TRATAMIENTO DE LAS FALLAS DEPENDIENTES Y

LAS ACCIONES HUMANAS EN LOS ANALISIS DE

CONFIABILIDAD Y RIESGO DE LA INDUSTRIA
CONVENCIONAL

MANUEL PERDOMO OJEDA

RUBEN FERRO FERNANDEZ

CENTRO DE ALTOS ESTUDIOS GERENCIALES ISID

Caracas, Venezuela 1999
 EVALUACION DE
FALLAS DEPENDIENTES
Y ERRORES HUMANOS

Centro de Altos Estudios Gerenciales

Instituto Superior de Investigación y Desarrollo

2
Copyright, 2001.
ISBN 980 323 050 6
2ª. Edición Adaptada como
herramienta computacional.
Centro de Altos Estudios Gerenciales ISID

Empresa de la Fundación Educativa “María Castellanos”

Femaca e-mail: femaca@telcel.net.ve

En asociación con Cybercentrum Las Mercedes C.A.

y Edukami U.S.A.

3
 Indice General

Indice ................................................................................................................................. I
Prólogo ....................................................................................................................................... IV

PARTE I. FALLAS MULTIPLES DEPENDIENTES

CAPITULO 1
INTRODUCCION AL ANALISIS DE LAS FALLAS DEPENDIENTES .......................... 1
1.1. Conceptos y definiciones fundamentales ...................................................4
CAPITULO 2
MECANISMOS DE OCURRENCIA DE LAS FALLAS DEPENDIENTES....................8
2.1 Panorámica general de los mecanismos de sucesos dependientes ..............8
2.2. Causa raíz de falla .......................................................................................8
2.3 Mecanismos de acoplamiento....................................................................14
2.4 Defensas contra fallas dependientes..........................................................19
CAPITULO 3
METODOS DE MODELACION DE LAS FALLAS DEPENDIENTES EN
LOS ANALISIS DE CONFIABILIDAD Y RIESGO.......................................................27
3.1 Tipos de dependencias...............................................................................28
3.2 Método explícito........................................................................................31
3.3 Método implícito .......................................................................................34
CAPITULO 4
SISTEMA PARA LA CLASIFICACION DE LOS DATOS............................................39
4.1 Estado de los componentes........................................................................40
4.2 Modos de falla ...........................................................................................42
4.3 Clasificación de las causas ........................................................................46
4.4 Diagrama lógico de causa-efecto...............................................................51
4.5 Clasificación de los sucesos ......................................................................52

I
CAPITULO 5
PROCEDIMIENTO SIMPLIFICADO PARA EL ANALISIS DE LAS
FALLAS DE CAUSA COMUN .......................................................................................56
5.1 Presentación general del procedimiento de análisis ..................................57
5.2 Definición y modelación del sistema ........................................................58
5.3 Análisis cualitativo ....................................................................................59
5.4 Análisis cuantitativo limitado....................................................................66
CAPITULO 6
EJEMPLO DE ANALISIS DE FALLAS DE CAUSA COMUN A UN
SISTEMA HIPOTETICO DE EXTINCION DE INCENDIOS........................................74
6.1 Definición y modelación del sistema ........................................................74
6.2 Análisis cualitativo ....................................................................................89
6.3 Análisis cuantitativo limitado....................................................................89
BIBLIOGRAFIA .............................................................................................................129
PARTE II - TRATAMIENTO DE LAS ACCIONES HUMANAS
CAPITULO 7
EL COMPONENTE HUMANO DEL SISTEMA TECNOLOGICO.............................132
7.1 Introducción.............................................................................................132
7.2 El error humano en la industria ...............................................................133
7.3 El sistema hombre-máquina ....................................................................137
CAPITULO 8
PRINCIPALES TERMINOS Y DEFINICIONES ..........................................................141
8.1 Error humano...........................................................................................141
8.2 Esquemas de clasificación del error humano ..........................................141
8.3 Tipos de acciones humanas .....................................................................143
8.4 Fiabilidad humana ...................................................................................145
8.5 Análisis de fiabilidad humana .................................................................145
8.6 Probabilidad de error humano (HEP) ......................................................146
8.7 Modelos del comportamiento humano ....................................................146

II
CAPITULO 9
FACTORES DE INCIDENCIA EN EL COMPORTAMIENTO. TRATAMIENTO
DE LAS DEPENDENCIAS HUMANAS .......................................................................149
9.1 Factores de incidencia en el comportamiento .........................................150
9.2 Tratamiento de las dependencias.............................................................156
CAPITULO 10
THERP : UN METODO DE ANALISIS DE FIABILIDAD HUMANA.......................159

10.1 Origen de la técnica THERP ...................................................................159

10.2 Descripción del THERP ..........................................................................160
10.3 Arbol de eventos del análisis de fiabilidad humana (AEAFH) ...............162
10.4 Datos de fiabilidad humana. Base de datos de THERP...........................164
CAPITULO 11
CONSIDERACIONES ADICIONALES SOBRE LOS ERRORES
PREACCIDENTALES Y POSTACCIDENTALES.......................................................168
11.1 Indisponibilidad por causas humanas......................................................168
11.2 Errores cognoscitivos ..............................................................................173
11.3 Comentarios finales .................................................................................175
CAPITULO 12
EJEMPLO DE ESTIMACION DE LA PROBABILIDAD DE ERROR HUMANO.....176
ANEXOS
Tabla A-1 Probabilidades estimadas de los errores de omisión en el uso de
procedimientos escritos............................................................................181
Tabla A-2 Probabilidades estimadas de errores de comisión en operaciónde controles
manuales ..................................................................................................182
Tabla A-3 Probabilidades estimadas de errores de selección de válvulas localmente
operadas ...................................................................................................183
Tabla A-4 Probabilidades estimadas de errores de detección de enclavamiento de
válvulas localmente operadas ..................................................................184
Tabla A-5 Niveles de etiquetado para los sistemas de cierre....................................185

BIBLIOGRAFIA .............................................................................................................186

III
 PROLOGO

Uno de los aspectos que presenta mayor complejidad, dentro del campo del análisis
de confiabilidad y riesgo en la industria, está constituidos por las dependencias que pueden
introducirse en el diseño y la explotación de las instalaciones, debido a la incidencia de la
fallas múltiples de equipos y de los errores imputables al componente humano, que
conducen a la disminución de la disponibilidad y pueden deteriorar considerablemente su
seguridad.

En este libro, producto de la actividad conjunta de especialistas de la Universidad

Gran Mariscal de Ayacucho y el Instituto Superior de Ciencias y Tecnología Nucleares, se
tratan los aspectos teóricos y los modelos matemáticos sobre los cuales se basa el estudio
de las fallas múltiples dependientes y los errores humanos y se proporcionan, a través de un
desarrollo amplio y detallado, ejemplos para su evaluación, tanto desde el punto de vista
del diseño, como de la operación y el mantenimiento de instalaciones, bajo un esquema
metódico aprobado y recomendado por las organizaciones a las cuales compete velar por
la seguridad de las centrales nucleares en el ámbito internacional.

Esta publicación es única en su género y compendia las experiencias acumuladas

en industrias de proceso y en organizaciones de alto nivel de excelencia y riesgo, como las
industrias aerospacial, aeronáutica y núcleo-energética, en las cuales la seguridad es objeto
de especial atención. El lector podrá disponer de una guía pormenorizada y actualizada,
además de un invalorable instrumento de soporte para la toma de decisiones relativas a la
seguridad y disponibilidad de la industria, que contribuirá a evitar las salidas de servicio
no planificadas de las instalaciones y a prevenir la ocurrencia de accidentes importantes,
que pueden conducir a graves consecuencias para la salud del hombre, la integridad del
medio ambiente y la economía de las empresas industriales.

IV
 CAPITULO 1

PARTE I FALLAS MULTIPLES DEPENDIENTES

INTRODUCCION AL ANALISIS DE LAS FALLAS DEPENDIENTES

En las modernas industrias los diseños de los sistemas han evolucionado hacia el logro de
altos parámetros de disponibilidad y confiabilidad en el cumplimiento de sus funciones.
Tanto por razones económicas como de seguridad, es de sumo interés para diseñadores y
explotadores que su industria mantenga niveles de eficiencia y seguridad aceptables, para
lo cual se realizan inversiones que, en dependencia del tipo de proceso tecnológico que se
lleve a cabo, pueden constituir una fracción significativa del costo total de la inversión.

La experiencia ha demostrado que cuando no se toman las medidas adecuadas desde la

etapa de proyección y durante la explotación de una instalación compleja, pueden ocurrir
incidentes con graves consecuencias para la economía, la salud del hombre y el medio
ambiente. Por tal motivo, no es prudente comprometer la seguridad de la industria a largo
plazo por una economía a corto plazo. También es conocido que muchas de las medidas
introducidas para elevar la seguridad de la industria implican mejoras en sus índices de
disponibilidad.

La aplicación de las técnicas de análisis de confiabilidad y riesgo en la industria de

procesos, la aerospacial, la aeronáutica civil y la núcleo-energética ha revelado
interioridades significativas del diseño, operación y mantenimiento de estas instalaciones,
que sirven de herramienta de apoyo a sus especialistas en la toma de decisiones relativas a
la seguridad y disponibilidad de la industria, contribuyendo a prevenir tanto salidas de
servicio no planificadas, como accidentes importantes.

Uno de los problemas que requiere una atención especial dentro de estos estudios, es el
análisis de las dependencias que pueden introducirse en el diseño y la explotación de las
instalaciones complejas, las cuales pueden detectarse eficazmente durante la realización del
análisis y contra las que deben tomarse las medidas pertinentes, debido a su incidencia en el
incremento de la frecuencia de ocurrencia de sucesos de fallas múltiples, que disminuyen la
disponibilidad de la industria y pueden deteriorar considerablemente su seguridad.

Los diseños de los sistemas de las complejas industrias modernas aplican la redundancia en
componentes principales para disminuir la indisponibilidad y la probabilidad de falla de
estos, de modo que se garantice el grado requerido de disponibilidad y seguridad. Sin
embargo, la existencia de mecanismos capaces de propagar una falla de un componente a
otros similares atenta contra el logro de las metas de confiabilidad de los diseños,
degradando la redundancia introducida. Por otro lado, es imposible prever en su totalidad
estos mecanismos durante el diseño de un sistema, fundamentalmente cuando éste se
interrelaciona con otros para cumplir su función y existen requerimientos económicos y de
plazos que deben satisfacerse. Dentro de tales mecanismos se encuentran los errores

1
humanos en las actividades de inspección y mantenimiento, aspecto que se aborda en la
Parte II del presente texto.

Un papel importante en el logro de la disminución de la probabilidad de ocurrencia de

fallas de causa común en la industria, lo juega el uso de técnicas de análisis de
confiabilidad que permiten desarrollar un modelo en el que se integran todos los aspectos
que influyen sobre la confiabilidad de sistemas, detectándose sus puntos débiles y
orientando los esfuerzos de la gerencia y el personal técnico hacia los problemas
dominantes, optimizándose, así, las medidas preventivas.

Por otra parte, el incremento de la redundancia en los sistemas tiende a aumentar la

contribución relativa de las fallas de causa común a la indisponibilidad de estos, por lo que
se justifica con mayor razón la inclusión de modelos que permitan tomarlos en
consideración y cuantificarlos. Estos sucesos tienen una frecuencia relativamente baja con
relación a las fallas únicas aleatorias o independientes para un mismo tipo de componente,
pero de hecho han ocurrido y sus efectos pueden tener consecuencias importantes, en
dependencia de la función de los componentes afectados dentro del sistema. De hecho se
reconoce, a partir de la experiencia de operación de las centrales nucleares y de los
resultados de estudios de confiabilidad y riesgo realizados, que los sucesos dependientes
son los mayores contribuyentes al riesgo debido a accidentes potenciales en esta industria
[1, 2, 4, 6].

No obstante, resulta difícil la identificación y el análisis de los sucesos dependientes debido

a la diversidad de factores que influyen (de origen humano y físico) y al hecho de que con
frecuencia se dificulta saber, a partir de los registros disponibles, si las fallas múltiples
ocurrieron por una causa común o por causas diferentes, es decir, si se pueden clasificar
como fallas dependientes o fallas independientes. También es de destacar que todos los
sucesos dependientes no se tratan de igual modo en los análisis de confiabilidad y riesgo, y
ello se aborda más adelante en los Capítulos 2 y 3. Aunque su efecto sobre la
disponibilidad y confiabilidad de sistemas es el mismo, el presente texto hace mayor
hincapié en las llamadas dependencias residuales (identificadas en el argot técnico como
fallas de causa común), por su complejidad y particularidades.

A modo de ilustración en la Tabla 1-1 (adaptada de las ref.) ([1, 2]) se muestra una relación
de sucesos de fallas ocurridos en centrales nucleares de los Estados Unidos en un período
de 10 a 12 años, que cubre un total de 394 a 563 reactor-años de experiencia. En la misma
aparecen clasificados los sucesos en independientes y dependientes, tras un análisis
exhaustivo de los 2654 registros disponibles pertenecientes a 10 tipos de componentes
diferentes. En los registros se incluyeron tanto las fallas evidentes (reales) como las
potenciales, luego de analizar los diagramas lógicos de causa-efecto para cada uno. De los
2654 sucesos, 422 fueron clasificados como sucesos dependientes, de los cuales 113 se
identificaron como sucesos genéricos de causa común, que significa que para determinar su
aplicabilidad a cualquier instalación específica debe realizarse un proceso de selección
adicional.

2
 Tipo de suceso
____________________________________________
Componente Reactor- Número de Independientes Dependientes Genéricos de
Años Sucesos Causa Común
Clasificados(a) ______________
Potencial Real

Interruptores de 563 72 56 16 3 8
Disparo del Reactor

Generadores Diesel 394 674 639 35 9 13

Válvulas Motorizadas 394 947 342 105 17 25

Válvulas de Seguridad
Reactores PWR 318 54 30 24 0 0
Reactores BWR 245 172 136 36 7 7

Bombas
Inyección de Seguridad 394 112 77 35 2 6
Extracción de Calor Res. 394 117 67 50 2 3
Spray de Contención 394 48 32 16 1 1
Alimentación Auxiliar 394 255 194 61 2 3
Agua de Servicio 394 203 159 44 2 2

Total - 2654 2232 422 45 68

a. Sucesos con uno o más estados de componente reales o potenciales (falla o indisponibilidad
funcional).

Tabla 1-1. Clasificación resumida de sucesos de falla.

Una subclasificación de los sucesos presentados en la Tabla 1-1 según su causa, indica que
las fallas de causa común originadas por errores humanos representaban el 50 % de todos
los sucesos de este tipo [2], no obstante, por su importancia y peculiaridades todos los
aspectos relacionados con las acciones humanas se tratan de manera separada en la Parte II
del presente texto.

Es importante señalar que, a pesar de que los datos que muestra la Tabla 1-1 son extraídos
de la industria nucleoenergética, este problema puede estar presente también en cualquier
industria convencional moderna de alta complejidad, pues la base tecnológica del mismo no
depende de la fuente de energía o del tipo de proceso dado, sino del diseño de los sistemas
y de la organización de la explotación, como se verá más adelante. Sin embargo, los
requerimientos de excelencia impuestos a esta industria han fomentado el intercambio de
experiencias y la divulgación de las buenas y malas prácticas como fuente de enseñanza, lo
que ha facilitado tanto el desarrollo de los métodos de análisis, como la documentación de

3
una amplia gama de estudios de este tipo que pueden servir de referencia para trabajos
similares en la industria convencional.

1.1. Conceptos y definiciones fundamentales.

Con el fin de establecer un lenguaje común que ayude al lector a comprender integralmente
la materia que se discute a lo largo de esta parte del texto, seguidamente se destacan los
conceptos y definiciones fundamentales relativos al análisis de los sucesos dependientes.
Aunque estos pueden encontrarse en la literatura especializada, han sido incluidos aquí para
lograr la mayor consistencia posible, dentro del fin que se persigue. Los conceptos y
definiciones específicos relativos a determinada parte del texto aparecen en ésta según se
requiera.

Componente: Elemento designado para cumplir una función particular dentro de un

sistema o instalación. Sus fronteras dependen del grado de detalle con que se realice el
análisis. La jerarquía del nivel de detalle de la modelación de una instalación va desde la
instalación, al sistema, al subsistema, al componente y a la pieza-componente. Desde el
punto de vista de la modelación de sistemas, el componente marca el nivel de detalle
inferior en la representación de los equipos en el modelo.

Estado de componente: Posición del componente con respecto a la función a él asignada.

Se definen dos categorías generales al respecto:

1. Disponible: estado que presenta el componente si es capaz de ejecutar su función

en correspondencia con un criterio de éxito especificado.

2. Indisponible: estado que presenta el componente si no es capaz de ejecutar su

función en correspondencia con un criterio de éxito especificado. Se definen dos
subconjuntos de este estado, a saber, falla y funcionalmente indisponible.

a. Falla: el componente no es capaz de ejecutar su función en correspondencia con un

criterio de éxito especificado. Para llevar el componente al estado disponible es
necesario realizar la reparación o la restitución del mismo. Un suceso se considera
además como falla cuando el componente ejecuta su función sin haberse requerido
ésta, o cuando éste ejecute su función al ser requerida pero no detenga su operación
una vez satisfecho el criterio de éxito, ya que la detención de la operación cuando se
requiera es parte del criterio de éxito.

b. Funcionalmente indisponible: el componente como tal es capaz de operar, pero la

función asignada a éste está indisponible debido a factores externos a sus fronteras,
como puede ser la ausencia de señal de actuación, de alimentación eléctrica, del
enfriamiento, acciones de mantenimiento y prueba, interferencia impropia de alguna
persona, o condiciones ambientales anormales.

4
Dentro de los estados de componente puede definirse otra categoría para incluir los casos
en que, a pesar de que el componente ejecuta su función dentro de los límites del criterio de
éxito especificado, se observa alguna anomalía en su funcionamiento que indica que éste
no se encuentra en su condición o estado nominal, aunque no pueda considerarse
indisponible. Esta categoría se refiere al estado potencialmente indisponible.

3. Potencialmente indisponible: estado en el que el componente es capaz de ejecutar

su función en correspondencia con un criterio de éxito especificado, pero existe una
condición degradada o incipiente.

a. Estado degradado: el componente está en tal estado que se observa una reducción
en su capacidad de trabajo, pero a un nivel tal que no puede considerarse
indisponible en correspondencia con el criterio de éxito especificado. Por ejemplo,
una bomba que entrega un caudal inferior al 100%, pero dentro del margen
establecido de funcionamiento (según el criterio de éxito).

b. Estado incipiente: el componente se encuentra en una condición tal que, si no se

corrige, podría llegar con el tiempo a un estado degradado o indisponible. Por
ejemplo, una bomba que presente una fuga de aceite de lubricación de sus
rodamientos de magnitud considerable, si no se corrige el defecto puede sufrir un
daño severo.

Suceso: Ocurrencia de uno o más estados de componente interrelacionados de manera

causal.

Suceso básico: Suceso incluido en un modelo lógico que representa un estado en el que un
componente o grupo de componentes está indisponible.

Suceso básico independiente: Dos sucesos, A y B, son independientes estadísticamente si

la ocurrencia de uno no modifica la probabilidad de ocurrencia del otro. Es decir, si se
cumple la siguiente ecuación:

P(A * B) = P(A) * P(B).

Suceso básico dependiente: Dos (o más) sucesos básicos son estadísticamente

dependientes si la ocurrencia de cualquiera de ellos modifica la probabilidad de ocurrencia
del otro (o de los otros). Es decir, si no se cumple la ecuación anterior. En este caso se
cumple la siguiente ecuación:

P(A * B) = P(A) * P(B/A) = P(B) * P(A/B) ≠ P(A) * P(B).

Suceso básico de causa común: Subconjunto de sucesos básicos dependientes en el cual

existen al mismo tiempo, o en un intervalo corto de tiempo, dos o más estados de falla de
componente, que son el resultado directo de una causa compartida o, dicho de otra forma,
es un suceso que implica la falla de causa común de un subconjunto específico de
componentes dentro de un grupo de componentes de causa común. Este suceso (o causa) no

5
incluye el estado indisponible de otro componente, que es el resultado de mecanismos de
acoplamiento funcionales y que normalmente se incluye de manera explícita en los
modelos lógicos (por ejemplo, árboles de falla). Este caso se refiere a aquellos sucesos que
no pueden ser incluidos explícitamente en los modelos lógicos, sino a través de modelos
paramétricos, y son referidos comúnmente como fallas de causa común (FCC).

Grupo de componentes de causa común: Grupo de componentes, usualmente similares,

que se consideran con alta potencialidad de falla de causa común.

Causa inmediata (o directa): Es una caracterización de aquella condición que conduce

evidentemente a la falla del componente. Se puede definir como el síntoma de la causa
básica de la falla, pero no necesariamente proporciona una comprensión completa de qué
condujo a tal condición. No se considera como la caracterización más útil de sucesos de
falla en relación con la identificación de las acciones correctivas apropiadas.

Causa raíz: Mecanismo básico por el cual se produce la falla de un componente, de modo
que si se corrige se evitará la recurrencia de ésta (¿por qué falla el componente?). Este
concepto tiene carácter subjetivo y va a estar asociado con la estrategia defensiva particular
que se adopte contra el mecanismo de falla, de modo que la identificación de una causa raíz
va asociada con la ejecución de las defensas. Este concepto se complementa con los de
suceso activador y suceso condicionador. Pueden identificarse cuatro tipos generales de
causas raíces:

1. Físicas (hardware): Fallas aleatorias aisladas del equipo debidas a causas

inherentes al componente afectado.

2. Humanas: Errores durante las actividades de la instalación relacionadas con el

diseño, la operación, el mantenimiento, las pruebas, la fabricación y la
construcción.

3. Ambientales: Sucesos externos al equipo pero internos a la instalación, que crean

condiciones ambientales que resultan en esfuerzos aplicados a éste.

4. Externas: Sucesos externos a la instalación que crean condiciones ambientales que

resultan en esfuerzos aplicados al equipo.

Suceso condicionador: Suceso que predispone a un componente a la falla, o incrementa su

susceptibilidad a la falla, pero por sí solo no causa dicha falla. Su efecto es latente y en
muchos casos se presenta como contribución necesaria al mecanismo de falla.

Suceso activador: Suceso, usualmente externo al componente, que activa la falla o inicia
la transición hacia el estado de falla, independientemente de que la falla es revelada en el
momento en que ocurre dicho suceso. Se considera como una característica dinámica del
mecanismo de falla.

6
Mecanismo de falla: Procesos de origen físico y/o químico involucrados en (o
responsables por) la ocurrencia de una falla, incluyendo los sucesos e influencias que
conducen a la misma.

Mecanismo de acoplamiento: Vía por la cual se explica cómo una causa raíz de falla se
propaga para implicar a múltiples componentes del equipo. Existen tres categorías
generales: Funcionales, Espaciales y Humanos.

1. Acoplamientos funcionales: Ocurren en diseños con equipos compartidos, equipos

físicamente separados, pero acoplados a través de conductores ambientales como,
por ejemplo, sistemas de ventilación y climatización, etc.

2. Acoplamientos espaciales: Ocurren en equipos ubicados en un mismo local, o

dentro de una misma barrera contra incendio, inundación o impacto de objetos.
También se encuentran en este caso los equipos ubicados en locales diferentes pero
que pueden ser afectados de manera similar por una condición ambiental extrema,
dada posiblemente por la rotura de alguna barrera.

3. Acoplamientos humanos: Ocurren como resultado de actividades relacionadas con

el diseño, fabricación, construcción y montaje, control de calidad, dirección de la
instalación, procedimientos de operación, de emergencia, de mantenimiento, y de
pruebas e inspección.

Dependencias residuales (o paramétricas): Se le denomina a las dependencias que no

pueden ser incluidas de manera explícita en los modelos lógicos por no estar identificada de
manera clara su causa raíz o por no contar con los datos que permitan su evaluación
individual. Sus efectos se tienen en cuenta de forma implícita a través de modelos
paramétricos (vea sucesos básicos de causa común).

Táctica defensiva: Medida que puede ser introducida en el diseño, las pruebas funcionales
y el mantenimiento, para disminuir la frecuencia o el impacto de las fallas.

Estrategia defensiva: Enfoque adoptado para utilizar las tácticas defensivas.

7
 CAPITULO 2
MECANISMOS QUE RIGEN LA OCURRENCIA
DE LAS FALLAS DEPENDIENTES

2.1. Panorámica general de los mecanismos de los sucesos dependientes.

Para comprender la mecánica que rige la ocurrencia de los sucesos dependientes deben
responderse las tres preguntas siguientes:

-¿Por qué fallan o están indisponibles los componentes?

-¿Cuál es la causa de las fallas múltiples?
-¿Qué características (o defensas) podrían evitar que tales fallas múltiples ocurran en la
instalación (o sistema) específica?

Estas preguntas se relacionan con los tres factores siguientes: la causa raíz de la falla o
estado indisponible del componente; el mecanismo responsable por la propagación de dicha
causa hacia otros componentes, que provoca la falla múltiple (mecanismo de
acoplamiento); y la existencia o ausencia de defensas tecnológicas u operacionales contra
las fallas de equipo en la instalación.

Así, puede establecerse que las fallas dependientes son el resultado de la coexistencia de
los dos primeros factores anteriores: el primero (causa raíz) proporciona la susceptibilidad
del componente a la falla; el segundo (mecanismo de acoplamiento) crea las condiciones
para que se produzcan fallas múltiples de componentes, dada la existencia de una causa
raíz. Finalmente, puede identificarse el tercer factor (estado de las defensas contra fallas
dependientes) como determinante para la consideración o no de la posibilidad de ocurrencia
de estas fallas, es decir, como medio para eliminar la incidencia de al menos uno de los dos
factores anteriores. De esta manera, de acuerdo con la estrategia de defensa incorporada en
el diseño y explotación de una instalación puede considerarse posible o no la ocurrencia de
fallas múltiples dependientes.

2.2. Causa raíz de falla.

En la práctica a menudo nos encontramos con reportes de falla con una descripción
bastante simple del problema como, por ejemplo, una bomba ha fallado debido a la
presencia de una alta humedad. Sin embargo, para poder comprender a fondo cuál es la raíz
del problema y su potencialidad de provocar fallas múltiples se necesita conocer la razón de
esa alta la humedad y por qué ésta afectó al componente. Ello equivale a decir que es
necesario conocer la cadena causal de la falla, es decir, la secuencia de sucesos que la
determinaron.

Esta secuencia de sucesos, que constituye el mecanismo de falla, puede tener cierto grado
de complejidad, por lo que su identificación no siempre es un proceso simple y puede
encontrarse en la literatura una variedad de métodos para su determinación [13, 14].

8
En la cadena causal de un suceso pueden identificarse varios niveles de causa en función de
su complejidad. La causa inmediata caracteriza el síntoma de la causa final o causa raíz,
pero esta última tiene un carácter relativo, dependiendo en gran medida de la profundidad
del análisis que se realice para su determinación, así como de las defensas que han de
adoptarse para evitar la recurrencia de la falla. En ocasiones es difícil llegar a determinar la
verdadera causa raíz, ya que puede no disponerse de toda la información requerida para
ello.

Para lograr una mejor comprensión del problema durante el proceso de revisión de datos
sobre sucesos ocurridos, es conveniente apoyarse en los dos conceptos siguientes: el suceso
condicionador y el suceso activador.

El suceso condicionador se identifica como aquel que incrementa la susceptibilidad del

componente a la falla. Por ejemplo, en el caso citado al inicio del presente epígrafe el
suceso condicionador podría haberse identificado como un error del personal a dejar
correctamente sellado el centro de control del motor de la bomba tras el mantenimiento. En
este caso, el efecto de este error es latente y se presenta como condición necesaria para que
se produzca la falla ante la presencia de otro factor de carácter dinámico, que sería el
responsable por la transición del componente al estado fallado, es decir, el suceso
activador. En este caso el suceso activador, que generalmente es externo al componente,
será aquel que provoque la alta humedad en el local donde se ubica la bomba.

No siempre es necesario, ni posible, definir un único suceso condicionador y otro activador

para cada tipo de falla, no obstante, estos conceptos son útiles ya que enfocan el problema
desde el punto de vista de la existencia de una causa inmediata y de causas secundarias
cuyo papel es incrementar la susceptibilidad del componente a la falla dada la presencia de
determinadas condiciones facilitadoras.

En la Tabla 2.2-1, adaptada de la ref. ([4]) se resume la aplicación de estos conceptos al

análisis de causas mediante cuatro ejemplos de sucesos de falla. En ella se aprecia el hecho
de que el suceso condicionador ocurre antes de que se produzca la falla, de modo que su
efecto es el debilitamiento del componente, mientras que el suceso activador se relaciona
con la transición del componente al estado de falla. Este último suceso puede ocurrir en
cualquier instante de operación de la instalación, en el cual el componente puede
encontrarse en espera de que se requiera su actuación (régimen de espera), ya sea por una
demanda real o producto de una prueba funcional, y no será hasta ese momento que podrá
ser revelada la falla. Evidentemente, si el suceso activador ocurre durante el
funcionamiento del componente, o si el estado del componente es continuamente vigilado,
el mismo será revelado en el acto.

Otros conceptos de interés con relación a los mecanismos de falla, se refieren a la velocidad
con que estos actúan sobre el componente. Estos son de especial importancia a la hora de
considerar las posibles medidas de defensa, como se verá posteriormente en el epígrafe 2.3.

9
Suceso de falla Causa Inmediata Suceso Activador Suceso Condicionador Causa Raíz

1.Falla en operación de Corrosión por alta Fuga de vapor en el Centro de control de mo- Falta de atención
una bomba por hume- humedad local de la bomba tor mal sellado por error durante el mante-
dad en el centro de tras el mantenimiento nimiento y/o de-
control de motor ficiencias en los
procedimientos

2.Componente cuya prueba Error de diseño Error de diseño Ninguno Error en la concep-
funcional fue exitosa, ción del diseño y en
falla ante una demanda la configuración de
real la prueba

3a.Un componente falla Error de manteni- Acto de manteni- Error o ambigüedad Error o ambigüedad
tras el mantenimiento miento miento en los procedimien- en los procedimien-
tos tos y entrenamiento
inadecuado del per-
sonal

3b.Un componente falla Error de manteni- Acto de manteni- Entrenamiento ina- Entrenamiento ina-
tras el mantenimiento miento miento decuado y falta de decuado y falta de
atención durante motivación
el mantenimiento

4.Falla mecánica del eje Alta vibración Exposición cumula- Error de montaje Entrenamiento ina-
de una bomba tiva de la bomba a decuado del personal
una vibración exce- de montaje y defi-
siva ciencia de los proce-
dimientos de montaje

Tabla 2.2-1. Ejemplos que ilustran los mecanismos de falla.

En la ref. [4] se definen dos tipos de sucesos activadores con respecto a su velocidad de
actuación sobre el componente, los impulsivos (de acción rápida) y los persistentes (de
acción lenta). La velocidad de actuación de los mecanismos de falla impulsivos puede
medirse a través del tiempo entre la ocurrencia del suceso activador y la falla como tal,
mientras que para los mecanismos de falla persistentes ésta puede medirse por el tiempo
que demora el proceso de degradación hasta el momento de la falla. Como ejemplos de
fallas resultantes de mecanismos impulsivos están aquellas debidas a incendios,
inundaciones, explosiones y terremotos, donde el tiempo que transcurre entre el suceso
activador y la falla suele ser del orden de minutos o, a lo sumo, de unas pocas horas.

Ejemplos de fallas resultantes de la actuación de mecanismos persistentes son las fallas

debidas a la humedad, las vibraciones, las temperaturas extremas, etc., donde tales
condiciones pueden permanecer durante semanas, meses, e incluso años, antes de que se
produzca la falla.

10
Para completar la idea sobre los mecanismos de falla, se puede definir finalmente el
concepto de causa raíz como la razón o razones básicas por las que falla un componente,
de modo que si cualquiera de ellas es corregida, se evitaría la recurrencia de la falla.
Partiendo de esta definición puede comprenderse que la identificación de la causa raíz está
estrechamente vinculada a ejecución de medidas de defensa contra la ocurrencia de las
fallas.

La causa raíz puede estar asociada con un suceso condicionador, un suceso activador o a
ambos inclusive, como indican los ejemplos de la Tabla 2.2-2. Sin embargo, en la
descripción de los sucesos ocurridos en las instalaciones suele aparecer la causa inmediata
o directa de estos en lugar de la causa raíz que es, en última instancia, la que permite lograr
una comprensión cabal de los fenómenos que conducen a la falla, con el fin de evaluar las
medidas de defensa adecuadas.

Por ejemplo, la causa inmediata del suceso No.1 de la Tabla 2.2-1 se ha identificado como
"corrosión debida a la penetración de humedad". Así aparece registrada en muchos
documentos de notificación de sucesos ocurridos en la industria (por ejemplo, Licensee
Event Reports, de las centrales nucleares de los Estados Unidos). Sin embargo, la razón de
la penetración de humedad en este caso fue un error humano al no sellar de forma
apropiada el equipo tras la realización del mantenimiento. En la última columna de la tabla
se indica que ello se debió a dos factores, uno fue la falta de atención durante el
mantenimiento, ya que el personal debe estar familiarizado con esta parte de la tarea pues
labora con frecuencia con equipos que necesitan ser rehermetizados, y por otro lado, a
deficiencias en los procedimientos escritos donde no aparecía ninguna disposición para la
rehermetización del equipo tras el mantenimiento. De aquí se deduce que la corrosión
debida a la penetración de humedad no fue la causa raíz de este suceso sino sólo el efecto
de la combinación de ciertas deficiencias.

Para determinar la causa raíz de las fallas debe procederse partiendo de las causas
intermedias hasta llegar a la causa final, para lo cual puede realizarse un análisis de "causa-
efecto" como el que se presenta en el ejemplo de la Tabla 2.2-1 (adaptada de la ref. [4]),
donde dos válvulas redundantes fallan a la apertura por falta de lubricante en sus
rodamientos. Esto a su vez se debió a la falta de un mantenimiento preventivo adecuado.
Finalmente, la causa raíz de ambas fallas se determinó como una deficiencia en la
programación realizada, que no incluía un sistema de programación formal para las
válvulas dentro del mantenimiento preventivo de la instalación. Con frecuencia se pueden
encontrar sucesos similares a éste, donde se identifican erróneamente como causa raíz "la
falla de los rodamientos", "falta de lubricante", o "error humano", cuando en realidad
representan causas inmediatas e intermedias de toda la secuencia de sucesos implicados.

11
 Causa Inmediata Efecto

Funcionamiento defectuoso Válvulas redundantes V1 y V2 fallan a la

apertura

Desgaste de rodamientos Funcionamiento defectuoso

Rodamientos sin lubricante Desgaste de rodamientos

Error en el mantenimiento Rodamiento sin lubricante

preventivo

Planificación inadecuada del Error en el mantenimiento preventivo

mantenimiento preventivo

Tabla 2.2-2. Análisis "causa-efecto" de una falla de causa común.

Constituye una práctica realizar el análisis de causa raíz fundamentalmente en el caso de

componentes principales o que presenten fallas repetitivas, ya que ello puede requerir
esfuerzos y medios que normalmente no están disponibles en la instalación. Por ejemplo,
un componente de cierta complejidad necesita ser desmontado y enviado al suministrador
para determinar la causa raíz de su falla. Pero puede que los resultados de la investigación
del suministrador no sean aún concluyentes, lo que significa que pueden existir
frecuentemente elementos de incertidumbre en torno a este aspecto, sobre todo en los casos
donde muchas causas contribuyen a la falla del componente y se hace difícil identificar la
verdadera causa raíz.

Como ya se ha señalado, el concepto de causa raíz está atado a las medidas de defensa que
se adopten, por lo que éste puede ser interpretado de distinta manera por diferente personal,
en la medida en que sean empleados enfoques distintos (diferente estrategia defensiva) en
diferentes instalaciones para prevenir la recurrencia de un suceso de falla. Ello significa que
en distintas instalaciones se le pueden atribuir diferentes causas raíces a un mismo suceso
de falla. La razón de esto es que la filosofía de dirección en las instalaciones no es
necesariamente la misma, como tampoco lo es la experiencia técnica del personal, los
enfoques adoptados para el mantenimiento y la investigación, ni la distribución de los
recursos disponibles. Los dos ejemplos siguientes extraídos de la ref. [4], ilustran este
problema.

En una instalación explotada por la Empresa "X" ha ocurrido un suceso que implica la
falla de varios componentes redundantes. Tanto el explotador como el suministrador
llegaron a la conclusión, tras un análisis detallado del suceso, de que los programas de
mantenimiento preventivo y calibración presentan las siguientes deficiencias:

12
• El personal de mantenimiento no tiene el nivel de preparación ni la experiencia
requeridos, para ejecutar trabajos de mantenimiento en este tipo de equipo en la forma
apropiada.

• La frecuencia del mantenimiento preventivo y de las actividades de calibración no es la

adecuada para asegurar la operación confiable del equipo.

La gerencia de la empresa ha tomado en consideración dichas conclusiones y decide que

la razón básica por la que ocurrió el suceso fue haber adquirido un equipo de mucha
complejidad y difícil de mantener. Este hecho no está en consonancia con la filosofía de la
Empresa "X" que es adquirir equipos simples y fáciles de mantener, que implica un mayor
costo inicial, pero que se compensa con el ahorro debido al menor costo del
mantenimiento. Tanto la gerencia como el personal de mantenimiento están de acuerdo en
que el equipo fallado debe sustituirse por un equipo diferente que tenga menores
requerimientos de mantenimiento. En instalaciones donde se aplique esta filosofía de
mantenimiento, la causa raíz de un suceso de este tipo es reportada comúnmente como
deficiencia de diseño (selección del equipo inapropiado).

Un suceso similar ocurre ahora en una instalación explotada por la Empresa "Y" y en este
caso también se obtienen las mismas conclusiones que en el anterior. La gerencia de la
Empresa "Y", luego de analizar dichas conclusiones decide que la razón básica de la
ocurrencia del suceso fue un error durante el mantenimiento. La filosofía de la Empresa
"Y" es muy distinta a la de la Empresa "X". El grupo de mantenimiento de la Empresa "Y"
está bien entrenado y equipado para ejecutar trabajos de mantenimientos e investigación
de mayor complejidad que los que usualmente realiza. Las investigaciones detalladas
sobre las fallas del equipo se llevan a cabo en la propia instalación, por lo que los costos
asociados se compensan al no tener que enviar los equipos al suministradror para realizar
este trabajo.

La gerencia de la Empresa "Y" estima que la instalación cuenta con la cantidad y calidad
de personal apropiadas para realizar los trabajos de mantenimiento con la calidad y en el
tiempo requeridos, por lo que recomienda ejecutar una revisión de los procedimientos y
actividades de mantenimiento concernientes al equipo afectado por este suceso y otros en
condiciones similares, de modo que se asegure que cada tarea la realice el personal
apropiado y que el intervalo de mantenimiento planificado sea el adecuado. En
instalaciones donde se aplique esta filosofía de mantenimiento la causa raíz de un suceso de
este tipo se reporta comúnmente como error de mantenimiento.

A modo de resumen debe señalarse que los conceptos de suceso activador, suceso
condicionador y causa raíz se complementan entre sí. Los dos primeros ayudan a
comprender qué pasa al ocurrir una falla y cómo falla el componente, mientras que el
último ayuda a comprender por qué falla el componente. La identificación de la causa raíz
puede incluir varios niveles de análisis deductivo en función de la profundidad o nivel de
detalle que se requiera. Finalmente, es importante destacar que los conceptos y métodos
descritos más arriba son aplicables al análisis de todo tipo de fallas, tanto dependientes

13
como independientes y, de hecho, un análisis completo de las fallas de causa común debe
integrar ambos tipos de fallas.

En el Capítulo 4 (epígrafe 4.3) se presenta una clasificación de las causas de falla [1, 2],
que ayuda a completar la comprensión del problema en torno a la identificación y análisis
de las mismas.

2.3. Mecanismos de acoplamiento.

La ocurrencia de fallas múltiples es de especial interés cuando se presentan en

componentes redundantes, es decir, aquellos que son idénticos o similares y cumplen la
misma función dentro de un sistema como, por ejemplo, las bombas de agua de
alimentación de una caldera o generador de vapor, las bombas de enfriamiento del
condensador de una unidad generadora de electricidad, los generadores Diesel de
emergencia de una instalación, etc. Esto es así debido a que estas fallas disminuyen la
disponibilidad y confiabilidad de los sistemas o de una instalación en su conjunto y pueden
afectar su seguridad. Por su lado las fallas múltiples de componentes no redundantes tienen
importancia desde el punto de vista de los trabajos de mantenimiento correctivo que
generan (como también ocurre en el caso anterior). Sin embargo, éstas no provocan
incrementos tan marcados de la probabilidad de no-cumplimiento de la función específica
de un sistema.

La probabilidad de ocurrencia de fallas múltiples debidas a causas diferentes (fallas

independientes) disminuye de manera proporcional al número de componentes implicados
y a la probabilidad individual de cada uno. Sin embargo, pueden existir, y de hecho han
existido, condiciones que conducen a que múltiples componentes fallen por una misma
causa, es decir, a que el suceso activador o el condicionador (o ambos inclusive) afecten a
todos los componentes implicados de manera simultánea. En este caso las fallas no serían
independientes y la probabilidad del suceso de fallas múltiples se incrementaría en función
de la probabilidad con que se presenten tales condiciones.

