libro gerencia en mantenimiento

Genaro Mosquera CastellanosJosé de Jesús Rivero Oliva

Jesús Salomón LlanesConrado Valhuerdi Debesa

Antonio Torres ValleManuel Perdomo Ojeda

CENTRO DE ALTOS ESTUDIOS GERENCIALES ISIDCaracas, Venezuela 1995

DISPONIBILIDAD Y CONFIABILIDADDE SISTEMAS INDUSTRIALES

CENTRO DE ESTUDIOS GERENCIALESINSTITUTO SUPERIOR DE INVESTIGACION Y DESARROLLO

Caracas - Venezuela.Mayo de 1995

Copyright, 1995.ISBN 980 00 0889 62ª. Edición Adaptada comoherramienta computacional.

Centro de Altos Estudios Gerenciales ISID

Empresa de la Fundación Educativa “María Castellanos”Femaca e-mail: [email protected]

En asociación con Cybercentrum Las Mercedes C.A.y Edukami U.S.A.

INDICE

1.1. CONSIDERACIONES GENERALES.................................................................................................................... 8

1.2. COSTOS ASOCIADOS............................................................................................................................................ 9

1.3. PARÁMETROS DE MANTENIMIENTO........................................................................................................... 10

2.1. CONFIABILIDAD.................................................................................................................................................. 12

2.1.1. Indices cuantitativos de confiabilidad.......................................................................................................... 142.1.2. Relaciones entre los índices cuantitativos de confiabilidad............................................................ 172.1.3. Variación de la confiabilidad de los elementos en función del tiempo. ...................................................... 19

2.2. DISTRIBUCIONES DE PROBABILIDAD DE LAS FALLAS DE LOS COMPONENTES DE UNSISTEMA. ...................................................................................................................................................................... 22

2.2.1. Distribuciones de probabilidad de Fallas. ................................................................................................... 22

2.3. BASES DE DATOS DE CONFIABILIDAD. ....................................................................................................... 33

2.3.1. El teorema de Bayes y la confiabilidad. ....................................................................................................... 33

2.4. TIPOS DE COMPONENTES. EXPRESIONES PARA LA EVALUACIÓN DE SU CONFIABILIDAD.......................................................................................................................................................................................... 36

3.1. TÉCNICA DE ÁRBOLES DE FALLAS. ............................................................................................................. 45

4.1. ANÁLISIS DE IMPORTANCIA Y DE SENSIBILIDAD................................................................................... 73

4.1.1. Análisis de importancia................................................................................................................................ 734.1.2. Análisis de Sensibilidad por indisponibilidad media. .................................................................................. 80

4.2. ANÁLISIS DE INDISPONIBILIDAD INSTANTÁNEA. ................................................................................... 83

4.2.2. Análisis de sensibilidad por indisponibilidad instantánea........................................................................... 874.2.3. Análisis en puntos aislados del tiempo......................................................................................................... 94

5.1. CONTROL DE CONFIGURACIÓN.................................................................................................................... 96

5.2. PRIORIZACIÓN POR MANTENIMIENTOS.................................................................................................... 98

5.3. PRIORIZACIÓN POR AOT. ................................................................................................................................ 99

5.4. OPTIMIZACIÓN DE ESPECIFICACIONES TÉCNICAS. .............................................................................. 99

5.5. OPTIMIZACIÓN DEL MONITOREO.............................................................................................................. 100

5.6. OPTIMIZACIÓN DEL INVENTARIO DE PIEZAS DE REPUESTO........................................................... 100

5.7. ESTUDIO DE LA INFLUENCIA DEL ENVEJECIMIENTO DE LOS COMPONENTES SOBRE LADISPONIBILIDAD DE LA INSTALACIÓN............................................................................................................ 101

5.8. INDICADORES BASADOS EN RIESGO. ........................................................................................................ 101

5.9. APS DINÁMICO. ................................................................................................................................................. 102

6.1. PREPARACIÓN DEL ESTUDIO DE APS PARA SU INTRODUCCIÓN A LA INDUSTRIA................... 104

6.2. DESARROLLO DE UN EJEMPLO PRÁCTICO UTILIZANDO EL SISTEMA ARCON. ........................ 105

6.2.1. Descripción de la tarea. ............................................................................................................................. 105

A.1. PAPEL DEL ANÁLISIS DE DATOS EN LOS ANÁLISIS DE CONFIABILIDAD.................................... 123

A.2.1. MODOS DE FALLA............................................................................................................................................ 123A.2.3. MODELOS DE COMPONENTES........................................................................................................................... 129A.3. BASES DE DATOS ............................................................................................................................................... 131C.1. INTRODUCCIÓN................................................................................................................................................... 141C.2. PROPÓSITO DEL FMEA....................................................................................................................................... 142C.3. REQUISITOS PARA EJECUTAR UN FMEA. ............................................................................................................ 142C.4. PASOS DEL ANÁLISIS........................................................................................................................................... 143C.5. FORMATO DE PRESENTACIÓN DEL ANÁLISIS. ...................................................................................................... 143D.1. INTRODUCCIÓN. ................................................................................................................................................. 145D.2. TRATAMIENTO DE LAS FALLAS DEPENDIENTES................................................................................................... 145D.3. CONSIDERACIÓN DE LAS FALLAS DEPENDIENTES EN LOS MODELOS DE SISTEMAS........................................... 151

PROLOGODentro del marco de un convenio suscrito entre la Universidad Nororiental Gran Mariscalde Ayacucho y el Instituto Superior de Ciencia y Tecnología Nucleares, se hainstrumentado un proyecto de investigación y desarrollo tecnológico en el área deIngeniería de Mantenimiento, Como consecuencia de dicho desarrollo, y dentro de losacuerdos de cooperación institucional, se ha venido trabajando en un sistema demedición de parámetros de mantenimiento, dentro de los cuales destacan los aspectosteóricos y aplicados de la teoría de confiabilidad y esquemas asociados a los sistemasgerenciales de mantenimiento industrial.

Los aspectos mencionados fueron conceptualizados y aplicados a una variada gama desistemas industriales, dando origen a paquetes computacionales, preparados para laformación profesional de los ingenieros en el campo del mantenimiento y de los aspectosprobabilísticos de seguridad industrial. Sus aplicaciones condujeron a la creación de unsistema preparado en ambiente de computadoras personales, soportados en un esquemainteractivo. Su trabajo requirió la revisión de los aspectos conceptuales en el campo de laIngeniería, Estadística e Informática, lo cual condujo a la preparación de los manuales deoperación de los sistemas y a la elaboración de un textos que recogiesen los esquemasteóricos con sus respectivas aplicaciones, cumpliendo el doble propósito de sistematizarlas investigaciones y desarrollos tecnológicos y, al mismo tiempo, contribuyera aproporcionar una guía para el estudio a nivel profesional de pregrado y postgrado, de untema que adquiere enorme importancia en la industria moderna.

Todos los paradigmas incluidos en el texto corresponden a la propuesta innovadora de ungrupo de profesores, especialistas en diversas disciplinas técnicas, de cuyo esfuerzo sepudo lograr un verdadero aporte científico que, sin lugar a dudas, redunda en beneficio delos ingenieros y especialistas en ingeniería de mantenimiento industrial. La interdisciplinafuncionó en este libro, no sólo como elemento de complementariedad profesional entrelos autores, sino que pudo traducir de manera armónica los esfuerzos internacionalesentre dos universidades para el bien común de nuestros pueblos, y seguramente de otraslatitudes latinoamericanas. Cabe destacar como el esfuerzo de la comunidad científicainternacional puede concretar tan rápidamente la experticia de sus profesionales, si en elánimo de sus líderes los objetivos estratégicos se conciben adecuadamente. En estesentido, debe destacarse el esfuerzo interistitucional de la Dra. Elizabeth de Caldera,Ministra de Educación de Venezuela en 1993, con su visión e iniciativa, juntaron elesfuerzo de dos instituciones representadas por el Dr. Edwin Pedrero González, Rectordel Instituto Superior de Ciencia y Tecnología Nucleares y el Dr. Genaro Mosquera,Rector de la Universidad Gran Mariscal de Ayacucho. Esta iniciativa produjo una relaciónpoderosa en el campo de la creación de conocimientos y del intercambio tecnológico dedos pueblos, los cuales se tradujeron en aportes concretos del desarrollo profesionalgerencial.

Este esfuerzo se hizo posible con el concurso de los autores del libro: Genaro Mosquera,José de Jesús Rivero, Jesús Salomón, Conrado Valhuerdi, Antonio Torres y Manuel

Perdomo. Alrededor de ellos, un entusiasta grupo de colaboradores en las respectivasinstituciones permitió darle forma a tan particular tema de investigación; en Venezuela,vale la pena destacar a los ingenieros Luis A. Martínez y Carlos Alezones quienes desdela Gerencia de Sistemas y la Escuela de Ingeniería de la Universidad, permitieronconcretar este proyecto de publicación en beneficio de tantos usuarios de nuestrasuniversidades y de la comunidad profesional y científica internacional.

Los autores de esta obra desean manifestar público reconocimiento al Ing. José GuillermoNápoles ( ), a quien se debe el inicio de los estudios de APS en América Latina y eldesarrollo del sistema computarizado ARCON.

Marzo de 1995.

I. Gerencia de los sistemas de mantenimiento.1.1. Consideraciones generales.

Las aplicaciones científico-tecnológicas han derivado en los últimos años en unaproporción significativa hacia la Gerencia, tomando un enfoque cuantitativo sustentadoen el desarrollo de modelos estadístico matemáticos. Dentro de este marco general, laGerencia Técnica ha adquirido un enorme impulso, apoyada particularmente por elprocesamiento de datos a gran velocidad, utilizando los ordenadores electrónicos loscuales son hoy en día de gran versatilidad, especialmente las computadoras personales.

La gerencia de mantenimiento ha venido transformándose en una actividad cada vezmás importante dentro de los complejos industriales y ha adquirido en los últimosaños importancia vital, para lograr que las instalaciones y equipos sean mantenidos enlas mejores condiciones operacionales dentro de un ambiente de óptimo costo. Elanálisis y estudio de las relaciones globales dentro de una organización y de su entornorequieren de experticias específicas examinando variados factores, entre los cuales está la misma organización estructural, el uso de los recursos materiales y financieros,la operación de los sistemas, el control de los costos, y el soporte logístico y técnicoasociado.

Dentro de ese marco referencial, y ante la diversificación técnica, producto de ladiversidad tecnológica y organizacional de los complejos industriales, los sistemas demantenimiento han adquirido un enfoque especializado, soportado sobre desarrollostecnológicos que los han convertido, para la Administración del Mantenimiento, enherramientas absolutamente necesarias para la dirección global de dichasorganizaciones. El perfil de las mismas se ha hecho cada vez más complejo ya que latendencia es la estar integradas por equipos generalmente grandes, variados, ubicadosen diferentes frentes de las cadenas de producción, con operaciones automatizadasy vinculadas a sistemas logísticos para el reabastecimiento de insumos cada día mássofisticados en su manejo y operación. A estos aspectos se une la experticiaprofesional y artesanal, lo cual requiere programas de capacitación y entrenamientocontinuos.

Los elementos mencionados hacen aparecer a la función de mantener como unaactividad dinámica donde actúan gran cantidad de variables y relaciones funcionales,dentro de un esquema de aleatoriedad que caracteriza al sistema de mantenimiento.En 1967, el Dr. Howard Finley (1) introdujo el concepto de Efectividad de unSistema como método para modelar las actividades del mantenimiento a objeto deoptimizar su gerencia, en este sentido lo definió como:

"La probabilidad que un sistema opere a toda capacidad durante un período de tiempodeterminado"

1.2. Costos asociados.

El concepto de efectividad de un sistema fue asociado a las variables de costoinvolucradas en el sistema y consecuencialmente se definieron los conceptos de costodirecto de mantener, costo redundante y costo de penalización.

El concepto de costo directo de mantener se refiere a la totalidad de los costosnecesarios para mantener los equipos operables incluyendo los servicios,reparaciones, inspección y reparaciones mayores. Con relación al costo redundante, éstese refiere a un costo adicional por la condición de mantener equipos en espera, paraponerlos en funcionamiento cuando el equipo principal sale de servicio. Por último elcosto de penalización se refiere a las pérdidas de producción, cuando los equiposprimarios salen de servicio y no existen equipos en espera.

Las interacciones funcionales de los costos mencionados son sumamente complejas;pero en todo caso, la gerencia define su esquema de actuación conducente aidentificar la mejor combinación de los subsistemas asociados al sistema, a objeto deminimizar el costo total de la operación y a optimizar los esfuerzos de mantener uncomplejo industrial en particular en la mejor condición operacional, dentro de un tiempodeterminado.

