NTC Iec60812

NORMA TÉCNICA NTC-IEC
COLOMBIANA 60812
2007-07-25
SISTEMAS DE GESTIÓN.
TÉCNICAS DE ANÁLISIS PARA CONFIABILIDAD DE
SISTEMAS. PROCEDIMIENTO PARA ANÁLISIS DE
MODO DE FALLA Y EFECTOS (AMFE)
E: MANAGEMENT SYSTEMS. ANALYSIS TECHNIQUES FOR

SYSTEM RELIABILITY. PROCEDURE FOR FAILURE MODE
AND EFFECTS ANALYSIS (FMEA)
CORRESPONDENCIA: esta norma es una adopción idéntica

(IDT) por traducción de la norma
IEC 60812:2006.
DESCRIPTORES: análisis estadístico; evaluación;

gestión; AMFE; acción preventiva;
FMEA.
I.C.S.: 03.120.01; 03.120.30; 03.100.01
Editada por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC)

Apartado 14237 Bogotá, D.C. - Tel. (571) 6078888 - Fax (571) 2221435
Prohibida su reproducción Editada 2007-08-03

PRÓLOGO
El Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, es el organismo

nacional de normalización, según el Decreto 2269 de 1993.
ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental
para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el
sector gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en
los mercados interno y externo.
La representación de todos los sectores involucrados en el proceso de Normalización Técnica

está garantizada por los Comités Técnicos y el período de Consulta Pública, este último
caracterizado por la participación del público en general.
La NTC-IEC 60812 fue ratificada por el Consejo Directivo de 2007-07-25.
Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda en
todo momento a las necesidades y exigencias actuales.
A continuación se relacionan las empresas que colaboraron en el estudio de esta norma a

través de su participación en el Comité Técnico 10. Gestión de la Calidad.
ACCIÓN SOCIAL PRESIDENCIA DE LA ENLACE CONSULTORES LTDA.

REPÚBLICA GRUPO ACCIÓN PLUS
ACERÍAS DE CALDAS S. A. ACASA GRUPO SYS LTDA.
ALTHVIZ & CIA. CONSULTORES INDUSTRIA COLOMBIANA DE LLANTAS
AMCOR PET PACKING DE COLOMBIA S.A. – MICHELIN
BÁSCULAS CONTINENTAL INDUSTRIA DE ALIMENTOS ZENÚ S.A.
CAJAS Y SUPLEMENTOS QMS ASESORES
CÁMARA DE COMERCIO DE CALI PARQUES Y FUNERARIAS S.A.
CENTELSA PROFESIONALES DEL DEPORTE
CODENSA S.A. ESP PROVEEDORA METALMECÁNICA LTDA.
COLCERÁMICA S. A. QUALITAS INGENIERÍA
SHELL COLOMBIA S.A.
COOPERATIVA VIGILANTES STARCOOP SMS CALIDAD & PROCEDIMIENTOS
LTDA. SOANSES LTDA.
COTECMAR TECNISEG LTDA.
CSG LTDA. TELEFÓNICA
EMPRESA COLOMBIANA DE SOPLADO E UNIVERSIDAD MANUELA BELTRÁN
INYECCIÓN S. A. ECSI
Además de las anteriores, en Consulta Pública el Proyecto se puso a consideración de las

siguientes empresas:
ACUAVIVA S.A. ESP APLICACIONES EN SALUD LTDA.

ACUEDUCTO DE BOGOTÁ S. A. ESP ASTEQ LTDA. - ASISTENCIA TÉCNICA
ALMAGRARIO S.A. PARA LA CALIDAD Y LA COMPETITIVIDAD
ALPINA PRODUCTOS ALIMENTICIOS S.A. ATLANTICS MINERALS
INCONCAR LTDA.
AVE COLOMBIANA LTDA. INDUSTRIA LICORERA DEL CAUCA
BAVARIA INDUSTRIAL DE TINTAS
CAJA DE COMPENSACIÓN FAMILIAR INDUSTRIAS PHILIPS DE COLOMBIA S.A.
-COMPENSAR- INLAC – COLOMBIA
CAJA DE COMPENSACIÓN FAMILIAR LAQMA LTDA. -LABORATORIO QUÍMICO
COMFENALCO- ANTIOQUIA DE MONITOREO AMBIENTAL
CAJA DE COMPENSACIÓN FAMILIAR DE LUBRICANTES DELTA OIL
ANTIOQUIA -COMFAMA- LUMINEX S.A.
CALIDAD Y PRODUCTIVIDAD CONSULTORES MERCK COLOMBIA
CÁMARA DE COMERCIO DE PEREIRA METROCAL LTDA.
CECODES NCR DE COLOMBIA
CERVECERÍA LEONA S.A. POSTOBÓN S.A.
CIBA ESPECIALIDADES QUÍMICAS S.A. PROQUINAL
COLOMBIA INDUSTRIAL AUTOMOTRIZ Q. A. P. JUEGOS S.A.
LTDA. -CIAL- RENTAFRÍO S.A.
CONCESIONARIA TIBITOC S.A. ESP RESTREPO & LONDOÑO AUDITORES Y
CONSENSO S.A. CONSULTORES GENERALES S.A.
CONSERVAS CALIFORNIA ROYAL GROUP S.A.
COOPERATIVA COOMEI SCHLAGE LOCK COLOMBIA S.A.
COOPERATIVA DE GANADEROS DE SENA REGIONAL BOGOTÁ
CARTAGENA LTDA. SIEMENS GENERACIÓN Y
COOPERATIVA UNIDOS SALUD ORAL DISTRIBUCIÓN DE ENERGIA S.A.
INTEGRAL SIKA COLOMBIA S.A.
COOPERATIVAS DE TRABAJADORES DE SOCIEDAD DE ACUEDUCTO,
MEDELLÍN ALCANTARILLADO Y ASEO DE
ECOPETROL BARRANQUILLA S.A. ESP
EMPRESA DE TELECOMUNICACIONES SOCIEDAD DE COMERCIALIZACIÓN
DE BOGOTA ETB INTERNACIONAL DE AZÚCARES Y
ESCOBAR Y MARTÍNEZ MIELES S.A.
ESCUELA COLOMBIANA DE INGENIERÍA SOCIEDAD INTERNACIONAL PETROLERA
EUROSERVICIOS & CIA LTDA. S.A. SUCURSAL COLOMBIA
EXTRUCOL STRATEGOS. NET LTDA.
EXXON MOBIL DE COLOMBIA SUMIPRINT QUÍMICA Y COLOR LTDA.
FÁBRICA DE TORNILLOS GUTEMBERTO SUPERINTENDENCIA DE INDUSTRIA Y
FERTIABONOS S.A. COMERCIO
FUNDACIÓN EDUCACIÓN SUPERIOR TERPEL BUCARAMANGA
SAN JOSÉ TEXSA DE COLOMBIA S.A.
FUNDACIÓN UNIVERSIDAD DE AMÉRICA THOMAS GREG SONS DE COLOMBIA
FUNDACIÓN UNIVERSITARIA MARÍA CANO S.A. – IMPRESOR DE VALORES
FUNDACIÓN VALLE DEL LILI UNIVERSIDAD AGRARIA DE COLOMBIA
FUNERARIA GÓMEZ UNIVERSIDAD AUTÓNOMA DE BUCARAMANGA
FUNERARIA SAN VICENTE UNIVERSIDAD CATÓLICA DE COLOMBIA
GAS NATURAL S.A: ESP UNIVERSIDAD DE ANTIOQUIA GRUPO
GIMNASIO FEMENINO REGIONAL ISO
GRADESA UNIVERSIDAD DEL VALLE
HERLBERT & CÍA. UNIVERSIDAD LIBRE
HOSPITAL DEPARTAMENTAL DE UNIVERSIDAD SANTO TOMÁS
VILLAVICENCIO UPS REDES
INALCEC ZYLETTE S.A.
ICONTEC cuenta con un Centro de Información que pone a disposición de los interesados
normas internacionales, regionales y nacionales y otros documentos relacionados.
DIRECCIÓN DE NORMALIZACIÓN
NORMA TÉCNICA COLOMBIANA NTC-IEC 60812
CONTENIDO
Página
INTRODUCCIÓN......................................................................................................................1
1. OBJETO .......................................................................................................................1
2. REFERENCIAS NORMATIVAS ...................................................................................1
3. TÉRMINOS Y DEFINICIONES .....................................................................................2
4. GENERALIDADES.......................................................................................................3
4.1 INTRODUCCIÓN ..........................................................................................................3
4.2 PROPÓSITO Y OBJETIVOS DEL ANÁLISIS..............................................................4
5. ANÁLISIS DE MODOS DE FALLA Y EFECTOS ........................................................5
5.1 CONSIDERACIONES GENERALES ...........................................................................5
5.2 TAREAS PRELIMINARES ...........................................................................................6
5.3 ANÁLISIS DE MODOS DE FALLA, EFECTOS Y CRITICIDAD (AMFEC)................17
5.4 INFORME DE ANÁLISIS............................................................................................25
6. OTRAS CONSIDERACIONES ...................................................................................26
6.1 FALLAS DE CAUSA COMÚN ...................................................................................26
6.2 FACTORES HUMANOS.............................................................................................27
6.3 ERRORES DE SOFTWARE.......................................................................................27
6.4 AMFE ACERCA DE LAS CONSECUENCIAS DE LA FALLA DEL SISTEMA .........27
7. APLICACIONES.........................................................................................................28
Página
7.1 USO DEL AMFE/AMFEC ...........................................................................................28
7.2 BENEFICIOS DEL AMFE...........................................................................................29
7.3 LIMITACIONES Y DEFICIENCIAS DEL AMFE .........................................................30
7.4 RELACIONES CON OTROS MÉTODOS ..................................................................31
BIBLIOGRAFÍA......................................................................................................................44
DOCUMENTO DE REFERENCIA..........................................................................................45
ANEXOS
ANEXO A (Informativo)
RESUMEN DE PROCEDIMIENTOS PARA AMFE Y AMFEC ..............................................33
ANEXO B (Informativo) ..........................................................................................................37

EJEMPLOS DE ANÁLISIS
FIGURAS....................................................................................................................................
Figura 1. Relación entre modos de falla y efectos de falla en un sistema jerárquico .....9
Figura 2. Flujograma de análisis .........................................................................................16
Figura 3. Matriz de criticidad ...............................................................................................20
TABLAS
Tabla 1. Ejemplo de un conjunto de modos de falla generales .......................................11
Tabla 2. Ejemplo ilustrativo de una clasificación de severidad para los efectos

finales ....................................................................................................................................15
Tabla 3. Matriz de riesgo/criticidad .....................................................................................21
Tabla 4. Severidad del modo de falla..................................................................................22
Tabla 5. Aparición del modo de falla, relacionada con la frecuencia y

probabilidad de ocurrencia..................................................................................................22
Tabla 6. Criterios de evaluación de detección de modos de falla ...................................23

Página
Tabla 7. Ejemplo de un conjunto de efectos de falla (para el arranque de

un vehículo a motor .............................................................................................................25
Tabla 8. Ejemplo de probabilidad de efectos de falla .......................................................25

SISTEMAS DE GESTIÓN.
TÉCNICAS DE ANÁLISIS PARA CONFIABILIDAD DE SISTEMAS.
PROCEDIMIENTO PARA ANÁLISIS DE MODO DE FALLA Y EFECTOS (AMFE)
INTRODUCCIÓN
La presente norma es una adopción idéntica por traducción al castellano de la norma

IEC 60812:2006 “Analysis Techniques for System Reliability. Procedure for Failure Mode and Effects
Analysis (FMEA)”, excepto por el título, específicamente en el elemento introductorio. En
consecuencia de lo anterior, el título modificado es el siguiente NTC-IEC 60812 “Sistemas de gestión.
Técnicas de análisis para confiabilidad de sistemas. Procedimiento para análisis de modo de falla y
efectos (AMFE)”. Se hace la adición al título original, con el propósito de explicitar que es para
aplicación en los diferentes sistemas de gestión de las organizaciones e independiente del sector
productivo.
1. OBJETO
La presente norma describe el Análisis de Modo de Falla y Efectos (AMFE), y el Análisis de

Modo de Falla, Efectos y Criticidad (AMFEC), y brinda orientación acerca de cómo se pueden
aplicar para lograr diferentes objetivos mediante:
- La presentación de los pasos del procedimiento necesarios para llevar a cabo un

análisis;
- La identificación de los términos, suposiciones, medidas de criticidad y modos de falla

apropiados;
- La definición de los principios básicos;
- La presentación de ejemplos de las hojas de trabajo necesarias u otras formas tabulares.
Todas las consideraciones cualitativas generales presentadas para el AMFE se aplicarán al

AMFEC, ya que la última es una extensión de la primera.
2. REFERENCIAS NORMATIVAS
Los siguientes documentos normativos referenciados son indispensables para la aplicación de

este documento normativo. Para referencias fechadas, se aplica únicamente la edición citada.
1 de 45
Para referencias no fechadas, se aplica la última edición del documento normativo

referenciado (incluida cualquier corrección).
IEC 60300-3-1:2003, Dependability Management. Part 3-1: Application Guide. Analysis

Techniques for Dependability.
IEC 61025, Fault Tree Analysis (FTA).
IEC 61078, Analysis Techniques for Dependability. Reliability Block Diagram Method.
3. TÉRMINOS Y DEFINICIONES
Para los propósitos de este documento se aplican las siguientes definiciones:
3.1 Ítem (Item). Cualquier parte, componente, dispositivo, subsistema, unidad funcional, equipo o
sistema que se puede considerar individualmente.
NOTA 1 Un ítem puede ser hardware, software o ambos, y también en casos particulares puede incluir personas.
NOTA 2 Varios elementos, tales como una población de ítemes o una muestra, pueden ser considerados como un
ítem.
[IEV 191-01-01]1
Un proceso también se puede definir como un ítem que lleva a cabo una función
predeterminada, y para la cual se realiza un AMFE o AMFEC del proceso. Normalmente, un
AMFE de hardware no trata sobre las personas ni sobre sus interacciones con el
hardware/software, mientras que un proceso de AMFE normalmente incluye acciones de las
personas.
3.2 Falla (Failure). Terminación de la capacidad de un ítem para realizar una función
requerida.
[VEI 191-04-01]
3.3 Defecto (Fault). Estado de un ítem caracterizado por la incapacidad para realizar una
función requerida, exceptuando la incapacidad durante el mantenimiento preventivo u otras
acciones planificadas, o debido a la falta de recursos externos.
NOTA 1 Un defecto es con frecuencia el resultado de una falla en el propio ítem, pero puede existir antes de la
falla
[VEI 191-05-01]
NOTA 2 En este documento, "defecto" se usa en forma intercambiable con el término "falla" por razones
históricas.
3.4 Efecto de falla (Failure Effect). Consecuencia de un modo de falla en cuanto a la

operación, función o estado del ítem.
3.5 Modo de falla. (Failure Mode). Manera en la cual un ítem falla.
1
Esta referencia indica que la definición fue adoptada del documento normativo IEC 60050-191
Vocabulario Electrotécnico Internacional (International Electrotechnical Vocabulary IEV). Capítulo 191:
Seguridad de funcionamiento y calidad del servicio (Dependability and Quality of Service).
2
3.6 Criticidad de la falla. (Failure Criticality). Combinación de la severidad de un efecto y la