Este último caso es el que mayor importancia cobra en las industrias donde tales sucesos
implican grandes pérdidas económicas o cuyas consecuencias tengan implicaciones
negativas para la salud del hombre y para el medio ambiente.

Para que las fallas múltiples se consideren dependientes éstas deben ocurrir al mismo
tiempo o lo suficientemente cercanas en el tiempo (por ejemplo, entre dos pruebas
funcionales o dos mantenimientos preventivos sucesivos). La responsabilidad por la
propagación de una causa de falla de un componente a otros, recae sobre los denominados
mecanismos o factores de acoplamiento.

El mecanismo de acoplamiento se define como aquellas características presentes en un

grupo de componentes que los hace susceptibles a la misma cadena causal de sucesos que
conducen a la falla. Estas características o factores incluyen:

14
1. Entradas o servicios de apoyo comunes.
2. Igualdad del diseño.
3. Similitud de las condiciones ambientales.
4. Ubicación en un mismo local.
5. Igualdad de función o misión.
6. Igualdad de procedimientos de operación.
7. Igualdad de procedimientos de pruebas e inspección en servicio.
8. Igualdad de procedimientos de mantenimiento.

Estos factores ayudan a seleccionar los grupos de componentes de causa común,

presentándose como condición necesaria para que se produzcan las fallas dependientes.

Los mecanismos de acoplamiento se pueden clasificar como sigue:

A. Funcionales.

Dependencias introducidas cuando un mismo componente es usado por varios sistemas

para realizar determinadas funciones (válvulas, intercambiadores de calor, bombas, etc.) o
cuando están presentes determinados procesos de acoplamiento. Los procesos de
acoplamiento se refieren a los casos donde la función de un elemento depende directa o
indirectamente de la función de otro.

En este último caso existe una dependencia directa cuando el producto del funcionamiento
de un componente constituye una entrada para otro (p.e., enlace entre sistemas de
enfriamiento o de agua de alimentación y los sistemas de alimentación eléctrica,
lubricación, etc.). Una dependencia indirecta existe siempre que los requerimientos
funcionales de un componente dependan del estado de otro (p.e., relación entre sistemas de
cuyo éxito dependen otros que actúan primero en el proceso de funcionamiento de la
instalación, como es el caso de las bombas de agua de alimentación con respecto a las de
condensado, o los sistemas de inyección de emergencia de las centrales nucleares durante la
fase de recirculación con respecto a la fase de inyección).

B. Espaciales.

Se presentan dos tipos de dependencias:

B.1.Aquellas que causan un incidente o accidente en la instalación y posiblemente la falla

de sistemas de producción o de mitigación debido a una misma influencia (por
ejemplo, sucesos externos como terremotos, incendios, inundaciones, y la pérdida de
la energía eléctrica exterior, es decir la pérdida de la red eléctrica exterior [15]).

B.2.Aquellas que están asociadas a condiciones ambientales adversas, creadas por las
fallas que pueden ocurrir tras un suceso iniciador [15], o directamente por éste y que
causan un incremento de la probabilidad de fallas múltiples de sistemas (por ejemplo,
impacto de objetos proyectados, de chorros de vapor y agua, etc.).

15
Es importante destacar que la proximidad no es el único factor que induce a este tipo de
dependencias, sino que existen otros como radiación, campo electromagnético, o a través
de la ventilación (o climatización en general), que pueden proporcionar un acoplamiento
ambiental entre elementos físicamente separados.

Un ejemplo de acoplamiento espacial que puede estar presente en el diseño y afectar tanto a
la disponibilidad como a la seguridad de una instalación, es la disposición en un mismo
espacio de los cables de alimentación eléctrica y de control de las bombas de petróleo que
suministran a la caldera. Un incendio en la estación de bombeo de petróleo, por ejemplo,
debido a un cortocircuito en los cables de alimentación eléctrica de una de las bombas,
podría, por una parte, afectar las demás bombas producto de las condiciones de alta
temperatura, si no se han tomado las medidas apropiadas de separación física entre ellas y,
por otro lado, afectar los cables de control de una o varias bombas, lo que podría significar
el agravamiento de las consecuencias del incendio, si como consecuencia de la afectación
de los circuitos de control no pueden desconectarse las bombas en funcionamiento o se
conectan otras que estuviesen en reserva.

C. Humanos.

Se presentan debido a la influencia del hombre en las actividades de diseño, construcción y

montaje, operación y mantenimiento. Esto introduce dependencias que en ocasiones son
difíciles de detectar y están relacionadas con acciones basadas tanto en el conocimiento
como en los procedimientos elaborados para todas estas actividades. Para una mejor
comprensión de este tipo de acoplamiento vea la Parte II del presente texto.

Estos tres tipos de factores de acoplamiento pueden identificarse en los ejemplos de la

Tabla 2.2-1. Por ejemplo, en el suceso No.1, pudo haber fallado más de una bomba si la
condición de alta humedad se hubiese presentado en más de un centro de control de
motores. Para ello sería necesario que tales centros de control de motores estuviesen sujetos
a la entrada de humedad, es decir, que se cometiese el mismo error en ellas tras el
mantenimiento (bajo la influencia del mismo suceso condicionador) y que se encontrasen
bajo las mismas condiciones ambientales (es decir, afectadas por la acción del mismo
suceso activador).

En el suceso No.2 aquellos componentes con un mismo diseño y con la misma designación
de funciones podrían fallar ante una demanda común, si están afectados por un error fatal
de diseño. En este caso el suceso activador es el error de diseño y es común a todos los
componentes de ese grupo, por lo que serían afectados todos ellos.

En el suceso No.3a, el suceso condicionador (error de procedimiento) puede influir sobre

todo el personal de mantenimiento, sin importar cuándo se realice el trabajo. El suceso
activador es la actividad de mantenimiento en la cual el personal comete el error siguiendo
un procedimiento erróneo. Bajo estas condiciones la falla de causa común no puede
producirse si la acción de mantenimiento sobre los componentes redundantes se realiza con
un intervalo de tiempo lo suficientemente grande como para permitir que el personal sea

16
alertado por la falla en uno de los componentes implicados y evite cometer el error sobre
los demás. Lo mismo ocurre en el caso del suceso 3b.

En el caso del suceso No.4, el suceso condicionador (error de montaje) podría afectar a
varios componentes redundantes si los trabajos son ejecutados por el mismo grupo de
montaje y aplicando los mismos procedimientos, lo que podría conducir a condiciones de
alta vibración (suceso activador) en los componentes afectados y finalmente podría ocurrir
la falla múltiple de estos.

En las siguientes tablas (adaptadas de la ref. [5]), se resumen algunas de las causas
genéricas que pueden crear acoplamientos entre diferentes componentes, aplicables a las
condiciones de funcionamiento de los sistemas de la industria convencional.

Causa Genérica Ejemplo de Fuentes

Temperatura Incendios; tormentas eléctricas; equipos de soldadura; fallas en

sistemas de enfriamiento; cortocircuito.

Arena Polvo contenido en el aire; fragmentos metálicos generados por el

rozamiento de partes en contacto, sin la debida tolerancia.

Impacto Impactos de tuberías; proyección de objetos; movimiento sísmico; falla

estructural.

Vibración Equipos en movimiento; movimiento sísmico.

Presión Explosiones; cambios bruscos en el sistema (sobrevelocidad de

bombas, bloqueos de caudal).

Humedad Rotura de tuberías de vapor, o de agua caliente a presión; condensación

de vapores; precipitaciones intensas.

Tensión Tensión térmica en soldaduras de metales diferentes.

Tabla 2.3-3. Ambientes termomecánicos.

Causa Genérica Ejemplo de fuentes

17
Electromagnética Equipos de soldadura; maquinarias eléctricas rotatorias;
tormentas eléctricas; líneas de transmisión.

Medio conductor Humedad; gases conductores.

Límites excedidos Alta tensión o corriente por picos de potencia; cortocircuito

.

Tabla 2.3-4. Ambientes eléctricos.

Causa Genérica Ejemplo de fuentes

Corrosión en medio ácido Acido aplicado a superficies durante el mantenimiento, para

limpieza.

Corrosión por oxidación Medio acuoso o de alta humedad.

Otras reacciones químicas Corrosión galvánica

Biológica Gases tóxicos; explosiones.

Tabla 2.3-5. Causas relacionadas con ambientes químicos y otros.

Enlace Común Ejemplo de fuentes

Fuente de energía Eje motor común; suministro de energía común.

Calibración Instrucciones de calibración con errores de impresión.

Montaje Empleo del mismo personal

Mantenimiento Procedimiento incorrecto; personal adiestrado de forma

inadecuada.

Operación Operador sobrestresado o incapacitado; procedimientos

18
 operacionales defectuosos.

Proximidad Ubicación de componentes redundantes o no, cuya falla

simultánea conduzca a la falla del sistema, en un mismo
local o lo suficientemente cerca.

Procedimiento de prueba Procedimiento defectuoso que puede afectar a todos los

componentes probados de conjunto.

Tabla 2.3-6. Enlaces comunes que resultan en dependencias entre componentes.

19
2.4. Defensas contra fallas dependientes.

Hasta el momento se han tratado los factores que facilitan la ocurrencia de las fallas
dependientes, es decir, la susceptibilidad de un componente a la falla (aplicable a todo tipo
de fallas) y que se refiere a la existencia de una causa raíz, y los factores que propagan esta
susceptibilidad a otros componentes, fundamentalmente a aquellos que son redundantes y
que se refiere al mecanismo de acoplamiento.

Existe un último factor que puede decidir si cabe o no esperar la ocurrencia de fallas
dependientes de componentes. Este se refiere a la ausencia o existencia de medidas de
defensa contra estas fallas, tanto en el diseño como en la explotación de un sistema o
instalación.

De modo general, las fallas dependientes pueden eliminarse o reducirse su probabilidad

mediante las dos estrategias de defensa siguientes:

1. Reducir la susceptibilidad de los componentes a una causa de falla determinada, y/o

2. Debilitar o eliminar el mecanismo de acoplamiento.

La estrategia No.1 se aplica para eliminar o reducir la probabilidad tanto de fallas

dependientes como de fallas independientes, mientras que la No.2 no actúa sobre la
prevención de la falla, sino que evita la propagación de ésta hacia otros componentes. Estas
estrategias pueden ejecutarse a través de determinadas tácticas de defensa, las cuales se
resumen en el epígrafe 2.4.1 más adelante.

Para ilustrar los tipos de estrategia a seguir para prevenir fallas dependientes en una
instalación, podemos auxiliarnos de los ejemplos mostrados con anterioridad en la Tabla
2.2-1. Así, por ejemplo, si se aplica la estrategia de evitar la ocurrencia de la falla, entonces
una medida útil en el caso del suceso No.1 de esta tabla sería proteger los centros de control
de motores de las bombas contra la humedad, mediante un adecuado control de calidad de
sus sellos. Esto fortalecería a dichos componentes ante sucesos condicionadores potenciales
como el identificado en el ejemplo. Otra medida sería adiestrar al personal de
mantenimiento en la correcta interpretación de los procedimientos, asumiendo que en estos
se incluyen disposiciones para rehermetizar los componentes que lo requieran tras su
mantenimiento.

Por otra parte, si la estrategia a seguir es debilitar o eliminar el acoplamiento entre las
fallas, lo que no significa que se eviten las fallas únicas independientes, debe actuarse sobre
las características que sean comunes a varios componentes, para evitar que un tipo
particular de causa afecte a todos los componentes implicados de manera simultánea y
asegurar, así, una mayor oportunidad de detectar las fallas antes de que ocurran en varios
componentes dentro de un mismo grupo. Por ejemplo, en el caso del suceso 3b de la Tabla
2.2-1, si se aplicara la diversidad de personal de mantenimiento, puede disminuirse
considerablemente la oportunidad de ocurrencia del suceso condicionador, es decir, la

20
acción errónea del personal de mantenimiento sobre diferentes componentes del mismo
tipo.

Para prevenir los sucesos dependientes o mitigar sus efectos, es muy importante
comprender cómo podrían fallar los posibles niveles de defensa, por lo que seguidamente
se ejemplifica este enfoque a través de los cuatro sucesos de falla mostrados en la Tabla
2.2-1.

Suceso No.1. El error que se describe como causa de la falla podría haberse cometido si
durante la etapa de diseño no se advierte la posible existencia de condiciones
de alta humedad. En este caso el proceso de revisión del diseño puede
considerarse potencialmente deficiente. Sin embargo, en tal ejemplo se ha
asumido que ha fallado la defensa contra la entrada de humedad en el centro
de control de motor de la bomba, dado que se había previsto la posibilidad de
la presencia de alta humedad y, por lo tanto, la necesidad de asegurar la
hermeticidad durante la explotación de la instalación.

Suceso No.2. En este caso, el proceso de revisión del diseño, como defensa primaria, así
como la prueba funcional, como defensa secundaria se consideran
deficientes.

Suceso No.3a. Aquí la falla en la revisión de los procedimientos (defensa primaria) pudo
conducir a que se confeccionaran procedimientos ambiguos o erróneos. Un
adiestramiento adecuado del personal de mantenimiento podría
considerarse como defensa secundaria contra procedimientos ambiguos, por
lo que se considera también deficiente.

Suceso No.3b.Un entrenamiento inadecuado o insuficiente, o la presencia de determinadas

condiciones en la instalación que desmotiven al personal de mantenimiento,
incrementa la posibilidad de que éste no preste la debida atención a la labor
que realiza.

Suceso No.4. Aquí pudo ocurrir que el control de calidad durante el montaje (defensa
secundaria) fuera deficiente, permitiendo que el error pasara inadvertido. A
su vez, el error de montaje se pudo producir debido al entrenamiento
inadecuado del personal que laboró en estas tareas y a deficiencias presentes
en los procedimientos a partir de los cuales se ejecutaron las mismas
(defensa primaria).

Dada la posibilidad de que una misma táctica de defensa pueda ser efectiva contra una clase
completa de mecanismos de acoplamiento que presenten características similares, y para
facilitar el análisis de las medidas de defensa contra fallas dependientes, las causas de la
falla o estado indisponible de componentes se pueden clasificar convenientemente en tres
grandes grupos [4]:

a. Causas de falla relativas a la etapa preoperacional.

21
Incluyen errores de diseño, fabricación, construcción, montaje y puesta en servicio.

b. Causas de falla relativas a la etapa operacional.

Incluyen causas de falla atribuibles a la forma en que son usados los componentes. Incluyen
errores durante o después de las actividades de mantenimiento, inspecciones en servicio,
pruebas y calibración. (Para una mejor comprensión de éstas, consulte la Parte II).

c.Causas de falla relativas a las condiciones ambientales.

Incluyen sucesos de falla para los que puede identificarse de manera clara un parámetro
ambiental como la causa del estado indisponible de componentes. De acuerdo con la
clasificación realizada en el epígrafe 4.3 (Capítulo 4), se puede construir una matriz
genérica de "defensa vs. causa" que ayude a revisar las características del diseño, operación
y mantenimiento de sistemas específicos con respecto a la ocurrencia o no de determinadas
fallas dependientes [4, 5]. Esta matriz se muestra en la Tabla 2.4-1.

22
 DEFENSA Causas Preoperacionales Causas Operacionales Causas Ambientales

Error Error Procedimiento inadecuado Ejecución inadecuada de Efectos Efectos

sistemático sistemático en procedimiento ambientales ambientales
en el diseño fabrica-ción, internos externos
cons-trucción,
montaje y puesta
en servicio
Error en Ambigüedad Todos los Un turno de
procedi- /falta de turnos de trabajo
miento claridad trabajo
AL AR AL AR AL AR AL AR AL AR AL AR AL AR AL AR

Barreras y y y y y y y y y y y y „ „ „ „

Diversidad „ „ „ „ „ „ „ „ „ „ „ „ „ o „ y

Mantenimiento Preventivo o y o y o y o y o y o y o y o y

Revisión de Procedimientos y y y y „ „ „ „ y y y y a a a a
o o o o

Adiestramiento del Personal y y y y y y o o „ „ „ „ a a a a

o o o o
b b y y y y y y y y y y y y
Control de Calidad o o o o

C d C d C y C y C y C y C y C y
Vigilancia, Pruebas o o o o o o o o o o
Funcionales, e Inspección en
servicio
_______________
a. Dirigida a aquellos aspectos relativos a la integridad de la barrera.
b. Control de calidad y revisión del diseño.
c. Puede ser una barrera eficaz si pudiese controlarse el proceso de degradación.
d. Pruebas de aceptación de la capacidad funcional.

Tabla 2.4-1. Matriz genérica defensa vs. causa.

En la tabla anterior:

significa que la defensa puede resultar altamente efectiva

o significa que la defensa puede resultar ligeramente efectiva
y significa que la defensa tiene poco o ningún efecto
AR significa Mecanismos de Acción Rápida (Impulsivos)
AL significa Mecanismos de Acción Lenta (Persistentes)

A continuación se resumen las tácticas o medidas de defensa generales que pueden

adoptarse para evitar las fallas dependientes, con relación a las dos estrategias señaladas al
inicio de este epígrafe.

2.4.1. Tácticas generales de defensa contra fallas dependientes comúnmente

empleadas.

a. Barreras (físicas y funcionales).

Cualquier impedimento físico que tienda a confinar y/o restringir una condición
potencialmente dañina. Esta medida resulta particularmente eficaz para el caso de
componentes y sistemas redundantes.

Un método comúnmente usado es el de separación física (o espacial), de modo que los

componentes redundantes (o de manera general, aquellos que se quieran proteger) queden
separados en locales o espacios diferentes. Sin embargo, para que este método sea
totalmente efectivo debe eliminarse la posibilidad de acoplamiento entre los locales a través
de conductos como, por ejemplo, la ventilación u otro medio. La separación física puede
mejorar considerablemente las defensas contra errores humanos de realineamiento de trenes
redundantes, ya que los operadores o los técnicos de mantenimiento no podrán fiarse de la
alineación de los equipos de un tren, que podría estar incorrecta, para alinear el otro tren.

Por ejemplo, si se emplea la variante de protección física entre componentes redundantes

ubicados en un mismo local (barreras contra impacto de objetos proyectados, chorros de
vapor o agua, inundaciones, etc.), los mismos seguirán acoplados a través de las
condiciones ambientales dentro del local (por ejemplo, alta temperatura).

También se han empleado los bloqueos o enclavamientos (interlocks) entre canales

redundantes en los sistemas de instrumentación y control (I&C), como medio para evitar
que salgan fuera de servicio más de un canal de I&C por causa de una prueba funcional o
mantenimiento planificado. Esta medida reduce el acoplamiento entre canales redundantes
de I&C, asociado a errores en la ejecución de pruebas funcionales y mantenimiento.

Para eliminar las dependencias funcionales (por ejemplo, entre un sistema de fluido y el
sistema de alimentación eléctrica), que hayan resultado importantes tras la realización de
un análisis de confiabilidad, puede aplicarse el criterio de independencia funcional entre
componentes redundantes, es decir, asignar para cada componente redundante una fuente
de alimentación independiente. Otras dependencias más sutiles y que sólo pueden

23
detectarse a través de un análisis detallado de confiabilidad o un análisis probabilista de
seguridad, pueden presentarse entre un sistema de fluido y otros sistemas de interfase (por
ejemplo, sistemas de suministro de agua, sistemas de enfriamiento, etc.), donde la
redundancia introducida en el diseño del primero puede degradarse debido a la poca
redundancia de los últimos. Este último problema se presenta con frecuencia cuando
sistemas de categoría superior reciben servicios de otros de una categoría inferior por una
deficiencia no detectada de diseño. (En la ref. [15] se realiza una clasificación de sistemas
atendiendo a diferentes atributos).

Las interconexiones entre subsistemas o trenes redundantes para aumentar las

combinaciones de estados de éxito de los sistemas reducen la indisponibilidad de estos
desde el punto de vista de las fallas independientes, sin embargo, hace que los sistemas
sean susceptibles a determinados mecanismos de acoplamiento que introducen
dependencias funcionales. Las medidas al respecto se refieren a la eliminación de estas
interconexiones o a la aplicación de rígidos controles administrativos sobre las mismas, en
los casos donde la eliminación de las interconexiones implique afectar las defensas contra
otras causas de falla. En las ref. [3, 4, 10, y 12] se citan ejemplos del efecto de este tipo de
acoplamiento sobre la ocurrencia de fallas dependientes en centrales nucleares.

Por ejemplo, en la central nuclear de Peach Bottom en Junio de 1977, ocurrió un suceso
que dejó indisponibles a tres de los cuatro generadores Diesel de emergencia. El problema
tiene lugar al dejar abierta la comunicación entre los tanques de los sistemas de aire de
arranque de los Diesel 3 y 4, con el del Diesel 1 tras una reparación. Posteriormente fue
sacado de servicio el Diesel 1 para mantenimiento, quedando éste funcionalmente
indisponible. Finalmente, producto de fugas en las válvulas check, se perdió el suministro
de aire a los Diesel 3 y 4, quedando también inoperables estos últimos.

De manera general, se puede establecer que para que las barreras sean eficaces contra las
fallas de causa común, resultantes del impacto de agentes externos o ambientales, éstas
deben lograr al menos uno de los efectos siguientes:

• Crear ambientes diferentes para equipos redundantes, reduciendo así la susceptibilidad de

estos a sucesos activadores que afecten la calidad del ambiente.

• Protegiendo algunos o todos los equipos del impacto de sucesos activadores potenciales.

La revisión de la eficacia de las barreras incluye la identificación del tipo, localización y

propósito de éstas, el tipo de defecto o suceso al cual es impermeable dicha barrera, la
calidad de su instalación, y la calidad de los controles administrativos para mantener su
capacidad funcional, unidos a la identificación de las fuentes potenciales de sucesos
activadores para diversos problemas ambientales, en términos de su lugar de ocurrencia y
gravedad.

24
b. Adiestramiento del personal.

Programa de capacitación que asegure que el personal de operación y mantenimiento se

familiarice con los procedimientos y sea capaz de seguirlos de manera correcta, ante las
diferentes condiciones que puedan existir durante la operación de la instalación. Esta
medida es útil tanto para evitar fallas independientes, como dependientes relacionadas con
posibles errores de operación y mantenimiento.

c. Control de calidad.

Programa que asegure que el "producto" sea de conformidad con el diseño documentado y
que su operación y mantenimiento se realicen de acuerdo con procedimientos y normas
aceptados. Util para evitar errores de montaje, operación y mantenimiento que produzcan
fallas dependientes e independientes.

d. Incremento de la redundancia.

Componentes redundantes idénticos adicionales que se agregan al sistema, con el fin de

aumentar la probabilidad de que un número suficiente de componentes requeridos para la
ejecución de una función determinada, sobreviva a la exposición de una causa de falla
dada. Esta cuestión sale del análisis de la experiencia operacional, donde se han dado casos
de fallas de causa común en que no todos los componentes redundantes del grupo afectado
de componentes de causa común han fallado, lo cual indica que el incremento de la
redundancia puede ser efectivo contra ciertos tipos de causas de fallas dependientes, aún
más si ésta se combina, por ejemplo, con la diversidad de personal y con estrategias
apropiadas de pruebas y mantenimiento. Esta medida es particularmente efectiva para
disminuir el acoplamiento entre componentes redundantes.

e. Mantenimiento preventivo.

Programa de tareas de mantenimiento aplicables y efectivas, designado para prevenir fallas

prematuras o la degradación de componentes. Este programa debe ser capaz de minimizar
la ocurrencia de errores del personal de mantenimiento y la propagación de estos hacia
otros componentes que realicen funciones redundantes en el sistema. La realización del
mantenimiento preventivo planificado de manera escalonada sobre los componentes
redundantes es una medida eficaz contra la ocurrencia de errores que puedan afectar a
múltiples componentes.

f. Control, inspección y pruebas funcionales.

Realización del control continuo mediante alarmas, o periódico mediante pruebas

funcionales frecuentes y/o inspecciones en servicio, de modo que no se permita que se
acumulen fallas debidas a cualquier causa detectable.

Al igual que el mantenimiento preventivo, las pruebas funcionales pueden realizarse de

manera concentrada, secuencial o escalonadas. En el último caso se introduce una defensa

25
contra fallas de causa común originados en la propia realización de estas actividades, en la
medida que se disminuye el tiempo de exposición a estas fallas de manera proporcional al
grado de redundancia presente. Por ejemplo, la probabilidad de que el personal repita una
acción incorrecta sobre un grupo de componentes redundantes, es menor en la medida que
ésta se realice con una mayor separación temporal con respecto a los componentes
afectados. Sin embargo, es poco probable que el escalonamiento influya sobre la
probabilidad de errores relacionados con deficiencias de la programación o los
procedimientos de las pruebas o mantenimientos.

g. Revisión de procedimientos.

Revisión detallada de los procedimientos de operación, mantenimiento, pruebas y

calibración para eliminar acciones incorrectas o inapropiadas que puedan resultar en un
estado indisponible del componente o el sistema.

h. Diversidad.

Esta medida está enfocada específicamente hacia la prevención de las dependencias

residuales (fallas de causa común). Se identifican tres tipos de diversidad: funcional, de
equipo y de personal.

La diversidad funcional se refiere al uso de métodos totalmente diferentes para lograr el

mismo resultado. La diversidad de equipo se refiere al empleo de diferente tipo de equipo
para ejecutar una misma función y puede considerarse en términos de construcción,
características físicas, principios de fabricación u operación. La diversidad de personal se
refiere al empleo de diferente personal para realizar el montaje, mantenimiento y/o pruebas
funcionales de subsistemas o componentes.

Una forma de aplicar la diversidad funcional consiste en el empleo de variables diferentes

para detectar situaciones ante las que deben tomarse medidas de protección, o deben
producirse señales de alarma preventivas (por ejemplo, presión, temperatura, nivel). Este
último enfoque elimina toda dependencia sobre el comportamiento calculado de una única
variable durante el proceso de la instalación, factor de acoplamiento que no puede ser
eliminado mediante la diversidad de equipo.

La diversidad de equipo puede aplicarse mediante el uso de equipos redundantes de

diferente suministrador o de diferentes características constructivas o de funcionamiento.
Sin embargo, se reconoce que las instalaciones hacen cierto rechazo de esta medida debido
a que tiende a complicar las tareas de mantenimiento, lo cual a su vez es una fuente de
errores humanos. Por ello debe realizarse un estudio detallado de la instalación o sistema de
interés con la ayuda, por ejemplo, de técnicas de análisis de confiabilidad, como apoyo a la
toma de decisiones de este tipo, de modo que los beneficios obtenidos por esta medida
justifiquen las complejidades que puedan resultar para el mantenimiento.

26
 CAPITULO 3

METODOS DE MODELACION DE LAS FALLAS DEPENDIENTES

EN LOS ANALISIS DE CONFIABILIDAD Y RIESGO

Existen varios métodos para considerar los efectos de las fallas dependientes en el análisis.
En uno se identifican de manera explícita las causas de las fallas dependientes y así se
incluyen en el modelo lógico (por ejemplo, árbol de fallas), por lo que se le conoce como
método explícito. En el otro, el efecto de las fallas dependientes se incluye en el modelo
lógico sin que se representen explícitamente las causas que las provocan, y utiliza
determinados parámetros para cuantificar el efecto de las fallas dependientes, por lo que se
le conoce comúnmente como método paramétrico (o implícito). Entre los métodos
implícitos desarrollados se encuentran el del factor beta (ß), el de múltiples letras griegas
y el del factor alfa (α), entre otros [1, 2, 3]. Existen también los métodos por computadora,
no abordados en el presente texto. En el epígrafe 3.3 se describen los fundamentos y
características del método del factor ß.

Resulta de gran importancia para la obtención de resultados correctos, que las dependencias
sean clasificadas adecuadamente en el análisis. Al identificarse los sucesos dependientes
tras la revisión de los registros de sucesos de una instalación, debe corresponderse cada
caso con determinado tipo de dependencia, de modo que se evite considerar doblemente su
efecto, es decir, de manera explícita e implícita. Un esquema útil de clasificación de los
tipos de dependencias que facilita esta tarea se presenta más adelante en el epígrafe 3.1.

Los efectos de las dependencias se incluyen explícitamente en los modelos lógicos en el

siguiente caso:

• Cuando la falla de múltiples componentes es causada por la falla de algún otro.

Alternativamente, estos efectos se incluyen de manera implícita en los modelos lógicos en

los casos siguientes:

• Cuando la causa de fallas múltiples no es el estado indisponible de otro componente o un

error humano o, de modo general, cuando no puede identificarse con claridad la causa
raíz de las fallas múltiples.

• Cuando los datos disponibles de fallas de componentes no permiten distinguir entre

diferentes causas de falla presentes.

El método a emplear para la modelación de las dependencias se corresponde con el tipo de

dependencia existente, por lo que los epígrafes 3.2 y 3.3 se desarrollan más adelante
atendiendo a esta cuestión.

27
3.1. Tipos de dependencias.

De los distintos enfoques adoptados para la clasificación de sucesos dependientes se ha

escogido el esquema propuesto en el NUREG/CR-2300 (ref. [9]), ya que trata de manera
más integral el impacto de los diferentes tipos de sucesos sobre los modelos de análisis, lo
cual constituye una herramienta útil de ayuda al analista en la selección del método
apropiado de análisis. El esquema que se presenta se ha adaptado para su aplicación a los
análisis de confiabilidad y riesgo en la industria convencional en lo que respecta a los
ejemplos citados, aunque en esencia mantiene los criterios seguidos en [9] para realizar la
clasificación de los sucesos. Como podrá verse más adelante, estas dependencias parten de
los mecanismos de acoplamiento definidos en los capítulos anteriores.

Según este esquema los sucesos dependientes se dividen de manera general en tres tipos:
sucesos iniciadores de causa común; dependencias entre sistemas; y dependencias entre
componentes.

1. Sucesos iniciadores de causa común: en esta clase se encuentran los sucesos externos,
tanto interiores como exteriores a la instalación, que tienen el potencial para provocar
incidentes que afectan el proceso productivo de la misma y a su vez incrementar la
probabilidad de falla de sistemas designados para mitigar las consecuencias de tales
incidentes. Estos sucesos provocan generalmente condiciones ambientales que exceden
las bases de diseño de los equipos y estructuras, afectando severamente la capacidad de
funcionamiento de estos. Ejemplos de estos sucesos son los incendios, las inundaciones,
los terremotos, los huracanes y tornados, y las explosiones. Se puede considerar también
dentro de esta clase la pérdida de la red exterior (pérdida de energía eléctrica exterior)
que en algunas industrias, como en la biotecnológica y en la nucleoenergética, puede
traer consigo graves consecuencias (ya sean económicas o para la salud) si no se toman
las medidas pertinentes.

Por ejemplo, una inundación en la sala de equipos auxiliares puede afectar a todas las
bombas de condensado principal y provocar la salida de servicio de la unidad, en el caso
de una central generadora de electricidad. Por otro lado, los vientos provocados por un
huracán pueden sacar de servicio a una central de este tipo producto de afectaciones en
la subestación eléctrica, aislando la misma de la red eléctrica exterior. Esto podría
afectar considerablemente a la turbina si no se prevén medidas para garantizar la
alimentación eléctrica de emergencia al girador que garantiza el enfriamiento continuado
y balanceado de los cilindros de la misma.

Las dependencias creadas por este tipo de suceso se modelan explícitamente, utilizándose
para ello comúnmente (por ejemplo, en los análisis probabilísticos de seguridad) la
técnica de árbol de eventos, con la cual se pueden representar las interacciones del
suceso iniciador con los diferentes eventos del árbol. El árbol de eventos se combina con
la técnica de árbol de fallas y otras técnicas particulares del tipo de suceso externo, para
cuantificar los efectos del suceso iniciador.

28
 En la ref. [15] se definen los sucesos iniciadores para los análisis de riesgo y se
describen el método de análisis de árbol de eventos y otros métodos de análisis de
sucesos externos. En la ref. [16] se muestra cómo se combinan las técnicas de árbol de
eventos y árbol de fallas para el análisis cuantitativo de riesgo y de confiabilidad.

2. Dependencias entre sistemas: se refieren a procesos o características que crean

interdependencias entre sistemas de modo que la probabilidad de falla simultánea de
estos se incrementa. En este caso la falla o el éxito de un sistema depende del estado de
otro (falla o éxito), ya sea debido a la propia concepción de diseño o a determinados
procesos o acciones que tienen lugar durante la explotación de la instalación tanto en
régimen normal como en avería.

Este tipo de dependencia se modela de manera explícita, utilizando comúnmente las

técnicas de árbol de eventos y árbol de fallas. El efecto de las dependencias se refleja en
los modelos mediante la eliminación de las ramas de decisión ilógicas o imposibles (en
el árbol de eventos), o mediante la asignación de una codificación única a los sucesos
interdependientes en el modelo para asegurar que sean identificados y resueltos
apropiadamente en el proceso de reducción booleana (árbol de fallas) [15, 16].

Las dependencias entre sistemas se pueden subdividir según las causas de las mismas
como sigue:

2a. Dependencias funcionales: se deben, en general, a la filosofía de diseño de la

instalación. En este caso la función de un sistema depende directa o
indirectamente del estado de otro y ocurre que determinados sistemas sólo actúan
ante el fallo de otro u otros, o sistemas que pueden funcionar sólo si otros
funcionan. Por ejemplo, el sistema de alimentación eléctrica de emergencia de una
instalación de producción continua se pone en marcha sólo cuando se pierde la
alimentación normal; asimismo, las bombas de un sistema contra incendio pueden
funcionar sólo si está disponible el sistema (o subsistema) que le suministra
energía eléctrica.

2b. Equipos compartidos: ocurre cuando varios sistemas comparten determinados

componentes o dependen de ciertos equipos comunes para ejecutar sus funciones.
Puede interpretarse como una variante de dependencia funcional. Por ejemplo, las
bombas de enfriamiento del condensador pueden enfriar también el sistema de
aceite en una central generadora de electricidad. Por otro lado, los compresores de
una unidad enfriadora pueden utilizarse tanto para acondicionar el ambiente de
locales donde se sitúen equipos sensibles de instrumentación y control, como para
enfriar la carga térmica resultante de los procesos de fermentación en una
industria biotecnológica. Otro ejemplo típico es cuando varios sistemas se
alimentan de una fuente eléctrica común.

2c. Interacciones físicas: son similares a la Clase 1, pero no necesariamente causan

sucesos iniciadores en la instalación. Crean condiciones severas de operación que
hacen que la probabilidad de falla de múltiples sistemas se incremente ante la

29
 presencia de un acoplamiento espacial. Este acoplamiento espacial puede ocurrir
cuando varios sistemas comparten un dominio físico o ubicación común, o cuando
estos se comunican a través de conductos, por ejemplo, de ventilación. Por
ejemplo, la falla de un sistema de ventilación que enfría locales donde se
encuentran equipos de diferentes sistemas que constituyen fuente de calor.

2d. Interacciones humanas: son causadas por acciones humanas (errores humanos)
relacionadas con las actividades de diseño, construcción y montaje, operación,
pruebas funcionales e inspección en servicio, y mantenimiento. Por ejemplo, un
operador de turbinas dispara la unidad por error durante la lectura de los
registradores de parámetros en la sala de control (el error ocurre como
consecuencia de características ergonómicas deficientes de la sala y el panel de
control); una bomba de reserva de agua de alimentación de caldera falla al
arranque debido a un error de mantenimiento, cuando es demandada
automáticamente tras la falla de la bomba que se encontraba operando; una
maniobra incorrecta del operador de calderas debida a la mala interpretación de la
posición de los niveles en el domo-separador, coincidente con la falla de las
protecciones por bajo nivel de agua, provoca la falla de múltiples tubos en el
horno y el disparo de la unidad.

3. Dependencias entre componentes: se refieren a procesos o características que crean

interdependencias entre componentes de modo que la probabilidad de falla simultánea
de estos se incrementa. De manera análoga a las dependencias entre sistemas, este tipo
de dependencia se subdivide en cuatro clases:

3a. Dependencias funcionales.

3b. Equipos compartidos.

3c. Interacciones físicas.

3d. Interacciones humanas.

La definición de estos cuatro tipos es similar a la que se realizó más arriba para las
dependencias entre sistemas, pero en este caso se sitúan a nivel de componentes. Los tipos
3a y 3b se modelan siempre de manera explícita, utilizando para ello comúnmente la
técnica de árbol de fallas. Los efectos de las dependencias se incluyen asignándole una
codificación única a los sucesos interdependientes en el modelo para que sean identificados
y resueltos apropiadamente en el proceso de reducción booleana.

Los tipos 3c y 3d pueden modelarse tanto de forma explícita como implícita. El método
explícito se emplea cuando existen datos para estimar los parámetros necesarios para la
cuantificación (por ejemplo, la rata de fallas), debido a que han sido identificadas de
manera clara las causas de falla (por ejemplo, fallas debidas a acciones erróneas del
personal durante la operación o el mantenimiento cuya frecuencia o probabilidad puede ser
estimada; fallas debidas a la existencia de condiciones ambientales anormales, producto de

30
la falla de la ventilación, etc.). Para el resto de los casos debe emplearse el método
implícito o paramétrico, por ejemplo, cuando no puede cuantificarse la contribución
particular de diferentes causas de falla posibles, ya que la complejidad de la secuencia de
sucesos que actúan no lo permite. En este último caso se encuentran los acoplamientos
debidos a componentes redundantes con igual diseño, similares condiciones de operación y
que sean operados o mantenidos bajo los mismos procedimientos y el mismo personal.

De cualquier modo, debe prestarse atención al problema de la modelación de las

dependencias en los análisis, para evitar que éstas sean incluidas en los modelos
doblemente a través de ambos métodos (explícito e implícito) lo cual podría conducir a
resultados conservadores que pueden distorsionar la contribución de estos sucesos a la
indisponibilidad de los sistemas y/o a la seguridad de las instalaciones. Un sistema de
clasificación alternativo, útil para reducir las ambigüedades al escoger el método de
modelación de las dependencias intercomponentes del tipo 3c y 3d, se describe en el
Capítulo 4.

Figura 3.2-1. Arbol de eventos hipotético con dependencias

explícitas incluidas.
3.2. Método explícito.

Este método consiste en representar explícitamente las dependencias en los modelos, a

través de la lógica de estos. Tanto el árbol de fallas como el árbol de eventos permiten
hacer esto.

En un árbol de eventos esta representación consiste en eliminar las ramas de decisión que
no tienen sentido desarrollar, es decir, para las cuales no se considera la alternativa
"éxito/falla" de un sistema por haber tenido éxito o haber fallado otro del cual depende
para su funcionamiento, o debido a una dependencia del sistema con las condiciones que
crea el suceso iniciador. Ello evita delinear secuencias de eventos imposibles o ilógicas,
para lo cual deben colocarse primeramente en las cabeceras del árbol aquellos eventos de

31
los cuales dependan otros, que serán colocados detrás. En la Figura 3.2-1 se ilustra cómo
pueden incluirse algunas de las dependencias definidas en el epígrafe 3.1 anterior, a través
de un ejemplo hipotético (consulte el Capítulo 5 de la ref. [15] para mayor comprensión de
esta técnica).

En la Fig. 3.2-1, S1, S2, S3 y S4 representan sistemas designados para mitigar el suceso
iniciador de accidente SI (conocidos comúnmente como sistemas de seguridad o
mitigación). El diseño de la instalación es tal que ante la ocurrencia de SI se requiere lo
siguiente para evitar el daño de la misma:

- Funcionamiento de S1 “y” (S3 “o” S4) “o” funcionamiento de S2 “y” S3.

El sistema S1 debe actuar primero en la secuencia de eventos y S4 depende de que S1 esté

disponible para que pueda funcionar. De esta manera, en la secuencia No1 fueron omitidas
las ramas de decisión correspondientes al nodo o cabecera S4, ya que el funcionamiento de
S3 hace innecesaria la actuación de S4 para lograr el estado final de éxito, es decir, la
mitigación del SI. Como puede apreciarse, sólo se ramifica la cabecera S4 si S1 tiene éxito
y S3 falla (secuencia No.2). Otra dependencia incluida se refiere a la omisión de las ramas
en la cabecera S4, en el caso de que fallen S1 y S3 y funcione S2 (secuencia No.5). Ello se
debe a la dependencia funcional que existe entre S1 y S4, que hace que si S1 falla S4 no
esté disponible. Por último, en la secuencia No.6 fueron omitidas las ramas
correspondientes a las cabeceras S3 y S4, ya que para alcanzar el estado final de éxito se
requiere que S1 ó S2 estén disponibles.

En un árbol de fallas las dependencias se representan de manera explícita asignándole un

único código a los sucesos de falla interdependientes, de modo que estos puedan ser
tratados apropiadamente en el proceso de reducción booleana durante la solución
cualitativa del modelo (determinación de los conjuntos mínimos de corte). En la Figura 3.2-
3 se muestra el árbol de fallas simplificado del sistema hipotético representado en la Figura
3.2-2, en el cual se ilustra cómo se tienen en cuenta de manera explícita estas dependencias
(consulte el Capítulo 3 de la ref. [16] para una mejor comprensión de esta técnica).

