Risk Software S.A. de C.V.

Introducción a los Análisis de Ar-

boles de Falla (Fault Tree
Analysis-FTA).

Preparado para: Diplomado en Análisis de Riesgos y Seguridad Funcional

Preparado por: Victor Machiavelo Salinas

Risk Software SA de CV www.risksoftware.com.mx

 Risk Software S.A. de C.V.

Introducción
El Análisis de Arboles de Falla (FTA) tiene que ver con la identificación y análisis de las condiciones y factores que causan ó
tienen el potencial de causar ó contribuir con la ocurrencia de un evento tope o máximo. Estos eventos generalmente ocurren
por la falla o degradación del desempeño de los sistemas, seguridad o bien otros atributos operacionales. En contra parte los
Análisis de Arboles de Exito (STA) describen el camino que lleva al existo a los sistemas.

Los FTA son comúnmente utilizados para realizar análisis de seguridad de los sistemas (como sistemas instrumentados de
seguridad, sistemas de transporte, plantas de energía y otros sistemas que requieren evaluar la seguridad durante su operación).
Las FTA pueden ser utilizados para realizar análisis de confiabilidad y mantenimiento. Sin embargo por simplicidad en este
estudio el termino “Confiabilidad” será utilizado para representar el desempeño de los sistemas.

El estudio considera dos acercamientos en los FTA. El primero tiene que ver con un acercamiento “Cualitativo” donde la
probabilidad de los eventos y sus factores de contribución como son - Eventos de Iniciales- no incluyen la valoración del análisis
utilizando la frecuencia de ocurrencia o la probabilidad de los eventos. Este acercamiento se enfoca en el análisis de los eventos
y fallas y es conocido como FTA Cualitativo ó tradicional. Este acercamiento es muy utilizado en la industria nuclear y en otras
instancias donde se busca entender las causas y fallas potenciales, sin que se tenga un interés particular en la posibilidad de la
ocurrencia de estas. El segundo acercamiento, el cual es adoptado por muchas aplicaciones, la seguridad funcional entre ellas,
se orienta al calculo cuantitativo de la confiabilidad de los sistemas. Dos tipos de modelos de calculo se utilizan; a) A partir de la
utilización de la frecuencia de ocurrencia de los eventos iniciales y que proporciona la frecuencia final de fallas del evento
máximo y b) La utilización de las probabilidades de los eventos iniciales, que por consecuencia nos proporciona la probabilidad
de ocurrencia del evento máximo.

Términos y Definiciones Importantes

Resultado: Resultado de una acción o de una entrada; este es la consecuencia de una causa.

Evento Maximo/Final: Resultado máximo ó ultimo de una combinación de eventos, entradas o acciones, incluyendo eventos
intermedios, básicos y de secuencia.

Evento Tope: Resultado máximo que se encuentra en la parte superior del árbol de fallas..

Compuerta (Gate): Símbolo utilizado para establecer un vinculo simbólico entre el evento máximo y sus correspondientes
eventos iniciales.

Juego de Cortes (Cut Set): Grupo de eventos que, si todos ocurren, causaran la ocurrencia del evento máximo.

Juego Mínimo de Corte (Minimal Cut Set): es el juego mínimo o mas pequeño de eventos requeridos para que suceda u
ocurra el evento máximo.

Evento: Ocurrencia de una condición ó una acción.

Análisis de Arboles de Falla-FTA 1

 Risk Software S.A. de C.V.

Evento Básico: Evento o estado que aun no se ha desarrollado.

Evento Primario: Evento que se encuentra en la parte baja del árbol de fallas.

Evento Intermedio: Evento que ni es el máximo ni el básico.

Evento No-Desarrollado: Evento que no tiene ningún evento iniciador.

Punto Singular de Falla (Single point failure) Evento: Evento de falla el cual, si es que ocurre, causara una falla en todo el
sistema o podría por si mismo ocasionar que otros eventos ó combinación de eventos generen una causa en el evento máximo.

Eventos de Causa Común (Common cause events): Diferentes eventos en el sistema o en el árbol de fallas que tiene la
misma causa de ocurrencia.

Causa Común: Causa de la ocurrencia de múltiples eventos.

Evento Repetido o Replicado: Evento en el cual es entrada de uno o mas eventos superiores.

Ejemplo de
explicación
de
términos

Análisis de Arboles de Falla-FTA 2

 Risk Software S.A. de C.V.

Descripción de la estructura de FTA

Los arboles de falla son representaciones gráficas organizadas que representan las condiciones o factores causantes o contri-
buidores a la ocurrencia de un resultado definido como evento máximo o tope. Cuando el resultado es el éxito, entonces el árbol
se convierte en árbol de excitó. La representación de un árbol de falla debe ser clara y fácil de entender, analizar y si es necesa-
rio fácil de reconfigurar para facilitar la identificación de:

✓ Factores que afecten la investigación del evento máximo y como se ha generado este.

