INGENIERIA DE MANTENIMIENTO

MC-654
CAPITULO N° 10 – ANALISIS DE ARBOL DE FALLOS/ FAULT TREE
ANALYSIS (FTA)
Ing° Roberto Baldeón Icochea
Universidad Nacional de Ingenieria UNI-FIM - 2019
INTRODUCCION.- El análisis de árbol de fallas (FTA) fue
introducido por primera vez por BELL LABOTARATORIES y
es uno de los métodos más utilizados en confiabilidad del
sistema, mantenimiento y análisis de seguridad. Es un
procedimiento deductivo utilizado para determinar las
diversas combinaciones de fallas de hardware y software y
errores humanos que podrían causar eventos no deseados
(denominados eventos principales) a nivel del sistema.
OBJETIVO.- Es ayudar a identificar las posibles causas de
fallas del sistema antes de que ocurran las fallas. También
se puede usar para evaluar la probabilidad del evento
principal utilizando métodos analíticos o estadísticos. Estos
cálculos involucran confiabilidad cuantitativa del sistema e
información de mantenimiento, como la probabilidad de falla,
la tasa de falla y la tasa de reparación.
RESUMEN DE HISTORIA DEL FTA.-
Los primeros años: en 1961, Bell Labs desarrolló el modelo para
el uso del sistema de control de lanzamiento Minuteman de la
Fuerza Aérea. Más tarde, la compañía Boeing utiliza el modelo de
análisis de árbol de fallas para el diseño y evaluación de aeronaves
civiles y comerciales. Alrededor de la década de 1970, los
ingenieros de las industrias aeroespacial y nuclear adoptaron el
modelo de análisis de árbol de fallas para proyectos complejos.
Los años intermedios: la teoría del árbol de fallas se hizo popular
entre diferentes países con la adopción de algoritmos y códigos
técnicos. Alrededor de la década de 1990, la industria del software
y el sector químico también introdujeron el análisis del árbol de
fallas.
Los últimos años: los profesionales de todo el mundo
desarrollaron más códigos comerciales para el uso de ingeniería de
confiabilidad y proyectos de robótica. Ahora, el análisis de árbol de
fallas se considera una de las herramientas de análisis de
confiabilidad y seguridad más importantes del sistema.
El método del árbol de fallas resultó de un contrato
entre la División de Sistemas de Balística de la
Fuerza Aérea y los Laboratorios Bell Telephone para LGM-30 Minuteman. Es un Misil
el estudio del lanzamiento involuntario en el ICBM Balístico Intercontinental (ICBM)
Minuteman. de Estados Unidos, operado por
la USAF, capaz de portar tres ojivas
El Estudio de seguridad de control de lanzamiento
nucleares de combate. De lanzamiento
(1962) describió por primera vez el análisis del árbol
terrestre desde silo misilístico, funciona
de fallas en el Volumen I, Sección VII, "Método de
con combustible sólido y puede atacar
análisis de control de lanzamiento involuntario".
objetivos a más de 9.600 Km. Está en
Minuteman I estaba en producción cuando se
servicio desde 1962, la versión actual
completó el estudio, por lo tanto, el estudio no
Minuteman III entró en servicio
produjo cambios en el diseño, pero los resultados
en 1970, siendo antecedida por los
estaban tan cerca de los datos observados que la
Minuteman I y II. Desde el año 2009, el
técnica se utilizó en el diseño de Minuteman II.
Minuteman III es el único tipo de misil
Desde entonces, el análisis del árbol de fallas se ha
intercontinental de lanzamiento
utilizado en combinación con otras técnicas para
terrestre que queda operativo en los
predecir y mejorar el desempeño de seguridad en
Estados Unidos
sistemas aeroespaciales y militares complejos.
PASOS A SEGUIR PARA CONSTRUCCION DEL ARBOL DE
FALLAS.-
1. Defina la condición de falla y anote la falla de nivel superior.
2. Utilizando información técnica y juicios profesionales,