32
Figura 3.2-2. Sistema hipotético de bombeo.

33
 Figura 3.2-3. Arbol de fallas simplificado del sistema hipotético de
bombeo, con dependencias intercomponentes incluidas explícitamente.

En la Fig. 3.2-3 se han incluido los siguientes sucesos básicos:

- Independientes

F-B1
F-B2
F-V2
F-V3
- Dependientes

F-EE
F-T
F-V1

Como se puede apreciar el suceso básico F-EE hace fallar a ambas líneas de bombas
redundantes (B-1 y B-2), ya que ambas dependen funcionalmente de la misma fuente de
alimentación eléctrica, representado esquemáticamente en la figura mediante la envolvente
de línea discontinua denominada EE, que encierra a ambas bombas. Esto se ha modelado
asignándole un mismo código para la falla de la alimentación eléctrica de ambas bombas
(F-EE) como entrada a la compuerta AND. Por otra parte, los sucesos básicos F-T y H1-V1

34
hacen fallar el sistema cada uno por sí solo, lo que se ha modelado colocándolos como
entradas a la compuerta OR de falla del sistema (Tope). Así, los sucesos básicos F-T, H1-
V1 y F-EE, se obtienen en la reducción booleana del árbol como conjuntos mínimos de
orden 1.

3.3. Método implícito.

Las dependencias residuales intercomponentes (aquellas que no pueden modelarse

explícitamente) se incluyen en los modelos (árbol de fallas) de manera implícita, es decir,
sin enumerar las causas que provocan las fallas, para lo cual se emplean los llamados
métodos paramétricos. Estos métodos utilizan parámetros para cuantificar los efectos de las
dependencias sobre la confiabilidad de los componentes sujetos a determinados
mecanismos de acoplamiento. Los parámetros, a su vez, se estiman a partir de los datos de
falla de componentes recogidos de la experiencia de explotación de la industria, de la
misma manera que se estiman las ratas de falla de los componentes para los diferentes
modos de falla considerados y en las cuales quedan implícitas las causas.

Se han desarrollado varios modelos paramétricos para tratar las dependencias residuales
(factor ß, múltiples letras griegas, factor, etc.) los cuales se recogen en la literatura
especializada [1, 2, 3, 4, 5, 6, 7, 8, 9,11, 12, 17]. En el transcurso del presente epígrafe se
explican los fundamentos y características del método del Factor ß, ya que puede
considerarse el más apropiado para su utilización en los análisis de confiabilidad y riesgo
de la industria convencional, por las siguientes razones:

• El modelo se ajusta perfectamente a sistemas con redundancia doble (que es característica

de los sistemas en la industria convencional), dando resultados ligeramente conservadores
para redundancias mayores (triple o cuádruple). Por otro lado, estudios realizados para
sistemas de alta redundancia empleando diferentes modelos paramétricos (incluido el
factor ß), no han identificado a la opción de uno u otro método como fuente importante
de incertidumbre [1, 3, 6].

• Puede ser empleado cuando la disponibilidad de datos sea escasa o nula, asumiendo un
valor genérico de ß ya que, como se verá más adelante, los valores estimados varían
generalmente en un rango pequeño para una amplia variedad de componentes.

• No depende de los datos de éxito de componentes, que generalmente no se encuentran

disponibles.

• Comparado con otros métodos, éste es más sencillo ya que utiliza un único parámetro
adicional a la rata o probabilidad de falla total del componente, para cuantificar la
probabilidad de falla de causa común.

Modelo del Factor Beta.

Este modelo asume que la rata de falla de un componente tiene dos contribuciones, una
debida a causas atribuibles únicamente a ese componente y la otra a causas que son

35
compartidas por otros componentes del mismo grupo. Es decir, que existe una fracción
constante (ß) de la rata de falla del componente que está asociada a sucesos de causa común
que son compartidos con otros componentes del mismo grupo. Además de esto, se asume
que cuando ocurre un suceso de causa común todos los componentes pertenecientes a ese
grupo fallan. Partiendo de estas consideraciones la definición del factor ß se puede deducir
como sigue:

λi + λc = λ (3−1)

donde λi es la rata de falla para el componente - modo de falla, debida a causas

independientes

λc es la rata de falla para el componente - modo de falla, debida a causas comunes

λ es la rata de falla total del componente - modo de falla

λc λc
∴ ß =  =  ; 0≤ ß ≤1 (3−2)
λi + λc λ

Con lo que queda definido ß como la fracción de las fallas totales que son debidas a fallas
dependientes. De la ecuación (3-2) se desprende que:

λi = (1 - ß) · λ , y (3-3)

λc = ß · λ (3-4)

Generalmente ocurre que:

(1-ß) ≈ 1, ya que ß << 1

por lo que en la ecuación (3-3) el término (1-ß) se iguala comúnmente a la unidad.

Las ecuaciones anteriores pueden expresarse de igual modo en función de la

indisponibilidad o probabilidad de falla de los componentes, sustituyendo en éstas el
término λ por q o p, respectivamente. De esta manera, si estamos en presencia de un
sistema formado por dos componentes A y B idénticos y redundantes (caso de componentes
en paralelo de la Figura 3.3-1), la indisponibilidad del mismo sería:

Q = qA · qB + q(AB)c (3-5)
q(AB)c = ß · qA = ß · qB (3-6)

36
donde Q es la indisponibilidad o probabilidad de falla del sistema
qA es la probabilidad del suceso básico "falla del componente A por causas
independientes"
qB es la probabilidad del suceso básico "falla del componente B por causas
independientes"
q(AB)c es la probabilidad del suceso básico de causa común "falla simultánea de
A y B"

Figura 3.3-1. Sistema con componentes en paralelo (redundantes).

Nótese que en la ecuación (3-6) se ha asumido que la probabilidad del suceso básico "falla
del componente A" es idéntica a la del suceso básico "falla del componente B", partiendo
de la condición de que ambos sucesos son similares (igual modo de falla) y de que ambos
componentes son idénticos (condición de simetría). Ello reduce considerablemente la
cantidad de probabilidades a estimar en la práctica.

De la ecuación (3-5) se deduce que, de no considerarse la contribución de las fallas de

causa común dado que existen mecanismos de acoplamiento potenciales, se estaría
subestimando la probabilidad de falla del sistema. Además, ocurre que q(AB)c >> qA · qB,

Este problema se puede ver con mayor claridad si hacemos corresponder a cada suceso
básico con un valor de probabilidad, digamos 1E-03 y asumimos un valor de ß para este
caso, digamos ß=0.1. Sustituyendo en la ecuación (3-6):

q(AB)c = (0.1) · (1E-3) = 1E-4

Sustituyendo en la ecuación (3-5) obtenemos finalmente:

Q = [(0.9) · (1E-3)] · [(0.9) · (1E-3)] + (1E-4) = 1E-4

Nota: el factor (0.9) se ha introducido para obtener el valor real de Q en los ejemplos
mostrados. Esto significa que existe un 10% de contribución de fallas por causas
comunes y un 90% de contribución de fallas por causas independientes a la
indisponibilidad de cada componente.

37
Si no se incluyera la contribución de la falla de causa común (es decir, asumiendo total
independencia entre ambos componentes), tenemos que:

Q = (1E-3) · (1E-3) = 1E-6

Este último resultado refleja que se ha subestimado la probabilidad de falla del sistema en
dos órdenes.

Veamos ahora cómo influyen las fallas de causa común en la probabilidad de falla de un
sistema formado por dos componentes A y B en serie (sin redundancia), como el que
muestra la Figura 3.3-2.

Figura 3.3-2. Sistema con componentes en serie (sin redundancia).

En este caso la probabilidad de falla del sistema se determina por la ecuación (3-7):

Q = qA + qB + q(AB)c (3-7)

Sustituyendo en la ecuación (3-7) los mismos valores de probabilidad de los sucesos

básicos asumidos para el caso del sistema con componentes en paralelo y el mismo valor de
ß, se obtienen los siguientes resultados:

- Considerando las dependencias residuales entre ambos componentes (fallas de causa

común:

Q = 0.9 (1E-3 + 1E-3) + (1E-4) = 1.9E-3

- Sin considerar las fallas de causa común (es decir, asumiendo total independencia entre
ambos componentes):

Q = (1E-3) + (1E-3) = 2E-3

Como puede apreciarse en los dos casos analizados, la contribución a la indisponibilidad de

un sistema de las fallas de causa común es bastante mayor que la de las fallas
independientes en sistemas con componentes redundantes y esta diferencia se acentúa en la
medida en que la probabilidad de los sucesos básicos independientes sea menor
(componentes más confiables) y mientras mayor sea la redundancia incluida en el diseño,
así como la incidencia de los factores de acoplamiento. Por esta razón se le presta gran
atención a las dependencias residuales en las industrias donde se exigen altos índices de
confiabilidad y seguridad.

38
Por otro lado, la consideración de las dependencias residuales en sistemas con componentes
en serie complicaría innecesariamente los modelos, ya que como resultado se obtendría una
ligera reducción en el valor estimado de probabilidad de falla del sistema, en tanto el
número de sucesos básicos en el modelo se incrementaría considerablemente en proporción
a la cantidad de componentes - modos de falla considerados en el análisis.

A modo de ilustración se listan en la Tabla 3.3-1 los factores ß genéricos estimados para los
componentes de las centrales nucleares que se incluyeron en la Tabla 1-1. [1, 2].

Componentes Factor ß Genérico

Interruptores de Disparo del Reactor 0.19

Generadores Diesel 0.05
Válvulas Motorizadas 0.08
Válvulas de Seguridad
Reactores PWR 0.07
Reactores BWR 0.22
Bombas
Inyección de Seguridad 0.17
Extracción de Calor Res. 0.11
Spray de Contención 0.05
Alimentación Auxiliar 0.03
Agua de Servicio 0.03
________________________________________________________________
Valor promediado de ß 0.1

Tabla 3.3-1. Factores ß genéricos para diferentes tipos de componentes.

Los dos ejemplos analizados anteriormente se refieren a un grupo de componentes de causa

común de dimensión 2 (redundancia doble). A modo de resumen, se puede establecer de
manera general que para cualquier grupo de componentes de causa común de dimensión m,
si q1 es la probabilidad de un suceso básico en el que está implicada la falla de un
componente por causas independientes, qm la probabilidad de un suceso básico en el que
está implicada la falla de todos los componentes por causas comunes y qt la probabilidad
total de falla de un componente, entonces según el modelo del factor ß tenemos que:

q1 = (1-ß) · qt (3-8) qm = ß · qt (3- 9)

qm
ß =  (3-10) qt = q1 + qm (3-11)
q1 + qm

39
 CAPITULO 4
SISTEMA PARA LA CLASIFICACION DE LOS
DATOS

La interpretación de los datos registrados en la industria es un proceso complejo, que se

dificulta debido a la gran cantidad y variedad de sucesos que tienen lugar y al grado de
subjetividad introducido tanto en los reportes del personal de operación y mantenimiento,
como en el propio análisis.

En muchas ocasiones estos reportes son incompletos, o su descripción es insuficiente desde

el punto de vista del uso que puede dárseles en los análisis de confiabilidad y riesgo. Por
ejemplo, se dan con frecuencia casos como el de un reporte de una reparación de una
válvula, donde el personal de operación indica lo siguiente: "válvula XXX presenta fuga",
mientras que por otro lado, el personal de mantenimiento indica después de la reparación:
"válvula XXX reparada, fuga eliminada". Estas descripciones son, por razones prácticas,
escuetas, y dependen en alto grado de las características de la persona que las realiza y de
la situación en que se realizan.

Sin embargo, un analista de datos que estudie los registros de operación y mantenimiento
como parte de las tareas a realizar en un análisis de confiabilidad o de riesgo, no sería
capaz de determinar, a partir de descripciones como ésta, si la fuga constituyó una falla
catastrófica, o simplemente se utilizó la ocasión de una salida planificada o de otro tipo
para realizar una reparación de una falla de menor significación. En este caso el analista de
datos no tiene otra alternativa que decidir si clasifica este suceso como un estado
indisponible del componente o como potencialmente indisponible. El resultado de su
decisión afectará evidentemente la estimación de la rata de fallas de este tipo de
componente, para ese modo de falla, tendiendo equivocadamente hacia el lado conservador,
si se incluye el suceso como estado indisponible y en realidad no lo es, o hacia el lado
optimista, en caso contrario.

Este problema tiene una significación mayor donde los registros sean escasos o
insuficientes. Como puede apreciarse en la Tabla 1-1 (Capítulo 1), la cantidad de sucesos
puede ser enorme y, de estos, los sucesos dependientes suelen representar una fracción
relativamente pequeña. De aquí la importancia de que las instalaciones cuenten con un
sistema de recolección de datos organizado y orientado hacia la confiabilidad, que sirva de
fuente a estos estudios, con el objetivo de reducir las incertidumbres en la estimación de los
parámetros de interés. Así, por ejemplo, se reconoce a partir de los resultados obtenidos de
estudios especializados, que la fuente mayor de incertidumbres proviene de la
interpretación de los datos [1, 3].

El sistema que se presenta a continuación para la clasificación de los datos de la industria

recoge la experiencia de muchos años de investigación en las instalaciones
nucleoenergéticas, en el tema de causa raíz, mecanismos de acoplamiento y defensas contra
fallas dependientes. De una serie de esquemas desarrollados, el presente es muy útil para la

40
clasificación de sucesos ocurridos en la industria para propósitos de delineación de las
interrelaciones lógicas entre la causa de un suceso y el impacto del mismo, aunque se
reconoce en la literatura que estos métodos no son definitivos y están aún en desarrollo [1,
2, 3, 4, 5]. Es conveniente aclarar que este sistema es independiente del sistema de
recolección de datos de una industria, y su objetivo es asistir a los analistas en la
interpretación de los registros de sucesos, de modo que se reduzca el grado de subjetividad
y las ambigüedades.

Una vez que se hayan coleccionados todos los datos de interés en la instalación que va a ser
objeto de estudio, debe realizarse la revisión y clasificación los mismos para incluirlos
apropiadamente en las categorías predefinidas en el sistema, y que van a describir el tipo de
suceso, sus causas y el número de componentes afectados. A partir de esta clasificación se
identificarán con mayor claridad los sucesos de causa común que serán modelados
mediante métodos paramétricos y aquellos sucesos (independientes y dependientes) que se
incluirán de manera explícita en los modelos. Adicionalmente, podrán ser eliminados del
análisis de datos para la estimación de parámetros, aquellos sucesos que no constituyan
estados fallados o de indisponibilidad funcional.

4.1. Estado de los componentes.

En la Figura 4.1-1 se presenta el esquema de estados de componentes que fueron definidos

en el Capítulo 1, que incluye la representación gráfica mediante la cual serán identificados
en el sistema de clasificación de datos. Estos estados se refieren a la posición que puede
ocupar un componente con respecto a su función dentro del sistema a que pertenece y a un
determinado criterio de éxito relativo a esa función. El criterio de éxito se puede definir,
por ejemplo, en términos de parámetros mínimos que debe garantizar el componente, o
posición en la que debe encontrarse éste para que se considere cumplida su función (caudal
entregado por una bomba, tensión y corriente en un equipo eléctrico, temperatura que debe
garantizar un intercambiador de calor, señal o indicación entregada por un equipo de
instrumentación y control, posición que debe ocupar una válvula o un interruptor de
circuito ante una demanda de actuación, etc.).

Como puede verse en la Figura 4.1-1, el estado de un componente se puede dividir

inicialmente en dos: "disponible" o "indisponible". De manera general, se dice que un
componente está en un estado indisponible si no es capaz de cumplir la función que se le
asigna. Por el contrario un componente se encuentra en estado disponible si puede cumplir
su función. Estos dos estados generales se subdividen, a su vez, en estados específicos
según la causa que los provoca (para el caso del estado indisponible) o las condiciones en
que se ejecuta la función (para el caso del estado disponible). De esta forma se obtienen
cinco estados posibles de un componente, los cuales se describen brevemente a
continuación:

41
•

Figura 4.1-1. Estados del componente.

Nominal: el componente es capaz de cumplir su función en correspondencia con el

criterio de éxito especificado, y no presenta ningún síntoma de degradación o de falla
incipiente.

• Potencial indisponibilidad funcional: se presenta una condición de degradación o

falla incipiente en algún componente del cual depende el componente de interés, de
modo que si esta condición permanece invariable, el primer componente falla,
convirtiéndose así el componente de interés en indisponible funcionalmente.

• Potencialmente fallado: el componente de interés (o algún componente que influya

sobre éste) presenta una condición tal que, si ésta permanece invariable podría
conducir a su falla. Esta categoría incluye los siguientes estados:

- Degradado. El componente se encuentra en un estado tal, que exhibe una reducción de

su capacidad funcional, de modo que si no se ejecuta ninguna acción correctora
sobre éste, podría ocurrir su falla.

- Incipiente. El componente se encuentra en una condición tal (por ejemplo, fuga

pequeña de aceite, piezas sueltas, o envejecimiento), que aunque aún no
interfiera su capacidad funcional, si no se toman medidas correctoras, podría
potencialmente ocurrir su falla.

42
 • Fallado: el componente no es capaz de ejecutar su función, o funciona cuando no es
requerido. Para restablecer su capacidad funcional es necesaria la reparación o la
sustitución del componente. Se incluyen en esta categoría los casos donde un
componente resulte dañado y necesite ser reparado, siendo la causa del daño la falla
de algún otro componente (o sistema) del cual dependa funcionalmente el
componente dañado (por ejemplo, sobrecalentamiento de un componente debido a la
falla del sistema de ventilación o aire acondicionado).

• Indisponible funcionalmente: el componente como tal puede operar, pero la función

que éste realiza se encuentra indisponible por alguno de los siguientes motivos:

- Pérdida de entrada. Se refiere a la pérdida de energía motriz, señal de mando, etc.

- Mantenimiento preventivo y calibración: El componente se ha puesto fuera de

servicio para la realización del mantenimiento preventivo o para ejecutar algún
tipo de modificación sobre él, o para realizar la comprobación de su calibración,
por lo que es incapaz de ejecutar su función por el espacio de tiempo que duren
tales acciones.

- Prueba funcional. Puede requerirse algún tipo de prueba de diagnóstico sobre el

componente de manera que sea necesario su aislamiento del resto del sistema del
que forma parte, inhabilitándolo de cumplir su función.

4.2. Modos de falla.

Los modos de falla representan la forma en la que pueden ocurrir los estados de
componentes diferentes del nominal, es decir, describen la manera en la que es violado el
criterio de éxito de un componente (ya sea potencial o realmente).

Resulta importante definir los modos de falla, ya que en la práctica los componentes
pueden tener diferentes modos de operación o encontrarse en diferente posición y, por
tanto, el modo en que pueden fallar va a depender de la posición o el estado que ocupaba el
componente antes de la falla.

Por ejemplo, un interruptor de circuito puede encontrarse normalmente abierto y, ante una
determinada situación, requerirse su cierre. Si estamos analizando la confiabilidad de un
sistema en el cual dicho interruptor debe cerrar para que éste cumpla su función, entonces
el modo de falla de interés para ese componente sería "falla al cierre" y así, para estimar su
rata de falla, serían consideradas sólo las fallas en tal modo durante el proceso de revisión
de las estadísticas relativas a todos los estados indisponibles de ese componente.

Hay casos en que la función de un componente puede afectarse por diferentes vías. Por
ejemplo, un intercambiador de calor puede quedar indisponible por una rotura apreciable en
su carcaza, o por una disminución apreciable de la eficiencia de intercambio térmico
(debida a incrustaciones en las paredes de los tubos), así como también debido a que la
función del sistema que suministra el agua de enfriamiento está indisponible.

43
En los dos primeros casos los modos de falla de interés para este tipo de componente son
"ruptura de la carcaza" y "pérdida de eficiencia de intercambio térmico". Para las bombas,
ventiladores, generadores Diesel de emergencia, etc., de los cuales se requiere
primeramente el arranque y posteriormente el funcionamiento por espacio de un tiempo
determinado, los modos de falla de interés serían "falla al arranque" y "falla a continuar
operando" (o, simplemente, "falla en operación").

Para lograr la uniformidad en la definición de los modos de falla, dada la gran variedad de
estos que pueden tener lugar, y de acuerdo con la experiencia acumulada en el campo de
recopilación y manipulación de datos, es conveniente definir modos de falla genéricos
aplicables a diferentes tipos de componentes genéricos de la industria. En la Tabla 4.2-1 se
listan tales modos de falla, su codificación y explicación [17].

La lista incluida en la Tabla 4.2-1 no es absoluta y, en función del nivel de detalle deseado
y la disponibilidad de información, podrían definirse modos de falla más específicos para el
análisis. Asimismo, para el caso de estados potenciales de componentes, puede añadirse al
código del modo de falla una letra "P" (por ejemplo, "PR", para el caso de "falla potencial
a seguir operando"). Por otro lado, hay modos de falla que pueden requerir alguna
especificación, como es el caso de la falla al mantenimiento de la posición ("D"), que puede
significar "arranque espúreo" (o falso) si el componente arranca sin que sea requerido, o
"parada espúrea" (o falsa) si el componente estaba operando y detiene su funcionamiento
antes de que ello sea requerido, así como también aquellos casos de "cierre falso" o
"apertura falsa" en interruptores y válvulas. Para todos estos modos de falla se incluirá una
codificación especial en la medida que se considere conveniente y práctico.

Tabla 4.2-1. Modos de falla genéricos.

No. Modo de Falla Código Explicación

1 Todos los modos
A Caracteriza cualquier tipo de falla que pueda ocurrir
sobre cualquier componente. Incluye fallas
incipientes, por degradación y catastróficos. Se
emplea cuando no se dispone de la definición del
modo de falla detallado o de los datos de falla para
modos particulares. Indica que el componente está
fuera de servicio o debe ser sacado de servicio en
condiciones normales de operación.

44
 Tabla 4.2-1. Modos de falla genéricos (cont.)
2 Falla al cambio de la
posición
3 Falla al mantenimiento de
la posición
4 Falla al cierre
5 Falla funcional
6 Cortocircuito a tierra
C Caracteriza la falla de un componente a moverse
hacia una posición requerida. Normalmente se
emplea en componentes que ejecutan su función
moviéndose entre dos estados o posiciones discretas
bien definidas (por ejemplo, válvulas, interruptores),
o que cambien su posición discretamente entre dos
puntos límites de un rango de regulación. (Fallas a
cambiar de posición ante una señal de mando).
D Caracteriza la falla de un componente cuando éste no
mantiene la posición requerida. Se aplica a
componentes que ejecutan su función cambiando
entre estados o posiciones discretos (por ejemplo,
válvulas, interruptores), o que simplemente cambien
su posición discretamente entre dos puntos límites de
un rango de regulación. La falla implica el cambio
hacia la posición opuesta (no deseada), sin que sea
comandado.
E Caracteriza un componente que se encuentra
normalmente abierto y falla al intentar moverse hacia
la posición de cerrado al recibir el comando para ello.
Se considera un subconjunto del modo de falla “falla
al cambio de posición” ( C ).
F Es un modo de falla general, aplicable
fundamentalmente a componentes cuyo movimiento
no es perceptible cuando ejecutan su función (por
ejemplo, transformadores, baterías y equipos de
I&C), o a aquellos que presentan una función
compleja. No debe confundirse con el modo “falla en
operación” ( R ) para componentes rotatorios,
como por ejemplo, bombas. Caracteriza la falla del
componente a funcionar de manera requerida, ya sea
continuamente, o cuando se demande su actuación.
(Pérdida de función)
G Caracteriza las conexiones no deseadas a tierra de
cualquier componente no conectado a tierra. Se le
aplica a los componentes eléctricos y de I&C, que de
alguna manera conduzcan o modifiquen la corriente
eléctrica y que no puedan ejecutar su función al
ocurrir la pérdida del aislamiento con respecto a
tierra. Es un subconjunto del modo de falla “corto
circuito” (H). (Pérdida de función).
45
 Tabla 4.2-1. Modos de falla genéricos (cont.)

7 Cortocircuito H Caracteriza a las conexiones entre conductores de

electricidad normalmente aislados entre sí, que crea
condiciones tales que impide el funcionamiento del
componente específico u otros componentes
afectados. Se le aplica a los componentes eléctricos y
de I&C. (Pérdida de función).
8 Circuito abierto I Caracteriza a la desconexión no deseada (aislamiento
interno) de un circuito en los sistemas eléctricos y de
I&C, debido a la cual el componente no puede
ejecutar su función. (Pérdida de función).
9 Obstrucción/ruptura J Caracteriza la obstrucción o ruptura de un segmento
de tubería que interrumpe la continuidad del caudal a
través de éste, o impide su establecimiento. Se aplica
sólo a tuberías. (Pérdida de función del componente).
10 Funcionamiento espúreo K Caracteriza la falla de un componente a mantener su
estado actual (cambio de estado sin comando). Es un
subconjunto del modo de falla “falla al
mantenimiento de la posición. Se aplica a
componentes que ejecuten su función por otros
medios diferentes al cambio de la posición entre dos
estados fijos diferentes, por ejemplo, un componente
normalmente desconectado que se conecte y opere
sin que sea requerido. (Cambio de estado sin
comando).
11 Falla a la apertura O Caracteriza la falla de un componente a moverse a
una posición nueva (abierta). Es un subconjunto del
modo de falla “falla al cambio de la posición” ( C ).
Es el opuesto a la falla al cierre ( E ).
12 Obstrucción Q Caracteriza a cualquier medio de evitar el caudal en
una dirección requerida no causada por la operación
normal del componente. Se le aplica a equipos en los
que determinadas piezas puedan quedar sueltas, o
donde debido a las deposiciones que ocurran, quede
obstruida la vía de caudal. (Pérdida de función).
13 Falla en operación R Caracteriza la falla de un componente a continuar
(falla a continuar operando (usualmente en movimiento rotatorio),
operando) durante un tiempo de misión requerido. Se le aplica a
todo tipo de componente que ejecuta su función
mediante un movimiento continuo. (Pérdida de
función).
14 Falla al arranque S Caracteriza la falla de componentes en espera cuando
son demandados a operar. Se le aplica a componentes
cuya función la ejecuten mediante movimiento
rotatorio. (Pérdida de función).

46
 Tabla 4.2-1. Modos de falla genéricos (cont.)

15 Fuga/Fuga externa Y Caracteriza una falla de la frontera del componente a

permanecer intacta (retener el fluido). En el caso de
que el componente ejecute otra función (por ejemplo,
una bomba), esta falla no evita necesariamente esa
otra función. En ocasiones puede solaparse con el
modo de falla “ruptura” y puede no ser catastrófico.
Se refiere comúnmente a fuga externa. (Pérdida
parcial o total de función).
16 Ruptura T Caracteriza una gran rotura en la frontera de
retención de fluido. Siempre se considera
catastrófico. Si el componente ejecuta otra función
(por ejemplo, bombas) este modo de falla impide el
cumplimiento de esa función. A veces se utiliza para
caracterizar la falla de partes internas de
componentes (por ejemplo, válvulas) para el caso de
fuga interna. (Pérdida de función).
17 Pérdida de eficiencia de Z Caracteriza la falla de intercambiadores de calor por
intercambio térmico una disminución considerable de la eficiencia de
intercambio térmico, debida posiblemente a
deposiciones en las paredes de los tubos. Se utiliza
fundamentalmente en intercambiadores donde uno de
los fluidos sea agua de mar o lubricantes. (Pérdida de
función).

4.3. Clasificación de las causas.

A pesar del esfuerzo realizado en el tema de la clasificación de las causas raíces de fallas,
aún se trabaja para completar y perfeccionar los esquemas desarrollados. Por ejemplo, en el
Anexo D de la ref. [16] (Fig. D.1) se presenta un esquema de clasificación de las causas de
fallas dependientes (aplicable también a las fallas independientes), mediante una estructura
jerárquica "de arriba hacia abajo", que parte de categorías más generales que se van
subdividiendo en niveles más bajos hasta llegar a las posibles causas raíces específicas.

Así, una falla pudo haberse producido por fenómenos relacionados con la explotación y,
dentro de ésta, con defectos en los procedimientos de mantenimiento relativos a la
calibración del equipo afectado. Este esquema intenta orientar a los analistas que realizan la
revisión de los datos de una instalación, para determinar las causas raíces de falla de los
equipos, ya que identificar éstas significa poder evitar la recurrencia de las fallas. No
obstante, no debe considerarse definitivo, sino que debe tomarse como una guía en el
proceso de identificación de la causa de falla. De hecho, en muchas ocasiones se necesita
realizar una investigación más a fondo para llegar a la verdadera causa raíz, sobre todo en
los casos donde intervienen múltiples fenómenos.

47
El esquema que se presenta a continuación sigue un enfoque alternativo y, como parte del
sistema de clasificación de datos, resulta útil para seleccionar el método apropiado a utilizar
para incluir las dependencias intercomponentes en los modelos lógicos.

Como muestra la Figura 4.3-1, las causas se clasifican en ocho clases generales, las cuales
se subdividen a su vez en niveles inferiores que sirven, además, de guía para la recopilación
de información más detallada sobre las causas (en el caso de que dicha información esté
disponible). A diferencia del esquema de la Fig. D.1 de la ref. [16], aquí se ha incluido la
clase de "otro componente", para reflejar los casos de indisponibilidad de un componente
debida al estado de otro, asimismo, a cada clase le corresponde un código gráfico-
alfanumérico para permitir su identificación en el sistema de clasificación de datos.

Figura 4.3-1. Esquema de clasificación de causas de falla.

Las categorías de causas de falla presentadas en la Figura 4.3-1 se describen a

continuación:

(D) Insuficiencia en el Diseño, Fabricación o Construcción. Incluye acciones y

decisiones durante el proceso de diseño, fabricación o construcción, antes y
después de la puesta en servicio de la instalación. Se puede subdividir en:

(DR) Insuficiencia en los requerimientos de definición de la instalación.

(DE) Error o insuficiencia de diseño.

(DM) Error o insuficiencia de fabricación.

(DC) Error o insuficiencia de construcción.

48
(DX) Otras.

(P) Procedimientos de operación o mantenimiento ambiguos, incompletos o

erróneos. Se pueden subdividir en:

(PO) Procedimiento de operación incorrecto.

(PM) Procedimiento de mantenimiento incorrecto.

(PC) Procedimiento de prueba/calibración incorrecto.

(PX) Otras.

(H) Acciones humanas y errores del personal. Incluyen errores de omisión y

comisión por parte del personal de la instalación. Puede subdividirse en:
(HP) Acción errónea durante la ejecución de un procedimiento correcto.

(HM) Diagnosis errónea al seguir un procedimiento equivocado.

(HA) Acción accidental.

(HX) Otras.

(M) Mantenimiento (planificado o no), pruebas, o inspección. Se refiere a aquellas

actividades para las cuales es necesario sacar fuera de servicio al componente.
Puede subdividirse en:

(MS) Mantenimiento preventivo planificado (incluyendo pruebas de vigilancia y

calibración).

(MF) Mantenimiento correctivo.

(E) Esfuerzos Ambientales Anormales. Se refiere a toda condición ambiental

adversa no incluida dentro de las bases de diseño del componente. Puede
subdividirse en:

(EE) Interferencia electromagnética.

(EM)Alta humedad (aspersión, inundación, escape de vapor, etc.).

(EF) Incendio.

(ET) Alta temperatura.

(ER) Radiación.

49
(EC) Reacciones químicas.

(EV) Cargas debidas a la vibración.

(EI) Cargas debidas a impactos (chorros de agua, vapor, objetos proyectados).

(EH) Sucesos externos imputables al hombre.

(EN) Sucesos externos naturales.

(I) Internas. Incluye el funcionamiento defectuoso de alguna parte interna del

componente como resultado del envejecimiento normal u otros mecanismos de
falla inherentes al componente, o las fallas de estas partes debidas a la influencia
de condiciones ambientales esperadas. Puede subdividirse en:

(IC) Defectos relativos a partes internas o piezas del componente.

(IE) Esfuerzos debidos a condiciones ambientales esperadas.

(U) Desconocida. Caracteriza a aquellos casos donde no pueda identificarse la causa

con claridad.

Estado de Otro Componente. La causa del estado del componente de interés es

el estado de otro componente del cual éste depende funcionalmente.

Los símbolos de la clasificación de causas se han establecido de manera que se identifique

la causa en dos grandes categorías: una se refiere a causas raíces (identificadas por el
círculo), como las que fueron definidas más arriba, y la otra a causas inmediatas
identificadas con posibles estados de componentes (rectángulo), que fueron definidas en el
epígrafe 4.1. En el caso de las causas raíces, en el interior del círculo aparecen las letras
(código) que definen las mismas.

En determinados casos de categorías de causa puede existir confusión en el momento de la

diferenciación entre una y otra categoría. Ello ocurre, por ejemplo, con la categoría (E) y la
subcategoría (IE), ambas relacionadas con esfuerzos aplicados sobre el componente como
resultado de condiciones ambientales. Sin embargo, el primer caso se refiere a esfuerzos
que van más allá de las bases de diseño del componente, para los cuales éste no está
cualificado, mientras que el segundo caso se refiere a aquellos esfuerzos debidos a
condiciones ambientales esperadas relativas al funcionamiento del componente, para las
cuales éste sí está cualificado. Los siguientes ejemplos de condiciones ambientales podrían
considerarse como "ambiente normal" (IE) o como "ambiente anormal" (E), en función del
tipo de componente y el grado de esfuerzo que se ejerce en comparación con las bases de
diseño:

- Vibración.
- Humedad

50
- Fatiga térmica
- Corrosión inducida por ambientes salinos, etc.

También ocurren fallas donde es difícil identificar la causa final, por lo que con frecuencia
se asigna la categoría de "desconocida" (U). Tal puede ser el caso de un equipo rotatorio
que se ha desajustado, presentando determinadas piezas sueltas. Ello pudo ser el resultado
de un error del personal de montaje al no ajustarlas adecuadamente; a que el equipo ha
estado sometido a altas vibraciones por causas externas a éste; o a la propia naturaleza de
diseño del equipo que contribuye con el tiempo a que se suelten dichas piezas. En este caso,
no se le suele atribuir una causa interna a la falla del componente, sino una serie de causas
potenciales, lo cual indica que la categoría asignada es "desconocida" (U) en lugar de
"interna" debida a condiciones ambientales normales (IE).

Es importante notar que la mayoría de las fallas debidas a condiciones ambientales

normales se le atribuyen finalmente a errores humanos, ya que el equipo debe estar
cualificado por diseño para trabajar en su ambiente de operación (por ejemplo, mediante el
uso de materiales con las características adecuadas de resistencia mecánica y a la corrosión,
o mediante el diseño apropiado de su sistema de sujeción y sellado) o, alternativamente, el
suministrador indica las medidas adicionales de defensa que deben incorporarse para que
un equipo no cualificado completamente resista sin problemas dicho ambiente (por
ejemplo, frecuencia de pruebas y mantenimientos preventivos, aseguramiento de
condiciones ambientales de operación apropiadas, etc.).

A modo de resumen se puede establecer que la asignación de la categoría de "condiciones

ambientales normales" (IE) sólo procede si es imposible determinar una causa raíz de
origen humano (H), que permite que tales condiciones impacten al componente, lo que
implica que determinados sucesos puedan interpretarse a través de una u otra categoría.

Por último, debe tenerse en cuenta que la categoría de "mantenimiento correctivo" (MF) se
asigna sólo si no se conoce la causa de la falla del componente.

51
4.4. Diagrama lógico de causa-efecto.

Hasta aquí han sido definidas las categorías de estados de componentes y sus causas, con su
respectiva codificación y simbología. Esto constituye la base para la delineación de los
diagramas lógicos de causa-efecto, que serán usados para representar los diferentes
escenarios que describe un suceso.

Un diagrama lógico de causa-efecto muestra gráficamente la relación entre la causa y el

efecto de un suceso, en términos de estados resultantes de los componentes implicados en
dicho suceso, como se muestra en el siguiente ejemplo:

Este diagrama significa que ha ocurrido una falla del componente "1" debida a causas
internas a éste y como resultado los componentes "2" y "3" han quedado funcionalmente
indisponibles, por presentar una dependencia funcional con el primer componente. Esto
podría haber sido, por ejemplo, la apertura falsa (espúrea) de un interruptor (componente
"1" del ejemplo) que deja desconectadas de la alimentación eléctrica a las dos bombas del
sistema contra incendio de una instalación (componentes "2" y "3" del ejemplo), lo que
impide que éstas no puedan arrancar para mitigar un incendio ocurrido. (Vea el ejemplo del
esquema de la Figura 3.2-2, del Capítulo 3).

Los elementos de un diagrama lógico de causa-efecto son los siguientes:

• Círculo: se utiliza para representar las causas. También de utilizan para representar
operadores lógicos para los casos donde varias causas están presentes y es necesario
indicar si se requieren todas o un grupo de ellas para que ocurra el suceso. Por ejemplo,
en el siguiente diagrama están presentes dos causas, pero la existencia de una sola de
ellas es suficiente para que ocurra el suceso (lógica (1/2), equivalente a una compuerta
OR con dos entradas, en los diagramas lógicos de confiabilidad).

52
Por otra parte, si ambas causas son necesarias para que ocurra el suceso el diagrama sería el
siguiente:

Donde la lógica (2/2) es equivalente a una compuerta AND con dos entradas, en los
diagramas lógicos de confiabilidad.

• Cuadro: el cuadro o caja se utiliza para representar los estados de componente

resultantes.

• Enlaces: son las líneas sólidas que unen a los cuadros y círculos y representan los
mecanismos de acoplamiento entre esos elementos, de modo que un elemento situado a la
izquierda de la línea es la causa del elemento situado a la derecha.

De esta manera, la evolución de un suceso es reproducida en un diagrama lógico de causa-

efecto de izquierda a derecha, comenzando siempre por uno o más círculos que representan
la causa (o causas) del suceso y culminando en los cuadros que representan los estados de
componente resultantes.

Pueden presentarse sucesos en los que una misma causa impacta a varios componentes,
situación que se representa mediante múltiples líneas que conectan la causa con los
diferentes estados de componente resultantes, como lo muestra el primero de los tres
ejemplos anteriores.

53
4.5. Clasificación de los sucesos.

La clasificación de los sucesos dentro del sistema de clasificación de datos, se realiza a

partir de la estructura del diagrama lógico de causa-efecto. Las categorías de sucesos se
establecen atendiendo a las configuraciones lógicas del diagrama. Para ello primeramente
es necesario determinar si la estructura del diagrama lógico de causa-efecto presenta alguna
ramificación. La ramificación existe cuando ocurren dos o más estados de componente
como resultado de una causa, sin importar el tipo de causa presente (de raíz o de
componente). Así, son definidos sólo dos tipos de sucesos: sucesos ramificados y sucesos
lineales.

Un suceso es ramificado si al menos una de las prolongaciones de la causa resulta

directamente en dos o más estados de componente, de otro modo el suceso se considera
lineal. A modo de ilustración en la Figura 4.5-1 se representan las posibles estructuras del
diagrama lógico de causa-efecto, que definen tales tipos de suceso.

Figura 4.5-1. Estructuras de los diagramas lógicos de causa-efecto.

54
Una característica de los diagramas lógicos de causa-efecto, que resulta útil para clasificar
los sucesos, se refiere a la posibilidad de dividirlos en subestructuras denominadas
unidades. Una unidad es cualquier porción del diagrama lógico de causa-efecto, formada
por una causa y todos lo estados de componente resultantes de dicha causa. De esta manera
las unidades se clasifican en lineales o ramificadas, como se muestra en la Figura 4.5-2.

Figura 4.5-2. Categorías de las unidades en los diagramas lógicos de causa-efecto.

Así, un diagrama lógico de causa-efecto puede contener varias unidades, ya sean lineales,
ramificadas o una combinación de ambas, en función de las características del suceso
ocurrido.

Todas estas definiciones forman la base del esquema de clasificación jerárquica de sucesos
que presenta la Figura 4.5-3. En esta figura se presenta, además, la relación entre el tipo de
suceso (independiente y dependiente) y las categorías de sucesos que se obtienen de las
diferentes estructuras lógicas causa-efecto.

55
 Figura 4.5-3. Esquema de clasificación jerárquica de los sucesos.

El esquema presentado en la Figura 4.5-3 comienza clasificando los sucesos en dos grandes
categorías: "lineales" y "ramificados". Como puede verse, los sucesos lineales están
formados solamente por unidades lineales, mientras que los ramificados tienen al menos
una unidad ramificada.

La categoría de sucesos lineales se subdivide a su vez, en función de la cantidad de

unidades que presenten, como "sucesos lineales de unidad simple" (LS) y "sucesos lineales
de unidades múltiples" (LM). En la primera entran aquellos sucesos en los cuales como
resultado de la incidencia de una causa resulta un único estado de componente. Los sucesos
que caen dentro de la categoría "unidad lineal múltiple" (LM) son denominados
frecuentemente "fallas en cascada".

Por su parte los sucesos ramificados se subdividen primeramente en dependencia de la

presencia de unidades ramificadas simples o múltiples dentro de la estructura lógica del
suceso. La categoría de "sucesos ramificados de unidad simple" presenta una única unidad
ramificada, pero puede incluir varias unidades lineales. La categoría de "sucesos
ramificados de unidad múltiple" tiene varias unidades ramificadas y varias unidades
lineales. Estas últimas características junto a los dos tipos de causa asociada a las unidades
ramificadas, forman la base de la última subdivisión de las dos categorías de sucesos
ramificados. Así se definen las categorías de "sucesos ramificados de unidad simple de
causa raíz" (BSR) y "sucesos ramificados de unidad simple causados por componente"
(BSC), y las categorías de "sucesos ramificados de unidades múltiples causados por

56
componente" (BMC) y "sucesos ramificados de unidad múltiple de causas mixtas"
(BMM).