✓ Factores que afecten las características de confiabilidad y desempeño del sistema, podemos considerar que
cuando las técnicas de FTA son usadas para el análisis de la confiabilidad es factible analizar por ejemplo; defi-
ciencias en el diseño, estrés operacional o del medio ambiente, errores de operación, fallas en el software entre
otros.

✓ Eventos que afectan la funcionalidad de mas de un componente, el cual puede cancelar los beneficios de incluir
redundancia, o pueden afectar a mas de dos componentes de forma similar, o bien afectan la independencia.

Los análisis de arboles de falla son métodos deductivos (razonamiento haca atrás ó de arriba hacia abajo) que permiten realizar
combinaciones de eventos te tal forma que se puede simular la forma en que el evento máximo se ha desarrollado, como se ha
comentado los análisis de los arboles de falla pueden ser cualitativos o cuantitativos.

En el caso que la probabilidad de ocurrencia de los eventos primarios no pueda ser estimada, un análisis cualitativo puede ser
utilizado para investigar las causas potenciales que generaron el evento máximo, aquí es factible denominar a los eventos prima-
rios en forma descriptiva, por ejemplo indicando que un evento es “poco probable”, “muy probable” o “medianamente proba-
ble”. El principal objetivo de los análisis cualitativos es la identificación del juego de corte mínimo para determinar el camino en
que el evento básico afecta al evento máximo.

Objetivos de los FTA

Los arboles de falla pueden ser utilizados de forma independiente o en conjunto con otras técnicas de confiabilidad, con el obje-
tivo de:

✓ La identificación de la causa o combinación de causas que ligan al evento máximo.

✓ La determinación del por que si, las medidas de confiabilidad de un determinado sistema cumplen con los reque-
rimientos dados.

Análisis de Arboles de Falla-FTA 3

 Risk Software S.A. de C.V.

✓ Determinar que modos ó factores que tienen una máxima contribución en el potencial de fallar y la probabilidad
de falla (no-confiabilidad) ó indisponibilidad en el caso que los sistemas sean reparables, para identificar posibles
mejoras a la confiabilidad de los sistemas.

✓ Analizar y comparar varias alternativas de diseño para mejorar la confiabilidad de un diseño.

✓ Demostrar las asunciones realizadas por otros sistemas.

✓ Identificar los potenciales modos de falla que ocasionan la inseguridad de un sistema y la evaluación de su co-
rrespondiente probabilidad de ocurrencia y la posibilidad de la mitigación de fallos.

✓ La identificación de los eventos comunes.

✓ Buscar al evento ó a la combinación de eventos que son los mas probables causantes del evento máximo.

✓ Calcular la probabilidad o la frecuencia del evento máximo.

✓ El calculo de la disponibilidad o las relaciones de falla de un sistema o sus componentes representados en el ár-
bol de fallas.

Aplicaciones

Los arboles de falla son particularmente útiles para analizar sistemas que se componen de varios elementos dependientes entre
si. Los beneficios de los FTA son particularmente importantes cuando son utilizados en las fases de diseño de un sistema ó
equipo, también los FTA son muy utilizados en diseños complejos con muchas interacciones como la identificación de los ele-
mentos mas débiles en procesos peligros como son plantas nucleares, procesos petroquímicos y la industria petrolera, sistemas
de transporte y comunicaciones.

Algunos de los usos mas recurrentes son:

✓ La determinación de las combinaciones lógicas que ligan al evento máximo así como su potencial y prioridad.

✓ La investigación de sistemas que están siendo diseñados para anticipar, prevenir y mitigar las causas potenciales
del evento indeseado.

✓ Para analizar sistemas y determinar su confiabilidad y así determinar los mayores contribuidores de la falta de
confiabilidad y analizar los cambios necesarios en el diseño.

✓ Como asistencia en los esfuerzos de incrementar la confiabilidad.

Análisis de Arboles de Falla-FTA 4

 Risk Software S.A. de C.V.

Los FTA se pueden utilizar en las fases de diseño de nuevos productos y sistemas o durante la fase de modificación o mejora de
sistemas existentes, dado que es una herramienta analítica que ayuda en la identificación de problemas, incluso cuando no se
cuenta con información clara o esta esta incompleta.

Los FTA y la combinación con otras técnicas.

Los arboles comúnmente se combinan con otras técnicas de análisis para complementar su aplicación, algunos ejemplo son:

Análisis de Arboles de Falla y Análisis de modos de falla y efectos FMEA.

Estos dos análisis frecuentemente son combinados en particular en aplicaciones de seguridad y transporte, los beneficios de
combinarlos son:

✓ Los FTA analizan como de llego al evento máximo y los FMEA analizan al evento desde sus eventos básicos, la
combinación de técnicas deductivas e inductivas facilitan el entendimiento y mejoramiento de los sistemas.

✓ Los estándares de seguridad requieren la determinación de la falla del evento inicial (FMEA) y la determinación de
la secuencia de eventos que nos lleva al evento final (FTA).

✓ Los FTA ofrecen un enfoque general del problema y sus secuencias de falla y los FMEA un enfoque particular de
la falla de los componentes.

