Documentos de Académico
Documentos de Profesional
Documentos de Cultura
COLOMBIANA 60812
2007-07-25
SISTEMAS DE GESTIÓN.
TÉCNICAS DE ANÁLISIS PARA CONFIABILIDAD DE
SISTEMAS. PROCEDIMIENTO PARA ANÁLISIS DE
MODO DE FALLA Y EFECTOS (AMFE)
ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental
para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el
sector gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en
los mercados interno y externo.
Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda en
todo momento a las necesidades y exigencias actuales.
DIRECCIÓN DE NORMALIZACIÓN
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
CONTENIDO
Página
INTRODUCCIÓN......................................................................................................................1
1. OBJETO .......................................................................................................................1
4. GENERALIDADES.......................................................................................................3
7. APLICACIONES.........................................................................................................28
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
Página
BIBLIOGRAFÍA......................................................................................................................44
DOCUMENTO DE REFERENCIA..........................................................................................45
ANEXOS
ANEXO A (Informativo)
RESUMEN DE PROCEDIMIENTOS PARA AMFE Y AMFEC ..............................................33
FIGURAS....................................................................................................................................
Figura 1. Relación entre modos de falla y efectos de falla en un sistema jerárquico .....9
TABLAS
Página
SISTEMAS DE GESTIÓN.
TÉCNICAS DE ANÁLISIS PARA CONFIABILIDAD DE SISTEMAS.
PROCEDIMIENTO PARA ANÁLISIS DE MODO DE FALLA Y EFECTOS (AMFE)
INTRODUCCIÓN
1. OBJETO
2. REFERENCIAS NORMATIVAS
1 de 45
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
IEC 61078, Analysis Techniques for Dependability. Reliability Block Diagram Method.
3. TÉRMINOS Y DEFINICIONES
3.1 Ítem (Item). Cualquier parte, componente, dispositivo, subsistema, unidad funcional, equipo o
sistema que se puede considerar individualmente.
NOTA 1 Un ítem puede ser hardware, software o ambos, y también en casos particulares puede incluir personas.
NOTA 2 Varios elementos, tales como una población de ítemes o una muestra, pueden ser considerados como un
ítem.
[IEV 191-01-01]1
Un proceso también se puede definir como un ítem que lleva a cabo una función
predeterminada, y para la cual se realiza un AMFE o AMFEC del proceso. Normalmente, un
AMFE de hardware no trata sobre las personas ni sobre sus interacciones con el
hardware/software, mientras que un proceso de AMFE normalmente incluye acciones de las
personas.
3.2 Falla (Failure). Terminación de la capacidad de un ítem para realizar una función
requerida.
[VEI 191-04-01]
3.3 Defecto (Fault). Estado de un ítem caracterizado por la incapacidad para realizar una
función requerida, exceptuando la incapacidad durante el mantenimiento preventivo u otras
acciones planificadas, o debido a la falta de recursos externos.
NOTA 1 Un defecto es con frecuencia el resultado de una falla en el propio ítem, pero puede existir antes de la
falla
[VEI 191-05-01]
NOTA 2 En este documento, "defecto" se usa en forma intercambiable con el término "falla" por razones
históricas.
1
Esta referencia indica que la definición fue adoptada del documento normativo IEC 60050-191
Vocabulario Electrotécnico Internacional (International Electrotechnical Vocabulary IEV). Capítulo 191:
Seguridad de funcionamiento y calidad del servicio (Dependability and Quality of Service).
2
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
c) Un límite definido.
[ISO 9000:2005]
3.8 Severidad de la falla (Failure Severity). Importancia o clasificación del efecto del modo de
falla en la operación del ítem, en los alrededores del ítem o en el operador del ítem; severidad
del efecto del modo de falla como se relaciona con los límites definidos del sistema analizado.
4. GENERALIDADES
4.1 INTRODUCCIÓN
El AMFE es aplicable a varios niveles de descomposición del sistema, desde el nivel más alto
en el diagrama de bloques hasta las funciones de los componentes discretos o comandos de
software. El AMFE también es un proceso iterativo que es actualizado a medida que se
desarrolla el diseño. Los cambios en el diseño requerirán que las partes pertinentes del AMFE
sean examinadas y actualizadas.
El AMFE se considera un método para identificar la severidad de los modos de falla potencial y
brindar un elemento de entrada a las medidas de mitigación para reducir el riesgo. Sin
3
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
La aplicación del AMFE va precedida de la descomposición jerárquica del sistema (hardware con
software, o un proceso) en sus elementos más básicos. Es útil emplear diagramas de bloque
simples para ilustrar esta descomposición (IEC 61078). El análisis comienza entonces con los
elementos de nivel más bajo. Un efecto de modo de falla a un nivel más bajo puede entonces
convertirse en la causa de una falla de un modo de falla de un ítem en el siguiente nivel superior.
El análisis continúa de abajo hacia arriba hasta que se identifica el efecto final en el sistema. La
Figura 1 ilustra esta relación.
AMFEC (Análisis de modos de falla, efectos y criticidad) es una extensión del AMFE para incluir
un medio de clasificar la severidad de los modos de falla y permitir la priorización de
contramedidas. Esto se hace combinando la medida de la severidad y la frecuencia de aparición
para producir una métrica llamada criticidad.
Los principios de un AMFE se pueden aplicar por fuera del diseño de ingeniería. El procedimiento
de AMFE se puede aplicar a un proceso de manufactura o a cualquier otro proceso de trabajo,
como por ejemplo en hospitales, laboratorios médicos, sistemas escolares u otros. Cuando el
AMFE se aplica a un proceso de manufactura, este proceso se conoce en la industria como
AMFE o AMFEP del proceso. Para que un AMFE sea eficaz, se deben comprometer los recursos
adecuados para un trabajo en equipo. Para un AMFE preliminar tal vez no sea esencial una
comprensión profunda del sistema que se analiza. Con el desarrollo del diseño, un análisis de
modo de falla detallado requiere un profundo conocimiento del desempeño del diseño y sus
especificaciones. Los diseños de ingeniería complejos usualmente requieren la participación de
muchas áreas de conocimiento y experiencia en diseño (por ejemplo, ingeniería mecánica,
eléctrica, de sistemas, de software, soporte de mantenimiento, etc.).
El AMFE tiene que ver generalmente con modos de falla individual y el efecto de estos modos de
falla en el sistema. Cada modo de falla se trata de manera independiente. Por tanto, el
procedimiento es inadecuado para consideración de fallas dependientes o resultantes de una
secuencia de eventos. Para analizar estas situaciones se pueden requerir otros métodos y
técnicas, tales como el análisis de Markov (véase la norma IEC 61165) o el análisis de árbol de
fallas (véase la norma IEC 61025).
Al determinar el impacto de una falla se debe considerar el mayor nivel inducido - las fallas
resultantes y posiblemente el mismo nivel de fallas inducidas. El análisis debería indicar, siempre
que sea posible, la combinación de modos de falla o su secuencia que fue la causa de un efecto
de nivel más alto. En este caso, se requiere modelado adicional para estimar la magnitud o
probabilidad de ocurrencia de este efecto.
El AMFE es una herramienta flexible que se puede adaptar a las necesidades de un producto o
industria específica. Las hojas de trabajo especializadas que requieren entradas específicas se
pueden adaptar para determinadas aplicaciones. Si se definen los niveles de severidad de los
modos de falla, se pueden definir en forma distinta para diferentes sistemas o niveles de
sistemas.
