válvula V9
Como simplificación para este ejemplo, sólo se consideran tres sistemas de interfase:
y Sistema EE1
Tiene la función de suministrarle la energía eléctrica a las bombas B1 y B2, para que
puedan funcionar en el momento de la demanda y durante el tiempo de misión requerido.
y Sistema EE2
Tiene la función de suministrarle la energía eléctrica a la bomba B3, para que pueda
funcionar en el momento de la demanda y durante el tiempo de misión requerido.
A modo de simplificación se representa en el esquema un único elemento de este sistema
con el código EE2, que incluye implícitamente a todos los elementos de dicho sistema.
y Sistema CC
80
Este sistema se utiliza en la instalación como reserva para el enfriamiento de los
componentes principales, así como para extinción de incendios en caso de falla de las
líneas de bombas B1 y B2.
Por lo tanto, la bomba B3 y la válvula de control V9 se consideran parte del sistema objeto
de análisis desde el punto de vista funcional. Así, la bomba B3 se considera una
redundancia adicional de las bombas B1 y B2, y es idéntica a estas últimas en cuanto al
tipo, potencia y fabricante.
Fronteras internas
y Bombas
En la Tabla 6.1-2 se resumen los modos de falla de interés para los diferentes componentes
del sistema. La selección se realizó sobre la base de la revisión del diagrama de flujo del
81
sistema (Figura 6.1-1) y la información que ofrece la Tabla 6.1-1, sobre la función de los
componentes y su posición en el esquema.
82
Tabla 6.1-2. Listado de los modos de falla de interés para el análisis.
83
Modos de falla omitidos
No se consideran relevantes las fugas de las válvulas, ni las rupturas de los cuerpos de
bombas y válvulas. En el primer caso, debido a que no se consideran fallas catastróficas,
sino estados degradados o incipientes, mientras que en el último se asume (para este
ejemplo) que la probabilidad de roturas de cuerpos de válvulas y bombas es despreciable en
comparación con la probabilidad de otros modos de falla de estos tipos de equipos,
producto de la baja presión con que opera el sistema.
No se le da crédito a la obstrucción de los rociadores.
84
6.1d. Construcción del árbol de fallas del sistema.
Para construir el árbol de fallas del sistema, primeramente se deben identificar los
respectivos nodos y segmentos de interés en el esquema de la Fig. 6.1-1, como se muestra
en la Fig. 6.1-2. El modelo de árbol de fallas construido para el sistema se muestra en la
Figura 6.1-3.
85
86
87
6.2. Análisis cualitativo.
Los componentes redundantes del sistema que tienen similitud en gran parte de los
atributos señalados en el Capítulo 5, son los siguientes:
88
Dado que estamos en presencia de un sistema de ejemplo, donde no existen datos de
referencia sobre el montaje, la operación y el mantenimiento, ni existe la posibilidad de
verificar el estado real del sistema in-situ, ni de realizar consultas al personal, se
simplificará esta etapa considerando las siguientes hipótesis:
2. En el caso de las bombas B1, B2 y B3, existe un desacoplamiento entre la última y las
dos primeras en cuanto al régimen de operación, la ubicación física y la fuente de
alimentación, lo que podría justificar la exclusión de B3 de este grupo. Sin embargo,
dada la ausencia de datos de operación reales por ser éste un ejemplo hipotético, se
considera conveniente mantener a B3 en el grupo, asumiendo que los restantes atributos
comunes a las tres bombas justifican su inclusión. No obstante, se advierte el hecho de
que el acoplamiento entre B1 y B2 es más marcado que entre las tres bombas.
Lo mismo ocurre en el caso de las válvulas check V2, V3 y V8, donde esta última no es
probada durante la operación de la instalación, en cambio V2 y V3 se prueban
indirectamente con la prueba de las bombas B1 y B2.
3. Se asume que no existen otras medidas de defensa efectivas contra fallas de causa común
en el sistema.
Como resultado del análisis cualitativo detallado quedan definidos los siguientes grupos de
componentes de causa común:
1-Bombas B1, B2 y B3.
89
Defensas propuestas
Alta vibración
o o .
Tabla 6.2-1. Impacto esperado de las defensas contra causas raíces de falla de las
bombas B1, B2 y B3.
90
Defensas propuestas
Defensas propuestas
Mecanismos Revisión del Revisión de Revisión de Control de Entrenamiento
de falla diseño (QC) procedimientos procedimientos configuración del personal
posibles de prueba de
mantenimiento
Mantenimiento
correctivo en
. . o
el equipo
indebido
Corrosión en la
zona del
. . . .
disco/asiento
Tabla 6.2-3. Impacto esperado de las defensas contra causas raíces de falla de las
válvulas check V2, V3 y V8.
91
Defensas propuestas
Diversidad Barreras Estrategia de Pruebas/mantenimiento
Los sucesos básicos de causa común que se definen para este sistema de ejemplo, partiendo
de los grupos de componentes de causa común seleccionados y del criterio de éxito del
sistema, las condiciones de funcionamiento y las características de diseño, se listan a
continuación:
Se descartan las fallas de causa común de las válvulas V2, V3 y V8 en el modo “falla al
cierre”, ya que la combinación de la falla al cierre de las tres válvulas es no mínima.
6.3b. Incorporación de los sucesos básicos de causa común en el modelo del sistema.
En la Figura 6.3-1 se muestra el árbol de fallas modificado para cuantificar del sistema de
la Figura 6.2-1, con los sucesos básicos de causa común incorporados.
92
Figura 6.3-1. Arbol de fallas del sistema, modificado para
cuantificar, con los SBCCs incorporados.
93
94
En las Tablas 6.3-1 y 6.3-2 se relacionan las compuertas y los sucesos primarios del árbol
de fallas de la Figura 6.3-1 anterior.
95
Tabla 6.3-2. Listado de sucesos primarios del árbol de fallas de la Fig. 6.3-1.
96
la falla de las líneas de bombas B1 y B2.
23 SE-PB3-OP Suceso especial. Probabilidad de que la bomba B3 esté en
operación (modo de enfriamiento de componentes) en el
momento de la demanda.
24 LF-B3-R Bomba B3 falla en operación, dado que había arrancado ante la
demanda.
25 SE-PB3-ESP Suceso especial. Probabilidad de que la bomba B3 esté en espera
en el momento de una demanda de extinción de incendios.
26 LF-B3-S Bomba B3 falla al arranque ante una demanda de extinción de
incendio.
27 F-EE2 Falla del sistema EE2 de suministro de energía eléctrica a la
bomba B3.
28 H1-V6-D Válvula manual V6 en posición incorrecta (cerrada) ante la
demanda, por error humano
λ = 3E-6 h-1
λc = β3 · λ
β3 = β2 · { (1+ β2) / 2}
= (0.1) · { (1+0.1)/2}
= 0.055
∴ λc = (0.055) · (3E-6)
= 1.65 E-7 h-1
λ = 3E-5 h-1
λc = β3 · λ
β3 = β2 · { (1+ β2) / 2}
= (0.05) · { (1+0.1)/2}
= 0.026
∴ λc = (0.026) · (3E-5)
= 7.8E-7 h-1
97
Para el suceso básico CM-V238-O.
λ = 3E-7 h-1
λc = β3 · λ
β3 = β2 · { (1+ β2) / 2}
= (0.1) · { (1+0.1)/2}
= 0.055
∴ λc = (0.055) · (3E-7)
= 1.65E-8 h-1
Se asume para el presente ejemplo, que el sistema trabaja con la siguiente configuración:
P (SE-PB3-OP) = 0.25
P (SE-PB3-ESP) = 1- P (SE-PB3-OP)
= 1-0.25
= 0.75
3-Base de datos del estudio.
98
No. Código T C λ/P TR T1 TI τ AOT It Pn Qmedia
t
1 CM-B123-S 4 1.65E-7 0 360 720 1 48 0 0 5.93E-5
2 CM-B123-R 5 7.80E-7 1.87E-5
3 CM-V238-O 4 1.65E-8 0 360 720 1 48 0 0 5.93E-6
4 H1-V4-D 1 6.00E-3 6.00E-3
5 LF-V4-D 4 1 2.00E-7 20 362 720 1 48 10 0 1.48E-4
6 H1-V5-D 1 6.00E-3 240 6.00E-3
7 LF-V5-D 4 1 2.00E-7 20 362 720 1 240 10 0 7.59E-5
8 LF-V3-E 4 1 3.00E-6 20 360 720 1 240 0 0 1.14E-3
9 LF-V2-E 4 1 3.00E-6 20 361 720 1 240 0 0 1.14E-3
10 LF-B2-S 4 1 3.00E-6 20 361 720 1 240 0 1 2.53E-3
11 LF-B2-R 5 3.00E-5 7.20E-4
12 LF-B1-S 4 1 3.00E-6 20 360 720 1 240 0 1 2.53E-3
13 LF-B1-R 5 3.00E-5 7.20E-4
14 LF-V2-O 4 1 3.00E-7 20 360 720 1 240 0 0 1.14E-4
15 F-EE1 7 1.00E-3 240 1.00E-3
16 H1-V1-D 1 6.00E-3 48 6.00E-3
17 LF-T-T 3 1.00E-9 20 48 2.00E-8
18 LF-V3-O 4 1 3.00E-7 20 361 720 1 240 0 0 1.14E-4
19 LF-V7-O 4 2 1.00E-5 20 364 720 1 240 10 0 7.40E-3
20 LF-V8-O 2 3.00E-7 1.20E-3
21 LF-V9-D 4 2 2.00E-7 20 363 720 1 240 7.59E-5
22 H3-BLQ-CC 1 5.00E-2 0 5.00E-2
23 SE-PB3-OP 1 2.50E-1 0 2.50E-1
24 LF-B3-R 5 3.00E-5 7.20E-4
25 SE-PB3-ESP 1 7.50E-1 0 7.50E-1
26 LF-B3-S 4 2 3.00E-6 20 363 720 1 240 1 2.53E-3
27 F-EE2 7 1.00E-3 240 1.00E-3
28 H1-V6-D 1 6.00E-3 0 6.00E-3
La determinación de los conjuntos mínimos se realizó sobre la base del truncado por orden
(orden máximo 4) y las probabilidades de estos se calcularon mediante la aproximación de
sucesos raros (según opciones del ARCON).