El esfuerzo de mantener en primer lugar, está asociado de manera directa al tiempofuera de servicio de una instalación; al efecto, el costo total resultante en la operaciónes relación directa al esfuerzo de mantener. Por lo tanto, a mayor esfuerzo secomprometen recursos económicos y materiales, razón por la cual se incrementaráfuncionalmente el tiempo fuera de servicio. Se desprende de esta consideración quepor mucho esfuerzo realizado el costo no necesariamente será el óptimo, es más, sepodrá incluso hacer anti-económico.

Por otro lado, la caída de un sistema por fallas del mismo o de sus componentes,inducirá un costo de penalización como consecuencia de la pérdida del valor de laproducción no colocada en los mercados o comprometida; así se desprende que estecosto está exponencialmente asociado al tiempo fuera de servicio y que sumarizado conel costo de mantener determina que el costo directo de mantener se incremente. Elcosto total, función a su vez del esfuerzo de mantener, tendrá un entorno óptimo, quehabrá que determinar técnicamente con la ayuda del análisis de los parámetros demantenimiento los cuales contribuyen a mantener la efectividad del sistema preparadopara su operación en un período de tiempo determinado.

El concepto de sistema se define de la manera siguiente:

"el conjunto de elementos discretos o componentes que interactúan para el cumplimientode una función determinada".

1.3. Parámetros de mantenimiento.

La efectividad de un sistema, es función de dos conceptos muy importantes dentro deun enfoque cuantitativo de análisis de la función de mantenimiento: se trata delconcepto de disponibilidad.

El concepto de disponibilidad se define como:

"la probabilidad que un sistema, subsistema o equipo este disponible para su usodurante un tiempo dado".

Esta probabilidad, asociada a la probabilidad de tener sistemas, sub-sistemas o equiposinstalados con una redundancia determinada, al estar disponibles para sufuncionamiento cuando el sistema, subsistema o equipo sale de servicio, permite laobtención de una relación funcional que determina el comportamiento de laEfectividad del sistema.

El concepto de disponibilidad como medida probabilística de que un sistema estédisponible a requerimiento del sistema operativo, es de extraordinaria importanciapara la gerencia de mantenimiento. El complemento de este concepto oindisponibilidad de un sistema, subsistema o equipo, se utilizará con frecuencia en los análisis de mantenimiento por la forma práctica que toma el concepto en las aplicacionescomputarizadas.

La disponibilidad como parámetro de mantenimiento a su vez es función de doselementos muy importantes: en primer lugar de la confiabilidad de un sistema,subsistema o equipo y en segundo lugar de la mantenibilidad. El primer elemento sedefine técnicamente de variadas maneras.

Conejero (2) la define como:

"la característica de un elemento expresada por la probabilidad que cumpla susfunciones específicas durante un tiempo determinado cuando se coloca en lascondiciones del medio exterior".

Finley (3) la define como:

"la probabilidad que un equipo no falle mientras esté en servicio durante un período detiempo dado".

Por último, Valhuerdi y Quintero (4) la definen como:

"la propiedad de un sistema de cumplir las funciones para él previstas, manteniendosu capacidad de trabajo bajo los regímenes y condiciones de explotación prescritos ydurante el intervalo de tiempo requerido".

El segundo elemento, es decir, mantenibilidad se define como:

"la probabilidad que un sistema, subsistema o equipo que ha fallado pueda serreparado dentro de un período de tiempo determinado".

La determinación de los parámetros confiabilidad y mantenibilidad son determinantespara calcular la disponibilidad de un sistema, sub-sistema, equipo, parte o pieza de unaestructura industrial. Ello proporciona los datos fundamentales para el análisis de lafunción de mantener y de una gerencia efectiva, dentro de un ambiente de sistematotal que genera gran cantidad de información técnica y que requerirá de evaluaciónpermanente con ayuda de sistemas computarizados. Este sistema total estaconformado por multitud de factores gerenciales, entre los cuales destacan: laorganización, y las políticas, y procedimientos, tales como: control de trabajos, control decostos y reportes gerenciales.

A un mayor esfuerzo en el conocimiento de los indicadores de la gestión de mantener,habrá entonces correlativamente mayor efectividad del sistema, asociado a menorescostos de penalización y costos totales mínimos; para tales propósitos, se desprende lanecesidad de un monitoreo constante de los parámetros de mantenimiento medianteun sistema de información y de cálculo de variables, utilizando modelos estadísticomatemáticos que sirva de apoyo técnico para la planeación y programación de lasacciones de mantener.

II. Confiabilidad de componentes.2.1. Confiabilidad.

A modo de introducción, abordaremos brevemente los conceptos y términos principalesde la teoría de confiabilidad de componentes y sistemas.

Sistema: Conjunto de elementos discretos o componentes que interactúan parael cumplimiento de una función determinada. Subconjuntos de estos componentespueden, a su vez, denotarse como subsistemas.

Los conceptos de sistema y subsistema son conceptos relativos y dependen de lafunción que sea objeto de estudio. De acuerdo con la función que se defina puedenvariar los límites considerados del sistema y los subsistemas. Lo que en un estudio essistema, puede que en otro sea subsistema. De igual forma, la definición de loselementos discretos o componentes de un sistema también es relativa y depende delgrado de detalle con que queramos descomponer el sistema para su estudio y, en última instancia, de las posibilidades que ofrezca la base de datos disponible. Así, enel caso de un sistema de enfriamiento, uno de los componentes podría ser la bomba,mientras que si disponemos de los datos necesarios, la bomba podría en otro caso considerarse como sistema y sus piezas como componentes.

Confiabilidad: Es la propiedad de un sistema (elemento, componente o pieza) decumplir las funciones para él previstas, manteniendo su capacidad de trabajo bajo losregímenes y condiciones de explotación prescritos y durante el intervalo de tiemporequerido. Dicho de otra forma, la confiabilidad es la propiedad del sistema demantenerse sin experimentar un suceso de falla durante el tiempo y lascondiciones de explotación establecidos.

Falla: Suceso después del cual el sistema tecnológico deja de cumplir (total oparcialmente) sus funciones. La falla es la alteración de la capacidad de trabajo del componente o sistema.

Las fallas pueden ser clasificadas de acuerdo con una serie de índices, que serecogen de manera general en la tabla 2.1.1.

La falla catastrófica conduce a la alteración de la capacidad de trabajo. A este tipo defalla corresponden la ruptura y el cortocircuito; las fracturas, deformaciones yatascamiento de las piezas mecánicas, etc. Las fallas paramétricas son fallasparciales que conllevan a una degradación de la capacidad de trabajo, pero no a suinterrupción total.

Las fallas, como hechos casuales, pueden ser independientes o dependientes. Si lafalla de un elemento cualquiera de un sistema no motiva la falla de otros elementos,éste será un hecho o acontecimiento independiente. Si la aparición de la falla en un

elemento o si la probabilidad de ocurrencia de la falla ha cambiado con la falla de otros elementos, esta falla será un hecho dependiente. Análogamente se definen comodependientes o independientes las fallas de sistemas con respecto a las de otrossistemas.

Indice de clasificación Tipos de fallascatastróficaSegún el grado de influencia en la capacidad de trabajo paramétricaindependienteSegún la influencia de fallas de otros elementosdependienterepentinaSegún el carácter de su proceso de aparición gradualestabletemporalSegún el tiempo de permanencia del estado fallado Intermitentede interrupciónSegún el momento en que se manifiestade bloqueorevelableSegún la forma de su detecciónocultaprimariasecundariacomando

Según la naturaleza de su origen o causas

modo común

Tabla 2.1.1. Clasificación de las fallas.

Las fallas repentinas (inesperadas) aparecen como consecuencia de la variación brusca (catastrófica) de los parámetros fundamentales bajo la acción de factores casuales relacionados con defectos internos de los componentes, con la alteración delos regímenes de funcionamiento o las condiciones de trabajo, o bien con errores delpersonal de servicio, etc. En las fallas graduales se observa la variación suave de losparámetros debido al envejecimiento y al desgaste de los elementos o de todo el sistema.

Las fallas estables son aquellas que se eliminan sólo con la reparación o laregulación, o bien sustituyendo al elemento que falló. Las fallas temporales pueden desaparecer espontáneamente sin la intervención del personal de serviciodebido a la desaparición de los motivos que la provocaron. Las causas de tales fallasfrecuentemente son los regímenes y condiciones de trabajo anormales. Las fallastemporales que se repiten muchas veces se denominan intermitentes o alternantes.Ellas atestiguan la existencia de anormalidades en la calidad del equipamiento o enregímenes y condiciones de trabajo.

Las fallas de interrupción son las que se producen en el equipamiento en operación interrumpiendo su trabajo. Las fallas de bloqueo impiden el arranque o puestaen funcionamiento de sistemas o componentes sobre la demanda, es decir, bloqueanla puesta en funcionamiento de sistemas que están a la espera.

Las fallas revelables son aquellas que se revelan al personal de operacióninmediatamente después de su ocurrencia porque sus efectos se manifiestandirectamente en los parámetros de funcionamiento de la instalación tecnológica o sedetectan a través del sistema de control. Se trata de fallas de sistemas enfuncionamiento, o a la espera con control de sus parámetros. Las fallas ocultas no serevelan al personal de operación por ninguna vía en el momento de su ocurrencia, pero la condición de falla permanente está latente hasta ser descubierta por una prueba osobre la demanda de operación del sistema en cuestión. Se trata, por tanto, de fallas desistemas que trabajan a la espera.

Las fallas primarias son intrínsecas del elemento y responden a sus característicasinternas. Las fallas secundarias son debidas a condiciones ambientales o tensiones operativas excesivas impuestas a un elemento desde el exterior. Las fallas comando sonlas originadas por la operación indebida o la no operación de un elemento iniciador(elemento que controla o limita el flujo de energía que llega al elemento considerado).Dentro de las fallas secundarias y comando se pueden definir las fallas modo o causacomún que son aquellas en que fallan varios elementos, producto de una misma causa.

2.1.1. Indices cuantitativos de confiabilidad.

Entre los parámetros fundamentales que caracterizan la confiabilidad de elementos ysistemas se tienen los siguientes:

Probabilidad de trabajo sin fallas o probabilidad de supervivencia: es laprobabilidad de que en un intervalo de tiempo prefijado (o en los límites de las horasde trabajo dadas) con regímenes y condiciones de trabajo establecidos no seproduzca ninguna falla, es decir, la probabilidad de que el dispositivo dado conserve sus parámetros en los límites prefijados durante un intervalo de tiempo determinado y para condiciones de explotación dadas. La denotaremos por Ps(t).

De esta definición se infiere que la probabilidad de supervivencia es el índice através del cual se cuantifica la confiabilidad de un sistema o elemento técnico. Lacuantificación de la confiabilidad como una probabilidad está determinada por el carácteraleatorio del suceso al que está referida (aparición de la falla). Dicho suceso, aunquealeatorio, está condicionado por factores de diseño, calidad de la ejecución yexplotación, etc., cuya influencia se refleja en su probabilidad. Por tanto, la influencia de estos factores sobre la confiabilidad también es susceptible de cuantificar.

Probabilidad de falla: es la probabilidad de que en un intervalo de tiempoprefijado se produzca al menos una primera falla. La denotaremos por Pf(t). Puestoque el trabajo defectuoso y el trabajo sin fallas son sucesos complementos, tendremosque:

Pf(t) = 1 - Ps(t) [2.1.1]

Desde el punto de vista matemático Ps(t) y Pf(t) constituyen funciones de distribuciónacumulada.

Densidad de fallas: es el número de fallas por unidad de tiempo, referido a lacantidad inicial de elementos de un lote o muestra dada N0. Se representa por f(t).Así:

dN/dt f(t) = -- [2.1.2] N0

donde: N(t) es el número de componentes que no han fallado (se encuentran operables) al cabo de un tiempo t

N0 es el número inicial de elementos de la muestra en estudio

- dN es el diferencial de elementos que fallan en el intervalo (t, t+dt)

Tomando en cuenta las definiciones anteriores de probabilidad de supervivencia yprobabilidad de falla, resulta evidente que: N(t) Ps(t) = [2.1.3] N0

N0 - N(t) Pf(t) = - [2.1.4] N0

Por tanto, la densidad de fallas puede expresarse en función de Ps(t) o Pf(t), de la formasiguiente:

dPf(t) dPs(t) f(t) = = - [2.1.5] dt dt

La densidad de fallas representa así la función de densidad de probabilidad asociada a la función de distribución acumulada Pf(t), por ello también se conoce como función de densidad de probabilidad de falla (o de la primera falla).