determine las posibles razones de la falla. Recuerde, estos
son elementos de nivel dos porque caen justo debajo de la
falla de nivel superior en el árbol.
3. Continúa desglosando cada elemento con puertas
adicionales para bajar los niveles. Considere las relaciones
entre los elementos para ayudarlo a decidir si usar una
puerta lógica "y" o "o".
4. Finalice y revise el diagrama completo. La cadena solo
puede terminar en una falla básica: humana, hardware o
software.
5. Si es posible, evalúe la probabilidad de ocurrencia para cada
uno de los elementos de nivel más bajo y calcule las
probabilidades estadísticas de abajo hacia arriba.
 • Defina el evento superior. Para definir el evento superior, se tiene
que identificar el tipo de falla que se va a investigar. Esto podría ser
lo que haya sido el resultado final de un incidente, tal como el
volcarse un montacargas.
• Determine todos los eventos no deseados en la operación de
un sistema. Separe esta lista en grupos con características
El Análisis de Fallas con Diagramas de comunes. Varios FTA tal vez sean necesarios para estudiar un
Árbol sistema completamente. Finalmente, un evento debe establecerse
El FTA consta de los pasos: que representa todos los eventos dentro de un grupo. Este evento
1. Definir el evento superior. llega a ser el evento no deseado que se va a estudiar.
2. Conocer el sistema. • Conozca el sistema. Se debe estudiar toda la información
3. Construir el árbol. disponible sobre el sistema y su ambiente. Puede ser de ayuda un
4. Validar el árbol. análisis de trabajo para determinar la información necesaria.
5. Evaluar el árbol. • Construya el árbol de fallas. Este paso tal vez sea el más fácil
6. Considerar cambios constructivos. porque se usan solamente pocos de los símbolos y la construcción
7. Considerar
07/09/2020
alternativas y recomiende práctica es muy sencilla.
medidas.
Paso 1. Definir el problema Paso 2. Construyendo el árbol de fallas
El equipo de diseño de ingeniería El FTA comienza en el evento superior y
selecciona: continúa, nivel por nivel, hasta que
• el evento principal, todos los eventos de falla se hayan
• las condiciones de contorno, rastreado hasta sus causas
contribuyentes básicas (es decir,
• límites físicos del sistema, eventos básicos). En cada nivel, se
• el nivel de resolución de los sistemas, definen las causas inmediatas,
• condiciones iniciales, necesarias y suficientes que darían como
• eventos que no están permitidos, resultado el evento intermedio o
• condiciones existentes, superior bajo consideración. El análisis
continúa en cada nivel, hasta que se
• supuestos condicionales. alcanzan las causas básicas o las
Definir el evento principal es uno de los condiciones límite del análisis.
aspectos más importantes del primer paso.
El evento principal es el accidente (o
evento no deseado) que es el tema del FTA.
El evento principal a menudo se identifica a
través de otros estudios de análisis de
riesgos (como HAZID). Los eventos
principales deben definirse con precisión
para el sistema o la planta que se está
evaluando, porque el análisis de eventos
principales ampliamente definidos o mal
definidos a menudo puede conducir a un
análisis ineficaz.
Los Diagramas Analíticos.- Son
representaciones gráficas o ilustraciones
de un proyecto o evento. Utilizan el
razonamiento deductivo ya que
empiezan con un evento general o un
evento de resultado y elaboran por las
ramas a los eventos específicos
causantes que tienen que ocurrir para
producir el evento general.
Se refiere a los diagramas analíticos
como árboles porque su estructura
parece la de un árbol, estrecho en lo de
arriba con un solo evento y luego
echando ramas en el proceso de su
desarrollo.
SIMBOLO DESCRIPCION