Como resultado se han obtenido seis categorías de sucesos, en términos de las

características generales de los diagramas lógicos de causa-efecto. A pesar de que el
espectro de categorías de sucesos podría ampliarse, por ejemplo, en función del número de
unidades lineales combinadas con unidades ramificadas, no se ha reportado ninguna ventaja
particular en definir un número mayor de categorías. Estas seis categorías han sido
fundamentadas por los análisis estadísticos de datos realizados [1, 2, 3].

En la Figura 4.5-3 se presenta, además, la correspondencia entre las categorías de sucesos y

los sucesos independientes y dependientes. Como se puede apreciar, los sucesos
independientes son los incluidos en la categoría LS (lineal de unidad simple), mientras que
los sucesos dependientes son los que se incluyen en las cinco restantes categorías: LM
(lineal de unidad múltiple), BSR (ramificado de unidad simple de causa raíz), BSC
(ramificado de unidad simple causado por componente), BMC (ramificados de unidades
múltiples causados por componente) y BMM (ramificados de unidades múltiples de causas
mixtas).

Todos los sucesos de la categoría LM y aquellos que son causados por componente, sean
lineales o ramificados (BSC, BMC y BMM) deben incluirse en los modelos de análisis de
confiabilidad, de manera explícita. Los sucesos de causa común se refieren al subconjunto
de la categoría BSR, que satisface los criterios de selección para modelarlos en un análisis
de sistema como un suceso básico de causa común, es decir, de manera implícita.

57
 CAPITULO 5
PROCEDIMIENTO SIMPLIFICADO PARA EL ANALISIS DE LAS
FALLAS DE CAUSA COMUN

En el Capítulo 3 se describen los métodos comúnmente empleados para la modelación de

los sucesos dependientes en los análisis de confiabilidad y riesgo. Como se señaló, el
método explícito incluye la causa de la indisponibilidad funcional de los componentes
afectados en el modelo lógico (árbol de fallas), de la misma manera que se incluye ésta en
el caso de los sucesos independientes. Sin embargo, existen dependencias, denominadas
"residuales" que provocan la falla de múltiples componentes que no pueden ser incluidas de
esa manera en los modelos lógicos, y que se tienen en cuenta a través de parámetros (por
ejemplo, el factor ß), de modo que las causas de estas dependencias quedan subyacentes en
el modelo y son analizadas de manera separada.

Para lograr completar el análisis de las dependencias dentro de los estudios de confiabilidad
y riesgo (es decir, en adición a la consideración de las dependencias de manera explícita),
de forma tal que sean considerados todos los sucesos verosímiles que impacten sobre la
capacidad funcional de los sistemas de interés, se presenta en este capítulo un
procedimiento simplificado para el análisis de las fallas de causa común (dependencias
residuales).

A pesar de que el análisis de las dependencias es parte integral de las tareas de modelación
de sistemas (y secuencias de accidente, en el caso de los análisis probabilísticos de
seguridad), se le da un tratamiento diferenciado a las dependencias residuales entre
componentes idénticos, redundantes y activos, por sus particularidades e impacto sobre la
confiabilidad y el riesgo (para el caso de sistemas con determinado grado de redundancia).

Dada la insuficiencia esperada en cuanto a la disponibilidad de datos para estimar las

probabilidades de las fallas de causa común, así como la no-disponibilidad de información
sobre la aplicación y resultados de análisis de este tipo en la industria convencional, el
enfoque adoptado en este procedimiento se dirige a la identificación de las características
generales de diseño y operación sobre las que hay que prestar mayor atención con respecto
a la potencialidad de ocurrencia de este tipo de suceso y de la existencia o ausencia de
medidas defensivas eficaces contra estos. Como resultado de la aplicación del presente
procedimiento a determinados sistemas escogidos de la industria convencional, deben
recomendarse los esfuerzos necesarios a realizar en el campo de la investigación de las
dependencias residuales, para su perfeccionamiento y futura aplicación eficaz a dicha
industria.

58
5.1. Presentación general del procedimiento de análisis.

El procedimiento se divide en tres etapas fundamentales: Definición y Modelación del

Sistema; Análisis Cualitativo; y Análisis Cuantitativo Limitado (ver Figura 5.1-1).
Seguidamente se describen a grandes rasgos dichas etapas, puntualizando sus objetivos.

Etapa 1. Definición y Modelación del Sistema.

Esta etapa incluye todos los pasos o tareas comunes de un análisis tradicional de árbol de
fallas de un sistema, sin llegar a la cuantificación. El objetivo de esta etapa es asegurar la
familiarización del analista con el sistema que va a ser analizado, de modo que se
identifiquen las fronteras del sistema, los modos de falla de interés, y se defina el criterio de
éxito del mismo. Como resultado debe definirse el suceso tope y construirse el modelo
lógico (árbol de fallas).

Etapa 2. Análisis Cualitativo.

El producto de salida de la Etapa 1 constituye la entrada para esta etapa, así, una vez
construido el árbol de fallas del sistema, el próximo paso es el análisis cualitativo. El
objetivo de este análisis es identificar de manera conservadora las vulnerabilidades
potenciales del sistema que se analiza, a las fallas de causa común, realizando un análisis
selectivo de los posibles componentes implicados en este tipo de suceso y evaluando la
capacidad del sistema (o incapacidad) para contrarrestar o mitigar tales fallas. Como
resultado se obtendrán los grupos de componentes de causa común que serán la base para
definir los componentes - modos de falla (sucesos básicos de causa común) que serán
incluidos en el análisis cuantitativo del sistema, en la siguiente etapa.

Etapa 3. Análisis Cuantitativo Limitado.

En esta etapa se definen los sucesos básicos de causa común que se incluirán en el modelo
del sistema, se determinarán las probabilidades o ratas de falla de estos y se cuantificará la
indisponibilidad del sistema. Finalmente se documentarán los resultados de la evaluación
de la confiabilidad del sistema en términos de los sucesos que contribuyen de manera
significativa a su indisponibilidad y las recomendaciones pertinentes. Esto incluye los
resultados de los análisis de sensibilidad que sean requeridos para evaluar el impacto de la
variación de los valores genéricos asumidos. La denominación de limitado, significa que no
se realizará una cuantificación preliminar y una detallada basada en estimaciones rigurosas
de parámetros, como en el caso de los análisis de fallas de causa común que se realizan, por
ejemplo, para la industria nucleoenergética, ya que no es este el objetivo por las razones
planteadas al inicio del presente capítulo.

A continuación se detallan los pasos de cada una de las etapas más arriba señaladas.

59
 Figura 5.1-1. Estructura del procedimiento para el análisis de fallas de causa
común.

5.2. Definición y modelación del sistema.

El primer paso en esta etapa se refiere a la identificación del sistema que va a ser
analizado. Esto está en correspondencia con los objetivos del análisis y significa que el
analista debe identificar cuál es el sistema de interés dentro de la instalación particular. Una
vez identificado, el analista debe familiarizarse con la designación, el diseño y la operación
del sistema, en un grado de detalle que esté en correspondencia con los objetivos del
análisis y que le permita obtener toda la información suficiente para abarcar el alcance de
las tareas que definen los objetivos.

Tras haber revisado toda la información necesaria, el próximo paso es la identificación de

las fronteras del sistema. Ello se refiere a identificar los límites físicos y funcionales del
sistema y su relación con otros sistemas de los cuales éste dependa para su funcionamiento
(frontera exterior), es decir, aquellos sistemas que aunque no están incluidos formalmente
en el sistema de interés, necesitan incorporarse en el análisis, por influir en determinado
grado sobre su capacidad funcional. Por ejemplo, si se trata de un sistema contra incendios,
en las interfaces estaría incluido el sistema de alimentación eléctrica de las bombas y si es
aplicable, el sistema automático de actuación de emergencia.

60
Adicionalmente, deben definirse las fronteras interiores, que marcan el grado de resolución
del análisis. Esto significa definir qué va a considerar como componente, es decir, las
partes componentes de cada elemento del sistema que no se subdividen más para el análisis.
Por ejemplo, en el caso de una bomba podrían incluirse dentro de sus fronteras el motor, el
cuerpo, el eje con el impelente, los rodamientos y los sellos, el circuito de control, el
sistema de lubricación y enfriamiento (si es aplicable) y el interruptor de circuito del motor.
Por otro lado, quedarían fuera de la frontera de este componente las válvulas de succión y
descarga de la bomba, los relays del sistema de actuación, etc. . No obstante, el problema
de la definición de las fronteras de los componentes depende en gran medida de cómo está
organizado el sistema de registro de datos en la instalación particular (por ejemplo, de
acuerdo con la organización de la sección de mantenimiento) y de la resolución de los datos
disponibles en la instalación particular, para cuantificar las fallas e indisponibilidades de
los componentes.

Habiendo definido las fronteras, pueden identificarse entonces los modos de falla de
interés. Una lista bastante completa de estos que puede servir de referencia, se presenta en
la Tabla 4.2-1 (Capítulo 4). Es importante tener en cuenta que aunque pueden definirse un
variado número de modos de falla para un mismo componente, sólo son de interés aquellos
que puedan ser representativos de la violación del criterio de éxito del mismo, para lo cual
es necesario conocer la función del componente dentro del sistema, su estado en los
diferentes regímenes en que participe el sistema, la realineación que pueda sufrir al
requerirse su funcionamiento, etc. (para mejor orientación remítase al epígrafe 4.2 del
Capítulo 4). Estos modos de falla van a constituir en principio los elementos del árbol de
fallas del sistema a construir.

El siguiente paso se refiere a la definición del criterio de éxito del sistema y del suceso
tope, y por último la construcción del árbol de fallas del sistema, técnica con la cual se
asume que el analista está familiarizado, por lo que no se detallan aquí las reglas que
normalmente se siguen para ello. Note que en el árbol de fallas construido deben estar
incluidas las dependencias que permitan su modelación explícita (guíese por la información
presentada en los epígrafes 3.1 y 4.5, Capítulos 3 y 4, respectivamente).

5.3. Análisis cualitativo.

Al culminar la etapa anterior ya el analista se encuentra preparado para comenzar el

proceso de selección de los grupos genéricos de causa común potenciales, es decir, la
identificación preliminar de las vulnerabilidades potenciales del sistema a las fallas de
causa común y la identificación definitiva de éstas.

El primer paso de esta etapa es el análisis selectivo preliminar. Como su nombre lo

indica, se refiere a la selección preliminar de una lista de grupos genéricos de componentes
de causa común, es decir, aquellos tipos de componentes dentro del sistema que son
susceptibles a fallas de causa común.

Para ello es conveniente centrar la atención en los posibles mecanismos de acoplamiento

presentes (ver epígrafe 2.3 del Capítulo 2, para más información al respecto), sin considerar

61
las medidas de defensa correspondientes introducidas. Estos mecanismos son los que
distinguen a las fallas únicas independientes de las fallas múltiples de causa común. Del
examen de las fallas de causa común ocurridas en el campo de la nucleoenergética, se ha
llegado a la conclusión de que estos mecanismos de acoplamiento están asociados a
determinados factores que eran comunes a los componentes fallados. Un primer intento de
selección debe basarse en los siguientes atributos de componentes activos y redundantes:

- Igualdad del diseño.

- Montaje realizado según los mismos procedimientos.
- Similitud de las condiciones ambientales.
- Designación de la misma función.
- Operación según los mismos procedimientos.
- Pruebas e inspección según los mismos procedimientos.
- Mantenimiento según los mismos procedimientos.
- Ubicación dentro de un mismo local.

Como apoyo a este proceso es conveniente desarrollar una lista de chequeo que incluya a
los atributos anteriores, para evaluar el grado de similitud entre los posibles componentes
implicados. Esta lista de chequeo puede incluir lo siguiente:

• Tipo de componente: por ejemplo, válvula motorizada, incluyendo características

especiales de construcción o diseño, como dimensiones, material, modelo, etc.

• Función del componente en el sistema: aislamiento del sistema; regulación del caudal;
obstrucción; conexión o interrupción de alimentación eléctrica, etc.

• Fabricante o suministrador del componente.

• Condiciones internas del componente: por ejemplo, rangos de presión absoluta o

diferencial; rangos de temperatura, de parámetros químicos; requerimientos de energía;
caudal nominal, etc.

• Nombre/código de ubicación del componente.

• Condiciones ambientales externas del componente: por ejemplo, rangos de

temperatura, de humedad, de presión barométrica; presencia de partículas en la atmósfera
y concentración de éstas, etc.

• Estado inicial del componente: por ejemplo, normalmente cerrado, normalmente

abierto, energizado, etc.

• Régimen operacional del componente: por ejemplo, normalmente en operación, en

reserva (espera), o alternado.

62
• Características y procedimientos de prueba del componente: por ejemplo, intervalo
de pruebas; configuración o realineamiento de prueba; efecto de la prueba sobre la
operación del sistema, etc.

• Características y procedimientos de mantenimiento del componente: por ejemplo,

frecuencia de mantenimientos preventivos planificados; configuración o realineamiento
de prueba; efecto del mantenimiento sobre la operación del sistema.

Los grupos de componentes que compartan similitudes en uno o más atributos de la lista
presentada, pueden considerarse con potencial de falla de causa común. No obstante, en
dependencia de las características específicas de diseño y operación y de los requerimientos
funcionales, pueden ser necesarias determinadas combinaciones de atributos similares para
que existan condiciones reales para la ocurrencia de fallas de causa común. La evaluación
debe realizarse caso por caso, antes de decidir si existe o no-vulnerabilidad potencial a este
tipo de falla.

En la práctica pueden seguirse las siguientes directrices para la selección de grupos de

componentes de causa común:

• Cuando se usen componentes activos, idénticos, sin que incluyan diversidad funcional
para proporcionar redundancia en un sistema, tales componentes deben ser asignados a un
grupo de componentes de causa común; uno por cada grupo de componentes redundantes
idénticos.

• Cuando se aplique la diversidad en componentes redundantes, puede asumirse

independencia entre estos, por lo que no se incluirán en ningún grupo de componentes de
causa común. Ello está fundamentado por los datos de la experiencia operacional.

• De manera general, los componentes pasivos no se incluyen en esta selección, por el

carácter dominante de los activos. Sin embargo, debe tenerse cuidado de excluir algún
tipo de componente pasivo redundante (e incluso diverso) con susceptibilidad a fallar por
una misma causa, como es el caso de los filtros que puedan obstruirse debido a la
presencia de algún agente externo (escombros, partículas, etc.).

En la Tabla 5.3-1 se relaciona un listado mínimo de componentes genéricos en los que debe
centrarse esta revisión, obtenidos de la experiencia operacional y de análisis realizados para
la industria nucleoenergética, aunque la lista final debe resultar de la revisión detallada del
sistema.

63
 Grupo Descripción Modo de falla cubierto
No.

1 Batería de C.C. Falla funcional (F)

2 Generador Diesel de Emergencia. Falla al arranque (S)

Falla en operación (R)

3 Interruptores de Circuito Falla al cambio de posición (C)

4 Bombas. Falla al arranque (S)

Falla en operación (R)

5 Válvulas Falla al cambio de posición (C)

5.1 Motorizada
5.2 Neumática
5.3 Cheque
5.4 Alivio/seguridad

Tabla 5.3-1. Grupos genéricos de componentes de causa común a considerar en los

análisis.

Hasta este punto el análisis tiene un carácter conservador y el objetivo es que en el caso de
que no se prosiga producto del alcance definido, la disponibilidad de recursos, los objetivos
perseguidos, etc., no sean omitidas las vulnerabilidades principales. En tal caso el estudio
deberá ir acompañado de la documentación correspondiente a las tareas realizadas y los
criterios técnicos que justifiquen la no-continuidad del mismo.

Si se decide proseguir, de acuerdo con los objetivos del análisis, el alcance correspondiente
a dichos objetivos y los recursos y tiempo disponibles, el próximo paso es la realización de
un análisis cualitativo detallado, para incluir la experiencia y las prácticas de operación
específicas de la instalación (sistema).

El análisis cualitativo detallado incluye las tres partes siguientes:

- Revisión del diseño y prácticas operacionales del sistema (o instalación).

- Revisión de la experiencia operacional.
- Desarrollo de matrices Causa vs Defensa, y Factor de Acoplamiento vs Defensa.

64
• Revisión del diseño y prácticas operacionales del sistema (o instalación).

Para ejecutar esta parte del análisis cualitativo detallado, debe realizarse una inspección in-
situ del sistema, así como entrevistas con el personal de operación y mantenimiento.

Así, van a ser revisadas las características de diseño y todas las prácticas de operación del
sistema, como resultado de las cuales pueden eliminarse algunos de los grupos de
componentes de causa común seleccionados en el paso anterior (análisis selectivo
preliminar), dada la aparición de medidas de defensa introducidas en el sistema (o la
instalación) contra estos sucesos. En el epígrafe 2.4 del Capítulo 2, se relacionan las
medidas o tácticas de defensa que pueden identificarse durante el proceso de revisión. Debe
tenerse en cuenta que cada táctica no presenta la misma eficacia en la reducción o
eliminación de la ocurrencia de las fallas de causa común para cada tipo de acoplamiento o
causa presentes. En tal sentido se desarrolló el epígrafe 2.4 y la Tabla 2.4-1.

• Revisión de la experiencia operacional.

En adición a lo indicado anteriormente, ha de revisarse la experiencia operacional (por

ejemplo, reportes de fallas y mantenimientos, etc.), tanto del sistema o instalación que se
analiza, como de otros similares, en la medida que sea posible.

Esta revisión le permitirá al analista completar sus criterios en torno a las causas y
mecanismos de falla, y en qué medida estos se vinculan con las características físicas y
funcionales de los componentes y sistema en general (o instalación).

Al llevar a cabo esta tarea, el analista debe consultar las bases de datos disponibles. Pero,
para que sea completamente fructífera la revisión, estas bases de datos deben incluir
descripciones detalladas de los sucesos ocurridos, cuestión ésta que se presenta como un
problema real particularmente para las fallas de causa común, incluso para el caso de las
centrales nucleares, donde se exige un riguroso registro de tales incidencias dentro de los
requerimientos para mantener la licencia de explotación. No obstante, la consulta de
fuentes de información que describan las características físicas y funcionales del sistema (o
instalación) y los procedimientos de explotación, unida a la revisión de los datos
disponibles puede ayudar considerablemente al cumplimiento del objetivo de esta etapa,
que no incluye la recopilación de estadísticas de falla ni la clasificación de los datos.

Antes de la ejecución de esta tarea, es importante que el analista esté familiarizado con los
conceptos definidos en los epígrafes 2.2 y 2.3, del Capítulo 2.

• Desarrollo de matrices Causa vs Defensa y Factor de Acoplamiento vs Defensa.

El resultado de los pasos anteriores del análisis cualitativo detallado, se puede representar
mediante las denominadas matrices de Causa vs Defensa y de Factor de Acoplamiento vs
Defensa. El objetivo de estas matrices es mostrar de manera explícita la influencia de las
tácticas defensivas sobre las causas raíces y los factores de acoplamiento identificados en
los pasos anteriores. Esta influencia se evalúa cualitativamente a través de símbolos, como

65
los que muestra la Tabla 2.4-1, del Capítulo 2. Como se observa en dicha tabla, el cuadro
obscurecido significa un impacto (o influencia) fuerte; el círculo en blanco significa un
impacto moderado o débil; el punto significa que la influencia es nula o no apreciable.

Como guía para la construcción de estas matrices han de consultarse las tácticas de defensa
que se pueden emplear contra estos tipos de sucesos, las cuales se analizan en el epígrafe
2.4, del Capítulo 2. El estudio de la matriz genérica de Defensa vs Causa, mostrada en la
Tabla 2.4-1, puede resultar útil para la construcción de las matrices específicas de Causa vs
Defensa para los grupos de componentes de causa común de interés.

En función de la estrategia que adopte la instalación particular, se emplearán uno u otro

tipo de táctica defensiva. Por ejemplo, determinadas medidas son eficaces sólo contra la
causa raíz; otras influyen sobre el acoplamiento; y algunas son efectivas contra ambos.

Algunas de las defensas señaladas en el epígrafe 2.4, se caracterizan por ser

particularmente efectivas para proteger el sistema (o instalación) contra las causas raíces de
falla como, por ejemplo, la revisión del diseño, el empleo de equipos cualificados
ambientalmente, los programas de pruebas y mantenimiento preventivo, la revisión de los
procedimientos, el entrenamiento del personal y el control de la calidad. Por otro lado, las
defensas que se orientan particularmente a reducir el acoplamiento entre fallas de
componentes son la diversidad, las barreras, el escalonamiento de las pruebas y los
mantenimientos preventivos, y el incremento de la redundancia.

Una vez que el analista haya revisado toda la información disponible acerca del diseño y
operación del sistema (o instalación), recogerá sus criterios sobre la efectividad de las
defensas que hayan sido incorporadas, relativas a los grupos de componentes que pasen el
análisis selectivo preliminar, en matrices específicas que construirá sobre la base de los
formatos de las Tablas 5.3-2, 5.3-3 y 5.3-4, siguientes.

La construcción de estas matrices permitirá a los analistas sugerir las mejoras al diseño y la
operación del sistema para reducir las vulnerabilidades a tales sucesos.

El análisis de las fallas de causa común puede detenerse en este punto, si con ello han sido
satisfechos los objetivos propuestos. En tal caso el estudio deberá ir acompañado de la
documentación correspondiente a las tareas realizadas y los criterios técnicos que
justifiquen la no-continuidad del mismo. En caso de que se requiera un análisis cuantitativo
de confiabilidad o riesgo, debe continuarse con la tercera etapa del procedimiento.

66
 Tácticas Defensivas
Mecanismos de Falla Táctica "X" Táctica "Y" Táctica "Z"
del Componente Causa Factor de Causa Factor de Causa Factor de
Raíz Acoplam. Raíz Acoplam. Raíz Acoplam.

Xxx ƒ x º º x º

Yyy º x x x ƒ º

Tabla 5.3-2. Ejemplo de formato de matriz Causa vs Defensa, para mostrar el impacto
de las tácticas defensivas sobre causas raíces y factores de acoplamiento.

Mecanismos de Falla Defensas Seleccionadas Contra Causas Raíces

del Componente Táctica "X" Táctica "Y" Táctica "Z"

Xxx ƒ x º

Yyy x º ƒ

Tabla 5.3-3. Ejemplo de formato de matriz Causa vs Defensa, para un grupo de

componentes.

Mecanismos de Falla Defensas Seleccionadas Contra Acoplamientos

del Componente Táctica "X" Táctica "Y" Táctica "Z"

Xxx ƒ x º

Yyy x º ƒ

Tabla 5.3-4. Ejemplo de formato de matriz Factor de Acoplamiento vs Defensa, para

un grupo de componentes.

67
5.4. Análisis cuantitativo limitado.

Tomando como entradas los resultados de la etapa 2 (epígrafe 5.3), es decir, la definición
de los grupos de componentes que presentan una susceptibilidad apreciable a fallas de
causa común, se realizarán los pasos necesarios para cuantificar los efectos de éstas sobre
la indisponibilidad del sistema (o el riesgo de la instalación).

El alcance de esta cuantificación es limitado en lo que respecta a la estimación de los

parámetros necesarios del modelo de causa común (factores ß, ratas de falla o
probabilidades de causa común) ya que, como se verá más adelante, se asumirá un valor
genérico del ß con carácter conservador para todos los componentes, con el objetivo de que
en el proceso de cuantificación no se pierdan combinaciones de falla que puedan ser
contribuyentes significativos a la indisponibilidad del sistema. Este enfoque es común en
todo análisis de confiabilidad o de riesgo en su fase preliminar.

La no-realización de una cuantificación detallada no puede verse como una limitación del
presente procedimiento, ya que el objetivo que se persigue es precisamente identificar los
sucesos básicos de causa común potenciales, y cómo estos pueden afectar la
indisponibilidad del sistema. Constituye un objetivo la investigación futura de la posible
aplicación de métodos más exactos de estimación de parámetros, en función de los datos
disponibles y de su costo-beneficio.

Los pasos a seguir en esta etapa y que a continuación se describen son:

- Definición de los sucesos básicos de causa común.

- Incorporación de los sucesos básicos de causa común al árbol de fallas.
- Cálculo de los parámetros necesarios.
- Cuantificación de la indisponibilidad del sistema.
- Análisis de resultados y documentación.

• Definición de los sucesos básicos de causa común.

Un suceso básico de causa común es aquel que implica la falla de un conjunto específico de
componentes por una causa común. Considere un sistema que tiene dos ramas redundantes,
como el de la Figura 3.2-2. Para este caso, se identifican como grupos de componentes de
causa común potenciales a las válvulas {V2, V3} y las bombas {B1, B2}. Asumiendo que
tras el análisis selectivo preliminar y el análisis cualitativo detallado, ambos grupos quedan
como susceptibles a fallas de causa común, entonces los sucesos básicos de causa común
serán los siguientes:

CM-V2/3-O: Falla de causa común de V2 y V3 a la apertura.

CM-B1/2-S: Falla de causa común de B1 y B2 al arranque.
CM-B1/2-R: Falla de causa común de B1 y B2 en operación.
Nótese que estos sucesos se identifican dado el criterio de éxito del sistema que es la
actuación de al menos una de las dos bombas ante una demanda. Si ambas bombas fueran

68
requeridas para que se considere cumplida la función del sistema, entonces no sería
necesaria la definición de estos sucesos (ambas bombas no serían redundantes).

Considere ahora un sistema formado por tres componentes redundantes (A, B y C), cuyo
criterio de éxito es el funcionamiento de uno de los tres componentes. En este caso,
asumiendo que los tres componentes son idénticos, se identifican como un grupo de causa
común del cual se pueden definir tres sucesos básicos de causa común dobles y uno triple,
de la siguiente forma:

CAB: Falla de causa común de A y B

CBC: Falla de causa común de B y C
CAC: Falla de causa común de A y C
CABC: Falla de causa común de A, B y C

No debe confundirse la falla de A, B y C por causa común, con la falla múltiple de A, B y

C por causas independientes. El primer caso constituye un conjunto mínimo de orden 1,
mientras que el segundo es un conjunto mínimo de orden 3. Estos pueden representarse
como sigue:

(CABC)
(FA*FB*FC)

Según el criterio de éxito del sistema, las fallas dobles por causa común deben combinarse
entre sí para que se produzca la falla del sistema (conjuntos mínimos) como sigue:

(CAB*CBC), (CAB*CAC) y (CAC*CBC)

La validez estos conjuntos mínimos es cuestionable, a menos que existan condiciones

especiales que justifiquen la ocurrencia de las fallas dobles de causa común con una
frecuencia apreciable. No obstante, la experiencia indica que la contribución de este tipo de
conjunto mínimo es despreciable ante la del conjunto mínimo CABC. Por estas razones,
para este ejemplo sólo se define el suceso básico de causa común "CABC". Ello simplifica
considerablemente el modelo, sobre todo cuando la cantidad de componentes - modos de
falla es elevada.

Para el caso de sistemas con modo de operación alternado, no se postularán sucesos

básicos de causa común entre 2 o más componentes ante la demanda (p.e., falla al arranque
de bombas), si uno de ellos está normalmente en servicio, a menos que se considere en el
modelo la influencia de sucesos externos como, por ejemplo, una pérdida de las fuentes
normales de alimentación eléctrica (pérdida de energía eléctrica exterior). En estos casos
sólo se incluirá la falla de causa común en operación.

El producto de este paso es una lista de sucesos básicos de causa común, que serán
incluidos en el modelo del sistema.

69
• Incorporación de los sucesos básicos de causa común en el árbol de fallas.

Aquí se incluyen en el modelo del sistema los sucesos básicos de causa común que fueron
identificados en el paso anterior, para lo cual es preciso hacer algunas modificaciones en el
árbol de fallas.

Existen dos formas de incluir los sucesos básicos de causa común en el árbol de fallas del
sistema. En una de ellas estos se incluyen en el nivel más cercano posible a la puerta tope
adicionando una puerta OR, cuyas entradas serían tales sucesos (para modelos detallados
con gran cantidad de sucesos básicos). De otro modo, los sucesos básicos de causa común
serán incluidos en el nivel inferior del árbol, es decir, adicionando una puerta OR en el
lugar donde aparezca el modo de falla del componente implicado, siendo las entradas a esa
compuerta las fallas independientes y de causa común definidas para el componente (caso
de modelos sencillos con pocos sucesos básicos).

Los ejemplos de las Figuras 5.4-1 y 5.4-2 muestran el árbol de fallas de la Figura 3.2-3
modificado para incluir los sucesos básicos de causa común empleando ambos enfoques.

Figura 5.4-1. Arbol de fallas con sucesos básicos de causa común incluidos al nivel
más cercano a la puerta tope.

70
 Figura 5.4-2. Arbol de fallas con sucesos básicos de causa común incluidos al nivel
inferior del árbol.

En las figuras anteriores aparecen los siguientes sucesos:

LF-T-T: Ruptura del tanque "T".

H1-V1-C: Válvula "V1" en posición incorrecta ante la demanda, por error humano.
F-EE-F: Alimentación eléctrica indisponible en el momento de la demanda.
LF-B1-S: Falla única independiente de la bomba "B1" al arranque ante la demanda.
LF-B1-R: Falla única independiente de la bomba "B1" en operación dado que arrancó ante
la demanda.
LF-B2-S: Falla única independiente de la bomba "B2" al arranque ante la demanda.
LF-B2-R: Falla única independiente de la bomba "B2" en operación dado que arrancó ante
la demanda.
LF-V2-C: Falla única independiente de la válvula "V2" al cambio de la posición ante la
demanda.
LF-V3-C: Falla única independiente de la válvula "V3" al cambio de la posición ante la
demanda.

71
CM-B1/2-S: Falla de causa común de las bombas "B1" y "B2" al arranque ante la
demanda.
CM-B1/2-R: Falla de causa común de las bombas "B1" y "B2" en operación dado que
arrancó ante la demanda.
CM-V2/3-C: Falla de causa común de las válvulas "V2" y "V3" a cambiar de posición ante
la demanda.

Los árboles de falla de las figuras anteriores modelan la indisponibilidad del sistema
representado en la Figura 3.2-2, con las fallas de causa común incluidas empleando dos
enfoques diferentes. A diferencia del árbol de fallas de la Figura 3.2-3, en éstas se han
incluido los modos de falla en cada suceso básico, para que los ejemplos se acerquen a la
modelación real del sistema.

Como se aprecia en ambas figuras, cuando las fallas de causa común se incluyen en el nivel
inferior del árbol (a nivel de componentes - modos de falla), la dimensión del árbol de
fallas se incrementa en proporción al número de sucesos básicos de causa común
existentes. Por otra parte, esto complica la cuantificación en el caso de árboles complejos
con un gran número de sucesos básicos, como podría ser en el caso de sistemas reales
complejos, debido a la gran cantidad de operaciones de reducción booleana que tendrían
lugar.

Ambos enfoques conducen a los mismos resultados si los modelos han sido construidos
correctamente. La adopción de uno u otro método queda a la opción del analista. Sin
embargo, es conveniente tener claro cuándo es mejor seguir uno u otro método para incluir
los sucesos básicos de causa común en el árbol de fallas.

• Cálculo de los parámetros necesarios.

En este paso se calculan las ratas de fallas para cada suceso básico de causa común
incluido en el modelo del sistema, partiendo de los siguientes factores:

- rata de fallas genéricas para tipos de componente (tomadas de una base de datos
genérica);

- valor genérico de ß=0.1 para los sucesos básicos de causa común con fallas dobles y para
todo los tipos de componentes incluidos y modos de falla de interés de componentes a la
espera; y

- valor genérico de ß=0.05 para los sucesos básicos de causa común con fallas dobles y
para todo los tipos de componentes incluidos y modos de falla de interés de componentes
en operación; y

- orden de la falla múltiple del suceso básico de causa común dado (ß2 o ß3, para fallas
dobles o triples, respectivamente).

72
Los parámetros ß de los sucesos básicos de causa común con falla triple (ß3) serán
calculados usando la siguiente expresión tomada de la referencia [18]:

donde ßk = factor BETA para la falla de "k" componentes de un mismo grupo genérico
de dimensión "m", (m=k);

ß2 = factor BETA genérico para la falla de dos componentes de un mismo grupo

(asumido aquí como ß2=0.1 ó ß2=0.05, para componentes a la espera o en
operación, respectivamente).

La ecuación (5-1) anterior resulta de aplicar iterativamente la ecuación (5-2) siguiente, que
asume que la probabilidad condicional de falla del componente k-ésimo (k>2), dado que (k-
1) componentes han fallado, es igual al promedio de la unidad (1.0) y el ß para (k-1) de k
componentes que fallan:

donde Pc = Probabilidad condicional de que falle el componente k-ésimo dado que

fallaron k-1 componentes, (k>2).

Para el caso del presente procedimiento, se ha asumido que los grupos de componentes de
causa común tendrán una dimensión máxima m=3 (por lo que generarían a lo sumo sucesos
básicos de causa común con fallas triples, ß3). No obstante, si se diera el caso de grupos de
dimensiones mayores, la expresión (5-1) puede aplicarse para calcular los ß respectivos.

La rata de fallas del suceso básico de causa común se determina entonces, multiplicando el
ß dado por la rata de fallas que aparece en la base de datos genérica, para el componente.

La probabilidad de cada suceso básico de causa común es determinada directamente por el

código ARCON, teniendo en cuenta los siguientes factores que han de facilitársele en la
entrada de datos:

- rata de fallas de causa común;

- tipo de componente (modelo de fiabilidad del componente); y

73
- estrategia de pruebas/mantenimiento del componente (si es tipo 4).

El tipo de componente del suceso básico de causa común se corresponde con el del suceso
básico independiente que le da origen.

Para los componentes cuyo dato sea una probabilidad fija en lugar de la rata de fallas (tipo
1, ARCON), la probabilidad del suceso básico de causa común se determina directamente,
mediante el producto de la probabilidad de falla fija del componente, dada en la base de
datos genérica (asumida o estimada si se requiere en casos específicos), por el ß del mismo.

Para componentes probados se tendrá en cuenta el período de residencia de los FCC. De

esta manera, para pruebas concentradas se considerará TI/2 y para pruebas escalonadas
TI/2n, donde:
TI: Intervalo de tiempo entre pruebas sucesivas de un mismo canal.
n: Número de canales redundantes que se prueban dentro del intervalo TI.

Lo cual determina que para pruebas escalonadas se introduzca como dato de intervalo entre
pruebas el valor TI/n.

El tiempo medio de reparaciones (TR) y la indisponibilidad durante la prueba (qo) se

asumen igual a cero para este tipo de componentes. No se consideran fallas de causa común
para componentes continuamente controlados, ya que su tiempo de residencia es sólo el
tiempo de reparación de uno de los componentes afectados.

Para los sucesos especiales (si es aplicable), se presentan las bases para la estimación de su
probabilidad.

Finalmente se presenta la base de datos del estudio, donde aparezcan los datos estimados
(ratas o probabilidades de falla de causa común), las ratas o probabilidades de fallas
independientes, datos referentes a pruebas y mantenimientos, etc.

• Cuantificación de la indisponibilidad del sistema.

Este paso se refiere a la cuantificación del árbol de fallas del sistema, mediante la
sustitución de los sucesos básicos del árbol de fallas (dependientes e independientes) por
sus parámetros de fiabilidad. Esto se realiza automáticamente con la ayuda de un código de
análisis como, por ejemplo, el ARCON.

Se realizarán análisis de importancia de componentes para determinar los sucesos

dominantes dentro de las combinaciones de falla dominantes (o conjuntos mínimos
dominantes). Para los sucesos de mayor contribución a la indisponibilidad del sistema
(sucesos más importantes o dominantes), se realizarán análisis de sensibilidad, con el fin de
investigar la susceptibilidad de la indisponibilidad del sistema a la variación de los valores
asumidos de parámetros, modelos de fiabilidad asumidos, estrategias de prueba y
mantenimiento asumidos y otros que resulten de interés.

74
• Análisis de resultados y documentación.

Los resultados cuantitativos obtenidos en el paso anterior son interpretados por el analista.
Ello incluye la valoración de las contribuciones relativas de las fallas independientes, los
errores humanos, las indisponibilidades por mantenimiento y las fallas de causa común.

Finalmente, deberán documentarse todas las hipótesis del análisis, los pasos dados en cada
etapa, con relación a las fallas de causa común y los resultados, tanto cualitativos como
cuantitativos del análisis, con las respectivas conclusiones y recomendaciones.

Las conclusiones y recomendaciones pueden estar basadas en los siguientes aspectos:

- Identificar características de diseño favorables desde el punto de vista de la defensa

introducida contra las fallas de causa común.

- Identificar causas raíces y mecanismos de acoplamiento para los sucesos de causa común
significativos.

- Recomendar mejoras de diseño y/o relativas a la operación y el mantenimiento, que

permitan perfeccionar la defensa contra las fallas de causa común significativas.

75
 CAPITULO 6
EJEMPLO DE ANALISIS DE FALLAS DE CAUSA COMUN A UN
SISTEMA HIPOTETICO DE EXTINCION DE INCENDIOS

En el presente capítulo se le realiza un análisis de fallas múltiples dependientes (fallas de

causa común) a un sistema simplificado hipotético de extinción de incendios, siguiendo el
procedimiento descrito en el Capítulo 5. El objetivo que se persigue es demostrar, mediante
un ejemplo práctico, cómo puede realizarse el análisis de fallas múltiples dependientes a un
sistema de la industria, de modo sirva de modelo para estudios similares de sistemas reales
y puedan comprenderse con mayor claridad las ideas que pretende transmitir el Capítulo 5
al lector. A lo largo del trabajo se señalan las hipótesis hechas para el análisis, así como las
limitaciones existentes debidas a la propia esencia del ejemplo escogido.

6.1. Definición y modelación del sistema

6.1a. Identificación del sistema a analizar.

El objeto de análisis se refiere al sistema de extinción de incendios simplificado que se

muestra en la Figura 6.1-1.

Figura 6.1-1. Sistema de extinción de incendios simplificado.

76
Composición del esquema.

En la Tabla 6.1-1 se describen los componentes principales del sistema de la Figura 6.1-1.

No. Código Descripción Función Estado

1 T Tanque de agua contra incendios Suministro de agua para extinción de Lleno hasta el
incendio y reserva de enfriamiento de nivel nominal.
componentes principales.
2 V1 Válvula manual a la descarga del Aislamiento del tanque T, en caso de Normalmente
tanque T (succión de bombas B1 reparación del tanque, o de las abierta.
y B2). bombas B1y B2.
3 V6 Válvula manual a la descarga del Aislamiento del tanque T, en caso de Normalmente
tanque T (succión de bomba reparación del tanque, o de la bomba abierta.
B3). B3.
4 V2 Válvula check a la descarga de Evitar la inversión del flujo por la Normalmente
bomba B1. línea de bomba B1. cerrada.
5 V3 Válvula check a la descarga de Evitar la inversión del flujo por la Normalmente
bomba B2. línea de bomba B2. cerrada.
6 V8 Válvula check a la descarga de Evitar la inversión del flujo por la Normalmente
bomba B3. línea de bomba B3. cerrada.
7 V5 Válvula motorizada de recircula- Permitir el paso del agua al tanque Normalmente
ción al tanque T para la prueba desde la bomba B1 (o B2) en modo de cerrada.
de las bombas B1 y B2. prueba.
8 V4 Válvula motorizada de descarga Evitar paso del agua a los ro- Normalmente
común de las bombas B1 y B2. ciadores durante la prueba periódica abierta.
de bombas B1 y B2.
9 V7 Válvula motorizada a la Evitar el paso del agua a los Normalmente
descarga de la bomba B3. rociadores durante la operación de la cerrada.
bomba B3 en modo de enfriamiento
de componentes o prueba.
10 V9 Válvula de control de caudal de Controlar el caudal hacia el En la posición
accionamiento eléctrico. enfriamiento de componentes de que requiera el
modo que garantice el caudal control
requerido para el éxito de la extinción automático.
del incendio.
11 B1 Bomba del sistema contra Garantizar caudal requerido para Disponible en
incendio. extinción de incendios (100%). espera.
12 B2 Bomba del sistema contra Garantizar caudal requerido para Disponible en
incendio. extinción de incendios (100%). espera.
13 B3 Bomba del sistema contra Garantizar caudal requerido para Disponible en
incendio. extinción de incendio (100%) y para espera u ope-
el enfriamiento de reserva de ración (función
componentes principales. del modo oper-
acional.).

Tabla 6.1-1. Descripción de los componentes del sistema.

77
Funcionamiento del sistema.

En situaciones normales el sistema está alineado en modo de espera. Las bombas B1 y B2

están en espera de una señal de incendio. La válvula V5 se encuentra cerrada y la V4
abierta.

La bomba B3 puede estar en espera u operando para enfriar determinados componentes

fundamentales de la instalación, si el sistema normal de enfriamiento de estos se encuentra
indisponible, retornando el agua al tanque T luego de salir del intercambiador de calor
(enfriador). Durante el régimen de espera y de enfriamiento de componentes, las válvulas
V7 y V8 se encuentran cerradas.