Intensidad de fallas o rata de fallas: es el número de fallas por unidad de tiempo,referido al número de elementos que se encuentran operables en el instante t, y sedenota por R(t).

Así: dN/dt R(t) = - -- [2.1.6] N(t)

Si expresamos [2.1.2] como:

dN/dt N(t) f(t) = - • N(t) N0

resulta que

f(t) R(t) = “ [2.1.7] Ps(t)

Sustituyendo [2.1.5] en [2.1.7] y tomando en cuenta [2.1.1], la rata de fallas tambiénpuede expresarse como:

Ps'(t) Pf'(t) f(t) R(t) = - = = [2.1.8] Ps(t) 1 - Pf(t) 1 - Pf(t)

La intensidad o rata de fallas se expresa cuantitativamente en unidades de tiempoinversas (por lo general horas inversas: 1/h) y se puede interpretar como la probabilidadde que el elemento falle por unidad de tiempo a partir de un instante de tiempo t dado, con la condición de que no haya fallado hasta dicho instante. De ahí que estamagnitud también se identifique como rata de fallas condicional.

- Tiempo medio de operación o servicio (tiempo medio de trabajo sin fallas): númeromedio de horas de trabajo de un componente hasta la primera falla. Lo denotaremoscomo TMS (tiempo medio de servicio). Este se puede hallar aproximadamente como:

N Σ ti i=1 TMS = [2.1.9] N

Donde: ti es el tiempo de trabajo sin fallas del i-ésimo elemento.

N es el número de elementos del lote de componentes con que se experimenta.

Mientras mayor es el número N, más calidad estadística tiene la valoración y mayor es

la precisión del valor determinado para TMS.

-Tiempo medio de reparación o tiempo promedio para reparar: es el tiempo medio, enhoras, de duración de la reparación de un elemento después de experimentar una falla.El valor aproximado del tiempo promedio para reparar (TPPR) podemos hallarlomediantela expresión: K Σ ti i=1 TPPR = [2.1.10] K

Donde:

K es el número de fallas del elemento dado durante el tiempo de ensayo uobservaciónti es el tiempo de duración de la reparación después de la falla i.

La rata de reparación µ se define como el inverso de TPPR:

1 µ = TPPR

2.1.2. Relaciones entre los índices cuantitativos de confiabilidad.

- Relación entre la rata de fallas R(t) y la probabilidad de supervivencia Ps(t).

Si integramos la expresión [2.1.8] como función de Ps(t) en los límites de 0 a tobtenemos:

considerando que para t=0, Ps(0)=1 (componente como nuevo), resulta:

)]0(ln)(ln[)(0

PstPsdRt

−−=∫ ττ

∫−=t

dRtPs0

)()(ln ττ

o sea:

para: R(t) = const. = R

Ps(t) = EXP(-Rt) [2.1.12]

Por último, aplicando [2.1.1] se obtiene:

Pf(t) = 1- EXP(-Rt) [2.1.13]”

- Relación entre la densidad de fallas f(t) y la probabilidad de supervivencia Ps(t).

Si integramos [2.1.5] se obtienen las siguientes expresiones:

- Relación entre la densidad de fallas f(t) y la rata de fallas R(t).

De [2.1.7] se obtiene:

f(t) = R(t).Ps(t)

y sustituyendo Ps(t) por [2.1.11] arribamos a:

- Relación entre el tiempo medio de servicio y la rata de fallas.

El TMS se determina como el valor esperado del tiempo t hasta la falla, que sigue unafunción de densidad de probabilidad f(t). Así pues, su expresión general será:

[2.1.11]

[2.1.14]

[2.1.15]

[2.1.16]

∫−=t

dRExptPs0

))(()( ττ

∫=t

dftPf0

)()( ττ

∫−=t

dftPs0

)(1)( ττ

∫−=t

dRExptRtf0

))(().()( ττ

Sustituyendo f(t) en función de Ps(t) tomando en cuenta [2.1.5], resulta:

Cuando esta expresión se integra por partes se obtiene:

Consideremos el caso particular en que la rata de fallas es constante. Bajo estascondiciones Ps(t) viene dada por [2.1.12] y [2.1.17] se transforma en:

de donde se obtiene finalmente:

TMS = 1/R [2.1.18] Esta relación entre TMS y R (constante) es muy importante y determina que en lapráctica R y TMS sean usados indistintamente como datos de partida para los análisis deconfiabilidad.

2.1.3. Variación de la confiabilidad de los elementos en función del tiempo.

La curva de R(t) en función del tiempo para un elemento dado sigue en la mayoría delos casos un comportamiento típico como el mostrado en la figura 2.1.1, que por su forma característica recibe el nombre de "curva de la bañera". Esta curva puededividirse en tres partes. La primera parte es el período inicial de trabajo del elementodonde pueden producirse fallas tempranas debido a deficiencias en el control de la

[2.1.17]

∫∞

=0

)( dtttfTMS

∫∞

−=0

)( dttPsTMS

∫∞

=0

)(ttdPsTMS

∫∞

−=0

)( dtRtExpTMS

calidad. Los fabricantes acostumbran someter a prueba los elementos durante este período para corregir tales fallas tempranas. La segunda parte se caracteriza por unarata de fallas aproximadamente constante. En esta parte de la curva podemosconsiderar las fallas como aleatorias e independientes del tiempo. Este es el período devida útil del elemento, al cual podemos asociar una distribución de probabilidad de fallade tipo exponencial como la expresada por [2.1.13] La tercera parte de la curva, en la que se produce un aumento sostenido de R(t) corresponde a la salida de servicioacelerada de los elementos debido al desgaste y el envejecimiento.

Fig. 2.1.1. Comportamiento típico de la rata de fallas de un elemento.

Para el caso particular de sistemas de alta responsabilidad, como los sistemas deseguridad de industrias de alto riesgo, las fallas tempranas tienden a ser aleatorias (Rconstante) debido a los altos requerimientos del control de calidad, mientras que elmantenimiento y reposición de componentes contribuyen a alargar el período de vidaútil, protegiendo los sistemas contra el desgaste y el envejecimiento. Por otro lado, cuando los dispositivos fallan de forma no frecuente y son complejos y costosos, no pueden ser realizadas muchas pruebas para caracterizar su confiabilidad. Solo se pueden realizar estimaciones de R(t). Por ello, lo usual en los análisis deconfiabilidad y de cuantificación de la seguridad es asumir las fallas aleatorias, de modo que R(t) es igual a un valor constante R.

Ello determina que la distribución de probabilidad más usada para la modelación de laconfiabilidad de componentes sea la distribución exponencial, caracterizada por lasexpresiones [2.1.12] y [2.1.13]. Esta es la que se emplea por lo general en los análisisde confiabilidad mediante árboles de fallas. Así, en la literatura internacional seacostumbra a caracterizar la confiabilidad de componentes mediante valores de ratas de fallas constantes expresadas en forma de fracciones simples o decimales que danla probabilidad de fallas por hora de trabajo.

En la tabla 2.1.2 se ilustran ratas de fallas típicas para algunos componentes desistemas industriales con índices elevados de confiabilidad y seguridad.

Componente [1/h]Bombas 3E-6Tuberías 1E-9Diesels 8E-5Válvulas 3E-6

Instrumentos 3E-7

Tabla 2.1.2. Ratas de fallas para algunos tipos de componentes de sistemasindustriales (5).

2.2. Distribuciones de probabilidad de las fallas de loscomponentes de un sistema.

2.2.1. Distribuciones de probabilidad de Fallas.

A continuación se describen las distribuciones de probabilidad más frecuentementeutilizadas para la descripción de fallas de componentes.

2.2.1.1. Distribuciones discretas.

Dos de las distribuciones discretas de probabilidad más útiles usadas en análisis de fallas son las distribuciones binomial y de Poisson.

Dos parámetros de interés para cualquier distribución discreta de probabilidad P(x) deuna variable aleatoria x son la media M y la varianza V(x). Para N salidas posibles, la media es definida como:

N M = Σ x P(x) [2.2.1] x=0

mientras la varianza, que mide la desviación de los valores alrededor de la media, es:

N V(x) = Σ (x-M)2 P(x) [2.2.2] x=0

- Distribución Binominal.

En el más simple de los sistemas hay sólo dos salidas, o el sistema funciona a la demanda o falla. Estas dos probabilidades son complementarias por lo que: P(D) = 1 - P(D) [2.2.3] donde D es el suceso que representa el éxito y D la falla.

Supongamos que la actuación de un sistema no es conocida y que se va a realizar unexperimento consistente de N demandas o ensayos. Se especifica que las demandasson independientes (ensayos Bernoulli) tal que P(D) es constante para cada ensayo. Para describir el experimento con la distribución binominal es necesario que el ordende los sucesos no afecte el resultado del experimento. Los posibles resultadoscorresponden a los diferentes términos del desarrollo binomial de la ecuación. [P(D)+P(D)]N = 1 [2.2.4]

Sea q = P(D) la probabilidad de falla e introduzcamos la variable aleatoria discreta x,definida como el número de demandas para las que el sistema falla. Esta variablesigue la distribución binomial, con parámetro q e índice N. La probabilidad de queocurran x fallas, es obtenida seleccionando al término apropiado del desarrollo binomialde la ecuación [2.2.4] y tiene la forma:

N! P(x) = qx(1-q)N-x [2.2.5] x! (N-x)!

Se puede demostrar que para la distribución binomial

M = Nq [2.2.6]

V(x) = Nq(1-q) [2.2.7]

Otra distribución de probabilidad obtenida de la [2.2.5] es la función de distribuciónacumulada de que el sistema falle para Z o menos demandas. Se obtiene por adición de los términos apropiados en el desarrollo de la Ecuación [2.2.4]:

Z P(x ≤ Z)= Σ P(x) [2.2.8] x=0

Así la probabilidad de que el sistema falle para Z+1 o más demandas sería, elcomplemento de P(x>=Z),

Z P(x > Z)= 1 - Σ P(x) [2.2.9] x=0

La distribución binomial es usada en ingeniería de confiabilidad para describir uncomponente único que opera a la demanda y puede ser reparado quedando en unestado "como nuevo" inmediatamente después de que falla. Entonces P(x) es laprobabilidad de que el componente falle x veces en N demandas.

Una segunda aplicación de esta distribución para análisis de fallas se refiere al casode N componentes idénticos, con una probabilidad de falla q igual para todos. EntoncesP(x) describe la probabilidad de que fallen x de los N componentes del sistema.

- Distribución de Poisson.

La distribución de Poisson es similar a la binomial en el hecho de que describefenómenos para los cuales la probabilidad promedio de un suceso es constante eindependiente del número de sucesos previos. En este caso, sin embargo, el sistema experimenta transiciones aleatoriamente desde un estado con N ocurrencias

de un suceso a otro con N+1 ocurrencias, en un proceso que es irreversible. Es decir,el ordenamiento de los sucesos no puede ser intercambiado. Otra distinción entre lasdistribuciones binomial y de Poisson es que para el proceso de Poisson el número desucesos posibles debe ser grande.

La distribución de Poisson puede ser deducida a partir de la identidad

EXP(-M).EXP(M) = 1 [2.2.10]

donde el número más probable de ocurrencias del suceso es M.

Si el factor EXP(M) es expandido en un desarrollo de series de potencias, laprobabilidad P(x) de que exactamente x ocurrencias aleatorias tengan lugar puede inferirse como el x-esimo término en la serie, de donde se obtiene: EXP(-M).Mx P(x) = x = 0,1,2,3,... [2.2.11] x!

La media y la varianza de la distribución de Poisson son ambas iguales a M.

La función de distribución acumulada de que un suceso ocurra Z o menos veces, vienedada por la expresión general [2.2.8], tomando en cuenta que P(x) en este caso sedescribe mediante [2.2.11]. Así pues,

Z EXP(-M).Mx P(x ≤ Z)= Σ [2.2.12] x=0 x!

Por supuesto la probabilidad de que un suceso ocurra Z+1 o más veces es elcomplemento de [2.2.12], es decir, 1 - P(x>=Z).

La distribución de Poisson es útil para el análisis de la falla de un sistema que constade un número grande de componentes idénticos que al fallar causan transicionesirreversibles en el sistema. Cada componente se asume que falla independientementey aleatoriamente. Entonces M es el número más probable de fallas del sistemadurante la vida útil.

2.2.1.2. Distribuciones continuas.

Para análisis de fallas los valores de la variable aleatoria tiempo hasta la falla seencuentran en el intervalo [0,ì“]. En este caso el valor medio de una distribución estádado por:

y la varianza

- Las distribuciones de Erlang y Exponencial.