Puerta Y – Representa una condición en la cual todos los eventos mostrados debajo de la puerta (puerta de entrada) tiene que estar prese ntes para
que ocurra el evento arriba de la puerta (evento de resultado). Esto significa que el evento de resultado ocurrirá solamente si todos los eventos de
entrada existen simultáneamente.
Puerta O – Representa una situación en la cual cualquier de los eventos mostrados debajo de la puerta (puerta de entrada) llevarán al ev ento
mostrado arriba de la puerta (evento de resultado). El evento ocurrirá si solamente uno o cualquier combinación de los eventos de entrada ocurre.

1. Rectángulo – Es el principal componente básico del árbol analítico. Representa el evento negativo y se localiza en el punto superior del árbol y
puede localizarse por todo el árbol para indicar otros eventos que pueden dividirse más. Este es el único símbolo que tendrá abajo una puerta de
lógica y eventos de entrada.
2. Círculo – Representa un evento base en el árbol. Estos se encuentran en los niveles inferiores del árbol y no requieren más desarrollo o
divisiones. No hay puertas o eventos debajo del evento base.
3. Diamante – Identifica un evento terminal sin desarrollar. Tal evento es uno no completamente desarrollado debido a una falta de información o
significancia. Una rama del árbol de fallas puede terminar con un diamante. Por ejemplo, la mayoría de los proyectos requieren personal,
procedimientos, y equipo. El desarrollador del árbol tal vez se decida enfocarse en el aspecto de personal del procedimiento y no en los aspectos
del equipo o procedimientos. En este caso el desarrollador usaría diamantes para mostrar “procedimientos” y “equipo” como eve ntos terminales no
desarrollados.
4. Óvalo – Representa una situación especial que puede ocurrir solamente si ocurren ciertas circunstancias. Esto se explica adentro del símbolo del
ovalo. Un ejemplo de esto tal vez sea el caso de que si hay que cerrar ciertos interruptores por una secuencia específica antes de ocurrir una
acción.
5. Triángulo – Significa una transferencia de una rama del árbol de fallas a otro lugar del árbol. Donde se conecta un triángulo al árbol con una fl
echa, todo que esté mostrado debajo del punto de conexión se pasa a otra área del árbol. Esta área se identifica con un trián gulo correspondiente
que se conecta al árbol con una línea vertical. Letras, números o figuras diferencian un grupo de símbolos de transferencia de otro. Para mantener
la simplicidad del árbol analítico, el símbolo de transferencia debe usarse con moderación.
Un árbol de fallas puede convertirse en un diagrama de bloques de confiabilidad y viceversa.

A
B
A
B
A B C C

top
C
top

top

A B C B C
A B C

En el diagrama de flujo, el producto
pasará del punto 1 al punto 2 si está
abierta la válvula manual “A” o si está
abierta la válvula neumática “B”, y su
representación lógica es la
especificada en la figura.
07/09/2020
Si son necesarias simultáneamente todas las causas inmediatas para
que ocurra un suceso, entonces éstas se conectan con él mediante
una puerta lógica del tipo "Y".
Por ejemplo:
En el diagrama de flujo representado, tienen que estar abiertas
simultáneamente las válvulas A y B para que pase el producto del
punto 1 al 2, y su representación lógica es la especificada en la
figura.
Además, la estructura lógica de un árbol de fallos permite Algunas de las leyes y propiedades
utilizar el álgebra de Boole, traduciendo esta estructura a básicas del álgebra de Boole más
importantes son:
ecuaciones lógicas. Para ello se expone muy brevemente tal
 Propiedad conmutativa:
sistema de equivalencia lógica: x+y=y+x
Una puerta "0" equivale a un signo "+", no de adición sino x·y=y·x
de unión en teoría de conjuntos.  Propiedad asociativa:
Una puerta "Y" equivale a un signo "." equivalente a la x + (y + z) = (x + y) + z
intersección. x · (y · z) = (x · y) · z
 Propiedad distributiva:
De ello se extraen las siguientes consecuencias: x · (y + z) = x · y + x · z
Transformar el árbol de fallos en una función lógica. (x + y) · z = x · y + x · z
La posibilidad de simplificar la función lógica del árbol gracias  Propiedad idempotente:
a la constatación de falsas redundancias. La reducción de x·x=x
x+x=x
falsas redundancias (reducción booleana) consiste en
 Ley de absorción:
simplificar ciertas expresiones booleanas y x · (x + y) = x
consecuentemente los elementos de estructura que las x+x·y=x
mismas representan.
 Ejemplo: La fiabilidad del sistema de la figura
Relaciones entre expresiones de Boole y los diagramas lógicos adjunta se calcula a partir de los fallos primarios,
cuyos sucesos 1,2,3,4,5,6 y 7, son
independientes y que sus probabilidades de
fallos son:
P1=0.20 P2=0.30 P3=0.32
P4=0.24 P5=0.22 P6=0.15 P7=0.12
Determine la probabilidad de fallo del sistema
(Suceso F).