Las razones para realizar un Análisis de Modo de Falla y Efectos (AMFE) o Análisis de Modo de
Falla, Efectos y Criticidad (AMFEC) pueden incluir lo siguiente:
4
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
a) Identificar las fallas que tienen efectos no deseados en la operación del sistema, por
ejemplo, impedir o degradar en forma significativa la operación o afectar la seguridad del
usuario.
Con base en las razones anteriores para la realización de una labor de AMFE, los objetivos de un
AMFE (o AMFEC) pueden incluir los siguientes:
a) Una identificación y evaluación amplias de todos los efectos indeseados dentro de los
límites definidos del sistema que se analiza, y las secuencias de los eventos provocados
por cada modo de falla del ítem identificado, cualquiera que sea su causa, a diferentes
niveles de la jerarquía funcional del sistema.
c) Una clasificación de los modos de falla identificados de acuerdo con las características
pertinentes, incluida su facilidad de detección, la capacidad de diagnóstico, capacidad
de ensayo, compensación y disposiciones para operación (reparación, mantenimiento,
logística, etc.).
e) Desarrollo del plan de mejora del diseño para la mitigación de los modos de falla.
La labor de AMFE aplicada a productos complejos podría ser muy extensa. Esta labor se
puede reducir algunas veces teniendo en mente que es posible que el diseño de algunos
5
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
b) Ejecución del AMFE usando la hoja de trabajo apropiada u otro medio, tales como
diagramas lógicos o árboles de falla.
Las actividades del AMFE, las actividades complementarias, procedimientos, relaciones con
otras actividades relacionadas con confiabilidad, procesos para la gestión de acciones
correctivas y para su cierre, y los eventos importantes, se deberían integrar en el plan del
programa general.
El plan del programa de confiabilidad debería describir el método de AMFE que se va a utilizar.
Esta descripción puede ser un resumen o una referencia a un documento fuente que contiene
la descripción del método.
- Una definición clara de los propósitos específicos del análisis y los resultados
esperados.
6
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
- Una descripción de cómo el análisis actual apoya la seguridad del funcionamiento del
proyecto general.
- Las medidas identificadas usadas para controlar las actualizaciones del AMFE y la
documentación pertinente. Se debería especificar el control de la actualización de los
documentos de análisis, hojas de trabajo y métodos de archivo.
El plan debería reflejar el consenso de todos los participantes y debería ser aprobado por la
dirección del proyecto. La revisión final del AMFE ya realizado en la etapa final del diseño de
un producto o su proceso de fabricación (AMFE del proceso) identifica todas las acciones
registradas para la mitigación de los modos de falla de interés y la forma de cerrarlos.
Es necesario incluir los siguientes ítemes en la información sobre la estructura del sistema:
El límite del sistema forma la interfaz física y funcional entre el sistema y su ambiente, incluidos
otros sistemas con los que interactúa el sistema analizado. La definición del límite del sistema
para el análisis debería corresponder al límite definido para diseño y mantenimiento. Esto se
debería aplicar a un sistema a cualquier nivel. Los sistemas y/o componentes por fuera de los
límites se deberían definir explícitamente para exclusión.
La definición del límite del sistema es más probable que esté influenciada por el diseño, uso
previsto, fuente de suministro o criterios comerciales, antes que por los requisitos óptimos del
AMFE. Sin embargo, en donde sea posible definir los límites para facilitar el AMFE del sistema
7
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
y su integración con otros estudios relacionados en el programa, esta acción es preferible. Esto
se aplica especialmente si el sistema es complejo funcionalmente, con múltiples
interconexiones entre ítemes dentro del límite y las múltiples salidas que cruzan el límite. En
estos casos podría ser ventajoso definir un límite de estudio desde un punto de vista funcional,
no de hardware ni software, para limitar los enlaces de entrada y salida a otros sistemas. De
esta manera habría la tendencia a reducir el número de efectos de falla del sistema.
Es necesario asegurar que no se olviden los otros sistemas o componentes por fuera de los
límites del sistema objeto, indicando en forma explícita que están excluidos del estudio
particular.
Es importante determinar el nivel de detalle que se utilizará para el análisis. Por ejemplo, los
sistemas se pueden desglosar por funciones o subsistemas, unidades reemplazables o
componentes individuales (véase la Figura 1). Las reglas fundamentales para seleccionar los
niveles de detalle del sistema para análisis dependen de los resultados deseados y de la
disponibilidad de información de diseño. Las siguientes directrices son útiles.
a) El nivel más alto dentro del sistema se selecciona del concepto de diseño y de los
requisitos de salida especificados.
b) El nivel más bajo dentro del sistema, al cual el análisis es eficaz, es ese nivel para el
cual hay información disponible para establecer la definición y descripción de funciones.
La selección del nivel del sistema apropiado está influenciada por la experiencia previa.
Se puede justificar un análisis menos detallado para un sistema con base en la madurez
del diseño, una confiabilidad adecuada, capacidad de mantenimiento y registro de
seguridad. A la inversa, los detalles más grandes y un nivel de sistema
correspondientemente más bajo están indicados para cualquier sistema recién
diseñado, o un sistema con una historia de confiabilidad desconocida.
En el AMFE, las definiciones de modo de falla, causas de las fallas y efectos de las fallas
dependen del nivel de análisis y de los criterios de falla del sistema. A medida que el análisis
progresa, los efectos de la falla identificados al nivel inferior pueden llegar a ser modos de falla
al nivel superior. Los modos de falla al nivel más bajo pueden llegar a ser causas de falla al
nivel superior, etc.
Cuando un sistema es desglosado en sus elementos, los efectos de una o más de las causas
de modo de falla constituyen un modo de falla, que a su vez es causa del efecto de nivel más
alto, una falla parcial. Una falla parcial es entonces la causa de una falla del módulo (efecto)
que en sí misma es la causa de una falla en un subsistema. El efecto de una causa de un nivel
de sistema llega a ser entonces una causa de otro efecto a nivel más alto. La explicación
anterior se ilustra en la Figura 1.
8
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
Subsistema
2
Subsistema Subsistema Subsistema
1 4 5
Subsistema
Causa de falla
3 del sistema
Parte
3
Parte Parte Parte
1 2 5
Parte
Causa de falla
del módulo 3 4
Es conveniente crear diagramas sencillos que destaquen todas las funciones esenciales para
el sistema. En el diagrama, los bloques están enlazados mediante líneas que representan las
entradas y salidas para cada función. Usualmente es necesario describir con precisión la
naturaleza de cada función y cada entrada. Puede haber varios diagramas para cubrir
diferentes fases del sistema de operación.
A medida que el diseño del sistema avanza, es posible crear un diagrama de bloques
componentes que representan los componentes o las partes reales. Con este conocimiento
adicional es posible una identificación más precisa de las causas y modos de falla potenciales.
Los diagramas deberían visualizar cualquier serie y relaciones redundantes entre los elementos
y las interdependencias funcionales entre ellos. Esto permite rastrear las fallas funcionales a
través del sistema. Puede ser necesario más de un diagrama para ilustrar los modos
alternativos de operación del sistema. Se pueden requerir diagramas separados para cada
modo operacional. Como mínimo, el diagrama de bloques debería contener lo siguiente:
10
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
Se ha establecido que uno de los usos del AMFE es ayudar al desarrollo de la estrategia de
mantenimiento. Sin embargo, si ésta ha sido predeterminada, se debería conocer la
información sobre instalaciones de mantenimiento, equipo y repuestos, para mantenimiento
tanto preventivo como correctivo.
