El An�lisis del �rbol de Fallas (en ingl�s: Fault tree analysis, FTA), es un

an�lisis de falla deductivo de arriba hacia abajo (descendente), en el que un

estado no deseado de un sistema es analizado utilizando la l�gica Booleana para
conjugar una serie de eventos de bajo nivel. Este m�todo de an�lisis es
principalmente utilizado en los campos de ingenier�a de seguridad e ingenier�a de
fiabilidad, para comprender c�mo los sistemas pueden fallar, para identificar las
mejores formas de reducir un riesgo o para determinar (o comenzar a comprender)
tasas de eventos de un accidente de seguridad o una falla (funcional) de un nivel
en particular de un sistema. El FTA es utilizado en la industria aeroespacial,1? la
ingenier�a nuclear, la industria de qu�mica y procesos,2?3?4? la industria
farmac�utica,5? la industria petroqu�mica y otras industrias de alto riesgo; pero
es tambi�n utilizado en campos tan diversos como la identificaci�n de factores de
riesgo relacionados al sistema de fallo del servicio social.6? El FTA es tambi�n
utilizado en la ingenier�a de software para prop�sitos de depuraci�n y est�
estrechamente relacionado a la t�cnica de eliminaci�n de causas utilizada para
detectar errores de c�digo.

En la industria aeroespacial, el t�rmino general "Condici�n de Falla del sistema"

es utilizado para el "estado no deseado" / "estado superior" del �rbol de falla.
Estas condiciones est�n clasificadas por la severidad de sus efectos. Las
condiciones m�s severas requieren el an�lisis m�s extenso del �rbol de fallas.

�ndice
1 Uso
2 Historia
3 Metodolog�a
4 S�mbolos gr�ficos
4.1 S�mbolos de los eventos
4.2 S�mbolos de Puerta L�gica
4.3 S�mbolos de transferencia
5 Fundamentaci�n Matem�tica b�sica
6 An�lisis
7 Comparaci�n con otros m�todos anal�ticos
8 Vea tambi�n
9 Referencias
Uso
El An�lisis de un �rbol de Fallas puede se utilizado para:

Entender la l�gica que conduce al evento superior / estado no deseado.

Mostrar conformidad con la (entrada) seguridad del sistema / los requisitos de
fiabilidad.
Priorizar los colaboradores que conducen hacia el evento superior - Creando las
listas de Equipamiento Cr�tico/ Partes/Eventos para diferentes medidas de
importancia.
Monitorear y controlar el rendimiento de seguridad de un sistema complejo (p. ej.,
�es seguro para una aeronave en particular volar cu�ndo la v�lvula de combustible x
falla? �Por cu�nto tiempo le es permitido volar con el fallo de la v�lvula?).
Minimizar y optimizar recursos.
Asistir en el dise�o de un sistema. El FTA puede ser utilizado como herramienta de
dise�o que ayuda a crear (salida / nivel m�s bajo) requerimientos.
Funcionar como herramienta de diagn�stico para identificar y corregir las causas
del evento superior. Puede ayudar con la creaci�n de manuales / procesos de
diagn�stico.
Historia
El An�lisis del �rbol de Fallas (FTA) fue originalmente desarrollado entre los a�os
1970 a 1971 en los Laboratorios Bell por H. A. Watson, bajo un contrato con la
Divisi�n de Sistemas de Bal�stica de la Fuerza A�rea de Estados Unidos para evaluar
el Sistema de Control de Lanzamiento del Misil Bal�stico Intercontinental Minuteman
I (ICBM).7?8?9?10? El uso de �rboles de fallas desde entonces ha ganado un apoyo
extendido y es a menudo utilizado como herramienta de an�lisis de fallas por
expertos en fiabilidad.11? Siguiendo el primer uso publicado del FTA en el Estudio
del Sistema de Control de Lanzamiento del Minuteman I en 1962, Boeing y AVCO
expandieron el uso del FTA al sistema completo del Minuteman II en los a�os 1963-
1964. El FTA recibi� extensa cobertura en un Simposio de Seguridad de Sistemas en
Seattle en 1965, patrocinado por Boeing y la Universidad de Washington.12? Boeing
empez� a utilizar el FTA para el dise�o de aeronaves civiles alrededor de 1966.13?
14?