Solución:
B = P5 + P6 + P7 =(1- (1-0.22)*(1-0.15)*(1-0.12) = 0.41656
A = P2*P3*P4 = (0.30)*(0.32)*(0.24)) = =.02304

F = P1*(B)*(A) = (0.20)*(0.41656)*(0.02304) = 0.001919

Se trata de un reactor químico, dotado de un agitador, una camisa a través de la que
se puede enfriar con agua de torre, así como un sistema de dosificación de un Unidad de
reactivo, y la instrumentación auxiliar necesaria. En este ejemplo se considerará que accionamiento

en el reactor se lleva a cabo una reacción del tipo:

Reactivo A + Reactivo B -> Producto + calor
Ejemplo
Válvula de
Alivio presión
Posteriormente se arranca la agitación y se va añadiendo controladamente el reactivo
B. Un análisis de riesgos del proceso efectuado previamente detectó que en caso de
perderse el contrInicialmente se carga un disolvente en el reactor, así como el reactivo
A y el catalizador de la reacción produciría un desprendimiento excesivo de calor en el
reactor, que provocaría la vaporización del disolvente y consiguiente presurización. Por
ello se ha dotado al reactor con las siguientes protecciones:
• El reactivo B se dosifica a caudal constante. El caudalímetro FIC actúa sobre la válvula automática
V1 manteniendo el valor de caudal consignado por el operador.
• El reactor dispone de un sistema de enfriamiento mediante una camisa por la que circula agua de
torre. La temperatura de la masa de reacción se controla al valor consignado por el operador
mediante la sonda de temperatura TIC que, a su vez, actúa sobre la válvula automática de paso de
agua V2. La válvula V2 tiene un tope mecánico para asegurar que circula un caudal mínimo de agua,
independientemente de las indicaciones de TIC.
• Como última barrera, el reactor dispone de un disco de ruptura específicamente diseñado para una  No se considera el error humano en el establecimiento de los valores de
pérdida del control de temperatura de la reacción. consigna de caudal del reactivo B ni de temperatura.
A fin de no complicar en exceso el ejemplo, se han considerado las siguientes hipótesis simplificadoras:  No se considera la posibilidad de fallo del tope mecánico de la válvula
 Se considera que la operación correcta de cualquiera de los dos lazos de control disponibles V2.
(caudal del reactivo B y temperatura de la masa de reacción) es suficiente para mantener la  No se considera el error en el diseño de los sistemas; en particular, del
seguridad de la reacción. Esto es: disco de ruptura.
 El caudal mínimo garantizado por el tope mecánico de V2 es suficiente para enfriar el  Obviamente, el agitador es una parte importante del sistema de
reactor siempre que se mantenga el control sobre el caudal del reactivo B. enfriamiento del reactor. No obstante, en este caso se ha considerado
 El sistema de enfriamiento del reactor tiene capacidad suficiente para enfriarlo, aun que el sobredimensionamiento del sistema de enfriamiento es tal que,
cuando se pierda el control del caudal del reactivo B. incluso con el agitador parado, es suficiente para mantener el control de
temperatura.
En este ejemplo, el suceso que se pretende
analizar es la sobre presurización (y eventual
estallido) del reactor debido a la pérdida de
control de la reacción. A este suceso se le
denomina “cabecera” del árbol, se escribe como C
encabezamiento del árbol de fallos y es para el
que se calculará la probabilidad de ocurrencia. Explosión
Para que se produzca esta sobrepresión del Reactor
inaceptable y subsiguiente estallido, es
necesario que den dos sucesos
simultáneamente:
 Que haya fallado el sistema de control de
temperatura descrito en el apartado anterior. C1 C2
 Que fallen las salvaguardas disponibles:
Perdida Control Fallo Sistema
fundamentalmente, que el disco de ruptura
Reactor control presión
no se abra a la presión prevista.