Las válvulas V1 y V6 se encuentran siempre abiertas, a menos que se necesite realizar una
reparación en el tanque T o en las bombas B1 (B2) y B3, respectivamente.

En caso de incendio, el sistema de detección de incendios pone en marcha a las tres bombas
B1, B2 y B3. Si todas tienen éxito el operador procede a dejar sólo una en funcionamiento.
La alineación del sistema en este modo de operación es la siguiente:

- Válvula V4 abierta.
- Válvula V5 cerrada
- Válvula V2 (V3, V8) se abre de manera pasiva al organizarse el flujo por las líneas de
bombas correspondientes.
- Válvula V7 se abre automáticamente sólo en el caso de que no se establezca el flujo a
través de V4. Esta misma señal hace que la válvula V9 se coloque en la posición
requerida para restringir el caudal al enfriamiento de componentes (si se encontraba
funcionando en ese modo) al mínimo posible, para garantizar el éxito de la función de
extinción de incendio.

Pruebas del sistema.

En este sistema todos los componentes son controlados (excepto la válvula check V8). El
tanque T se controla continuamente, mediante la indicación de los medidores de nivel.

Las bombas B1 y B2 se prueban secuencialmente, con una frecuencia de una vez al mes, en
modo de recirculación al tanque T, a través de la válvula V5.

En modo de pruebas de las bombas B1 y B2 el sistema se alinea de la siguiente forma:

- V5 se abre manualmente a distancia desde el panel de control.

- V4 se cierra manualmente a distancia desde el panel de control.
- Se conecta B1 y se toman los valores de caudal, temperatura en los rodamientos,
vibraciones, corriente eléctrica en el motor, en el transcurso de una hora de
funcionamiento. Posteriormente, manteniendo la misma alineación, se repite este
procedimiento para la bomba B2.

78
La duración total de la prueba de ambas bombas es de dos horas. Posteriormente el
operador realinea el sistema en el modo de espera (abre V4 y cierra V5).
Si durante la prueba se detecta fallado algún componente, se procede al mantenimiento
correctivo del mismo (ver mantenimiento del sistema, más adelante).

La prueba de B3 se realiza seguidamente tras la prueba de B1 y B2, por lo que su

frecuencia también es de una vez al mes, con una duración de 1 hora. Para ello el operador
utiliza el sistema de enfriamiento de componentes (a través del intercambiador de calor).
En este caso no se necesita alinear el circuito de B3 para la prueba. Es decir, todos los
componentes mantienen su posición inicial. El agua retorna al tanque tras salir del
intercambiador de calor. Si como resultado de la prueba se detecta fallada la bomba B3 o la
válvula V9, se pasa al mantenimiento correctivo.

Mantenimiento del sistema.

• Preventivo planificado

Se realiza con el mantenimiento de la instalación.

• Correctivo

- Tanque T

Se cierran las válvulas manuales V1 y V6.

El tiempo permisible de operación de la instalación en este estado es de 48 horas.

- Bombas B1 y B2; Válvulas V2, V3 y V5

Se cierran V1 y V4. La válvula V5 se mantiene cerrada (sino es sobre ella que se realiza
el mantenimiento correctivo). Se interrumpe la alimentación eléctrica a las bombas B1
y B2 (sistema EE1). En estas condiciones la instalación puede operar por sólo 240
horas.

- Válvulas V1 y V6

Se drena el tanque T. En esta situación la instalación puede operar hasta 48 horas.

- Bomba B3

Se cierra V6 y V7 se mantiene cerrada. Se desconecta la alimentación eléctrica a la

bomba (sistema EE2). En estas condiciones la instalación puede operar por 240 horas.

- Válvula V8

79
 Se cierra V4 y V7 se mantiene cerrada. En estas condiciones la instalación puede operar
por 48 horas.

- Válvula V4

Se cierra V1 y se desconecta la alimentación eléctrica a B1 y B2 (EE1). La válvula V7

se mantiene cerrada. En estas condiciones la instalación puede operar por sólo 48 horas.

- Válvula V7

Se cierran V6 y V4. Se desconecta la alimentación eléctrica a B3 (sistema EE2). El

tiempo permisible de operación de la instalación en estas condiciones es de 48 horas.

- Válvula V9

Se cierra V6 y V7 se mantiene cerrada. Se desconecta la alimentación eléctrica a B3

(sistema EE2). Se le permite operar a la instalación en estas condiciones por 48 horas.

6.1b. Definición de las fronteras y modos de falla de interés.

Interfases con otros sistemas (frontera externa)

Como simplificación para este ejemplo, sólo se consideran tres sistemas de interfase:

- El sistema de alimentación eléctrica de las bombas B1 y B2 (EE1).

- El sistema de alimentación eléctrica de la bomba B3 (EE2).
- El sistema de enfriamiento de componentes principales (CC), que comparte la bomba B3
y la válvula de control V9 con el sistema objeto de estudio.

y Sistema EE1

Tiene la función de suministrarle la energía eléctrica a las bombas B1 y B2, para que
puedan funcionar en el momento de la demanda y durante el tiempo de misión requerido.

A modo de simplificación se representa en el esquema un único elemento de este sistema

con el código EE1, que incluye implícitamente a todos los elementos de dicho sistema.

y Sistema EE2

Tiene la función de suministrarle la energía eléctrica a la bomba B3, para que pueda
funcionar en el momento de la demanda y durante el tiempo de misión requerido.
A modo de simplificación se representa en el esquema un único elemento de este sistema
con el código EE2, que incluye implícitamente a todos los elementos de dicho sistema.

y Sistema CC

80
Este sistema se utiliza en la instalación como reserva para el enfriamiento de los
componentes principales, así como para extinción de incendios en caso de falla de las
líneas de bombas B1 y B2.

Por lo tanto, la bomba B3 y la válvula de control V9 se consideran parte del sistema objeto
de análisis desde el punto de vista funcional. Así, la bomba B3 se considera una
redundancia adicional de las bombas B1 y B2, y es idéntica a estas últimas en cuanto al
tipo, potencia y fabricante.

En caso de incendio, si B3 está alineada en modo de enfriamiento de componentes y fallan

las líneas de bombas B1 y B2, la misma será alineada en modo de extinción de incendios,
mediante la apertura de la válvula V7 y la restricción correspondiente del caudal a la línea
del sistema de enfriamiento de componentes (CC), según las exigencias de la función de
extinción de incendio.

En el proceso de enfriamiento de componentes, durante la ocurrencia de un incendio y dada

la falla de las líneas de bombas B1 y B2, el operador puede aislar manualmente la función
de enfriamiento de componentes. Ello significa que, en caso de fallar la válvula de control
V9 a mantenerse en la posición requerida, bajo las condiciones antes mencionadas, el
operador puede asegurar la alineación de B3 para cumplir la función de extinción de
incendios, aislando manualmente el sistema CC (cierre de al menos una de las dos válvulas
manuales de entrada o salida del enfriador).

Fronteras internas

De manera simplificada para el presente ejemplo se considerarán las siguientes fronteras

para los componentes activos:

y Válvulas motorizadas de cierre y control.

- Cuerpo, y partes internas mecánicas.

- Accionamiento (motor eléctrico) hasta el interruptor de alimentación.
- Circuito de control

y Bombas

- Cuerpo, y partes internas mecánicas.

- Accionamiento (motor eléctrico) hasta el interruptor de alimentación.
- Circuito de control

Modos de falla de interés

En la Tabla 6.1-2 se resumen los modos de falla de interés para los diferentes componentes
del sistema. La selección se realizó sobre la base de la revisión del diagrama de flujo del

81
sistema (Figura 6.1-1) y la información que ofrece la Tabla 6.1-1, sobre la función de los
componentes y su posición en el esquema.

En el caso de un sistema real con alguna experiencia de explotación, se revisarían también

los datos de fallas e incidencias, para asegurar que todos los modos de falla importantes y
verosímiles sean tomados en consideración.

82
Tabla 6.1-2. Listado de los modos de falla de interés para el análisis.

No. Componente Modo de falla

Código Descripción Código Descripción
1 T Tanque de agua contra incendios T Ruptura
2 V1 Válvula manual a la descarga del D Falla al mantenimiento de la posición
tanque T (succión de bombas B1 y abierta (posición incorrecta ante la
B2). demanda por error humano)
3 V6 Válvula manual a la descarga del D Falla al mantenimiento de la posición
tanque T (succión de bomba B3). abierta (posición incorrecta ante la
demanda por error humano)
4 V2 Válvula check a la descarga de O Falla a la apertura
bomba B1. E Falla al cierre
5 V3 Válvula check a la descarga de O Falla a la apertura
bomba B2. E Falla al cierre
6 V8 Válvula check a la descarga de O Falla a la apertura
bomba B3.
7 V5 Válvula motorizada de D Falla a mantener la posición cerrada
recirculación al tanque T para la (posición incorrecta ante la demanda
prueba de las bombas B1 y B2. por error humano)
D Falla a mantener la posición cerrada
(apertura espúrea antes de ocurrir la
demanda)
8 V4 Válvula motorizada de descarga D Falla a mantener la posición abierta
común de las bombas B1 y B2. (posición incorrecta ante la demanda
por error humano)
D Falla a mantener la posición abierta
(cierre espúreo antes de ocurrir la
demanda)
9 V7 Válvula motorizada a la descarga O Falla a la apertura
de la bomba B3.
10 V9 Válvula de control de caudal de D Falla a mantener la posición (falla del
accionamiento eléctrico. control)
11 B1 Bomba del sistema contra incendio. S Falla al arranque
R Falla en operación
12 B2 Bomba del sistema contra incendio. S Falla al arranque
R Falla en operación
13 B3 Bomba del sistema contra incendio. S Falla al arranque
R Falla en operación
14 — Error humano cognoscitivo H3-BLQ- Falla del operador a aislar el sistema
CC CC mediante el cierre de al menos una
de las válvulas manuales de entrada o
salida del intercambiador de calor
15 EE1 Sistema de alimentación eléctrica — Suceso tope (falla del sistema de
de B1 y B2 suministro de energía eléctrica)
16 EE2 Sistema de alimentación eléctrica — Suceso tope (falla del sistema de
de B3 suministro de energía eléctrica)

83
Modos de falla omitidos
No se consideran relevantes las fugas de las válvulas, ni las rupturas de los cuerpos de
bombas y válvulas. En el primer caso, debido a que no se consideran fallas catastróficas,
sino estados degradados o incipientes, mientras que en el último se asume (para este
ejemplo) que la probabilidad de roturas de cuerpos de válvulas y bombas es despreciable en
comparación con la probabilidad de otros modos de falla de estos tipos de equipos,
producto de la baja presión con que opera el sistema.
No se le da crédito a la obstrucción de los rociadores.

6.1c. Definición del criterio de éxito del sistema y el suceso tope.

Criterio de éxito
Inyección de al menos una de las tres bombas (1/3) durante 8 horas.
Suceso tope
La falla del sistema como suceso tope del árbol de fallas, se define de la siguiente manera:
“no se establece el caudal requerido (1/3 bombas), por el espacio de tiempo mínimo
requerido (8 horas), ante la ocurrencia de un incendio”.

Figura 6.1-2. Esquema del sistema con nodos y segmentos

indicados

84
6.1d. Construcción del árbol de fallas del sistema.

Para construir el árbol de fallas del sistema, primeramente se deben identificar los
respectivos nodos y segmentos de interés en el esquema de la Fig. 6.1-1, como se muestra
en la Fig. 6.1-2. El modelo de árbol de fallas construido para el sistema se muestra en la
Figura 6.1-3.

Figura 6.1-3. Arbol de fallas del sistema ejemplo.

85
86
87
6.2. Análisis cualitativo.

6.2a. Análisis selectivo preliminar.

Los componentes redundantes del sistema que tienen similitud en gran parte de los
atributos señalados en el Capítulo 5, son los siguientes:

- Válvulas de no retorno (check) V2, V3 y V8.

- Bombas B1, B2 y B3.
- Válvulas manuales V1 y V6.

Estos tres grupos de componentes se identifican de manera preliminar como potencialmente

vulnerables a fallas de causa común. Los atributos comunes son los siguientes:

1- Bombas B1, B2 y B3:

- Diseño idéntico proveniente del mismo suministrador.

- Tienen asignada la misma función.
- Condiciones de funcionamiento internas y externas iguales (medio bombeado, presión y
temperatura).
- El sistema automático de actuación de seguridad para las tres bombas es el mismo.
- El mantenimiento y las pruebas funcionales de las tres bombas se realizan siguiendo los
mismos procedimientos, y además son ejecutados por el mismo personal.

2-Válvulas check V2, V3 y V8:

- Diseño idéntico proveniente del mismo suministrador.

- Tienen asignada la misma función.
- Condiciones de funcionamiento internas y externas iguales (medio de trabajo, presión y
temperatura).
- El mantenimiento de las tres válvulas se realizan siguiendo los mismos procedimientos, y
además es ejecutado por el mismo personal.
- Su estado inicial es el mismo (normalmente cerradas).

3-Válvulas manuales V1 y V6.

- Diseño idéntico proveniente del mismo suministrador.

- Tienen asignada la misma función.
- Condiciones de funcionamiento internas y externas iguales (medio de trabajo, presión y
temperatura).
- El mantenimiento de las dos válvulas se realizan siguiendo los mismos procedimientos, y
además es ejecutado por el mismo personal.
- Su estado inicial es el mismo (normalmente abiertas).

6.2b. Análisis cualitativo detallado.

88
Dado que estamos en presencia de un sistema de ejemplo, donde no existen datos de
referencia sobre el montaje, la operación y el mantenimiento, ni existe la posibilidad de
verificar el estado real del sistema in-situ, ni de realizar consultas al personal, se
simplificará esta etapa considerando las siguientes hipótesis:

1. Las válvulas V1 y V6 no requieren cambiar de posición ante la demanda, por lo que la

posibilidad de quedar indisponible ante la demanda está asociada a posición incorrecta
(cerrada) por error humano tras un mantenimiento. Debido a esto, la falla propia
(mecánica) de la válvula no se incluye en el modelo, es decir, se elimina este grupo.

2. En el caso de las bombas B1, B2 y B3, existe un desacoplamiento entre la última y las
dos primeras en cuanto al régimen de operación, la ubicación física y la fuente de
alimentación, lo que podría justificar la exclusión de B3 de este grupo. Sin embargo,
dada la ausencia de datos de operación reales por ser éste un ejemplo hipotético, se
considera conveniente mantener a B3 en el grupo, asumiendo que los restantes atributos
comunes a las tres bombas justifican su inclusión. No obstante, se advierte el hecho de
que el acoplamiento entre B1 y B2 es más marcado que entre las tres bombas.

Lo mismo ocurre en el caso de las válvulas check V2, V3 y V8, donde esta última no es
probada durante la operación de la instalación, en cambio V2 y V3 se prueban
indirectamente con la prueba de las bombas B1 y B2.

3. Se asume que no existen otras medidas de defensa efectivas contra fallas de causa común
en el sistema.

Como resultado del análisis cualitativo detallado quedan definidos los siguientes grupos de
componentes de causa común:
1-Bombas B1, B2 y B3.

2-Válvulas check V2, V3 y V8.

Las matrices de Causa vs Defensa y de Factor de Acoplamiento vs Defensa, construidas

para ambos grupos de componentes de causa común, se basan en las medidas que podrían
tomarse para reducir o eliminar las vulnerabilidades a fallas de causa común de sus
respectivos componentes.

89
 Defensas propuestas

Mecanismos de Revisión del Revisión de Revisión de Control de Entrenamiento

falla posibles diseño (QC) los procedi- los procedi- configuración del personal
mientos de mientos de
prueba mantenimiento
Mantenimiento
correctivo en el
. . o „ „
equipo indebido
Calibración
incorrecta de las
. o o
. „
protecciones
(nivel bajo)
Humedad en la caja
del interruptor „ . . . .
Selección del
interruptor de la
bomba en posición . „ „ . „
incorrecta tras
mantenimiento o
prueba
Empaquetaduras
muy apretadas tras
mantenimiento
. o o
. „

Alta vibración
o o „ . „

Tabla 6.2-1. Impacto esperado de las defensas contra causas raíces de falla de las
bombas B1, B2 y B3.

90
 Defensas propuestas

Diversidad Barreras Estrategia de

pruebas/mantenimiento
Mecanismos de falla De equipo De Separación Pruebas Mantenimiento
posibles personal física escalonadas escalonado
Mantenimiento
correctivo en el equipo o „ o o o
indebido
Calibración incorrecta de
las protecciones o „ o o o
(nivel bajo)
Humedad en la caja del
„
interruptor o o o o

Selección del interruptor

de la bomba en posición
. o
.
„ „
incorrecta tras manteni-
miento o prueba
Empaquetaduras muy
apretadas tras manteni- o „ o „ „
miento
Alta vibración
o „ o „ „

Tabla 6.2-2. Impacto esperado de las defensas contra factores de acoplamiento

asociados a fallas de las bombas B1, B2 y B3.

Defensas propuestas
Mecanismos Revisión del Revisión de Revisión de Control de Entrenamiento
de falla diseño (QC) procedimientos procedimientos configuración del personal
posibles de prueba de
mantenimiento
Mantenimiento
correctivo en
. . o „ „
el equipo
indebido
Corrosión en la
zona del „
. . . .
disco/asiento

Tabla 6.2-3. Impacto esperado de las defensas contra causas raíces de falla de las
válvulas check V2, V3 y V8.

91
 Defensas propuestas
Diversidad Barreras Estrategia de Pruebas/mantenimiento

Mecanismos De De Separación Pruebas escalonadas Mantenimiento

de falla equipo personal física escalonado
posibles
Mantenimiento
correctivo en o „ o o o
el equipo
indebido
Corrosión en la
zona del o
. . o o
disco/asiento

Tabla 6.2-4. Impacto esperado de las defensas contra factores de acoplamiento

asociados a fallas de las válvulas check V2, V3 y V8.

6.3. Análisis cuantitativo limitado.

6.3a. Definición de los sucesos básicos de causa común.

Los sucesos básicos de causa común que se definen para este sistema de ejemplo, partiendo
de los grupos de componentes de causa común seleccionados y del criterio de éxito del
sistema, las condiciones de funcionamiento y las características de diseño, se listan a
continuación:

y CM-B123-S: Falla de causa común de las bombas B1, B2 y B3 al arranque.

y CM-B123-R: Falla de causa común de las bombas B1, B2 y B3 en operación.
y CM-V238-O: Falla de causa común de las válvulas V2, V3 y V8 a la apertura.

Se descartan las fallas de causa común de las válvulas V2, V3 y V8 en el modo “falla al
cierre”, ya que la combinación de la falla al cierre de las tres válvulas es no mínima.

6.3b. Incorporación de los sucesos básicos de causa común en el modelo del sistema.

En la Figura 6.3-1 se muestra el árbol de fallas modificado para cuantificar del sistema de
la Figura 6.2-1, con los sucesos básicos de causa común incorporados.

92
Figura 6.3-1. Arbol de fallas del sistema, modificado para
cuantificar, con los SBCCs incorporados.

93
94
En las Tablas 6.3-1 y 6.3-2 se relacionan las compuertas y los sucesos primarios del árbol
de fallas de la Figura 6.3-1 anterior.

Tabla 6.3-1. Listado de compuertas del árbol de fallas de la Fig. 6.3-1.

No. CODIGO DESCRIPCION DE LAS COMPUERTAS

1 F-SIST Suceso tope. Falla del sistema a entregar el caudal mínimo
requerido (1/3 bombas) por espacio de 8 horas ante un incendio
en la instalación.
2 F-SIST-IND Falla del sistema por causas independientes.
3 F-SIST-CM Falla del sistema por causas comunes.
4 F-C/D Fallas en el segmento C/D.
5 FLB-C/D Fallas locales de bloqueo del caudal en el segmento C/D.
6 FPE-C/D Fallas previas a la entrada del segmento C/D.
7 FLD-C/V5 Fallas locales de derivación del caudal en el segmento C/V5.
8 FLD-B/CV3 Fallas locales de derivación del caudal en el segmento B/CV3.
9 FLD-B/CV2 Fallas locales de derivación del caudal en el segmento B/CV2.
10 F-B2 Falla de la bomba B2.
11 F-B1 Falla de la bomba B1.
12 F-B/CV2-V3 Fallas simultáneas independientes en los segmentos paralelos
B/CV2 y B/CV3.
13 F-B/CV2 Fallas en el segmento B/CV2.
14 FLB-B/CV2 Fallas locales de bloqueo del caudal en el segmento B/CV2.
15 FPE-B/CV2-V3 Fallas previas a la entrada de los segmentos paralelos B/CV2 y
B/CV3.
16 F-B/CV3 Fallas en el segmento B/CV3.
17 FLB-B/CV3 Fallas locales de bloqueo del caudal en el segmento B/CV3.
18 F-E/D Fallas en el segmento E/D.
19 FLB-E/D Fallas locales de bloqueo del caudal en el segmento ED.
20 FPE-E/D Fallas previas a la entrada del segmento E/D.
21 FLD-E/CC Fallas locales de derivación del caudal por el segmento E/CC.
22 F-A/E Fallas en el segmento A/E.
23 FLB-A/E Fallas locales de bloqueo del caudal en el segmento A/E.
24 FLB-A/E-B3OP Fallas locales de bloqueo del caudal en el segmento A/E,
estando la bomba B3 en operación (modo de enfriamiento de
componentes).
25 FLB-A/E-B3ESP Fallas locales de bloqueo del caudal en el segmento A/E,
estando la bomba B3 en régimen de espera.
26 FLB-A/E-B3MEI Fallas locales de bloqueo del caudal en el segmento A/E,
estando la bomba B3 en modo de extinción de incendio (en
espera).

95
Tabla 6.3-2. Listado de sucesos primarios del árbol de fallas de la Fig. 6.3-1.

No. CODIGO DESCRIPCION DE LOS SUCESOS PRIMARIOS

1 CM-B123-S Falla de causa común de las bombas B1, B2 y B3 al arranque,
ante la demanda.
2 CM-B123-R Falla de causa común de las bombas B1, B2 y B3 en operación,
dado que arrancaron.
3 CM-V238-O Falla de causa común de las válvulas V2, V3 y V8 a la apertura,
ante la demanda.
4 H1-V4-D Válvula motorizada V4 en posición incorrecta (cerrada) ante la
demanda, por error humano.
5 LF-V4-D Válvula motorizada V4 en posición incorrecta (cerrada) ante la
demanda, por cierre espúreo.
6 H1-V5-D Válvula motorizada V5 en posición incorrecta (abierta) ante la
demanda, por error humano.
7 LF-V5-D Válvula motorizada V5 en posición incorrecta (abierta) ante la
demanda, por apertura espúrea.
8 LF-V3-E Válvula check V3 falla al cierre al fallar B2 y estar en
funcionamiento B1.
9 LF-V2-E Válvula check V2 falla al cierre al fallar B1 y estar en
funcionamiento B2.
10 LF-B2-S Bomba B2 falla al arranque ante la demanda.
11 LF-B2-R Bomba B2 falla en operación, dado que arrancó ante la
demanda.
12 LF-B1-S Bomba B1 falla al arranque ante la demanda.
13 LF-B1-R Bomba B1 falla en operación, dado que arrancó ante la
demanda.
14 LF-V2-O Válvula check V2 falla a la apertura ante la demanda.
15 F-EE1 Falla del sistema EE1, de alimentación eléctrica de las bombas
B1 y B2.
16 H1-V1-D Válvula manual V1 en posición incorrecta (cerrada) ante la
demanda por error humano.
17 LF-T-T Rotura del tanque T durante el tiempo de espera.
18 LF-V3-O Válvula check V3 falla a la apertura ante la demanda.
19 LF-V7-O Válvula motorizada V7 falla a la apertura ante la demanda.
20 LF-V8-O Válvula check V8 falla a la apertura ante la demanda.
21 LF-V9-D Válvula de control motorizada V9 no mantiene la posición
requerida al ser demandada la bomba B3 en modo de extinción
de incendios.
22 H3-BLQ-CC Falla del operador del sistema a bloquear (aislar) manualmente
el caudal de B3 hacia el enfriamiento, al producirse una
demanda de la bomba B3 en modo de extinción de incendio, tras

96
 la falla de las líneas de bombas B1 y B2.
23 SE-PB3-OP Suceso especial. Probabilidad de que la bomba B3 esté en
operación (modo de enfriamiento de componentes) en el
momento de la demanda.
24 LF-B3-R Bomba B3 falla en operación, dado que había arrancado ante la
demanda.
25 SE-PB3-ESP Suceso especial. Probabilidad de que la bomba B3 esté en espera
en el momento de una demanda de extinción de incendios.
26 LF-B3-S Bomba B3 falla al arranque ante una demanda de extinción de
incendio.
27 F-EE2 Falla del sistema EE2 de suministro de energía eléctrica a la
bomba B3.
28 H1-V6-D Válvula manual V6 en posición incorrecta (cerrada) ante la
demanda, por error humano

6.3c. Cálculo de los parámetros necesarios.

1-Estimación de las ratas de falla de causa común.
y Para el suceso básico CM-B123-S.

λ = 3E-6 h-1

λc = β3 · λ

β3 = β2 · { (1+ β2) / 2}
= (0.1) · { (1+0.1)/2}
= 0.055

∴ λc = (0.055) · (3E-6)
= 1.65 E-7 h-1

y Para el suceso básico CM-B123-R.

λ = 3E-5 h-1

λc = β3 · λ

β3 = β2 · { (1+ β2) / 2}
= (0.05) · { (1+0.1)/2}
= 0.026

∴ λc = (0.026) · (3E-5)
= 7.8E-7 h-1

97
Para el suceso básico CM-V238-O.

λ = 3E-7 h-1

λc = β3 · λ

β3 = β2 · { (1+ β2) / 2}
= (0.1) · { (1+0.1)/2}
= 0.055

∴ λc = (0.055) · (3E-7)
= 1.65E-8 h-1

2- Estimación de las probabilidades de los sucesos especiales.

y Para el suceso especial SE-PB3-OP.

Se asume para el presente ejemplo, que el sistema trabaja con la siguiente configuración:

- 25 % del tiempo de operación efectivo de la instalación, la bomba B3 se encuentra

alineada en modo de enfriamiento de componentes y el resto del tiempo se encuentra en
espera. Normalmente, en el caso de un sistema real, esta fracción se halla dividiendo las
horas en que el sistema haya estado alineado en esa configuración, por las horas totales de
operación efectiva del sistema. Por tanto, teniendo en cuenta lo asumido más arriba, la
probabilidad de este suceso especial es:

P (SE-PB3-OP) = 0.25

y Para el suceso especial SE-PB3-ESP.

Para este ejemplo no se considerará la posibilidad de que la bomba B3 se encuentre fuera

de servicio por mantenimiento preventivo planificado, ya que se asume que éste se realiza
sólo durante paradas planificadas de la instalación. De aquí que no se tome en cuenta la
probabilidad de que, durante el tiempo de espera, la bomba B3 se encuentre en
mantenimiento planificado, es decir, se asume que durante el tiempo que la bomba no se
encuentre operando en modo de enfriamiento de reserva de componentes, ésta estará en
espera, lista para entrar en funcionamiento ante una demanda de extinción de incendio. La
probabilidad de que la bomba esté fallada o en mantenimiento correctivo debido a que se
detectó fallada en una prueba se tiene en cuenta implícitamente en el modelo de fiabilidad
del componente (fórmula del componente tipo 4 del código ARCON). De este modo la
probabilidad de que la bomba esté en estado de espera es:

P (SE-PB3-ESP) = 1- P (SE-PB3-OP)
= 1-0.25
= 0.75
3-Base de datos del estudio.

98
No. Código T C λ/P TR T1 TI τ AOT It Pn Qmedia
t
1 CM-B123-S 4 1.65E-7 0 360 720 1 48 0 0 5.93E-5
2 CM-B123-R 5 7.80E-7 1.87E-5
3 CM-V238-O 4 1.65E-8 0 360 720 1 48 0 0 5.93E-6
4 H1-V4-D 1 6.00E-3 6.00E-3
5 LF-V4-D 4 1 2.00E-7 20 362 720 1 48 10 0 1.48E-4
6 H1-V5-D 1 6.00E-3 240 6.00E-3
7 LF-V5-D 4 1 2.00E-7 20 362 720 1 240 10 0 7.59E-5
8 LF-V3-E 4 1 3.00E-6 20 360 720 1 240 0 0 1.14E-3
9 LF-V2-E 4 1 3.00E-6 20 361 720 1 240 0 0 1.14E-3
10 LF-B2-S 4 1 3.00E-6 20 361 720 1 240 0 1 2.53E-3
11 LF-B2-R 5 3.00E-5 7.20E-4
12 LF-B1-S 4 1 3.00E-6 20 360 720 1 240 0 1 2.53E-3
13 LF-B1-R 5 3.00E-5 7.20E-4
14 LF-V2-O 4 1 3.00E-7 20 360 720 1 240 0 0 1.14E-4
15 F-EE1 7 1.00E-3 240 1.00E-3
16 H1-V1-D 1 6.00E-3 48 6.00E-3
17 LF-T-T 3 1.00E-9 20 48 2.00E-8
18 LF-V3-O 4 1 3.00E-7 20 361 720 1 240 0 0 1.14E-4
19 LF-V7-O 4 2 1.00E-5 20 364 720 1 240 10 0 7.40E-3
20 LF-V8-O 2 3.00E-7 1.20E-3
21 LF-V9-D 4 2 2.00E-7 20 363 720 1 240 7.59E-5
22 H3-BLQ-CC 1 5.00E-2 0 5.00E-2
23 SE-PB3-OP 1 2.50E-1 0 2.50E-1
24 LF-B3-R 5 3.00E-5 7.20E-4
25 SE-PB3-ESP 1 7.50E-1 0 7.50E-1
26 LF-B3-S 4 2 3.00E-6 20 363 720 1 240 1 2.53E-3
27 F-EE2 7 1.00E-3 240 1.00E-3
28 H1-V6-D 1 6.00E-3 0 6.00E-3

6.3d. Cuantificación de la indisponibilidad del sistema.

El árbol de fallas del sistema de extinción de incendios, representado en la Fig. 6.3-1, se

cuantificó usando el código ARCON, versión docente.

Las dimensiones del árbol son: 26 compuertas y 28 componentes. Los datos de

confiabilidad de componentes son del tipo genérico (valor medio de las ratas de falla) y se
pueden ver en la tabla de la sección 3 del epígrafe 6.3c. Los datos de operación y
mantenimiento (frecuencia, duración y estrategia de pruebas, tiempos de reparación de los
equipos, etc.) fueron asumidos, teniendo en cuenta que se trata de un ejemplo hipotético.

La determinación de los conjuntos mínimos se realizó sobre la base del truncado por orden
(orden máximo 4) y las probabilidades de estos se calcularon mediante la aproximación de
sucesos raros (según opciones del ARCON).

99
Se presentan a continuación los resultados principales del análisis para el caso básico, que
comprende:

- Número de conjuntos mínimos por orden.

- Lista de conjuntos mínimos más probables.
- Lista de componentes-modos de falla más probables, con los valores respectivos de
importancia F-V, RRW y RAW.
- Curva de indisponibilidad instantánea para ver la influencia de las pruebas sobre la
indisponibilidad temporal del sistema.

Como complemento se realizaron seis estudios de sensibilidad, para determinar cómo se

afecta la indisponibilidad del sistema en función de la variación de parámetros identificados
en el caso básico como de mayor importancia o con incertidumbres significativas. Los
resultados de estos estudios se presentan a continuación de los del caso básico.

Las características del hardware utilizado para el cálculo son:

-PC 486, 66 Mhz, 8 Mbytes de memoria RAM extendida (UNISYS, MPI 4333).

1-Resultados para el caso básico.

1a. Listado de conjuntos mínimos por orden.

ORDEN CANTIDAD

1 4
2 12
3 62
4 78
TOTAL 156

100
1b. Listado de conjuntos mínimos dominantes e indisponibilidad del sistema.
Conjuntos Mínimos más probables Prob. % Acum.

1) 1
CM-B123-S 5.93E-05 15.64 15.64

2) 4 19
H1-V4-D LF-V7-O 4.44E-05 11.72 27.36

3) 6 19
H1-V5-D LF-V7-O 4.44E-05 11.72 39.08

4) 19 16
LF-V7-O H1-V1-D 4.44E-05 11.72 50.79

5) 25 4 28
SE-PB3-ESP H1-V4-D
H1-V6-D 2.70E-05 7.12 57.91
6) 25 6 28
SE-PB3-ESP H1-V5-D
H1-V6-D 2.70E-05 7.12 65.03

7) 25 28 16
SE-PB3-ESP H1-V6-D
H1-V1-D 2.70E-05 7.12 72.15

8) 25 4 26
SE-PB3-ESP H1-V4-D
LF-B3-S 1.14E-05 3.00 75.15

9) 25 6 26
SE-PB3-ESP H1-V5-D
LF-B3-S 1.14E-05 3.00 78.15
10) 25 26 16
SE-PB3-ESP LF-B3-S
H1-V1-D 1.14E-05 3.00 81.15

11) 15 19
F-EE1 LF-V7-O 7.40E-06 1.95 83.10

12) 4 20
H1-V4-D LF-V8-O 7.19E-06 1.90 85.00

101
Conjuntos Mínimos más probables Prob. % Acum.
(continuación)

13) 6 20
H1-V5-D LF-V8-O 7.19E-06 1.90 86.90

14) 20 16
LF-V8-O H1-V1-D 7.19E-06 1.90 88.80

15) 2
CM-B123-R 8 6.24E-06 1.65 90.44

16) 3
CM-V238-O 5.93E-06 1.56 92.01

17) 25 4 27
SE-PB3-ESP H1-V4-D
F-EE2 4.50E-06 1.19 93.19

18) 25 6 27
SE-PB3-ESP H1-V5-D
F-EE2 4.50E-06 1.19 94.38

19) 25 27 16
SE-PB3-ESP F-EE2
H1-V1-D 4.50E-06 1.19 95.57

20) 25 15 28
SE-PB3-ESP F-EE1
H1-V6-D 4.50E-06 1.19 96.75

Indisponibilidad media del sistema: 3.79E-4

102
1c. Listado de componentes-modos de falla dominantes.

Importancia RRW

Comp. Código Fussell-Vesely RRW RAW QComp

19 LF-V7-O 3.76E-01 1.60 5.14E+01 7.40E-03

25 SE-PB3-ESP 3.72E-01 1.59 1.12 7.50E-01

16 H1-V1-D 2.53E-01 1.34 4.29E+01 6.00E-03

4 H1-V4-D 2.53E-01 1.34 4.29E+01 6.00E-03

6 H1-V5-D 2.53E-01 1.34 4.29E+01 6.00E-03

28 H1-V6-D 2.28E-01 1.30 3.88E+01 6.00E-03

1 CM-B123-S 1.56E-01 1.19 2.64E+03 5.93E-05

26 LF-B3-S 9.62E-02 1.11 3.90E+01 2.53E-03

20 LF-V8-O 6.08E-02 1.06 5.17E+01 1.20E-03

15 F-EE1 4.22E-02 1.04 4.31E+01 1.00E-03

27 F-EE2 3.81E-02 1.04 3.90E+01 1.00E-03

2 CM-B123-R 8 1.65E-02 1.02 2.64E+03 6.24E-06

3 CM-V238-O 1.56E-02 1.02 2.64E+03 5.93E-06

24 LF-B3-R 8 1.22E-02 1.01 5.17E+01 2.40E-04

5 LF-V4-D 6.25E-03 1.01 4.32E+01 1.48E-04

7 LF-V5-D 3.20E-03 1.00 4.32E+01 7.59E-05

103
1d. Gráfico de indisponibilidad instantánea del sistema. (Caso básico)

PROB. DE NO CUMPLIR FUNCION DE SEGURIDAD (HORAS) / CCFSAMPL.INT

104
2-Resultados del estudio de sensibilidad No.1.

Cambio de estrategia de pruebas secuenciales a pruebas escalonadas, con las siguientes

tiempos básicos hasta la primera prueba por tren redundante:

- Tren redundante No.1 (líneas de bombas B1 y B2: 360 horas)

- Tren redundante No.2 (línea de bomba B3: 720 horas)

2a. Listado de conjuntos mínimos dominantes e indisponibilidad del sistema.

Conjuntos Mínimos más probables Prob. % Acum.

1) 4 19
H1-V4-D LF-V7-O 3.06E-05 10.08 10.08

2) 6 19
H1-V5-D LF-V7-O 3.06E-05 10.08 20.16

3) 19 16
LF-V7-O H1-V1-D 3.06E-05 10.08 30.24

4) 1
CM-B123-S 2.80E-05 9.24 39.48

5) 25 4 28
SE-PB3-ESP H1-V4-D
H1-V6-D 2.70E-05 8.89 48.37

6) 25 6 28
SE-PB3-ESP H1-V5-D
H1-V6-D 2.70E-05 8.89 57.27

7) 25 28 16
SE-PB3-ESP H1-V6-D
H1-V1-D 2.70E-05 8.89 66.16

8) 25 4 26
SE-PB3-ESP H1-V4-D
LF-B3-S 1.14E-05 3.75 69.91

9) 25 6 26
SE-PB3-ESP H1-V5-D
LF-B3-S 1.14E-05 3.75 73.65

105
 Conjuntos Mínimos más probables Prob. % Acum.
(continuación)

10) 25 26 16
SE-PB3-ESP LF-B3-S
H1-V1-D 1.14E-05 3.75 77.40

11) 4 20
H1-V4-D LF-V8-O 7.19E-06 2.37 79.77

12) 6 20
H1-V5-D LF-V8-O 7.19E-06 2.37 82.14

13) 20 16
LF-V8-O H1-V1-D 7.19E-06 2.37 84.51

14) 2
CM-B123-R 8 6.24E-06 2.06 86.56

15) 3
CM-V238-O 5.93E-06 1.95 88.52

16) 15 19
F-EE1 LF-V7-O 5.10E-06 1.68 90.20

17) 25 4 27
SE-PB3-ESP H1-V4-D
F-EE2 4.50E-06 1.48 91.68

18) 25 6 27
SE-PB3-ESP H1-V5-D
F-EE2 4.50E-06 1.48 93.16

19) 25 27 16
SE-PB3-ESP F-EE2
H1-V1-D 4.50E-06 1.48 94.64

20) 25 15 28
SE-PB3-ESP F-EE1
H1-V6-D 4.50E-06 1.48 96.12

Indisponibilidad media del sistema: 3.03E-4

106
2b. Listado de componentes-modos de falla dominantes.

Importancia RRW

Comp. Código Fussell-Vesely RRW RAW QComp

25 SE-PB3-ESP 4.64E-01 1.87 1.15 7.50E-01

19 LF-V7-O 3.23E-01 1.48 6.40E+01 5.10E-03

28 H1-V6-D 2.85E-01 1.40 4.82E+01 6.00E-03

4 H1-V4-D 2.71E-01 1.37 4.58E+01 6.00E-03

16 H1-V1-D 2.71E-01 1.37 4.58E+01 6.00E-03

6 H1-V5-D 2.71E-01 1.37 4.58E+01 6.00E-03

26 LF-B3-S 1.20E-01 1.14 4.84E+01 2.53E-03

1 CM-B123-S 9.24E-02 1.10 3.29E+03 2.80E-05

20 LF-V8-O 7.60E-02 1.08 6.43E+01 1.20E-03

27 F-EE2 4.75E-02 1.05 4.85E+01 1.00E-03

15 F-EE1 4.51E-02 1.05 4.60E+01 1.00E-03

2 CM-B123-R 8 2.06E-02 1.02 3.29E+03 6.24E-06

3 CM-V238-O 1.95E-02 1.02 3.29E+03 5.93E-06

24 LF-B3-R 8 1.52E-02 1.02 6.44E+01 2.40E-04

7 LF-V5-D 6.69E-03 1.01 4.61E+01 1.48E-04

23 SE-PB3-OP 3.80E-03 1.00 1.01 2.50E-01

107
2c. Gráfico comparativo de indisponibilidad instantánea con el caso básico.

GRAFICO COMPARATIVO

3-Resultados del estudio de sensibilidad No.2.

Variación de la ineficiencia de la prueba de la válvula V7 a la apertura desde 10 % (caso

básico) hasta 0 %.

3a. Listado de conjuntos mínimos dominantes e indisponibilidad del sistema.

Conjuntos Mínimos más probables Prob. % Acum.