Adicionalmente existe una consistencia entre las dos técnicas:

➡ Cualquier identificaron de una falla en FMEA tiene que ver con el evento máximo en un FTA, y esta identificación es to-
mada como un punto singular de falla.

➡ Cualquier punto singular de falla deberá ser identificado en el análisis de FMEA.

Análisis de Arboles de Falla y Análisis de Arboles de Eventos ETA.

Cualquier evento puede ser analizado utilizando FTA, sin embargo en algunos casos no resulta lo mas apropiado por varias ra-
zones:

➡ En algunos casos es mas fácil desarrollar secuencias de eventos que encontrar relaciones causales.

➡ El desarrollo del árbol de fallas puede ser muy grande.

➡ Puede ser que diferentes equipos estén trabajando con diferentes partes del análisis.

Análisis de Arboles de Falla-FTA 5

 Risk Software S.A. de C.V.

Es recomendable buscar soluciones practicas, en muchos casos no es necesario la investigación y conocimiento del evento
máximo, esto puede deberse a que la identificación de eventos críticos puede estar asociado a situaciones evidente o mas fáci-
les de reconocer, por ejemplo en la investigación de una explosión, tal vez nuestro objetivo es la identificación de los factores
que llevaron al incidente final, la determinar la posibilidad de la ocurrencia de una fuga o la posibilidad de ignición nos pueden
proporcionar información mas útil que únicamente determinar al evento final. Los arboles de eventos proporcionan una herra-
mienta analítica inductiva mas sencilla para estos casos.

La combinación de FTA y ETA generalmente es llamado análisis de causa-consecuencia (CCA)

Análisis de Arboles de Falla y Modelos de Markov.

Los FTA son una combinación de eventos estáticos (secuencias en el tiempo en la combinación de eventos no es considerada
en esta modelacion ya que utilizamos compuertas estáticas). Sin embargo es posible extender la técnica de FTA incorporando
compuertas que representen modelos de Markov. Estas compuertas reciben el nombre de “Compuertas Dinámicas” algunas de
estas son; Compuertas de Prioridad “Y”, Compuertas “Secuenciales”, Compuertas de “Reserva”. Para estas compuertas es
necesario evaluar la probabilidad de falla en un tiempo t dado, para esto utilizamos los modelos ó simulaciones de Markov.

Análisis de Arboles de Falla y Diagramas de Decisión Binaria (BDD).

El calculo de la probabilidad de ocurrencia del evento máximo utilizando FTA requiere del calculo de la probabilidad de varios
valores de juegos de corte (Cut Set) y de sus combinaciones. Dado que esto es complejo en muchas ocasiones este calculo es
detenido o se requiere de herramientas (software) para su evaluación. Un diagrama de decisiones binarias puede ser construido
como un recurso de análisis de los FTA y así mejorar la eficiencia den la construcción de estos. Los BDD son herramientas lógi-
cas que nos ayudan a desarrollar caminos “mas lógicos” o sencillos en la construcción de FTA.

Análisis de Arboles de Falla y Diagramas de Bloques de Confiabilidad (RBD).

Los diagramas de bloques de confiabilidad utilizan bloques ó módulos para representar a un grupo de componentes ó modelos
de falla. estos grupos normalmente están formados en secuencias similares a la forma que el producto, proceso o sistema esta
formado. Estos bloques se construyen para determinar la relación de fallas, la confiabilidad o la probabilidad de falla para un
modelo en especial.

Los RBD son herramientas inductivas de análisis que pueden utilizar cálculos de confiabilidad desarrollados en FTA para bloques
en particular.

Análisis de Arboles de Falla-FTA 6

 Risk Software S.A. de C.V.

Consideraciones generales de los FTA.

El resultado final de los arboles de falla (evento máximo) puede ser una falla en si misma o un evento, los arboles de falla descri-
ben la secuencia de la falla ó de los eventos resultantes y la contribución de estos el evento máximo. Los FTA utilizan eventos ó
estados para describir la interacción entre los eventos iniciales y el evento final, para esto utilizan compuertas que ligan lógica-
mente (y matemáticamente) el estado y la contribución de los eventos al resultado final.

Los estados pueden ser caracterizados por la probabilidad de que este estado exista en un tiempo t dado, y esta caracteriza-
ción puede estar dada en valores de frecuencia, relación de falla y probabilidad de que el evento ocurra en el tiempo t dado.

Tradicionalmente los FTA son construidos para investigar las fallas o eventos que ligan al resultado final, este concepto ha sido
utilizado por muchos años en la industria, y es especialmente eficiente en la industria nuclear y petrolera. Los FTA son una he-
rramienta importante en la investigación de potenciales problemas y riesgos ya que proporciona información para mejorar, modi-
ficar y optimizar a los equipos y sistemas.

El desarrollo de los FTA inicia en las fases iniciales del diseño y debe ser revisado en cada fase del proceso de construcción,
implementación y aplicación. Debemos considerar que los FTA no solo aplican para la evaluación de fallas en el desarrollo de
equipos (hardware) o soluciones (software) también es factible considerar la interacción con factores y acciones con humanos,
procesos y medio ambiente, que al final afectan al evento máximo.