frecuencia de su aparición u otros atributos de una falla, como una medida de la necesidad de
tratarla y mitigarla.
3.7 Sistema (System). Conjunto de elementos mutuamente relacionados o que interactúan.
NOTA 1 En el contexto de seguridad de funcionamiento, un sistema tendrá:
a) Propósitos definidos expresados en términos de las funciones requeridas.
b) Condiciones establecidas del uso de la operación (véase 191-01-12).
c) Un límite definido.
NOTA 2 La estructura de un sistema es jerárquica.
[ISO 9000:2005]
3.8 Severidad de la falla (Failure Severity). Importancia o clasificación del efecto del modo de
falla en la operación del ítem, en los alrededores del ítem o en el operador del ítem; severidad
del efecto del modo de falla como se relaciona con los límites definidos del sistema analizado.
4. GENERALIDADES
4.1 INTRODUCCIÓN
El Análisis de Modo de Falla y Efectos (AMFE) es un procedimiento sistemático para el análisis

de un sistema con el fin de identificar los modos de falla potenciales, sus causas y efectos en el
desempeño del sistema (desempeño del ensamble inmediato y de todo el sistema o de un
proceso). El término sistema se usa aquí como una representación del hardware, el software
(con su interacción) o un proceso. El análisis se lleva a cabo con éxito preferiblemente en el
inicio del ciclo de desarrollo, de manera que la eliminación o mitigación del modo de falla sea
más rentable posible. Este análisis se puede iniciar tan pronto como el sistema se haya
definido lo suficiente como para presentarlo mediante un diagrama de bloques funcionales en
donde se puede definir el desempeño de sus elementos.
Es esencial el momento de realización del AMFE; puede ser rentable si se hace lo

suficientemente temprano en el ciclo de desarrollo, y luego se incorporan los cambios en el
diseño para superar las deficiencias identificadas por el AMFE. Por tanto, es importante
incorporar la labor del AMFE y sus productos al plan y al esquema de desarrollo. Así, el AMFE
es un proceso iterativo que ocurre al mismo tiempo que el proceso de diseño.
El AMFE es aplicable a varios niveles de descomposición del sistema, desde el nivel más alto
en el diagrama de bloques hasta las funciones de los componentes discretos o comandos de
software. El AMFE también es un proceso iterativo que es actualizado a medida que se
desarrolla el diseño. Los cambios en el diseño requerirán que las partes pertinentes del AMFE
sean examinadas y actualizadas.
Un AMFE completo es el resultado de un equipo conformado por individuos calificados para

reconocer y evaluar la magnitud y consecuencias de los diversos tipos de insuficiencias
potenciales en el diseño del producto que podrían conducir a fallas. La ventaja del trabajo en
equipo es que estimula el proceso de pensamiento y asegura los conocimientos y experiencia
necesarios.
El AMFE se considera un método para identificar la severidad de los modos de falla potencial y
brindar un elemento de entrada a las medidas de mitigación para reducir el riesgo. Sin
3
embargo, en algunas aplicaciones el AMFE también incluye una estimación de la probabilidad

de que ocurran los modos de falla. Ayuda a mejorar el análisis al suministrar una medida de la
probabilidad del modo de falla.
La aplicación del AMFE va precedida de la descomposición jerárquica del sistema (hardware con
software, o un proceso) en sus elementos más básicos. Es útil emplear diagramas de bloque
simples para ilustrar esta descomposición (IEC 61078). El análisis comienza entonces con los
elementos de nivel más bajo. Un efecto de modo de falla a un nivel más bajo puede entonces
convertirse en la causa de una falla de un modo de falla de un ítem en el siguiente nivel superior.
El análisis continúa de abajo hacia arriba hasta que se identifica el efecto final en el sistema. La
Figura 1 ilustra esta relación.
AMFEC (Análisis de modos de falla, efectos y criticidad) es una extensión del AMFE para incluir
un medio de clasificar la severidad de los modos de falla y permitir la priorización de
contramedidas. Esto se hace combinando la medida de la severidad y la frecuencia de aparición
para producir una métrica llamada criticidad.
Los principios de un AMFE se pueden aplicar por fuera del diseño de ingeniería. El procedimiento
de AMFE se puede aplicar a un proceso de manufactura o a cualquier otro proceso de trabajo,
como por ejemplo en hospitales, laboratorios médicos, sistemas escolares u otros. Cuando el
AMFE se aplica a un proceso de manufactura, este proceso se conoce en la industria como
AMFE o AMFEP del proceso. Para que un AMFE sea eficaz, se deben comprometer los recursos
adecuados para un trabajo en equipo. Para un AMFE preliminar tal vez no sea esencial una
comprensión profunda del sistema que se analiza. Con el desarrollo del diseño, un análisis de
modo de falla detallado requiere un profundo conocimiento del desempeño del diseño y sus
especificaciones. Los diseños de ingeniería complejos usualmente requieren la participación de
muchas áreas de conocimiento y experiencia en diseño (por ejemplo, ingeniería mecánica,
eléctrica, de sistemas, de software, soporte de mantenimiento, etc.).
El AMFE tiene que ver generalmente con modos de falla individual y el efecto de estos modos de
falla en el sistema. Cada modo de falla se trata de manera independiente. Por tanto, el
procedimiento es inadecuado para consideración de fallas dependientes o resultantes de una
secuencia de eventos. Para analizar estas situaciones se pueden requerir otros métodos y
técnicas, tales como el análisis de Markov (véase la norma IEC 61165) o el análisis de árbol de
fallas (véase la norma IEC 61025).
Al determinar el impacto de una falla se debe considerar el mayor nivel inducido - las fallas
resultantes y posiblemente el mismo nivel de fallas inducidas. El análisis debería indicar, siempre
que sea posible, la combinación de modos de falla o su secuencia que fue la causa de un efecto
de nivel más alto. En este caso, se requiere modelado adicional para estimar la magnitud o
probabilidad de ocurrencia de este efecto.
El AMFE es una herramienta flexible que se puede adaptar a las necesidades de un producto o
industria específica. Las hojas de trabajo especializadas que requieren entradas específicas se
pueden adaptar para determinadas aplicaciones. Si se definen los niveles de severidad de los
modos de falla, se pueden definir en forma distinta para diferentes sistemas o niveles de
sistemas.
4.2 PROPÓSITO Y OBJETIVOS DEL ANÁLISIS
Las razones para realizar un Análisis de Modo de Falla y Efectos (AMFE) o Análisis de Modo de
Falla, Efectos y Criticidad (AMFEC) pueden incluir lo siguiente:
4
a) Identificar las fallas que tienen efectos no deseados en la operación del sistema, por
ejemplo, impedir o degradar en forma significativa la operación o afectar la seguridad del
usuario.
b) Satisfacer los requisitos contractuales de un cliente, según sea aplicable.
c) Permitir mejoras en la confiabilidad o seguridad del sistema (por ejemplo, mediante

modificaciones en el diseño o acciones de aseguramiento de la calidad).
d) Permitir la mejora en la capacidad de mantenimiento del sistema (destacando las áreas
de riesgo o no conformidad para capacidad de mantenimiento).
Con base en las razones anteriores para la realización de una labor de AMFE, los objetivos de un
AMFE (o AMFEC) pueden incluir los siguientes:
a) Una identificación y evaluación amplias de todos los efectos indeseados dentro de los
límites definidos del sistema que se analiza, y las secuencias de los eventos provocados
por cada modo de falla del ítem identificado, cualquiera que sea su causa, a diferentes
niveles de la jerarquía funcional del sistema.
b) La determinación de la criticidad o prioridad para tratar/mitigar (véase el numeral 6) de

cada modo de falla con respecto a la función o desempeño correcto del sistema, y al
impacto en el proceso involucrado.
c) Una clasificación de los modos de falla identificados de acuerdo con las características
pertinentes, incluida su facilidad de detección, la capacidad de diagnóstico, capacidad
de ensayo, compensación y disposiciones para operación (reparación, mantenimiento,
logística, etc.).
d) Identificación de las fallas funcionales del sistema y estimación de las medidas de la

severidad y probabilidad de falla.
e) Desarrollo del plan de mejora del diseño para la mitigación de los modos de falla.
f) Apoyo para el desarrollo de un plan de mantenimiento eficaz para mitigar o reducir la

probabilidad de falla (véase la IEC 60300-3-11).
NOTA Cuando se aborda la criticidad o la probabilidad de que suceda, los comentarios hacen referencia a la
metodología AMFEC.
5. ANÁLISIS DE MODOS Y EFECTOS DE FALLA
5.1 CONSIDERACIONES GENERALES
Tradicionalmente ha habido amplias variaciones en la forma de realización y presentación del

AMFE. El análisis se lleva a cabo usualmente mediante la identificación de los modos de falla,
sus respectivas causas y sus efectos inmediatos y finales. Los resultados analíticos se pueden
presentar en una hoja de trabajo que contenga un núcleo de información esencial para todo el
sistema, y detalles desarrollados para ese sistema específico. Muestra las formas en las que el
sistema puede fallar potencialmente, los componentes y sus modos de falla que serían la
causa de falla del sistema, y las causas de que ocurran cada uno de los modos de falla
individuales.
La labor de AMFE aplicada a productos complejos podría ser muy extensa. Esta labor se
puede reducir algunas veces teniendo en mente que es posible que el diseño de algunos
5
subensambles o sus partes no sea completamente nuevo, y mediante la identificación de las

partes del diseño del producto que son una repetición o una modificación de un diseño de
producto previo. El AMFE recién construido debería usar información sobre estos
subensambles existentes, en la mayor medida posible. También debe señalar la necesidad de
un ensayo eventual o un análisis completo de las nuevas características y elementos. Una vez
que se crea un AMFE detallado para un diseño, se puede actualizar y mejorar para las
generaciones siguientes de ese diseño, lo que constituye un esfuerzo significativamente menor
que llevar a cabo un análisis completamente nuevo.
Cuando se usa un AMFE existente de una versión de un producto anterior, es esencial

asegurarse de que el diseño repetido se use verdaderamente de la misma manera y bajo los
mismos esfuerzos que el diseño previo. Los nuevos esfuerzos operacionales o ambientales
pueden requerir la revisión del AMFE realizado anteriormente. Los esfuerzos ambientales y
operacionales diferentes pueden requerir la creación de un AMFE completamente nuevo que
tenga en cuenta las nuevas condiciones operacionales.
El procedimiento AMFE consta de las siguientes cuatro etapas principales:
a) Establecimiento de reglas fundamentales básicas para el AMFE, y planificación y

programación para asegurarse de que se cuenta con el tiempo y los conocimientos y
experiencia necesarios para llevar a cabo el análisis.
b) Ejecución del AMFE usando la hoja de trabajo apropiada u otro medio, tales como
diagramas lógicos o árboles de falla.
c) Resumen y reporte del análisis para incluir cualesquiera conclusiones y

recomendaciones hechas.
d) Actualización del AMFE a medida que avanza la actividad de desarrollo.
5.2 TAREAS PRELIMINARES
5.2.1 Planificación del análisis
Las actividades del AMFE, las actividades complementarias, procedimientos, relaciones con
otras actividades relacionadas con confiabilidad, procesos para la gestión de acciones
correctivas y para su cierre, y los eventos importantes, se deberían integrar en el plan del
programa general.
El plan del programa de confiabilidad debería describir el método de AMFE que se va a utilizar.
Esta descripción puede ser un resumen o una referencia a un documento fuente que contiene
la descripción del método.
Este plan debería contener los siguientes puntos.
- Una definición clara de los propósitos específicos del análisis y los resultados
esperados.
- El alcance del análisis presente, en términos de cómo el AMFE se debería enfocar en

algunos elementos de diseño. El alcance debería reflejar la madurez del diseño, los
elementos de diseño que se pueden considerar como un riesgo debido a que realizan
una función crítica o debido a la inmadurez de la tecnología usada.
6
- Una descripción de cómo el análisis actual apoya la seguridad del funcionamiento del
proyecto general.
- Las medidas identificadas usadas para controlar las actualizaciones del AMFE y la
documentación pertinente. Se debería especificar el control de la actualización de los
documentos de análisis, hojas de trabajo y métodos de archivo.
- La participación de los expertos de diseño en el análisis, de manera que estén

disponibles cuando se los requiera.
- Los eventos importantes clave en el programa del proyecto, marcados claramente para
asegurar que el análisis se ejecuta de una manera oportuna.
- La manera de cierre de todas las acciones identificadas en el proceso de mitigación de

los modos de falla identificados que necesitan ser tratados.
El plan debería reflejar el consenso de todos los participantes y debería ser aprobado por la
dirección del proyecto. La revisión final del AMFE ya realizado en la etapa final del diseño de
un producto o su proceso de fabricación (AMFE del proceso) identifica todas las acciones
registradas para la mitigación de los modos de falla de interés y la forma de cerrarlos.
5.2.2 Estructura del sistema
5.2.2.1 Información sobre la estructura del sistema
Es necesario incluir los siguientes ítemes en la información sobre la estructura del sistema:
a) Elementos del sistema diferentes, con sus características, desempeño, papel y

funciones.
b) Conexiones lógicas entre elementos.
c) Nivel de redundancia y naturaleza de las redundancias.
d) Posición e importancia del sistema dentro de la instalación completa (si es posible).
e) Entradas y salidas del sistema.
f) Cambios en la estructura del sistema para modos de operación variables.
La información correspondiente a funciones, características y desempeño se requieren para

todos los niveles del sistema considerados, incluso hasta el máximo, de manera que el AMFE
pueda abordar apropiadamente los modos de falla que impidan cualquiera de estas funciones.
5.2.2.2 Definición del límite del sistema para el análisis
El límite del sistema forma la interfaz física y funcional entre el sistema y su ambiente, incluidos
otros sistemas con los que interactúa el sistema analizado. La definición del límite del sistema
para el análisis debería corresponder al límite definido para diseño y mantenimiento. Esto se
debería aplicar a un sistema a cualquier nivel. Los sistemas y/o componentes por fuera de los
límites se deberían definir explícitamente para exclusión.
La definición del límite del sistema es más probable que esté influenciada por el diseño, uso
previsto, fuente de suministro o criterios comerciales, antes que por los requisitos óptimos del
AMFE. Sin embargo, en donde sea posible definir los límites para facilitar el AMFE del sistema
7
y su integración con otros estudios relacionados en el programa, esta acción es preferible. Esto
se aplica especialmente si el sistema es complejo funcionalmente, con múltiples
interconexiones entre ítemes dentro del límite y las múltiples salidas que cruzan el límite. En
estos casos podría ser ventajoso definir un límite de estudio desde un punto de vista funcional,
no de hardware ni software, para limitar los enlaces de entrada y salida a otros sistemas. De
esta manera habría la tendencia a reducir el número de efectos de falla del sistema.
Es necesario asegurar que no se olviden los otros sistemas o componentes por fuera de los
límites del sistema objeto, indicando en forma explícita que están excluidos del estudio
particular.
5.2.2.3 Niveles de análisis
Es importante determinar el nivel de detalle que se utilizará para el análisis. Por ejemplo, los
sistemas se pueden desglosar por funciones o subsistemas, unidades reemplazables o
componentes individuales (véase la Figura 1). Las reglas fundamentales para seleccionar los
niveles de detalle del sistema para análisis dependen de los resultados deseados y de la
disponibilidad de información de diseño. Las siguientes directrices son útiles.
a) El nivel más alto dentro del sistema se selecciona del concepto de diseño y de los
requisitos de salida especificados.
b) El nivel más bajo dentro del sistema, al cual el análisis es eficaz, es ese nivel para el
cual hay información disponible para establecer la definición y descripción de funciones.
La selección del nivel del sistema apropiado está influenciada por la experiencia previa.
Se puede justificar un análisis menos detallado para un sistema con base en la madurez
del diseño, una confiabilidad adecuada, capacidad de mantenimiento y registro de
seguridad. A la inversa, los detalles más grandes y un nivel de sistema
correspondientemente más bajo están indicados para cualquier sistema recién
diseñado, o un sistema con una historia de confiabilidad desconocida.
c) El mantenimiento especificado o previsto y el nivel de reparación pueden ser una guía

valiosa para determinar niveles de sistema más bajos.
En el AMFE, las definiciones de modo de falla, causas de las fallas y efectos de las fallas
dependen del nivel de análisis y de los criterios de falla del sistema. A medida que el análisis
progresa, los efectos de la falla identificados al nivel inferior pueden llegar a ser modos de falla
al nivel superior. Los modos de falla al nivel más bajo pueden llegar a ser causas de falla al
nivel superior, etc.
Cuando un sistema es desglosado en sus elementos, los efectos de una o más de las causas
de modo de falla constituyen un modo de falla, que a su vez es causa del efecto de nivel más
alto, una falla parcial. Una falla parcial es entonces la causa de una falla del módulo (efecto)
que en sí misma es la causa de una falla en un subsistema. El efecto de una causa de un nivel
de sistema llega a ser entonces una causa de otro efecto a nivel más alto. La explicación
anterior se ilustra en la Figura 1.
8
Subsistema
2
Subsistema Subsistema Subsistema
1 4 5
Subsistema
Causa de falla
3 del sistema
Sistema Modos de falla
Efecto: falla en el subsistema 4
Módulo Módulo Módulo Módulo