1) 1
CM-B123-S 5.93E-05 19.15 19.15

2) 25 4 28
SE-PB3-ESP H1-V4-D
H1-V6-D 2.70E-05 8.72 27.87

3) 25 6 28
SE-PB3-ESP H1-V5-D
H1-V6-D 2.70E-05 8.72 36.58

108
 Conjuntos Mínimos más probables Prob. % Acum.
(continuación)
4) 25 28 16
SE-PB3-ESP H1-V6-D
H1-V1-D 2.70E-05 8.72 45.30

5) 4 19
H1-V4-D LF-V7-O 2.28E-05 7.35 52.65

6) 6 19
H1-V5-D LF-V7-O 2.28E-05 7.35 60.00

7) 19 16
LF-V7-O H1-V1-D 2.28E-05 7.35 67.35

8) 25 4 26
SE-PB3-ESP H1-V4-D
LF-B3-S 1.14E-05 3.67 71.03

9) 25 6 26
SE-PB3-ESP H1-V5-D
LF-B3-S 1.14E-05 3.67 74.70

10) 25 26 16
SE-PB3-ESP LF-B3-S
H1-V1-D 1.14E-05 3.67 78.37

11) 4 20
H1-V4-D LF-V8-O 7.19E-06 2.32 80.69

12) 6 20
H1-V5-D LF-V8-O 7.19E-06 2.32 83.01

13) 20 16
LF-V8-O H1-V1-D 7.19E-06 2.32 85.34

14) 2
CM-B123-R 8 6.24E-06 2.01 87.35

15) 3
CM-V238-O 5.93E-06 1.92 89.27

16) 25 4 27
SE-PB3-ESP H1-V4-D
F-EE2 4.50E-06 1.45 90.72

109
 Conjuntos Mínimos más probables Prob. % Acum.
(continuación)
17) 25 6 27
SE-PB3-ESP H1-V5-D
F-EE2 4.50E-06 1.45 92.17

18) 25 27 16
SE-PB3-ESP F-EE2
H1-V1-D 4.50E-06 1.45 93.62

19) 25 15 28
SE-PB3-ESP F-EE1
H1-V6-D 4.50E-06 1.45 95.08

20) 15 19
F-EE1 LF-V7-O 3.79E-06 1.23 96.30

21) 25 15 26
SE-PB3-ESP F-EE1
LF-B3-S 1.90E-06 0.61 96.91

Indisponibilidad media del sistema: 3.09E-4

110
3b. Listado de componentes-modos de falla dominantes.

Importancia RRW

Comp. Código Fussell-Vesely RRW RAW QComp

25 SE-PB3-ESP 4.55E-01 1.83 1.15 7.50E-01

28 H1-V6-D 2.79E-01 1.39 4.73E+01 6.00E-03

6 H1-V5-D 2.40E-01 1.32 4.07E+01 6.00E-03

4 H1-V4-D 2.40E-01 1.32 4.07E+01 6.00E-03

16 H1-V1-D 2.40E-01 1.32 4.07E+01 6.00E-03

19 LF-V7-O 2.36E-01 1.31 6.29E+01 3.79E-03

1 CM-B123-S 1.92E-01 1.24 3.23E+03 5.93E-05

26 LF-B3-S 1.18E-01 1.13 4.75E+01 2.53E-03

20 LF-V8-O 7.45E-02 1.08 6.30E+01 1.20E-03

27 F-EE2 4.66E-02 1.05 4.75E+01 1.00E-03

15 F-EE1 4.00E-02 1.04 4.09E+01 1.00E-03

2 CM-B123-R 8 2.01E-02 1.02 3.23E+03 6.24E-06

3 CM-V238-O 1.92E-02 1.02 3.23E+03 5.93E-06

24 LF-B3-R 8 1.49E-02 1.02 6.31E+01 2.40E-04

5 LF-V4-D 5.93E-03 1.01 4.10E+01 1.48E-04

23 SE-PB3-OP 3.73E-03 1.00 1.01 2.50E-01

111
3c. Gráfico comparativo de indisponibilidad instantánea con el caso básico.

GRAFICO COMPARATIVO

112
4-Resultados del estudio de sensibilidad No.3.

Disminución del valor del factor β en un factor de dos para el componente-modo de falla
No.1: CM-B123-S.

4a. Listado de conjuntos mínimos dominantes e indisponibilidad del sistema.

Conjuntos Mínimos más probables Prob. % Acum.

1) 4 19
H1-V4-D LF-V7-O 4.44E-05 12.77 12.77

2) 6 19
H1-V5-D LF-V7-O 4.44E-05 12.77 25.54

3) 19 16
LF-V7-O H1-V1-D 4.44E-05 12.77 38.31

4) 1
CM-B123-S 2.80E-05 8.06 46.37

5) 25 4 28
SE-PB3-ESP H1-V4-D
H1-V6-D 2.70E-05 7.76 54.13

6) 25 6 28
SE-PB3-ESP H1-V5-D
H1-V6-D 2.70E-05 7.76 61.89

7) 25 28 16
SE-PB3-ESP H1-V6-D
H1-V1-D 2.70E-05 7.76 69.65

8) 25 4 26
SE-PB3-ESP H1-V4-D
LF-B3-S 1.14E-05 3.27 72.92

9) 25 6 26
SE-PB3-ESP H1-V5-D
LF-B3-S 1.14E-05 3.27 76.19

113
 Conjuntos Mínimos más probables Prob. % Acum.
(continuación)

10) 25 26 16
SE-PB3-ESP LF-B3-S
H1-V1-D 1.14E-05 3.27 79.46

11) 15 19
F-EE1 LF-V7-O 7.40E-06 2.13 81.59

12) 4 20
H1-V4-D LF-V8-O 7.19E-06 2.07 83.65

13) 6 20
H1-V5-D LF-V8-O 7.19E-06 2.07 85.72

14) 20 16
LF-V8-O H1-V1-D 7.19E-06 2.07 87.79

15) 2
CM-B123-R 8 6.24E-06 1.79 89.58

16) 3
CM-V238-O 5.93E-06 1.70 91.29

17) 25 4 27
SE-PB3-ESP H1-V4-D
F-EE2 4.50E-06 1.29 92.58

18) 25 6 27
SE-PB3-ESP H1-V5-D
F-EE2 4.50E-06 1.29 93.87

19) 25 27 16
SE-PB3-ESP F-EE2
H1-V1-D 4.50E-06 1.29 95.17

20) 25 15 28
SE-PB3-ESP F-EE1
H1-V6-D 4.50E-06 1.29 96.46

Indisponibilidad media del sistema: 3.47E-4

114
4b. Listado de componentes-modos de falla dominantes.

Importancia RRW

Comp. Código Fussell-Vesely RRW RAW QComp

19 LF-V7-O 4.09E-01 1.69 5.59E+01 7.40E-03

25 SE-PB3-ESP 4.05E-01 1.68 1.14 7.50E-01

16 H1-V1-D 2.76E-01 1.38 4.67E+01 6.00E-03

4 H1-V4-D 2.76E-01 1.38 4.67E+01 6.00E-03

6 H1-V5-D 2.76E-01 1.38 4.67E+01 6.00E-03

28 H1-V6-D 2.49E-01 1.33 4.22E+01 6.00E-03

26 LF-B3-S 1.05E-01 1.12 4.24E+01 2.53E-03

1 CM-B123-S 8.06E-02 1.09 2.87E+03 2.80E-05

20 LF-V8-O 6.63E-02 1.07 5.62E+01 1.20E-03

15 F-EE1 4.60E-02 1.05 4.69E+01 1.00E-03

27 F-EE2 4.15E-02 1.04 4.24E+01 1.00E-03

2 CM-B123-R 8 1.79E-02 1.02 2.87E+03 6.24E-06

3 CM-V238-O 1.70E-02 1.02 2.87E+03 5.93E-06

24 LF-B3-R 8 1.33E-02 1.01 5.63E+01 2.40E-04

5 LF-V4-D 6.82E-03 1.01 4.70E+01 1.48E-04

7 LF-V5-D 3.49E-03 1.00 4.70E+01 7.59E-05

115
4c. Gráfico comparativo de indisponibilidad instantánea con el caso básico.

GRAFICO COMPARATIVO

5-Resultados del estudio de sensibilidad No. 4.

Incremento del valor del factor β en un factor de dos para el componente - modo de falla
No.1: CM-B123-S.

116
5a. Listado de conjuntos mínimos dominantes e indisponibilidad del sistema.

Conjuntos Mínimos más probables Prob. % Acum.

1) 1
CM-B123-S 1.29E-04 28.81 28.81

2) 4 19
H1-V4-D LF-V7-O 4.44E-05 9.89 38.70

3) 6 19
H1-V5-D LF-V7-O 4.44E-05 9.89 48.59

4) 19 16
LF-V7-O H1-V1-D 4.44E-05 9.89 58.48

5) 25 4 28
SE-PB3-ESP H1-V4-D
H1-V6-D 2.70E-05 6.01 64.49

6) 25 6 28
SE-PB3-ESP H1-V5-D
H1-V6-D 2.70E-05 6.01 70.50

7) 25 28 16
SE-PB3-ESP H1-V6-D
H1-V1-D 2.70E-05 6.01 76.51

8) 25 4 26
SE-PB3-ESP H1-V4-D
LF-B3-S 1.14E-05 2.53 79.04

9) 25 6 26
SE-PB3-ESP H1-V5-D
LF-B3-S 1.14E-05 2.53 81.57

10) 25 26 16
SE-PB3-ESP LF-B3-S
H1-V1-D 1.14E-05 2.53 84.10

11) 15 19
F-EE1 LF-V7-O 7.40E-06 1.65 85.75

12) 4 20
H1-V4-D LF-V8-O 7.19E-06 1.60 87.35

117
Conjuntos Mínimos más probables Prob. % Acum.(cont.)

13) 6 20
H1-V5-D LF-V8-O 7.19E-06 1.60 88.96

14) 20 16
LF-V8-O H1-V1-D 7.19E-06 1.60 90.56

15) 2
CM-B123-R 8 6.24E-06 1.39 91.95

16) 3
CM-V238-O 5.93E-06 1.32 93.27

17) 25 4 27
SE-PB3-ESP H1-V4-D
F-EE2 4.50E-06 1.00 94.27

Indisponibilidad media del sistema: 4.49E-4

5b. Listado de componentes-modos de falla dominantes.

Importancia RRW

Comp. Código Fussell-Vesely RRW RAW QComp

19 LF-V7-O 3.17E-01 1.46 4.35E+01 7.40E-03

25 SE-PB3-ESP 3.14E-01 1.46 1.10 7.50E-01

1 CM-B123-S 2.88E-01 1.40 2.23E+03 1.29E-04

4 H1-V4-D 2.14E-01 1.27 3.64E+01 6.00E-03

16 H1-V1-D 2.14E-01 1.27 3.64E+01 6.00E-03

6 H1-V5-D 2.14E-01 1.27 3.64E+01 6.00E-03

28 H1-V6-D 1.93E-01 1.24 3.29E+01 6.00E-03

26 LF-B3-S 8.12E-02 1.09 3.30E+01 2.53E-03

20 LF-V8-O 5.13E-02 1.05 4.38E+01 1.20E-03

118
Comp. Código Fussell-Vesely RRW RAW QComp (cont.)

15 F-EE1 3.56E-02 1.04 3.66E+01 1.00E-03

27 F-EE2 3.21E-02 1.03 3.31E+01 1.00E-03

2 CM-B123-R 8 1.39E-02 1.01 2.23E+03 6.24E-06

3 CM-V238-O 1.32E-02 1.01 2.23E+03 5.93E-06

24 LF-B3-R 8 1.03E-02 1.01 4.38E+01 2.40E-04

5 LF-V4-D 5.28E-03 1.01 3.66E+01 1.48E-04

7 LF-V5-D 2.70E-03 1.00 3.66E+01 7.59E-05

5c. Gráfico comparativo de indisponibilidad instantánea con el caso básico.

GRAFICO COMPARATIVO

8.87E-04
8.12E-04

119
6-Resultados del estudio de sensibilidad No. 5 .
Variación de la estrategia de pruebas secuenciales a escalonadas y variación de la
ineficiencia de la prueba de la válvula V7 a la apertura desde 10 % (caso básico) hasta 0%.
6a. Listado de conjuntos mínimos dominantes e indisponibilidad del sistema.
Conjuntos Mínimos más probables Prob. % Acum.

1) 1
CM-B123-S 2.80E-05 12.23 12.23

2) 25 4 28
SE-PB3-ESP H1-V4-D
H1-V6-D 2.70E-05 11.78 24.01

3) 25 6 28
SE-PB3-ESP H1-V5-D
H1-V6-D 2.70E-05 11.78 35.79

4) 25 28 16
SE-PB3-ESP H1-V6-D
H1-V1-D 2.70E-05 11.78 47.57

5) 25 4 26
SE-PB3-ESP H1-V4-D
LF-B3-S 1.14E-05 4.96 52.53

6) 25 6 26
SE-PB3-ESP H1-V5-D
LF-B3-S 1.14E-05 4.96 57.49

7) 25 26 16
SE-PB3-ESP LF-B3-S
H1-V1-D 1.14E-05 4.96 62.45

8) 4 19
H1-V4-D LF-V7-O 7.41E-06 3.23 65.69

9) 6 19
H1-V5-D LF-V7-O 7.41E-06 3.23 68.92

10) 19 16
LF-V7-O H1-V1-D 7.41E-06 3.23 72.15

120
 Conjuntos Mínimos más probables Prob. % Acum.
(continuación)

11) 4 20
H1-V4-D LF-V8-O 7.19E-06 3.14 75.29

12) 6 20
H1-V5-D LF-V8-O 7.19E-06 3.14 78.43

13) 20 16
LF-V8-O H1-V1-D 7.19E-06 3.14 81.57

14) 2
CM-B123-R 8 6.24E-06 2.72 84.29

15) 3
CM-V238-O 5.93E-06 2.59 86.88

16) 25 4 27
SE-PB3-ESP H1-V4-D
F-EE2 4.50E-06 1.96 88.84

17) 25 6 27
SE-PB3-ESP H1-V5-D
F-EE2 4.50E-06 1.96 90.80
18) 25 27 16
SE-PB3-ESP F-EE2
H1-V1-D 4.50E-06 1.96 92.77

19) 25 15 28
SE-PB3-ESP F-EE1
H1-V6-D 4.50E-06 1.96 94.73

20) 25 15 26
SE-PB3-ESP F-EE1
LF-B3-S 1.90E-06 0.83 95.56

21) 15 19
F-EE1 LF-V7-O 1.24E-06 0.54 96.10

Indisponibilidad media del sistema: 2.29E-4

121
6b. Listado de componentes-modos de falla dominantes.

Importancia RRW

Comp. Código Fussell-Vesely RRW RAW QComp.

25 SE-PB3-ESP 6.15E-01 2.60 1.20 7.50E-01

28 H1-V6-D 3.78E-01 1.61 6.36E+01 6.00E-03

6 H1-V5-D 2.57E-01 1.35 4.36E+01 6.00E-03

4 H1-V4-D 2.57E-01 1.35 4.36E+01 6.00E-03

16 H1-V1-D 2.57E-01 1.35 4.36E+01 6.00E-03

26 LF-B3-S 1.59E-01 1.19 6.38E+01 2.53E-03

1 CM-B123-S 1.22E-01 1.14 4.36E+03 2.80E-05

19 LF-V7-O 1.04E-01 1.12 8.48E+01 1.23E-03

20 LF-V8-O 1.01E-01 1.11 8.48E+01 1.20E-03

27 F-EE2 6.29E-02 1.07 6.39E+01 1.00E-03

15 F-EE1 4.29E-02 1.04 4.38E+01 1.00E-03

2 CM-B123-R 8 2.72E-02 1.03 4.36E+03 6.24E-06

3 CM-V238-O 2.59E-02 1.03 4.36E+03 5.93E-06

24 LF-B3-R 8 2.01E-02 1.02 8.49E+01 2.40E-04

7 LF-V5-D 6.36E-03 1.01 4.38E+01 1.48E-04

23 SE-PB3-OP 5.04E-03 1.01 1.02 2.50E-01

122
6c. Gráfico comparativo de indisponibilidad instantánea con el caso básico.

7-Resultados del estudio de sensibilidad No. 6.

Aumento de la probabilidad de error humano sobre las válvulas V1, V4, V5 y V6, desde el
valor de 6E-3 (caso base que asume que el comportamiento de la acción está basado en
destreza) hasta 3E-2 (para el caso de que el comportamiento esté basado en reglas).

123
7a. Gráfico de sensibilidad de parámetros medios.

6.3e. Análisis de resultados. Conclusiones y recomendaciones.

1-Combinaciones de fallas obtenidas en el análisis cualitativo (CMs por orden).

De la sección (1a) de los resultados de la cuantificación se aprecia que el sistema presenta

cuatro conjuntos mínimos de orden 1. Estos se refieren a la falla del tanque T (LF-T-T) que
es común para los canales redundantes, así como tres conjuntos mínimos de causa común
que son la falla de las bombas B1, B2 y B3 al arranque y en operación, por causas comunes
(CM-B123-S y CM-B123-R, respectivamente) y la falla de las válvulas check V2, V3 y V8
a la apertura por causas comunes (CM-V238-O). El resto de las combinaciones se refieren
a doce CMs de orden 2, sesenta y dos CMs de orden 3 y setenta y ocho de orden 4, que
hacen un total de 156 CMs.

Al cuantificar tales combinaciones, se obtuvo un valor de indisponibilidad media del

sistema (probabilidad de no cumplir su función) de: 3.79E-4

124
2-Combinaciones de falla que dominan la indisponibilidad del sistema.

De estos 156 CMs, sólo los primeros 28 contribuyen con el 99 % de la indisponibilidad

total del sistema. A los efectos del presente ejemplo, se consideran importantes (o
dominantes) los primeros 20 CMs, que acumulan casi el 97 % de la indisponibilidad total,
como se observa en la sección (1b) del epígrafe 6.3d. El criterio adoptado para seleccionar
los CMs dominantes se basó en el valor del aporte relativo individual de cada uno a la
indisponibilidad del sistema. Así, aquellos que tengan una contribución individual igual o
superior al 1 % de la indisponibilidad total del sistema, se consideran dominantes, es decir,
de significación considerable desde el punto de vista de la atención que se les pueda prestar
con respecto a las medidas a tomar para perfeccionar la disponibilidad del sistema (proceso
de toma de decisiones).

El CM de mayor importancia resultó ser la falla de causa común al arranque de las bombas
B1, B2 y B3, con una contribución aproximada del 16 % a la indisponibilidad total del
sistema. En orden de importancia le siguen CMs de orden 2 con una contribución
aproximada del 12%, que incluyen combinaciones de errores humanos relacionados con el
mantenimiento (válvulas V1, V4 y V5 en posición incorrecta en el momento de la
demanda) con la falla de la válvula motorizada V7 a la apertura.

Con una contribución aproximada del 7 % aparecen CMs donde se combinan los errores
humanos anteriores con la probabilidad de que la bomba B3 esté en espera y el error
humano sobre la válvula manual V6 (posición incorrecta en el momento de la demanda).

El resto de los conjuntos mínimos dominantes (que aportan desde el 3 hasta

aproximadamente el 1% de la indisponibilidad del sistema), incluyen CMs de orden 3 (por
ejemplo, falla al aranque de la bomba B3 combinada con la probabilidad de que ésta se
encuentre en espera y los errores humanos sobre las válvulas V1, V4 y V5), CMs de orden
2 (por ejemplo, la falla de la alimentación eléctrica a las bombas B1 y B2, “F-EE1”,
combinada con la falla a la apertura de la válvula V7, “LF-V7-O”), y CMs de orden 1 (falla
de causa común en operación de las bombas B1, B2 y B3, “CM-B123-R”, y falla de causa
común de las válvulas check V2, V3 y V8, a la apertura, “CM-V238-O”).

Debe notarse que las contribuciones de la falla de causa común en operación de las bombas
B1, B2 y B3 (CM-B123-R) y la falla de causa común a la apertura de las válvulas check
V2, V3 y V8 (CM-V238-O) no fueron de las más significativas debido, en el primer caso,
al valor pequeño del tiempo de misión (asumido como 8 horas), frente a los tiempos de
exposición a las fallas en espera de los demás componentes y, en el segundo caso, debido a
la baja tasa de fallas de las válvulas check, que son componentes pasivos, considerando,
además, para ambos casos que el valor del factor .

3-Componentes-modos de falla más importantes o dominantes.

El componente - modo de falla con la mayor contribución a la indisponibilidad del sistema

es la falla a la apertura de la válvula motorizada V7 (LF-V7-O) con un valor de F-V de

125
aproximadamente 38 %. Ello está determinado por la relativamente alta rata de fallas del
componente junto al hecho de considerar la prueba con un 10 % de ineficiencia.

Le siguen en orden de importancia los errores humanos sobre las válvulas V1, V4 y V5
(H1-V1-D, H1-V4-D y H1-V5-D) con un valor de F-V de 25 %. Es notable el hecho de que
el error humano a dejar la válvula V6 en posición errónea tras un mantenimiento (H1-V6-
D) no contribuye en la misma medida que los anteriores, a pesar de que tienen la misma
probabilidad. Ello se debe a que este evento está afectado por la probabilidad de que la
bomba B3 se encuentre en régimen de espera (suceso especial SE-PB3-ESP).

Otro componente - modo de falla que tiene un peso bastante grande sobre la
indisponibilidad del sistema es la falla de causa común de las tres bombas B1, B2 y B3 al
arranque, con un valor aproximado de F-V del 16 %. Su aporte se debe fundamentalmente a
que es una falla múltiple simultánea de varios componentes redundantes, con una rata de
fallas que no es tan pequeña.

El resto de los componentes - modos de falla dominantes tienen un valor de F-V menor que
10 % y se listan a continuación en orden descendente de importancia:

• LF-B3-S
• LF-V8-O
• F-EE1
• F-EE2
• CM-B123-R
• CM-V238-O
• LF-B3-R
• LF-V4-D

4-Análisis de indisponibilidad instantánea.

Como se aprecia en la gráfica de la sección (1d), epígrafe 6.3d, los valores de

indisponibilidad mínima y máxima del sistema se incrementan en el tiempo. Ello se debe a
que existen componentes no controlados o que su control no es totalmente eficiente (casos
de la falla a la apertura de la válvula check V8 que no puede controlarse durante el servicio
de la instalación, y de la falla a la apertura de la válvula motorizada V7 cuya prueba tiene
un 10 % de ineficiencia).

Otra característica importante de la curva de indisponibilidad instantánea del sistema son

los picos periódicos que aparecen durante la realización de las pruebas de los componentes
que se indisponen en tales instantes. Estos picos son los contribuyentes dominantes a la
indisponibilidad media del sistema, siendo el valor máximo de indisponibilidad 1.87E-1, y
se produce durante el último ciclo de pruebas del sistema (7561 horas).

126
Puede apreciarse que el valor de la indisponibilidad media del sistema a partir de la
instantánea es superior al estimado por los parámetros medios (8.12E-4 y 3.79E-4,
respectivamente). Ello se debe fundamentalmente a la sobrestimación que se produce en la
zona de picos, ya que se toman en cuenta conjuntos de cortes que no son mínimos en el
momento de la prueba.

5-Resultados del análisis de sensibilidad No.1.

Este análisis consistió en cambiar la estrategia de pruebas del caso básico (secuenciales) a
pruebas escalonadas.

Como se aprecia en los resultados de la sección (2a), epígrafe 6.3e, los CMs más
importantes se mantienen, sin embargo, varía su contribución individual que tiende a
disminuir y se distribuye con mayor uniformidad.

El conjunto mínimo formado por el suceso CM-B123-S, en este caso no es el de mayor

contribución, pues se ha disminuido en un factor de 2 el tiempo de exposición a la falla de
causa común, debido al efecto del escalonamiento de las pruebas, corriéndose hacia arriba
las contribuciones de los errores humanos sobre las válvulas V1, V4, V5 y V6 y la falla
independiente de la válvula V7 a la apertura, ocurriendo lo mismo con la importancia de los
componentes - modos de falla (sección (2b), epígrafe 6.3d).

Como puede apreciarse la indisponibilidad media del sistema disminuye al realizar las
pruebas escalonadas (de 3.79E-4 hasta 3.03E-4), ya que se disminuye el tiempo de
exposición a fallas ocultas tanto independientes como de causa común de los componentes
que tienen modos de falla a la espera.

Lo mismo sucede con la indisponibilidad media a partir de la instantánea (8.12E-4 hasta

6.19E-4) y los valores máximos y mínimos de indisponibilidad instantánea respectivos. Por
ejemplo, el valor máximo de indisponibilidad estimado en este caso es de 1.43E-1, a
diferencia de 1.88E-1 para el caso básico con pruebas secuenciales (sección (2c), epígrafe
6.3d). También se aprecia el aumento de la cantidad de picos debido a la distribución de las
pruebas por canales redundantes (separación de las pruebas de las líneas de bombas B1 y
B2, de la prueba de la bomba B3, en 360 horas). En este caso la disminución del tamaño de
los picos en el momento de la prueba del canal 2 (línea de bomba B3), con respecto a la
prueba del canal 1 (líneas de bombas B1 y B2), se debe a la cantidad de conjuntos mínimos
con probabilidad del orden de 1E-3 que contribuyen (7 CMs para el caso del momento de la
prueba del segundo canal, con respecto a 16 CMs en el momento de la prueba del primer
canal), lo que hace que la suma de tales contribuciones aporte más en el caso de la prueba
del primer canal, que en la prueba del segundo canal.

6-Resultados del análisis de sensibilidad No.2.

Este análisis se realiza para evaluar cómo se afecta la indisponibilidad media del sistema si
la prueba de la válvula V7 a la apertura fuese 100 % eficiente.

127
Como se aprecia en los resultados (sección (3a), epígrafe 6.3d), las contribuciones de los
CMs donde está presente la falla a la apertura de la válvula V7 se han desplazado hacia
abajo, por el efecto de realizar la prueba de esta válvula con un 100 % de eficiencia, aunque
se mantienen aproximadamente en el orden las contribuciones individuales de cada CM. Se
puede observar que ha disminuido el valor de la indisponibilidad media (3.03E-4) con
respecto al caso básico (3.79E-4). Asimismo, le suceso LF-V7-O deja de ser el más
importante (sección (3b) epígrafe 6.3d), para ceder su lugar a los errores humanos H1-V6-
D, H1-V5-D, H1-V4-D y H1-V1-D, pasando su contribución a la indisponibilidad del
sistema del 38 % al 24 %, aproximadamente.

Con respecto a la indisponibilidad instantánea del sistema, el efecto de esta variación

conduce, como se aprecia en la gráfica de la sección (3c), epígrafe 6.3d, a que tanto la
indisponibilidad media como las mínimas y máximas se reduzcan con respecto al caso
básico. En este caso, la indisponibilidad media obtenida de la instantánea disminuye desde
8.12E-4 (caso básico) hasta 6.7E-4, en tanto la indisponibilidad máxima estimada es 1.33E-
1 (1.87E-1, para el caso básico). Otro efecto marcado es la disminución del crecimiento de
la curva con el avance del tiempo, ya que en este caso la contribución de modos de falla no
controlados es menor (sería sólo el aporte del suceso básico LF-V8-O).

7-Resultados del análisis de sensibilidad No.3.

El objetivo de este análisis fue determinar la sensibilidad de la indisponibilidad del sistema

a la disminución del BETA asumido en un factor de 2 para el suceso CM-B123-S, que se
encontraba dentro de los mayores contribuyentes.

Como resultado (sección (4a), epígrafe 6.3d) se obtiene que este suceso, que representa en
el caso básico el conjunto mínimo más importante, se desplaza en valor de importancia
hacia abajo, desde el 16 % hasta el 8 %, aproximadamente, manteniéndose el ordenamiento
del resto de los CMs como en los análisis anteriores, así como sus contribuciones
individuales. La indisponibilidad media del sistema (3.47E-4) disminuyó con respecto al
caso básico (3.79E-4).
La importancia de los componentes - modos de falla se mantiene similar al caso básico,
disminuyendo en este caso la contribución del suceso básico CM-B123-S a la
indisponibilidad del sistema, desde 16 % hasta el 8 %

No se aprecian cambios sustanciales en la curva de indisponibilidad instantánea del

sistema.

8-Resultados del análisis de sensibilidad No.4.

Este análisis consistió en aumentar en un factor de 2 el BETA asumido para el suceso

básico CM-B123-S, para determinar cómo variaba la indisponibilidad del sistema.

Como resultado se obtuvo que este conjunto mínimo (y suceso básico) aumentó su
contribución a la indisponibilidad del sistema del 16 % al 29 %, aumentando la

128
indisponibilidad media del sistema desde 3.79E-4 (caso básico) hasta 4.49E-4 (ver listados
en secciones (5a), (5b), epígrafe 6.3d.

No se aprecian variaciones apreciables en la gráfica de indisponibilidad instantánea del

sistema (sección (5c) , epígrafe 6.3d).

9-Resultados del análisis de sensibilidad No.5.

Dados los resultados de los análisis de sensibilidad No.1 y No.2, se estimó conveniente
realizar un análisis combinando las variaciones introducidas en ambos análisis con respecto
al caso básico, es decir, la realización de pruebas escalonadas junto a la consideración de
una prueba 100 % eficiente para la apertura de la válvula motorizada V7.

Como resultado se obtuvo una disminución de la indisponibilidad media del sistema desde
3.79E-4 (caso básico) hasta 2.29E-4. Asimismo, se observa que las contribuciones de los
conjuntos mínimos donde participa la falla a la apertura de la válvulaV7 (LF-V7-O)
disminuyeron con respecto al caso básico. (Ver secciones (6a), (6b), epígrafe 6.3d).

De la gráfica de indisponibilidad instantánea del sistema (sección (6c), epígrafe 6.3d) se

aprecia que el valor de la indisponibilidad media del sistema disminuye casi a la mitad
(4.61E-4) con respecto al caso base (8.12E-4), y la indisponibilidad máxima estimada
disminuye desde 1.87E-1 (caso básico) hasta 8.36E-2. Por otra parte, se observa que el
crecimiento de la indisponibilidad instantánea en el tiempo es muy ligero.

Al igual que en el resto de los casos, la indisponibilidad del sistema está dominada por los
picos durante las pruebas.

10-Resultados del análisis de sensibilidad No.6.

Dado el uso de valores de barrido en las probabilidades de error humano en las válvulas
V1, V4, V5 y V6, considerando además que el comportamiento en las acciones humanas
estaba basado en la destreza, se estimó conveniente realizar un análisis de sensibilidad que
permitiera evaluar el efecto de la variación de los valores de probabilidad de los errores
humanos que resultaron dominantes.

De esta manera, se aumentó el valor de estas probabilidades considerando que las aciones
estuviesen basadas en REGLAS en lugar de DESTREZA (caso básico). Ello implicó
aumentar los valores de estas probabilidades para los sucesos H1-V1-D, H1-V4-D, H1-V5-
D y H1-V6-D, desde 6E-3 hasta 3E-2, que representan valores de barrido para este tipo de
acciones y comportamientos.

Como resultado se obtuvo que la indisponibilidad media del sistema aumentó

prácticamente en un orden (desde 3.79E-4 hasta 3.17E-3).

11-Conclusiones y recomendaciones.

129
- Conclusiones

a. La indisponibilidad del sistema está dominada por la falla de causa común de las tres
bombas al arranque (CM-B123-S), que aporta aproximadamente el 16 % de su valor.
Como significativas se presentan además las combinaciones de errores humanos de
mantenimiento sobre las válvulas V1, V4, V5 y V6, y la falla de la válvula V7 a la
apertura. Por tanto, es sobre estos problemas sobre los que hay que tomar medidas para
lograr mejorar el valor de indisponibilidad estimado.

b. Los picos de indisponibilidad durante las pruebas son los contribuyentes dominantes a la
indisponibilidad media del sistema, frente a las fallas ocultas entre pruebas. En esos
momentos se observa un incremento de la indisponibilidad del sistema en prácticamente
dos órdenes, por lo que se demuestra la vulnerabilidad del sistema a la falla en dichos
instantes, características imposibles de valorar por el análisis de indisponibilidad por
parámetros medios. No obstante, se llama la atención que la sobrestimación de la
indisponibilidad que se produce en los momentos de prueba puede llegar hasta el 40 %
(según la experiencia), por lo que los valores reales serían inferiores, pero aún así se
mantendrían considerablemente altos.

c. La realización de las pruebas escalonadas atenúan la contribución de los picos de

indisponibilidad, junto a la posibilidad de realizar una prueba 100 % eficiente de la
válvula V7.

d. La indisponibilidad del sistema no es tan sensible a variaciones esperadas del factor

β para el suceso básico dominante CM-B123-S, en tanto sí lo es para posibles
variaciones de la probabilidad de error humano para los sucesos dominantes H1-V1-D,
H1-V4-D, H1-V5-D y H1-V6-D, por lo que es importante determinar con la mayor
exactitud posible dichos valores.

- Recomendaciones

a. Se recomienda independizar las líneas de bombas B1 y B2 de la línea de pruebas común,

mediante la introducción de líneas de pruebas diferentes con sus válvulas de cierre para
la prueba y de recirculación al tanque, respectivas. Esto mejorará la redundancia del
sistema y se reflejará como una disminución apreciable de los picos de indisponibilidad,
pues se tendrán tres canales completamente redundantes y será más efectiva la estrategia
de pruebas escalonadas.

b. Las pruebas de los componentes del sistema debe realizarse de manera escalonada, en
lugar de secuencial. Sería conveniente, dentro de lo posible, que durante las pruebas y
mantenimiento de las bombas se introduzca alguna variedad en el personal de ejecución
y supervisión, lo cual debe reflejarse en los procedimientos.

130
c. De modo general, se proponen las siguientes medidas de defensa contra la falla de causa
común de las tres bombas al arranque:

- Sustitución de una de las bombas (por ejemplo, B3) por otra con características diferentes,
por ejemplo, fabricante, tipo de accionamiento, etc.

- Perfeccionamiento del entrenamiento del personal en la realización de las pruebas y

mantenimiento de las bombas, haciendo énfasis en los aspectos de los mecanismos de
fallas dependientes.

- Es conveniente aplicar la separación física de las bombas B1 y B2. Si ello no es posible o

práctico, entonces podría emplearse la protección física por barreras entre las bombas B1
y B2, lo que las haría menos susceptibles a fallas de causa común.

d. Con respecto a los errores humanos se recomienda lo siguiente:

- Las pruebas escalonadas reducen la probabilidad de fallas de causa común por errores
humanos asociados a las pruebas y mantenimiento, ya que podrían detectarse errores en
otras redundancias antes de que ocurra la falla de causa común. Adicionalmente el
personal está menos condicionado a cometer un mismo error sobre otros componentes
redundantes.

- Debe incluirse la realización de rígidos controles administrativos para verificar la

posición de las válvulas que requieren manipularse durante pruebas y mantenimientos.

e. Es conveniente buscar la vía de poder realizar una prueba 100 % eficiente de la válvula
V7, por ejemplo, mediante la introducción de una línea entre la válvula V7 y V8, que
podría descargar a la línea de pruebas de B3, y que incluyera una válvula check para
evitar que durante la prueba de B3 pase agua a los aspersores.

131
 BIBLIOGRAFIA

1-NUREG/CR-4780. Procedures for treating CCF in Safety and Reliability Studies.

USNRC. Vol1, 1988, Vol2, 1989.

2-EPRI NP-3967. Classification and Analysis of Reactor Operating Experience Involving

Dependent Events. EPRI, 1985.

3-EPRI TR-100382. A Data Base of Common-Cause Events for Risk and Reliability
Applications. EPRI, 1992.

4-NUREG/CR-5460. A Cause-Defense Approach to the Understanding and Analysis of

Common Cause Failures. SNLs, JBF Associates Inc., NUS Corporation, 1990.

5-NUREG/CR-5801. Procedure for Anaysis of Common-Cause Failures in Probabilistic

Safety Analysis. USNRC, 1993.

6-SRD Dependent Failures Procedures Guide. SRD, UKAEA, 1987.

7-NUREG/CR-2770. "Common Cause Fault Rates for Valves. Estimates Based on

LERs Reports of U.S. Commercial Nuclear Power Plants (1972-1980).

8-NUREG/CR-2098. "Common Cause Fault Rates for Pumps. Estimates Based on

LERs Reports of U.S. Commercial Nuclear Power Plants (1972-1980).

9-NUREG/CR-2300. Probabilistic Risk Analysis Procedures Guide. USNRC, 1983.

10-IAEA Safety Series No.50-P-1. Application of Single Failure Criterion on NPP. IAEA,
Viena, 1991.

11-IAEA Safety Series No. 50-P-4. Procedures for Conducting PSA of Nuclear Power
Plants. IAEA, Viena, 1992.

12-NUREG-0666. A Probabilistic Safety Analysis of DC Power Supply Requirementsfor

Nuclear Power Plants. USNRC, 1981.

13-INPO 90-004. Root Cause Analysis. Good Practice OE-907. Institute of Nuclear Power
Operators. USA. 1990.

14-NUREG/CR-4616. Root Causes of Component Program: Methods and Applications.

INEL-USNRC. 1986.

132
15-Salomón, J.; Perdomo, M.; Torres, A.; Valhuerdi, C.; Ferro, R.; Rodríguez, J.; Rivero,
J.; Martínez, L. Análisis de Riesgo Industial. Ediciones universitarias. UGMA.
Barcelona, Venezuela. 1996.

16-Mosquera, G.; Rivero, J.; Salomón, J.; Valhuerdi, C.; Torres, A; Perdomo, M.
Disponibilidad y confiabilidad de sistemas industriales. Ediciones universitarias.
UGMA. Barcelona, Venezuela. 1995.

17-IAEA TECDOC-418. Component Reliability Data For Use in Probabilistic Safety

assessment. IAEA. Vienna, 1988.

18-NUREG/CR-4550. Vol.1, Rev.1. Analysis of Core Damage Frequency. Internal Events

Methodology. USNRC, 1991.

19-A.D. Swain and H.E. Guttmann. Handbook of Human Reliability Analysis with
Emphasis on Nuclear Power Plant Applications. NUREG/CR 1278, 1983, USA.

20-Human Reliability Assessors Guide. Edited by P. Humphreys. Safety and Reliability

Directorate, 1988, UK.

21-GDA/APS.Confiabilidad de Sistemas para el Mantenimiento Industrial. Curso de

postgrado. Escuela Superior de Cuadros del MINBAS, Cuba, 1995.

22-J. Muñoz Blasco. Conferencia sobre Análisis de Fiabilidad Humana. Empresarios

Agrupados, 1990, España.

23-Curso de Análisis Probabilista de la Seguridad del OIEA. 1986, España.

24-Curso de Análisis Probabilista de la Seguridad del OIEA. 1988, España.

25-E. M. Dougherty, Jr and J.R. Fragola. Human Reliability Analysis, A Systems

Engineering Approach with Nuclear Power Plant Applications, 1988, USA.

26-G. J. Caruso. Importancia de los factores humanos en la seguridad de las instalaciones

nucleares. CNEA. Revista Seguridad Radiológica No 1, Sept. 1990, Argentina.

27-EPRI. Systematic Human Action Reliability Procedure (SHARP). EPRI 3583, 1984,
USA.

28-A. Creus Sole. Fiabilidad y Seguridad de los procesos industriales. Colección

Marcombo, serie 49 "Productica" Boixareu Editores.

29-Human Reliability Associates LTD. Practical Techniques for assessing and reducing
human error in industry. 1990, UK.

30-Bell, B. J. y Swain A. D. A Proocedure for Conducting a Human Reliability Analysis

for Nuclear Power Plants. NUREG /CR-2254. 1983. USA.

133
31-P. R. Mondelo, E. Gregori Toreda y P. Barrau Bombardo. Ergonomía 1. Fundamentos.
Ediciones UPC . 1994, España.

32-American Nuclear Society. Winter Meeting, Washington, Nov 13-17, 1994.

Transactions, 1994, USA.

33-A. I. Gómez Cobo. Human Reliabilty Analysis Lecture, IAEA, 1993.

34-NUREG-3010 “Post Event Human Decision Errors: Operator Action Tree/Time-

Reliability Correlation.” 1982, USA.

134
 CAPITULO 7

Parte II- TRATAMIENTO DE LAS ACCIONES HUMANAS

EL COMPONENTE HUMANO DEL SISTEMA TECNOLOGICO

7.1. Introducción

Hasta ahora se han abordado los aspectos de la fiabilidad de los sistemas tecnológicos
relacionados fundamentalmente con sus elementos mecánicos, es decir, sus equipos y
componentes. Sin embargo, este enfoque resultaría limitado si consideramos que en las
actividades de mantenimiento, pruebas, calibraciones y otras operaciones de los sistemas
tecnológicos, tanto en condiciones normales como en situaciones anormales, interviene el
hombre, produciéndose ciertas interacciones con el componente mecánico que van a influir
en el funcionamiento del sistema. Aún con un alto nivel de automatización, el hombre
mantiene funciones de control, vigilancia, recuperación y por supuesto, funciones de
mantenimiento y pruebas que inciden sobre el sistema. Por ello el sistema tecnológico debe
ser interpretado como un conjunto de elementos mecánicos y humanos que se denomina
frecuentemente como sistema hombre-máquina o sistemas sociotécnicos, para destacar la
inclusión del componente humano como parte integrante del sistema tecnológico.

Varios de los grandes desastres industriales que han ocurrido en el mundo en los últimos
años, como el accidente en la planta química de Bhopal, en la India, el accidente de la
Central Electronuclear de Chernobil, en la antigua URSS o la explosión del transbordador
espacial Challenger, en los Estados Unidos, por citar solo algunos ejemplos, han tenido
entre sus causas principales el error humano. Esta situación ha puesto al descubierto que
aún en los sistemas más avanzados y modernos el error humano puede neutralizar las
salvaguardias de seguridad y provocar una catástrofe.