Cuando se realice un análisis cuantitativo, pero la probabilidad de ocurrencia de alguno de los eventos no pueda ser determina-
do dado que a que los eventos y fallas sean sistemáticas, estos eventos y sus combinaciones lógicas deberán ser consideradas
en el análisis. En estos casos los modos de falla no contribuirán a predicción de la confiabilidad (probabilidad de falla), pero su
existencia será tomada en cuenta de forma cualitativa.

Para que la técnica al desarrollar los FTA sea efectiva se deberá seguir un procedimiento que podrá consistir de los siguientes
pasos:

1. Identificar los objetivos para el FTA

2. Definir el evento máximo/tope

3. Definir el alcance del FTA

4. Definir la resolución del FTA

5. Definir las reglas generales del FTA

6. Construir el FTA

7. Evaluar el FTA

8. Interpretar y presentar los resultados

Análisis de Arboles de Falla-FTA 7

 Risk Software S.A. de C.V.

Si se ha planeado realizar un análisis numérico, hay que definir la técnica para los valores numéricos de los eventos iniciales, así
como los atributos de los dispositivos;

✓ Como valores numéricos podemos utilizar Relaciones de Falla, Probabilidad de Falla y Frecuencia de Falla.

✓ Como atributos podemos considerar la Intensidad de la Falla, El tiempo Medio entre Fallas (MTBF), el Tiempo
Medio para Fallar (MTTF), el Tiempo Medio de Reparación (MTTR) y el Tiempo Medio de Restablecimiento (MRT)
estos dos últimos para sistemas reparables o substituibles.

Requerimientos de información al construir los FTA.

El sistema que se analiza deberá ser definido por la descripción de sus funciones y la identificación de las interfaces en el siste-
ma, las definiciones que se deberán incluir son:

✓ Un sumario de la intención del diseño.

✓ Las definiciones respecto a cuales son las fallas que constituyen al sistema.

Análisis de Arboles de Falla-FTA 8

 Risk Software S.A. de C.V.

✓ La estructura funcional del sistema representada generalmente en forma de diagramas de bloques.

✓ Las fronteras del sistema como son, eléctricas, mecánicas e interfaces de operación. Estas fronteras deberán ser
descritas por la identificación particular de las funciones, por ejemplo las conexiones eléctricas, fusibles, ect.

✓ La estructura física del sistema.

✓ La identificación de los modos de operación del sistema y la descripción operativa del sistema así como las ca-
racterísticas de desempeño requeridas para cada modo de operación.

✓ El desempeño operativo general del sistema.

✓ las condiciones ambientales y los aspectos relevantes humanos involucrados en la operación y desempeño del
sistema.

✓ Una lista de los documentos aplicables así como especificaciones, diagramas, manuales de operación, requeri-
dos en el diseño y operación del sistema.

✓ Condiciones de mantenimiento y diagnostico así como la interacción con el personal de mantenimiento.

Estructura de los FTA.

Los componentes de los FTA son:

Compuertas: Son símbolos que muestran las relaciones que existen entre los eventos iniciales y eventos de salida, hay dos
tipos de compuertas:

✓ Compuertas Estáticas; En estas los resultados no son dependientes del orden en que ocurren las entradas.

✓ Compuertas Dinámicas; En estas los resultados si son dependientes del orden en que ocurren las entradas.

Eventos: Representan a los niveles inferiores en el árbol de fallas.

Los componentes gráficos en el árbol de fallas son los siguientes:

a) Símbolos lógicos en el árbol de fallas.

b) Lineas de conexión entre compuertas.

c) Descripciones de los eventos intermedios.

Análisis de Arboles de Falla-FTA 9
 Risk Software S.A. de C.V.

d) Símbolos de transferencia (entrada y salida)

e) Símbolos de los eventos primarios.

El anexo A muestra a detalle las representaciones y descripciones de las compuertas y eventos. Los FTA pueden ser represen-
tados tanto de forma vertical (el análisis será de arriba hacia abajo) o de forma horizontal (el análisis será de izquierda a derecha).

Desarrollo y Evaluación de los FTA.

Concepto General.

El desarrollo de los arboles de falla inicia con la definición del evento tope/máximo. El desarrollo de los FTA es un proceso de-
ductivo ya que analiza al evento máximo que representa el resultado final de una secuencia de eventos y se va deduciendo los
eventos que han llevado a la ocurrencia del evento máximo, desde el punto de vista del diseño tanto los modelos cualitativos
como los cuantitativos son de importancia, los primeros nos representan las secuencias y los cortes mínimos necesarios para
que el evento final de genere y los segundos nos representan un valor numérico de frecuencia, relación de falla y probabilidad de
ocurrencia de los eventos.

Alcance del Análisis.

La definición del alcance del análisis deberá ser incluido en la definición del sistema a ser analizado, el propósito y la extensión
así como las asunciones básicas deberán ser realizadas. Estas asunciones deberán incluir las relaciones esperadas con la ope-
ración y mantenimiento de los sistemas así como el desempeño que tendrá el sistema en diferentes condiciones.