Posteriormente, dentro del ej�rcito de EE.UU., la aplicaci�n del FTA para su uso
con fuzes fue explorado por el "Picatinny Arsenal" en las d�cadas de los 60 y
70.15? En 1976 el Comando de Material B�lico del Ej�rcito de Estados Unidos,
incorpor� el FTA en un Manual de Dise�o de Ingenier�a sobre Dise�o para
Confiabilidad.16? El Centro de An�lisis de la Fiabilidad en el Laboratorio de Roma
y sus organizaciones sucesoras, ahora con el Centro de Informaci�n T�cnica de
Defensa (Centro de An�lisis de Informaci�n de Confiabilidad y ahora Centro de
An�lisis de Informaci�n de Sistemas de Defensa, https://www.dsiac.org/) ha
publicado documentaci�n sobre el FTA y los bloques de diagramas de fiabilidad desde
la d�cada de los 60.17?18?19? MIL-HDBK-338B proporciona una referencia m�s
reciente.20?

En 1970, la Administraci�n de Aviaci�n Federal (FAA por sus siglas en Ingl�s) de

los EE.UU public� un cambio respecto a las regulaciones de navegabilidad 14 CFR
25.1309 para aeronaves de categor�a de transporte en el Registro Federal en el 35
FR 5665 (1970-04-08). Este cambio adopt� criterios probabil�sticos de falla para
sistemas de aeronaves y equipamentos, y condujo al amplio uso del FTA en la
aviaci�n civil. En 1998, la Administraci�n de Aviaci�n Federal public� la Orden
8040.4,21? estableciendo la pol�tica de administraci�n de riesgo, que incluye al
an�lisis de riesgo en una gama de actividades cr�ticas m�s all� de la certificaci�n
de aeronaves, incluyendo el control de tr�fico a�reo y la modernizaci�n del Sistema
Nacional de Espacio A�reo de los EE.UU. Esto condujo a la publicaci�n del Manual de
Seguridad del Sistema de la Administraci�n de Aviaci�n Federal, el cual describe el
uso del FTA en varios tipos de an�lisis formales de riesgo.22?

Anteriormente en el proyecto Apolo la cuesti�n se enmarcaba en la probabilidad de

enviar con �xito los astronautas a la Luna y regresarlos a salvo a la Tierra. Se
hizo un c�lculo de riesgo o fiabilidad de alg�n tipo, y el resultado fue una
probabilidad de �xito de la misi�n que era inaceptablemente bajo. Este resultado
desanim� a la NASA de realizar an�lisis cuantitativos de riesgo y fiabilidad hasta
despu�s del accidente del Challenger en 1986. En cambio, la NASA decidi� confiar en
el uso del an�lisis modal de fallos y efectos (AMFE) y otros m�todos cualitativos
para valoraciones de la seguridad de los sistemas. Despu�s del accidente del
Challenger, la importancia de la Evaluaci�n probabil�stica del riesgo (en ingl�s:
Probabilistic Risk Assessment, PRA) y el FTA en el an�lisis de riesgo y fiabilidad
de sistemas, fueron tomadas en cuenta y empez� a crecer su uso en la NASA, y ahora
el FTA es considerado como una de las m�s importantes t�cnicas de fiabilidad y
an�lisis de seguridad de sistemas.23?

Dentro de la industria nuclear, La Comisi�n Reguladora Nuclear de EE.UU. (en

ingl�s: Nuclear Regulatory Commission, NRC) empez� utilizar los m�todos de
evaluaci�n probabil�stica del riesgo (en ingl�s: probabilistic risk assessment,
PRA) incluyendo el FTA en 1975, y expandieron significativamente la investigaci�n
PRA luego del Accidente de Three Mile Island en 1979.24? Esto finalmente condujo a
la publicaci�n del Manual del �rbol de Fallas NRC NUREG�0492,25? y al uso
obligatorio del PRA bajo autoridad reguladora de la NRC.