Es por lo tanto evidente que la confiabilidad de los sistemas tecnológicos no puede

evaluarse únicamente a partir de la confiabilidad de sus componentes mecánicos, sino que
requiere además la consideración de la fiabilidad de su componente humano. Por ello el
análisis de la fiabilidad humana constituye una parte importante y necesaria dentro de los
estudios de confiabilidad y riesgo, cuando se busca una evaluación integral de la fiabilidad
del sistema tecnológico.

En los capítulos que conforman esta segunda parte se introducirá al lector en el campo de la
fiabilidad humana, a partir de su familiarización con algunos temas generales que han sido
seleccionados de diversas fuentes. No se pretende abordar todos los temas de esta
importante disciplina ni realizar un análisis pormenorizado de cada asunto. El objetivo que
se persigue es solamente proporcionar una información general que complemente los
conocimientos ya adquiridos en materia de confiabilidad de sistemas tecnológicos para su

135
aplicación a la industria y orientar a aquellos que deseen profundizar en el tema de la
fiabilidad humana.
Para ilustrar cómo se realiza el análisis de la fiabilidad humana se ha seleccionado la
técnica THERP (Technique for Human Error Rate Prediction) considerando su amplia
difusión, aceptabilidad y elevado grado de madurez, así como su posible aplicación en
diferentes tipos de industrias. Esto hace que muchos de los conceptos y enfoques que se
utilizarán estén asociados a este método.

La información contenida en estos capítulos ha sido elaborada fundamentalmente a partir

de la revisión de diversos materiales y documentos publicados sobre este tema unido a la
experiencia en la evaluación y tratamiento de las acciones humanas en estudios
probabilísticos de seguridad.

7.2. El error humano en la industria.

Durante mucho tiempo los estudios de fiabilidad de los sistemas tecnológicos centraron su
atención básicamente en la fiabilidad de los equipos, quedando en un segundo plano los
problemas de la influencia humana. Sin embargo, en la actualidad evitar o reducir el error
humano y controlar su incidencia constituye uno de los mayores desafíos para la industria.
Esto se debe, entre otras razones, a la creciente preocupación por la contribución que sigue
teniendo el error humano en las causas de numerosos incidentes y accidentes que han
provocado en diferentes industrias lamentables pérdidas humanas, daños económicos o
efectos sobre el medio ambiente. En la Tabla 7.2-1 se presentan algunos datos e
informaciones aparecidas en diferentes publicaciones, estudios e investigaciones que
ilustran la influencia del error humano.

Debe señalarse, sin embargo, que no todo lo que frecuentemente se clasifica como error
humano es el resultado de fallas propias del ser humano. En realidad muchas de las fallas
de los sistemas comienzan desde su etapa de diseño, construcción o fabricación del equipo
o durante la organización de su operación. Existen referencias sobre sistemas que han sido
concebidos con una complejidad tal que es imposible esperar una alta probabilidad de
éxito del operador durante su operación. Por ello se reconoce actualmente que el error
humano es en gran medida una consecuencia de la falta de adecuación de los dos
componentes que integran el sistema. El error humano puede ser el resultado de que el
equipo haya sido diseñado sin una consideración apropiada de las capacidades y
limitaciones del ser humano o debido a que el hombre no ha sido preparado como se
requiere para operar el sistema. De aquí que la fiabilidad humana no solo dependerá de
factores intrínsecos al ser humano sino también de factores relacionados con los equipos
que opera, las condiciones del medio de trabajo y otras situaciones externas al hombre que
van a influir en su comportamiento en el momento de ejecutar una acción.

Otro aspecto importante que debe tenerse en cuenta cuando se evalúa la influencia del
hombre sobre la fiabilidad de un sistema es el hecho de que el ser humano no solo puede
tener un impacto negativo. A diferencia del componente mecánico del sistema, el hombre
tiene la capacidad de razonamiento que le permite generar soluciones no previstas e
improvisar ante una situación dada pudiendo mejorar el escenario o mitigar las

136
consecuencias de un evento no deseado. Este efecto positivo de la actuación humana se
lleva a cabo a través de las denominadas acciones de recuperación y son también
consideradas dentro del análisis de la fiabilidad humana.
Puede considerarse por lo tanto, que para la prevención y reducción del error humano se
requiere de una evaluación y análisis de múltiples factores que garanticen que el diseño de
los equipos, su operación en condiciones normales o de emergencia, así como las
condiciones del medio donde actúa consideren específicamente las capacidades y
limitaciones humanas.
Los aspectos relacionados con la prevención y evaluación del error humano se abordan
para su estudio en dos grandes campos: la ergonomía y la fiabilidad humana.

• La ergonomía se encarga básicamente de los aspectos relacionados con:

- Diseño de salas y puestos de control
- Sistemas de apoyo al operador
- Sistemas de entrenamiento y preparación del personal
- Elaboración de guías y procedimientos operacionales
En la Figura 7.2-1 aparece representado el objetivo de la ergonomía.

• La fiabilidad humana por su parte se encarga fundamentalmente de:

- Estudios de las causas raíces de los errores humanos
- Desarrollo de técnicas analíticas para la estimación de las probabilidades de
error humano
- Estudio de las acciones de recuperación.
Es precisamente sobre esta última área que tratarán los capítulos siguientes.

137
Fig. 7.2-1 Objetivo de la Ergonomía. ( Ref. [31] )

138
 INDUSTRIA NUCLEAR

• Se considera que el riesgo estimado debido al error humano es del 50-70 %.

• Estudio WASH 1400 (EEUU, 1975): El error humano contribuye en un 50-80% a la
falla de los sistemas de seguridad.
• Estudio de Riesgo Alemán (Alemania, 1978): La contribución del error humano a la
frecuencia de daño al núcleo es del 63%.
• Accidentes en las Centrales Electronucleares Three Mile Island (EEUU, 1979) y
Chernobil (URSS, 1986): El error humano como mayor contribuyente.

INDUSTRIA QUIMICA Y PETROQUIMICA

• El 80-90% de los accidentes ocurridos se debe a errores humanos.

• Accidente de la Planta de productos químicos de Bhopal, India, 1984 como resultado de
un error humano.
• El 70 % de los accidentes en perforaciones marinas tienen causas humanas.
• Entre 1956-1984 se produjeron más de 600 millones de dólares en pérdidas por errores
de operación.
• Algunos de los más grandes accidentes de la industria química, como Exxon Valdez,
Piper Alpha, Grangemouth y Phillips Chemical Complex de Pasadena, Texas han tenido
al error humano como mayor contribuyente.

TRANSPORTE

• 50-70 % de los accidentes en aerolíneas comerciales se deben a errores de la tripulación.

• El error humano fue la causa principal del desastre del transbordador espacial
Challenger, EEUU, 1986.
• Numerosos accidentes ferroviarios debido a errores humanos.

INFORMATICA Y COMPUTACION

• 52 % de los daños en sistemas informativos de las corporaciones.

• Destrucción de dos costosos satélites meteorológicos por error de programación, EEUU,
1970.
• 19 millones de dólares en pérdidas por la inhabilitación durante 8 horas del sistema de
reservación de una importante línea aérea debido a la falla de un operador de
computadoras, EEUU, 1985.

INDUSTRIAS DE PROCESOS

• Un estudio realizado en Holanda reveló que durante cuatro años se produjeron 17

incidentes debido a errores humanos que provocaron escapes de sustancias peligrosas,
daños materiales y fuegos.

Tabla 7.2-1 Ejemplos del impacto humano en diferentes industrias.

( Ref. [ 26, 27, 28, 29, 32 ] )

7.3. El sistema hombre-máquina.

139
Detengámonos brevemente en las interacciones que se producen entre los componentes
mecánico y humano dentro del sistema y las propias interacciones y mecanismos que se
producen dentro del componente humano.
Como se ha señalado anteriormente, el término sistema hombre-máquina se utiliza para
destacar la participación del hombre como parte integrante del sistema tecnológico, es
decir, es el conjunto de medios técnicos, su entorno y el hombre formando una unidad de
funcionamiento. Los sistemas hombre-máquina pueden clasificarse en tres tipos [31]:

Sistemas manuales: Son aquellos donde el hombre aporta la energía para el

funcionamiento del sistema ejerciendo un control directo sobre los resultados.

Sistemas mecánicos: A diferencia de los sistemas manuales, el hombre aporta una cantidad
limitada de energía, ya que la mayor parte de ésta es producida por la máquina o por
algunas fuentes externas. El hombre recibe la información sobre el funcionamiento de
forma directa o a través de dispositivos informativos, regulándola con su actuación sobre
determinados controles.

Sistemas automáticos: Son sistemas de autocontrol con capacidad para autorregularse y en

los que el hombre mantiene al menos funciones de supervisión y mantenimiento.

Fig. 7.3-1 Sistema hombre-máquina

140
En la práctica, la mayoría de los sistemas están formados por una combinación de estos tres
tipos de sistemas.
En la Figura 7.3-1 aparece una representación esquemática de un sistema hombre-máquina.
Los puntos de interacción entre el componente mecánico y el componente humano dentro
del sistema se denominan interfases hombre-máquina. Ejemplos de estas interfases son los
displays, los teclados y controles o cualquier elemento que el hombre observa o utiliza en
su interacción con la máquina.

En la Figura 7.3-1 se puede apreciar el proceso de interacción del sistema hombre-máquina.

Al producirse una señal del sistema el operador la detecta, procesa e interpreta la
información recibida, adopta una decisión y la ejecuta, actuando sobre los dispositivos del
sistema, es decir, las interfases. Esa acción tendrá un efecto sobre el equipo que se reflejará
nuevamente a través de una señal, retroalimentando así al operador sobre el resultado de su
actuación.
Como puede verse el funcionamiento del sistema es el resultado de un proceso interactivo y
continuo entre sus componentes humano y mecánico. La fiabilidad de los equipos se ocupa
de los elementos de la parte inferior del esquema y la fiabilidad humana de la parte
superior.

Fig. 7.3-2 Modelo simplificado del componente humano en el sistema hombre-

máquina.

141
 Fig. 7.3-3 Errores humanos cognoscitivos y manuales.

Dado que el presente texto está dirigido a la fiabilidad humana, se abordarán brevemente
los procesos que se producen en el componente humano auxiliándonos del esquema
simplificado utilizado en el Handbook [19], que representa al hombre como un sistema de
lazo cerrado. Aunque los procesos que tienen lugar en el ser humano tienen un carácter
continuo se adopta un enfoque simplificado que utiliza un modelo discreto para representar
el proceso de la actuación humana en cinco bloques.

Como se puede observar en la Figura 7.3-2 el hombre recibe una serie de impulsos externos
en forma de señales, indicaciones o variaciones en sus condiciones de trabajo (bloque A).
Estas señales externas se convierten en impulsos internos que llegan al hombre a través de
sus órganos sensoriales originándose un proceso de percepción, que incluye además la
organización y reconocimiento de la información (bloque B). A continuación se inicia el
procesamiento de la información (bloque C). En este momento tienen lugar complejos
procesos cognoscitivos que pueden afectar tanto lo que se percibe como lo que se decide
hacer, y que pueden estar determinados por factores como el nivel de entrenamiento y la
experiencia, el estado emocional del individuo, su personalidad, otros conflictos, etc. Es
por ello que existe un lazo interno de retroalimentación representado con líneas
discontinuas.

142
En ocasiones la actuación humana parece realizarse de forma tal como si no mediara un
proceso cognoscitivo entre la percepción y la respuesta. Esto es común en tareas con un
alto nivel de entrenamiento y práctica y se representa en el esquema con una línea
discontinua en la parte superior entre los bloques B y D.

Finalmente el individuo ejecutará la respuesta que considera apropiada para la situación

dada a través de sus medios motores u otras partes del cuerpo (bloque D). Esta respuesta
humana se traduce en un impulso que recibe el componente mecánico a través de sus
dispositivos (bloque E).

Resumiendo, se puede decir que la actuación humana de respuesta a una situación consiste
de tres fases básicas:

DETECCION: Percepción de una señal o alarma que emite el equipo

DIAGNOSIS: Interpretación, análisis y toma de decisiones para responder a la señal

recibida.

ACTUACION: Interacción física sobre el sistema para ejecutar la decisión tomada.

En los capítulos siguientes se podrá apreciar que en cada fase influyen factores diferentes y
se generan distintos tipos de errores humanos, como se indica en la Figura 7.3-3.

143
 CAPITULO 8

PRINCIPALES TERMINOS Y DEFINICIONES

En el presente capítulo se exponen algunos de los principales conceptos y definiciones que

se utilizan en el campo de la fiabilidad humana.

8.1. Error Humano.

Según A.D. Swain y H.E. Guttman [19] el error humano es una acción que excede los
límites de aceptabilidad, o sea, una acción fuera de tolerancia.

Los límites de tolerancia, es decir, los límites a que debe ajustarse la actuación humana, los
define el sistema sobre el cual se actúa.

En general se puede decir que existen tres tipos fundamentales de situaciones que
constituyen error humano:

- realizar una acción incorrecta

- no realizar una acción que debe realizarse
- no realizar la acción en el tiempo requerido, cuando existen límites de tiempo.

Es preciso señalar que quedan fuera del alcance del estudio de la fiabilidad humana las
acciones malevolentes, entendiendo como tales, aquellas acciones que se realizan
deliberadamente para provocar un daño. Por lo tanto la fiabilidad humana se encarga del
estudio de aquellas acciones, que aunque puedan realizarse incorrectamente, responden a
una intención de lograr que el sistema cumpla con la función asignada.

8.2. Esquemas de clasificación del error humano.

Existen diferentes esquemas de clasificación del error humano en dependencia de los

criterios que se utilicen. Algunas de las clasificaciones más utilizadas son:

• Por el momento de ocurrencia: Errores pre-accidentales

Errores post-accidentales

• Por su posibilidad de recuperación: Errores irreversibles

Errores reversibles (recuperables)

• Por los mecanismos humanos que intervienen: Errores cognoscitivos

Errores manuales

• Por su forma externa: Errores de omisión

Errores de comisión

A continuación se analizarán algunos de estos conceptos

144
8.2.1. Errores de Omisión y Comisión.

Se define como Error de Omisión a la falla a iniciar una acción, es decir, no realizar una
acción o tarea requerida por el sistema. Los errores de omisión pueden ser la omisión de
una tarea completa o la omisión de un paso de la tarea.

El Error de Comisión se define como la ejecución incorrecta de una tarea o acción

requerida por el sistema o la realización de una tarea o acción no requerida por el sistema y
que tiene la potencialidad para hacer fallar al sistema.

Los errores de comisión se subdividen en:

• Errores de Selección:

- Selección de un control erróneo

- Posicionamiento erróneo de un control
- Emisión de una información o comando erróneo, oral o escrito.

• Errores de secuencia:
- Se altera el orden de una secuencia dada de operaciones

• Errores de tiempo:

- Demasiado tarde
- Demasiado temprano

• Errores cualitativos (fundamentalmente para actividades de regulación):

- Por defecto
- Por exceso

8.2.2. Errores Cognoscitivos y Manuales.

Considerando el papel que desempeñan los procesos cognoscitivos sobre la actuación

humana se utiliza en algunas situaciones la clasificación de error cognoscitivo y error
manual.

Los Errores Cognoscitivos son aquellos que se producen durante los procesos de
diagnosis y toma de decisiones que tienen lugar en el ser humano al recibir una señal que
requiere una respuesta.

Por su parte, los Errores Manuales son aquellos que se producen en la fase post-diagnosis,
durante la ejecución física de la respuesta.

Este tipo de clasificación se utiliza con frecuencia durante el análisis de las acciones post-
accidentales.

8.2.3. Errores Pre-accidentales y Post-accidentales.

Como su nombre lo indica, estos errores se clasifican según la etapa en que tienen lugar
con relación al momento de ocurrencia de un evento anormal o accidente ya que las
condiciones en que se desarrollan difieren sustancialmente. Esta división está

145
estrechamente relacionada con la clasificación de los tipos de acciones humanas, que se
utilizan en diferentes estudios y que aparece descrita en el epígrafe siguiente.

8.3. Tipos de acciones humanas.

Para el análisis de la fiabilidad humana dentro de los estudios de confiabilidad o riesgo de

sistemas industriales resulta conveniente utilizar la clasificación de las acciones humanas
según el momento de su ocurrencia, ya que son diferentes los procesos que tienen lugar y
no todos los factores influyen de la misma forma, lo cual facilita una base diferenciada para
su evaluación.

Utilizaremos por lo tanto la clasificación siguiente:

Acciones humanas pre-accidentales (Tipo 1)

Acciones humanas iniciadoras de accidentes (Tipo 2)
Acciones humanas post-accidentales (Tipos 3, 4 y 5)

Es preciso señalar que según el grado de complejidad de un proceso tecnológico pueden

presentarse con mayor o menor evidencia algunos o todos estos grupos de acciones.

8.3.1. Acciones humanas pre-accidentales. (Tipo 1)

Son acciones realizadas durante la operación normal, como pruebas, mantenimientos,

calibraciones o realineamientos operativos y durante los regímenes especiales de arranque
u otras actividades; que provocan indisponibilidad del equipo o componentes para cumplir
su función cuando sea demandado.

Estas acciones son básicamente manipulaciones de componentes que pueden quedar en

posición incorrecta o calibraciones erróneas. Son particularmente importantes las acciones
o errores que resulten en una falla concurrente de varias redundancias y que produzcan, por
lo tanto, fallas de causa común de origen humano.

8.3.2. Acciones humanas iniciadoras de accidentes. (Tipo 2)

Al cometer algún error, el personal puede originar una situación anormal o accidente.

Estas acciones tipo 2 están generalmente implícitas en la selección de los sucesos

iniciadores de la situación anormal o accidente y pueden estar incluidos en las bases de
datos de la frecuencia de estos eventos, aunque no siempre están identificados como
originados por causas humanas específicas. Debido a su identificación con los sucesos
iniciadores, en algunos estudios estas acciones son consideradas adicionando
contribuciones a la frecuencia del suceso iniciador, o asumiendo que tales frecuencias ya
contienen las contribuciones por causas humanas.

Es importante señalar que los errores más importantes son, no sólo los que precipitan una
secuencia accidental, sino también los que provocan al mismo tiempo la falla de sistemas
relacionados con la respuesta o mitigación de esos eventos. Es precisamente a esta
modalidad a la que se presta mayor atención dentro de este tipo de acciones.

146
8.3.3. Acciones post-accidentales.

Como su nombre lo indica, estas acciones tienen lugar una vez que ha ocurrido una
situación anormal y tienen como objetivo controlar la situación o mitigar sus
consecuencias. El resultado de estas acciones puede conducir al control de la situación o a
su agravamiento. Dentro de este grupo de acciones se distinguen los siguientes subgrupos:

Acciones tipo 3: Son aquellas que se llevan a cabo siguiendo los procedimientos y reglas
adecuados para la situación existente.

Acciones tipo 4: El personal de la instalación, intentando responder a una situación

anormal siguiendo procedimientos puede cometer un error que agrave la situación
existente al cambiar cuantitativamente el curso de los eventos. Esto puede ser resultado de
actos extraños de comisión o falla al tomar la acción requerida por una interpretación
errónea de la situación real.

Las acciones tipo 4 pueden ser consideradas como una especie de errores de comisión que
ocurren durante acciones tipo 3 o tipo 5 y son las acciones más difíciles de identificar y
modelar. La identificación de este tipo de interacción requiere de un estrecho trabajo entre
los analistas de sistemas y de fiabilidad humana. Existen además muy pocos datos para
predecir estos tipos de interacciones. Sólo con un análisis retrospectivo de tales eventos
pueden identificarse los que pudieran ocurrir.

Acciones tipo 5: Por medio de la improvisación el personal puede restaurar y operar

equipos inicialmente indisponibles y poner fin a la situación anormal o accidente.

Estas acciones se conocen también como acciones de recuperación y pueden. incluir la

recuperación del equipamiento previamente indisponible, o el uso de procedimientos no-
estándar que mejoren las condiciones del accidente. Las acciones tipo 3, 4 y 5 tienen en
común la necesidad de cierto proceso de diagnosis y el tiempo constituye un factor
determinante.

La Tabla 8.6-1 resume las características y efectos de los distintos tipos de acciones
humanas.

Tipo Descripción de la Acción Efecto que provoca

1 Manipulaciones y calibraciones durante la Indisponibilidad por posicionamiento
operación normal erróneo o calibración errónea
2 Acción humana que provoca un suceso Suceso iniciador
iniciador
3 Acción humana durante el accidente siguiendo Ejecución errónea o tardía de los
los procedimientos correctos procedimientos
4 Acción humana durante el accidente siguiendo Agravamiento de la situación
procedimientos erróneos
5 Acción humana durante el accidente mediante No recuperación de la situación
la improvisación para recuperar la situación
creada
Tabla 8.6-1. Características de las acciones humanas

147
8.4. Fiabilidad humana.

La fiabilidad humana es la probabilidad de que una acción humana requerida sea realizada
correctamente en el momento requerido (si existen limitaciones de tiempo).

Considerando que el error humano esta determinado por los límites de tolerancia que
establece el sistema, la definición de fiabilidad humana estará asociada a los conceptos de
fiabilidad y disponibilidad de los sistemas. En este sentido Swain [19] define la fiabilidad
humana como:

"la probabilidad de que una persona (1) realice correctamente una actividad requerida
por el sistema en un período de tiempo requerido (si el tiempo es un factor limitativo) y (2)
no realice acciones extrañas que puedan degradar el sistema".

Por su parte Meister y Evans definen la fiabilidad humana como:

la probabilidad de que se realicen las acciones humanas necesarias para lograr que el
sistema sea tanto fiable como disponible

entendiendo por fiabilidad la probabilidad de que se realice exitosamente la misión del

sistema y por disponibilidad la probabilidad de que el sistema o componente esté
disponible para su uso cuando sea requerido.

8.5. Análisis de fiabilidad humana.

El análisis de la fiabilidad humana es un método para estimar la fiabilidad humana. Su

objetivo es identificar y analizar las acciones del personal que interactúa con el sistema
(operadores, personal auxiliar, de mantenimiento, etc.) que pueden generar errores y
evaluar su impacto sobre la fiabilidad y disponibilidad del sistema.

El análisis de la fiabilidad humana es una herramienta independiente que se integra en los

estudios de confiabilidad y riesgo para una valoración completa del sistema, considerando
sus componentes mecánicos y humanos. Este tipo de análisis no sólo proporciona
información cuantitativa sobre los valores de la probabilidad de error humano, sino que
constituye una herramienta de evaluación cualitativa del sistema hombre-máquina. El
análisis de la fiabilidad humana permite un mejor conocimiento de:

- las condiciones de trabajo en que se desarrollan las acciones humanas,

- la carga mental a que están sometidos los operadores,
- las consideraciones de factores humanos en el diseño del sistema,
- la idoneidad de sus herramientas de trabajo (procedimientos, displays, etc.),
- la efectividad de la formación y entrenamiento del personal,
- la idoneidad de los controles administrativos y otros.

148
8.6. Probabilidad de error humano (HEP).

Como se indicó anteriormente, la probabilidad de error humano es uno de los resultados

que se obtienen del análisis de la fiabilidad humana. Esta probabilidad puede estimarse por
métodos estadísticos o juicios de expertos.

A partir de observaciones y datos reales, la probabilidad de error humano pudiera

determinarse como una frecuencia relativa de errores, es decir:

Lamentablemente en muchas industrias no existen sistemas organizados para la recolección

y tratamiento de los datos de errores humanos. Esto obliga a utilizar las bases de datos
existentes, ajustando los valores de HEP según las situaciones específicas que serán
analizadas.

A continuación se definen algunos de los tipos de probabilidad de error humano que serán
utilizados en estos capítulos:

Probabilidad de error humano básica (BHEP): Es la probabilidad de error humano en

una tarea que es considerada como una entidad aislada, es decir que no es afectada por
ninguna otra tarea.

Probabilidad de error humano condicional (CHEP): Es la probabilidad de un error

humano en una tarea específica, dado el éxito o falla de otra tarea.

Probabilidad de error humano conjunta (JHEP): es la probabilidad de error humano en

un trabajo compuesto por varias tareas o pasos y se determina utilizando las BHEP y CHEP
de cada tarea o paso.

Probabilidad de error humano nominal: Es la probabilidad de error humano sin

considerar la influencia de factores específicos que afectan al comportamiento humano.

8.7. Modelos del comportamiento humano.

Durante la primera etapa de los estudios de la fiabilidad humana prevaleció el enfoque

mecanicista sobre el comportamiento humano, lo que influyó en la concepción de los
modelos que se desarrollaron por esa época. Este enfoque se basaba en la apreciación sólo
de los aspectos externos de la acción humana, es decir, la recepción de un estímulo y la
respuesta a ese estímulo en forma de acciones pre-programadas. Por ello la atención se
centraba básicamente en las acciones relacionadas con las manipulaciones de componentes
y controles, o la implementación de procedimientos.

Investigaciones posteriores sobre el comportamiento humano desarrolladas a finales de los

años 70, provocaron un cambio en la percepción del comportamiento humano. Los trabajos
desarrollados por el grupo de Jens Rassmussen en el Riso National Laboratory de
Dinamarca, los avances de la psicología cognoscitiva y la experiencia de algunos

149
accidentes, particularmente el ocurrido en la Central Electronuclear de Three Mile Island
en 1979 en los EEUU, pusieron de manifiesto la influencia sobre el comportamiento
humano de determinadas funciones del hombre como la diagnosis y la toma de decisiones.
Surgieron entonces varios modelos del comportamiento humano, pero ha sido el modelo de
Rassmussen el que ha recibido más amplia aceptación y se ha utilizado en la mayoría de los
análisis de fiabilidad realizados hasta el momento. Por esta razón describiremos a
continuación los aspectos fundamentales de este modelo.

El modelo de comportamiento humano de Rassmussen divide el comportamiento humano

en tres categorías:

• Comportamiento Basado en la Destreza

• Comportamiento Basado en Reglas
• Comportamiento Basado en el Conocimiento

En la Figura 8.7-1 se representa una simplificación del modelo de Rassmussen.

Expliquemos brevemente cómo se define cada tipo de comportamiento.

8.7.1. COMPORTAMIENTO BASADO EN LA DESTREZA: Se caracteriza por una

estrecha relación entre los estímulos sensoriales que recibe el individuo y las acciones
humanas de respuesta a estos estímulos.

Es un comportamiento que no depende directamente de la complejidad de la tarea, sino del

nivel de entrenamiento y práctica que tiene el ejecutor en la realización de la misma. Este

150
tipo de comportamiento se percibe como una respuesta prácticamente "automática" del
ejecutor al producirse el estímulo, sin que medie un proceso de interpretación y
diagnóstico.

8.7.2. COMPORTAMIENTO BASADO EN REGLAS: Este comportamiento está

gobernado por ciertas reglas que el ejecutor conoce y que indican las acciones que deben
llevarse a cabo.

La principal diferencia con el comportamiento basado en la DESTREZA radica en el nivel

de práctica. De acuerdo a la Figura 8.7-1 el operador no reconoce inmediatamente el
estímulo y comienza un procesamiento de la información en la fase de "integración", para
seleccionar un procedimiento de actuación (escrito o almacenado en la memoria) y ejecutar
la acción, obteniendo el resultado deseado.

8.7.3. COMPORTAMIENTO BASADO EN EL CONOCIMIENTO: En situaciones

complejas e inusuales la actuación del operador dependerá de sus conocimientos y de su
habilidad para usar tales conocimientos. Es un comportamiento dominado por procesos
cognoscitivos más complejos.

De acuerdo a la representación de la Figura 8.7-1 en este tipo de comportamiento el

individuo recibe un estímulo, procesa la información en la fase de "integración" y como no
son evidentes las reglas que debe aplicar, comienza un proceso de interpretación de esa
información a partir de sus conocimientos, para formular una estrategia de acción y
seleccionar así los procedimientos a seguir, ejecutando finalmente una respuesta.

Es evidente que la potencialidad para la ocurrencia de errores humanos será menor en una
situación donde prevalece el comportamiento basado en la Destreza y mayor en los
restantes comportamientos.

En la Figura 8.7-2 aparece un esquema para apoyar a los analistas en la determinación de

los tipos de comportamiento.

151
 CAPITULO 9

FACTORES DE INCIDENCIA EN EL COMPORTAMIENTO.

TRATAMIENTO DE LAS DEPENDENCIAS HUMANAS.

Dada la importancia que tienen los factores de incidencia en el comportamiento humano y

las dependencias humanas dentro del Análisis de Fiabilidad Humana se ha dedicado el
presente capítulo a brindar una información general sobre estos temas.

9.1. Factores de Incidencia en el Comportamiento.

Los factores de incidencia en el comportamiento constituyen uno de los temas más

importantes dentro del análisis de fiabilidad humana, ya que ellos van a influir en las
probabilidades de error humano que serán utilizadas durante la cuantificación.

Se define como Factores de Incidencia en el Comportamiento (FIC) cualquier factor que

influya sobre el comportamiento humano y que, por lo tanto, afecte a la fiabilidad humana.

Los factores de incidencia en el comportamiento se dividen en tres clases:

• Factores externos a la persona.

• Factores internos de la persona.
• Causas de tensión.

Factores externos: Son los que definen las situaciones de trabajo del personal de la
instalación. Se dividen en tres grupos:

1-Características situacionales: Son factores genéricos a toda la instalación o que afectan a

varios trabajos o tareas en la instalación.

2-Características de la tarea y el equipo: Son factores específicos para un trabajo o una

tarea dentro del trabajo.

3-Instrucciones de tareas y trabajos: Son factores asociados a los documentos y materiales

de trabajo (procedimientos, comunicaciones orales y escritas, etc.). Aunque este grupo
pudiera considerarse parte del anterior, se trata de forma independiente ya que tiene un
peso muy importante y constituye un área que puede mejorar la fiabilidad humana, sin
gastos de grandes recursos.

Factores internos: Son factores relacionados con las características de las personas que
interactúan con el sistema tales como la destreza, habilidad, aptitud, etc.

Causas de tensión: La tensión (estrés) constituye un factor de incidencia en el

comportamiento interno, pero por su importancia se trata como un grupo aparte. Las causas
de tensión son fuerzas externas o internas que provocan tensión en la mente o en el cuerpo
de las personas. Por ello se dividen en causas de tensión psicológica y causas de tensión

152
fisiológica, aunque en ocasiones es difícil diferenciarlas, ya que la tensión en el individuo
puede producirse por una combinación de ambas causas.

A continuación se relacionan algunos de los factores de incidencia en el comportamiento

pertenecientes a los diferentes grupos.
- Factores de Incidencia en el Comportamiento.

1. FIC externos.

Características de la situación

Características arquitectónicas.
Características ambientales:
- temperatura, humedad, calidad del aire, iluminación, ruido y vibraciones,
- grado de limpieza general.
Horarios de trabajo/horarios de receso.
Disponibilidad y adecuación de equipos, herramientas y suministros generales.
Organización de turnos, número de operadores por turno.
Estructura de la organización. Autoridad, responsabilidades, canales de comunicación.
Acciones de supervisores, compañeros de trabajo y otro personal.
Recompensas, reconocimientos, estímulos, etc.

Características de equipos y tareas.

Requerimientos de percepción.
Requerimientos de movimiento:
- velocidad, resistencia, precisión
Relaciones control/display.
Requerimientos de anticipación.
Necesidades de interpretación.
Necesidades de decisiones.
Complejidad.
Delimitación del trabajo.
Frecuencia y repetitividad.
Criticidad de la tarea.
Necesidad de memoria a corto o largo plazos.
Necesidad de efectuar cálculos.
Retroalimentación de los resultados.
Actividades dinámicas o paso a paso.
Comunicación y estructura del equipo de trabajo.
Factores de la interfase hombre-máquina:
- diseño del equipo
- herramientas
- dispositivos especiales

Instrucciones del trabajo o la tarea

Requerimientos de uso de procedimientos, escritos o no.

Comunicaciones orales o escritas.
Métodos de trabajo.
Política de la Gerencia.

153
2. FIC internos.

Experiencia y preparación anterior.

Práctica actual.
Variables personales, inteligencia.
Motivación, actitud.
Estado emocional.
Actitudes basadas en influencias de la familia y otros factores.
Identificación con el grupo de trabajo.

3. Causas de tensión.

Factores psicológicos.

Aparición repentina de la causa.

Duración de la tensión.
Velocidad de trabajo.
Carga de trabajo.
Riesgo de trabajo.
Amenazas (de fallar, de perder el trabajo).
Trabajo monótono, sin importancia o interés.
Períodos largos de vigilancias sin ocurrencias.
Conflictos sobre el trabajo.
Distracciones (ruidos, etc.).
Señales inconsistentes.

Factores fisiológicos.

Duración de la tensión.
Fatiga.
Incomodidad y dolor.
Hambre o sed.
Temperatura.
Radiaciones.
Aceleraciones extremas.
Constricción de movimientos.
Insuficiencia de oxígeno.
Presión atmosférica extrema.
Falta de ejercicio físico.

La relación entre los tres grupos de factores de incidencia en el comportamiento se

representa en la Figura 9.1-1. Como puede apreciarse, cuando existe una correspondencia
adecuada entre los factores internos y externos la realización de la tarea será más confiable,
ya que existe un clima de tensión positivo. En caso contrario cuando no hay una
correspondencia adecuada entre los factores internos y externos se produce un esquema de
tensión negativa que puede provocar la falla de la acción.

154
 Fig. 9.1-1 Relación entre los tres grupos de Factores de Incidencia en
el Comportamiento.

Por la importancia de las causas de tensión sobre el comportamiento humano,

particularmente en actividades complejas o peligrosas, cuando además existen limitaciones
de tiempo para responder, como sucede al ocurrir una situación anormal, conviene
detenerse brevemente en el enfoque utilizado en THERP para el tratamiento de la tensión
psicológica en los estudios de análisis de fiabilidad humana.

Frecuentemente consideramos que la tensión psicológica (estrés) constituye un factor que

influye negativamente sobre la actuación o respuesta del individuo en una situación dada.
Hay que aclarar, sin embargo, que en ese caso nos estamos refiriendo fundamentalmente a
los casos de niveles altos de tensión psicológica, ya que es reconocido que ciertas
situaciones y actividades requieren de un determinado nivel de tensión para garantizar una
respuesta óptima. Por lo tanto, cierto nivel de tensión es en ocasiones no sólo deseable, sino
necesario.

155
 Fig. 9.1-2. Relación entre la efectividad de la respuesta y los niveles
de tensión psicológica.

En la Figura 9.1-2 se muestra un gráfico con la relación existente entre la efectividad de la

respuesta y los niveles de tensión. Para niveles altos de tensión como ocurre en ciertas
emergencias, la actuación de la mayoría de los individuos se deteriora considerablemente,
en particular si la causa de la tensión apareció repentinamente o la situación de tensión se
prolonga considerablemente. En el extremo opuesto, si el nivel de tensión es bajo, la
actuación humana resultará poco efectiva, ya que existe un ambiente de "adormecimiento"
que se traduce en un bajo nivel de la atención, por lo que la actuación humana no es
óptima.

Entre estos dos extremos existe un nivel óptimo de tensión, que varía según las tareas y los
individuos. Este nivel se caracteriza por un ambiente donde no hay aburrimiento ni
excesivas demandas sobre el individuo y la efectividad por lo tanto será óptima.

Aunque la curva de la gráfica muestra una relación continua entre la efectividad de la

respuesta y el nivel de tensión, resulta conveniente para los análisis de fiabilidad humana
representar esta relación en forma discreta de varios niveles. En el Handbook [19] se utilizó
una clasificación en 4 niveles, que puede servir de guía en otros estudios a partir de las
valoraciones correspondientes.

Los niveles de tensión utilizados en el Handbook, son:

1-Nivel de Tensión Muy Bajo

2-Nivel de Tensión Optimo
3-Nivel de Tensión Moderadamente alto
4-Nivel de Tensión Alto

Nivel de tensión muy bajo: Caracterizado por una carga de trabajo o de tensión que
provoca una insuficiente estimulación en la persona para mantenerse alerta. Esta situación

156
se observa en ciertas tareas de vigilancia, recorridos, chequeos visuales, etc.; en los que el
único objetivo es chequear si todo está como debe estar. Algunas tareas nocturnas, de poca
actividad se desarrollan bajo este nivel de tensión. Sin embargo, algunas tareas de
vigilancia donde se impone un requisito de revisión de un parámetro determinado en un
momento dado, pueden elevar un poco el nivel de atención.

El nivel de calificación también ejerce cierta influencia, ya que situaciones que provocan
bajo nivel de tensión en personal muy experimentado pueden provocar mayor tensión en
personal poco experimentado.

Para estas situaciones el Handbook recomienda multiplicar por un factor de 2, la

probabilidad de error humano nominal estimada para una situación de tensión óptima.

Nivel de tensión óptimo: Se caracteriza por una interacción activa entre la persona y el
medio (controles, displays, relaciones interpersonales, etc.) que permiten al individuo
maniobrar confortablemente. Excepto, cuando se indique, las HEP de la base de datos de
THERP están determinadas para condiciones óptimas de tensión.

Nivel de tensión moderadamente alta: Caracterizado por una carga de trabajo pesada,
donde el individuo actúa en condiciones cercanas o que superan su capacidad, provocando
cierta degradación en la realización de la tarea.

Con frecuencia este nivel de tensión se produce en situaciones donde hay restricciones de
tiempo. El nivel de calificación y experiencia también provoca variaciones en el nivel de
tensión, que produce una misma situación sobre diferentes individuos. Por otra parte,
resulta determinante el tipo de tarea que se debe realizar bajo este tipo de tensión, siendo
recomendable modificar los valores de HEP nominales por un factor de 2, para tareas paso
a paso y por un factor de 5, en tareas dinámicas.

Nivel de tensión alto: Se trata de una situación cualitativamente diferente al resto de los
niveles anteriores, ya que se incorpora un nuevo componente emocional: el sentimiento de
amenaza hacia la propia persona, bien en el orden físico, como en el plano profesional o
laboral.

Este nivel es característico de situaciones en las cuales las acciones del operador no tienen
el efecto requerido y el operador no logra poner la situación bajo control, comenzando a
sentirse amenazado, lo que provoca reacciones emocionales que resultan adversas al
comportamiento humano. En estos casos el nivel de preparación del individuo también
desempeña un papel importante en la capacidad de enfrentar esta situación, bajo este nivel
de tensión.

Lo señalado hasta aquí indica la necesidad de evaluar en cada caso los niveles de tensión
que se producen y adoptar valores de HEP, ajustados según las particularidades del proceso
que se evalúa y los criterios de expertos.

Para ilustrar cómo se modifican los valores nominales de las probabilidades de error
humano, considerando los factores de incidencia en el comportamiento veamos el siguiente
ejemplo de la Tabla 9.1-2.

157
 Tipo de Procedimientos
Procedimientos paso a paso Procedimientos dinámicos
Nivel de tensión Nivel de Preparación Nivel de Preparación
Experimentado Principiante Experimentado Principiante
Nivel de tensión HEP x 2 HEP x 2 -- --
muy bajo
Nivel de tensión HEP HEP HEP HEP x 2
óptimo
Nivel de tensión HEP x 2 HEP x 4 HEP x 5 HEP x 10
moderadamente alto
Nivel de tensión HEP x 5 HEP x 10 0.25 0.50
alto

Tabla 9.1-2. Modificación de los valores nominales de HEP según los tres tipos de
FIC.

9.2. Tratamiento de las dependencias.

Uno de los problemas mayores en el análisis de la fiabilidad humana está relacionado con
las dependencias, es decir, cómo la probabilidad de éxito o falla en una tarea influye en el
éxito o falla de otra tarea. Ello resulta indispensable para la determinación de las
probabilidades de error humano condicional (CHEP) y la correcta estimación de las
probabilidades de error humano conjuntas (JHEP). Por esta razón se intentará resumir las
cuestiones fundamentales en esta importante área del análisis de la fiabilidad humana,
enfatizando en el modelo de dependencia positiva recomendado en THERP [19].

Las dependencias pueden ocurrir entre individuos o en un mismo individuo. La

dependencia entre individuos es aquella que se produce entre dos personas vinculadas a una
misma tarea, como puede ser el ejecutor y el que revisa la realización correcta de un
realineamiento de válvulas. La dependencia en un mismo individuo es aquella que tiene
lugar entre dos tareas o pasos de una tarea realizada por una misma persona, como puede
ser el realineamiento de dos válvulas por un mismo operador.

Se distinguen dos tipos de dependencias:

Dependencia negativa: Implica una relación negativa entre acciones o eventos, o sea la
falla en una primera tarea reduce la probabilidad de falla de la segunda o el éxito de la
primera aumenta la probabilidad de falla de la segunda.

Por ejemplo, al fallar en una primera tarea se prestará mayor atención durante la ejecución
de la segunda, por lo tanto la probabilidad de éxito de la segunda tarea aumenta con la falla
de la primera.

Dependencia positiva: Implica una relación positiva entre las acciones o pasos, o sea la
falla de una primera tarea aumenta la probabilidad de falla en la segunda y viceversa, con
respecto a la probabilidad de éxito.

158
Existen varios métodos para estimar los efectos de dependencias en un análisis de
fiabilidad humana, tales como:

• El uso de datos reales de la experiencia operacional.