99
Se presentan a continuación los resultados principales del análisis para el caso básico, que
comprende:
-PC 486, 66 Mhz, 8 Mbytes de memoria RAM extendida (UNISYS, MPI 4333).
ORDEN CANTIDAD
1 4
2 12
3 62
4 78
TOTAL 156
100
1b. Listado de conjuntos mínimos dominantes e indisponibilidad del sistema.
Conjuntos Mínimos más probables Prob. % Acum.
1) 1
CM-B123-S 5.93E-05 15.64 15.64
2) 4 19
H1-V4-D LF-V7-O 4.44E-05 11.72 27.36
3) 6 19
H1-V5-D LF-V7-O 4.44E-05 11.72 39.08
4) 19 16
LF-V7-O H1-V1-D 4.44E-05 11.72 50.79
5) 25 4 28
SE-PB3-ESP H1-V4-D
H1-V6-D 2.70E-05 7.12 57.91
6) 25 6 28
SE-PB3-ESP H1-V5-D
H1-V6-D 2.70E-05 7.12 65.03
7) 25 28 16
SE-PB3-ESP H1-V6-D
H1-V1-D 2.70E-05 7.12 72.15
8) 25 4 26
SE-PB3-ESP H1-V4-D
LF-B3-S 1.14E-05 3.00 75.15
9) 25 6 26
SE-PB3-ESP H1-V5-D
LF-B3-S 1.14E-05 3.00 78.15
10) 25 26 16
SE-PB3-ESP LF-B3-S
H1-V1-D 1.14E-05 3.00 81.15
11) 15 19
F-EE1 LF-V7-O 7.40E-06 1.95 83.10
12) 4 20
H1-V4-D LF-V8-O 7.19E-06 1.90 85.00
101
Conjuntos Mínimos más probables Prob. % Acum.
(continuación)
13) 6 20
H1-V5-D LF-V8-O 7.19E-06 1.90 86.90
14) 20 16
LF-V8-O H1-V1-D 7.19E-06 1.90 88.80
15) 2
CM-B123-R 8 6.24E-06 1.65 90.44
16) 3
CM-V238-O 5.93E-06 1.56 92.01
17) 25 4 27
SE-PB3-ESP H1-V4-D
F-EE2 4.50E-06 1.19 93.19
18) 25 6 27
SE-PB3-ESP H1-V5-D
F-EE2 4.50E-06 1.19 94.38
19) 25 27 16
SE-PB3-ESP F-EE2
H1-V1-D 4.50E-06 1.19 95.57
20) 25 15 28
SE-PB3-ESP F-EE1
H1-V6-D 4.50E-06 1.19 96.75
102
1c. Listado de componentes-modos de falla dominantes.
Importancia RRW
103
1d. Gráfico de indisponibilidad instantánea del sistema. (Caso básico)
104
2-Resultados del estudio de sensibilidad No.1.
1) 4 19
H1-V4-D LF-V7-O 3.06E-05 10.08 10.08
2) 6 19
H1-V5-D LF-V7-O 3.06E-05 10.08 20.16
3) 19 16
LF-V7-O H1-V1-D 3.06E-05 10.08 30.24
4) 1
CM-B123-S 2.80E-05 9.24 39.48
5) 25 4 28
SE-PB3-ESP H1-V4-D
H1-V6-D 2.70E-05 8.89 48.37
6) 25 6 28
SE-PB3-ESP H1-V5-D
H1-V6-D 2.70E-05 8.89 57.27
7) 25 28 16
SE-PB3-ESP H1-V6-D
H1-V1-D 2.70E-05 8.89 66.16
8) 25 4 26
SE-PB3-ESP H1-V4-D
LF-B3-S 1.14E-05 3.75 69.91
9) 25 6 26
SE-PB3-ESP H1-V5-D
LF-B3-S 1.14E-05 3.75 73.65
105
Conjuntos Mínimos más probables Prob. % Acum.
(continuación)
10) 25 26 16
SE-PB3-ESP LF-B3-S
H1-V1-D 1.14E-05 3.75 77.40
11) 4 20
H1-V4-D LF-V8-O 7.19E-06 2.37 79.77
12) 6 20
H1-V5-D LF-V8-O 7.19E-06 2.37 82.14
13) 20 16
LF-V8-O H1-V1-D 7.19E-06 2.37 84.51
14) 2
CM-B123-R 8 6.24E-06 2.06 86.56
15) 3
CM-V238-O 5.93E-06 1.95 88.52
16) 15 19
F-EE1 LF-V7-O 5.10E-06 1.68 90.20
17) 25 4 27
SE-PB3-ESP H1-V4-D
F-EE2 4.50E-06 1.48 91.68
18) 25 6 27
SE-PB3-ESP H1-V5-D
F-EE2 4.50E-06 1.48 93.16
19) 25 27 16
SE-PB3-ESP F-EE2
H1-V1-D 4.50E-06 1.48 94.64
20) 25 15 28
SE-PB3-ESP F-EE1
H1-V6-D 4.50E-06 1.48 96.12
106
2b. Listado de componentes-modos de falla dominantes.
Importancia RRW
107
2c. Gráfico comparativo de indisponibilidad instantánea con el caso básico.
GRAFICO COMPARATIVO
1) 1
CM-B123-S 5.93E-05 19.15 19.15
2) 25 4 28
SE-PB3-ESP H1-V4-D
H1-V6-D 2.70E-05 8.72 27.87
3) 25 6 28
SE-PB3-ESP H1-V5-D
H1-V6-D 2.70E-05 8.72 36.58
108
Conjuntos Mínimos más probables Prob. % Acum.
(continuación)
4) 25 28 16
SE-PB3-ESP H1-V6-D
H1-V1-D 2.70E-05 8.72 45.30
5) 4 19
H1-V4-D LF-V7-O 2.28E-05 7.35 52.65
6) 6 19
H1-V5-D LF-V7-O 2.28E-05 7.35 60.00
7) 19 16
LF-V7-O H1-V1-D 2.28E-05 7.35 67.35
8) 25 4 26
SE-PB3-ESP H1-V4-D
LF-B3-S 1.14E-05 3.67 71.03
9) 25 6 26
SE-PB3-ESP H1-V5-D
LF-B3-S 1.14E-05 3.67 74.70
10) 25 26 16
SE-PB3-ESP LF-B3-S
H1-V1-D 1.14E-05 3.67 78.37
11) 4 20
H1-V4-D LF-V8-O 7.19E-06 2.32 80.69
12) 6 20
H1-V5-D LF-V8-O 7.19E-06 2.32 83.01
13) 20 16
LF-V8-O H1-V1-D 7.19E-06 2.32 85.34
14) 2
CM-B123-R 8 6.24E-06 2.01 87.35
15) 3
CM-V238-O 5.93E-06 1.92 89.27
16) 25 4 27
SE-PB3-ESP H1-V4-D
F-EE2 4.50E-06 1.45 90.72
109
Conjuntos Mínimos más probables Prob. % Acum.
(continuación)
17) 25 6 27
SE-PB3-ESP H1-V5-D
F-EE2 4.50E-06 1.45 92.17
18) 25 27 16
SE-PB3-ESP F-EE2
H1-V1-D 4.50E-06 1.45 93.62
19) 25 15 28
SE-PB3-ESP F-EE1
H1-V6-D 4.50E-06 1.45 95.08
20) 15 19
F-EE1 LF-V7-O 3.79E-06 1.23 96.30
21) 25 15 26
SE-PB3-ESP F-EE1
LF-B3-S 1.90E-06 0.61 96.91
110
3b. Listado de componentes-modos de falla dominantes.
Importancia RRW
111
3c. Gráfico comparativo de indisponibilidad instantánea con el caso básico.
GRAFICO COMPARATIVO
112
4-Resultados del estudio de sensibilidad No.3.
Disminución del valor del factor β en un factor de dos para el componente-modo de falla
No.1: CM-B123-S.
1) 4 19
H1-V4-D LF-V7-O 4.44E-05 12.77 12.77
2) 6 19
H1-V5-D LF-V7-O 4.44E-05 12.77 25.54
3) 19 16
LF-V7-O H1-V1-D 4.44E-05 12.77 38.31
4) 1
CM-B123-S 2.80E-05 8.06 46.37
5) 25 4 28
SE-PB3-ESP H1-V4-D
H1-V6-D 2.70E-05 7.76 54.13
6) 25 6 28
SE-PB3-ESP H1-V5-D
H1-V6-D 2.70E-05 7.76 61.89
7) 25 28 16
SE-PB3-ESP H1-V6-D
H1-V1-D 2.70E-05 7.76 69.65
8) 25 4 26
SE-PB3-ESP H1-V4-D
LF-B3-S 1.14E-05 3.27 72.92
9) 25 6 26
SE-PB3-ESP H1-V5-D
LF-B3-S 1.14E-05 3.27 76.19
113
Conjuntos Mínimos más probables Prob. % Acum.