Luego de desastres de procesos industriales como el Desastre de Bhopal en 1984 y la

explosi�n del Piper Alfa en 1988, en 1992 el Departamento de Seguridad Laboral y
Administraci�n de Salud de los EE.UU (en ingl�s: Occupational Safety and Health
Administration, OSHA) public� en el Registro Federal en el 57 FR 6356 (1992-02-24)
su est�ndar de Administraci�n de Seguridad de Procesos (en ingl�s: Process Safety
Management, PSM) en el 19 CFR 1910.119.26? OSHA PSM reconoce al FTA como un m�todo
aceptable para el an�lisis de riesgo de procesos.

Hoy el FTA es ampliamente utilizado en seguridad de sistemas e ingenier�a de

fiabilidad, y en todos los campos importantes de la ingenier�a.

Metodolog�a
La metodolog�a del FTA est� descrita en varios est�ndares industriales y del
gobierno, incluyendo la NRC NUREG�0492 para la industria nuclear, una revisi�n del
NUREG�0492 orientada a la industria aeroespacial usada por la NASA,27?la SAE
ARP4761 para aeronaves civiles, la MIL�HDBK�338 para sistemas militares, y el
est�ndart IEC IEC 6102528? que se pretende para el uso de la industria cruzada y ha
sido adoptada como Norma europea EN 61025.

Cualquier sistema suficientemente complejo est� sujeto a fallas, a causa del fallo
de uno o m�s sus subsistemas. La probabilidad de falla, sin embargo, a menudo puede
ser reducida a trav�s del dise�o mejorado del sistema. El an�lisis de �rboles de
fallas mapea la relaci�n entre las fallas, los subsistemas, y los elementos
redundantes del dise�o de seguridad, creando un esquema l�gico del sistema global.

El resultado no deseado se toma como la ra�z ('acontecimiento / evento superior')

de un �rbol l�gico. Por ejemplo, el resultado no deseado de una operaci�n de
prensado y estampado de metal, es que alg�n ap�ndice humano sea estampado.
Trabajando hacia atr�s desde este evento superior, podr�amos determinar que hay dos
maneras en que esto podr�a ocurrir: durante una operaci�n normal o durante una
operaci�n de mantenimiento. Esta condici�n es un O l�gico. Considerando la rama en
la que ocurre durante una operaci�n normal quiz�s determinamos que hay dos formas
en que esto podr�a pasar: los ciclos de prensa hacen da�o el operador o los ciclos
de prensa hacen da�o a otra persona. Esto es otro O l�gico. Podemos hacer una
mejora del dise�o al requerir que el operador pulse dos botones para echar andar a
la m�quina - esta es una caracter�stica de seguridad en la forma de un Y l�gico -.
El bot�n puede tener una taza de fallo intr�nseca - esto deviene en un incentivo de
falla que podemos analizar-. Cu�ndo los �rboles de fallas son ponderados con
n�meros reales para las probabilidades de fallas, los programas computacionales
pueden calcular las probabilidades de fracaso en los �rboles de fallas. Cu�ndo se
tiene que un acontecimiento en concreto afecta a m�s de un evento, i.e. tiene
impacto en varios subsistemas, se le llama una causa com�n o modo com�n. Hablando
gr�ficamente, esto significa que este acontecimiento aparecer� en varias posiciones
del �rbol. Las causas comunes introducen relaciones de dependencia entre
acontecimientos. Los c�lculos de probabilidades de un �rbol que contiene algunas
"causas comunes" son mucho m�s complicados que en �rboles normales donde todos los
acontecimientos son considerados como independientes. No todas las herramientas de
software disponibles en el mercado proporcionan tal capacidad.

El �rbol es normalmente escrito utilizando s�mbolos convencionales de puertas

l�gicas. La ruta a trav�s de un �rbol entre un acontecimiento y un iniciador en el
�rbol se llama un Cut Set. La manera cre�ble m�s corta a trav�s del �rbol desde un
fallo hasta un evento inicializador se llama Cut Set M�nimo.