La distribución de Erlang es la forma dependiente del tiempo de la distribución discretade Poisson. Ella aparece frecuentemente en los cálculos de ingeniería de confiabilidad que consideran fallas aleatorias, esto es, aquellas fallas para las que la rata de fallas R(t) es una constante R. Su expresión puede deducirse a partir de la expresión [2.2.11] hasta obtener finalmente la distribución de Erlang como: R.(Rt)x-1.EXP(-Rt) f(t)= R>0 , x>0 [2.2.15] (x-1)!

La distribución de Erlang es válida para un número entero de fallas x. El casoparticular más importante es para x=1, en el que se obtiene la distribución exponencial.

f(t)= R EXP(-Rt) [2.2.16]

La función de distribución acumulada de fallas para la distribución exponenciales:

Pf(t)= 1 - EXP(-Rt) [2.2.17]

y los dos momentos son:

1 1 M = , V(t) = [2.2.18] R R2

- Distribución Logaritmo normal.

La distribución logaritmo normal de una variable t es una distribución para la cual el logaritmo de t sigue una distribución normal o gaussiana. La ecuación que

[2.2.13]

[2.2.14]

∫∞

=0

)( dtttfM

∫∞

−=0

2 )()( dttfMtV

describe la distribución de probabilidad de falla en este caso se puede escribir como: 1 ln2 (t/β) f(t)= EXP(-) [2.2.19] (2π)½

αt 2 α2

El parámetro à“ (adimensional) y el parámetro á“ (en unidades de tiempo) determinanla forma de f(t).

La densidad de probabilidad de fallas se presenta en la figura 2.2.1 donde se puedeapreciar que la distribución es oblicua hacia la derecha comparada con la distribuciónde Gauss, que es simétrica respecto a su valor medio. La oblicuidad se acentúa convalores crecientes de α.

La función de distribución acumulada se halla integrando la expresión [2.2.19], dedonde se obtiene:

1 Pf(t) = [ 1 – erf (z) ] para t<β 2

1 = [ 1 + erf(z) ] para t>β [2.2.20] 2

donde Z se define como:

y erf es la función de error, que aparece tabulada.

La media y la varianza de la distribución logaritmo normal, obtenidas a partir de[2.2.13] y [2.2.14] son:

M = β EXP( α2/2 )

V(t) = β2 EXP(α2 ) [ EXP(α2 ) - 1 ] [2.2.22]

[2.2.21]αβ

2)/ln(tZ =

Fig. 2.2.1. Densidad de probabilidad de fallas según ladistribución logaritmo normal.

La distribución logaritmo normal aparece en procesos en los que el cambio en unavariable aleatoria en el n-esimo paso es una proporción aleatoria de la variable en elpaso (n-1)-esimo. Es decir, la distribución logaritmo normal se emplea cuando lavariación está caracterizada por factores o porcientos. Así, si X representa una cantidadque puede variar con un factor de error f, abarcando un rango de valores desde X0 /fhasta X0 f, donde X0 es un punto medio de referencia dado, la distribución logaritmo normal es la distribución adecuada para describir el fenómeno.

La distribución logaritmo normal se aplica con frecuencia para describir las fallas en losanálisis de confiabilidad y riesgo de sucesos raros (de baja probabilidad), en los que lainformación estadística limitada hace que las ratas de falla varíen por factores. Porejemplo una rata de fallas estimada en 10-6/h puede variar de 10-5 a 10-7/h si el factorde error es 10. Cuando la rata de fallas se expresa como 10-x, donde x es un ciertoexponente, el uso de la distribución logaritmo normal implica que el exponente satisfaceuna distribución normal. Así, se puede ver la distribución logaritmo normal comoapropiada para situaciones en las que hay incertidumbres grandes en los parámetros de fallas.

Otra característica de la distribución logaritmo normal es que la oblicuidad para tiempos mayores considera el comportamiento general de los datos para fenómenos pocoprobables ya que la misma tiene en cuenta la ocurrencia de valores poco frecuentespero con una gran desviación, tales como ratas de fallas anómalas debido a defectos delotes de producción, degradación ambiental y otras causas.

- Distribución de Weibull.

La distribución de Weibull es una distribución de fallas muy general y ampliamentedifundida por su aplicabilidad a un gran número de situaciones diversas. La densidad defallas es:

La función de distribución acumulada, el valor medio y la varianza, vienen dadospor las siguientes expresiones:

Pf(t) = 1 - EXP[-(t / v )K] [2.2.24]

M = v Γ(1 + K-1) [2.2.25] V(t) = v2 {Γ (1 + 2K-1) - [Γ (1 + K-1)]2} [2.2.26] donde Γ representa la función Gamma, que aparece tabulada.

La forma de la distribución depende primariamente del parámetro K, como se apreciaen la figura 2.2.2. Para K=1, se obtiene la distribución exponencial, con rata de fallas R =v-1. Al incrementarse K la distribución de Weibull tiende a la distribución normalsiendo ambas casi indistintas para K mayor que 4. Un caso particular es la distribuciónde Rayleigh que se obtiene para K=2.

Las aplicaciones de la distribución de Weibull se pueden comprender másfácilmente a partir de la expresión de la rata de fallas para esta distribución:

Así pues, el modelo de Weibull es el apropiado para el ajuste de datos en los que laprobabilidad condicional de fallas R(t) satisface una ley de potencia del tiempo. Ratasde fallas de este tipo se ilustran en la figura 2.2.3.

[2.2.23]

[2.2.27]

−

=

−

vtExp

vt

vKtf

k 1

)(

1

)(−

=

k

vt

vKtR

Fig. 2.2.2. Densidad de probabilidad de fallas según la distribución de Weibull.

Fig. 2.2.3. Rata de fallas según la distribución de Weibull.

La aplicación de la distribución de Weibull está sujeta a la cuantificación de loscoeficientes "v" y "k" cuyas magnitudes dependen de la serie histórica de los tiempos de operación o corrida de un equipo o componente.

La cuantificación de los coeficientes o estimadores ha recibido importante atención de Khirosi y Mieko, 1963; Johnson, 1964; C.Cohen, 1965; Weibull 1964 y Finley 1977(6). A partir de los métodos de Cohen y la aplicación del Método de MáximaVerosimilitud obtendremos soluciones aproximadas pero confiables de los coeficientes"v" y "k" y a partir de allí derivar las estimaciones de la rata de fallas, probabilidades de supervivencia y probabilidades de falla. Así mismo, evaluacionesmatemáticas del comportamiento de estos indicadores para diferentes períodos detiempo.

Sea la función de densidad de Weibull:

K t f(t) = . tK-1 EXP [ - ()K ] para t>0,K>0,v>0 vK v

Sea "L" la función de máxima verosimilitud, dependiente de una variable "A". Lasolución de la ecuación consiste en estimar el valor de "A" para el cual "L" asume unvalor máximo.

Como "Log L" presenta un máximo al mismo valor de "A", la ecuación a resolver es:

dLog L = 0 dA

Donde la función de verosimilitud, según H. Kramer, de una muestra de n observacioneses:

L(x1,x2,x3,...xn) = f(x1,A).f(x2,A).f(x3,A)...f(xn,A)

Si los valores de la muestra han sido dados y la función de "L" es de una variable "A",la función de verosimilitud para la muestra completa utilizando la función de Weibull es:

N K ti L(t1,t2,...tn) = Π . ti.K-1 EXP [- () K] [2.2.28] I=1 v K v

tomando logaritmo y derivando con respecto a V y K e igualando a cero tenemos:

δLn [L(ti,i=1...,n)] n.k k n ti = - + ⋅ Σ ()K = 0 δv v v i=1 v

δLn [L(ti,i=1...,n)] n n n ti ti = - - nlnv+ Σ ln ti + Σ ln ()K = 0 δK K i=1 i=1 v v

Eliminando V y simplificando:

1 n 1 n n Σ ln ti = - + Σ ti ln ti / Σ ti K n i=1 K i=1 i=1

n ti K

v = [Σ ] 1/K [2.2.29] i=1 n

Por iteraciones sucesivas, al efecto, una estimación de "K" se puede obtener mediante elmétodo de Newton-Raphson cuya técnica numérica permite encontrar la raíz de unafunción F(x), y eliminar el error asegurando el valor de "K". Bajo estas condiciones si Ki es la aproximación de una raíz, una nueva estimación está dada por:

F(Ki) Ki+1 = Ki - [2.2.30] F'(Ki)

la función queda definida por:

1 1 F(k) = Σ (ti) K.lnti - Σ ti K - Σ lnti.ti K k n

1 1 F'(x) = Σ (ti) K.(lnti) 2 - Σ lnti.ti K + Σ ti K -... K K2

1 - Σ ln ti Σ lnti.ti K [2.2.31] n

donde:

Ki+1-Ki<e siendo e=error de aproximación.

0F(Ki) ≠

Prefijado e se limita el proceso iterativo para el cálculo de k, calculado éste se calcula vobteniendo la estimación por máxima verosimilitud de la función de Weibull. Con losestimados correspondientes se obtienen la rata de fallas, probabilidad de falla, de supervivencia y los estimados del promedio y la varianza. Los cálculos respectivoshan permitido la construcción de un modelo para obtener los parámetros deconfiabilidad, cuyo programa computarizado ha sido denominado PARAMAN.

A continuación definimos los datos de entrada, caracterizados por el tiempo de corrida alestado entre la base de la hora y fecha de arranque del equipo y la fecha y hora deparada caracterizando la razón de las fallas. Estos datos se convierten en variables xi dela muestra, se ordenan de manera creciente y finalmente se suavizanexponencialmente para mejorar en homogeneidad, logrado este aspecto se procede alcálculo de los indicadores de confiabilidad y se disponen para la respectivasimulación atendiendo a diferentes períodos de tiempo.

El modelo matemático computarizado PARAMAN, que forma parte de un Sistema deInformación Gerencial de Mantenimiento, calcula la probabilidad que un equipo seencuentre en operación o sea reparado en un lapso determinado, a partir delcomportamiento mismo del equipo, el cual se caracteriza por los tiempos deoperación y los tiempos durante los cuales está detenido por reparación. Ladistribución de los tiempos de operación y de parada se asocian a funcionesprobabilísticas que permiten encontrar los parámetros de confiabilidad y mantenibilidad,cuya combinación da origen a la disponibilidad y ofrece, además la posibilidad de efectuar simulaciones sobre la base de diferentes períodos de tiempo.

El modelo PARAMAN determina la rata de fallas, el factor "k" que establece el ciclo devida del equipo, la edad característica de corrida, y evalúa las probabilidades desupervivencia y de falla. Estos elementos entran en el cálculo de los tiempos medios entre paradas y su respectiva varianza.

En el caso de mantenibilidad, se define la función de probabilidades que calcula la posibilidad que un trabajo de mantenimiento se efectúe en un tiempo determinado, la edad característica para reparar, su varianza y los tiempos medios.

Resumiendo, el modelo PARAMAN permite obtener:

- Historial de un componente, equipo o planta ( arranques, paradas, causas de la parada) - Probabilidades de supervivencia y falla - Tiempos de operación entre arranque y falla - Tiempos fuera de servicio - Disponibilidad para cada corrida - Tiempos medios entre fallas, fuera de servicio y disponibilidad total

- Parámetros de Weibull (tiempo de corrida característico "v", factor "k", desviación estándar del tiempo medio entre fallas, rata de fallas) - Parámetros de Gumbel (Factor de forma "A", tiempo característico de parada "U") - Probabilidades de falla y tiempos de reparación (calculados por simulación para diferentes valores de tiempo) En (7) podrá encontrar una información más detallada sobre el sistema PARAMAN.

2.3. Bases de datos de confiabilidad.

2.3.1. El teorema de Bayes y la confiabilidad.

La determinación experimental de datos de confiabilidad de componentes para unaindustria en específico puede confrontar dificultades cuando las fallas son sucesosraros. Por ello en ocasiones es necesario recurrir a datos de componentes similares enotras industrias donde se disponga de una mayor estadística de fallas y hacer unproceso de "ajuste" de estos a la experiencia de explotación de la instalación que seanaliza. Puede también darse el caso de datos genéricos para industrias de unatecnología dada que se quieren ajustar a los componentes análogos de la tecnologíapropia.

Para ello juega un papel importante el llamado Teorema de Bayes de la Teoría de lasProbabilidades.

- Teorema de Bayes.