(continuación)
10) 25 26 16
SE-PB3-ESP LF-B3-S
H1-V1-D 1.14E-05 3.27 79.46
11) 15 19
F-EE1 LF-V7-O 7.40E-06 2.13 81.59
12) 4 20
H1-V4-D LF-V8-O 7.19E-06 2.07 83.65
13) 6 20
H1-V5-D LF-V8-O 7.19E-06 2.07 85.72
14) 20 16
LF-V8-O H1-V1-D 7.19E-06 2.07 87.79
15) 2
CM-B123-R 8 6.24E-06 1.79 89.58
16) 3
CM-V238-O 5.93E-06 1.70 91.29
17) 25 4 27
SE-PB3-ESP H1-V4-D
F-EE2 4.50E-06 1.29 92.58
18) 25 6 27
SE-PB3-ESP H1-V5-D
F-EE2 4.50E-06 1.29 93.87
19) 25 27 16
SE-PB3-ESP F-EE2
H1-V1-D 4.50E-06 1.29 95.17
20) 25 15 28
SE-PB3-ESP F-EE1
H1-V6-D 4.50E-06 1.29 96.46
114
4b. Listado de componentes-modos de falla dominantes.
Importancia RRW
115
4c. Gráfico comparativo de indisponibilidad instantánea con el caso básico.
GRAFICO COMPARATIVO
Incremento del valor del factor β en un factor de dos para el componente - modo de falla
No.1: CM-B123-S.
116
5a. Listado de conjuntos mínimos dominantes e indisponibilidad del sistema.
1) 1
CM-B123-S 1.29E-04 28.81 28.81
2) 4 19
H1-V4-D LF-V7-O 4.44E-05 9.89 38.70
3) 6 19
H1-V5-D LF-V7-O 4.44E-05 9.89 48.59
4) 19 16
LF-V7-O H1-V1-D 4.44E-05 9.89 58.48
5) 25 4 28
SE-PB3-ESP H1-V4-D
H1-V6-D 2.70E-05 6.01 64.49
6) 25 6 28
SE-PB3-ESP H1-V5-D
H1-V6-D 2.70E-05 6.01 70.50
7) 25 28 16
SE-PB3-ESP H1-V6-D
H1-V1-D 2.70E-05 6.01 76.51
8) 25 4 26
SE-PB3-ESP H1-V4-D
LF-B3-S 1.14E-05 2.53 79.04
9) 25 6 26
SE-PB3-ESP H1-V5-D
LF-B3-S 1.14E-05 2.53 81.57
10) 25 26 16
SE-PB3-ESP LF-B3-S
H1-V1-D 1.14E-05 2.53 84.10
11) 15 19
F-EE1 LF-V7-O 7.40E-06 1.65 85.75
12) 4 20
H1-V4-D LF-V8-O 7.19E-06 1.60 87.35
117
Conjuntos Mínimos más probables Prob. % Acum.(cont.)
13) 6 20
H1-V5-D LF-V8-O 7.19E-06 1.60 88.96
14) 20 16
LF-V8-O H1-V1-D 7.19E-06 1.60 90.56
15) 2
CM-B123-R 8 6.24E-06 1.39 91.95
16) 3
CM-V238-O 5.93E-06 1.32 93.27
17) 25 4 27
SE-PB3-ESP H1-V4-D
F-EE2 4.50E-06 1.00 94.27
Importancia RRW
118
Comp. Código Fussell-Vesely RRW RAW QComp (cont.)
GRAFICO COMPARATIVO
8.87E-04
8.12E-04
119
6-Resultados del estudio de sensibilidad No. 5 .
Variación de la estrategia de pruebas secuenciales a escalonadas y variación de la
ineficiencia de la prueba de la válvula V7 a la apertura desde 10 % (caso básico) hasta 0%.
6a. Listado de conjuntos mínimos dominantes e indisponibilidad del sistema.
Conjuntos Mínimos más probables Prob. % Acum.
1) 1
CM-B123-S 2.80E-05 12.23 12.23
2) 25 4 28
SE-PB3-ESP H1-V4-D
H1-V6-D 2.70E-05 11.78 24.01
3) 25 6 28
SE-PB3-ESP H1-V5-D
H1-V6-D 2.70E-05 11.78 35.79
4) 25 28 16
SE-PB3-ESP H1-V6-D
H1-V1-D 2.70E-05 11.78 47.57
5) 25 4 26
SE-PB3-ESP H1-V4-D
LF-B3-S 1.14E-05 4.96 52.53
6) 25 6 26
SE-PB3-ESP H1-V5-D
LF-B3-S 1.14E-05 4.96 57.49
7) 25 26 16
SE-PB3-ESP LF-B3-S
H1-V1-D 1.14E-05 4.96 62.45
8) 4 19
H1-V4-D LF-V7-O 7.41E-06 3.23 65.69
9) 6 19
H1-V5-D LF-V7-O 7.41E-06 3.23 68.92
10) 19 16
LF-V7-O H1-V1-D 7.41E-06 3.23 72.15
120
Conjuntos Mínimos más probables Prob. % Acum.
(continuación)
11) 4 20
H1-V4-D LF-V8-O 7.19E-06 3.14 75.29
12) 6 20
H1-V5-D LF-V8-O 7.19E-06 3.14 78.43
13) 20 16
LF-V8-O H1-V1-D 7.19E-06 3.14 81.57
14) 2
CM-B123-R 8 6.24E-06 2.72 84.29
15) 3
CM-V238-O 5.93E-06 2.59 86.88
16) 25 4 27
SE-PB3-ESP H1-V4-D
F-EE2 4.50E-06 1.96 88.84
17) 25 6 27
SE-PB3-ESP H1-V5-D
F-EE2 4.50E-06 1.96 90.80
18) 25 27 16
SE-PB3-ESP F-EE2
H1-V1-D 4.50E-06 1.96 92.77
19) 25 15 28
SE-PB3-ESP F-EE1
H1-V6-D 4.50E-06 1.96 94.73
20) 25 15 26
SE-PB3-ESP F-EE1
LF-B3-S 1.90E-06 0.83 95.56
21) 15 19
F-EE1 LF-V7-O 1.24E-06 0.54 96.10
121
6b. Listado de componentes-modos de falla dominantes.
Importancia RRW
122
6c. Gráfico comparativo de indisponibilidad instantánea con el caso básico.
Aumento de la probabilidad de error humano sobre las válvulas V1, V4, V5 y V6, desde el
valor de 6E-3 (caso base que asume que el comportamiento de la acción está basado en
destreza) hasta 3E-2 (para el caso de que el comportamiento esté basado en reglas).
123
7a. Gráfico de sensibilidad de parámetros medios.
124
2-Combinaciones de falla que dominan la indisponibilidad del sistema.
El CM de mayor importancia resultó ser la falla de causa común al arranque de las bombas
B1, B2 y B3, con una contribución aproximada del 16 % a la indisponibilidad total del
sistema. En orden de importancia le siguen CMs de orden 2 con una contribución
aproximada del 12%, que incluyen combinaciones de errores humanos relacionados con el
mantenimiento (válvulas V1, V4 y V5 en posición incorrecta en el momento de la
demanda) con la falla de la válvula motorizada V7 a la apertura.
Con una contribución aproximada del 7 % aparecen CMs donde se combinan los errores
humanos anteriores con la probabilidad de que la bomba B3 esté en espera y el error
humano sobre la válvula manual V6 (posición incorrecta en el momento de la demanda).
Debe notarse que las contribuciones de la falla de causa común en operación de las bombas
B1, B2 y B3 (CM-B123-R) y la falla de causa común a la apertura de las válvulas check
V2, V3 y V8 (CM-V238-O) no fueron de las más significativas debido, en el primer caso,
al valor pequeño del tiempo de misión (asumido como 8 horas), frente a los tiempos de
exposición a las fallas en espera de los demás componentes y, en el segundo caso, debido a
la baja tasa de fallas de las válvulas check, que son componentes pasivos, considerando,
además, para ambos casos que el valor del factor .
125
aproximadamente 38 %. Ello está determinado por la relativamente alta rata de fallas del
componente junto al hecho de considerar la prueba con un 10 % de ineficiencia.
Le siguen en orden de importancia los errores humanos sobre las válvulas V1, V4 y V5
(H1-V1-D, H1-V4-D y H1-V5-D) con un valor de F-V de 25 %. Es notable el hecho de que
el error humano a dejar la válvula V6 en posición errónea tras un mantenimiento (H1-V6-
D) no contribuye en la misma medida que los anteriores, a pesar de que tienen la misma
probabilidad. Ello se debe a que este evento está afectado por la probabilidad de que la
bomba B3 se encuentre en régimen de espera (suceso especial SE-PB3-ESP).
Otro componente - modo de falla que tiene un peso bastante grande sobre la
indisponibilidad del sistema es la falla de causa común de las tres bombas B1, B2 y B3 al
arranque, con un valor aproximado de F-V del 16 %. Su aporte se debe fundamentalmente a
que es una falla múltiple simultánea de varios componentes redundantes, con una rata de
fallas que no es tan pequeña.
El resto de los componentes - modos de falla dominantes tienen un valor de F-V menor que
10 % y se listan a continuación en orden descendente de importancia:
• LF-B3-S
• LF-V8-O
• F-EE1
• F-EE2
• CM-B123-R
• CM-V238-O
• LF-B3-R
• LF-V4-D
126
Puede apreciarse que el valor de la indisponibilidad media del sistema a partir de la
instantánea es superior al estimado por los parámetros medios (8.12E-4 y 3.79E-4,
respectivamente). Ello se debe fundamentalmente a la sobrestimación que se produce en la
zona de picos, ya que se toman en cuenta conjuntos de cortes que no son mínimos en el
momento de la prueba.
Este análisis consistió en cambiar la estrategia de pruebas del caso básico (secuenciales) a
pruebas escalonadas.
Como se aprecia en los resultados de la sección (2a), epígrafe 6.3e, los CMs más
importantes se mantienen, sin embargo, varía su contribución individual que tiende a
disminuir y se distribuye con mayor uniformidad.