1 2 3 4
Causa de falla
del subsistema 4
Subsistema 4 Modos de falla
Efecto: falla en el módulo 3
Parte
3
Parte Parte Parte
1 2 5
Parte
Causa de falla
del módulo 3 4
Módulo 3 Modos de falla
Efecto: falla en la parte 2
Modo Modo Modo

1 2 3
Causa de falla
de la parte 2
Parte 2 Causas de falla
Efecto: ocurre modo de falla 3
Causa Causa Causa

1 2 3
Parte 2, causa de falla modo 3
Figura 1. Relación entre modos de falla y efectos de falla en un sistema jerárquico

9
5.2.2.4 Representación de la estructura del sistema
Las representaciones simbólicas de la estructura y operación del sistema, especialmente

diagramas, son muy útiles como ayudas para el análisis.
Es conveniente crear diagramas sencillos que destaquen todas las funciones esenciales para
el sistema. En el diagrama, los bloques están enlazados mediante líneas que representan las
entradas y salidas para cada función. Usualmente es necesario describir con precisión la
naturaleza de cada función y cada entrada. Puede haber varios diagramas para cubrir
diferentes fases del sistema de operación.
A medida que el diseño del sistema avanza, es posible crear un diagrama de bloques
componentes que representan los componentes o las partes reales. Con este conocimiento
adicional es posible una identificación más precisa de las causas y modos de falla potenciales.
Los diagramas deberían visualizar cualquier serie y relaciones redundantes entre los elementos
y las interdependencias funcionales entre ellos. Esto permite rastrear las fallas funcionales a
través del sistema. Puede ser necesario más de un diagrama para ilustrar los modos
alternativos de operación del sistema. Se pueden requerir diagramas separados para cada
modo operacional. Como mínimo, el diagrama de bloques debería contener lo siguiente:
a) Desglose del sistema en subsistemas principales, incluidas las relaciones funcionales.
b) Todas las entradas y salidas marcadas apropiadamente, y los números de identificación

con los cuales se referencia en forma constante cada subsistema.
c) Todas las redundancias, trayectorias de señales alternativas y otras características de

ingeniería que brindan protección contra fallas en el sistema.
5.2.2.5 Iniciación, operación, control y mantenimiento
Se debería especificar el estado de las diferentes condiciones de operación del sistema, al

igual que los cambios en la configuración o posición del sistema y sus componentes durante
las diferentes fases operacionales. El desempeño mínimo exigido por el sistema se debería
definir de manera que los criterios de éxito y/o falla se puedan entender claramente. Requisitos
específicos tales como disponibilidad o seguridad se deberían considerar en términos de los
niveles mínimos especificados de desempeño por lograr, y los niveles máximos de daño que se
van a aceptar. Es necesario tener un conocimiento exacto de:
a) La duración de cada función exigida por el sistema.
b) El intervalo de tiempo entre ensayos periódicos.
c) El tiempo disponible para acciones correctivas antes de que ocurran consecuencias

serias para el sistema.
d) Todas las instalaciones, el medio ambiente y el personal, incluidas las interfaces e

interacciones con operadores.
e) Los procedimientos operativos durante el arranque del sistema, su apagado y otras

transiciones operacionales.
f) El control durante las fases operacionales.
10
g) El mantenimiento preventivo y/o correctivo.
h) Procedimientos para ensayos de rutina, si se emplean.
Se ha establecido que uno de los usos del AMFE es ayudar al desarrollo de la estrategia de
mantenimiento. Sin embargo, si ésta ha sido predeterminada, se debería conocer la
información sobre instalaciones de mantenimiento, equipo y repuestos, para mantenimiento
tanto preventivo como correctivo.
5.2.2.6 Ambiente del sistema
Las condiciones ambientales del sistema se deberían especificar, incluidas las condiciones
ambientales y las creadas por otros sistemas cercanos. El sistema se debería delinear con
respecto a sus relaciones, dependencias o interconexiones con sistemas auxiliares y otros, e
interfaces con seres humanos.
En la etapa de diseño estos hechos usualmente no se conocen, y por tanto serán necesarias
aproximaciones e hipótesis. A medida que el proyecto avanza será necesario incrementar los
datos y modificar el AMFE para prever nueva información o cambio en hipótesis o
aproximaciones. Con frecuencia el AMFE será útil para definir las condiciones requeridas.
5.2.3 Determinación del modo de falla
La operación exitosa de un sistema dado está sujeta al desempeño de algunos elementos

críticos del sistema. La clave para la evaluación del desempeño del sistema es la identificación
de estos elementos críticos. Los procedimientos para identificar los modos de falla, sus causas
y efectos se pueden mejorar efectivamente para la elaboración de una lista de modos de falla
anticipados a la luz de los siguientes aspectos:
a) El uso del sistema.
b) El elemento del sistema particular involucrado.
c) El modo de operación.
d) Las especificaciones operacionales pertinentes.
e) Las limitaciones de tiempo.
f) Los esfuerzos ambientales.
g) Los esfuerzos operacionales.
En la Tabla 1 se presenta un ejemplo de lista de modos de falla generales.

Tabla 1. Ejemplo de un conjunto de modos de falla generales
1 Falla durante la operación

2 Falla al operar en el momento establecido
3 Falla al dejar de operar en el momento establecido
4 Operación prematura
NOTA Esta lista es un ejemplo solamente. Se requerirían diferentes listas para diferentes tipos de sistemas.
Prácticamente cualquier tipo de falla se puede clasificar en una o más de estas categorías. Sin
embargo, estas categorías de modo de falla generales tienen un alcance demasiado amplio
11
para un análisis definitivo; en consecuencia, es necesario ampliar esta lista de manera que las
categorías sean más específicas. Cuando se usan junto con especificaciones de desempeño
que rigen las entradas y salidas en el diagrama de bloques de confiabilidad, todos los modos
de falla potencial se pueden identificar y describir. Se debe tener en cuenta que un modo de
falla dado puede tener varias causas.
Es importante que se lleve a cabo la evaluación de todos los ítemes dentro de los límites del
sistema al nivel más bajo proporcional a los objetivos del análisis, para identificar todos los
modos de falla potenciales. Entonces es posible llevar a cabo una investigación para identificar
todas las posibles causas de falla y sus efectos sobre la función del sistema y subsistema.
Los proveedores de ítemes deberían identificar los modos de falla potenciales del ítem dentro
de sus productos. Para ayudar a esta función, en las siguientes áreas se pueden buscar datos
de modos de falla típicos:
a) Para nuevos ítemes, se puede hacer referencia a otros ítemes con función y estructura
similar, y a los resultados de ensayos realizados en estos bajo los niveles de esfuerzo
apropiados.
b) Para nuevos ítemes, el análisis de la intención del diseño y el análisis funcional

detallado da los modos de falla potencial y sus causas. Este método se prefiere al
método a) debido a que los esfuerzos y la propia operación podrían ser diferentes de los
ítemes similares. Un ejemplo de esta situación puede ser el uso de un procesador de
señales diferente del usado en un diseño similar.
c) Para ítemes en uso, se pueden consultar los registros en servicio y los datos de fallas.
d) Los modos de falla potencial se pueden deducir de los parámetros funcionales y físicos
de la operación del ítem.
Es importante que los modos de falla del ítem no se omitan por falta de datos y que los
estimados iniciales se mejoren mediante resultados de ensayo y progresión del diseño. El
AMFE debería registrar el estatus de estos estimados.
La identificación de los modos de falla, y en donde sea necesario, la determinación de las

acciones de diseño remediales, las acciones de aseguramiento de la calidad preventivas o las
acciones de mantenimiento preventivo, son de importancia primordial. Es más importante
identificar, y si es posible, mitigar los efectos de modos de falla mediante medidas de diseño,
que conocer la probabilidad de que ocurran. Cuando es difícil asignar prioridades, pueden ser
necesarios análisis de criticidad.
5.2.4 Causas de falla
Las causas más probables de cada modo de falla potencial se deberían identificar y describir.
Ya que un modo de falla puede tener más de una causa, es necesario identificar y describir las
causas potenciales independientes más probables.
La identificación y descripción de las causas de falla no siempre son necesarias para todos los
modos de falla identificados en el análisis. La identificación y descripción de las causas de falla
se deberían hacer con base en los efectos de las fallas y su severidad. Cuanto más severos los
efectos de los modos de falla, con mayor exactitud se deberían identificar y describir las causas
de las fallas. De lo contrario, el analista puede dedicar esfuerzos innecesarios a la identificación
de las causas de las fallas de modos de falla que tienen un efecto menor, o ningún efecto,
sobre la funcionalidad del sistema.
12
Las causas de las fallas se pueden determinar del análisis de fallas en campo o fallas en las
unidades de ensayo. Cuando el diseño es nuevo y sin precedente, las causas de las fallas se
pueden establecer a partir de la opinión de los expertos.
Cuando se identifican las causas de cada modo de falla, la acción recomendada se evaluará
con base en su probabilidad de ocurrencia estimada y en la severidad de su efecto.
5.2.5 Efectos de falla
5.2.5.1 Definición de efectos de falla
Un efecto de falla es la consecuencia de un modo de falla en términos de la operación, función

o estatus de un sistema (véase la definición en el numeral 3.4). Un efecto de falla puede ser
causado por uno o más modos de falla de uno o más ítemes.
Es necesario identificar, evaluar y registrar las consecuencias de cada modo de falla en la

operación, función o status de los elementos del sistema. Las actividades de mantenimiento y
objetivos del sistema también se deberían considerar siempre que sea pertinente. Un efecto de
falla también puede influir en el siguiente nivel superior y finalmente en el más alto nivel bajo
análisis. Por tanto, a cada nivel se debería evaluar el efecto de las fallas en el nivel superior a éste.
5.2.5.2 Efectos de falla locales
La expresión "efectos locales" hace referencia a los efectos del modo de falla sobre los
elementos del sistema que se estudia. Se deberían describir las consecuencias de cada
posible falla en la salida del ítem. El propósito de identificar los efectos locales es brindar una
base para juzgar cuándo evaluar disposiciones alternativas existentes o diseñar las acciones
correctivas recomendadas. En algunos casos es posible que no haya un efecto local más allá
del propio modo de falla.
5.2.5.3 Efectos de falla al nivel del sistema
Cuando se identifican los efectos finales, se define y evalúa el impacto de una posible falla en
el nivel de sistema más alto, mediante el análisis de todos los niveles intermedios. El efecto
final descrito puede ser el resultado de múltiples fallas. (Por ejemplo, la falla de un dispositivo
de seguridad da como resultado un efecto final catastrófico solamente en el evento de que el
dispositivo de seguridad falle y la función primordial para la que está previsto el dispositivo de
seguridad vaya más allá de los límites permitidos). Estos efectos finales que son el resultado de
una falla múltiple se deberían indicar en las hojas de trabajo.
5.2.6 Métodos de detección
Para cada modo de falla el analista debería determinar la forma en la que se detecta la falla y
el medio por el cual el usuario o encargado del mantenimiento se entera de la falla. La
detección de la falla se puede implementar por medio de una característica automática del
diseño (ensayo con equipo de prueba integrado), el establecimiento de un procedimiento de
inspección especial antes de la operación del sistema, o inspección durante las actividades de
mantenimiento. Se puede implementar al arrancar el sistema o continuamente durante la
operación o a los intervalos establecidos. En cualquier caso, la detección de la falla y su
anuncio deberían impedir una condición de operación peligrosa.
Los modos de falla diferentes del que se considera, que dan lugar a una manifestación idéntica,
se deberían analizar y enumerar. Se debería considerar la necesidad de detectar en forma
separada la falla de elementos redundantes durante la operación.
13
Para un diseño, la detección con AMFE considera qué tan probable, cuándo y dónde se
identificará la eficiencia de un diseño (mediante revisión, análisis, simulación, ensayo, etc.).
Para un proceso, la detección con AMFE considera qué tan posible y dónde puede ser
identificada una deficiencia en el proceso, y con qué probabilidad, por ejemplo, por un
operador, un control estadístico de procesos, un procedimiento de verificación de calidad o en
los últimos pasos en el proceso.
5.2.7 Disposiciones para compensación de fallas
Es de extrema importancia la identificación de cualquier característica de diseño a un nivel de

sistema dado u otras disposiciones que tengan la capacidad de prevenir o reducir el efecto del
modo de falla. Así, el AMFE debería mostrar claramente el comportamiento verdadero de esta
característica en presencia de ese modo de falla. Otras disposiciones contra falla que necesitan
registrarse en el AMFE incluyen las siguientes:
a) Ítemes redundantes que permiten la operación continua si alguno de los elementos falla.
b) Medios de operación alternativos.
c) Dispositivos de monitoreo o de alarma.
d) Cualquier otro medio que permita la operación eficaz o limite el daño.
Durante un proceso de diseño los elementos funcionales (hardware y software) de un ítem se

pueden reacomodar o reconfigurar varias veces, o su capacidad se puede cambiar. En cada
etapa, la pertinencia de los modos de falla identificados y el AMFE se deberían actualizar o
incluso repetir.
5.2.8 Clasificación de la severidad
La severidad es una evaluación de la importancia del efecto de modo de falla sobre la

operación del ítem. La clasificación de los efectos de severidad depende considerablemente de
la aplicación del AMFE y se desarrolla teniendo en cuenta varios factores:
- La naturaleza del sistema en relación con los posibles efectos sobre los usuarios o el
ambiente, resultantes de la falla.
- El desempeño funcional del sistema o proceso.
- Cualquier requisito contractual impuesto por el cliente.
- Requisitos de seguridad del gobierno o la industria.
- Requisitos implícitos en una garantía.
La Tabla 2 ilustra un ejemplo de un grupo de clasificación de severidad cualitativa para un

producto para uno de los tipos de AMFE.
14
Tabla 2. Ejemplo ilustrativo de una clasificación de severidad para los efectos finales
Clase Nivel de severidad Consecuencia para las personas o el ambiente