Sea un espacio muestral S, dividido en N sucesos A1...AN mutuamente excluyentes, tales que A1+A2+...+AN=S y otro suceso cualquiera B, subconjunto de S.Entonces, de acuerdo con la definición de probabilidad condicional, tenemos que:

P(Ai.B) = P(Ai/B).P(B) = P(B/Ai).P(Ai)

Igualando el segundo y tercer miembros y despejando obtenemos:

P(Ai) P(B/Ai) P(Ai/B) = [2.3.1] P(B) Si P(B) se expresa a partir de los sucesos A1...AN, se obtiene finalmente laexpresión del Teorema de Bayes:

P(Ai) P(B/Ai) P(Ai/B) = [2.3.2] N ΣP(Ai) P(B/Ai) i=1

La aplicación más importante de la expresión [2.3.2] en análisis de confiabilidad estádirigida al ajuste de datos genéricos o de otras industrias, para ser utilizados en lainstalación propia, tomando en cuenta la estadística de fallas acumulada en estaúltima. Esta aplicación se ilustra en el siguiente ejemplo.

Ejemplo 2.3.1: Supongamos que queremos estimar la rata de fallas de una bomba de baja presión empleada en un sistema de enfriamiento. De la literatura internacionalconocemos que las ratas de fallas para bombas similares en otras industrias oscilan en los órdenes 10-3, 10-4, 10-5 [1/h] . De la experiencia de explotación de la tecnología propia se tiene que para una muestra dada de bombas del tipo analizado no se han producido fallas durante 500 horas de trabajo en regímenes de prueba.

En este caso, adoptamos como sucesos Ai las ratas de fallas encontradas en laliteratura: A1 es el suceso rata de fallas igual a 10-3, A2 igual a 10-4 , A3 igual a 10-5, las que serán nuestras hipótesis de partida.

El suceso B será el que nos aporta la experiencia propia: 500 horas de trabajo sin falla.Si la rata de fallas fuese 10-3/h, la probabilidad de B (500 horas de trabajo sin fallas) sería:

P(B/A1) = (1 - 10-3 . )500

Siendo 10-3 la probabilidad de falla en una hora, 1-10-3 es la probabilidad desupervivencia o de ausencia de fallas en una hora. Este último término, elevado a lapotencia 500, equivale a la probabilidad de que no se produzcan fallas en 500 horas,considerando independientes entre sí los sucesos de no falla en cada hora, por lo cual,se obtiene:

P(B/A1) =Exp(- 10-3 .500)= 0.6064

Cálculos similares permiten obtener los valores restantes de P(B/Ai) que se presentan en la tabla 2.3.1. Estos valores contienen el dato de la experiencia propia quecombinado con las probabilidades P(Ai) asumidas de otras fuentes conducen a las probabilidades condicionales P(Ai/B).

Si para las probabilidades P(Ai) se asume una distribución uniforme tal que P(Ai)=1/3,aplicando [2.3.2] podemos hallar las probabilidades de que la rata da fallas de la bombade nuestra industria sea 10-3, 10-4 o 10-5 dada la evidencia B de que no se producenfallas en 500h de trabajo. Estas son las probabilidades condicionales P(Ai/B) de latabla 2.3.1 para la distribución previa uniforme.

I 1 2 3

Ai 10-3 10-4 10-5

P(B/Ai) 0.6064 0.9512 0.9950

Distribución previa uniforme

P(Ai) 0.3333 0.3333 0.3333 P(Ai/B) 0.2376 0.3726 0.3898

Distribución previa no uniforme P(Ai) 0.1 0.3 0.6 P(Ai/B) 0.0643 0.3026 0.6330

Tabla 2.3.1. Cálculos bayesianos para el ejemplo 2.3.1.

Si hubiésemos sido más realistas en nuestra primera estimación de P(Ai), como muestra la distribución no uniforme de las probabilidades previas P(B/Ai) en la tabla2.3.1, entonces, como puede apreciarse para el segundo caso de distribución previa nouniforme, la introducción de la información B tiene menor efecto sobre los valores previos P(Ai), pues se observa una mayor concordancia entre los valores de P(Ai) yP(Ai/B).

Los resultados de la tabla 2.3.1 nos permiten concluir que para la bomba del ejemplo2.3.1 debe adoptarse una rata de fallas entre 10-4 y 10-5, más próxima a 10-5, comopodría ser 3.10-5.

Una mayor certeza inicial podría obtenerse con un mejor conocimiento de lascaracterísticas y condiciones de trabajo de las bombas cuyas ratas de falla se tabulanen la literatura, lo que permitiría asociar mayores valores de probabilidad P(A) a las ratasde aquellas cuyas características y condiciones de trabajo se asemejen más a la propia.

Así, el análisis bayesiano puede utilizarse para el ajuste de listados genéricos de datos de partida para los análisis cuantitativos de confiabilidad y seguridad, lo cual es muy frecuente en la práctica de realización de estos análisis.

Para más información sobre le análisis de datos vea el anexo A.

2.4. Tipos de componentes. Expresiones para la evaluación de suconfiabilidad.

Para la cuantificación de la confiabilidad de componentes nos basaremos en el modelo exponencial, para el cual la rata de fallas es constante.

Al evaluar la confiabilidad de un componente es necesario tener en cuenta dosaspectos. En primer lugar el régimen de trabajo bajo el cual se evalúa la confiabilidad,lo cual determina el parámetro que la caracteriza, y en segundo lugar, la posibilidad derestitución de la capacidad de trabajo del componente después de una falla, es decir, siel componente es o no reparable, lo cual determina la expresión a utilizar para el cálculo del parámetro que corresponda.

En lo adelante al referirnos a la confiabilidad o al evaluarla, lo haremos en términos deprobabilidad de falla. Ello se debe a un problema práctico. Los valores de confiabilidad decomponentes y sistemas de instalaciones de alta responsabilidad, y por tanto de altasexigencias en su calidad, son elevados, muy próximos a la unidad (decimales con varios9 consecutivos), mientras que su complemento, la probabilidad de falla, son valores muy próximos a cero, fácilmente expresables como potencias negativas de 10.

En cuanto al régimen de trabajo de los componentes existen dos posibles: el régimende espera, durante el cual el componente permanece listo para entrar en funcionamiento cuando se le requiera, y el régimen de operación. El primero es típicode los sistemas de seguridad o aquellos que permanecen como reserva, los cualesdurante la operación de la planta se mantienen a la espera de cualquier suceso accidentalo falla que requiera su actuación.

El segundo es típico de los sistemas de operación normal y corresponde también alos sistemas de seguridad durante el período de tiempo que dure el cumplimiento desu función de seguridad después que son demandados (sistemas de seguridadactivos).

Las ratas de fallas utilizadas para modelar los componentes deben estar diferenciadas de acuerdo con su régimen de trabajo. Así existen ratas de falla a la espera y ratas de fallas en operación.

También debe tomarse en cuenta la correspondencia del régimen de trabajo con eltiempo analizado. Para el régimen de espera deberá utilizarse, por tanto, la rata de fallasa la espera y el tiempo a la espera (tiempo durante el cual el componente se mantiene "listo" para entrar en funcionamiento) y para el régimen de operación seusará la rata de fallas en operación y el tiempo analizado será el período necesario deoperación del componente.

Seguidamente se describen las expresiones para el cálculo de la probabilidad de fallade componentes, según su clasificación en modos de falla a la espera y en operación yde acuerdo a los tipos de componentes que emplea el algoritmo base para los

modelos computarizados denominado Análisis de Riesgo y Confiabilidad (sistemaARCON).

- Componentes a la espera.

Para la evaluación de la probabilidad de falla de componentes a la espera definiremosuna nueva magnitud que es la disponibilidad del componente.

La disponibilidad se define como la probabilidad de que el componente esté apto olisto para actuar u operar en el momento que sea requerido. Por razones similares a lasplanteadas para la fiabilidad trabajaremos no con la disponibilidad de loscomponentes sino con su complemento (1 - disponibilidad) que llamaremosindisponibilidad y denotaremos por q(t).

Así, la indisponibilidad q(t) se define como la probabilidad de que un componenteesté en estado fallado en el instante t y no sea posible su actuación si es requerida(falla de bloqueo). Como se aprecia, se trata de una magnitud puntual que evalúa laprobabilidad del estado fallado en un instante t, a diferencia de la probabilidad de fallapara sistemas en operación dada por [2.1.13], que es una función de distribuciónacumulada que da la probabilidad de falla (falla de interrupción) para un intervalode tiempo de 0 a t.

- Componentes tipo 1. Probabilidad de falla fija.

En este caso la indisponibilidad del componente es un valor constante en el tiempo,de modo que: q(t) = q = cte. [2.4.1] Los componentes tipo 1 se emplean para modelar aquellos modos de falla, cuyaprobabilidad es uniforme en el tiempo, así como en aquellos casos en que no secuenta con información suficiente para determinar una ley de variación de laindisponibilidad en el tiempo de acuerdo a otro modelo.

Un modo de falla al cual se aplica este modelo es al error humano, por ejemplo, elsuceso de una válvula manual dejada en posición incorrecta después de unmantenimiento. En este caso un valor típico es q=2.10-2, lo que representa que en 100 demandas al componente, éste se encontrará como promedio 2 veces en posiciónincorrecta (indisponible), por el error humano. - Componentes tipo 2. No controlable. Se aplica a componentes cuyo estado no es controlado durante todo el tiempo en que elsistema se encuentra a la espera, y que al presentarse la demanda pueden fallar pormecanismos de fallas ocultas. El sistema ARCON da, además, la posibilidad deadicionar a la indisponibilidad de este tipo de componentes una probabilidad

adicional de falla a la demanda por carga de impacto sobre el componente en el momentoque se requiere su actuación.

Así, de la expresión [2.1.13], que corresponde a componentes no reparables cuyo tiempo hasta la falla sigue una distribución exponencial, se obtiene adicionando la indisponibilidad por carga de impacto qad:

q(t) = 1 - EXP(-Rt) + qad [2.4.2] En ARCON también se incluye un tiempo previo Tpr que el componente hayaestado a la espera con anterioridad, sin recibir ningún tipo de mantenimiento que permitaconsiderarlo como nuevo al inicio de nuestro período de observación. Esto modifica[2.4.2] de la siguiente manera: q(t) = 1 - EXP[-R(Tpr+t)] +qad [2.4.3] La expresión [2.4.3] tiene un crecimiento exponencial con el tiempo, de modo que laindisponibilidad del componente será una función del instante en que se produzca lademanda. En muchos casos se requiere hallar un valor de indisponibilidad medio,representativo del comportamiento del componente durante el tiempo a la espera T, también conocido como tiempo de observación.

Para el cálculo de la indisponibilidad media del componente aplicamos la expresióngeneral:

Sustituyendo [2.4.3] e integrando, se obtiene finalmente:

_ 1q = 1 - {EXP[-RTpr] - EXP[-R(Tpr+T)]} + qad [2.4.4] RT - Componentes tipo 3. Controlado de forma continua. Se aplica a los componentes cuya falla se detecta en cuanto se produce y sonsometidos de inmediato a la reparación. Para un sistema a la espera este puede ser untanque, cuyo salidero se detecta inmediatamente por un medidor de nivel con indicación o señal de alarma en un panel. Se trata por tanto de una falla revelable. En este caso la indisponibilidad del componente se determina a partir del balanceentre los procesos de rotura y reparación, dados por la ecuación diferencial:

q(t+dt)= [1 - q(t)].Rdt + q(t).[1 - µdt] [2.4.5]

∫=T

dttqT

q0

)(1

En [2.4.5] se determina la indisponibilidad en t+dt correspondiente al miembro de la izquierda a partir de la indisponibilidad que había en t mediante los dos términos del miembro de la derecha. De ellos, el primero representa la probabilidad que tiene el componente de estar disponible en t y fallar en t+dt, mientras que el segundo corresponde a la probabilidad de estar fallado en t y no ser reparado en t+dt.

Integrando [2.4.5] y teniendo en cuenta la condición inicial q(0)=0, se obtienefinalmente:

R q(t) = { 1 - EXP[-( R + µ ) t ] } + qad [2.4.6] R + µ En [2.4.6] se incorporó además la probabilidad de falla adicional que eventualmente puede tomar en cuenta posibles cargas de impacto sobre el componente en el instante de la demanda.

El componente tipo 3 tiene una indisponibilidad inicialmente creciente en el tiempo,pero que se estabiliza rápidamente en su valor asintótico. Por ello, en el cálculo de la indisponibilidad de este tipo de componentes se emplea habitualmente la expresión[2,4.7], que es el valor asintótico de [2.4.6].