Como puede apreciarse la indisponibilidad media del sistema disminuye al realizar las
pruebas escalonadas (de 3.79E-4 hasta 3.03E-4), ya que se disminuye el tiempo de
exposición a fallas ocultas tanto independientes como de causa común de los componentes
que tienen modos de falla a la espera.
Este análisis se realiza para evaluar cómo se afecta la indisponibilidad media del sistema si
la prueba de la válvula V7 a la apertura fuese 100 % eficiente.
127
Como se aprecia en los resultados (sección (3a), epígrafe 6.3d), las contribuciones de los
CMs donde está presente la falla a la apertura de la válvula V7 se han desplazado hacia
abajo, por el efecto de realizar la prueba de esta válvula con un 100 % de eficiencia, aunque
se mantienen aproximadamente en el orden las contribuciones individuales de cada CM. Se
puede observar que ha disminuido el valor de la indisponibilidad media (3.03E-4) con
respecto al caso básico (3.79E-4). Asimismo, le suceso LF-V7-O deja de ser el más
importante (sección (3b) epígrafe 6.3d), para ceder su lugar a los errores humanos H1-V6-
D, H1-V5-D, H1-V4-D y H1-V1-D, pasando su contribución a la indisponibilidad del
sistema del 38 % al 24 %, aproximadamente.
Como resultado (sección (4a), epígrafe 6.3d) se obtiene que este suceso, que representa en
el caso básico el conjunto mínimo más importante, se desplaza en valor de importancia
hacia abajo, desde el 16 % hasta el 8 %, aproximadamente, manteniéndose el ordenamiento
del resto de los CMs como en los análisis anteriores, así como sus contribuciones
individuales. La indisponibilidad media del sistema (3.47E-4) disminuyó con respecto al
caso básico (3.79E-4).
La importancia de los componentes - modos de falla se mantiene similar al caso básico,
disminuyendo en este caso la contribución del suceso básico CM-B123-S a la
indisponibilidad del sistema, desde 16 % hasta el 8 %
Como resultado se obtuvo que este conjunto mínimo (y suceso básico) aumentó su
contribución a la indisponibilidad del sistema del 16 % al 29 %, aumentando la
128
indisponibilidad media del sistema desde 3.79E-4 (caso básico) hasta 4.49E-4 (ver listados
en secciones (5a), (5b), epígrafe 6.3d.
Dados los resultados de los análisis de sensibilidad No.1 y No.2, se estimó conveniente
realizar un análisis combinando las variaciones introducidas en ambos análisis con respecto
al caso básico, es decir, la realización de pruebas escalonadas junto a la consideración de
una prueba 100 % eficiente para la apertura de la válvula motorizada V7.
Como resultado se obtuvo una disminución de la indisponibilidad media del sistema desde
3.79E-4 (caso básico) hasta 2.29E-4. Asimismo, se observa que las contribuciones de los
conjuntos mínimos donde participa la falla a la apertura de la válvulaV7 (LF-V7-O)
disminuyeron con respecto al caso básico. (Ver secciones (6a), (6b), epígrafe 6.3d).
Al igual que en el resto de los casos, la indisponibilidad del sistema está dominada por los
picos durante las pruebas.
Dado el uso de valores de barrido en las probabilidades de error humano en las válvulas
V1, V4, V5 y V6, considerando además que el comportamiento en las acciones humanas
estaba basado en la destreza, se estimó conveniente realizar un análisis de sensibilidad que
permitiera evaluar el efecto de la variación de los valores de probabilidad de los errores
humanos que resultaron dominantes.
De esta manera, se aumentó el valor de estas probabilidades considerando que las aciones
estuviesen basadas en REGLAS en lugar de DESTREZA (caso básico). Ello implicó
aumentar los valores de estas probabilidades para los sucesos H1-V1-D, H1-V4-D, H1-V5-
D y H1-V6-D, desde 6E-3 hasta 3E-2, que representan valores de barrido para este tipo de
acciones y comportamientos.
11-Conclusiones y recomendaciones.
129
- Conclusiones
a. La indisponibilidad del sistema está dominada por la falla de causa común de las tres
bombas al arranque (CM-B123-S), que aporta aproximadamente el 16 % de su valor.
Como significativas se presentan además las combinaciones de errores humanos de
mantenimiento sobre las válvulas V1, V4, V5 y V6, y la falla de la válvula V7 a la
apertura. Por tanto, es sobre estos problemas sobre los que hay que tomar medidas para
lograr mejorar el valor de indisponibilidad estimado.
b. Los picos de indisponibilidad durante las pruebas son los contribuyentes dominantes a la
indisponibilidad media del sistema, frente a las fallas ocultas entre pruebas. En esos
momentos se observa un incremento de la indisponibilidad del sistema en prácticamente
dos órdenes, por lo que se demuestra la vulnerabilidad del sistema a la falla en dichos
instantes, características imposibles de valorar por el análisis de indisponibilidad por
parámetros medios. No obstante, se llama la atención que la sobrestimación de la
indisponibilidad que se produce en los momentos de prueba puede llegar hasta el 40 %
(según la experiencia), por lo que los valores reales serían inferiores, pero aún así se
mantendrían considerablemente altos.
- Recomendaciones
b. Las pruebas de los componentes del sistema debe realizarse de manera escalonada, en
lugar de secuencial. Sería conveniente, dentro de lo posible, que durante las pruebas y
mantenimiento de las bombas se introduzca alguna variedad en el personal de ejecución
y supervisión, lo cual debe reflejarse en los procedimientos.
130
c. De modo general, se proponen las siguientes medidas de defensa contra la falla de causa
común de las tres bombas al arranque:
- Sustitución de una de las bombas (por ejemplo, B3) por otra con características diferentes,
por ejemplo, fabricante, tipo de accionamiento, etc.
- Las pruebas escalonadas reducen la probabilidad de fallas de causa común por errores
humanos asociados a las pruebas y mantenimiento, ya que podrían detectarse errores en
otras redundancias antes de que ocurra la falla de causa común. Adicionalmente el
personal está menos condicionado a cometer un mismo error sobre otros componentes
redundantes.
e. Es conveniente buscar la vía de poder realizar una prueba 100 % eficiente de la válvula
V7, por ejemplo, mediante la introducción de una línea entre la válvula V7 y V8, que
podría descargar a la línea de pruebas de B3, y que incluyera una válvula check para
evitar que durante la prueba de B3 pase agua a los aspersores.
131
BIBLIOGRAFIA
3-EPRI TR-100382. A Data Base of Common-Cause Events for Risk and Reliability
Applications. EPRI, 1992.
10-IAEA Safety Series No.50-P-1. Application of Single Failure Criterion on NPP. IAEA,
Viena, 1991.
11-IAEA Safety Series No. 50-P-4. Procedures for Conducting PSA of Nuclear Power
Plants. IAEA, Viena, 1992.
13-INPO 90-004. Root Cause Analysis. Good Practice OE-907. Institute of Nuclear Power
Operators. USA. 1990.
132
15-Salomón, J.; Perdomo, M.; Torres, A.; Valhuerdi, C.; Ferro, R.; Rodríguez, J.; Rivero,
J.; Martínez, L. Análisis de Riesgo Industial. Ediciones universitarias. UGMA.
Barcelona, Venezuela. 1996.
16-Mosquera, G.; Rivero, J.; Salomón, J.; Valhuerdi, C.; Torres, A; Perdomo, M.
Disponibilidad y confiabilidad de sistemas industriales. Ediciones universitarias.
UGMA. Barcelona, Venezuela. 1995.
19-A.D. Swain and H.E. Guttmann. Handbook of Human Reliability Analysis with
Emphasis on Nuclear Power Plant Applications. NUREG/CR 1278, 1983, USA.
27-EPRI. Systematic Human Action Reliability Procedure (SHARP). EPRI 3583, 1984,
USA.
29-Human Reliability Associates LTD. Practical Techniques for assessing and reducing
human error in industry. 1990, UK.
133
31-P. R. Mondelo, E. Gregori Toreda y P. Barrau Bombardo. Ergonomía 1. Fundamentos.
Ediciones UPC . 1994, España.
134
CAPITULO 7
7.1. Introducción
Hasta ahora se han abordado los aspectos de la fiabilidad de los sistemas tecnológicos
relacionados fundamentalmente con sus elementos mecánicos, es decir, sus equipos y
componentes. Sin embargo, este enfoque resultaría limitado si consideramos que en las
actividades de mantenimiento, pruebas, calibraciones y otras operaciones de los sistemas
tecnológicos, tanto en condiciones normales como en situaciones anormales, interviene el
hombre, produciéndose ciertas interacciones con el componente mecánico que van a influir
en el funcionamiento del sistema. Aún con un alto nivel de automatización, el hombre
mantiene funciones de control, vigilancia, recuperación y por supuesto, funciones de
mantenimiento y pruebas que inciden sobre el sistema. Por ello el sistema tecnológico debe
ser interpretado como un conjunto de elementos mecánicos y humanos que se denomina
frecuentemente como sistema hombre-máquina o sistemas sociotécnicos, para destacar la
inclusión del componente humano como parte integrante del sistema tecnológico.
Varios de los grandes desastres industriales que han ocurrido en el mundo en los últimos
años, como el accidente en la planta química de Bhopal, en la India, el accidente de la
Central Electronuclear de Chernobil, en la antigua URSS o la explosión del transbordador
espacial Challenger, en los Estados Unidos, por citar solo algunos ejemplos, han tenido
entre sus causas principales el error humano. Esta situación ha puesto al descubierto que
aún en los sistemas más avanzados y modernos el error humano puede neutralizar las
salvaguardias de seguridad y provocar una catástrofe.