Modo de falla que puede potencialmente dar como resultado
falla en las funciones primarias del sistema, y por tanto causa
IV Catastrófico
daños graves al sistema y a su ambiente, y/o lesiones
personales.
Modo de falla que puede potencialmente dar como resultado
falla en las funciones primarias del sistema, y por tanto causa
III Crítico daños considerables al sistema y a su ambiente, pero que no
constituye una amenaza seria para la vida, ni presenta amenaza
de lesiones personales.
Modo de falla que puede potencialmente degradar las funciones
de desempeño del sistema, sin causar daño apreciable al
II Marginal
sistema ni presentar amenazas para la vida ni lesiones
personales.
Modo de falla que puede potencialmente degradar las funciones
I Insignificante de desempeño del sistema pero que no causará daño a éste ni
representa una amenaza para la vida, ni lesiones personales.
5.2.9 Frecuencia o probabilidad de aparición
La frecuencia o probabilidad de ocurrencia de cada modo de falla se debería determinar con el

fin de evaluar adecuadamente el efecto o criticidad del modo de falla.
Para la determinación de la probabilidad de ocurrencia del modo de falla, además de la

información publicada concerniente al porcentaje de falla, es importante considerar el perfil
operacional (esfuerzos ambientales, mecánicos y/o eléctricos) de cada componente que
contribuye a esta probabilidad de ocurrencia. Esto se debe a que los porcentajes de falla de los
componentes y en consecuencia el porcentaje de falla del modo de falla que se considera, en
la mayoría de casos se incrementan proporcionalmente con el incremento de los esfuerzos
aplicados con la relación de ley de potencia o exponencialmente. La probabilidad de que
ocurran modos de falla para el diseño se puede estimar a partir de:
- Datos sobre el ensayo de durabilidad de los componentes.
- Bases de datos disponibles de los porcentajes de falla.
- Datos de falla en campo.
- Datos de falla para ítemes similares o para la clase de componente.
Cuando se estima la probabilidad de aparición, el AMFE debe tener en cuenta el período de

tiempo para el que se hacen las estimaciones. Usualmente es el período de garantía o el
período predeterminado de vida de ese ítem o producto.
La aplicación de la frecuencia y probabilidad de ocurrencia se explicará adicionalmente en la

descripción del análisis de criticidad.
5.2.10 Procedimiento de análisis
El flujograma de la Figura 2 ilustra los pasos de un análisis.
15
Iniciar el AMEF o ACMEF de un item
Seleccionar un componente del item por analizar
Identificar los modos de falla del componente seleccionado
Seleccionar el modo de falla por analizar
Identificar el efecto inmediato y el efecto final del modo de falla
Determinar la severidad del efecto final
Identificar las causas potenciales de ese modo de falla
Estimar la frecuencia o probabilidad de ocurrencia del modo de falla

durante el período de tiempo predeterminado
¿La severidad y/o

probabilidad de No
ocurrencia justifican la
nesecidad de acción?
Si
Proponer un método de mitigación, acciones correctivas o disposiciónes
para compensación. Identificar acciones y personal responsable
Documentar notas, recomendaciones,

aciones y observaciones
¿Hay más modos ¿Hay otros

No No
de falla de componentes componentes para
por análizar análisis?
Si
Si
Completar el AMEF. Determinar la siguiente

fecha de actualización, según sea apropiado
Figura 2. Flujograma de análisis
16
5.3 ANÁLISIS DE MODO DE FALLA, EFECTOS Y CRITICIDAD (AMFEC)
5.3.1 Propósito del análisis
El símbolo C agregado al AMFE denota que el análisis de modo de falla brinda también el
análisis de criticidad. La determinación de la criticidad implica la adición de una medida
cualitativa de la magnitud de un efecto de modo de falla. La criticidad tiene muchas definiciones
y medidas, la mayoría de las cuales suponen un significado similar: impacto o importancia de
un modo de falla que exigiría ser abordado y mitigado. Algunas de estas medidas se explican
en los numerales 5.3.2 y 5.3.4. El propósito del análisis de criticidad es cuantificar la magnitud
relativa de cada efecto de falla como una ayuda para la toma de decisiones, de manera que
con una combinación de criticidad y severidad se pueda establecer la prioridad para la acción
de mitigar o minimizar el efecto de determinadas fallas.
5.3.2 Riesgo R y número de prioridad del riesgo (NPR)
Uno de los métodos de determinación cuantitativa de criticidad es el número de prioridad del

riesgo (NPR). El riesgo aquí se evalúa mediante una medición subjetiva de la severidad del
efecto y un estimado de la probabilidad de ocurrencia esperada durante un período de tiempo
predeterminado supuesto para el análisis. En algunos casos en donde estas mediciones no
están disponibles, puede llegar a ser necesario hacer referencia a una forma más simple de un
AMFE no numérico.
Una relación general concerniente a la medida de un riesgo potencial, R, en un AMFEC en

algunos tipos de análisis se expresa como sigue:
R=S x P
en donde
S es un número no dimensional que representa la severidad, es decir, un estimado de qué tan fuerte
los efectos de la falla afectarán al sistema o al usuario.
P es un número no dimensional que denota la probabilidad de ocurrencia. Cuando es menor de 0,2

se puede sustituir por el número de criticidad que se usa en algunos métodos de AMFE
cuantitativos, C, explicado en el numeral 5.3.4, es un estimado de la probabilidad de que ocurra el
efecto de falla.
Algunas aplicaciones de AMFE o AMFEC diferencian adicionalmente el nivel de detección de fallas a nivel del
sistema. En estas aplicaciones se emplea una categoría adicional para detección de fallas, D (también número no
dimensional) para formar un número de prioridad de riesgo (NPR):
NPR = S x O x D
en donde
O denota la probabilidad de ocurrencia de un modo de falla para un período de tiempo

predeterminado o establecido, aun cuando se puede definir como un número de clasificación en
vez de la probabilidad de ocurrencia real.
D significa detección, es decir, un estimado de la oportunidad de identificar y eliminar la falla antes de

que se vea afectado el sistema o el cliente. Este número se clasifica usualmente en orden inverso
a partir de los números de severidad o de ocurrencia: a mayor número de detección, es menos
probable la detección. La menor probabilidad de detección conduce en consecuencia a un mayor
NPR y a una mayor prioridad para la resolución del modo de falla.
El número de prioridad de riesgo se puede entonces usar para la priorización al abordar la

mitigación de los modos de falla. Además de la magnitud del número de prioridad de riesgo, la
17
decisión sobre la mitigación se ve influenciada principalmente por la severidad del modo de

falla, lo que quiere decir que si hay modos de falla con NPR similar o idéntico, los modos de
falla que se van a abordar primero son los que tengan los números de severidad mayores.
Estas relaciones se pueden evaluar numéricamente ya sea en una escala discreta o continua
(un número finito de valores definidos).
Entonces los modos de falla se ordenan con respecto a su NPR y se asigna una alta prioridad
a un alto NPR. En algunas aplicaciones, los efectos con un NPR que exceden un umbral
definido no son aceptables, mientras que en otras aplicaciones se da alta importancia a
números de severidad altos, independientemente del valor del NPR.
Diferentes tipos de AMFEC asignan diferentes escalas para los valores de S, O y D. Algunos
son de 1 a 4 ó 5, y algunos, tales como el AMFEC, usados ampliamente en la industria
automotriz para el análisis del proceso de diseño y producción, conocidos como AMFED
(Análisis de modo de falla y efectos de diseño) y AMFEP (Análisis de modo de fallas y efectos
en procesos), utilizan escalas para todos los tres atributos de 1 a 10.
5.3.3 Relación entre el AMFEC y el análisis de riesgo
Combinado críticamente con la severidad es una medida del riesgo, que se diferencia de las
medidas de riesgo aceptadas usualmente sólo en el menos riguroso enfoque para esta
evaluación, que con frecuencia es el menos costoso. La diferencia se observa no solamente en
la manera de predecir la severidad de un efecto de falla, sino también en que la interacción
mucho menos compleja entre los factores que contribuyen se puede modelar en el típico
procedimiento ascendente aplicado en el AMFEC. También el AMFEC usualmente da como
resultado una clasificación relativa de las contribuciones al riesgo total, mientras que un análisis
de riesgo para sistemas de alto riesgo generalmente se dirige a la aceptabilidad del riesgo. Sin
embargo, para sistemas de bajo riesgo y baja complejidad el AMFEC puede ser un método
muy rentable y apropiado. Siempre que durante el AMFEC se reconozca la probabilidad de
efectos de alto riesgo, se recomienda usar un análisis de riesgo probabilístico (ARP), en vez del
AMFEC.
Por tanto, un AMFEC no se debería usar como la única base para juzgar si el riesgo de un
efecto particular de un sistema de alto riesgo o de alta complejidad es aceptablemente
pequeño o no, incluso si el estimado de frecuencia y severidad se basa en datos confiables.
Esta sería la tarea de un análisis probabilístico de riesgo, en donde también se pueden tener
en cuenta parámetros con mayor influencia (y sus interacciones), por ejemplo, tiempo de
exposición, probabilidad de evitar los riesgos, fallas latentes o implícitas y mecanismos de
detección de fallas.
Al usar los efectos de falla identificados por el AMFE, cada efecto es asignado a una clase de
severidad apropiada. Una frecuencia para el evento se calcula de los datos de falla o de los
estimados para la parte involucrada. Al multiplicar la frecuencia por el tiempo de la misión de
interés, se obtiene un número de criticidad que se puede aplicar a una escala, ya sea de
acuerdo con su propio valor, o si la escala representa la probabilidad de ocurrencia de los
eventos, entonces esta probabilidad se mide por la escala. La clase de severidad y la clase de
criticidad (o probabilidad de aparición) para cada efecto conjuntamente constituyen la magnitud
del efecto. Se pueden distinguir dos enfoques principales para la evaluación de la criticidad: el
enfoque de matriz de criticidad y el concepto de números de prioridad de riesgo (NPR).
18
5.3.4 Determinación de la tasa de falla del modo de falla, probabilidad y número de

criticidad
Si las tasas de falla para los modos de falla de ítemes similares están disponibles y fueron
determinadas bajo condiciones operacionales y ambientales similares a las supuestas para el
sistema que se analiza, las frecuencias de los eventos para los efectos se pueden agregar
directamente al AMFEC. Si las tasas de falla están disponibles para los elementos, como es
muy frecuente, en vez de para los modos de falla, y para diferentes condiciones ambientales u
operativas, es necesario calcular las tasas de falla de los modos de falla. En general, se
establece la siguiente relación:
λi = λ j x α i x β i
en donde
λi denota el estimado de la tasa de falla para la constante asumida i de modo de falla
λj representa la tasa de falla del componente j.
αi es la relación de modo de falla del modo de falla i, es decir, es la probabilidad de que el ítem
tendrá un modo de falla i.
βi es la probabilidad condicional del efecto de falla dado en el modo de falla i.
Las deficiencias principales de este enfoque son la suposición implícita de la tasa de falla
constante, y que muchos de los factores son solamente predicciones o las mejores conjeturas.
Este es especialmente el caso en que los componentes del sistema no pueden tener una tasa
de falla asociada, sólo la probabilidad calculada de la falla para la aplicación específica, su
duración y los esfuerzos asociados, tales como componentes y sistemas mecánicos.
Las condiciones ambientales, de carga y mantenimiento diferentes de las relacionadas con los
datos de la tasa de falla se explican por un factor de modificación. La orientación sobre los
valores apropiados para esta modificación se puede encontrar en publicaciones sobre datos de
confiabilidad. Es necesario tener cuidado especial para asegurarse de que los modificadores
escogidos son correctos y son aplicables para el sistema específico y sus condiciones de
operación.
En algunas aplicaciones, tales como el enfoque cuantitativo al análisis de criticidad, un número

Ci de criticidad del modo de falla (no relacionado con el término general "criticidad", que puede
asumir diferentes significados) se usa en lugar de la tasa de falla del modo de falla, λi. El
número de criticidad establece una conexión entre la frecuencia de falla condicional y el tiempo
de operación, lo que puede ayudar entonces a una evaluación más realista de un riesgo de
modo de falla durante el período predeterminado de uso del producto.
Ci = λi x t j
Ci = λ j x α i x β i x t j
en donde
tj denota el tiempo de operación del componente durante todo el tiempo predeterminado usado para
el AMFEC, para el cual se evalúa la probabilidad - tiempo de operación del componente activo.
El número de criticidad para el componente que tiene m modos de falla es entonces:
m
Cj = ∑λ
i =1
j x α i x βi x t j
19
Se debe observar que el número de criticidad no está relacionado propiamente con el término
criticidad. Es apenas un valor calculado para algunos tipos de AMFEC en el contexto en que
existe una medida relativa de la consecuencia de un modo de falla y su probabilidad de
ocurrencia. Aquí el número de criticidad es una medida de riesgo, no una medida de la
probabilidad de ocurrencia.
Para determinar Pi, la probabilidad de ocurrencia del modo de falla para un tiempo tj, a partir de
la criticidad calculada:
− Ci
Pi = 1 − e
Con una aproximación general, cuando las tasas de falla de los modos de falla y los números
de criticidad resultantes son pequeños, se puede afirmar que para probabilidades de ocurrencia
de menos de 0,2 (en donde la criticidad sería igual a 0,223), los valores del número de
criticidad y la probabilidad de falla son muy similares.
En el caso de tasas de falla o frecuencias de falla variables, la probabilidad de ocurrencia se

debe calcular, en vez de la criticidad, que se basa en la suposición de una tasa de falla
constante (frecuencia).
5.3.4.1 Matriz de criticidad
La criticidad se puede presentar en una matriz de criticidad, como se ilustra en la Figura 3. Se

debería observar que no existe una definición universal para criticidad, pero es necesario que
sea definida por el analista y aceptada por la dirección del proyecto o programa. Las
definiciones varían ampliamente entre diferentes sectores de aplicación.
5 Riesgo
Posibilidad- probabilidad
(A) alto
4 Modo de
de ocurrencia
(B) falla 1
3
(C)
2 Modo de
(D) falla 2
1 Riesgo bajo
(E)
I II III IV
Severidad
Figura 3. Matriz de criticidad
En la Figura 3 se da a entender que la severidad se incrementa cuando aumenta el orden de

los números, en donde el número IV tiene la severidad más alta (pérdida de vida humana y/o
misión/operación, lesión). También está implícito que la posibilidad de ocurrencia, en el eje Y,
también está representada en orden ascendente. Si la mayor categoría de probabilidad de
ocurrencia no excede un valor de 0,2, la probabilidad de ocurrencia y los valores de criticidad
son aproximadamente iguales entre sí. Una de las matrices que se ve con frecuencia tiene la
siguiente escala:
- Número de criticidad 1 ó E, probabilidad de ocurrencia, improbable: 0 ≤ Pi < 0,001
- Número de criticidad 2 ó D, probabilidad de ocurrencia, remota: 0,001 ≤ Pi < 0,01
20
- Número de criticidad 3 ó C, probabilidad de ocurrencia, ocasional: 0,01 ≤ Pi < 0,1
- Número de criticidad 4 ó B, probabilidad de ocurrencia , probable: 0,1 ≤ Pi < 0,2
- Número de criticidad 5 ó A, probabilidad de aparición, frecuente Pi ≥ 0,2
La Figura 3 se presenta solamente a manera de ejemplo. Otros métodos pueden presentar