Los FTA proveen información para:

Realizar análisis de confiabilidad de sistemas, esto cuando se proporciones los valores de probabilidad de ocurrencia de los
eventos iniciadores.

Análisis de causa raíz; de eventos desafortunados o indeseables.

Determinación del SIL de un sistema, cuando se proporcionen los valores de PFD de los equipos (eventos iniciadores).

Desarrollo del árbol de fallas.

El foco del análisis de riesgos es el evento máximo/tope, debemos evitar que la definición de este sea lo menos ambiguo y de-
berá estar enfocado en los eventos que puedan ser peligrosos o que generen indisponibilidad de los sistemas.

Análisis de Arboles de Falla-FTA 10

 Risk Software S.A. de C.V.

El árbol de fallas se desarrolla desde el evento máximo y se deriva hacia cada uno de los ramales hasta que estos terminan, la
terminación esta dada por tres eventos:

✓ Cuando se alcanza a los eventos iniciales.

✓ Cuando se alcanza un evento que no ha sido desarrollado.

✓ Cuando se alcanza un evento que deberá ser desarrollado en otro árbol de fallas.

Desarrollo del árbol de fallas por el método cuantitativo.

Los FTA son un método sistemático de identificación de los eventos que contribuyen al evento máximo/tope, y es un procedi-
miento deductivo. El análisis sistemático identifica los modos de falla de los componentes del sistema y los factores que contri-
buyen a la probabilidad de falla.

La diferencia básica entre los FTA y otros modelos de confiabilidad es que los FTA incluyen solo a los eventos que contribuyen a
la ocurrencia del evento máximo/tope y modela la combinación funcional y las posibles interacciones dinámicas y la interdepen-
dencia entre los eventos iniciales. Otros métodos tratan con la probabilidad y relación de falla de cada uno de sus componentes
sin tomar en cuanta las interdependencias y causas de falla común.

La capacidad de los FTA para modelar secuencias de eventos (con la incorporación de modelos de Markov) primarios o inter-
medios y la capacidad de considerar resultados que provienen de otros arboles de falla hace de los FTA un instrumento útil para
la identificación de los eventos que contribuyen con mas peso en la generación de los eventos máximos/tope, esto permite al
analista determinar las posibles modificaciones o mejoras al sistema para incrementar la confiabilidad y realizar cambios a los
diseños originales.

Los FTA tienen en común con los diagramas de bloques de confiabilidad, el uso de lógica boleana, y el uso de sistemas en serie
y en paralelo, la diferencia radica en la interpretación de esta lógica y la representación gráfica.

Configuración de sistemas en Serie.

En los diagramas de bloques de confiabilidad, se realiza un ensamblado en serie para representar la falla de un sistema cuando
cualquiera de los elementos (bloques) del sistema falla.

La equivalencia de esta falla en los FTA es representada por una compuerta “O” (“OR”) que nos indica que la falla puede estar en
cualquiera de los elementos (bloques) del sistema.

La matemática que describe la confiabilidad del evento máximo/tope de un sistema consistente de “n” elementos independien-
tes puede ser:

RS (t) = R1(t) x R2(t) x R3(t) .......... Ri(t)......Rn(t) (1)

Análisis de Arboles de Falla-FTA 11

 Risk Software S.A. de C.V.

La expresión anterior en términos de confiabilidad se expresara; el bloque 1 y el bloque 2 y el resto de los bloques deberán estar
en operación para que el sistema se encuentre en operación.

En FTA se utiliza el sentido opuesto a esto. El resultado de la falla es producida si el bloque 1 falla o si el bloque 2 falla o cual-
quiera de los bloques falla. Por esta razón se utiliza una compuerta “O” para representar a los sistemas en serie.

La matemática detrás de una compuerta “O” es la misma que la mostrada en los sistemas en serie, excepto que es expresada
en términos de probabilidad de falla F(t), la cual es un complemento de probabilidad en la confiabilidad.

F(t) = 1 - R(t) (2)

La probabilidad de que se produzca un resultado desfavorable en una compuerta “O” para n entradas independientes esta dada
por:

FS(t) = 1- (1-F1(t)) x (1-F2(t)) x ................ x (1-Fn(t)) (3)

El sistema falla cuando cualquiera de los componentes (bloques) falla. Un ejemplo de esto es mostrada en la figura que repre-
sentamos a continuación.

Configuración de sistemas en Paralelo.

Los sistemas en paralelo representan el concepto de “Redundancia” en los diagramas de bloques y en los FTA, debemos en-
tender que este concepto de redundancia no solo abarca sistemas “idénticos” en términos de modelacion con FTA, este termino
esta dado bajo el concepto que hay dos elementos (bloques) que requieren fallar ambos para que el sistema falle.

bajo este concepto de redundancia tenemos dos características o modelos; Redundancia Activa y Redundancia Pasiva.

Análisis de Arboles de Falla-FTA 12

 Risk Software S.A. de C.V.

Redundancia Activa.