En los capítulos que conforman esta segunda parte se introducirá al lector en el campo de la
fiabilidad humana, a partir de su familiarización con algunos temas generales que han sido
seleccionados de diversas fuentes. No se pretende abordar todos los temas de esta
importante disciplina ni realizar un análisis pormenorizado de cada asunto. El objetivo que
se persigue es solamente proporcionar una información general que complemente los
conocimientos ya adquiridos en materia de confiabilidad de sistemas tecnológicos para su
135
aplicación a la industria y orientar a aquellos que deseen profundizar en el tema de la
fiabilidad humana.
Para ilustrar cómo se realiza el análisis de la fiabilidad humana se ha seleccionado la
técnica THERP (Technique for Human Error Rate Prediction) considerando su amplia
difusión, aceptabilidad y elevado grado de madurez, así como su posible aplicación en
diferentes tipos de industrias. Esto hace que muchos de los conceptos y enfoques que se
utilizarán estén asociados a este método.
Durante mucho tiempo los estudios de fiabilidad de los sistemas tecnológicos centraron su
atención básicamente en la fiabilidad de los equipos, quedando en un segundo plano los
problemas de la influencia humana. Sin embargo, en la actualidad evitar o reducir el error
humano y controlar su incidencia constituye uno de los mayores desafíos para la industria.
Esto se debe, entre otras razones, a la creciente preocupación por la contribución que sigue
teniendo el error humano en las causas de numerosos incidentes y accidentes que han
provocado en diferentes industrias lamentables pérdidas humanas, daños económicos o
efectos sobre el medio ambiente. En la Tabla 7.2-1 se presentan algunos datos e
informaciones aparecidas en diferentes publicaciones, estudios e investigaciones que
ilustran la influencia del error humano.
Debe señalarse, sin embargo, que no todo lo que frecuentemente se clasifica como error
humano es el resultado de fallas propias del ser humano. En realidad muchas de las fallas
de los sistemas comienzan desde su etapa de diseño, construcción o fabricación del equipo
o durante la organización de su operación. Existen referencias sobre sistemas que han sido
concebidos con una complejidad tal que es imposible esperar una alta probabilidad de
éxito del operador durante su operación. Por ello se reconoce actualmente que el error
humano es en gran medida una consecuencia de la falta de adecuación de los dos
componentes que integran el sistema. El error humano puede ser el resultado de que el
equipo haya sido diseñado sin una consideración apropiada de las capacidades y
limitaciones del ser humano o debido a que el hombre no ha sido preparado como se
requiere para operar el sistema. De aquí que la fiabilidad humana no solo dependerá de
factores intrínsecos al ser humano sino también de factores relacionados con los equipos
que opera, las condiciones del medio de trabajo y otras situaciones externas al hombre que
van a influir en su comportamiento en el momento de ejecutar una acción.
Otro aspecto importante que debe tenerse en cuenta cuando se evalúa la influencia del
hombre sobre la fiabilidad de un sistema es el hecho de que el ser humano no solo puede
tener un impacto negativo. A diferencia del componente mecánico del sistema, el hombre
tiene la capacidad de razonamiento que le permite generar soluciones no previstas e
improvisar ante una situación dada pudiendo mejorar el escenario o mitigar las
136
consecuencias de un evento no deseado. Este efecto positivo de la actuación humana se
lleva a cabo a través de las denominadas acciones de recuperación y son también
consideradas dentro del análisis de la fiabilidad humana.
Puede considerarse por lo tanto, que para la prevención y reducción del error humano se
requiere de una evaluación y análisis de múltiples factores que garanticen que el diseño de
los equipos, su operación en condiciones normales o de emergencia, así como las
condiciones del medio donde actúa consideren específicamente las capacidades y
limitaciones humanas.
Los aspectos relacionados con la prevención y evaluación del error humano se abordan
para su estudio en dos grandes campos: la ergonomía y la fiabilidad humana.
137
Fig. 7.2-1 Objetivo de la Ergonomía. ( Ref. [31] )
138
INDUSTRIA NUCLEAR
TRANSPORTE
INFORMATICA Y COMPUTACION
INDUSTRIAS DE PROCESOS
139
Detengámonos brevemente en las interacciones que se producen entre los componentes
mecánico y humano dentro del sistema y las propias interacciones y mecanismos que se
producen dentro del componente humano.
Como se ha señalado anteriormente, el término sistema hombre-máquina se utiliza para
destacar la participación del hombre como parte integrante del sistema tecnológico, es
decir, es el conjunto de medios técnicos, su entorno y el hombre formando una unidad de
funcionamiento. Los sistemas hombre-máquina pueden clasificarse en tres tipos [31]:
Sistemas mecánicos: A diferencia de los sistemas manuales, el hombre aporta una cantidad
limitada de energía, ya que la mayor parte de ésta es producida por la máquina o por
algunas fuentes externas. El hombre recibe la información sobre el funcionamiento de
forma directa o a través de dispositivos informativos, regulándola con su actuación sobre
determinados controles.
140
En la práctica, la mayoría de los sistemas están formados por una combinación de estos tres
tipos de sistemas.
En la Figura 7.3-1 aparece una representación esquemática de un sistema hombre-máquina.
Los puntos de interacción entre el componente mecánico y el componente humano dentro
del sistema se denominan interfases hombre-máquina. Ejemplos de estas interfases son los
displays, los teclados y controles o cualquier elemento que el hombre observa o utiliza en
su interacción con la máquina.
141
Fig. 7.3-3 Errores humanos cognoscitivos y manuales.
Dado que el presente texto está dirigido a la fiabilidad humana, se abordarán brevemente
los procesos que se producen en el componente humano auxiliándonos del esquema
simplificado utilizado en el Handbook [19], que representa al hombre como un sistema de
lazo cerrado. Aunque los procesos que tienen lugar en el ser humano tienen un carácter
continuo se adopta un enfoque simplificado que utiliza un modelo discreto para representar
el proceso de la actuación humana en cinco bloques.
Como se puede observar en la Figura 7.3-2 el hombre recibe una serie de impulsos externos
en forma de señales, indicaciones o variaciones en sus condiciones de trabajo (bloque A).
Estas señales externas se convierten en impulsos internos que llegan al hombre a través de
sus órganos sensoriales originándose un proceso de percepción, que incluye además la
organización y reconocimiento de la información (bloque B). A continuación se inicia el
procesamiento de la información (bloque C). En este momento tienen lugar complejos
procesos cognoscitivos que pueden afectar tanto lo que se percibe como lo que se decide
hacer, y que pueden estar determinados por factores como el nivel de entrenamiento y la
experiencia, el estado emocional del individuo, su personalidad, otros conflictos, etc. Es
por ello que existe un lazo interno de retroalimentación representado con líneas
discontinuas.
142
En ocasiones la actuación humana parece realizarse de forma tal como si no mediara un
proceso cognoscitivo entre la percepción y la respuesta. Esto es común en tareas con un
alto nivel de entrenamiento y práctica y se representa en el esquema con una línea
discontinua en la parte superior entre los bloques B y D.
Resumiendo, se puede decir que la actuación humana de respuesta a una situación consiste
de tres fases básicas:
En los capítulos siguientes se podrá apreciar que en cada fase influyen factores diferentes y
se generan distintos tipos de errores humanos, como se indica en la Figura 7.3-3.
143
CAPITULO 8
Según A.D. Swain y H.E. Guttman [19] el error humano es una acción que excede los
límites de aceptabilidad, o sea, una acción fuera de tolerancia.
Los límites de tolerancia, es decir, los límites a que debe ajustarse la actuación humana, los
define el sistema sobre el cual se actúa.
En general se puede decir que existen tres tipos fundamentales de situaciones que
constituyen error humano:
Es preciso señalar que quedan fuera del alcance del estudio de la fiabilidad humana las
acciones malevolentes, entendiendo como tales, aquellas acciones que se realizan
deliberadamente para provocar un daño. Por lo tanto la fiabilidad humana se encarga del
estudio de aquellas acciones, que aunque puedan realizarse incorrectamente, responden a
una intención de lograr que el sistema cumpla con la función asignada.
144
8.2.1. Errores de Omisión y Comisión.
Se define como Error de Omisión a la falla a iniciar una acción, es decir, no realizar una
acción o tarea requerida por el sistema. Los errores de omisión pueden ser la omisión de
una tarea completa o la omisión de un paso de la tarea.
• Errores de Selección:
• Errores de secuencia:
- Se altera el orden de una secuencia dada de operaciones
• Errores de tiempo:
- Demasiado tarde
- Demasiado temprano
- Por defecto
- Por exceso
Los Errores Cognoscitivos son aquellos que se producen durante los procesos de
diagnosis y toma de decisiones que tienen lugar en el ser humano al recibir una señal que
requiere una respuesta.
Por su parte, los Errores Manuales son aquellos que se producen en la fase post-diagnosis,
durante la ejecución física de la respuesta.
Este tipo de clasificación se utiliza con frecuencia durante el análisis de las acciones post-
accidentales.
Como su nombre lo indica, estos errores se clasifican según la etapa en que tienen lugar
con relación al momento de ocurrencia de un evento anormal o accidente ya que las
condiciones en que se desarrollan difieren sustancialmente. Esta división está
145
estrechamente relacionada con la clasificación de los tipos de acciones humanas, que se
utilizan en diferentes estudios y que aparece descrita en el epígrafe siguiente.
Al cometer algún error, el personal puede originar una situación anormal o accidente.
Es importante señalar que los errores más importantes son, no sólo los que precipitan una
secuencia accidental, sino también los que provocan al mismo tiempo la falla de sistemas
relacionados con la respuesta o mitigación de esos eventos. Es precisamente a esta
modalidad a la que se presta mayor atención dentro de este tipo de acciones.