criticidad o severidad con diferentes denominaciones y definiciones.
En el ejemplo dado en la Figura 3, el modo de falla 1 tiene una mayor posibilidad de ocurrencia
que el modo de falla 2, que a su vez tiene una mayor severidad. La decisión cuyo modo de falla
tenga la prioridad más alta por abordar, depende de la escala de las clases de frecuencia y de
severidad y de los principios de clasificación. Mientras que en una escala lineal el modo de falla 1
(como usualmente sugiere la matriz) tendría una criticidad mayor (o probabilidad de ocurrencia) que
el modo de falla 2, puede haber aplicaciones en las que la severidad tiene prioridad absoluta
sobre la frecuencia, y de esta manera el modo de falla 2 se convierte en el modo de falla más
crítico. Otra observación evidente es que sólo los modos de falla relacionados con el mismo
nivel de detalle del sistema se pueden comparar significativamente con la matriz de criticidad
debido a que para sistemas de baja complejidad, los modos de falla en un nivel inferior
usualmente tienden a tener una frecuencia más baja.
La matriz de criticidad (como se ilustra en la Figura 3) se puede aplicar cualitativa y

cuantitativamente como ya se explicó.
5.3.5 Evaluación de la aceptabilidad del riesgo
Cuando el producto final requerido para el análisis es una matriz de criticidad, se puede trazar
desde las severidades asignadas y las frecuencias de eventos. La aceptabilidad del riesgo se
define subjetivamente o es impulsada por decisiones profesionales y financieras, y varía en los
diferentes tipos de industrias. La Tabla 3 presenta algunos ejemplos de clases de aceptabilidad
de riesgo y una matriz de criticidad modificada.
Tabla 3. Matriz de riesgo/criticidad
Frecuencia de Niveles de severidad

ocurrencia del
1 2 3 4
efecto de falla
Insignificante Marginal Crítica Catastrófica
5: frecuente Indeseable Intolerable Intolerable Intolerable
4: probable tolerable Indeseable Intolerable Intolerable
3: ocasional tolerable Indeseable Indeseable Intolerable
2: remota Insignificante Tolerable Indeseable Indeseable
1: improbable Insignificante Insignificante Tolerable Tolerable
5.3.6 Tipos de AMFEC con escalas de clasificación
Los tipos de AMFEC descritos en el numeral 5.3.2 se usan comúnmente en la industria

automotriz para el análisis de diseño de productos y para el análisis del proceso de producción
para esos productos.
La metodología de análisis es la misma que la descrita en el formato general AMFE/AMFEC,

excepto que las definiciones están predeterminadas en tres tablas preparadas para severidad, S,
ocurrencia, O*, y detección, D.
21
5.3.6.1 Determinación alterna de severidad
La Tabla 4 presenta un ejemplo de las clasificaciones de severidad que se usan principalmente

en la industria automotriz.
Tabla 4. Severidad del modo de falla
Severidad Criterios Clasificación

Ninguna No hay efecto discernible 1
Muy menor Ajuste y terminado/chirrido y traqueteo. El ítem no cumple. Defecto 2
observado por clientes perceptivos (menos del 25 %)
Menor Ajuste y terminado/chirrido y traqueteo. El ítem no cumple. Defecto 3
observado por el 50 % de los clientes
Muy baja Ajuste y terminado/chirrido y traqueteo. El ítem no cumple. Defecto 4
observado por la mayoría de clientes (más del 75 %)
Baja Vehículo/ítem operable pero ítem(es) de confort/conveniencia operable(s) a 5
un nivel de desempeño reducido. Cliente un poco insatisfecho.
Moderada Vehículo/ítem operable pero ítem(es) de confort/conveniencia 6
inoperable(s). Cliente insatisfecho.
Alta Vehículo/ítem operable pero a un nivel de desempeño reducido. Cliente 7
muy insatisfecho.
Muy alta Vehículo/ítem inoperable (pérdida de la función primaria). 8
Peligrosa con Clasificación de severidad muy alta cuando un modo de falla potencial 9
advertencia afecta la operación segura del vehículo y/o implica no conformidad con
las reglamentaciones gubernamentales con advertencia.
Peligrosa sin Clasificación de severidad muy alta cuando un modo de falla potencial 10
advertencia afecta la operación segura del vehículo y/o implica no conformidad con
las reglamentaciones gubernamentales sin advertencia.
NOTA Tomado de SAE J 1739.
Una clasificación de severidad se asigna al efecto de falla de cada modo de falla con base en
la severidad del efecto sobre el desempeño general del sistema y la seguridad a la luz de los
requisitos, los objetivos y limitaciones del sistema, al considerar el vehículo como un sistema.
Esto se hace más fácilmente en la hoja de AMFEC. La determinación de la severidad de
acuerdo con la Tabla 4 es muy directa para los números de severidad de 6 en adelante. La
determinación de la severidad de 3 a 5 puede ser subjetiva.
5.3.6.2 Determinación alterna de la ocurrencia
La Tabla 5 (tomada también de la industria automotriz) presenta ejemplos de medidas de

ocurrencia cualitativas que se pueden usar en el concepto de NPR.
Tabla 5. Aparición del modo de falla, relacionada con la frecuencia y probabilidad de ocurrencia
Ocurrencia del modo de falla Calificación, O Frecuencia Probabilidad

Remota: 1 ≤ 0,010 por mil vehículos/ítemes ≤ 1 x 10-5
La falla es improbable
Baja: 2 0,1 por mil vehículos/ítemes 1 x 10-4
Relativamente pocas fallas
3 0,5 por mil vehículos/ítemes 5 x 10-4
Moderada: 4 1 por mil vehículos/ítemes 1 x 10-3

Fallas ocasionales
5 2 por mil vehículos/ítemes 2 x 10 -3
6 5 por mil vehículos/ítemes 5 x 10-3
Alta: 7 10 por mil vehículos/ítemes 1 x 10-2
Fallas repetidas
8 20 por mil vehículos/ítemes 2 x 10-2
Muy alta: 9 50 por mil vehículos/ítemes 5 x 10-2
La falla es casi inevitable
10 ≥ 100 en mil vehículos/ítemes ≥ x 10-1
NOTA Fuente: AIAG: Potential Failure Mode and Effects Analysis, FMEA, Tercera edición.
22
Debe observarse que en la Tabla 5 el término "frecuencia" se usa como la relación de ocurrencia en
varias oportunidades durante una misión o tiempo de vida designado, que se puede comparar con
una "fracción que falla" o probabilidad de ocurrencia, y las probabilidades correspondientes apenas
reflejan esta fracción. Por ejemplo, un modo de falla al que se asigna un valor de O de 9 causaría la
falla de uno de los tres sistemas durante un período de misión determinado. Aquí, la determinación
de esta probabilidad de ocurrencia debe estar relacionada con el período de tiempo de interés. Es
recomendable establecer este período de tiempo en el título del análisis.
La mejor práctica se aplica cuando la probabilidad de ocurrencia se calcula para los componentes y
sus modos de falla, con base en sus propias tasas de falla específicas bajo los esfuerzos esperados
aplicados (ambiental y operacional). Cuando esa información no está disponible, se puede asignar un
estimado, pero mientras se hace, el equipo de análisis debe tener en mente el significado de los
números de ocurrencia - el número de ocurrencias por mil vehículos en el tiempo predeterminado
usado para el análisis (garantía, vida del vehículo u otros); es la probabilidad calculada o estimada de
ocurrencia de ese modo de falla en un período de tiempo de interés. También se debe observar que, a
diferencia de la escala de severidad, la escala de ocurrencia no es lineal ni logarítmica. Por tanto, se
debería tener en mente que cuando se calcula y evalúa el número NPR resultante, tampoco es lineal y
se debe abordar con especial cuidado.
5.3.6.3 Clasificación de la probabilidad de detección de falla
En el concepto de NPR, se debe estimar la posibilidad de que una falla sea detectada; es decir,
la posibilidad de que las características/ayudas de diseño o los procedimientos de verificación
detecten modos de falla potencial en el tiempo para impedir una falla a nivel del sistema. Para
una aplicación del proceso (AMFE o AMFEC del proceso), esto hace referencia a la
probabilidad de que un conjunto de controles de procesos implementados actualmente estén
en posición de detectar y aislar una falla antes de que sea transferida a los procesos siguientes
o a la salida de producto final.
En particular para productos genéricos que se pueden usar en diferentes sistemas y

aplicaciones, puede ser difícil de estimar la probabilidad de detección.
La Tabla 6 presenta uno de los métodos para criterios de detección usados en la industria automotriz.
Tabla 6. Criterios de evaluación de detección de modos de falla
Detección Criterios: posibilidad de detección mediante control del diseño Clasificación

Casi segura El control del diseño casi sin falta detectará una causa/mecanismo 1
potencial y el modo de falla subsiguiente
Muy alta Una oportunidad muy alta de que el control del diseño detecte una 2
causa/mecanismo potencial y el modo de falla subsiguiente
Alta Una oportunidad alta de que el control del diseño detecte una 3
Moderadamente alta Una oportunidad moderadamente alta de que el control del diseño 4
detecte una causa/mecanismo potencial y el modo de falla subsiguiente
Moderada Una oportunidad moderada de que el control del diseño detecte 5
una causa/mecanismo potencial y el modo de falla subsiguiente
Baja Una baja oportunidad de que el control del diseño detecte una 6
Muy baja Una oportunidad muy baja de que el control del diseño detecte una 7
Remota Una oportunidad remota alta de que el control del diseño detecte 8
Muy remota Una oportunidad muy remota de que el control del diseño detecte 9
Absolutamente El control del diseño no detectará y no puede detectar una 10
incierta causa/mecanismo potencial y el modo de falla subsiguiente; o no hay
control del diseño.
NOTA Fuente: AIAG: Potential Failure Mode and Effects Analysis, FMEA, Tercera edición.
23
5.3.6.4 Evaluación del riesgo
Este enfoque considerablemente intuitivo descrito arriba debe ir seguido por una clasificación
de prioridad de las acciones que se van a llevar a cabo para asegurar el mejor nivel de
seguridad para el cliente. Por ejemplo, un modo de falla con una alta severidad, una tasa baja
de ocurrencia y una detección muy alta (puede ser 10, 3 y 2 respectivamente) puede tener un
NPR mucho más bajo (aquí 60) que uno que tiene todos los parámetros promedio (puede ser 5
en cada caso, lo que da como resultado un NPR de 125). Así, con frecuencia se definen
procedimientos adicionales para asegurar que se les da prioridad a los modos de falla con una
clasificación de severidad alta (puede ser 9 ó 10), y son mitigados primero. En este caso, la
decisión debería estar orientada por la magnitud de la severidad, y no sólo por el NPR. En
todos los casos, una buena práctica es observar la clase de severidad de un modo de falla
junto con el NPR para un mejor proceso de toma de decisiones.
Los números de prioridad del riesgo también se determinan en otros métodos de AMFE,
especialmente aquellos que son principalmente cualitativos.
Con las tablas anteriores, los NPR se calculan y con frecuencia se usan como una guía para la
mitigación del modo de falla. Se deben recordar las palabras de advertencia del numeral 5.3.2
y se deben tener en mente las deficiencias de los NPR.
Algunas deficiencias de los NPR son:
- brechas en los rangos: 88 % del rango está vacío, se generan sólo 120 de 1000 números.
- NPR por duplicado: para varias combinaciones en donde diferentes factores conducen
al mismo NPR.
- Sensibilidad a los cambios pequeños: un cambio pequeño en un factor que tiene un

efecto mucho más grande cuando los otros factores son más grandes que cuando son
pequeños (ejemplo: 9x9x9 = 243, y 9x9x4 = 324 contra 3x4x3 = 36 y 3x4x4= 48).
- Inadecuada escala: La relaciones en la tabla de ocurrencia no son proporcionales o

lineales, por ejemplo, la relación puede ser 2,5 o 2 entre dos clasificaciones
consecutivas.
- una escala inadecuada de NPR. Las diferencias en el número de NPR podrían parecer
insignificantes cuando de hecho son importantes. Un ejemplo sería: los valores: S = 6,
O = 4, D = 2 producirían un NPR = 48, mientras que S = 6, O = 5, y D = 2 producirían un
NPR de 60. El segundo NPR no es el doble del primer número, mientras que de hecho
O = 5 es el doble de la probabilidad de ocurrencia con O = 4. Por tanto, los números
NPR no se deberían comparar linealmente.
- Conclusiones erróneas de la comparación de NPR cuando las escalas son ordinales y

no racionales.
La revisión de un NPR requiere cuidado y buen juicio. Una buena práctica requeriría una
profunda revisión de los valores para severidad, ocurrencia y detección, antes de formar una
opinión y emprender acciones correctivas.
24
5.4 INFORME DE ANÁLISIS
5.4.1 Alcance y contenido de un informe
El informe sobre AMFE puede ir incluido en un estudio más amplio o puede ser independiente.
En cualquier caso, el informe debería incluir un resumen y un registro detallado del análisis y
los diagramas funcionales o de bloque, que definen la estructura del sistema. El informe
también debería contener una lista de los dibujos (incluido el estatus de expedición) en el que
se basa el AMFE.
5.4.2 Resumen de efectos
Se debería elaborar un listado de los efectos de falla en un sistema específico, resaltados por el
AMFE. La Tabla 7 presenta un conjunto típico de efectos para un arranque de vehículo a motor y
circuitos.
Tabla 7. Ejemplo de un conjunto de efectos de falla
(para el arranque de un vehículo a motor)
1 El arranque del motor no funciona

2 La velocidad del motor es inferior a la especificada
3 El motor del arranque no se acopla al engranaje
4 El motor del arranque opera prematuramente
NOTA 1 Esta lista es solo un ejemplo. Cada sistema o subsistema debe ser analizado con su propio conjunto de
efectos de falla.
Un resumen de efectos de falla puede ser requerido para determinar la probabilidad de falla del
sistema, resultante de la lista de efectos de falla y del establecimiento de prioridades para
acciones correctivas o preventivas. El resumen de efectos de falla se debería basar en la lista
de efectos de fallas finales y debería contener detalles de la contribución de los modos de falla
del item a cada efecto de falla. La probabilidad de ocurrencia de cada modo de falla es
calculada por el periodo de tiempo predeterminado de uso del item como por el perfil de uso
esperado y los esfuerzos establecidos.
Tabla 8. Ejemplo de probabilidad de efectos de falla
Contribución del modo Probabilidad de ocurrencia

Número Efecto
de falla de referencia de efecto de falla
1 El arranque del motor no funciona 1,3, 7, 8, 9, 16, 21, 22 8 x 10-3
2 La velocidad del motor es inferior a la especificada 6, 11, 12, 19, 20 6 x 10-4
3 El motor del arranque no se acopla al engranaje 2,4, 5, 10, 13 1,1 x 10-5
4 El motor del arranque opera prematuramente 14, 15, 17, 18 3,6 x 10-7
NOTA 1 Esta Tabla se puede construir para otras clasificaciones cualitativas y cuantitativas de un ítem o
sistema.
El resumen también debería contener una breve descripción del método de análisis y el nivel al
cual se llevó a cabo, las hipótesis y las reglas básicas. Además, debería incluir listas de lo
siguiente:
a) Modos de falla que dan como resultado efectos graves.
b) Recomendaciones para diseñadores, personal de mantenimiento, planificadores y

usuarios.
c) Cambios de diseño que ya se han incorporado como resultado del AMFE.
d) Efectos que son mitigados por los cambios de diseño incorporados.