Algunas industrias utilizan ambos: los �rboles de falla y los �rboles de eventos
(ver Valoraci�n de Riesgo Probabil�stica). Un �rbol de Eventos empieza desde un
inicializador no deseado (p�rdida de suministro cr�tico, fracaso de componente,
etc.) y sigue posibles eventos m�s lejanos del sistema a trav�s de una serie de
consecuencias finales. A medida que cada acontecimiento nuevo es considerado, se
a�ade un nuevo nodo al �rbol con una probabilidad dividida de tomar cualquier rama.
Las probabilidades de una gama de 'acontecimientos superiores' surgiendo del
acontecimiento inicial entonces pueden verse.

Los programas cl�sicos incluyen el software (EPRI) CAFTA del Instituto de

Investigaci�n de Energ�a El�ctrica, el cual es utilizado por muchas de los plantas
nucleares de EE.UU. y por la mayor�a de los fabricantes aeroespaciales
internacionales y de EE.UU., y el SAPHIRE del Laboratorio Nacional de Idaho, el
cual es utilizado por el Gobierno de EE.UU. para evaluar la seguridad y fiabilidad
de reactores nucleares, el Transbordador espacial, y la Estaci�n Espacial
Internacional. Fuera de los EE.UU., el software RiskSpectrum es una herramienta
popular para los an�lisis de �rbol de Fallas y de �rbol de Eventos y est�
autorizado para su uso en casi la mitad de las plantas nucleares del mundo por
Evaluaci�n Probabil�stica de Seguridad.

S�mbolos gr�ficos
Los s�mbolos b�sicos utilizados en el FTA est�n agrupados como eventos, puertas, y
s�mbolos de transferencia. Variaciones menores pueden ser utilizadas en softwares
de FTA.

S�mbolos de los eventos

Los s�mbolos de eventos son utilizados para acontecimientos primarios y
acontecimientos intermedios. Los eventos primarios no se desarrollan m�s en el
�rbol de fallas. Los acontecimientos intermedios se encuentran en la salida de una
puerta. Los s�mbolos de eventos se muestran debajo:

Acontecimiento / Evento b�sico

Acontecimiento / Evento externo

Acontecimiento / Evento no desarrollado

Acontecimiento / Evento Condicionante

Acontecimiento / Evento intermedio

Los s�mbolos de eventos primarios son t�picamente utilizados como sigue:

Evento b�sico - falla o error en un componente o elemento del sistema (ejemplo:

Interruptor atascado en la posici�n de abierto)
Evento externo - normalmente se espera que ocurra (No por s� mismo una falla)
Evento no desarrollado - Un evento sobre el que no se dispone de informaci�n
suficiente o que no tiene ninguna consecuencia
Evento condicionante - Condiciones que restringen o afectan puertas l�gicas
(ejemplo: modo de operaci�n en vigor)
Una puerta de evento intermedio se puede utilizar inmediatamente por encima de un
evento primario, para proporcionar m�s espacio para escribir la descripci�n del
evento. El FTA es un enfoque de arriba hacia abajo (descendente).

S�mbolos de Puerta L�gica

Los s�mbolos de puerta describen la relaci�n entre los eventos de entrada y de
salida. Los s�mbolos se derivan de s�mbolos l�gicos booleanos:
Puerta de O l�gico

Puerta de Y l�gico

Puerta de O-Exclusivo l�gico

Puerta de Y l�gico Priorizado

Puerta Inhibidora

Las puertas funcionan como sigue:

Puerta de O l�gico - La salida se produce si se produce alguna de las entradas

Puerta de Y l�gico - La salida se produce s�lo si se producen todas las entradas
(las entradas son independientes)
Puerta de O-Exclusivo l�gico - La salida se produce si se produce exactamente una
entrada
Puerta de Y l�gico Priorizado - La salida se produce si las entradas se producen en
una secuencia espec�fica, especificada por un evento condicionante
Puerta Inhibidora - Se produce la salida si la entrada se produce bajo una
condici�n permitiva, especificada por un evento condicionante
S�mbolos de transferencia
Los s�mbolos de transferencia son usados para conectar las entradas y las salidas
de �rboles de fallas relacionados, tal como el �rbol de fallas de un subsistema al
de su sistema. La NASA prepar� una documentaci�n completa sobre el FTA a trav�s de
incidentes pr�cticos.