Esta asume que las características (modelos) de falla para cada entrada al sistema de redundancia activa, permanecen igual e
independientes a cualquier otro entrada, y se asume que la salida del sistema (evento) ocurre únicamente si todos los elementos
(bloques) ocurren. Se utiliza una compuerta “Y” (AND) para representar a los modelos en paralelo o redundantes.

La representación matemática en términos de confiabilidad esta dada por la operación del bloque 1 o el bloque 2 o el bloque n,
permanecen en operación. El sistema falla si todos los bloques fallan.

n
RS(t) = 1 - II i=1 (1-Ri(t)) (4)

En los FTA, esto es representado por una compuerta “Y” (AND), siendo n el numero de entradas a la compuerta, bajo el concep-
to dado, de que para que el sistema falle, el bloque 1 y el bloque 2 y el bloque n deben fallar. En términos de probabilidad ex-
presamos esto con:

n
FS(t) = 1 - II i=1 (Fi(t)) (5)

Redundancia Pasiva.

Esta asume que existe un numero dado de componentes activos para que exista la redundancia, en el caso de falla de uno o
mas de los componentes, uno o mas de los componentes de remplazo o redundantes es activado para tomar la función.

Análisis de Arboles de Falla-FTA 13

 61025 IEC:2006
61025 © IEC:2006 +– 81
41 –+

Annex A
(informative)
Risk Software S.A. de C.V.

Symbols

Anexo “A”
TheSímbolos.
symbols shown in Table A.1 are commonly used.

Tabla A.1 Símbolos frecuentemente utilizados en los FTA

Table A.1 1 Frequently used symbols for a fault tree

Symbols Name Description Reliability Number

correlation of inputs
BASIC EVENT The lowest level Component 0
event for which failure mode, or
probability of a failure mode
occurrence or cause
reliability
information is
available
CONDITIONAL Event that is a Occurrence of 0
EVENT condition of event that has to
occurrence of occur for
another event another event to
when both have to occur
occur for the
output to occur Conditional
probability
DORMANT A primary event Dormant 0
EVENT that represents a component
dormant failure; failure mode or
an event that is dormant failure
not immediately cause
detected but
could, perhaps, be
detected by
additional
inspection or
analysis
UNDEVELOPED A primary event A contributor to 0
EVENT that represents a the probability of
part of the system failure. Structure
that is not yet of that system
developed part is not yet
defined

TRANSFER gate Gate indicating A partial fault 0

that this part of tree diagram
the system is that is shown in
Transfer OUT developed in other location of
another part or the overall
page of the system
diagram
IN means that
Transfer IN the develop gate
is elsewhere,
OUT means that
the same gate
developed in this
place will be
used elsewhere

Análisis de Arboles de Falla-FTA 14

Customer: jose angel alvarado - No. of User(s): 1 - Company: CSIPA CONSULTORIA EN SEGURIDAD INDUSTRILA Y PROTECCION AL AMBIENTE SA DE
 Risk Software S.A. de C.V.
61025  IEC:2006 +– 83
42 –+ 61025 © IEC:2006

Symbols Name Description Reliability Number

correlation of inputs
OR gate The output event Failure occurs if ≥2
occurs if any of any of the parts
the input events of that system
occur fails + series
system

MAJORITY The output occurs Redundancy k ≥3

VOTE GATE if m or more inputs out of n, where
out of a total of n m=n%k+1
0 inputs occur
0

EXCLUSIVE OR The output event A failure of the ≥2

gate occurs if one, but system occurring
not the other only if one, not
inputs occur both of the two
possible failures
happens

AND gate The output event Parallel ≥2

occurs only if all of redundancy, one
the input events out of n equal or
occur different
branches

PRIORITY AND The output event Good for 2; 2

(PAND) gate (failure) occurs representation of (see
only if the input secondary comment
events occur in failures or for on the
sequence from left enabling SEQ
to right sequence of gate)
events

INHIBIT gate The output occurs Conditional 2

only if both of the probability of
input events take occurrence of
place, one of them the final event
conditional

NOT gate The output event Exclusive events 1

occurs only if the or preventive
input event does measure does
not occur not take place

Análisis de Arboles de Falla-FTA 15

 Risk Software S.A. de C.V.
61025 IEC:2006
61025 © IEC:2006 +– 85
43 –+

Symbols Name Description Reliability Number

correlation of inputs
SEQ The output event Good for >2
(Sequential) (failure) occurs representation
gate only if all input of sequential
events occur in failures (chain
sequence from left failures). Also
to right. This gate the sequence of
is identical to the stresses that
PAND gate if the would cause an
number of inputs event or a
(This symbol
to the PAND gate failure to occur.
was not a part of
is not limited to 2 Requires
the group of
as done by some Markov analysis
previously
analysts
standard
symbols. It is a
relatively new
graphical
representation of
this gate)
SPARE gate The output event Representation 1
will occur if the of cold, warm
number of spare and hot spare
components is components. If
less than the all have
number required exponential
distribution,
then the closed
form solution
exists. If
probability of
occurrence is
constant, then
Markov analysis
is required.
Other
distributions
may require
conditional
probabilities or
simulations
House event Event which has
happened, or will
happen with
certainty

Zero event Event which

cannot happen

The above Table A.1 is not all inclusive. Some of the graphical gates or event representations
that do not have comparison to other graphical representations are omitted from this table,
but can be found in Tables A.2, A.3, and A.4.