Las condiciones ambientales del sistema se deberían especificar, incluidas las condiciones
ambientales y las creadas por otros sistemas cercanos. El sistema se debería delinear con
respecto a sus relaciones, dependencias o interconexiones con sistemas auxiliares y otros, e
interfaces con seres humanos.
En la etapa de diseño estos hechos usualmente no se conocen, y por tanto serán necesarias
aproximaciones e hipótesis. A medida que el proyecto avanza será necesario incrementar los
datos y modificar el AMFE para prever nueva información o cambio en hipótesis o
aproximaciones. Con frecuencia el AMFE será útil para definir las condiciones requeridas.
c) El modo de operación.
NOTA Esta lista es un ejemplo solamente. Se requerirían diferentes listas para diferentes tipos de sistemas.
Prácticamente cualquier tipo de falla se puede clasificar en una o más de estas categorías. Sin
embargo, estas categorías de modo de falla generales tienen un alcance demasiado amplio
11
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
para un análisis definitivo; en consecuencia, es necesario ampliar esta lista de manera que las
categorías sean más específicas. Cuando se usan junto con especificaciones de desempeño
que rigen las entradas y salidas en el diagrama de bloques de confiabilidad, todos los modos
de falla potencial se pueden identificar y describir. Se debe tener en cuenta que un modo de
falla dado puede tener varias causas.
Es importante que se lleve a cabo la evaluación de todos los ítemes dentro de los límites del
sistema al nivel más bajo proporcional a los objetivos del análisis, para identificar todos los
modos de falla potenciales. Entonces es posible llevar a cabo una investigación para identificar
todas las posibles causas de falla y sus efectos sobre la función del sistema y subsistema.
Los proveedores de ítemes deberían identificar los modos de falla potenciales del ítem dentro
de sus productos. Para ayudar a esta función, en las siguientes áreas se pueden buscar datos
de modos de falla típicos:
a) Para nuevos ítemes, se puede hacer referencia a otros ítemes con función y estructura
similar, y a los resultados de ensayos realizados en estos bajo los niveles de esfuerzo
apropiados.
c) Para ítemes en uso, se pueden consultar los registros en servicio y los datos de fallas.
d) Los modos de falla potencial se pueden deducir de los parámetros funcionales y físicos
de la operación del ítem.
Es importante que los modos de falla del ítem no se omitan por falta de datos y que los
estimados iniciales se mejoren mediante resultados de ensayo y progresión del diseño. El
AMFE debería registrar el estatus de estos estimados.
Las causas más probables de cada modo de falla potencial se deberían identificar y describir.
Ya que un modo de falla puede tener más de una causa, es necesario identificar y describir las
causas potenciales independientes más probables.
La identificación y descripción de las causas de falla no siempre son necesarias para todos los
modos de falla identificados en el análisis. La identificación y descripción de las causas de falla
se deberían hacer con base en los efectos de las fallas y su severidad. Cuanto más severos los
efectos de los modos de falla, con mayor exactitud se deberían identificar y describir las causas
de las fallas. De lo contrario, el analista puede dedicar esfuerzos innecesarios a la identificación
de las causas de las fallas de modos de falla que tienen un efecto menor, o ningún efecto,
sobre la funcionalidad del sistema.
12
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
Las causas de las fallas se pueden determinar del análisis de fallas en campo o fallas en las
unidades de ensayo. Cuando el diseño es nuevo y sin precedente, las causas de las fallas se
pueden establecer a partir de la opinión de los expertos.
Cuando se identifican las causas de cada modo de falla, la acción recomendada se evaluará
con base en su probabilidad de ocurrencia estimada y en la severidad de su efecto.
La expresión "efectos locales" hace referencia a los efectos del modo de falla sobre los
elementos del sistema que se estudia. Se deberían describir las consecuencias de cada
posible falla en la salida del ítem. El propósito de identificar los efectos locales es brindar una
base para juzgar cuándo evaluar disposiciones alternativas existentes o diseñar las acciones
correctivas recomendadas. En algunos casos es posible que no haya un efecto local más allá
del propio modo de falla.
Cuando se identifican los efectos finales, se define y evalúa el impacto de una posible falla en
el nivel de sistema más alto, mediante el análisis de todos los niveles intermedios. El efecto
final descrito puede ser el resultado de múltiples fallas. (Por ejemplo, la falla de un dispositivo
de seguridad da como resultado un efecto final catastrófico solamente en el evento de que el
dispositivo de seguridad falle y la función primordial para la que está previsto el dispositivo de
seguridad vaya más allá de los límites permitidos). Estos efectos finales que son el resultado de
una falla múltiple se deberían indicar en las hojas de trabajo.
Para cada modo de falla el analista debería determinar la forma en la que se detecta la falla y
el medio por el cual el usuario o encargado del mantenimiento se entera de la falla. La
detección de la falla se puede implementar por medio de una característica automática del
diseño (ensayo con equipo de prueba integrado), el establecimiento de un procedimiento de
inspección especial antes de la operación del sistema, o inspección durante las actividades de
mantenimiento. Se puede implementar al arrancar el sistema o continuamente durante la
operación o a los intervalos establecidos. En cualquier caso, la detección de la falla y su
anuncio deberían impedir una condición de operación peligrosa.
Los modos de falla diferentes del que se considera, que dan lugar a una manifestación idéntica,
se deberían analizar y enumerar. Se debería considerar la necesidad de detectar en forma
separada la falla de elementos redundantes durante la operación.
13
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
Para un diseño, la detección con AMFE considera qué tan probable, cuándo y dónde se
identificará la eficiencia de un diseño (mediante revisión, análisis, simulación, ensayo, etc.).
Para un proceso, la detección con AMFE considera qué tan posible y dónde puede ser
identificada una deficiencia en el proceso, y con qué probabilidad, por ejemplo, por un
operador, un control estadístico de procesos, un procedimiento de verificación de calidad o en
los últimos pasos en el proceso.
a) Ítemes redundantes que permiten la operación continua si alguno de los elementos falla.
- La naturaleza del sistema en relación con los posibles efectos sobre los usuarios o el
ambiente, resultantes de la falla.
14
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
Tabla 2. Ejemplo ilustrativo de una clasificación de severidad para los efectos finales
15
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
Si
Proponer un método de mitigación, acciones correctivas o disposiciónes
para compensación. Identificar acciones y personal responsable
Si
Si
16
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
El símbolo C agregado al AMFE denota que el análisis de modo de falla brinda también el
análisis de criticidad. La determinación de la criticidad implica la adición de una medida
cualitativa de la magnitud de un efecto de modo de falla. La criticidad tiene muchas definiciones
y medidas, la mayoría de las cuales suponen un significado similar: impacto o importancia de
un modo de falla que exigiría ser abordado y mitigado. Algunas de estas medidas se explican
en los numerales 5.3.2 y 5.3.4. El propósito del análisis de criticidad es cuantificar la magnitud
relativa de cada efecto de falla como una ayuda para la toma de decisiones, de manera que
con una combinación de criticidad y severidad se pueda establecer la prioridad para la acción
de mitigar o minimizar el efecto de determinadas fallas.
en donde
S es un número no dimensional que representa la severidad, es decir, un estimado de qué tan fuerte
los efectos de la falla afectarán al sistema o al usuario.