_ R q = + qad [2.4.7] R + µ - Componentes tipo 4. Probado periódicamente. Este es el caso de los componentes cuyo estado se comprueba cada cierto tiempo Tpmediante una prueba o ensayo de duración τ que permite detectar las fallas delcomponente. En los casos en que el componente se encuentra fallado se procede a sureparación. La prueba puede tener una cierta ineficiencia, de modo que de la rata de fallas total sólose detecta una fracción que llamaremos ineficiencia de la prueba y denotaremos por Inef.Así, la rata de fallas se desdobla en dos componentes, la rata de fallas detectables Rdet y la rata de fallas no detectables Rno, cuyas expresiones son:

Rdet = R.(1-Inef). [2.4.8] Rno = R.Inef. [2.4.9] La indisponibilidad de un componente de este tipo tiene un carácter periódico, ypuede dividirse en tres zonas principales:

- Durante la prueba. La contribución de la prueba a la indisponibilidad viene dadapor la expresión:

τ qp = pnt [2.4.10] Tp donde el cociente representa la probabilidad de que al presentarse una demandael componente este en prueba y pnt es la llamada probabilidad de no-tránsito del estadode la prueba al estado del componente para el cumplimiento de su misión. Laprobabilidad pnt representa la indisponibilidad del componente durante la prueba.

- Durante la reparación posterior a la prueba (sí se detecta fallado). Al realizar la prueba, el componente ha permanecido a la espera durante un tiempo Tp - τ. La probabilidad de llegar a la prueba fallado, será, de acuerdo con [2.1.13], 1-EXP[-Rdet(Tp-τ)], expresión que se aproxima a Rdet(Tp-τ) para valores de Rdet(Tp- τ) menores que 0.1, lo cual resulta completamente válido en todos los casosde interés.

Tomando en cuenta lo anterior, se puede establecer la siguiente expresión para laindisponibilidad por reparación: Tr qr = Rdet(Tp- τ) [ .( 1 - phe) + phe ] [2.4.11] Tp- τ donde

Tr es el tiempo medio de reparación del componente(=1/µ); phe es la probabilidadde error humano total, que incluye tanto la probabilidad de no detectar la falla por erroren la prueba phep como la probabilidad de que el componente quede indisponible por un error en la reparación pher.

phe = phep + ( 1 - phep ) pher En la expresión [2.4.11] el primer factor es la probabilidad de que el componente lleguefallado a la prueba. El primer sumando entre corchetes representa la probabilidad de quese produzca la demanda cuando el componente está en reparación, dado que elcomponente se detecta fallado y se repara correctamente. El segundo sumando es laprobabilidad total de error en la prueba o la reparación, que hacen que el componente permanezca indisponible durante todo el tiempo Tp- τ que media hasta la próxima prueba. Si la expresión [2.4.11] se transforma convenientemente, se obtiene finalmente: qr = Rdet [ Tr + phe.(Tp - τ - Tr) ] [2.4.12]

Si la probabilidad de error humano fuera cero, la expresión se reduce a:

qr = Rdet.Tr [2.4.13]

- Durante el tiempo (Tp- τ) hasta la próxima prueba.

En este intervalo el componente está sometido a fallas ocultas no controlables cuyafunción de distribución acumulada viene dada por [2.1.13]. Si se tiene en cuenta laaproximación q(t)= Rdet.t, válida para valores de Rdet.t menores que 0.1, laindisponibilidad media por fallas ocultas en este intervalo será:

Integrando, se obtiene finalmente: 1 qoc = Rdet (Tp- τ) [2.4.14] 2

Por último, la expresión de la indisponibilidad media de un componente tipo 4, se obtiene adicionando las expresiones [2.4.10],[2.4.12],[2.4.14]:

_ τ q = pnt + Rdet [ Tr + phe .(Tp - τ - Tr) ] +... Tp

1 + Rdet(Tp - τ) [2.4.15] 2

Cuando la ineficiencia de la prueba es mayor que cero la expresión [2.4.15] sólonos da el aporte a la indisponibilidad media del componente debido a las fallas detectables en la prueba. La fracción de las fallas que no se detecta en la prueba tieneun carácter no controlable y su aporte vendrá dado por una expresión como [2.4.4], usando Tpr=0 y Rno como rata de fallas . De esta forma se obtiene la expresióngeneral que emplea el sistema ARCON:

_ τ 1 q = pnt + Rdet[Tr + phe .(Tp - τ - Tr)] + Rdet(Tp- τ) +... Tp 2

1 + 1 - { 1 - EXP[- Rno T] } + qad [2.4.16] RnoT

∫−

−=

τ

τ

Tp

pOC tdtR

Tq

0det

1

En [2.4.16] se incluyó como último término la probabilidad de falla adicional a lademanda por carga de impacto.

El sistema ARCON tiene además la posibilidad de ajustar las ratas de fallas de la fórmula[2.4.16] para tomar en cuenta los casos en que la prueba degrada al componente eincrementa su rata de fallas. Este es el caso típico de los generadores diesel que seemplean en la industria para asegurar el suministro eléctrico en condiciones de avería.Con este fin el sistema emplea un dato adicional para los componentes tipo 4, el factorde degradación de la prueba, expresado como el % de incremento de la rata de fallas en cada prueba. Estas expresiones tienen cierta complejidad y no se han incluidoen el presente material.

- Componentes tipo 6. Indisponibilidad por mantenimiento.

Este modo de falla es la probabilidad de que el componente se encuentre fuera deservicio por mantenimiento en el momento que tiene lugar una demanda. Si Tm es eltiempo entre mantenimientos y τm es la duración del mantenimiento, la indisponibilidadpormantenimiento viene dada por:

_ τm q = [2.4.17] Tm

- Componentes tipo 7. Suceso desarrollado.

Es un componente de probabilidad de falla fija, que a los efectos del cálculo no se diferencia del componente tipo 1 y su indisponibilidad viene dada también por laexpresión [2.4.1].

Se emplea para representar la falla de un subsistema, sistema de apoyo o elementocomplejo, que en el momento del análisis no se puede desarrollar en los modos de falla más simples que lo componen por falta de información, o bien este desarrollo se hahecho de forma separada para una integración posterior, cuando se vaya a conformar elmodelo de confiabilidad del sistema a partir de sus componentes en lo que se conocecomo un árbol de fallas.

- Componentes en operación ( tipo 5 ).

La probabilidad de que un componente falle en operación, será la probabilidad de queexperimente al menos una falla cuando trabaja durante ese período, por lo que puedeser cuantificada mediante la función de distribución acumulada de fallas Pf(t), dada por[2.1.13], para R=Rop y t=top :

Pf(t) = 1 - EXP(-Rop . top)

que puede ser aproximada como Pf(t) = Rop . top [2.4.18]

para valores de Pf(t) menores que 0.1.

Esta expresión se aplica al cálculo de la probabilidad de falla de componentes noreparables en operación, que a lo sumo pueden experimentar una falla.

Sin embargo, para componentes redundantes reparables, es necesario tomar encuenta la posibilidad de reparación, pues mientras ésta se realiza, la misión escumplida por el otro componente y el sistema no falla. En este caso la falla seproduce sólo si el componente redundante también falla, antes de que el primero hayapodido ser reparado.

En estos casos la probabilidad de falla del componente en operación se determina mediante una expresión análoga a la [2.4.7], empleada para componentes tipo 3:

Rop Pop = [2.4.19] Rop+ µ

donde Pop es la probabilidad de falla en operación del componente reparable

Rop es la rata de fallas del componente en operaciónµ es la rata de reparaciones del componente, igual al

inverso del tiempo promedio para reparar.

III. Confiabilidad de sistemas.La evaluación de la confiabilidad de un sistema consiste en la cuantificación de laprobabilidad de falla en el cumplimiento de su función, a partir de las probabilidades de falla de sus componentes, que se combinan tomando en cuenta lasinterconexiones e interdependencias entre ellos. Estas interrelaciones vienen dadaspor la estructura del sistema y sus procedimientos de trabajo.

Con este fin, se requiere la construcción de un modelo que contemple tanto las fallasde equipo como las debidas a errores humanos, así como la influencia de los procedimientos de operación, prueba y mantenimiento del sistema.

Sin embargo, el interés fundamental del análisis de confiabilidad no es exclusivamente elresultado global de la probabilidad de falla del sistema, para demostrar que éste satisface las exigencias planteadas al diseño. Los mayores dividendos se obtienenmediante un proceso sistemático y bien estructurado para la determinación de loscontribuyentes más importantes a dicho resultado global. Estos son los puntos delsistema que requieren mayor atención. Consecuentemente, se considera el efecto demodificaciones en el diseño, así como en los procedimientos de operación, prueba ymantenimiento, que aún siendo simples, pueden conllevar a una mejora significativa de laconfiabilidad.

Para sistemas complejos e interdependientes el análisis de árboles de fallas hademostrado ser una herramienta poderosa que se aplica con éxito en las industrias nuclear, aeronáutica y aeroespacial. Se emplea de forma creciente en la industriaquímica y, en general, resulta una técnica con alto nivel de estructuración, estandarización y universalidad, aplicable a industrias complejas que deben operar conelevada disponibilidad y seguridad.

La técnica de árboles de fallas tendría un alcance limitado si se aplicara solamente al análisis de confiabilidad de sistemas aislados. El mayor beneficio se obtiene cuando seaplica de forma combinada con la técnica de árboles de sucesos, para laconstrucción de un modelo integral de la industria, que caracteriza la respuesta desus sistemas ante diversos sucesos iniciadores de avería (situaciones accidentales),que de no ser controlados o mitigados tienen un impacto negativo sobre el proceso productivo (paradas más o menos prolongadas, daño a sistemas con pérdidaseconómicas de consideración, daño al medio ambiente y a la población circundante).

Este estudio integral es lo que se conoce como un Análisis Probabilista de Seguridad(APS). A partir del modelo básico del APS se pueden realizar múltiples aplicacionesdurante toda la vida útil de la instalación para garantizar una elevadadisponibilidad, seguridad industrial y protección del medio ambiente. Estasaplicaciones se basan en el conocimiento de los puntos débiles del proceso, quepermite la toma de medidas técnicas y organizativas, muchas veces sencillas, peroque tienen un efecto importante sobre los índices técnico-económicos de seguridad de laindustria.

El modelo de APS no permanece estático, sino que se actualiza como resultado de laexperiencia operacional y las modificaciones que se introducen en el diseño y losprocedimientos de trabajo. Esto puede hacerse con facilidad a partir del modelo básicoy permite a la gerencia un mejor conocimiento de las características de seguridady disponibilidad de la planta, para estar prevenidos frente a eventuales puntos débiles yanticiparse a éstos con la toma de medidas oportunas.

3.1. Técnica de árboles de fallas.

El árbol de fallas es un modelo lógico deductivo, que parte del suceso tope para el cualse produce la falla del sistema. De una forma sistemática se va desarrollando el suceso tope en los sucesos intermedios que conducen a éste, y a su vez los sucesosintermedios en otros de menor jerarquía, hasta llegar a los sucesos primarios,determinados por el nivel de resolución del análisis posible o deseable. Este seestablece atendiendo a los datos de fallas de que se dispone y/o al alcance que se pretende lograr de acuerdo con los objetivos del estudio.

Los sucesos intermedios y primarios se interconectan mediante compuertas lógicas, que básicamente pueden ser de 3 tipos:

Compuerta OR: El estado fallado de cualquiera de los sucesos que entran a ellaproduce el estado fallado a la salida.

Compuerta AND: El estado fallado a la salida de la compuerta se produce cuando todos los sucesos que entran a ella están en estado fallado.

Compuerta n/m ("Majority"): El estado fallado a la salida de la compuerta se producecon cualquier combinación de n sucesos en estado fallado del total de m que entra a lacompuerta.

En la figura 3.1.1 se muestran los símbolos de mayor utilización en la construcción deárboles de fallas.

Fig 3.1.1. Símbolos de mayor utilización en la construcción de árboles de fallas.

Los sucesos primarios son puntos terminales del árbol que no se continúandesarrollando. De ellos los sucesos básicos corresponden generalmente a modosde falla propios de componentes (por ejemplo falla de una válvula a la apertura o alcierre), mientras que el suceso desarrollado es un suceso complejo que no se desdoblaen sucesos básicos de menor jerarquía, por no contarse con la informaciónnecesaria o porque resulta conveniente desarrollarlo aparte como un árbolindependiente. Este último es el caso de los sistemas de apoyo (por ejemplo la falla de laalimentación eléctrica), que se acostumbra a modelar en árboles de fallasindependientes para después acoplarlos (integrarlos) a los árboles de los diversossistemas a los cuales este sistema de apoyo presta servicio.