Desde luego, el árbol

podría profundizarse más, E6
analizando las causas de
C12 C22
los eventos que hemos Falla del lazo Falla del lazo Fallo
denominado elementales. Control Control Temp. Válvula
En cualquier caso, el Flujómetro Reactor alivio
presión
Una vez dibujado el árbol de fallos es
grado de profundidad en conveniente completar o asignar una codificación
el desarrollo de los
eventos dependerá de los a cada evento elemental (C, C1, C2, ….., E6, E7)
objetivos del estudio. con una denominación simplificada a efectos del
dibujo del árbol, y una descripción más detallada,
E1 E2 E3 E4 E2 E5 incluyendo el modo de fallo. Esto último es
Fallo del Fallo del Fallo de Fallo de la Fallo del Fallo de
especialmente importante dado que la mayor
Ordenador
Caudalim
etro del
Válvula
V1
sonda Ordenador la Válvula parte de los componentes estudiados tienen más
temperatura de Control V2
Control
de un modo de fallo
Cód Nombre Descripción Probabilid
igo ad En el caso del ejemplo, se han utilizado las siguientes
probabilidades de los sucesos elementales (se indican
E1 Fallo del El caudalímetro FIC indica un caudal significativamente inferior al también en la zona superior derecha de cada suceso:
que realmente circula 0.03
caudalímetro FIC

E2 Fallo del El ordenador de control interpreta incorrectamente los datos de

ordenador de los sensores de campo, dando instrucciones erróneas a los 0.0001
control elementos finales de control (válvulas).

E3 Fallo de la La válvula V1 se abre excesivamente a pesar de recibir una

válvula V1 (abre señal de control correcta desde el ordenador de control. 0.025
excesivamente)

E4 Fallo de la sonda La sonda de temperatura TIC indica una temperatura 0.03*0.0001*0.025

de temperatura significativamente inferior a la que realmente tiene el reactor. 0.02
TIC

E5 Fallo de la La válvula V2 se cierra excesivamente a pesar de recibir una 0.01

señal de control correcta desde el ordenador de control 0.015
válvula V2 (cierra
excesivamente)

E6 Fallo de disco de El disco de ruptura del reactor no se abre a pesar de haberse

0.01
ruptura (no abre) alcanzado su presión de diseño.
0.03 0.0001 0.025 0.02 0.0001 0.015
 P2 Red de
Agua
Potable
VC-1
Red de Agua
Industrial
T