Análisis de Arboles de Falla-FTA 16

 Risk Software S.A. de C.V.
61025  IEC:2006 +– 87
44 –+ 61025 © IEC:2006

Tabla A.2 Símbolos usados para Eventos.

Table A.2 * Common symbols for events and event description

Symbol Symbol name Definition Description

The lowest level event for which

Failure mode of a component
Basic event probability of occurrence or
or an individual failure cause
reliability information is available

Event that is a condition of Conditional event required for

occurrence of another event output event to occur. It is
Conditional event
when both have to occur for the used with PRIORITY AND
output to occur and INHIBIT gates

A primary event that represents a

dormant failure; an event that is A primary event that might be
Dormant event not immediately detected but detected by inspection,
could, perhaps, be detected by analysis or test
additional inspection or analysis

A potential contributor to the

A primary event that represents a occurrence of the top event,
Undeveloped event part of the system that is not yet but relevant information for
developed developing the event is
currently unavailable

An event that is TRUE

(turned ON) or FALSE (turned A user-controlled event that
OFF). Can be a part of a fault allows analysis under
House event tree that is included or excluded alternate, defined system
from analysis (ON or OFF) conditions

Static gates such as OR, AND, EXCLUSIVE OR, INHIBIT GATE and MAJORITY VOTE gates
are shown in Table A.3.

The dynamic gates such as PRIORITY AND gate, SEQUENTIAL gate and SPARE gate, are
shown in Table A.4.

Example of the dynamic PRIORITY AND gate:

Description of events:

Diode D1 protects the IC from over-current due to the supply voltage surge. The IC does not
get damaged by the voltage surge if diode does not fail first in the open mode. If the diode
opens, and the second event takes place, whilst there exists a voltage surge, then the top
event (IC explodes) takes place. The model is shown in Figure A.1.

Análisis de Arboles de Falla-FTA 17

 Risk Software S.A. de C.V.

61025 IEC:2006
61025 © IEC:2006 +– 89
45 –+

Tabla A.3 Compuertas Estáticas.

Table A.3 * Static gates

Number of
Gate name Description Reliability model
inputs
OR gate The output event occurs if any Series events, when independent: 2
of the input events occur i = 2 to n
n
F (t ) = 1 − ∏ [1 − Fi (t )]
i =2

(where events are not independent, see

AND gate The output event occurs only if
all of the input events occur
[disjointing], 7.5.5.4),
F(t) + probability of event occurrence or fault
existence at time t. R(t), when used, is a
complement of the F(t)
Parallel redundancy, equal or different 2
independent branches
n
F (t ) = ∏ Fi (t )
i =2

(where events are not independent, see

[disjointing] 7.5.5.4)
MAJORITY The output event occurs if m or Parallel redundancy where k out of n the 2
VOTE gate more inputs out of a total of n branches is not failed
inputs occur
m=n&k+1
When all inputs equal:
k −1
n!
F (t ) = ⋅ [1 − F0 ( t ) ]i ⋅ [F0 ( t ) ]n − i
i =0 i!⋅( n − i )!

(where events are not independent, see

NOT Gate The output event occurs only if
the input event does not occur
[disjointing], 7.5.5.4)
F(t) = 1-F 1 (t) 1
NOTE It is advised that this gate be used
carefully by an experienced analyst to avoid
unwanted results.

Exclusive The output event occurs if one, A top event occurs only if one, but not the other =2
OR (XOR) but not the other inputs occur event occur
gate
F (t ) = F1(t ) ⋅ [1 − F2 (t )]

NOR gate The output occurs if none of It acts as a combination of NOT and OR gate. 2
the input events occur The output is FALSE if there is one or more
TRUE inputs
n
F (t ) = ∏ [1 − Fi (t )]
i =2

NOTE It is advised that this gate be used

carefully by an experienced analyst to avoid
unwanted results.

Análisis de Arboles de Falla-FTA 18

 Risk Software S.A. de C.V.
61025  IEC:2006
61025  IEC:2006 +–+–91
91
46 –+–+
46 61025©©IEC:2006
61025 IEC:2006

Gate name
Gate name Description
Description Reliabilitymodel
Reliability model Numberof
Number of
inputs
inputs
NAND gate
NAND gate The output
The output occurs
occurs ifif at
at least
least The gate
The gate functions
functions as
as aa combination
combinationof
ofNOT
NOTand
and 22
one of
one of the
the input
input events
events does does AND gates
AND gates
not
not
kk nn−−kk
FF((tt))==∏ ∏[F[Fj j((tt))]]
∏[1[1−−FFi i((tt))]]⋅ ⋅∏
i =1
i =1 ij = k
ij = k

NOTE ItIt isis advised

NOTE advised that
that this
thisgate
gatebe
beused
used
carefully by
carefully by anan experienced
experiencedanalyst
analystto
toavoid
avoid
unwanted results.
unwanted results.
INHIBIT gate
INHIBIT gate The output
The output occurs
occurs only
only ifif both
both The probability
The probability of of occurrence
occurrenceisisthe
theprobability
probabilityofof 22
of the
of the input
input events
events take
take place
place occurrence of
occurrence of input
input event
event multiplied
multipliedby
bythe
the
one of
one of them
them conditional
conditional probability of
probability of occurrence
occurrenceof of the
thecondition
conditionbeing
being
satisfied
satisfied

Tabla A.4 Compuertas Dinámicas.