Transferencia entrante

Transferencia saliente

Fundamentaci�n Matem�tica b�sica

Los eventos en un �rbol de fallas est�n asociados con probabilidades estad�sticas.
Por ejemplo, las componentes fallidas pueden ocurrir t�picamente con alg�n �ndice
de falla constante ? (una funci�n de riesgo constante). En este caso m�s sencillo,
la probabilidad de falla depende del �ndice ? y del tiempo de exposici�n t:

P = 1 - exp(-?t)
P � ?t, ?t < 0.1
Un �rbol de fallas es a menudo normalizado a un intervalo de tiempo dado, como una
hora de vuelo o un tiempo de misi�n mediano. Las probabilidades de los eventos
dependen de la relaci�n entre la funci�n de riesgo del evento y su intervalo.

A diferencia de los esquemas de puertas l�gicas convencionales en los cuales las

entradas y las salidas contienen los valores binarios de CIERTOS (1) o FALSOS (0),
las puertas en el �rbol de fallas producen probabilidades relacionadas con las
operaciones de conjunto de la l�gica Booleana. La probabilidad del evento de salida
de una puerta depende de las probabilidades de los eventos de la entrada.

Una puerta de Y l�gico representa una combinaci�n de acontecimientos

independientes. Esto es, la probabilidad de cualquier acontecimiento de entrada a
una puerta de Y l�gico, no se ve afectada por ning�n otro acontecimiento de entrada
a la misma puerta. En t�rminos de Teor�a de conjuntos, esto es equivalente a la
intersecci�n de los conjuntos de eventos de la entrada, y la probabilidad de la
salida de la puerta de Y l�gico est� dada por:

P (A y B) = P (A n B) = P(A) P(B)
Una puerta de O l�gico, por otro lado, corresponde a una uni�n de conjuntos:

P (A o B) = P (A ? B) = P(A) + P(B) - P (A n B)
Como las probabilidades de fallas en �rboles de fallas tienden a ser peque�as
(menos de .01), P (A n B) normalmente deviene en un t�rmino de error muy peque�o, y
la salida de una puerta de O l�gico puede ser aproximada conservadoramente usando
la suposici�n de que las entradas son eventos mutuamente excluyentes:

P (A o B) � P(A) + P(B), P (A n B) � 0
La puerta de O-Exclusivo con dos entradas representa la probabilidad que una o la
otra entrada, pero no ambas, ocurra:

P (A xor B) = P(A) + P(B) - 2P (A n B)

Nuevamente, como P (A n B) normalmente deviene en un t�rmino de error muy peque�o,
la puerta de O-Exclusivo tiene valor limitado en un �rbol de fallas.

An�lisis
Muchas aproximaciones diferentes se pueden usar para modelar un FTA, pero la m�s
com�n y popular puede ser resumida en unos cuantos pasos. Un �nico �rbol de fallas
se usa para analizar uno y s�lo un evento no deseado o evento superior, el cual
puede alimentar posteriormente a otro �rbol de falla como un evento b�sico. Aunque
la naturaleza del evento no deseado puede variar dram�ticamente, un FTA sigue el
mismo procedimiento para cualquier evento no deseado; sea un retraso de 0.25 ms en
la generaci�n de energ�a el�ctrica, un incendio no detectado en una bodega, o el
lanzamiento fortuito e involuntario de un ICBM. Debido al costo de mano de obra, el
FTA s�lo se utiliza normalmente para eventos no deseados m�s graves.