Algunas aplicaciones de AMFE o AMFEC diferencian adicionalmente el nivel de detección de fallas a nivel del
sistema. En estas aplicaciones se emplea una categoría adicional para detección de fallas, D (también número no
dimensional) para formar un número de prioridad de riesgo (NPR):
NPR = S x O x D
en donde
17
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
Estas relaciones se pueden evaluar numéricamente ya sea en una escala discreta o continua
(un número finito de valores definidos).
Entonces los modos de falla se ordenan con respecto a su NPR y se asigna una alta prioridad
a un alto NPR. En algunas aplicaciones, los efectos con un NPR que exceden un umbral
definido no son aceptables, mientras que en otras aplicaciones se da alta importancia a
números de severidad altos, independientemente del valor del NPR.
Diferentes tipos de AMFEC asignan diferentes escalas para los valores de S, O y D. Algunos
son de 1 a 4 ó 5, y algunos, tales como el AMFEC, usados ampliamente en la industria
automotriz para el análisis del proceso de diseño y producción, conocidos como AMFED
(Análisis de modo de falla y efectos de diseño) y AMFEP (Análisis de modo de fallas y efectos
en procesos), utilizan escalas para todos los tres atributos de 1 a 10.
Combinado críticamente con la severidad es una medida del riesgo, que se diferencia de las
medidas de riesgo aceptadas usualmente sólo en el menos riguroso enfoque para esta
evaluación, que con frecuencia es el menos costoso. La diferencia se observa no solamente en
la manera de predecir la severidad de un efecto de falla, sino también en que la interacción
mucho menos compleja entre los factores que contribuyen se puede modelar en el típico
procedimiento ascendente aplicado en el AMFEC. También el AMFEC usualmente da como
resultado una clasificación relativa de las contribuciones al riesgo total, mientras que un análisis
de riesgo para sistemas de alto riesgo generalmente se dirige a la aceptabilidad del riesgo. Sin
embargo, para sistemas de bajo riesgo y baja complejidad el AMFEC puede ser un método
muy rentable y apropiado. Siempre que durante el AMFEC se reconozca la probabilidad de
efectos de alto riesgo, se recomienda usar un análisis de riesgo probabilístico (ARP), en vez del
AMFEC.
Por tanto, un AMFEC no se debería usar como la única base para juzgar si el riesgo de un
efecto particular de un sistema de alto riesgo o de alta complejidad es aceptablemente
pequeño o no, incluso si el estimado de frecuencia y severidad se basa en datos confiables.
Esta sería la tarea de un análisis probabilístico de riesgo, en donde también se pueden tener
en cuenta parámetros con mayor influencia (y sus interacciones), por ejemplo, tiempo de
exposición, probabilidad de evitar los riesgos, fallas latentes o implícitas y mecanismos de
detección de fallas.
Al usar los efectos de falla identificados por el AMFE, cada efecto es asignado a una clase de
severidad apropiada. Una frecuencia para el evento se calcula de los datos de falla o de los
estimados para la parte involucrada. Al multiplicar la frecuencia por el tiempo de la misión de
interés, se obtiene un número de criticidad que se puede aplicar a una escala, ya sea de
acuerdo con su propio valor, o si la escala representa la probabilidad de ocurrencia de los
eventos, entonces esta probabilidad se mide por la escala. La clase de severidad y la clase de
criticidad (o probabilidad de aparición) para cada efecto conjuntamente constituyen la magnitud
del efecto. Se pueden distinguir dos enfoques principales para la evaluación de la criticidad: el
enfoque de matriz de criticidad y el concepto de números de prioridad de riesgo (NPR).
18
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
Si las tasas de falla para los modos de falla de ítemes similares están disponibles y fueron
determinadas bajo condiciones operacionales y ambientales similares a las supuestas para el
sistema que se analiza, las frecuencias de los eventos para los efectos se pueden agregar
directamente al AMFEC. Si las tasas de falla están disponibles para los elementos, como es
muy frecuente, en vez de para los modos de falla, y para diferentes condiciones ambientales u
operativas, es necesario calcular las tasas de falla de los modos de falla. En general, se
establece la siguiente relación:
λi = λ j x α i x β i
en donde
αi es la relación de modo de falla del modo de falla i, es decir, es la probabilidad de que el ítem
tendrá un modo de falla i.
Las deficiencias principales de este enfoque son la suposición implícita de la tasa de falla
constante, y que muchos de los factores son solamente predicciones o las mejores conjeturas.
Este es especialmente el caso en que los componentes del sistema no pueden tener una tasa
de falla asociada, sólo la probabilidad calculada de la falla para la aplicación específica, su
duración y los esfuerzos asociados, tales como componentes y sistemas mecánicos.
Las condiciones ambientales, de carga y mantenimiento diferentes de las relacionadas con los
datos de la tasa de falla se explican por un factor de modificación. La orientación sobre los
valores apropiados para esta modificación se puede encontrar en publicaciones sobre datos de
confiabilidad. Es necesario tener cuidado especial para asegurarse de que los modificadores
escogidos son correctos y son aplicables para el sistema específico y sus condiciones de
operación.
Ci = λi x t j
Ci = λ j x α i x β i x t j
en donde
tj denota el tiempo de operación del componente durante todo el tiempo predeterminado usado para
el AMFEC, para el cual se evalúa la probabilidad - tiempo de operación del componente activo.
m
Cj = ∑λ
i =1
j x α i x βi x t j
19
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
Se debe observar que el número de criticidad no está relacionado propiamente con el término
criticidad. Es apenas un valor calculado para algunos tipos de AMFEC en el contexto en que
existe una medida relativa de la consecuencia de un modo de falla y su probabilidad de
ocurrencia. Aquí el número de criticidad es una medida de riesgo, no una medida de la
probabilidad de ocurrencia.
Para determinar Pi, la probabilidad de ocurrencia del modo de falla para un tiempo tj, a partir de
la criticidad calculada:
− Ci
Pi = 1 − e
Con una aproximación general, cuando las tasas de falla de los modos de falla y los números
de criticidad resultantes son pequeños, se puede afirmar que para probabilidades de ocurrencia
de menos de 0,2 (en donde la criticidad sería igual a 0,223), los valores del número de
criticidad y la probabilidad de falla son muy similares.
(A) alto
4 Modo de
de ocurrencia
(B) falla 1
3
(C)
2 Modo de
(D) falla 2
1 Riesgo bajo
(E)
I II III IV
Severidad
20
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
En el ejemplo dado en la Figura 3, el modo de falla 1 tiene una mayor posibilidad de ocurrencia
que el modo de falla 2, que a su vez tiene una mayor severidad. La decisión cuyo modo de falla
tenga la prioridad más alta por abordar, depende de la escala de las clases de frecuencia y de
severidad y de los principios de clasificación. Mientras que en una escala lineal el modo de falla 1
(como usualmente sugiere la matriz) tendría una criticidad mayor (o probabilidad de ocurrencia) que
el modo de falla 2, puede haber aplicaciones en las que la severidad tiene prioridad absoluta
sobre la frecuencia, y de esta manera el modo de falla 2 se convierte en el modo de falla más
crítico. Otra observación evidente es que sólo los modos de falla relacionados con el mismo
nivel de detalle del sistema se pueden comparar significativamente con la matriz de criticidad
debido a que para sistemas de baja complejidad, los modos de falla en un nivel inferior
usualmente tienden a tener una frecuencia más baja.