• La estimación directa utilizando criterios de expertos.
• El uso del modelo de dependencias positivas y otros.
Sin embargo, los dos primeros métodos requieren de la existencia de datos reales o niveles
de experiencia que pueden no estar disponibles al momento de realizar el análisis, por lo
que nos detendremos en el modelo de dependencia positiva. En caso de existir evidencias
de encontrarnos ante un caso de dependencia negativa, no podrá utilizarse este método y
deberán buscarse alternativas o asumir que no existe dependencia, lo que conllevará a
resultados más conservadores.

9.2.1. Niveles de dependencia.

Dos tareas o acciones son independientes cuando la probabilidad de falla de la segunda no
depende del éxito o falla de la primera. Este es un extremo que denominaremos nivel de
dependencia nula. El otro extremo o nivel de dependencia completa es cuando la falla de
la primera tarea conduce con certeza absoluta a la falla de la segunda.
Entre estos dos extremos existe un intervalo continuo de dependencias, que de forma
simplificada serán reducidos a tres puntos discretos y que denominaremos Dependencia
baja, Dependencia moderada y Dependencia alta.
Dependencia nula: Existe cuando la ejecución, o no-ejecución de una tarea no tiene efecto
sobre la ejecución, o no-ejecución de las tareas subsiguientes.

Aunque no es común la independencia absoluta entre las acciones humanas, se puede

asumir este nivel de dependencia cuando se considere que la dependencia es muy ligera o
insignificante que pueda asumirse como dependencia nula.
Dependencia baja: Es el nivel más pequeño de dependencia en este modelo. Se asigna este
nivel de dependencia cuando la influencia de la primera tarea no es significativa sobre la
segunda, pero no puede garantizarse una independencia total, es decir, dependencia nula.
Dependencia moderada: Es el nivel que debe utilizarse cuando la situación se encuentra
entre los niveles de Dependencia baja y Dependencia alta, pero no se ajustan a ninguno de
estos dos niveles.
Dependencia alta: Este es el nivel que se sitúa en el medio entre los niveles de Dependencia
nula y Dependencia completa. Una dependencia alta existe cuando la ejecución de una
primera tarea influye considerablemente en la tarea subsiguiente, pero no de forma
absoluta, es decir, que la segunda tarea puede tener éxito aunque la primera haya fallado.
Dependencia completa: Es el nivel que existe cuando la falla de la primera acción conlleva
a la falla de la segunda. Este nivel de dependencia es más común entre tareas realizadas por
una misma persona, que entre diferentes personas relacionadas con una misma tarea.
Esta clasificación de niveles de dependencia se utiliza fundamentalmente entre tareas o
acciones consecutivas, ya que las dependencias entre acciones más distantes entre sí
complicarían innecesariamente el análisis.

159
9.2.2. Cuantificación de las dependencias.

Una vez establecido el nivel de dependencia entre dos tareas o acciones, se utilizarán las
siguientes reglas para la cuantificación de la probabilidad de éxito o falla de la segunda
tarea, dado el éxito o falla de la primera tarea, es decir, la probabilidad de error humano
condicional:
1-Evaluar siempre el nivel de influencia de la tarea precedente sobre la tarea que se evalúe,
ya que los niveles de dependencias no se mantienen constantes en todos los pasos.

2-En caso de dudas entre dos niveles de dependencias, se recomienda escoger el mayor de
los dos niveles.

3-Evaluar las relaciones espaciales y temporales entre las tareas, ya que las dependencias
serán mayores entre eventos cercanos físicamente o en tiempo.

4-Evaluar las relaciones funcionales entre las tareas, ya que mientras mayor sea la relación
funcional, más alta será la dependencia.

5-Evaluar los niveles de tensión, ya que las dependencias entre el personal aumentan con el
nivel de tensión.

6-En caso de que la JHEP para dos tareas sea menor que 1.0E-6, cuando se trate de una
persona inspeccionando la ejecución de otra, o menor de 1.0E-5, para dos tareas
ejecutadas por una misma persona, se deberán reanalizar los niveles de dependencias ya
que probabilidades tan bajas son posibles, pero no frecuentes en fiabilidad humana.

7-En fiabilidad humana la dependencia es la regla, más que la excepción.

8-Debido a la subjetividad en la evaluación de las dependencias, se recomienda la

realización de análisis de sensibilidad para evaluar los efectos de diferentes suposiciones
sobre los niveles de dependencias.

Para la determinación de las probabilidades de error humano condicionales se utilizarán las

ecuaciones que indica la Tabla 9.2-1.

Nivel de Dependencia P[ x / y ]
Real Aproximado*
Nula P[x] = P P
Baja (1 +19P ) / 20 0.05
Moderada (1+ 6P ) / 7 0.14
Alta (1+P) / 2 0.50
Completa 1 1
* Cuando P = P [x] es menor de 0.01

Tabla 9.2-1. Ecuaciones para la estimación de las probabilidades de error humano

condicional.

160
 CAPITULO 10

THERP: UN METODO DE ANALISIS DE LA FIABILIDAD HUMANA

Aunque las técnicas de análisis de la fiabilidad humana han tenido una amplia difusión y
desarrollo en la industria nuclear con el auge de los análisis probabilísticos de seguridad de
las Centrales Electronucleares, éstas son técnicas de evaluación independientes que pueden
utilizarse en cualquier actividad industrial para la evaluación de diseños, o como parte de
estudios de confiabilidad, en lo referente a la consideración del componente humano.

Existen diferentes métodos y técnicas de análisis de la fiabilidad humana. En la referencia

[20] aparece una comparación entre varios de estos métodos. Como se señaló
anteriormente, se ha seleccionado el método THERP para ilustrar la forma de evaluación de
la fiabilidad humana, considerando su amplia utilización, aceptación y nivel de madurez
alcanzado. Esta técnica, concebida inicialmente para la industria nuclear, puede aplicarse a
otras industrias prácticamente de forma directa o con ligeras modificaciones, como han
señalado sus propios autores [19]. Su aplicación a otras industrias deberá estar precedida de
un conocimiento exhaustivo de esta técnica, sus características y limitaciones, a través del
estudio detallado del Handbook [19]. Esto permitirá al analista realizar los ajustes que
correspondan, según el tipo de industria y la situación de que se trate.

10.1. Origen de la técnica THERP.

THERP es el nombre con que se conoce este método, tomado de las letras iniciales en
idioma inglés: Thecnique for Human Error Rate Prediction. Surge como respuesta a una
pregunta de fiabilidad:

En una tarea bien definida ¿Cuál es la probabilidad de que el ejecutor de la tarea cometa
un error tal que conduzca a la falla de la tarea? [25].

Es una técnica concebida fundamentalmente para predecir las probabilidades de error

humano, con el objetivo de utilizarlas en estudios de fiabilidad o riesgo de sistemas
tecnológicos. Sin embargo, puede utilizarse también para evaluar la posible degradación de
un sistema hombre-máquina debido a errores humanos solamente, o relacionados con el
funcionamiento de equipos, los procedimientos operacionales u otra características
humanas o del sistema, que influyen en el comportamiento del mismo.

Los orígenes de THERP se remontan a los estudios desarrollados a finales de la década de

los años 50 en Sandia National Laboratories de Estados Unidos, dirigidos
fundamentalmente a la estimación cuantitativa de algunos aspectos humanos relacionados
con la fiabilidad de sistemas y componentes de la industria militar. Durante los años 60 esta
técnica es ampliada y refinada para permitir una consideración más detallada del elemento
humano en los estudios de fiabilidad de los sistemas tecnológicos. En 1975 fue utilizada
por primera vez en un estudio de riesgo para la industria nuclear, conocido como el Reactor
Safety Study (WASH-1400). A partir de esa fecha se ha utilizado ampliamente en los
análisis probabilísticos de la seguridad de Centrales Electronucleares en todo el mundo y su
posibilidad de aplicación a otras industrias la convierte en una de las técnicas más
conocidas en la actualidad.

161
10.2. Descripción del THERP.
Los autores del método THERP partieron de la analogía con las técnicas de análisis de
fiabilidad de sistemas, introduciendo las modificaciones necesarias para considerar la
variabilidad, impredecibilidad e interdependencia de la actuación humana, a diferencia de
la actuación de los equipos.
La técnica THERP utiliza el formato convencional del análisis de un sistema hombre-
máquina que se estructura en las siguientes etapas:
1-Definir las fallas del sistema que son de interés.
2-Enumerar y analizar las operaciones humanas, identificando los errores humanos que
pueden ocurrir y sus posibles modos de recuperación
3-Estimar las probabilidades de error humano.
4-Estimar los efectos del error humano sobre los eventos de falla del sistema.
5-Proponer cambios al sistema y recalcular las probabilidades de falla del sistema.
Este último paso se realizará en dependencia de la finalidad del estudio para el cual se
efectúa el análisis de fiabilidad humana.

Fig. 10.2-1. Procedimiento de THERP para el análisis de la

fiabilidad humana. (Ref. [19])

162
El proceso de análisis de fiabilidad humana utilizando THERP se ilustra gráficamente en la
Figura 10.2-1.

Como puede apreciarse, este procedimiento consiste básicamente de cuatro fases:

familiarización, evaluación cualitativa, evaluación cuantitativa e incorporación. A
continuación se analiza brevemente el contenido de cada fase.

Familiarización: El analista deberá obtener toda la información posible sobre el

funcionamiento del sistema, para definir aquellas funciones que pueden ser afectadas por
errores humanos y que requerirán de la estimación de las probabilidades de error.

Esta tarea de identificación de las acciones humanas se realiza de conjunto con los analistas
de sistemas y otros que se integren al estudio. El analista de fiabilidad humana deberá
además familiarizarse con los procedimientos de operación normal del sistema, incluyendo
los procedimientos de mantenimiento, calibraciones y pruebas. Deberá familiarizarse con
los procedimientos para situaciones anormales o de emergencia. Se recomienda la visita a
la instalación y realizar entrevistas con personal vinculado a los sistemas que se analizan.

Evaluación cualitativa: Se realiza un análisis cualitativo de las acciones humanas con

vistas a su cuantificación posterior.

Con el objetivo de reducir los esfuerzos que se requieren para este tipo de análisis, cuando
el número de acciones humanas identificadas resulta considerablemente alto, como en el
caso de estudios de gran complejidad, se puede realizar una selección de las acciones
humanas más importantes mediante la utilización de valores de barrido muy conservadores
para las probabilidades de error humano, que se utilizan en una cuantificación preliminar.
A partir de criterios de selección, que se establecen a priori, se determinarán las acciones
más importantes y para ellas se realizan estudios detallados, que permitan obtener valores
más exactos de probabilidades de error humano, manteniendo los valores de barrido en el
resto de las acciones no seleccionadas como importantes.

Todas las acciones identificadas durante la fase de familiarización, o seleccionadas como

importantes, se someten a un análisis cualitativo mediante el método del análisis de tareas y
el análisis del error humano. Se recomienda utilizar el método de talk through o walk
through como herramienta para conocer en detalle la acción humana y las condiciones y el
medio en que se realizan.

El análisis de tareas consiste básicamente en la identificación de todos los pasos de la tarea

y los diferentes factores relacionados con la actuación humana que inciden en la ejecución
de cada paso. Para cada paso se identifican, además, los tipos de errores que pudieran
ocurrir utilizando la clasificación de THERP. Durante esta fase deben además valorarse las
posibilidades de recuperación del error humano, ya que este factor puede reducir
considerablemente la probabilidad de error en la tarea.

El nivel de descomposición de la tarea durante la evaluación cualitativa dependerá de la

disponibilidad de datos de probabilidad de error humano, ya que para poder cuantificar será
necesario que exista un valor de HEP para cada elemento en que fue descompuesta la
tarea.

Esta fase concluye con la construcción del Arbol de Eventos del Análisis de Fiabilidad
Humana (AEAFH), una herramienta básica para la modelación de la acción humana cuya
descripción se abordará posteriormente.

163
Evaluación cuantitativa: El objetivo de esta fase es la obtención de la probabilidad de
error humano total de una tarea, utilizando los diagramas de los AEAFH y los valores
estimados de HEP para cada paso de la tarea representado en el árbol.

Los valores de HEP a utilizar en esta fase se toman preferiblemente de la base de datos de
THERP, contenida en el capítulo 20 del Handbook [19], aunque pueden utilizarse otras
fuentes como son los datos derivados de los registros de incidentes, las pruebas en
simuladores o datos de juicios de expertos.

Incorporación: Incluye la incorporación de los resultados de la cuantificación del análisis

de fiabilidad humana en el análisis del sistema, para determinar la contribución del error
humano a la falla del sistema.

De acuerdo a los objetivos del estudio pueden realizarse análisis de sensibilidad, para
determinar cómo la disponibilidad o fiabilidad del sistema pueden mejorarse con la
reducción de la probabilidad error humano.

10.3. Arbol de Eventos del Análisis de la Fiabilidad Humana. (AEAFH)

El AEAFH es un diagrama lógico que se utiliza para representar las diferentes subtareas o
pasos en que se descompone una tarea principal, que permita estimar valores de HEP para
la cuantificación final.

El AEAFH utiliza la metodología del árbol de probabilidades, por lo que resulta compatible
con las técnicas convencionalmente utilizadas en los análisis de fiabilidad de sistemas. En
la Figura 10.3-1 aparece una representación de este árbol.

En el AEAFH se utiliza un enfoque binario de cada nodo de decisión, es decir, el éxito o

falla durante la ejecución de la tarea. De esta forma cada bifurcación tiene su probabilidad,
siendo la suma de ambas ramas igual a uno.

Las probabilidades de la actuación humana que se asignan a cada bifurcación del árbol,
excepto la primera, constituyen probabilidades condicionales, es decir, dependientes del
éxito o falla durante la ejecución del paso anterior. Para la primera bifurcación se asignan
probabilidades básicas si el árbol no es la continuación de otro árbol, caso en el cual se
asignarán valores de probabilidad condicional.

A continuación se describe la simbología recomendada en THERP para los AEAFH, sin

embargo, cada analista puede crear su propia simbología, siempre que garantice la
coherencia en la representación.

Con letras mayúsculas romanas entre comillas se representa una tarea o evento
determinado. Esas mismas letras, pero sin comillas, representarán la falla en dicha tarea y
con letras minúsculas quedara representado el éxito de la misma. Por ejemplo, la tarea "B"
consiste en la apertura de una válvula de accionamiento manual, representándose en el
árbol como B la falla del operador a abrir la válvula cuando se requiera, es decir, la
actuación incorrecta del operador al realizar la tarea "B". Como b se representa la acción
correcta del operador.

Considerando las dependencias que se producen durante las operaciones humanas, en

ocasiones se representan las tareas utilizando la simbología B/a, es decir, falla de la tarea

164
"B" dado que se produjo el éxito de la tarea "A", aunque puede utilizarse sólo la letra de
la tarea, asignándole siempre los valores de HEP condicional.

Con la letra F (del inglés fault) se representa el punto final de un camino de falla en el
árbol y con la letra S (del inglés success) el camino que conduce al éxito.

Fig. 10.3-1. Arbol de Eventos del Análisis de la Fiabilidad Humana.

Una vez construido el AEAFH y asignados los valores de HEP correspondientes en cada
bifurcación, considerando los factores de incidencia en el comportamiento y las
dependencias, se procede a la cuantificación total del árbol. Para ello resulta necesario
definir el tipo de sistema que representa el árbol.

Existen dos tipos de sistemas o configuraciones: PARALELO y SERIE. La definición de

ambas configuraciones y las ecuaciones correspondientes para determinar las

165
probabilidades de éxito o error humano se exponen a continuación, utilizando el AEAFH
de la Fig. 10.3-1.

Sistemas en serie: Es aquel sistema que requiere que todas las acciones o pasos de la tarea
sean ejecutados correctamente para que la tarea sea exitosa. Sus ecuaciones de éxito y falla
son:
Probabilidad de éxito humano: Pr[S] = a (b/a)

Probabilidad de falla humana: Pr[F] = 1 - Pr[S]

= a(B/a) + A(b/A) + A(B/A)
Sistemas en paralelo: Es aquel sistema que falla si todas las acciones humanas son
ejecutadas incorrectamente, es decir, que el sistema tiene éxito si al menos una de las
acciones humanas es ejecutada correctamente. Sus ecuaciones de éxito o falla serán:

Probabilidad de éxito humano: Pr[S] = 1-Pr[F]

= a(b/a) + a(B/a) + A(b/A)

Probabilidad de falla humana: Ps[F] = A (B/A)

10.4. Datos de fiabilidad humana. Base de datos de THERP.

La ausencia de datos suficientes sobre el comportamiento humano constituye uno de los
principales problemas para los análisis de fiabilidad humana. Son pocas las industrias que
disponen de sistemas de colección de datos sobre el error humano y, con frecuencia, las
bases de datos existentes no están dirigidas o no cubren los requerimientos para todos los
tipos de datos que se necesitan en un análisis de la fiabilidad humana. Por otra parte, no
siempre se logra obtener la población suficiente de datos sobre determinadas acciones
humanas, o en otros casos los errores son ocultados por el propio personal ante el temor a
sanciones o debido a que las propias empresas los consideran secretos comerciales, todo lo
cual dificulta aún más la obtención o el acceso a una amplia cantidad de datos. Además, la
organización y procesamiento de datos requiere de determinados controles administrativos
y gastos que pueden resultar inaceptables para ciertas empresas.
La preocupación por los datos de errores humanos se hizo creciente con el auge y
estandarización de las diferentes metodologías de análisis de fiabilidad humana y a la
necesidad de este tipo de estudio, como parte de las evaluaciones de confiabilidad y riesgo,
que se acometieron en varias industrias, fundamentalmente a partir de los años 80.
Las primeras bases de datos sobre el error humano satisfacían los modelos y enfoques que
existían inicialmente sobre el comportamiento humano, basados fundamentalmente en la
interpretación mecanicista, por lo tanto son datos básicamente sobre manipulaciones y
utilización de procedimientos.
Al producirse el cambio en la percepción sobre el comportamiento humano, considerando
los procesos cognoscitivos, surgen nuevos modelos y la necesidad de un nuevo tipo de dato
dependiente del tiempo. En los últimos años varios centros especializados en diferentes
países han iniciado proyectos de investigaciones para conformar bases de datos sobre
errores humanos, considerando estos dos tipos de datos. No obstante, aún las bases de datos
no abundan y se sigue considerando que las mayores fuentes de datos para los análisis de
fiabilidad humana son:

166
- los datos experimentales,
- los simuladores,
- la experiencia operacional.

Ante la ausencia de datos, el enfoque a adoptar consiste en descomponer las acciones en

pequeñas unidades, para las cuales se buscan datos o se estiman a partir de criterios de
expertos, y posteriormente se recombinan para derivar las probabilidades de error humano
en la tarea o acción global.

Dado que el método que estamos utilizando es el THERP, nos referiremos brevemente a la
base de datos que utiliza este método.

La base de datos de THERP fue elaborada para su uso en análisis de fiabilidad humana de
Centrales Electronucleares. Sin embargo, la casi total ausencia de datos en esa industria
obligó a utilizar otras fuentes para derivar datos que pudieran utilizarse con estos fines.
Algunas de las fuentes utilizadas fueron:

- las propias centrales nucleares,

- los simuladores,
- las industrias de procesos,
- las bases de datos de la industria militar,
- experimentos y estudios de campo,
- experimentos con tareas artificiales.

En algunas ocasiones los datos de la industria militar y la industria de procesos se utilizaron

directamente debido a su similitud con las tareas de la industria nuclear.

Esta particularidad permite considerar la posibilidad de utilizar la base de datos de THERP

en estudios de fiabilidad humana en otras industrias, mediante un análisis cuidadoso de las
similitudes y diferencias entre la tarea que se analiza y la tarea que se describe en la base de
datos de THERP. El Capítulo 20 del Handbook [19] brinda una información resumida de
todas las tablas de datos de THERP y un procedimiento para su utilización rápida. No
obstante, es recomendable que la utilización de cualquiera de estos datos en estudios para
otras industrias esté precedido del estudio del capítulo correspondiente del Handbook
donde se explica la forma en que fueron estimados esos datos para poder establecer las
similitudes y diferencias con la situación que evaluamos y realizar los ajustes
correspondientes.

10.4.1. Utilización de la base de datos de THERP.

En la Tabla 10.4.1-1 aparece una guía para el uso de las tablas de la base de datos de
THERP. Algunas recomendaciones sobre estos datos son las siguientes:

1-Las HEP de las tablas de THERP son valores nominales, es decir, sin la consideración de
los FIC, ni factores de recuperación.

2-Los valores de HEP nominales deben ser modificados según los FIC específicos,
considerando las tablas correspondientes del Capítulo 20 del Handbook [19].

3-Los valores de HEP son para una persona y deben ser modificados según el modelo de
dependencia, si intervienen varias personas.

167
4-Dentro de cada tabla el analista seleccionará el valor de HEP que más se corresponda con
la situación que analiza.

5-Cada valor de HEP en las tablas representa un estimado puntual con un factor de error
(EF) que se determina de la forma siguiente:

Donde:

L S I - es el Límite Superior de Incertidumbre

L I I - es el Límite Inferior de Incertidumbre

De forma simplificada se pueden estimar los Límites de Incertidumbre a partir del Factor
de Error como sigue:

Límite inferior de incertidumbre: L I I = HEP / FE

Límite superior de incertidumbre: L S I = HEP x FE

168
 AREA TEMA No DE LA TABLA
NUREG / CR- 1278
Barrido Diagnosis 1
Acciones basadas en Reglas 2
Diagnosis Diagnosis Nominal 3
Personal en Sala de Control tras el Accidente 4
Errores de Omisión Materiales Mandatorios Escritos
Preparación 5
Control Administrativo 6
Aspectos del Procedimiento 7
Materiales no Escritos
Controles Administrativos 6
Aspectos del Procedimiento 8
Errores de Comisión Displays
Selección del Display 8
Lectura y Registros Cuantitativo 9
Lectura del Chequeo Cuantitativo 10
Uso/Selección de Controles y Válv. Motorizadas 11
Válvulas Operadas Localmente
Selección de la Válvula 12
Detección de Válvula Atascada 13
Factores de Niveles de Etiquetado 15
Incidencia en el Stress / Experiencia 16
Comportamiento Dependencias 17, 18, 19
Otros Factores de Incidencia en el Ver el texto de
Comportamiento NUREG / CR-1278
Límites de Estimación de Límites de Incertidumbres 20
Incertidumbres HEP y Límites de Incertidumbres Condicionales 21
Factores de Errores del Verificador 22
Recuperación Señales de Anuncio 23,24
Chequeo de Salas de Control 25,26
Inspecciones de Recorrido 27

Tabla 10.4.1-1. Guía para la utilización de las tablas de HEP del Handbook. ( Ref. [19] )

169
 CAPITULO 11

CONSIDERACIONES ADICIONALES SOBRE LOS ERRORES

PRE-ACCIDENTALES Y POST-ACCIDENTALES.

Antes de finalizar este texto, donde se han expuesto algunos temas importantes sobre la
fiabilidad humana, se abordarán dos aspectos de interés. En primer lugar resultará útil,
considerando el objetivo de este curso, explicar brevemente los aspectos relacionados con
la Indisponibilidad de equipos y sistemas debido a errores humanos, nuevamente a partir
del enfoque utilizado en el Handbook [19]. El segundo tema está vinculado al tratamiento
de los errores humanos en tareas post-accidentales, específicamente lo referente a la
consideración de los procesos cognoscitivos, cuestión sumamente importante dentro del
análisis de la fiabilidad humana para estos casos.

11. 1. Indisponibilidad por causas humanas.

Como se ha señalado anteriormente las acciones humanas relacionadas con los

mantenimientos, pruebas, realineamientos operativos, calibraciones y otras actividades de
operación normal pueden provocar indisponibilidades de equipos al dejarlos en posición
incorrecta, desconectados o en otras condiciones que los inhabilitan para su funcionamiento
normal cuando sean demandados.

La indisponibilidad que se produce por estas causas será una función de la probabilidad de
error humano, la probabilidad de no-recuperación del error y el tiempo medio que el
componente permanece en estado fallado antes de ser restaurado.

Veamos como se determina la indisponibilidad por error humano según el Handbook [19] .

11.1.1. Indisponibilidad de origen humano.

La indisponibilidad de origen humano, U, es la probabilidad de que un componente o

sistema esté inoperable o no pueda operar cuando sea demandado, debido a un error
humano y se determina como:

170
donde:
p- es la probabilidad del error humano que provoca la indisponibilidad del componente.
d- es el tiempo medio en que el componente o sistema está indisponible para operar dentro
de un período de tiempo determinado, dado que se produjo el error humano.
T- Período de tiempo de interés para estimar la indisponibilidad.
Es importante señalar que esta expresión de la indisponibilidad es aplicable solo cuando la
probabilidad a permanecer en estado indisponible es independiente del tiempo, es decir, en
condiciones de estado estacionario. Esta suposición, por supuesto no aplica a todas las
situaciones, por lo que cuando se evalúe un caso de indisponibilidad dependiente del
tiempo se requerirá otro tipo de tratamiento.

La probabilidad de error humano, p, se calcula de la forma siguiente:

p=E·R [2]

donde:

E- es la probabilidad del error humano que provoca la indisponibilidad

R- es la probabilidad de no recuperación del error humano.

La indisponibilidad de un componente o sistema puede mantenerse sin detectarse hasta

tanto se demande su funcionamiento o se realicen operaciones de verificación directa o
indirecta del estado del equipo. Las actividades de verificación se dividirán en
verificaciones activas y pasivas. Como verificaciones activas se consideran aquellas
actividades que detectarán, con absoluta certeza, la indisponibilidad del equipo, como
puede ser una prueba periódica. Como verificación pasiva se define a aquellas actividades
que pueden o no detectar el estado indisponible del equipo, como pueden ser las
inspecciones de rutina o chequeos visuales.

En caso de no existir verificaciones pasivas, el tiempo medio d será igual al tiempo total T.
En caso contrario, es decir, cuando existen verificaciones pasivas el tiempo medio de
indisponibilidad se determina como:

donde:

m- es el número de verificaciones pasivas entre verificaciones activas

hi- es el número de horas de los intervalos entre verificaciones sucesivas
Ci- es la probabilidad de no-detección del estado indisponible durante la verificación
pasiva

171
El ejemplo a continuación ilustra la utilización de estas ecuaciones.

11.1.2. Ejemplo del cálculo de la indisponibilidad debido a errores humanos.

Para ilustrar la utilización de las fórmulas indicadas en el epígrafe anterior, analicemos el

ejemplo siguiente. Supongamos que un equipo de reserva quedó indisponible debido a un
error humano al realinearlo a su posición normal tras la prueba. Las pruebas del equipo se
realizan cada 28 días. Semanalmente se realiza una inspección de todos los equipos. Se
asume que estos chequeos son idénticos e independientes y que la probabilidad de falla a
detectar el estado indisponible del equipo durante el chequeo es de 0.01 para cada chequeo.
La Figura 11.1.2-1 representa los diferentes parámetros a considerar.

Fig. 11.1.2-1. Distribución de los tiempos entre pruebas.

Determinemos el tiempo medio total de indisponibilidad del equipo dt como:

dt = h 1 + C1 · h 2 + C1 · C2 · h 3 + C1 · C2 · C3 · h4
= 168 + (0.01 x 168) + (0.01 x 0.01 x 168) + (0.01 x 0.01 x 0.01 x 168)
= 169.7

Asumimos que la probabilidad de error del operador en la prueba que provoca la

indisponibilidad del equipo será E = 0.01. Inmediatamente después de la prueba se realiza
un chequeo con procedimientos por otro operador para verificar que el equipo quedó en
estado correcto. La probabilidad de falla en esta operación ( R ) la estimamos como 0.1.
Por lo tanto la probabilidad a dejar el equipo en estado indisponible tras la prueba será de :

p= E· R
= (0.01) · (0.1)
= 0.001

172
Sustituyendo estos valores en la ecuación (1) obtenemos:

U = p · dt / T
= (0.001) · (169.7) / 672
= 0.00025 = 2.5 E-4

En caso de no existir chequeos entre las pruebas, la indisponibilidad U será igual a p, es

decir, igual a 0.001.Por lo tanto la realización de verificaciones pasivas conduce, para este
ejemplo, a la disminución de la indisponibilidad en un factor de 4.

11.2. Errores cognoscitivos.

Como se indicó en capítulos anteriores, el enfoque actual sobre el comportamiento humano

reconoce el papel que juegan las funciones de diagnosis del Hombre en su desempeño
durante la ejecución de tareas.

La consideración de los procesos cognoscitivos en el Hombre resulta importante durante la

evaluación de la fiabilidad humana ante eventos anormales, como puede ser una situación
accidental que requiere del individuo un proceso de diagnóstico y decisión para enfrentar el
problema. En estas situaciones, factores tales como el estrés y las limitaciones de tiempo
para llevar a cabo la respuesta necesaria influyen considerablemente sobre la fiabilidad
humana.

Por esta razón la estimación de las probabilidades de error humano en las acciones post-
accidentales resulta una tarea de mayor complejidad. Para facilitar su análisis las tareas
post-accidentales se dividen en tareas de diagnosis y tareas post-diagnosis o manuales,
como también se les denominan en algunos estudios.

Las tareas de diagnosis están determinadas por la probabilidad de realizar un diagnóstico

correcto de una situación dada, dentro de un límite de tiempo determinado, para permitir la
realización de las acciones post-diagnosis requeridas. Esta fase resulta determinante para
garantizar la respuesta exitosa. Las tareas post-diagnosis son interpretadas como acciones
organizadas y planificadas en la etapa de diagnosis y que van a ser ejecutadas de forma
“mecánica”, siguiendo un orden preestablecido.

Por ello el tratamiento de los errores humanos durante las tareas de diagnosis y en la fase
manual será diferente y se utilizarán distintos métodos de análisis que consideren los
factores que influyen y las particularidades en cada caso. Las acciones manuales son
generalmente analizadas utilizando métodos como la técnica THERP descrita en el capítulo
anterior.

La evaluación de las tareas de diagnosis, por su parte, requiere de una evaluación que
considere el efecto que produce la limitación del tiempo disponible sobre el éxito de la
respuesta humana. Por ello se han elaborado diversos métodos a partir de correlaciones
fiabilidad/tiempo disponible que se utilizan en los estudios actuales de fiabilidad humana,

173
para determinar la probabilidad de error humano en la etapa de diagnosis y, conjuntamente
con la probabilidad de error humano en las tareas de post-diagnosis, estimar la probabilidad
de error humano en la respuesta total a la situación accidental.

Para la determinación del tiempo disponible para la diagnosis es necesario realizar los
cálculos correspondientes de los procesos que tienen lugar y las mediciones reales de los
tiempos que consume cada acción humana. En la figura 11.2-1 aparece un esquema que
ilustra la ubicación de los diferentes tiempos que deben determinarse.

Fig. 11.2-1. Ubicación del tiempo disponible.

Donde:

T0 - Momento en que se produce un suceso anormal ha ocurrido.

Ti- Tiempo desde la iniciación del suceso anormal hasta que aparece la primera indicación
al operador

Ta- Momento en que aparece la primera indicación al operador

Tf - Momento final en que se producirá el daño o evento no deseado si no se emprendieron

acciones al aparecer la alarma.

Tiam - Momento en que deben iniciarse las acciones manuales requeridas para evitar que se
produzca el daño o evento no deseado.

Tam- Tiempo requerido para las acciones manuales. Este tiempo debe estimarse
considerando el tiempo físico que consumen las acciones manuales propiamente y el
retardo del efecto de esas acciones manuales.

Tt - Tiempo máximo disponible para responder al evento ocurrido antes de que se produzca
el daño.

Td - Tiempo disponible para la diagnosis.

174
 Td = Tt - Ti - Tam

Una vez estimado el tiempo disponible para la diagnosis, se aplican otros métodos para
considerar factores tales como el estrés, la calificación de los operadores, la calidad de las
interfases hombre máquina, el tipo de comportamiento predominante y otros que inciden en
la fiabilidad humana, y finalmente se estima la probabilidad de error humano durante las
tareas de diagnosis. En la Figura 11.2-2 aparece un ejemplo de las curvas de fiabilidad-
tiempo disponible que se utilizan en estas evaluaciones.

Fig 11.2-2. Curva fiabilidad / tiempo disponible. ( Ref. [34] )

11.3. Comentario final.

Como se ha podido apreciar la evaluación y análisis del comportamiento humano en los

estudios de confiabilidad tiene similitudes con los enfoques de la fiabilidad de equipos,
pero resulta un proceso más complejo y con mayores incertidumbres, siendo aún
determinantes los juicios de los analistas en la estimación de los datos y la evaluación de
todos los factores que afectan al comportamiento humano en una situación dada. Por ello es
importante que este tipo de evaluación se acometa después de una preparación y
adiestramiento previos en la tecnología de la fiabilidad humana.

175
 CAPITULO 12

EJEMPLO DE ESTIMACION DE LA PROBABILIDAD DE ERROR

HUMANO

En el presente capítulo se presenta un ejemplo de estimación de la probabilidad de error

humano, utilizando el método THERP, a partir de un ejercicio tomado de la referencia [30]
con algunas modificaciones.

En la Figura 12.1-1 aparece el esquema simplificado del sistema objeto de análisis. El

sistema está compuesto por una bomba B, que se mantiene en reserva para el suministro de
agua a un consumidor A desde una fuente F en determinados escenarios. En las líneas de
succión y descarga de la bomba se encuentran dos válvulas motorizadas, V1 y V2,
normalmente abiertas. En la descarga se encuentra además un medidor de flujo M. El
sistema cuenta con un lazo de prueba donde se encuentran ubicados una válvula manual V3
normalmente cerrada y un tanque T.

La tarea consiste en estimar la probabilidad de error humano, que provoca la

indisponibilidad del sistema tras la prueba.

Solución

1-Revisaremos inicialmente el procedimiento para la prueba que consta de 9 pasos. A

continuación se describen simplificadamente los pasos del mismo:

176
 1ro- Poner la bomba B en régimen MANUAL
2do- Cerrar las válvulas motorizadas V1 y V2
3ro- Abrir la válvula manual V3 en la línea de prueba
4to- Arrancar la bomba B
5to- Pasados 10 minutos registrar el caudal en la línea de descarga de la bomba B
6to- Parar la bomba B
7mo- Cerrar la válvula manual V3 en la línea de prueba
8vo- Abrir las válvulas motorizadas V1 y V2
9no- Retornar la bomba B a régimen AUTOMATICO.

Del análisis del procedimiento podemos establecer lo siguiente:

• El sistema quedará indisponible tras la prueba si se produce alguna de las dos

situaciones siguientes:

1-Todas las válvulas no son retornadas a su posición de operación normal al concluir

la prueba, que es como se indica a continuación:

V1 Abierta
V2 Abierta
V3 Cerrada

2- La bomba B queda en modo MANUAL.

• En el procedimiento solo los pasos del 7 al 9 serán decisivos para la disponibilidad del
sistema tras la prueba periódica. Los pasos anteriores solo afectarán la realización de la
prueba, por lo que no serán considerados en el análisis.

• El procedimiento tiene menos de 10 pasos.

2-Después de las entrevistas con el personal y los recorridos por las áreas relacionadas con
la prueba a través del talk-through y el walk-trough se pudieron determinar algunos
factores y características de los equipos y situaciones de trabajo, que resultan necesarios
para la estimación posterior de los valores de HEP:

• El nivel de etiquetado que se utiliza en la instalación puede evaluarse como nivel 2.

(Tabla 20-15, Ref. [19]. Ver Anexos ).
• La prueba es una operación de rutina por lo que el nivel de estrés se considera óptimo.
• Para realizar la prueba se utilizan procedimientos escritos que no tienen sistema de
chequeo.
• El personal vinculado a la prueba tiene una experiencia mayor de 6 meses.
• Las válvulas motorizadas V1 y V2 y la bomba B se manipulan desde un panel de
control a través de sus respectivos controles.
• Los controles de las válvulas motorizadas son del tipo que requieren mantenerse
presionados hasta que finalice el movimiento de la válvula. Se encuentran ubicados

177
 entre otros controles aparentemente similares, diferenciados solo por su identificación.
Los controles están ampliamente separados por lo que se requieren dos actos
independientes. Se asume, por lo tanto, dependencia nula entre estas dos
manipulaciones.
• El control de la bomba para el cambio de régimen se encuentra situado entre otros
controles similares, diferenciados solo por su identificación, y que pueden coincidir en
la misma posición durante la prueba de la bomba B.
• La válvula manual esta situada junto a otras válvulas manuales de formas y tamaños
similares, con indicaciones no claras y ambiguas. Es una válvula de vástago saliente sin
indicador de posición.

3-A continuación se analiza cada paso del procedimiento relacionado con el objetivo de
este análisis, es decir, los pasos 7, 8 y 9 para descomponerlos en subtareas, identificar los
posibles errores, construir el Arbol de Eventos del Análisis de Fiabilidad Humana,
asignar los valores estimados de HEP considerando los Factores de Incidencia en el
Comportamiento, los niveles de dependencias y otros factores y finalmente proceder a la
cuantificación. Los resultados de todo este proceso aparecen a continuación.

Pas Tarea Designación de la falla HEP FE No. de la Tabla *

o NUREG / CR 1278
7 “A” Omisión del paso 7 del procedimiento 0.003 3 20-7 (3)
“B” Falla al seleccionar la válvula manual
V3 0.008 3 20-13 (4)
“C” Falla a detectar el no cierre de la
válvula manual V3 0.005 3 20-14 (3)
8 “D” Omisión de la apertura de la válvula
motorizada V1 0.003 3 20-7 (3)
“E” Falla al seleccionar el control de la
válvula motorizada V1 0.003 3 20-12 (2)
“G” Falla a abrir totalmente la válvula
motorizada V1 0.003 3 20-12 (10)
“H” Omisión de la apertura de la válvula
motorizada V2 0.003 3 20-7 (3)
“I” Falla al seleccionar el control de la
válvula motorizada V2 0.003 3 20-12 (2)
“J” Falla a abrir totalmente la válvula
motorizada V2 3 20-12 (10)
9 “K” Omisión del paso 9 del procedimiento 0.003 3 20-7 (3)
“L” Falla al seleccionar el control del
régimen de la bomba. 0.003 3 20-12 (2)
* Las tablas utilizadas en este ejemplo aparecen en los anexos

Tabla 12.3-1. Resultados del análisis cualitativo y la estimación de las HEP.

178
En la Figura 12.3-2 aparece el Arbol de Eventos del Análisis de Fiabilidad Humana para
este ejemplo. La cuantificación final de la probabilidad de error humano durante la
realización de la prueba, que conduce a la indisponibilidad del sistema se determina de la
forma siguiente:

FT = F1 + F2 + F3 + F4 + F5 + F6 + F7 + F8 + F9 + F10 + F11

= A + aB + abC + abcD + abcdE + abcdeG + abcdegH + abcdeghI + abcdeghijK +

+abcdeghijkL

= 0.003 + 0.008 + 0.005 + 0.003 + 0.003 + 0.003 + 0.003 + 0.003 + 0.003 + 0.003 +
+0.003

= 0.04

FT = 4 E-02

179
Fig. 12.3-1. Arbol de Eventos del Análisis de Fiabilidad Humana.

180
 BIBLIOGRAFIA

1-A.D. Swain and H.E. Guttmann. Handbook of Human Reliability Analysis with
Emphasis on Nuclear Power Plant Applications. NUREG/CR 1278, 1983, USA.

2-Human Reliability Assessors Guide. Edited by P. Humphreys. Safety and Reliability

Directorate, 1988, UK.

3-GDA/APS.Confiabilidad de Sistemas para el Mantenimiento Industrial. Curso de

postgrado. Escuela Superior de Cuadros del MINBAS, Cuba, 1995.

4-J. Muñoz Blasco. Conferencia sobre Análisis de Fiabilidad Humana. Empresarios

Agrupados, 1990, España.

5-Curso de Análisis Probabilista de la Seguridad del OIEA. 1986, España.

6-Curso de Análisis Probabilista de la Seguridad del OIEA. 1988, España.

7-E. M. Dougherty, Jr and J.R. Fragola. Human Reliability Analysis, A Systems

Engineering Approach with Nuclear Power Plant Applications, 1988, USA.

8-G. J. Caruso. Importancia de los factores humanos en la seguridad de las instalaciones

nucleares. CNEA. Revista Seguridad Radiológica No 1, Sept. 1990, Argentina.

9-EPRI. Systematic Human Action Reliability Procedure (SHARP). EPRI 3583, 1984,
USA.

10-A. Creus Sole. Fiabilidad y Seguridad de los procesos industriales. Colección

Marcombo, serie 49 "Productica" Boixareu Editores.

11-Human Reliability Associates LTD. Practical Techniques for assessing and reducing
human error in industry. 1990, UK.

12-Bell, B. J. y Swain A. D. A Proocedure for Conducting a Human Reliability Analysis

for Nuclear Power Plants. NUREG /CR-2254. 1983. USA.

13-P. R. Mondelo, E. Gregori Toreda y P. Barrau Bombardo. Ergonomía 1. Fundamentos.

Ediciones UPC . 1994, España.

14-American Nuclear Society. Winter Meeting, Washington, Nov 13-17, 1994.

Transactions, 1994, USA.

15-A. I. Gómez Cobo. Human Reliabilty Analysis Lecture, IAEA, 1993.

16-NUREG-3010 “Post Event Human Decision Errors: Operator Action Tree/Time-

Reliability Correlation.” 1982, USA.

181