25
6. OTRAS CONSIDERACIONES
6.1 FALLAS DE CAUSA COMÚN
En un análisis de confiabilidad no es suficiente considerar únicamente fallas aleatorias e

independientes, ya que pueden ocurrir algunas fallas con "causa común" (FCC) que causan
degradación o falla en el desempeño del sistema o falla ocasionada por la deficiencia
simultánea en varios componentes del sistema debido a una sola fuente, como por ejemplo un
error de diseño (desclasificación inapropiada de componentes), esfuerzos ambientales
(iluminación) o error humano.
Las fallas con causa común (FCC) son aquellas fallas que contradicen la hipótesis fundamental
de que los modos de falla que se consideran en el AMFE son independientes. Las FCC harán
que más de un ítem falle simultáneamente o dentro de un período suficientemente corto de
manera que tenga el efecto de fallas simultáneas.
Habitualmente, las fuentes de FCC incluyen:
- Diseño: software, clasificación.
- Fabricación: defectos de componentes relacionados con el lote.
- Medio ambiente: interferencia eléctrica, ciclaje de temperatura, vibración.
- Factores humanos: operación o acciones de mantenimiento incorrectas.
Por tanto, el AMFE debe considerar posibles fuentes de FCC cuando analiza un sistema que
usa la redundancia para mantener la función, o elementos múltiples para mitigar las
consecuencias en caso de falla.
Un FCC es el resultado de un evento que, debido a las dependencias lógicas, causa una
coincidencia en los estados de falla de dos o más componentes (excepto las fallas secundarias
causadas por los efectos de una falla primaria). Las fallas de causa común pueden estar en
partes idénticas con los mismos modos de falla y debilidades usados en diferentes ensambles
de un sistema - posiblemente redundantes, en donde la redundancia se invalida.
El FCC se puede analizar cuantitativamente usando el AMFE, pero la capacidad de éste para
analizar completamente el FCC es bastante limitada. Sin embargo, el AMFE es un
procedimiento para examinar sucesivamente cada modo de falla y causas asociadas y para
identificar todos los ensayos periódicos, medidas de mantenimiento preventivo, etc. También
permite estudiar todas las causas que inducen a un FCC potencial.
Una combinación de varios métodos es útil para prevenir o mitigar el FCC (modelado del
sistema, análisis físico de los componentes): diversidad funcional (en donde las secciones o
partes redundantes del sistema que realizan la misma función no son idénticas y tienen
diferentes modos de falla), separación física para eliminar la influencia de los esfuerzos
ambientales o de IEM (interferencia electromagnética) que causan FCC, ensayos, etc.
Usualmente el AMFE no considera el examen de medidas preventivas contra FCC. Sin
embargo, estas medidas se tienen que incluir en la columna observaciones, para ayudar a
entender completamente el AMFE.
26
6.2 FACTORES HUMANOS
Algunos sistemas tienen que ser diseñados para prevenir o mitigar algunos errores humanos. Un
ejemplo de estas medidas sería el suministro de bloqueos mecánicos en las señales de las vías
férreas y contraseñas para uso del computador o recuperación de datos. En donde existen estas
disposiciones en un sistema, el efecto de la falla de las disposiciones dependerá del tipo de error.
Algunos modos de error humano se deberían considerar también para un sistema libre de fallas,
con el fin de verificar la eficacia de las disposiciones. Aunque incompleta, una lista parcial de
estos modos es benéfica para la identificación de las deficiencias en el diseño y en el
procedimiento; la identificación de todas las formas posibles de error humano probablemente
sería imposible.
Muchos FCC involucran errores humanos. Por ejemplo, el mantenimiento incorrecto de ítemes
similares puede negar la redundancia. Para evitar esto, con frecuencia se introduce diversidad
de material en los elementos redundantes.
6.3 ERRORES DE SOFTWARE
Un AMFE realizado sobre el hardware de un sistema complejo puede tener repercusiones en el

software del sistema. Así, las decisiones acerca de los efectos, la criticidad y las probabilidades
condicionales que resultan del AMFE pueden depender de los elementos de software y de su
naturaleza, secuencia y oportunidad. Cuando este es el caso, las interrelaciones entre el
hardware y el software necesitan identificarse claramente ya que cualquier alteración o mejora
posterior del software puede modificar el AMFE y las evaluaciones derivadas de él. La
aprobación del desarrollo y cambio del software puede estar condicionada por la actualización
del AMFE y las evaluaciones relacionadas, por ejemplo, la lógica del software se puede ver
alterada para mejorar la seguridad a expensas de la seguridad de funcionamiento operacional.
Los funcionamientos defectuosos debidos a errores o insuficiencias en el software tendrán

efectos importantes que estarán determinados por el diseño tanto del hardware como del
software. La postulación de estos errores o insuficiencias y el análisis de sus efectos es posible
solamente en un grado limitado. Los efectos sobre el hardware asociado o los posibles errores
en el software se pueden estimar y con frecuencia este análisis sugiere disposiciones de
emergencia en el software o en el hardware.
6.4 AMFE ACERCA DE LAS CONSECUENCIAS DE LA FALLA DEL SISTEMA
Un AMFE del sistema se puede llevar a cabo sin referencia a ninguna aplicación particular y se
puede entonces adaptar posteriormente para uso del proyecto. Esto se aplica a ensambles
relativamente pequeños que podrían en sí mismos ser considerados como componentes
genéricos (por ejemplo, un amplificador electrónico, un motor eléctrico, una válvula mecánica).
Sin embargo, es más usual desarrollar un AMFE específico para proyectos y considerar las
consecuencias particulares de falla del sistema. Podría ser necesario categorizar los efectos de
las fallas en el sistema de acuerdo con las consecuencias de estas fallas, por ejemplo,
protección en caso de falla, falla reparable, falla no reparable, misión degradada, misión fallida,
efectos sobre los individuos, grupos o la sociedad en general.
La necesidad de relacionar un AMFE con la consecuencia final de la falla del sistema

dependerá del proyecto y de la relación entre el AMFE y otras formas de análisis, tales como
árboles de fallas, gráficos de Markov, redes de Petri, etc.
27
7. APLICACIONES
7.1 USO DEL AMFE/AMFEC
El AMFE es un método que está adaptado principalmente al estudio de fallas de equipos y

material, y que se puede aplicar a categorías de sistemas basadas en diferentes tecnologías
(eléctrica, mecánica, hidráulica, etc) y combinaciones de tecnologías, o puede ser específico a
piezas particulares de equipos, a sistemas o a proyectos en conjunto.
El AMFE también debería incluir considerar el desempeño del software y de las personas,
cuando son pertinentes para la seguridad de funcionamiento del sistema. Un AMFE puede ser
un estudio para uso general acerca de diferentes procesos (médico, de laboratorio, fabricación,
desarrollo, educativo, etc.), cuando habitualmente asume el nombre del AMFE o AMFEC del
proceso. Cuando se lleva a cabo un AMFE del proceso, siempre se hace en relación con la
meta final del proceso o el objetivo de un proceso, y luego considera cada paso dentro de ese
proceso como un potencial para producir un resultado desfavorable de los otros pasos en el
proceso o de la meta final del proceso.
7.1.1 Aplicación dentro de un proyecto
Un usuario debería determinar cómo y para qué propósitos se usa el AMFE dentro de su propia
disciplina técnica. Se puede usar solo o para complementar y apoyar otros métodos de análisis
de confiabilidad. Los requisitos para el AMFE se originan en la necesidad de comprender el
comportamiento del hardware y sus implicaciones para la operación del sistema o equipo. La
necesidad del AMFE puede variar ampliamente de un proyecto a otro.
El AMFE apoya el concepto de revisión del diseño y se debería implementar lo antes posible en
el período de diseño del sistema y subsistema. El AMFE es aplicable a todos los niveles de
diseño del sistema pero es más apropiado para los niveles inferiores en donde hay
involucrados grandes números de ítemes y/o existe complejidad funcional. Es esencial que el
personal que lleva a cabo el AMFE reciba entrenamiento especial y deben estar en estrecha
colaboración con los diseñadores e ingenieros de sistemas. El AMFE se debería actualizar a
medida que el proyecto avanza y que los diseños son modificados. Al finalizar el proyecto, el
AMFE se usa para verificar el diseño y puede ser esencial para la demostración de
conformidad de un sistema diseñado, con las normas y reglamentaciones requeridas, y con los
requisitos del usuario.
La información del AMFE identifica prioridades para el control estadístico de procesos,

muestreo y ensayos de inspección durante la fabricación e instalación y para ensayos de
calificación, aprobación, aceptación y arranque. Brinda información esencial para los
procedimientos de diagnóstico y mantenimiento para inclusión en manuales.
Al decidir sobre la extensión y la forma en que se debería aplicar el AMFE a un ítem o a un

diseño, es importante considerar los propósitos específicos para los cuales son necesarios los
resultados del AMFE, la sincronización en el tiempo con otras actividades, y la importancia de
establecer un grado predeterminado de conciencia y control sobre modos de falla y efectos no
deseados. Esto conduce a la planificación del AMFE en términos cualitativos a niveles
especificados (sistema, subsistema, componente, ítem) para relacionarlos con el proceso
iterativo de diseño y desarrollo.
Para asegurar que es eficaz, el lugar del AMFE se debería establecer claramente en el
programa de seguridad de funcionamiento, junto con el tiempo, la fuerza laboral y otros
recursos necesarios para hacerlo eficaz. Es vital que el AMFE no se abrevie para ahorrar
tiempo y dinero. Si el tiempo y dinero son escasos, el AMFE se debería concentrar en las
28
partes del diseño que son nuevas o se usan en formas nuevas. El AMFE puede estar dirigido
económicamente a las áreas identificadas como cruciales por otros métodos de análisis.
7.1.2 Aplicación con un proceso
Cuando se elabora para un proceso, el desempeño del AMFEP requiere lo siguiente:
a) Una definición clara de la meta del proceso. Cuando un proceso es complejo, la meta
del proceso se puede detallar hasta la meta global, o el producto del proceso, la meta
o producto de un conjunto de secuencias o pasos de procesos, y el producto de los
pasos de un proceso individual.
b) La comprensión de los pasos individuales del proceso.
c) La comprensión de los defectos potenciales en cada paso del proceso.
d) La comprensión del efecto que cada defecto individual (falla potencial) puede tener en
el producto del proceso.
e) La comprensión de las causas potenciales de cada uno de los defectos o

fallas/defectos potenciales del proceso.
Si un proceso tiene más de un producto, entonces se puede analizar con el producto específico
en mente; es decir, un AMFEP se hace para productos individuales. El proceso también se
puede analizar en términos de sus pasos y los resultados desfavorables potenciales, que
darían como resultado un AMFEP generalizado para el proceso, independientemente de los
tipos de productos individuales.
7.2 BENEFICIOS DEL AMFE
Algunas aplicaciones y beneficios detallados del AMFE son los siguientes:
a) Evitar costosas modificaciones mediante la identificación temprana de deficiencias en el

diseño.
b) Identificar fallas que cuando ocurren solas o en combinación, tienen efectos

inaceptables o significativos, y determinar los modos de falla que pueden afectar
seriamente la operación esperada o requerida.
NOTA 1 Estos efectos pueden incluir las fallas secundarias.
c) Determinar la necesidad de métodos de diseño para la mejora de la confiabilidad

(redundancia, esfuerzos operacionales, protección en caso de falla, selección de
componentes y desclasificación, etc.)
d) Suministrar el modelo lógico requerido para evaluar la probabilidad o tasa de ocurrencia

de condiciones de operación anómalas del sistema en la preparación para análisis de
criticidad.
e) Revelar las áreas con problemas de responsabilidad civil por los productos y seguridad,
o no conformidad con requisitos regulatorios.
NOTA 2 Con frecuencia se requerirán estudios separados para seguridad, pero es inevitable que haya
coincidencia parcial, y por tanto se recomienda enfáticamente cooperación.
29
f) Asegurar que el desarrollo del programa de ensayo puede detectar modos de falla
potencial.
g) Enfocarse en áreas clave en las cuales concentrar el control de calidad y los controles
de procesos de inspección y fabricación.
h) Ayudar a definir diversos aspectos de la estrategia y programa general de

mantenimiento preventivo.
i) Facilitar o apoyar la determinación de los criterios de ensayo, los planes de ensayo y

los procedimientos de diagnóstico, por ejemplo, la determinación del desempeño y los
ensayos de confiabilidad.
j) Apoyar el diseño de secuencias de aislamiento de fallas y apoyar la planificación de

modos alternativos de operación y reconfiguración.
k) Brindar a los diseñadores entendimiento de los factores que influyen en la confiabilidad

del sistema.
l) Suministrar un documento final que sea prueba del hecho (y el grado) de que se ha
tenido cuidado para asegurar que el diseño cumplirá su especificación en servicio.
(Esto es especialmente importante en el caso de la confiabilidad del producto).
7.3 LIMITACIONES Y DEFICIENCIAS DEL AMFE
El AMFE es extremadamente eficiente cuando se aplica al análisis de elementos que causan

una falla en todo el sistema o en una función importante del sistema. Sin embargo, el AMFE
puede ser difícil y tedioso para el caso de sistemas complejos que tienen múltiples funciones
que involucran diferentes conjuntos de componentes del sistema. Esto se debe a la cantidad de
información detallada del sistema que necesita considerarse. Esta dificultad se puede
incrementar por la existencia de otros modos de operación posibles, al igual que al considerar
las políticas de reparación y mantenimiento.
El AMFE puede ser un proceso tedioso e ineficiente a menos que se aplique juiciosamente. Los
usos que se van a dar posteriormente a los resultados se deberían definir, y el AMFE no se
debería incluir indiscriminadamente en las especificaciones de los requisitos.
Cuando el AMFE intenta cubrir varios niveles en una estructura jerárquica, pueden ocurrir
complicaciones, malos entendidos y errores, si se aplica redundancia en el diseño del sistema.
Cualquier relación entre individuos o grupos de modos de falla o causas de modos de falla no se
puede presentar eficazmente en el AMFE, ya que la hipótesis principal de este análisis es la
independencia de los modos de falla. Esta deficiencia se hace aún más pronunciada al considerar
las interacciones software/hardware, en donde no se aplica la hipótesis de independencia. El
mismo tipo de dificultad se puede encontrar cuando se adicionan las interacciones humanas con el
hardware y se modelan sus interdependencias. La hipótesis de independencia puede hacer difícil
de ver un modo de falla que puede tener consecuencias drásticas cuando es el resultado de otro
modo de falla, mientras que cada uno de ellos por separado podría tener una baja probabilidad de
ocurrencia. Los escenarios de interrelación se modelan mucho mejor usando el análisis de modo
de fallas con la herramienta del Árbol de Análisis de Fallas AAF (IEC 60300-3-1, edición 2).
Por tanto, es preferible que un AMFE se limite a relacionar solamente dos niveles en la
estructura jerárquica. Por ejemplo, una tarea relativamente simple es identificar los modos de
falla de elementos y determinar sus efectos en el ensamble. Estos efectos entonces llegan a
30
ser los modos de falla en el nivel superior siguiente. Sin embargo, con frecuencia se llevan a
cabo AMFE multinivel exitosos.
Una deficiencia adicional del AMFE es su incapacidad para brindar una medición de la
confiabilidad total del sistema y por la misma razón no puede brindar ninguna medida de las
mejoras de diseño.
7.4 RELACIONES CON OTROS MÉTODOS
El AMFE (o AMFEC) se puede usar solo. Como método de análisis inductivo sistemático, el
AMFE se usa con más frecuencia para complementar otros enfoques, especialmente los
deductivos, tales como el AAF. En la etapa de diseño, con frecuencia es difícil decidir si el
dominante es el enfoque inductivo o el deductivo, ya que ambos se combinan en procesos de
pensamiento y análisis. En donde se identifican niveles de riesgo en instalaciones y sistemas
industriales, se prefiere el enfoque deductivo, pero el AMFE sigue siendo una herramienta de
diseño útil. Sin embargo, se debería complementar con otros métodos. Este es el caso
particularmente cuando es necesario identificar problemas y encontrar soluciones en
situaciones en las que es necesario estudiar múltiples fallas y elementos secuenciales. El
método usado primero dependerá del programa del proyecto.
Durante las primeras etapas de diseño, en donde sólo se han definido las funciones, la
estructura general del sistema y los subsistemas, el desempeño exitoso del sistema se puede
describir mediante un diagrama de bloques de confiabilidad, o mediante una trayectoria de
fallas, con un árbol de fallas. Sin embargo, para ayudar a dibujar estos diagramas del sistema,
se debería aplicar a los subsistemas un proceso inductivo de AMFE antes de diseñarlos. Bajo
estas circunstancias, el método de AMFE no puede ser un procedimiento amplio sino un
proceso de pensamiento no expresado fácilmente en forma tabular rígida. En general, cuando
se analiza un sistema complejo que involucra varias funciones, numerosos ítemes e
interrelaciones entre estos, el AMFE demuestra ser esencial pero no suficiente.
El análisis de árbol de fallas (AAF) es un método deductivo complementario para el análisis de