Cuando el producto final requerido para el análisis es una matriz de criticidad, se puede trazar
desde las severidades asignadas y las frecuencias de eventos. La aceptabilidad del riesgo se
define subjetivamente o es impulsada por decisiones profesionales y financieras, y varía en los
diferentes tipos de industrias. La Tabla 3 presenta algunos ejemplos de clases de aceptabilidad
de riesgo y una matriz de criticidad modificada.
Tabla 3. Matriz de riesgo/criticidad
21
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
Una clasificación de severidad se asigna al efecto de falla de cada modo de falla con base en
la severidad del efecto sobre el desempeño general del sistema y la seguridad a la luz de los
requisitos, los objetivos y limitaciones del sistema, al considerar el vehículo como un sistema.
Esto se hace más fácilmente en la hoja de AMFEC. La determinación de la severidad de
acuerdo con la Tabla 4 es muy directa para los números de severidad de 6 en adelante. La
determinación de la severidad de 3 a 5 puede ser subjetiva.
Debe observarse que en la Tabla 5 el término "frecuencia" se usa como la relación de ocurrencia en
varias oportunidades durante una misión o tiempo de vida designado, que se puede comparar con
una "fracción que falla" o probabilidad de ocurrencia, y las probabilidades correspondientes apenas
reflejan esta fracción. Por ejemplo, un modo de falla al que se asigna un valor de O de 9 causaría la
falla de uno de los tres sistemas durante un período de misión determinado. Aquí, la determinación
de esta probabilidad de ocurrencia debe estar relacionada con el período de tiempo de interés. Es
recomendable establecer este período de tiempo en el título del análisis.
La mejor práctica se aplica cuando la probabilidad de ocurrencia se calcula para los componentes y
sus modos de falla, con base en sus propias tasas de falla específicas bajo los esfuerzos esperados
aplicados (ambiental y operacional). Cuando esa información no está disponible, se puede asignar un
estimado, pero mientras se hace, el equipo de análisis debe tener en mente el significado de los
números de ocurrencia - el número de ocurrencias por mil vehículos en el tiempo predeterminado
usado para el análisis (garantía, vida del vehículo u otros); es la probabilidad calculada o estimada de
ocurrencia de ese modo de falla en un período de tiempo de interés. También se debe observar que, a
diferencia de la escala de severidad, la escala de ocurrencia no es lineal ni logarítmica. Por tanto, se
debería tener en mente que cuando se calcula y evalúa el número NPR resultante, tampoco es lineal y
se debe abordar con especial cuidado.
En el concepto de NPR, se debe estimar la posibilidad de que una falla sea detectada; es decir,
la posibilidad de que las características/ayudas de diseño o los procedimientos de verificación
detecten modos de falla potencial en el tiempo para impedir una falla a nivel del sistema. Para
una aplicación del proceso (AMFE o AMFEC del proceso), esto hace referencia a la
probabilidad de que un conjunto de controles de procesos implementados actualmente estén
en posición de detectar y aislar una falla antes de que sea transferida a los procesos siguientes
o a la salida de producto final.
La Tabla 6 presenta uno de los métodos para criterios de detección usados en la industria automotriz.
Tabla 6. Criterios de evaluación de detección de modos de falla
23
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
Este enfoque considerablemente intuitivo descrito arriba debe ir seguido por una clasificación
de prioridad de las acciones que se van a llevar a cabo para asegurar el mejor nivel de
seguridad para el cliente. Por ejemplo, un modo de falla con una alta severidad, una tasa baja
de ocurrencia y una detección muy alta (puede ser 10, 3 y 2 respectivamente) puede tener un
NPR mucho más bajo (aquí 60) que uno que tiene todos los parámetros promedio (puede ser 5
en cada caso, lo que da como resultado un NPR de 125). Así, con frecuencia se definen
procedimientos adicionales para asegurar que se les da prioridad a los modos de falla con una
clasificación de severidad alta (puede ser 9 ó 10), y son mitigados primero. En este caso, la
decisión debería estar orientada por la magnitud de la severidad, y no sólo por el NPR. En
todos los casos, una buena práctica es observar la clase de severidad de un modo de falla
junto con el NPR para un mejor proceso de toma de decisiones.
Los números de prioridad del riesgo también se determinan en otros métodos de AMFE,
especialmente aquellos que son principalmente cualitativos.
Con las tablas anteriores, los NPR se calculan y con frecuencia se usan como una guía para la
mitigación del modo de falla. Se deben recordar las palabras de advertencia del numeral 5.3.2
y se deben tener en mente las deficiencias de los NPR.
- brechas en los rangos: 88 % del rango está vacío, se generan sólo 120 de 1000 números.
- NPR por duplicado: para varias combinaciones en donde diferentes factores conducen
al mismo NPR.
- una escala inadecuada de NPR. Las diferencias en el número de NPR podrían parecer
insignificantes cuando de hecho son importantes. Un ejemplo sería: los valores: S = 6,
O = 4, D = 2 producirían un NPR = 48, mientras que S = 6, O = 5, y D = 2 producirían un
NPR de 60. El segundo NPR no es el doble del primer número, mientras que de hecho
O = 5 es el doble de la probabilidad de ocurrencia con O = 4. Por tanto, los números
NPR no se deberían comparar linealmente.
La revisión de un NPR requiere cuidado y buen juicio. Una buena práctica requeriría una
profunda revisión de los valores para severidad, ocurrencia y detección, antes de formar una
opinión y emprender acciones correctivas.
24
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
El informe sobre AMFE puede ir incluido en un estudio más amplio o puede ser independiente.
En cualquier caso, el informe debería incluir un resumen y un registro detallado del análisis y
los diagramas funcionales o de bloque, que definen la estructura del sistema. El informe
también debería contener una lista de los dibujos (incluido el estatus de expedición) en el que
se basa el AMFE.
Se debería elaborar un listado de los efectos de falla en un sistema específico, resaltados por el
AMFE. La Tabla 7 presenta un conjunto típico de efectos para un arranque de vehículo a motor y
circuitos.
Tabla 7. Ejemplo de un conjunto de efectos de falla
(para el arranque de un vehículo a motor)
NOTA 1 Esta lista es solo un ejemplo. Cada sistema o subsistema debe ser analizado con su propio conjunto de
efectos de falla.
Un resumen de efectos de falla puede ser requerido para determinar la probabilidad de falla del
sistema, resultante de la lista de efectos de falla y del establecimiento de prioridades para
acciones correctivas o preventivas. El resumen de efectos de falla se debería basar en la lista
de efectos de fallas finales y debería contener detalles de la contribución de los modos de falla
del item a cada efecto de falla. La probabilidad de ocurrencia de cada modo de falla es
calculada por el periodo de tiempo predeterminado de uso del item como por el perfil de uso
esperado y los esfuerzos establecidos.
NOTA 1 Esta Tabla se puede construir para otras clasificaciones cualitativas y cuantitativas de un ítem o
sistema.
El resumen también debería contener una breve descripción del método de análisis y el nivel al
cual se llevó a cabo, las hipótesis y las reglas básicas. Además, debería incluir listas de lo
siguiente:
6. OTRAS CONSIDERACIONES
Las fallas con causa común (FCC) son aquellas fallas que contradicen la hipótesis fundamental
de que los modos de falla que se consideran en el AMFE son independientes. Las FCC harán
que más de un ítem falle simultáneamente o dentro de un período suficientemente corto de
manera que tenga el efecto de fallas simultáneas.