146
8.3.3. Acciones post-accidentales.
Como su nombre lo indica, estas acciones tienen lugar una vez que ha ocurrido una
situación anormal y tienen como objetivo controlar la situación o mitigar sus
consecuencias. El resultado de estas acciones puede conducir al control de la situación o a
su agravamiento. Dentro de este grupo de acciones se distinguen los siguientes subgrupos:
Acciones tipo 3: Son aquellas que se llevan a cabo siguiendo los procedimientos y reglas
adecuados para la situación existente.
Las acciones tipo 4 pueden ser consideradas como una especie de errores de comisión que
ocurren durante acciones tipo 3 o tipo 5 y son las acciones más difíciles de identificar y
modelar. La identificación de este tipo de interacción requiere de un estrecho trabajo entre
los analistas de sistemas y de fiabilidad humana. Existen además muy pocos datos para
predecir estos tipos de interacciones. Sólo con un análisis retrospectivo de tales eventos
pueden identificarse los que pudieran ocurrir.
La Tabla 8.6-1 resume las características y efectos de los distintos tipos de acciones
humanas.
147
8.4. Fiabilidad humana.
La fiabilidad humana es la probabilidad de que una acción humana requerida sea realizada
correctamente en el momento requerido (si existen limitaciones de tiempo).
Considerando que el error humano esta determinado por los límites de tolerancia que
establece el sistema, la definición de fiabilidad humana estará asociada a los conceptos de
fiabilidad y disponibilidad de los sistemas. En este sentido Swain [19] define la fiabilidad
humana como:
"la probabilidad de que una persona (1) realice correctamente una actividad requerida
por el sistema en un período de tiempo requerido (si el tiempo es un factor limitativo) y (2)
no realice acciones extrañas que puedan degradar el sistema".
la probabilidad de que se realicen las acciones humanas necesarias para lograr que el
sistema sea tanto fiable como disponible
148
8.6. Probabilidad de error humano (HEP).
A continuación se definen algunos de los tipos de probabilidad de error humano que serán
utilizados en estos capítulos:
149
accidentes, particularmente el ocurrido en la Central Electronuclear de Three Mile Island
en 1979 en los EEUU, pusieron de manifiesto la influencia sobre el comportamiento
humano de determinadas funciones del hombre como la diagnosis y la toma de decisiones.
Surgieron entonces varios modelos del comportamiento humano, pero ha sido el modelo de
Rassmussen el que ha recibido más amplia aceptación y se ha utilizado en la mayoría de los
análisis de fiabilidad realizados hasta el momento. Por esta razón describiremos a
continuación los aspectos fundamentales de este modelo.
150
tipo de comportamiento se percibe como una respuesta prácticamente "automática" del
ejecutor al producirse el estímulo, sin que medie un proceso de interpretación y
diagnóstico.
Es evidente que la potencialidad para la ocurrencia de errores humanos será menor en una
situación donde prevalece el comportamiento basado en la Destreza y mayor en los
restantes comportamientos.
151
CAPITULO 9
Factores externos: Son los que definen las situaciones de trabajo del personal de la
instalación. Se dividen en tres grupos:
Factores internos: Son factores relacionados con las características de las personas que
interactúan con el sistema tales como la destreza, habilidad, aptitud, etc.
152
fisiológica, aunque en ocasiones es difícil diferenciarlas, ya que la tensión en el individuo
puede producirse por una combinación de ambas causas.
1. FIC externos.
Características de la situación
Características arquitectónicas.
Características ambientales:
- temperatura, humedad, calidad del aire, iluminación, ruido y vibraciones,
- grado de limpieza general.
Horarios de trabajo/horarios de receso.
Disponibilidad y adecuación de equipos, herramientas y suministros generales.
Organización de turnos, número de operadores por turno.
Estructura de la organización. Autoridad, responsabilidades, canales de comunicación.
Acciones de supervisores, compañeros de trabajo y otro personal.
Recompensas, reconocimientos, estímulos, etc.
Requerimientos de percepción.
Requerimientos de movimiento:
- velocidad, resistencia, precisión
Relaciones control/display.
Requerimientos de anticipación.
Necesidades de interpretación.
Necesidades de decisiones.
Complejidad.
Delimitación del trabajo.
Frecuencia y repetitividad.
Criticidad de la tarea.
Necesidad de memoria a corto o largo plazos.
Necesidad de efectuar cálculos.
Retroalimentación de los resultados.
Actividades dinámicas o paso a paso.
Comunicación y estructura del equipo de trabajo.
Factores de la interfase hombre-máquina:
- diseño del equipo
- herramientas
- dispositivos especiales
153
2. FIC internos.
3. Causas de tensión.
Factores psicológicos.
Factores fisiológicos.
Duración de la tensión.
Fatiga.
Incomodidad y dolor.
Hambre o sed.
Temperatura.
Radiaciones.
Aceleraciones extremas.
Constricción de movimientos.
Insuficiencia de oxígeno.
Presión atmosférica extrema.
Falta de ejercicio físico.
154
Fig. 9.1-1 Relación entre los tres grupos de Factores de Incidencia en
el Comportamiento.
155
Fig. 9.1-2. Relación entre la efectividad de la respuesta y los niveles
de tensión psicológica.
Entre estos dos extremos existe un nivel óptimo de tensión, que varía según las tareas y los
individuos. Este nivel se caracteriza por un ambiente donde no hay aburrimiento ni
excesivas demandas sobre el individuo y la efectividad por lo tanto será óptima.
Nivel de tensión muy bajo: Caracterizado por una carga de trabajo o de tensión que
provoca una insuficiente estimulación en la persona para mantenerse alerta. Esta situación
156
se observa en ciertas tareas de vigilancia, recorridos, chequeos visuales, etc.; en los que el
único objetivo es chequear si todo está como debe estar. Algunas tareas nocturnas, de poca
actividad se desarrollan bajo este nivel de tensión. Sin embargo, algunas tareas de
vigilancia donde se impone un requisito de revisión de un parámetro determinado en un
momento dado, pueden elevar un poco el nivel de atención.
El nivel de calificación también ejerce cierta influencia, ya que situaciones que provocan
bajo nivel de tensión en personal muy experimentado pueden provocar mayor tensión en
personal poco experimentado.
Nivel de tensión óptimo: Se caracteriza por una interacción activa entre la persona y el
medio (controles, displays, relaciones interpersonales, etc.) que permiten al individuo
maniobrar confortablemente. Excepto, cuando se indique, las HEP de la base de datos de
THERP están determinadas para condiciones óptimas de tensión.
Nivel de tensión moderadamente alta: Caracterizado por una carga de trabajo pesada,
donde el individuo actúa en condiciones cercanas o que superan su capacidad, provocando
cierta degradación en la realización de la tarea.
Con frecuencia este nivel de tensión se produce en situaciones donde hay restricciones de
tiempo. El nivel de calificación y experiencia también provoca variaciones en el nivel de
tensión, que produce una misma situación sobre diferentes individuos. Por otra parte,
resulta determinante el tipo de tarea que se debe realizar bajo este tipo de tensión, siendo
recomendable modificar los valores de HEP nominales por un factor de 2, para tareas paso
a paso y por un factor de 5, en tareas dinámicas.
Nivel de tensión alto: Se trata de una situación cualitativamente diferente al resto de los
niveles anteriores, ya que se incorpora un nuevo componente emocional: el sentimiento de
amenaza hacia la propia persona, bien en el orden físico, como en el plano profesional o
laboral.
Este nivel es característico de situaciones en las cuales las acciones del operador no tienen
el efecto requerido y el operador no logra poner la situación bajo control, comenzando a
sentirse amenazado, lo que provoca reacciones emocionales que resultan adversas al
comportamiento humano. En estos casos el nivel de preparación del individuo también
desempeña un papel importante en la capacidad de enfrentar esta situación, bajo este nivel
de tensión.
Lo señalado hasta aquí indica la necesidad de evaluar en cada caso los niveles de tensión
que se producen y adoptar valores de HEP, ajustados según las particularidades del proceso
que se evalúa y los criterios de expertos.
Para ilustrar cómo se modifican los valores nominales de las probabilidades de error
humano, considerando los factores de incidencia en el comportamiento veamos el siguiente
ejemplo de la Tabla 9.1-2.
157
Tipo de Procedimientos
Procedimientos paso a paso Procedimientos dinámicos
Nivel de tensión Nivel de Preparación Nivel de Preparación
Experimentado Principiante Experimentado Principiante
Nivel de tensión HEP x 2 HEP x 2 -- --
muy bajo
Nivel de tensión HEP HEP HEP HEP x 2
óptimo
Nivel de tensión HEP x 2 HEP x 4 HEP x 5 HEP x 10
moderadamente alto
Nivel de tensión HEP x 5 HEP x 10 0.25 0.50
alto
Tabla 9.1-2. Modificación de los valores nominales de HEP según los tres tipos de
FIC.
Uno de los problemas mayores en el análisis de la fiabilidad humana está relacionado con
las dependencias, es decir, cómo la probabilidad de éxito o falla en una tarea influye en el
éxito o falla de otra tarea. Ello resulta indispensable para la determinación de las
probabilidades de error humano condicional (CHEP) y la correcta estimación de las
probabilidades de error humano conjuntas (JHEP). Por esta razón se intentará resumir las
cuestiones fundamentales en esta importante área del análisis de la fiabilidad humana,
enfatizando en el modelo de dependencia positiva recomendado en THERP [19].
Dependencia negativa: Implica una relación negativa entre acciones o eventos, o sea la
falla en una primera tarea reduce la probabilidad de falla de la segunda o el éxito de la
primera aumenta la probabilidad de falla de la segunda.