los modos de falla y sus respectivas causas. Rastrea las causas de bajo nivel de una falla de
alto nivel postulada. Aunque el análisis lógico puede ser usado, y algunas veces lo es, para
análisis puramente cualitativo de secuencias de falla, usualmente es un precursor para estimar
la frecuencia de la falla de alto nivel postulada. El AAF está en capacidad de modelar la
interdependencia de diversos modos de falla, en donde esta interacción puede dar como
resultado un evento de proporciones considerables, y quizás de alta severidad. Es
especialmente importante en donde ocurre primero un modo de falla podría inducir la
ocurrencia de otro con probabilidad y severidad altas. Este escenario no se puede modelar
exitosamente con un AMFE, en donde cada modo de falla se considera en forma independiente
e individual. Una de las deficiencias de un AMFE es su incapacidad para considerar la
interacción y dinámica de la ocurrencia de modos de falla en un sistema.
El AAF se concentra en la lógica de eventos coincidentes (o secuenciales) y alternativos que

causan consecuencias indeseables. Puede producir un modelo correcto del sistema que se
analiza, al igual que un estimado de su confiabilidad (o probabilidad de falla), y también puede
evaluar la influencia de las mejoras de diseño y la mitigación de modos de falla en la
confiabilidad del sistema general, lo cual puede ser ventajoso. El formato de AMFE puede ser
más descriptivo. Ambos métodos tienen sus usos en un análisis completo de la seguridad y
seguridad de funcionamiento en un sistema complejo. Sin embargo, si el sistema está basado
principalmente en series lógicas, con pocas redundancias y pocas funciones, entonces el AAF
es una forma innecesariamente complicada de presentar la lógica e identificar los modos de
falla. En estos casos, el AMFE y los diagramas de bloque de confiabilidad son suficientes. En
31
otros casos en donde se prefiere el AAF, es necesario mejorarlo con descripciones de modos
de falla y efectos.
La principal consideración al seleccionar el método de análisis debería depender de los

requisitos particulares del proyecto, no solamente en relación con los requisitos técnicos, sino
también la escala de tiempo, el costo, la eficiencia y uso de los resultados. Las directrices
generales son las siguientes:
a) El AMFE es apropiado cuando se requiere un conocimiento amplio de las características

de falla de un ítem.
b) El AMFE es más apropiado para sistemas, módulos o ensambles pequeños.
c) El AMFE es una herramienta esencial en la etapa de investigación y desarrollo o diseño,

cuando es necesario identificar inaceptables efectos de falla, y encontrar sus soluciones.
d) El AMFE puede ser necesario para ítemes cuyo diseño es innovador y sus
características de falla no se pueden conocer por la experiencia operacional previa.
e) El AMFE es usualmente más aplicable a sistemas que tienen un gran número de

componentes por considerar, que están relacionados por una lógica de fallas
predominantemente en serie.
f) El AAF es generalmente más adecuado para el análisis de modos de falla múltiples y

dependencia que involucran redundancia y una lógica de fallas complejas. El AAF se
puede usar a niveles más altos de la estructura del sistema al inicio de la etapa de
diseño y puede ayudar a identificar la necesidad de un AMFE detallado a niveles más
bajos durante el diseño detallado.
32
ANEXO A
(Informativo)
RESUMEN DE PROCEDIMIENTOS PARA AMFE Y AMFEC
A.1 PASOS PARA LA REALIZACIÓN DEL ANÁLISIS
Los pasos del procedimiento necesarios para llevar a cabo un análisis son:
a) Decidir si se requiere un AMFE o un AMFEC.
b) Definir los límites del sistema para análisis.
c) Comprender los requisitos y función del sistema.
d) Definir los criterios de falla/éxito.
e) Determinar los modos de falla de cada ítem, sus efectos de falla y registrarlos.
f) Resumir cada efecto de falla.
g) Reportar los hallazgos.
Los pasos adicionales por tomar para el AMFEC son:
h) Determinar las clases de severidad de falla del sistema.
i) Establecer la severidad del modo de falla del ítem.
j) Determinar el modo de falla del ítem y las frecuencias de los efectos.
k) Determinar las frecuencias del modo de falla.
l) Trazar una matriz de criticidad para los modos de falla del ítem.
m) Hacer un resumen sobre la criticidad de los efectos de falla de la matriz de criticidad.
n) Trazar la matriz de criticidad para los efectos de falla del sistema.
o) Reportar los hallazgos en todos los niveles de análisis.

NOTA La cuantificación del modo de falla y las frecuencias de los efectos se puede llevar a cabo en un AMFE
mediante la realización de los pasos h), i) y j) al final del AMFE.
A.2 HOJA DE TRABAJO DE AMFE
A.2.1 Alcance de una hoja de trabajo
La hoja de trabajo de AMFE captura los detalles del análisis en forma tabular. Aunque el
procedimiento general de AMFE es un patrón, el diseño de una hoja de trabajo particular se
puede adaptar a los requisitos de la aplicación y del proyecto.
La Figura A.1 es un ejemplo de un formato de hoja de trabajo de AMFE.

33
A.2.2 Encabezado de la hoja de trabajo
La parte del encabezado del formato incluye la siguiente información:
- El sistema, como un ítem final, identifica el ítem para el cual se identifican los efectos
finales. Este identificador debería ser consistente con la terminología usada en los
diagramas de bloque, esquemas u otros dibujos.
- El modo de operación asumido para el análisis.
- Item hace referencia al ítem (módulo, componente o parte) que se analiza en esta hoja
de trabajo.
- Nivel de actualización, fecha y nombre del analista que coordina la labor de AMFE, al
igual que los nombres de los miembros del equipo principal que brindaron información
adicional para propósitos de control de documentos.
A.2.3 Entradas de la hoja de trabajo
Las entradas para “referencia del ítem” y “descripción y función del ítem” tienen como fin
identificar el tema del análisis. La referencia debería ser apropiada para el diagrama de bloques
u otros documentos de apoyo. Se escribe una breve descripción del ítem y su función.
La forma en la que el ítem podría fallar se escribe en el encabezado “modo de falla”. El numeral 5.2.3
suministra orientación para identificar los modos de falla potenciales. Ingresar un identificador único
(“código de modo de falla”) para cada modo de falla de un ítem único facilitará elaborar un resumen
de los resultados del análisis.
Las causas más probables del modo de falla se enumeran bajo el encabezado “posibles
causas de falla”.
Bajo el encabezado “efecto local” se escribe una descripción concisa de los efectos del modo
de falla sobre el ítem que es analizado. En la columna “efecto final” se ingresa información
adicional para indicar los efectos del modo de falla en el ítem final. Para algunos análisis de
AMFE es recomendable evaluar el efecto de falla a un nivel intermedio. En este caso, el efecto
en el “siguiente ensamble más alto” se escribe en una columna adicional. La identificación de
los efectos de modos de falla se trata en el numeral 5.2.5.
Una breve descripción de cómo se detecta el modo de falla se indica en la columna “método
de detección”. El método de detección se puede llevar a cabo automáticamente mediante una
característica de diseño "equipo de prueba integrado", o puede requerir procedimientos de
diagnóstico por el personal de operación o de mantenimiento. Es importante identificar el
método de detección de manera que el analista pueda asegurar que ocurrirá la acción
correctiva.
Las características de diseño que mitigan el modo de falla particular, tales como la
redundancia, se deben incluir bajo “medidas de compensación contra fallas”. La compensación
que brindan acciones específicas de mantenimiento o del operador también se debe incluir
aquí.
La “clase de severidad” identifica el nivel de severidad como lo determinan los analistas del
AMFE.
34
“La frecuencia o probabilidad de aparición” identifica la tasa de ocurrencia del modo de falla
particular. La escala de frecuencia se ajusta a la aplicación (por ejemplo, fallas por millón de
horas, fallas por distancia recorrida, es decir, 1 000 km, etc.).
Bajo la entrada “Observaciones” se escriben las observaciones y recomendaciones de los

analistas, como se describe en el numeral 5.3.4.
A.2.4 Observaciones de la hoja de trabajo
La última entrada de la hoja de trabajo debería incluir observaciones pertinentes para aclarar
otras entradas. Las posibles acciones futuras, tales como recomendaciones para las mejoras
en el diseño se pueden registrar y luego ampliar en el informe. Esta columna también puede
incluir lo siguiente:
a) Cualquier condición inusual.
b) Efectos de las fallas de elementos redundantes.
c) Reconocimiento de características de diseño especialmente críticas.
d) Cualquier observación para ampliar la entrada.
e) Referencias a otras entradas para análisis de fallas secuenciales.
f) Requisitos de mantenimiento significativos
g) Causas de fallas dominantes
h) Efectos de fallas dominantes
i) Decisiones tomadas, por ejemplo, en la revisión del diseño.
35
AMFE
Ítem final: Ítem: Elaborado por:

Período de operación: Actualización: Fecha:
Causas Medida de Frecuencia o
Descripción y Modo de Código modo de Efecto Efecto Método de Clase de Observa
Ítem ref. posibles compensación probabilidad
función del ítem falla falla local final detección severidad ciones
de fallas Contra fallas de ocurrencia
Figura A.1. Ejemplo del formato de una hoja de trabajo de AMFE
36
ANEXO B
(Informativo)
EJEMPLOS DE ANÁLISIS
B.1 EJEMPLO 1. AMFEC para una parte de la electrónica automotriz con cálculo de NPR
En la Figura B.1 se presenta una pequeña parte de un AMFEC extenso realizado para un
producto automotor. El ensamble analizado es el suministro de potencia y sólo sus conexiones
a la línea de batería.
La línea de la batería tiene un diodo D1 y un condensador C9 que conecta el lado positivo de la

batería a tierra. Este diodo tiene polaridad inversa, de manera que si se conecta el lado
negativo de la batería al ítem, esta tensión negativa haría cortocircuito a tierra, protegiendo al
ítem contra daño. El condensador es para el filtrado de la IEM. Si cualquiera de estas partes
debiera hacer cortocircuito a tierra, la batería también haría corto a tierra, lo que conduciría al
escape de líquido de la batería del vehículo. Ciertamente esta falla no tiene advertencia, y una
falla “camino a casa” en la industria automotriz se considera peligrosa. Por tanto, para los
modos de falla del “corto” de ambas partes, el rango S es 10. Las ocurrencias se calcularon de
las tasas de falla de las partes bajo sus esfuerzos respectivos para la vida del vehículo, y luego
se acoplaron a la escala O del AMFE automotriz. La detección es muy baja, ya que el corto de
cualquiera de las partes se notaría de inmediato en el ensayo; el ítem no es operacional.
La apertura de cualquiera de las partes anteriores no causaría daño al ítem, excepto si el diodo
se abre, entonces no habría protección inversa de la batería, mientras que con el condensador
abierto no habría filtrado de IEM, y habría posible ruido para otros equipos en el vehículo.
Hay una bobina, la L1, entre la batería y el circuito primario del ítem principalmente para
filtrado. Si la bobina se abre, el ítem no sería operacional ya que la batería estaría
desconectada y no se iluminaría la pantalla de advertencia. Las bobinas tienen una tasa de
falla muy baja, de manera que la ocurrencia es 2.
La resistencia R9 porta la tensión de la batería a los transistores de conmutación; si se abren

por falla, dejarían el ítem inoperable, lo que también daría una severidad de 9. Ya que las
resistencias tienen una tasa de falla muy baja, la ocurrencia es 2. La detección es 1, ya que el
ítem no sería operacional.
37
Acción Resultados
Responsabilidad y plazo
Modo de falla potencial
Recomendaciones
Causa
DETECCiÓN
Detalle
Ocurrencia
Poten Prevención
causas/ Detección
Ítem/función Efecto(s) potencial(es) cial controles de
NPR
Mecanis controles de
de la falla /meca diseño
Acciones tomadas
mo diseño actuales
OCURRENCIA
nismos actuales
DETECCIÓN
SEVERIDAD
(s) de falla
de falla
SEVERIDAD
CLASE
NPR
Componente
Subsistema
Efecto local
Efecto final
Ensamble
Suministro de
potencia
V1
D1 Corto Tensión de Fuga del 10 Defecto Falla del 3 Selección de Evaluación y 1 30
batería + cortos líquido de la inheren material mayor calidad confiabilidad.
a tierra - batería, te del y clasificación Ensayo de
"camino a compo validación
casa" nente
D1 Abierto No hay No es notorio 2 Defecto Connexión 3 Selección de Evaluación y 2 12
protección inheren equipoten mayor calidad confiabilidad.
contra tensión te del cial o y clasificación Ensayo de
inversa compo Semicondu validación
nente ctor.o grieta
C9 Corto Tensión de Fuga del 10 Defecto Falla 3 Selección de Evaluación y 1 30
batería + cortos líquido de la inheren dieléctrica o mayor calidad confiabilidad.
a tierra batería, te del grieta y clasificación Ensayo de
"Camino a compo validación
casa" nente
C9 Abierto No hay filtrado Operación del 2 Defecto Abertura 2 Selección de Evaluación y 1 4
de IEM ítem fuera de inheren del mayor calidad confiabilidad.
especificación te del dieléctrico, y clasificación Ensayo de
compo fuga, vacío validación
nente o grieta
L1 Abierto No hay V1 Ítem 9 Defecto Falla del 2 Selección de Evaluación y 1 18
inoperable, no inheren material mayor calidad confiabilidad.
se visualiza te del y clasificación Ensayo de
advertencia compo validación
nente
R91 Abierto No hay tensión Ítem 9 Defecto Connexión 2 Selección de Evaluación y 1 18
para el circuito inoperable, no inheren equipoten mayor calidad confiabilidad.
de conmuta se visualiza te del cial o grieta y clasificación Ensayo de
ción ítem advertencia compo en el validación
nente material
Figura B.1. AMFE para una parte de electrónica automotriz con cálculo de NPR
38
B.2 EJEMPLO 2 AMFE para el subsistema de un conjunto motor-generador
Este ejemplo ilustra la aplicación de la técnica de AMFE a un sistema de motor-generador (M –