El símbolo de suceso intermedio (rectángulo) se coloca antes de cada compuerta osuceso primario para describir con precisión el suceso de falla que se está representando.

Los símbolos de transferencia permiten conectar un subárbol en varios puntos del árbolprincipal sin necesidad de repetir varias veces la misma información, así como establecercortes y divisiones del árbol cuando por sus dimensiones no puede representarsecompletamente en una hoja de papel. Este es el caso del árbol de fallas que apareceposteriormente en la figura3.1.4.

La técnica de árboles de fallas permite modelar los sistemas con un alto grado deflexibilidad, pero deben tenerse en cuenta las siguientes premisas fundamentales:

1. Los sucesos básicos de un árbol de fallas tienen carácter binario, es decir, elcomponente está fallado o está operable, el modo de falla se produce o no seproduce. No es posible modelar estados intermedios o degradados de loscomponentes.

2. Los sucesos básicos tienen que ser estadísticamente independientes, lo cual es unaexigencia del método que se emplea para calcular la probabilidad de falla del sistemaa partir de los resultados de la evaluación cualitativa del árbol de fallas. La existenciade modos de falla dependientes se toma en cuenta cuando un mismo sucesointermedio o primario aparece repetido en el árbol de fallas, como contribuyente avarios sucesos intermedios.

Para la construcción de un árbol da fallas se precisa ante todo comprender bien elfuncionamiento del sistema y sus procedimientos operacionales, de prueba ymantenimiento.

Al desarrollar el árbol desde el suceso tope hasta llegar a los sucesos primarios, es necesario identificar en cada paso todas las contribuciones o caminos que puedenconducir al suceso intermedio. De modo general, para la falla de cada componenteexisten al menos 5 posibilidades:

1. El equipo no recibió la señal que activa su operación.

2. El equipo no recibe servicio de algún sistema de apoyo, necesario para su trabajo. (Ej.: alimentación eléctrica, enfriamiento, lubricación, etc.).

3. El propio equipo experimenta algún tipo de falla que le impide operar.

4. Se produce un error humano que imposibilita la activación del componente, debido ala no-intervención del operador o su actuación tardía, o por haberse dejado elcomponente en posición incorrecta después de un mantenimiento.

5. Algún suceso externo puede afectar al componente y evitar su funcionamiento. Eneste caso pueden presentarse fallas del tipo causa común, que afectansimultáneamente a varios componentes (por ejemplo, daño por incendio).

Existe un grupo de reglas básicas que se recomiendan para asegurar el desarrollo delárbol de fallas con la calidad requerida, lo que constituye un aspecto importante para suposterior revisión y fácil comprensión por parte de otros especialistas.

A continuación relacionamos las tres principales:

1. Describir de manera precisa los modos de falla dentro de los rectángulos queidentifican el suceso tope, los sucesos intermedios y los sucesos primarios.

2. Todas las entradas de una compuerta deben estar completamente definidas antes depasar a modelar otras compuertas.

3. No conectar compuertas con compuertas, ni sucesos primarios con compuertasdirectamente. Esto se hace siempre a través del rectángulo donde se describe condetalle el suceso intermedio o primario correspondiente.

Véase seguidamente algunos ejemplos sencillos que ilustran la construcción de árbolesde fallas.

En la figura 3.1.2 (a) se muestra el árbol de fallas del disparo de un circuito interruptor. Lafalla se produce por tres causas, cualquiera de las cuales, de modo independiente, puededar lugar al suceso tope. Por esta razón se emplea una compuerta OR. Los sucesosprimarios que entran a la compuerta OR son el desperfecto en el propio interruptor, laausencia de la señal de disparo y, eventualmente, el daño por incendio, un sucesoexterno que provoca condiciones ambientales severas y conduce a la rotura delelemento. Este es un modo de falla del tipo causa común, pues se trata de un sucesoúnico que suele afectar a varios componentes (todos fallan por una causa común).

(a)

(b)

Fig. 3.1.2. Arbol de fallas del disparo de un circuito interruptor.

En la figura 3.1.2 (b) continua el árbol a partir del suceso B, que en la figura 3.1.2 (a)aparecía como un suceso desarrollado. Para esto se toma en cuenta que la señal dedisparo se produce por la apertura de uno de dos "relays" conectados en serie. Bajo estascondiciones, la falla de la señal de disparo tiene lugar cuando ambos "relays" B1 y B2fallan cerrados, puesto que con sólo uno que abra sus contactos, el circuito de controlqueda desenergizado y se produce la señal. Por ello al reemplazar el suceso B por B1 yB2 se ha empleado una compuerta AND.

Ejemplo 3.1.1: La figura 3.1.3 muestra un sistema con un tanque a presión al cual seinyecta un gas desde un depósito mediante un compresor accionado por un motor eléctrico. En cada ciclo el operador echa a andar un "timer" T y el tanque se llena duranteun cierto tiempo hasta que abren los contactos del "timer", mucho antes de que se creeuna condición de sobrepresión. Después de cada ciclo el gas comprimido se descargaabriendo la válvula Vd destinada a este fin. Cuando el tanque queda vacío se cierranuevamente Vd y todo está listo para dar inicio a un nuevo ciclo.

Si en el proceso de llenado del tanque no se produce el disparo del "timer" T, el operadorestá instruido para verificar la presión del manómetro M y abrir los interruptoresnormalmente cerrados I1 e I2, lo cual desenergiza el motor del compresor, alinterrumpirse la alimentación eléctrica tanto en el circuito de potencia como en el decontrol.

Fig. 3.1.3. Esquema simplificado del sistema de llenado de un tanque a presión.

(a)

Fig. 3.1.4.

(b)

Arbol de fallas del sistema del ejemplo 3.1.1.

(c)

Fig

(d)

. 3.1.4. Arbol de fallas del sistema del ejemplo 3.1.1. (continuación).

(e)

Fig. 3

En la figura 3.1en condicionesde carga normdisponible no etener lugar al calivio Va) con enecesidad de oAND.

A continuación a la ocurrencia

- No se interru

Se produce cua(el operador nopor falla del eqdel interruptor pSC en el circucausa común qmitigadora de aparece como intermedios dife

- No se interrum

(f)

.1.4. Arbol de fallas del sistema del ejemplo 3.1.1. (continuación).

.4 se muestra el árbol de fallas del suceso no deseado rotura del tanque de carga normal o por sobrepresión. La rotura del tanque en condicionesal se representa mediante un suceso primario, pues con la informacións posible desarrollarlo más. En cambio, la rotura por sobrepresión puedeombinarse la falla de la protección por sobrepresión del tanque (válvula del suceso intermedio trabajo del compresor durante un tiempo excesivo. Lacurrencia simultánea de ambos determina el empleo de una compuerta

se describen brevemente dos de los sucesos intermedios que contribuyendel suceso trabajo del compresor durante un tiempo excesivo.

mpe la corriente en el circuito de potencia (figura 3.1.4 c y f).

ndo el manómetro M se traba o indica por debajo del valor real de presión se percata del peligro y no actúa), o bien no se logra abrir el interruptor I2uipo, o bien la acción del operador no se produce o resulta tardía. La fallauede ser por un problema intrínseco o provocada por una sobrecorriente

ito que dejen "pegados" los contactos. Este último suceso es una fallaue deja "pegados" los contactos del "relay" R y además inhabilita la acciónapertura del interruptor I2. Por esta razón, la falla por sobrecorriente

un suceso primario repetido que contribuye a la ocurrencia de dos sucesosrentes del árbol.

pe la corriente en el circuito de control (figura 3.1.4 e).

En este caso aparece también la falla del manómetro M que evita la acción del operadorsobre el interruptor I1, luego vemos que este componente contribuye a la falla en dossucesos intermedios, es decir, produce una interdependencia que se expresa como uncomponente repetido en el árbol de fallas. Los modos de falla del interruptor I1 sonsimilares a los de I2, con excepción de la falla por sobrecorriente que no es posible en elcircuito de control.

Cuando no se está acostumbrado al enfoque probabilista se puede pensar que algunosde estos modos de falla pueden ser rebuscados o imposibles. Esto puede ser cierto enalgunos casos, pero debemos tomar en cuenta que, en efecto, si la aplicación de estatécnica se realiza en industrias con elevadas exigencias a la calidad de los equipos y a lacalificación del personal, los sucesos que estamos considerando son indudablemente debaja probabilidad. Sin embargo, la clave del análisis de árboles de fallas radicaprecisamente, en no descartar de antemano ninguno de los modos de falla posibles y siesto resultara razonable o conveniente deben documentarse las consideraciones quefundamentan tal decisión.

La resolución del árbol de fallas y la evaluación de las probabilidades de los modos defalla del sistema que surjan, es la que permite sobre bases objetivas descartardeterminados modos de falla poco importantes y centrar nuestra atención en otros queresulten los mayores contribuyentes a la indisponibilidad del sistema. Cuando se trata desistemas complejos y, particularmente, cuando estas técnicas se aplican a la modelaciónintegral de la industria, pueden aparecer combinaciones de fallas de equipo y erroreshumanos que hacen una importante contribución a la probabilidad de falla del sistemaespecífico o de la industria y que no habían sido tomadas en cuenta con el peso que lescorresponde en razón de su importancia. En todo caso, aunque dicha combinación defallas fuera conocida el método permite cuantificar su aporte y fundamentar la toma dedecisiones que corresponda.

El árbol de fallas tiene, según hemos visto hasta este punto, un carácter totalmentecualitativo. Sin embargo, aún antes de realizar evaluación numérica alguna, ya el propioárbol hace una contribución significativa a nuestro conocimiento del sistema o de laindustria. Buscando los posibles modos de falla, logramos dominar con profundidad suscaracterísticas técnicas de diseño, de funcionamiento y los procedimientos de operación,pruebas y mantenimiento. El método nos va conduciendo a los puntos débiles, a lasdiversas formas en que puede fallar.

3.2. Evaluación cualitativa del árbol de fallas.

La resolución del árbol de fallas consta de dos etapas principales, la evaluación cualitativaconsistente en la determinación de todas las combinaciones de sucesos primarios quehacen fallar el sistema y la evaluación cuantitativa, paso en el cual se determina laprobabilidad de falla del sistema a partir de las probabilidades de todos los caminosposibles que conducen al suceso tope no deseado.

Así pues, la evaluación cualitativa tiene como objetivo central la determinación de todoslos llamados conjuntos mínimos de corte del árbol de fallas. Un conjunto mínimo de corteo simplemente conjunto mínimo (CM) es un conjunto de sucesos primarios que no puedeser reducido en número y cuya ocurrencia determina que se produzca el suceso tope. Enel ejemplo de la figura 3.1.2 (b), las fallas {A} y {C} son CM de orden 1, pues con sóloocurrir la falla intrínseca del interruptor o el daño por incendio ya tiene lugar el sucesotope no deseado. El otro CM de este ejemplo sería {B1, B2}, en este caso de orden 2pues se necesita que ambos "relays" fallen cerrados para que se produzca el sucesotope. {B1} no sería un CM, pues con esta falla única no se produce el suceso tope. Encambio {A, C} aunque da lugar al suceso tope no es CM, pues puede ser reducido ennúmero, es decir, sólo es necesaria la falla de A o de C para que se produzca el sucesotope, no se requiere que fallen ambos.

Es importante destacar que la presencia de CM de orden 1 en un árbol de fallas de unsistema indica su vulnerabilidad a esta falla única, lo cual sólo es aceptable si dicha fallaes de muy baja probabilidad. En el caso del ejemplo de la figura 3.1.2 (b) esto es posibleporque se trata de un dispositivo que normalmente cumple funciones como parte de unsistema más complejo.

El árbol de fallas es una estructura lógica integrada por sucesos primarios binarios. Estohace que para su evaluación cualitativa se requiera el empleo de las reglas del álgebra deBoole, que exponemos brevemente a continuación, sobre la base de los sucesos de fallagenéricos X, Y, Z.

Propiedad conmutativa X•Y=Y•X ; X+Y=Y+X

Propiedad asociativa X• (Y•Z)=(X•Y)•Z X+(Y+Z)=(X+Y)+Z

Propiedad distributiva X•(Y+Z)=(X•Y)+(X.Z) X+(Y•Z)=(X+Y)•(X+Z)

Propiedad idempotente X•X=X ; X+X=X

Ley de absorción X•(X+Y)=X ; X+X.Y=X ___ _ _ ___ _ _ Leyes de Morgan X•Y=X + Y ; X+Y=X•Y

En las expresiones anteriores el signo "•" significa la intersección de dos sucesosde falla, es decir, su ocurrencia simultánea, mientras que el signo "+" representa la uniónde dos sucesos de falla, es decir, la ocurrencia de uno o del otro. Los sucesos X, Y sonlos eventos complementos de la falla, es decir, representan el estado operable (éxito) delcomponente.