Por ejemplo, al fallar en una primera tarea se prestará mayor atención durante la ejecución
de la segunda, por lo tanto la probabilidad de éxito de la segunda tarea aumenta con la falla
de la primera.
Dependencia positiva: Implica una relación positiva entre las acciones o pasos, o sea la
falla de una primera tarea aumenta la probabilidad de falla en la segunda y viceversa, con
respecto a la probabilidad de éxito.
158
Existen varios métodos para estimar los efectos de dependencias en un análisis de
fiabilidad humana, tales como:
159
9.2.2. Cuantificación de las dependencias.
Una vez establecido el nivel de dependencia entre dos tareas o acciones, se utilizarán las
siguientes reglas para la cuantificación de la probabilidad de éxito o falla de la segunda
tarea, dado el éxito o falla de la primera tarea, es decir, la probabilidad de error humano
condicional:
1-Evaluar siempre el nivel de influencia de la tarea precedente sobre la tarea que se evalúe,
ya que los niveles de dependencias no se mantienen constantes en todos los pasos.
2-En caso de dudas entre dos niveles de dependencias, se recomienda escoger el mayor de
los dos niveles.
3-Evaluar las relaciones espaciales y temporales entre las tareas, ya que las dependencias
serán mayores entre eventos cercanos físicamente o en tiempo.
4-Evaluar las relaciones funcionales entre las tareas, ya que mientras mayor sea la relación
funcional, más alta será la dependencia.
5-Evaluar los niveles de tensión, ya que las dependencias entre el personal aumentan con el
nivel de tensión.
6-En caso de que la JHEP para dos tareas sea menor que 1.0E-6, cuando se trate de una
persona inspeccionando la ejecución de otra, o menor de 1.0E-5, para dos tareas
ejecutadas por una misma persona, se deberán reanalizar los niveles de dependencias ya
que probabilidades tan bajas son posibles, pero no frecuentes en fiabilidad humana.
Nivel de Dependencia P[ x / y ]
Real Aproximado*
Nula P[x] = P P
Baja (1 +19P ) / 20 0.05
Moderada (1+ 6P ) / 7 0.14
Alta (1+P) / 2 0.50
Completa 1 1
* Cuando P = P [x] es menor de 0.01
160
CAPITULO 10
Aunque las técnicas de análisis de la fiabilidad humana han tenido una amplia difusión y
desarrollo en la industria nuclear con el auge de los análisis probabilísticos de seguridad de
las Centrales Electronucleares, éstas son técnicas de evaluación independientes que pueden
utilizarse en cualquier actividad industrial para la evaluación de diseños, o como parte de
estudios de confiabilidad, en lo referente a la consideración del componente humano.
THERP es el nombre con que se conoce este método, tomado de las letras iniciales en
idioma inglés: Thecnique for Human Error Rate Prediction. Surge como respuesta a una
pregunta de fiabilidad:
En una tarea bien definida ¿Cuál es la probabilidad de que el ejecutor de la tarea cometa
un error tal que conduzca a la falla de la tarea? [25].
161
10.2. Descripción del THERP.
Los autores del método THERP partieron de la analogía con las técnicas de análisis de
fiabilidad de sistemas, introduciendo las modificaciones necesarias para considerar la
variabilidad, impredecibilidad e interdependencia de la actuación humana, a diferencia de
la actuación de los equipos.
La técnica THERP utiliza el formato convencional del análisis de un sistema hombre-
máquina que se estructura en las siguientes etapas:
1-Definir las fallas del sistema que son de interés.
2-Enumerar y analizar las operaciones humanas, identificando los errores humanos que
pueden ocurrir y sus posibles modos de recuperación
3-Estimar las probabilidades de error humano.
4-Estimar los efectos del error humano sobre los eventos de falla del sistema.
5-Proponer cambios al sistema y recalcular las probabilidades de falla del sistema.
Este último paso se realizará en dependencia de la finalidad del estudio para el cual se
efectúa el análisis de fiabilidad humana.
162
El proceso de análisis de fiabilidad humana utilizando THERP se ilustra gráficamente en la
Figura 10.2-1.
Esta tarea de identificación de las acciones humanas se realiza de conjunto con los analistas
de sistemas y otros que se integren al estudio. El analista de fiabilidad humana deberá
además familiarizarse con los procedimientos de operación normal del sistema, incluyendo
los procedimientos de mantenimiento, calibraciones y pruebas. Deberá familiarizarse con
los procedimientos para situaciones anormales o de emergencia. Se recomienda la visita a
la instalación y realizar entrevistas con personal vinculado a los sistemas que se analizan.
Con el objetivo de reducir los esfuerzos que se requieren para este tipo de análisis, cuando
el número de acciones humanas identificadas resulta considerablemente alto, como en el
caso de estudios de gran complejidad, se puede realizar una selección de las acciones
humanas más importantes mediante la utilización de valores de barrido muy conservadores
para las probabilidades de error humano, que se utilizan en una cuantificación preliminar.
A partir de criterios de selección, que se establecen a priori, se determinarán las acciones
más importantes y para ellas se realizan estudios detallados, que permitan obtener valores
más exactos de probabilidades de error humano, manteniendo los valores de barrido en el
resto de las acciones no seleccionadas como importantes.
Esta fase concluye con la construcción del Arbol de Eventos del Análisis de Fiabilidad
Humana (AEAFH), una herramienta básica para la modelación de la acción humana cuya
descripción se abordará posteriormente.
163
Evaluación cuantitativa: El objetivo de esta fase es la obtención de la probabilidad de
error humano total de una tarea, utilizando los diagramas de los AEAFH y los valores
estimados de HEP para cada paso de la tarea representado en el árbol.
Los valores de HEP a utilizar en esta fase se toman preferiblemente de la base de datos de
THERP, contenida en el capítulo 20 del Handbook [19], aunque pueden utilizarse otras
fuentes como son los datos derivados de los registros de incidentes, las pruebas en
simuladores o datos de juicios de expertos.
De acuerdo a los objetivos del estudio pueden realizarse análisis de sensibilidad, para
determinar cómo la disponibilidad o fiabilidad del sistema pueden mejorarse con la
reducción de la probabilidad error humano.
El AEAFH es un diagrama lógico que se utiliza para representar las diferentes subtareas o
pasos en que se descompone una tarea principal, que permita estimar valores de HEP para
la cuantificación final.
El AEAFH utiliza la metodología del árbol de probabilidades, por lo que resulta compatible
con las técnicas convencionalmente utilizadas en los análisis de fiabilidad de sistemas. En
la Figura 10.3-1 aparece una representación de este árbol.
Las probabilidades de la actuación humana que se asignan a cada bifurcación del árbol,
excepto la primera, constituyen probabilidades condicionales, es decir, dependientes del
éxito o falla durante la ejecución del paso anterior. Para la primera bifurcación se asignan
probabilidades básicas si el árbol no es la continuación de otro árbol, caso en el cual se
asignarán valores de probabilidad condicional.
Con letras mayúsculas romanas entre comillas se representa una tarea o evento
determinado. Esas mismas letras, pero sin comillas, representarán la falla en dicha tarea y
con letras minúsculas quedara representado el éxito de la misma. Por ejemplo, la tarea "B"
consiste en la apertura de una válvula de accionamiento manual, representándose en el
árbol como B la falla del operador a abrir la válvula cuando se requiera, es decir, la
actuación incorrecta del operador al realizar la tarea "B". Como b se representa la acción
correcta del operador.
164
"B" dado que se produjo el éxito de la tarea "A", aunque puede utilizarse sólo la letra de
la tarea, asignándole siempre los valores de HEP condicional.
Con la letra F (del inglés fault) se representa el punto final de un camino de falla en el
árbol y con la letra S (del inglés success) el camino que conduce al éxito.
Una vez construido el AEAFH y asignados los valores de HEP correspondientes en cada
bifurcación, considerando los factores de incidencia en el comportamiento y las
dependencias, se procede a la cuantificación total del árbol. Para ello resulta necesario
definir el tipo de sistema que representa el árbol.
165
probabilidades de éxito o error humano se exponen a continuación, utilizando el AEAFH
de la Fig. 10.3-1.
Sistemas en serie: Es aquel sistema que requiere que todas las acciones o pasos de la tarea
sean ejecutados correctamente para que la tarea sea exitosa. Sus ecuaciones de éxito y falla
son:
Probabilidad de éxito humano: Pr[S] = a (b/a)
166
- los datos experimentales,
- los simuladores,
- la experiencia operacional.
Dado que el método que estamos utilizando es el THERP, nos referiremos brevemente a la
base de datos que utiliza este método.
La base de datos de THERP fue elaborada para su uso en análisis de fiabilidad humana de
Centrales Electronucleares. Sin embargo, la casi total ausencia de datos en esa industria
obligó a utilizar otras fuentes para derivar datos que pudieran utilizarse con estos fines.
Algunas de las fuentes utilizadas fueron:
En la Tabla 10.4.1-1 aparece una guía para el uso de las tablas de la base de datos de
THERP. Algunas recomendaciones sobre estos datos son las siguientes:
1-Las HEP de las tablas de THERP son valores nominales, es decir, sin la consideración de
los FIC, ni factores de recuperación.
2-Los valores de HEP nominales deben ser modificados según los FIC específicos,
considerando las tablas correspondientes del Capítulo 20 del Handbook [19].
3-Los valores de HEP son para una persona y deben ser modificados según el modelo de
dependencia, si intervienen varias personas.
167
4-Dentro de cada tabla el analista seleccionará el valor de HEP que más se corresponda con
la situación que analiza.