Por tanto, el AMFE debe considerar posibles fuentes de FCC cuando analiza un sistema que
usa la redundancia para mantener la función, o elementos múltiples para mitigar las
consecuencias en caso de falla.
Un FCC es el resultado de un evento que, debido a las dependencias lógicas, causa una
coincidencia en los estados de falla de dos o más componentes (excepto las fallas secundarias
causadas por los efectos de una falla primaria). Las fallas de causa común pueden estar en
partes idénticas con los mismos modos de falla y debilidades usados en diferentes ensambles
de un sistema - posiblemente redundantes, en donde la redundancia se invalida.
El FCC se puede analizar cuantitativamente usando el AMFE, pero la capacidad de éste para
analizar completamente el FCC es bastante limitada. Sin embargo, el AMFE es un
procedimiento para examinar sucesivamente cada modo de falla y causas asociadas y para
identificar todos los ensayos periódicos, medidas de mantenimiento preventivo, etc. También
permite estudiar todas las causas que inducen a un FCC potencial.
Una combinación de varios métodos es útil para prevenir o mitigar el FCC (modelado del
sistema, análisis físico de los componentes): diversidad funcional (en donde las secciones o
partes redundantes del sistema que realizan la misma función no son idénticas y tienen
diferentes modos de falla), separación física para eliminar la influencia de los esfuerzos
ambientales o de IEM (interferencia electromagnética) que causan FCC, ensayos, etc.
Usualmente el AMFE no considera el examen de medidas preventivas contra FCC. Sin
embargo, estas medidas se tienen que incluir en la columna observaciones, para ayudar a
entender completamente el AMFE.
26
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
Algunos sistemas tienen que ser diseñados para prevenir o mitigar algunos errores humanos. Un
ejemplo de estas medidas sería el suministro de bloqueos mecánicos en las señales de las vías
férreas y contraseñas para uso del computador o recuperación de datos. En donde existen estas
disposiciones en un sistema, el efecto de la falla de las disposiciones dependerá del tipo de error.
Algunos modos de error humano se deberían considerar también para un sistema libre de fallas,
con el fin de verificar la eficacia de las disposiciones. Aunque incompleta, una lista parcial de
estos modos es benéfica para la identificación de las deficiencias en el diseño y en el
procedimiento; la identificación de todas las formas posibles de error humano probablemente
sería imposible.
Muchos FCC involucran errores humanos. Por ejemplo, el mantenimiento incorrecto de ítemes
similares puede negar la redundancia. Para evitar esto, con frecuencia se introduce diversidad
de material en los elementos redundantes.
Un AMFE del sistema se puede llevar a cabo sin referencia a ninguna aplicación particular y se
puede entonces adaptar posteriormente para uso del proyecto. Esto se aplica a ensambles
relativamente pequeños que podrían en sí mismos ser considerados como componentes
genéricos (por ejemplo, un amplificador electrónico, un motor eléctrico, una válvula mecánica).
Sin embargo, es más usual desarrollar un AMFE específico para proyectos y considerar las
consecuencias particulares de falla del sistema. Podría ser necesario categorizar los efectos de
las fallas en el sistema de acuerdo con las consecuencias de estas fallas, por ejemplo,
protección en caso de falla, falla reparable, falla no reparable, misión degradada, misión fallida,
efectos sobre los individuos, grupos o la sociedad en general.
27
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
7. APLICACIONES
El AMFE también debería incluir considerar el desempeño del software y de las personas,
cuando son pertinentes para la seguridad de funcionamiento del sistema. Un AMFE puede ser
un estudio para uso general acerca de diferentes procesos (médico, de laboratorio, fabricación,
desarrollo, educativo, etc.), cuando habitualmente asume el nombre del AMFE o AMFEC del
proceso. Cuando se lleva a cabo un AMFE del proceso, siempre se hace en relación con la
meta final del proceso o el objetivo de un proceso, y luego considera cada paso dentro de ese
proceso como un potencial para producir un resultado desfavorable de los otros pasos en el
proceso o de la meta final del proceso.
Un usuario debería determinar cómo y para qué propósitos se usa el AMFE dentro de su propia
disciplina técnica. Se puede usar solo o para complementar y apoyar otros métodos de análisis
de confiabilidad. Los requisitos para el AMFE se originan en la necesidad de comprender el
comportamiento del hardware y sus implicaciones para la operación del sistema o equipo. La
necesidad del AMFE puede variar ampliamente de un proyecto a otro.
El AMFE apoya el concepto de revisión del diseño y se debería implementar lo antes posible en
el período de diseño del sistema y subsistema. El AMFE es aplicable a todos los niveles de
diseño del sistema pero es más apropiado para los niveles inferiores en donde hay
involucrados grandes números de ítemes y/o existe complejidad funcional. Es esencial que el
personal que lleva a cabo el AMFE reciba entrenamiento especial y deben estar en estrecha
colaboración con los diseñadores e ingenieros de sistemas. El AMFE se debería actualizar a
medida que el proyecto avanza y que los diseños son modificados. Al finalizar el proyecto, el
AMFE se usa para verificar el diseño y puede ser esencial para la demostración de
conformidad de un sistema diseñado, con las normas y reglamentaciones requeridas, y con los
requisitos del usuario.
Para asegurar que es eficaz, el lugar del AMFE se debería establecer claramente en el
programa de seguridad de funcionamiento, junto con el tiempo, la fuerza laboral y otros
recursos necesarios para hacerlo eficaz. Es vital que el AMFE no se abrevie para ahorrar
tiempo y dinero. Si el tiempo y dinero son escasos, el AMFE se debería concentrar en las
28
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
partes del diseño que son nuevas o se usan en formas nuevas. El AMFE puede estar dirigido
económicamente a las áreas identificadas como cruciales por otros métodos de análisis.
a) Una definición clara de la meta del proceso. Cuando un proceso es complejo, la meta
del proceso se puede detallar hasta la meta global, o el producto del proceso, la meta
o producto de un conjunto de secuencias o pasos de procesos, y el producto de los
pasos de un proceso individual.
d) La comprensión del efecto que cada defecto individual (falla potencial) puede tener en
el producto del proceso.
Si un proceso tiene más de un producto, entonces se puede analizar con el producto específico
en mente; es decir, un AMFEP se hace para productos individuales. El proceso también se
puede analizar en términos de sus pasos y los resultados desfavorables potenciales, que
darían como resultado un AMFEP generalizado para el proceso, independientemente de los
tipos de productos individuales.
e) Revelar las áreas con problemas de responsabilidad civil por los productos y seguridad,
o no conformidad con requisitos regulatorios.
NOTA 2 Con frecuencia se requerirán estudios separados para seguridad, pero es inevitable que haya
coincidencia parcial, y por tanto se recomienda enfáticamente cooperación.
29
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
f) Asegurar que el desarrollo del programa de ensayo puede detectar modos de falla
potencial.
g) Enfocarse en áreas clave en las cuales concentrar el control de calidad y los controles
de procesos de inspección y fabricación.
l) Suministrar un documento final que sea prueba del hecho (y el grado) de que se ha
tenido cuidado para asegurar que el diseño cumplirá su especificación en servicio.
(Esto es especialmente importante en el caso de la confiabilidad del producto).