VR-1
P1
Torre de
SUMIDERO Refrigeración VC-2 REACTOR

Hay veces en verano que la temperatura del agua de este circuito no es suficientemente baja y se debe enfriar complementariamente con la red de agua
potable, mediante la apertura de la válvula VC-1 que es accionada neumáticamente a través del termostato T.
La empresa se ha planteado con preocupación que la red de agua industrial pudiera contaminar el agua potable, por las consecuencias que de ello podrían
derivarse. (La interconexión de ambas redes de agua está explícitamente prohibida en la 0.G.S.H.T. en su art. 38.4, por lo que este enunciado contempla un
supuesto teórico cuyo único fin es el de facilitar la comprensión del método y la reflexión sobre los resultados del análisis probabilístico.)
Obviamente, para que el agua industrial entrase en la
canalización de agua potable debería ser la presión P-1
mayor que P-2 (situación que no se da en condiciones
habituales), tendría que fallar la válvula antirretorno VR-
1 y fallar la válvula VC-1, salvo en períodos calurosos en
que VC-1 está abierta. En el análisis de este supuesto
se considera que la válvula de control VC-1 se
encuentra cerrada.
Obviamente, cuando la válvula de control está abierta
por requerimiento del proceso, en la elaboración del
árbol se deberían eliminar los diferentes modos de fallo
de este elemento.
Considerando para la realización de este ejercicio las
siguientes probabilidades de fallo de los diferentes
elementos:
• Fallo de válvula de retención VR por
retroceso del fluido = 10-2
• Fallo de estanqueidad de VC en
posición de cierre = 10-3
• Posibilidad de bloqueo de las válvulas
neumáticas VC al abrir o cerrar = 10-3
• Fallo del termostato de regulación de
VC = 10-3
• Fallo de transmisión de señal del
termostato o presostato = 10-4
• Fallo presostato = 10-3
• Fallo señal acústica de alarma = 10-2
• Probabilidad de no actuación correcta
ante alarma = 10-2
 PD= P5+P4= (1-(1-P4)*(1-P5))
Contaminación
PD = (1-(10-3)(10-4))=
de agua Potable
PD = 0.001099
PC = PD +P3 = (1-(1-PD)(1-P3))
PC = (1-(1-0.001099)(10-3)) A
PC = 0.0020988 1
PB = PC+P2 = (1-(1-PC)*(1-P2)) Fallo Fallo en VC-1
Estanq
PB= (1-(1-0.0020988)(1-10-3)) uidad
VR-1
PB = 0.0030967 B
PA = P1*PB = (10-2) * (0.003097)
PA = 3.1 x 10-5 Fallo al cerrar Fallo
Estanqu
idad 2
Cerrada
Del análisis de la situación actual de la instalación C
observamos que la probabilidad de contaminación de
la red de agua potable cuando P1 > P2 es de 3,1 · 10- No llega señal
5 y en la situación en que la válvula de control VC-1 cierre Bloque
3
Válvula
está abierta la probabilidad de contaminación del agua
potable es la de que falle la válvula de retención VR-1, D
4
es decir, P = 10-2; siendo ambas probabilidades no 5
Falto
aceptables ante las posibles consecuencias a que Fallo
Termos
Trans
misión
daría lugar en caso de producirse la contaminación. tato señal
Ante ello, valoramos como variaría tal probabilidad de contaminación
incorporando a la instalación actual una segunda válvula de retención así como
un presostato que actúe, cuando P-1 se aproxime a P-2, sobre la válvula VC2
dándole orden de cierre y, a su vez, al activarse dé una alarma acústica en sala
de control, a fin de que pudiera actuarse manualmente sobre VC-2 en caso de
fallo del cierre neumático.
Con el cierre de VC-2 se desconecta la alarma y el consiguiente incremento de
temperatura activaría el termostato T accionando la apertura de VC-1. La red de
agua potable garantiza suficiente caudal para mantener refrigerado el reactor."
 Red de Agua
Industrial

Red de
P2 Agua
A Potable
H
P VC-1

T
VR-2

VR-1
P1
Torre de
Refrigeración REACTOR
SUMIDERO VC-2

Analizamos en esta nueva situación como varía la probabilidad de contaminación de la red de

agua potable, mediante la elaboración de un nuevo árbol de fallos en el que se contemplan las
variaciones simuladas.
Obtendremos la probabilidad de contaminación del agua
potable mediante la suma de las probabilidades de
ocurrencia de los conjuntos mínimos de fallo, dando un
valor de:
6,2685 · 10-10.
En las situaciones en que VC-1 está abierta (período muy
caluroso), la probabilidad se incrementa hasta un valor
de 2,0221 · 10-7.
• En esta nueva situación, se observa como, con la
incorporación de unos determinados elementos
básicos de seguridad, se ha obtenido una importante
mejora en cuanto a la fiabilidad de la instalación en lo
referente a la probabilidad de contaminación del agua
potable. Tengamos en cuenta que una probabilidad de
daño inferior a 10-10 puede considerarse indicativa de
un hecho de materialización remota, en cuyo entorno
podría encontrarse la frontera de aceptabilidad social
de las situaciones de riesgo de graves consecuencias.