5-Cada valor de HEP en las tablas representa un estimado puntual con un factor de error
(EF) que se determina de la forma siguiente:
Donde:
De forma simplificada se pueden estimar los Límites de Incertidumbre a partir del Factor
de Error como sigue:
168
AREA TEMA No DE LA TABLA
NUREG / CR- 1278
Barrido Diagnosis 1
Acciones basadas en Reglas 2
Diagnosis Diagnosis Nominal 3
Personal en Sala de Control tras el Accidente 4
Errores de Omisión Materiales Mandatorios Escritos
Preparación 5
Control Administrativo 6
Aspectos del Procedimiento 7
Materiales no Escritos
Controles Administrativos 6
Aspectos del Procedimiento 8
Errores de Comisión Displays
Selección del Display 8
Lectura y Registros Cuantitativo 9
Lectura del Chequeo Cuantitativo 10
Uso/Selección de Controles y Válv. Motorizadas 11
Válvulas Operadas Localmente
Selección de la Válvula 12
Detección de Válvula Atascada 13
Factores de Niveles de Etiquetado 15
Incidencia en el Stress / Experiencia 16
Comportamiento Dependencias 17, 18, 19
Otros Factores de Incidencia en el Ver el texto de
Comportamiento NUREG / CR-1278
Límites de Estimación de Límites de Incertidumbres 20
Incertidumbres HEP y Límites de Incertidumbres Condicionales 21
Factores de Errores del Verificador 22
Recuperación Señales de Anuncio 23,24
Chequeo de Salas de Control 25,26
Inspecciones de Recorrido 27
Tabla 10.4.1-1. Guía para la utilización de las tablas de HEP del Handbook. ( Ref. [19] )
169
CAPITULO 11
Antes de finalizar este texto, donde se han expuesto algunos temas importantes sobre la
fiabilidad humana, se abordarán dos aspectos de interés. En primer lugar resultará útil,
considerando el objetivo de este curso, explicar brevemente los aspectos relacionados con
la Indisponibilidad de equipos y sistemas debido a errores humanos, nuevamente a partir
del enfoque utilizado en el Handbook [19]. El segundo tema está vinculado al tratamiento
de los errores humanos en tareas post-accidentales, específicamente lo referente a la
consideración de los procesos cognoscitivos, cuestión sumamente importante dentro del
análisis de la fiabilidad humana para estos casos.
La indisponibilidad que se produce por estas causas será una función de la probabilidad de
error humano, la probabilidad de no-recuperación del error y el tiempo medio que el
componente permanece en estado fallado antes de ser restaurado.
Veamos como se determina la indisponibilidad por error humano según el Handbook [19] .
170
donde:
p- es la probabilidad del error humano que provoca la indisponibilidad del componente.
d- es el tiempo medio en que el componente o sistema está indisponible para operar dentro
de un período de tiempo determinado, dado que se produjo el error humano.
T- Período de tiempo de interés para estimar la indisponibilidad.
Es importante señalar que esta expresión de la indisponibilidad es aplicable solo cuando la
probabilidad a permanecer en estado indisponible es independiente del tiempo, es decir, en
condiciones de estado estacionario. Esta suposición, por supuesto no aplica a todas las
situaciones, por lo que cuando se evalúe un caso de indisponibilidad dependiente del
tiempo se requerirá otro tipo de tratamiento.
p=E·R [2]
donde:
En caso de no existir verificaciones pasivas, el tiempo medio d será igual al tiempo total T.
En caso contrario, es decir, cuando existen verificaciones pasivas el tiempo medio de
indisponibilidad se determina como:
donde:
171
El ejemplo a continuación ilustra la utilización de estas ecuaciones.
dt = h 1 + C1 · h 2 + C1 · C2 · h 3 + C1 · C2 · C3 · h4
= 168 + (0.01 x 168) + (0.01 x 0.01 x 168) + (0.01 x 0.01 x 0.01 x 168)
= 169.7
p= E· R
= (0.01) · (0.1)
= 0.001
172
Sustituyendo estos valores en la ecuación (1) obtenemos:
U = p · dt / T
= (0.001) · (169.7) / 672
= 0.00025 = 2.5 E-4
Por esta razón la estimación de las probabilidades de error humano en las acciones post-
accidentales resulta una tarea de mayor complejidad. Para facilitar su análisis las tareas
post-accidentales se dividen en tareas de diagnosis y tareas post-diagnosis o manuales,
como también se les denominan en algunos estudios.
Por ello el tratamiento de los errores humanos durante las tareas de diagnosis y en la fase
manual será diferente y se utilizarán distintos métodos de análisis que consideren los
factores que influyen y las particularidades en cada caso. Las acciones manuales son
generalmente analizadas utilizando métodos como la técnica THERP descrita en el capítulo
anterior.
La evaluación de las tareas de diagnosis, por su parte, requiere de una evaluación que
considere el efecto que produce la limitación del tiempo disponible sobre el éxito de la
respuesta humana. Por ello se han elaborado diversos métodos a partir de correlaciones
fiabilidad/tiempo disponible que se utilizan en los estudios actuales de fiabilidad humana,
173
para determinar la probabilidad de error humano en la etapa de diagnosis y, conjuntamente
con la probabilidad de error humano en las tareas de post-diagnosis, estimar la probabilidad
de error humano en la respuesta total a la situación accidental.
Para la determinación del tiempo disponible para la diagnosis es necesario realizar los
cálculos correspondientes de los procesos que tienen lugar y las mediciones reales de los
tiempos que consume cada acción humana. En la figura 11.2-1 aparece un esquema que
ilustra la ubicación de los diferentes tiempos que deben determinarse.
Donde:
Ti- Tiempo desde la iniciación del suceso anormal hasta que aparece la primera indicación
al operador
Tiam - Momento en que deben iniciarse las acciones manuales requeridas para evitar que se
produzca el daño o evento no deseado.
Tam- Tiempo requerido para las acciones manuales. Este tiempo debe estimarse
considerando el tiempo físico que consumen las acciones manuales propiamente y el
retardo del efecto de esas acciones manuales.
Tt - Tiempo máximo disponible para responder al evento ocurrido antes de que se produzca
el daño.
174
Td = Tt - Ti - Tam
Una vez estimado el tiempo disponible para la diagnosis, se aplican otros métodos para
considerar factores tales como el estrés, la calificación de los operadores, la calidad de las
interfases hombre máquina, el tipo de comportamiento predominante y otros que inciden en
la fiabilidad humana, y finalmente se estima la probabilidad de error humano durante las
tareas de diagnosis. En la Figura 11.2-2 aparece un ejemplo de las curvas de fiabilidad-
tiempo disponible que se utilizan en estas evaluaciones.
175
CAPITULO 12
Solución
176
1ro- Poner la bomba B en régimen MANUAL
2do- Cerrar las válvulas motorizadas V1 y V2
3ro- Abrir la válvula manual V3 en la línea de prueba
4to- Arrancar la bomba B
5to- Pasados 10 minutos registrar el caudal en la línea de descarga de la bomba B
6to- Parar la bomba B
7mo- Cerrar la válvula manual V3 en la línea de prueba
8vo- Abrir las válvulas motorizadas V1 y V2
9no- Retornar la bomba B a régimen AUTOMATICO.
V1 Abierta
V2 Abierta
V3 Cerrada
• En el procedimiento solo los pasos del 7 al 9 serán decisivos para la disponibilidad del
sistema tras la prueba periódica. Los pasos anteriores solo afectarán la realización de la
prueba, por lo que no serán considerados en el análisis.
2-Después de las entrevistas con el personal y los recorridos por las áreas relacionadas con
la prueba a través del talk-through y el walk-trough se pudieron determinar algunos
factores y características de los equipos y situaciones de trabajo, que resultan necesarios
para la estimación posterior de los valores de HEP:
177
entre otros controles aparentemente similares, diferenciados solo por su identificación.
Los controles están ampliamente separados por lo que se requieren dos actos
independientes. Se asume, por lo tanto, dependencia nula entre estas dos
manipulaciones.
• El control de la bomba para el cambio de régimen se encuentra situado entre otros
controles similares, diferenciados solo por su identificación, y que pueden coincidir en
la misma posición durante la prueba de la bomba B.
• La válvula manual esta situada junto a otras válvulas manuales de formas y tamaños
similares, con indicaciones no claras y ambiguas. Es una válvula de vástago saliente sin
indicador de posición.
3-A continuación se analiza cada paso del procedimiento relacionado con el objetivo de
este análisis, es decir, los pasos 7, 8 y 9 para descomponerlos en subtareas, identificar los
posibles errores, construir el Arbol de Eventos del Análisis de Fiabilidad Humana,
asignar los valores estimados de HEP considerando los Factores de Incidencia en el
Comportamiento, los niveles de dependencias y otros factores y finalmente proceder a la
cuantificación. Los resultados de todo este proceso aparecen a continuación.
178
En la Figura 12.3-2 aparece el Arbol de Eventos del Análisis de Fiabilidad Humana para
este ejemplo. La cuantificación final de la probabilidad de error humano durante la
realización de la prueba, que conduce a la indisponibilidad del sistema se determina de la
forma siguiente:
FT = F1 + F2 + F3 + F4 + F5 + F6 + F7 + F8 + F9 + F10 + F11
= 0.003 + 0.008 + 0.005 + 0.003 + 0.003 + 0.003 + 0.003 + 0.003 + 0.003 + 0.003 +
+0.003
= 0.04
FT = 4 E-02
179
Fig. 12.3-1. Arbol de Eventos del Análisis de Fiabilidad Humana.
180
BIBLIOGRAFIA
1-A.D. Swain and H.E. Guttmann. Handbook of Human Reliability Analysis with
Emphasis on Nuclear Power Plant Applications. NUREG/CR 1278, 1983, USA.
9-EPRI. Systematic Human Action Reliability Procedure (SHARP). EPRI 3583, 1984,
USA.
11-Human Reliability Associates LTD. Practical Techniques for assessing and reducing
human error in industry. 1990, UK.
181