G). El objetivo del estudio se limitó a ese sistema solamente y no a los efectos de la falla sobre
cualquiera de las cargas alimentadas con potencia eléctrica del conjunto M-G o cualquier otro
efecto externo de las fallas. Por tanto, define los límites del análisis. El ejemplo, mostrado sólo
parcialmente, ilustra cómo se representó el sistema en una forma de diagrama de bloques
jerárquico. La subdivisión inicial identificó cinco subsistemas (véase la Figura B.2) y uno de
estos, el sistema de calefacción, enfriamiento y ventilación del cerramiento, se desarrolló por
medio de niveles más bajos de la estructura jerárquica hasta el nivel de componentes, en el
cual se decidió dar inicio al AMFE (véase la Figura B.3). Los diagramas de bloque también
muestran el sistema de numeración adoptado que se usó como una referencia cruzada con las
hojas de trabajo de AMFE.
Un ejemplo de una hoja de trabajo se ilustra para uno de los subsistemas del conjunto M-G
(véase la Figura B.4), que generalmente cumple con el formato recomendado en esta norma.
Un prerrequisito esencial para este AMFE es la definición y clasificación de la severidad de los

efectos de las fallas en todo el sistema de MG completo. Para la aplicación particular del
sistema ejemplo, estas se definieron en la Tabla B.1.
Tabla B.1. Definición y clasificación de la severidad de los efectos de las fallas en el sistema MG completo
Nivel Severidad Descripción

5 Catastrófica Falla en generar potencia para el resto de la misión.
4 Crítica Degradación del sistema para el resto de la misión
3 Mayor Pérdida de generación de potencia debido a una interrupción
forzada hasta su reparación
2 Menor Degradación temporal del sistema hasta que sea conveniente
repararlo.
1 Insignificante No hay pérdida ni degradación significativa en la capacidad de
generación.
Conjunto
motor-generador
10 20 30 40 50
Sistema de
Estructura de calefacción, ventilación Máquina de c.c Máquina de c.a
Instrumentación
la máquina y enfriamiento del (control AVFR) (control AVFR)
cerramiento
Figura B.2. Diagrama de subsistemas de un conjunto motor-generador
39
20
Sistema de
calefacción, ventilación
y enfriamiento del
cerramiento
20.1 20.2 20.3 20.4

Puertas de
Sistema de ventilación enfriamiento de Sistema de drenaje
Sistema calefactor de agua-enfriamiento/
y enfriamiento emergencia
(entrada/salida) condensado
20.2.1 20.2.2 20.4.1 20.4.2
Tubos de drenaje
Intercambiador de Tubos de drenaje de
Ventiladores condensado
calor aire/agua fuga/condensado
(diámetro pequeño)
20.1.1 20.1.2 20.2.3
Caja de terminales
Filtros de aire de
Calefactores del calefactor,
espuma plástica
terminales/cables
20.4.3 20.4.4 20.4.5 20.4.6
Tubos de drenaje de
Cámara de deteción Área de recolección
fugas de la cámara de Sumidero
de fugas de fugas
detección de fugas
Figura B.3. Diagrama de sistemas de enfriamiento, ventilación y calefacción
40
Nivel de severidad de la tasa

Ref. Método de detección Redundancia
Componente Función Modo de falla Efecto de falla de modo de falla Observaciones
o síntoma suministrada
F/Mhr
1 2 3 4 5
20.1 Sistema calefactor (12 apagado Todas NOTA La máquina se

– 6 apagado) puede sobrecalentar si los
calefactores no se apagan
(en uso solamente cuando la automáticamente cuando
máquina no está operacional) están en funcionamiento
20 1.1 Calefactores Calentar el a) o/c, calefactor Calentamiento a) Indicación de Todos en paralelo, 1,2
cerramiento quemado reducido temperatura < 5 sobre no hay redundancia
el ambiente
b) s/c o falla a Pérdida de toda la b) Alimentación, fusible 0,3 Una falla a tierra no
tierra debido a calefacción – o interruptor debería hacer fallar el
falla del posible automático sistema
aislamiento condensación monitoreados
20.1.2 Caja de terminales del Conectar la a) el terminal o Pérdida o a) Indicación de 0,5

calefactor, terminales, cable alimentación a cable de o/c reducción de temperatura. < 5 sobre
los calefactores puede hacer calefacción – el ambiente
fallar uno, tres, posible
seis o todos los condensación Alimentación
calefactores monitoreada
b) terminales de Pérdida de toda la insignifi

s/c (formación calefacción – cante
de caminos condensación
conductores)
Totales 2,0
Figura B.4. AMFE para el subsistema 20
41
B.3 EJEMPLO 3 AMFEC PARA UN PROCESO DE FABRICACIÓN
Un AMFEC de fabricación o de un proceso considera cada uno de los procesos involucrados

en la fabricación del ítem al que se hace referencia. Considera lo que podría salir mal, qué
protecciones existen contra esta falla, con qué frecuencia podrían ocurrir, y cómo se podrían
eliminar mediante el rediseño del ítem o el proceso. El objetivo es concentrar la atención en los
problemas posibles (o conocidos) al sostener o lograr la calidad de salida requerida. Se
recomienda a los ensambladores de bienes complejos tales como vehículos a motor, insistir en
que los proveedores de componentes lleven a cabo estos análisis, pero los fabricantes de
componentes son usualmente los beneficiarios principales. Este ejercicio conlleva un re-
examen de la metodología establecida en la fabricación y rara vez deja de conducir a mejoras
en costos.
El formato es básicamente similar al de un AMFEC de producto, pero implica algunos cambios

mediante requisitos ligeramente diferentes (véase la Figura B.5). La métrica de la criticidad es
el número de prioridad de acción (NPA) pero en esencia es equivalente al número de prioridad
de riesgo (NPR) ya discutido. El AMFEC del proceso examina cómo pueden surgir defectos y
productos defectuosos y llegar a los clientes, o encontrarse mediante procedimientos de
control de calidad. No examina cómo el producto puede fallar en servicio debido a desgaste u
operación inapropiada. Inevitablemente hay algunas coincidencias parciales porque algunos
defectos afectan la durabilidad de los componentes en servicio, mientras que otros causan
falla inmediata o temprana.
42
Condiciones Condiciones revisadas

existentes
Ref. Proceso Modo de falla Efecto Efecto potencial V Causa potencial Controles
sobre existentes
Ocurrencia
Ocurrencia
Severidad
Severidad
Detección
Detección
NPR
NPA
Acción
Acción recomendada
tomada
01-01-01 Insertos Tamaño incorrecto o i)a Insertos sin carga sobre la matriz. Manufactura o control Planes de muestreo 1 9 9 81 Revisión de los planes de
ángulos de doblado Productividad reducida. de calidad deficiente del productor y de muestreo. Separación del
del hombro aceptación material defectuoso del
02 i)b Inserto desalineado. material bueno. Entrenamiento
03 i)a Espesor incorrecto del reborde del a los ensambladores.
inserto.
04 iv)b Desempeño reducido.
05 iv)c Vida reducida.
01-02-01 Insertos Revestimiento de ii)a Corrosión. Rechazado en la etapa Inspección visual 5 6 1 30 Incluir instrucciones en la
níquel deficiente de acabado durante el plan de inspección de muestreo para
muestreo de llevar a cabo la verificación
aceptación visual de un revestimiento
correcto.
01-03-01 Insertos Muescas i)a Flujo de metal deficiente. Espesor Manufactura o control Inspección visual 2 8 6 96 Incluir instrucciones en la
inadecuadas de la incorrecto de la pared. Desperdicio de calidad deficiente durante el plan de inspección de muestreo
superficie muestreo de para llevar a cabo la
02 ii)a Paredes delgadas encontradas aceptación verificación visual de un
durante el maquinado. revestimiento correcto.
Desperdicio
03 iv)a Vida reducida

Código de efecto: Código de criticidad:
Efecto sobre el proceso de fundición: Ocurrencia: probabilidad de aparición x 10
Efecto sobre el procedimiento de terminado Severidad: severidad del efecto en una escala de 1-10
Efecto sobre el ensamblador Detección: probabilidad de no detectar antes de que llegue al cliente x 10
Efecto sobre el usuario final NPA: Número de prioridad de la acción: ocurrencia. x severidad x detección.
Figura B.5. Parte de un AMFEC de un proceso para una fundición de aluminio maquinada
43
BIBLIOGRAFÍA
1) BS 5760-5: 1991, Reliability of Systems, Equipment and Components. Part 5: Guide to

Failure Modes, Effects and Criticality Analysis (FMEA and FMECA).
2) SAE J1739:2000, Potential Failure Mode and Effects Analysis in Design (Design FMEA)
and Potential Failure Mode and Effects Analysis in Manufacturing and Assembly
Processes (Process FMEA), and Potential Failure Mode and Effects Analysis for
Machinery.
3) SAE ARP5580: 2001, Failure Modes, Effects, and Criticality Analysis Procedures.
4) AIAG, Potential Failure Mode and Effects Analysis, Third Edition, 2001.
5) M. Krasich, Fault Tree Analysis for Failure Modes Identification and Product Reliability
Improvement, Tutorial Presented at the Reliability and Maintainability Symposium;
Tutorial Proceedings of 2002, 2003, and 2005.
6) J. Bowles, An Assessment of RPN Priorization in a Failure Modes Effects and Criticality

Analysis, Technical Paper Presented at the Reliability and Maintainability Symposium,
2003.
7) IEC 60050 (191): 1990, International Electrotechnical Vocabulary (IEC). Chapter 191:
Dependability and Quality of Service.
8) IEC 60300-1, Dependability Management. Part 1: Dependability Management Systems.
9) IEC 60300-2 Dependability Management. Part 2: Guidelines for Dependability

Management.
10) IEC 60300-3-9, Dependability Management. Part 3: Application Guide. Section 9: Risk
Analysis of Technological Systems.
11) IEC 61160, Formal Design Review.
12) IEC 61165, Application of Markov Techniques.
13) IEC 60300-3-11, Dependability Management. Part 3-11: Application Guide. Reliability
Centred Maintenance
14) NTC-ISO 9000:2005, Sistema de gestión de la calidad. Fundamentos y vocabulario.
44
DOCUMENTO DE REFERENCIA
INTERNATIONAL ELECTROTECHNICAL COMMISSION. Analysis Techniques for System

Reliability. Procedure for Failure Mode and Effects Analysis (FMEA). Geneve, ISO: 2006. 93 p.
(lEC 60812).
45

NTC Iec60812

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

NTC Iec60812

Cargado por

Copyright:

Formatos disponibles

NORMA TÉCNICA NTC-IEC

E: MANAGEMENT SYSTEMS. ANALYSIS TECHNIQUES FOR

CORRESPONDENCIA: esta norma es una adopción idéntica

DESCRIPTORES: análisis estadístico; evaluación;

I.C.S.: 03.120.01; 03.120.30; 03.100.01

Editada por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC)

Prohibida su reproducción Editada 2007-08-03

El Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, es el organismo

La representación de todos los sectores involucrados en el proceso de Normalización Técnica

La NTC-IEC 60812 fue ratificada por el Consejo Directivo de 2007-07-25.

A continuación se relacionan las empresas que colaboraron en el estudio de esta norma a

ACCIÓN SOCIAL PRESIDENCIA DE LA ENLACE CONSULTORES LTDA.

Además de las anteriores, en Consulta Pública el Proyecto se puso a consideración de las

ACUAVIVA S.A. ESP APLICACIONES EN SALUD LTDA.

2. REFERENCIAS NORMATIVAS ...................................................................................1

3. TÉRMINOS Y DEFINICIONES .....................................................................................2

4.1 INTRODUCCIÓN ..........................................................................................................3

4.2 PROPÓSITO Y OBJETIVOS DEL ANÁLISIS..............................................................4

5. ANÁLISIS DE MODOS DE FALLA Y EFECTOS ........................................................5

5.1 CONSIDERACIONES GENERALES ...........................................................................5

5.2 TAREAS PRELIMINARES ...........................................................................................6

5.3 ANÁLISIS DE MODOS DE FALLA, EFECTOS Y CRITICIDAD (AMFEC)................17

5.4 INFORME DE ANÁLISIS............................................................................................25

6. OTRAS CONSIDERACIONES ...................................................................................26

6.1 FALLAS DE CAUSA COMÚN ...................................................................................26

6.2 FACTORES HUMANOS.............................................................................................27

6.3 ERRORES DE SOFTWARE.......................................................................................27

6.4 AMFE ACERCA DE LAS CONSECUENCIAS DE LA FALLA DEL SISTEMA .........27

7.1 USO DEL AMFE/AMFEC ...........................................................................................28

7.2 BENEFICIOS DEL AMFE...........................................................................................29

7.3 LIMITACIONES Y DEFICIENCIAS DEL AMFE .........................................................30

7.4 RELACIONES CON OTROS MÉTODOS ..................................................................31

ANEXO B (Informativo) ..........................................................................................................37

Figura 2. Flujograma de análisis .........................................................................................16

Figura 3. Matriz de criticidad ...............................................................................................20

Tabla 1. Ejemplo de un conjunto de modos de falla generales .......................................11

Tabla 2. Ejemplo ilustrativo de una clasificación de severidad para los efectos

Tabla 3. Matriz de riesgo/criticidad .....................................................................................21

Tabla 4. Severidad del modo de falla..................................................................................22

Tabla 5. Aparición del modo de falla, relacionada con la frecuencia y

Tabla 6. Criterios de evaluación de detección de modos de falla ...................................23

Tabla 7. Ejemplo de un conjunto de efectos de falla (para el arranque de

Tabla 8. Ejemplo de probabilidad de efectos de falla .......................................................25

La presente norma es una adopción idéntica por traducción al castellano de la norma

La presente norma describe el Análisis de Modo de Falla y Efectos (AMFE), y el Análisis de

- La presentación de los pasos del procedimiento necesarios para llevar a cabo un

- La identificación de los términos, suposiciones, medidas de criticidad y modos de falla

- La definición de los principios básicos;

- La presentación de ejemplos de las hojas de trabajo necesarias u otras formas tabulares.

Todas las consideraciones cualitativas generales presentadas para el AMFE se aplicarán al

Los siguientes documentos normativos referenciados son indispensables para la aplicación de

Para referencias no fechadas, se aplica la última edición del documento normativo

IEC 60300-3-1:2003, Dependability Management. Part 3-1: Application Guide. Analysis

IEC 61025, Fault Tree Analysis (FTA).

Para los propósitos de este documento se aplican las siguientes definiciones:

3.4 Efecto de falla (Failure Effect). Consecuencia de un modo de falla en cuanto a la

3.5 Modo de falla. (Failure Mode). Manera en la cual un ítem falla.

3.6 Criticidad de la falla. (Failure Criticality). Combinación de la severidad de un efecto y la

3.7 Sistema (System). Conjunto de elementos mutuamente relacionados o que interactúan.

NOTA 1 En el contexto de seguridad de funcionamiento, un sistema tendrá:

a) Propósitos definidos expresados en términos de las funciones requeridas.

b) Condiciones establecidas del uso de la operación (véase 191-01-12).