El AMFE puede ser un proceso tedioso e ineficiente a menos que se aplique juiciosamente. Los
usos que se van a dar posteriormente a los resultados se deberían definir, y el AMFE no se
debería incluir indiscriminadamente en las especificaciones de los requisitos.
Cuando el AMFE intenta cubrir varios niveles en una estructura jerárquica, pueden ocurrir
complicaciones, malos entendidos y errores, si se aplica redundancia en el diseño del sistema.
Cualquier relación entre individuos o grupos de modos de falla o causas de modos de falla no se
puede presentar eficazmente en el AMFE, ya que la hipótesis principal de este análisis es la
independencia de los modos de falla. Esta deficiencia se hace aún más pronunciada al considerar
las interacciones software/hardware, en donde no se aplica la hipótesis de independencia. El
mismo tipo de dificultad se puede encontrar cuando se adicionan las interacciones humanas con el
hardware y se modelan sus interdependencias. La hipótesis de independencia puede hacer difícil
de ver un modo de falla que puede tener consecuencias drásticas cuando es el resultado de otro
modo de falla, mientras que cada uno de ellos por separado podría tener una baja probabilidad de
ocurrencia. Los escenarios de interrelación se modelan mucho mejor usando el análisis de modo
de fallas con la herramienta del Árbol de Análisis de Fallas AAF (IEC 60300-3-1, edición 2).
Por tanto, es preferible que un AMFE se limite a relacionar solamente dos niveles en la
estructura jerárquica. Por ejemplo, una tarea relativamente simple es identificar los modos de
falla de elementos y determinar sus efectos en el ensamble. Estos efectos entonces llegan a
30
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
ser los modos de falla en el nivel superior siguiente. Sin embargo, con frecuencia se llevan a
cabo AMFE multinivel exitosos.
Una deficiencia adicional del AMFE es su incapacidad para brindar una medición de la
confiabilidad total del sistema y por la misma razón no puede brindar ninguna medida de las
mejoras de diseño.
El AMFE (o AMFEC) se puede usar solo. Como método de análisis inductivo sistemático, el
AMFE se usa con más frecuencia para complementar otros enfoques, especialmente los
deductivos, tales como el AAF. En la etapa de diseño, con frecuencia es difícil decidir si el
dominante es el enfoque inductivo o el deductivo, ya que ambos se combinan en procesos de
pensamiento y análisis. En donde se identifican niveles de riesgo en instalaciones y sistemas
industriales, se prefiere el enfoque deductivo, pero el AMFE sigue siendo una herramienta de
diseño útil. Sin embargo, se debería complementar con otros métodos. Este es el caso
particularmente cuando es necesario identificar problemas y encontrar soluciones en
situaciones en las que es necesario estudiar múltiples fallas y elementos secuenciales. El
método usado primero dependerá del programa del proyecto.
Durante las primeras etapas de diseño, en donde sólo se han definido las funciones, la
estructura general del sistema y los subsistemas, el desempeño exitoso del sistema se puede
describir mediante un diagrama de bloques de confiabilidad, o mediante una trayectoria de
fallas, con un árbol de fallas. Sin embargo, para ayudar a dibujar estos diagramas del sistema,
se debería aplicar a los subsistemas un proceso inductivo de AMFE antes de diseñarlos. Bajo
estas circunstancias, el método de AMFE no puede ser un procedimiento amplio sino un
proceso de pensamiento no expresado fácilmente en forma tabular rígida. En general, cuando
se analiza un sistema complejo que involucra varias funciones, numerosos ítemes e
interrelaciones entre estos, el AMFE demuestra ser esencial pero no suficiente.
31
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
otros casos en donde se prefiere el AAF, es necesario mejorarlo con descripciones de modos
de falla y efectos.
d) El AMFE puede ser necesario para ítemes cuyo diseño es innovador y sus
características de falla no se pueden conocer por la experiencia operacional previa.
32
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
ANEXO A
(Informativo)
Los pasos del procedimiento necesarios para llevar a cabo un análisis son:
e) Determinar los modos de falla de cada ítem, sus efectos de falla y registrarlos.
l) Trazar una matriz de criticidad para los modos de falla del ítem.
La hoja de trabajo de AMFE captura los detalles del análisis en forma tabular. Aunque el
procedimiento general de AMFE es un patrón, el diseño de una hoja de trabajo particular se
puede adaptar a los requisitos de la aplicación y del proyecto.
- El sistema, como un ítem final, identifica el ítem para el cual se identifican los efectos
finales. Este identificador debería ser consistente con la terminología usada en los
diagramas de bloque, esquemas u otros dibujos.
- Item hace referencia al ítem (módulo, componente o parte) que se analiza en esta hoja
de trabajo.
- Nivel de actualización, fecha y nombre del analista que coordina la labor de AMFE, al
igual que los nombres de los miembros del equipo principal que brindaron información
adicional para propósitos de control de documentos.
Las entradas para “referencia del ítem” y “descripción y función del ítem” tienen como fin
identificar el tema del análisis. La referencia debería ser apropiada para el diagrama de bloques
u otros documentos de apoyo. Se escribe una breve descripción del ítem y su función.
La forma en la que el ítem podría fallar se escribe en el encabezado “modo de falla”. El numeral 5.2.3
suministra orientación para identificar los modos de falla potenciales. Ingresar un identificador único
(“código de modo de falla”) para cada modo de falla de un ítem único facilitará elaborar un resumen
de los resultados del análisis.
Las causas más probables del modo de falla se enumeran bajo el encabezado “posibles
causas de falla”.
Bajo el encabezado “efecto local” se escribe una descripción concisa de los efectos del modo
de falla sobre el ítem que es analizado. En la columna “efecto final” se ingresa información
adicional para indicar los efectos del modo de falla en el ítem final. Para algunos análisis de
AMFE es recomendable evaluar el efecto de falla a un nivel intermedio. En este caso, el efecto
en el “siguiente ensamble más alto” se escribe en una columna adicional. La identificación de
los efectos de modos de falla se trata en el numeral 5.2.5.
Una breve descripción de cómo se detecta el modo de falla se indica en la columna “método
de detección”. El método de detección se puede llevar a cabo automáticamente mediante una
característica de diseño "equipo de prueba integrado", o puede requerir procedimientos de
diagnóstico por el personal de operación o de mantenimiento. Es importante identificar el
método de detección de manera que el analista pueda asegurar que ocurrirá la acción
correctiva.
Las características de diseño que mitigan el modo de falla particular, tales como la
redundancia, se deben incluir bajo “medidas de compensación contra fallas”. La compensación
que brindan acciones específicas de mantenimiento o del operador también se debe incluir
aquí.
La “clase de severidad” identifica el nivel de severidad como lo determinan los analistas del
AMFE.
34
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
“La frecuencia o probabilidad de aparición” identifica la tasa de ocurrencia del modo de falla
particular. La escala de frecuencia se ajusta a la aplicación (por ejemplo, fallas por millón de
horas, fallas por distancia recorrida, es decir, 1 000 km, etc.).
La última entrada de la hoja de trabajo debería incluir observaciones pertinentes para aclarar
otras entradas. Las posibles acciones futuras, tales como recomendaciones para las mejoras
en el diseño se pueden registrar y luego ampliar en el informe. Esta columna también puede
incluir lo siguiente:
35
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
AMFE
36
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
ANEXO B
(Informativo)
EJEMPLOS DE ANÁLISIS
B.1 EJEMPLO 1. AMFEC para una parte de la electrónica automotriz con cálculo de NPR
En la Figura B.1 se presenta una pequeña parte de un AMFEC extenso realizado para un
producto automotor. El ensamble analizado es el suministro de potencia y sólo sus conexiones
a la línea de batería.