El FTA implica cinco pasos:

Definir el evento no deseado a estudiar

El evento no deseado puede ser muy dif�cil de definir, a pesar de que algunos de
los eventos son muy obvios y f�ciles de observar. Un ingeniero con un amplio
conocimiento del dise�o del sistema, o un analista de sistemas con experiencia en
ingenier�a es la mejor persona para ayudar a definir y enumerar los eventos no
deseados. Los eventos no deseados son utilizados entonces para hacer de un FTA, un
evento para otro FTA. No se utilizar�n dos eventos para realizar un FTA.
Lograr un entendiendo del sistema
Una vez el que el evento no deseado est� seleccionado, todas las causas con
probabilidades de 0 o m�s de afectar a este evento son estudiadas y analizadas.
Obtener valores exactos para las probabilidades que conllevan al evento es
normalmente imposible, debido a que puede ser muy costoso y el tiempo que consume
es demasiado. Los softwares de computadoras se usan para estudiar las
probabilidades; esto puede conducir a un an�lisis del sistema menos costoso.
Los analistas de sistemas pueden ayudar al entendimiento del sistema global. Los
dise�adores de sistemas tienen pleno conocimiento del sistema y este conocimiento
es muy importante para no perder ninguna causa que afecte al evento no deseado.
Para el evento seleccionado, todas las causas se enumeran y secuencian en el orden
de ocurrencia, y luego se usan para el siguiente paso que es dibujar o construir el
�rbol de fallas.
Construir el �rbol de fallas
Despu�s de seleccionar el evento no deseado y de haber analizado el sistema para
que sepamos todos los efectos causantes (y si es posible sus probabilidades)
podemos ahora construir el �rbol de fallas. El �rbol de fallas se basa en las
puertas AND y OR que definen las principales caracter�sticas del �rbol de fallas.
Evaluar el �rbol de fallas
Despu�s de que el �rbol de fallas ha sido ensamblado para un evento no deseado
espec�fico, se eval�a y analiza para cualquier posible mejora o en otras palabras,
se estudia la gesti�n de riesgos y se encuentra maneras de mejorar el sistema. Este
paso es como una introducci�n para el paso final que ser� controlar los peligros
identificados. En resumen, en este paso identificamos todos los posibles peligros
que afectan de forma directa o indirecta al sistema.
Controlar los riesgos identificados
Este paso es muy espec�fico y difiere en gran medida de un sistema a otro, pero el
punto principal siempre ser� que despu�s de identificar los peligros se persigan
todos los m�todos posibles para disminuir la probabilidad de ocurrencia de estos.
Comparaci�n con otros m�todos anal�ticos
El FTA es un m�todo deductivo, descendente, dirigido a analizar los efectos de
iniciar fallas y eventos en un sistema complejo. Esto contrasta con el an�lisis
modal de fallos y efectos (FMEA), que es un m�todo inductivo de an�lisis bottom-up
que tiene como objetivo analizar los efectos de fallas de un solo componente o
funci�n en equipos o subsistemas. El FTA es muy bueno para mostrar cu�n resistente
es un sistema a fallas simples o m�ltiples. No es bueno para encontrar todas las
posibles fallas iniciales. El FMEA es bueno en catalogar de forma exhaustiva las
fallas iniciales, y en la identificaci�n de sus efectos locales. No es bueno para
examinar los fallos m�ltiples o sus efectos a nivel del sistema. El FTA considera
los eventos externos, el FMEA no. En la aeron�utica civil la pr�ctica habitual es
realizar tanto FTA y FMEA, con un resumen de efectos de modo de fallo (FMES) como
la interfaz entre el FMEA y el FTA.

Las alternativas al FTA incluyen los diagramas de dependencias (DD), tambi�n

conocidos como diagramas de bloques de fiabilidad (RBD) y el an�lisis de Markov. Un
diagrama de dependencias es equivalente a un an�lisis de �rbol de �xito (en ingl�s:
Success Tree Analysis, STA), el inverso l�gico de un FTA, y representa el sistema
utilizando rutas en lugar de puertas. DD y STA producen probabilidades de �xito (es
decir, evitar un evento superior) en lugar de la probabilidad de un evento
superior.