Table A.4
Table A.4 ;; Dynamic
Dynamic gates
gates

Gate name
Gate name Description
Description Comment
Comment Numberof
Number ofinputs
inputs
Priority AND
Priority AND gate
gate (PAND)
(PAND) The output
The output eventevent (failure)
(failure) Good for
Good for representation
representationof of 22(see
(seeSEQ
SEQgate
gate
occurs only
occurs only ifif all
all input
input secondary failures
secondary failures or
orfor
forenabling
enabling below)
below)
events occur
events occur in in sequence
sequence sequence of
sequence of two
twoorormore
moreevents.
events.
from left
from left to
to right
right IfIf more
more than
than twotwo events,
events,ititisisequal
equal
to the
to the SEQUENCE
SEQUENCE ENFORCING
ENFORCING
gate.
gate.
Requires Markov
Requires Markovanalysis
analysis
Sequential gate,
Sequential gate, SEQ
SEQ The output
The output event
event occurs
occurs This gate
This gate isis an
an extension
extensionof ofPAND
PAND >2
>2
only
only ifif all
all input
input events
events gate
gate and
and asas such
suchincluded
includedto to
occur
occur in in sequence
sequence from from emphasize
emphasize the the sequence
sequenceof ofmany
many
left
left to
to right,
right, and
and there
there are
are gates.
gates. In
In that
that case,
case, itsitsoriginal
original
more
more thanthan twotwo input
input gate,
gate, PAND,
PAND, isis limited
limitedto totwo
two
events.
events. This This gate
gate isis an
an inputs
inputs only.
only. Good
Goodfor for
alternative
alternative to to the
the PAND
PAND representation
representation of of sequential
sequential
gate
gate above
above failures
failures (chain
(chain failures).
failures).AlsoAlsothethe
sequence
sequence of of stresses
stressesthat that would
would
cause
cause anan event
event or oraafailure
failuretoto
occur
occur requires
requires Markov
Markovanalysis
analysis
Spare
Spare gate;
gate; SPARE
SPARE The
The output
output event
event will
will Representation
Representationof of cold,
cold, warm
warmandand 11
occur
occur ifif the
the number
number of of hot
hot spare
spare components.
components.IfIfall allhave
have
spare
spare (standby
(standby redundant)
redundant) exponential
exponential distributions,
distributions,then
thenthe
the
components
components is is less
less than
than closed
closed form
form solution
solutionmay mayexist.
exist.IfIf
the
the number
number required
required probability
probability of of occurrence
occurrenceof ofinput
input
events
events isis constant,
constant, then
thenMarkov
Markov
analysis
analysis isis required.
required.Other
Other
distributions
distributions maymayrequire
require
conditional
conditional probabilities
probabilitiesor or
simulations.
simulations.
Spare
Spare components
components have havereduced
reduced
probability
probability of of failure
failure before
beforeduring
during
the
the time
time they
they areare not
notactivated
activated
(see
(see 7.5.3
7.5.3 for
for cold
coldand
andwarm
warm
redundancy
redundancy modelling)
modelling)

Análisis de Arboles de Falla-FTA 19

 Risk Software S.A. de C.V.

Anexo B Lógica de las arquitecturas en arboles de falla.

Arquitecturas de sistemas redundantes representadas con arboles de falla

Salida

OR
AND

FCC

A B

Figura #1 1oo2

Salida
OR
OR

FCC

A B

Figura #2 2oo2

Análisis de Arboles de Falla-FTA 20

 Risk Software S.A. de C.V.

Salida

OR
OR
FCC
AND

AND

AND

A B A C B C

Figura #3 2oo3

Salida
OR
AND

FCC

A B C

Figura #4 1oo3

Análisis de Arboles de Falla-FTA 21

 Risk Software S.A. de C.V.

Referencias:

La información de este articulo fue obtenida principalmente de las dos siguientes fuentes:

1) Fault Tree Hanbomok with Aerospace Applications, NASA office do Safety Mission Assurance, August 2002.

2) Fault Tree Análisis (FTA) IEC International Standard, IEC 61025

Los comentarios de este documento expresan el punto de vista de:

Victor Machiavelo Salinas

TUV FS Expert ID-141/09
Risk Software SA de CV

victorm@risksoftware.com.mx
www.risksoftware.com,mx

Agradeceremos cualquier comentario.

Análisis de Arboles de Falla-FTA 22