La apertura de cualquiera de las partes anteriores no causaría daño al ítem, excepto si el diodo
se abre, entonces no habría protección inversa de la batería, mientras que con el condensador
abierto no habría filtrado de IEM, y habría posible ruido para otros equipos en el vehículo.
Hay una bobina, la L1, entre la batería y el circuito primario del ítem principalmente para
filtrado. Si la bobina se abre, el ítem no sería operacional ya que la batería estaría
desconectada y no se iluminaría la pantalla de advertencia. Las bobinas tienen una tasa de
falla muy baja, de manera que la ocurrencia es 2.
37
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
Acción Resultados
Responsabilidad y plazo
Modo de falla potencial
Recomendaciones
Causa
DETECCiÓN
Detalle
Ocurrencia
Poten Prevención
causas/ Detección
Ítem/función Efecto(s) potencial(es) cial controles de
NPR
Mecanis controles de
de la falla /meca diseño
Acciones tomadas
mo diseño actuales
OCURRENCIA
nismos actuales
DETECCIÓN
SEVERIDAD
(s) de falla
de falla
SEVERIDAD
CLASE
NPR
Componente
Subsistema
Efecto local
Efecto final
Ensamble
Suministro de
potencia
V1
D1 Corto Tensión de Fuga del 10 Defecto Falla del 3 Selección de Evaluación y 1 30
batería + cortos líquido de la inheren material mayor calidad confiabilidad.
a tierra - batería, te del y clasificación Ensayo de
"camino a compo validación
casa" nente
D1 Abierto No hay No es notorio 2 Defecto Connexión 3 Selección de Evaluación y 2 12
protección inheren equipoten mayor calidad confiabilidad.
contra tensión te del cial o y clasificación Ensayo de
inversa compo Semicondu validación
nente ctor.o grieta
C9 Corto Tensión de Fuga del 10 Defecto Falla 3 Selección de Evaluación y 1 30
batería + cortos líquido de la inheren dieléctrica o mayor calidad confiabilidad.
a tierra batería, te del grieta y clasificación Ensayo de
"Camino a compo validación
casa" nente
C9 Abierto No hay filtrado Operación del 2 Defecto Abertura 2 Selección de Evaluación y 1 4
de IEM ítem fuera de inheren del mayor calidad confiabilidad.
especificación te del dieléctrico, y clasificación Ensayo de
compo fuga, vacío validación
nente o grieta
L1 Abierto No hay V1 Ítem 9 Defecto Falla del 2 Selección de Evaluación y 1 18
inoperable, no inheren material mayor calidad confiabilidad.
se visualiza te del y clasificación Ensayo de
advertencia compo validación
nente
R91 Abierto No hay tensión Ítem 9 Defecto Connexión 2 Selección de Evaluación y 1 18
para el circuito inoperable, no inheren equipoten mayor calidad confiabilidad.
de conmuta se visualiza te del cial o grieta y clasificación Ensayo de
ción ítem advertencia compo en el validación
nente material
Figura B.1. AMFE para una parte de electrónica automotriz con cálculo de NPR
38
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
Un ejemplo de una hoja de trabajo se ilustra para uno de los subsistemas del conjunto M-G
(véase la Figura B.4), que generalmente cumple con el formato recomendado en esta norma.
Tabla B.1. Definición y clasificación de la severidad de los efectos de las fallas en el sistema MG completo
Conjunto
motor-generador
10 20 30 40 50
Sistema de
Estructura de calefacción, ventilación Máquina de c.c Máquina de c.a
Instrumentación
la máquina y enfriamiento del (control AVFR) (control AVFR)
cerramiento
39
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
20
Sistema de
calefacción, ventilación
y enfriamiento del
cerramiento
Tubos de drenaje
Intercambiador de Tubos de drenaje de
Ventiladores condensado
calor aire/agua fuga/condensado
(diámetro pequeño)
Caja de terminales
Filtros de aire de
Calefactores del calefactor,
espuma plástica
terminales/cables
Tubos de drenaje de
Cámara de deteción Área de recolección
fugas de la cámara de Sumidero
de fugas de fugas
detección de fugas
40
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
1 2 3 4 5
b) s/c o falla a Pérdida de toda la b) Alimentación, fusible 0,3 Una falla a tierra no
tierra debido a calefacción – o interruptor debería hacer fallar el
falla del posible automático sistema
aislamiento condensación monitoreados
41
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
42
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
Ocurrencia
Ocurrencia
Severidad
Severidad
Detección
Detección
NPR
NPA
Acción
Acción recomendada
tomada
01-01-01 Insertos Tamaño incorrecto o i)a Insertos sin carga sobre la matriz. Manufactura o control Planes de muestreo 1 9 9 81 Revisión de los planes de
ángulos de doblado Productividad reducida. de calidad deficiente del productor y de muestreo. Separación del
del hombro aceptación material defectuoso del
02 i)b Inserto desalineado. material bueno. Entrenamiento
03 i)a Espesor incorrecto del reborde del a los ensambladores.
inserto.
04 iv)b Desempeño reducido.
05 iv)c Vida reducida.
01-02-01 Insertos Revestimiento de ii)a Corrosión. Rechazado en la etapa Inspección visual 5 6 1 30 Incluir instrucciones en la
níquel deficiente de acabado durante el plan de inspección de muestreo para
muestreo de llevar a cabo la verificación
aceptación visual de un revestimiento
correcto.
01-03-01 Insertos Muescas i)a Flujo de metal deficiente. Espesor Manufactura o control Inspección visual 2 8 6 96 Incluir instrucciones en la
inadecuadas de la incorrecto de la pared. Desperdicio de calidad deficiente durante el plan de inspección de muestreo
superficie muestreo de para llevar a cabo la
02 ii)a Paredes delgadas encontradas aceptación verificación visual de un
durante el maquinado. revestimiento correcto.
Desperdicio
Figura B.5. Parte de un AMFEC de un proceso para una fundición de aluminio maquinada
43
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
BIBLIOGRAFÍA
2) SAE J1739:2000, Potential Failure Mode and Effects Analysis in Design (Design FMEA)
and Potential Failure Mode and Effects Analysis in Manufacturing and Assembly
Processes (Process FMEA), and Potential Failure Mode and Effects Analysis for
Machinery.
3) SAE ARP5580: 2001, Failure Modes, Effects, and Criticality Analysis Procedures.
4) AIAG, Potential Failure Mode and Effects Analysis, Third Edition, 2001.
5) M. Krasich, Fault Tree Analysis for Failure Modes Identification and Product Reliability
Improvement, Tutorial Presented at the Reliability and Maintainability Symposium;
Tutorial Proceedings of 2002, 2003, and 2005.
7) IEC 60050 (191): 1990, International Electrotechnical Vocabulary (IEC). Chapter 191:
Dependability and Quality of Service.
10) IEC 60300-3-9, Dependability Management. Part 3: Application Guide. Section 9: Risk
Analysis of Technological Systems.
13) IEC 60300-3-11, Dependability Management. Part 3-11: Application Guide. Reliability
Centred Maintenance
44
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
DOCUMENTO DE REFERENCIA
45