Existen diversos algoritmos para la determinación de los conjuntos mínimos de un árbolde fallas. De ellos aquí presentaremos el de arriba hacia abajo ("top-down"), que seemplea en el sistema ARCON.

El método consiste en la sustitución paulatina de las compuertas por sus entradas, desdela compuerta tope hasta llegar a los sucesos primarios, dando prioridad a las compuertasAND y n/m ("majority") con respecto a las compuertas OR, lo que contribuye a evitar unaexpansión excesiva del número de combinaciones de sucesos. En varias partes delproceso se realiza lo que se conoce como reducción booleana, es decir, la eliminación decombinaciones booleanas de fallas que no resultan mínimas. Esto asegura que al final delproceso se obtengan de forma explícita todos los conjuntos mínimos de corte, queconstituyen los modos de falla del sistema.

Para ilustrar la evaluación cualitativa de un árbol de fallas nos basaremos en un casosencillo, como el del ejemplo 3.1.1, cuyo árbol de fallas aparece en la figura 3.1.4.

Si C1 representa el suceso tope, este puede representarse a partir de sus entradas como:

C1=Tpn+C2 [3.2.1]

donde Tpn es el suceso primario rotura del tanque a presión normal y C2 es el sucesointermedio rotura del tanque por sobrepresión.

Tpn es ya un suceso primario, luego corresponde ahora sustituir la compuerta C2, dedonde resulta:

C1=Tpn+Va.C3 [3.2.2]

Nótese como en la expresión [3.2.1] la sustitución se hace como una unión(+) de lossucesos de falla Tpn y C2, interconectados en el árbol mediante una compuerta OR. Encambio, al sustituir la compuerta C2 en la expresión [3.2.1] para obtener la [3.2.2], Va yC3 se sustituyen como una intersección de sucesos de falla, en correspondencia con lacompuerta AND de la cual ambos son entradas en el árbol de fallas.

Continuando el proceso, tendremos que:

C1=Tpn+Va.C4.C5 [3.2.3]

C1=Tpn+Va.C4.(R+SC+C6) [3.2.4]

C1=Tpn+Va.C4.(R+SC+T.C7) [3.2.5]

C1=Tpn+Va.(M+E+I2+SC).{R+SC+T.(M+E+I1)} [3.2.6]

Aplicando la ley distributiva de forma sucesiva, tendremos que:

C1=Tpn+Va.(M+E+I2+SC).(R+SC+T.M+T.E+T.I1) [3.2.7]

C1=Tpn+Va.(M.R+M.SC+M.T.M+M.T.E+M.T.I1+E.R+E.SC+E.T.M+E.T.E+ +E.T.I1+I2.R+I2.SC+I2.T.M+I2.T.E+I2.T.I1+SC.R+SC.SC+ +SC.T.M+SC.T.E+SC.T.I1) [3.2.8]

Si ahora aplicamos la propiedad idempotente, resulta:

C1=Tpn+Va.(M.R+M.SC+M.T+M.T.E+M.T.I1+E.R+E.SC+E.T.M+E.T+E.T.I1+ +I2.R+I2.SC+I2.T.M+I2.T.E+I2.T.I1+SC.R+SC+SC.T.M+ +SC.T.E+SC.T.I1) [3.2.9]

En la expresión [3.2.9] aparecen 21 términos que representan combinacionesbooleanas de fallas de componentes que conducen a la falla del sistema. Sin embargo,como veremos seguidamente, de estas 21 combinaciones booleanas sólo 8 son CM. Enefecto, si sometemos esta expresión a un proceso de reducción booleana aplicando laley de absorción, resulta que:

M.SC+E.SC+I2.SC+SC.R+SC+SC.T.M+SC.T.E+SC.T.I1=SC [3.2.10]

M.T+M.T.E+M.T.I1+I2.T.M=M.T [3.2.11]

E.T.M+E.T+E.T.I1+I2.T.E=E.T [3.2.12]

y por tanto [3.2.9] se transforma en:

C1=Tpn+Va.(M.R+M.T+E.R+E.T+I2.R+I2.T.I1+SC) [3.2.13]

de donde, los CM que conducen a la rotura del tanque son:

De orden 1: 1 Tpn De orden 2: 1 Va.SC De orden 3: 5 Va.M.R Va.M.T Va.E.R Va.E.T Va.I2.R De orden 4: 1 Va.I2.T.I1 Total : 8

Se puede apreciar como las expresiones [3.2.10], [3.2.11] y [3.2.12] reducen 7, 3 y 3combinaciones booleanas respectivamente en la expresión [3.2.9].

Resulta siempre conveniente, a modo de comprobación, realizar un examen de los CMobtenidos. Si nos concentramos en los modos de falla del tanque por sobrepresión,veremos que en todos los CM aparece la falla a la apertura de la válvula de alivio depresión del tanque Va combinada con otros sucesos de falla. Aún sin realizar el análisiscuantitativo, la simple inspección cualitativa de los CM nos permite concluir, en principio,que este suceso básico será probablemente un punto débil del sistema, es decir,debemos reforzar la protección por sobrepresión. La falla de Va puede combinarse con elsuceso SC que hace fallar cerrados los contactos del "relay" y del interruptor I2 por unacausa común, o con la falla propia del "relay" R unida a la no-indicación correcta delmanómetro de presión M que evita la intervención del operador, y así sucesivamentepodemos continuar analizando el resto de los CM.

El proceso realizado nos permite inducir las siguientes consideraciones generales:

1. La generación de CM va produciendo una expansión paulatina del número detérminos de la expresión booleana, hasta llegar al resultado final en el que el sucesotope se expresa como la unión de todos los sucesos de falla, dados por los conjuntosmínimos de corte. La expresión [3.2.9] llegó a tener 21 términos.

2. Durante el proceso se generan muchas combinaciones booleanas que no son CM, yrequieren ser reducidas. En el ejemplo se redujeron 13 combinaciones booleanas ysólo quedaron 8 CM.

3. Las cantidades de CM que se pueden derivar de un árbol de fallas de medianacomplejidad, y con sólo decenas o cientos de sucesos básicos y compuertas puedenser gigantescas, del orden de los millones y superiores. Cuando se resuelven árbolesque modelan el comportamiento global de la industria ante un suceso iniciador deavería, el número de CM suele ser particularmente elevado, debido a que lassecuencias accidentales que surgen involucran normalmente la falla de variossistemas.

4. El elevado volumen de operaciones lógicas requerido por la determinación de los CM,sólo es posible con eficiencia y sin errores mediante el empleo de técnicas decomputación. Debe tenerse en cuenta que el consumo de memoria y tiempo demáquina como función del número de componentes y la complejidad del árbol sigueuna ley exponencial.

Para árboles de cierta complejidad, con cientos o miles de compuertas y sucesos básicos,la determinación de los CM sólo es posible mediante un software potente y unacomputadora rápida con suficiente memoria operativa y en disco. La inmensa mayoría delos programas de APS de uso actual están soportados en computadoras "Mainframe" yuna buena parte de los que trabajan en computadoras personales (PC) confronta seriaslimitaciones de memoria y velocidad. No obstante, el creciente desarrollo de los PC hapropiciado el surgimiento de algunos sistemas capaces de manejar árboles de fallascomplejos en PC, como es el caso de ARCON (ver Anexo B).

3.3. Evaluación cuantitativa de las fallas.

La evaluación cuantitativa de árboles de fallas consiste, básicamente, en la determinaciónde la probabilidad de ocurrencia del suceso tope que describe la falla del sistema, a partirde las probabilidades de los CM, que representan las contribuciones de todos los modosde falla posibles.

Sean CM1 y CM2 dos CM del árbol de fallas. La probabilidad de que ocurra el modo defalla CM1 o el modo de falla CM2, es decir, la probabilidad de falla del sistema por una deestas dos vías será:

P(CM1+CM2)=P(CM1)+P(CM2)-P(CM1.CM2) [3.3.1]

donde el suceso CM1.CM2 representa la ocurrencia simultánea de ambos modos de falla,que de no restarse se estaría sumando dos veces al resultado final y produciría susobreestimación.

Si ahora se tratara de tres conjuntos mínimos CM1,CM2 y CM3, la expresión de laprobabilidad de falla del sistema por estas tres vías sería:

P(CM1+CM2+CM3)=P(CM1)+P(CM2)+P(CM3)-P(CM1.CM2)-P(CM2.CM3)--P(CM1.CM3)+P(CM1.CM2.CM3)

[3.3.2]

En la expresión [3.3.2] se restan las combinaciones de CM de orden 2, pues de nohacerlo se estaría considerando dos veces. Sin embargo, al restar estos tres términoseliminamos completamente la contribución CM1.CM2.CM3 que debe ser restituidaadicionando el último sumando.

En el caso general de N conjuntos mínimos de corte, la probabilidad de falla del sistemaviene dada por la siguiente expresión:

N N N N P( Σ CMi)= Σ P(CMi) - Σ Σ P(CMi) P(CMj) + i=1 i=1 i=1 j=i+1

N N N Σ Σ Σ P(CMi) P(CMj) P(CMk) - ... i=1 j=i+1 k=j+1

N +(-1)N+1 Π P(CMi) [3.3.3] i=1

Para industrias de elevada confiabilidad y bajos niveles de riesgo, la expresión [3.3.3]puede simplificarse notablemente tomando en cuenta que la probabilidad de un CM es unvalor mucho menor que 1, lo que se conoce como aproximación de sucesos raros. Bajoestas condiciones, en la expresión [3.3.3] los términos de segundo orden y superiorespueden ser despreciados frente al primer sumando que hará la contribución fundamental,con lo que se obtiene la expresión:

N N P( Σ CMi)= Σ P(CMi) [3.3.4] i=1 i=1

Esto equivale a suponer que los CM son mutuamente excluyentes, es decir, que seconsidera sumamente improbable la ocurrencia simultánea de varios CM (la ocurrenciade un CM excluye la posibilidad de ocurrencia de cualquiera de los otros).

Si comparamos las fórmulas [3.3.3] y [3.3.4] es fácil comprobar que el valor dado por[3.3.4] sobrestima el valor real, por cuanto los términos que se desprecian van siendomenores en la medida que aumenta su orden y los signos alternos comienzanprecisamente con una resta. De esta forma, la contribución que se elimina al pasar de[3.3.3] a [3.3.4] tiene signo negativo y conduce a una sobreestimación de la probabilidadde falla en [3.3.4]. Esta es una ventaja de la expresión, pues al aplicarla sabemos queestamos siendo conservadores. Sin embargo, para aquellos casos en que lasprobabilidades de falla son elevadas y deja de cumplirse la aproximación de sucesosraros la sobreestimación puede ser considerable hasta el punto de obtenerseprobabilidades de falla del sistema mayores que 1.

Veamos a continuación otra expresión para evaluar la probabilidad de falla del sistema.En este caso se parte del supuesto de que los CM son sucesos independientes, es decir,se asume que la ocurrencia de un CM no modifica la probabilidad de ocurrencia de losrestantes. Esta suposición resulta válida cuando los sucesos básicos son independientesy de baja probabilidad, pues cada CM contiene uno o varios componentes que lodiferencian del resto y bajo estas condiciones la modificación de la probabilidad de un CMpor la ocurrencia de otro resulta pequeña.

La fórmula que se emplea en este caso para hallar la probabilidad de falla delsistema (Pf) es:

N Pf= 1 - Σ [ 1 - P(CMi) ] [3.3.5] i=1

En esta expresión, el término 1- P(CMi) representa la probabilidad de que el conjuntomínimo CMi no ocurra. El producto de estos términos para todos los CM desde 1 hasta Nes la probabilidad de que no suceda ningún CM, suponiendo que ellos son

independientes, es decir, la probabilidad de que el sistema no falle. El complemento deeste suceso tiene una probabilidad igual a 1 menos el valor anterior, y es precisamente laprobabilidad de que tenga lugar al menos un CM, es decir, la probabilidad de que elsistema falle.

Aunque la expresión [3.3.5] es más compleja de evaluar y su aplicación también estálimitada a sucesos de baja probabilidad para que sea válida la suposición deindependencia entre CM, tiene una ventaja sobre la fórmula [3.3.4] y es que nunca davalores de probabilidad superiores a la unidad. Cuando la aproximación de sucesos raroses válida y se calcula por las expresiones [3.3.4] y [3.3.5] se observa una diferenciadespreciable entre ambas, con valores ligeramente superiores al emplear [3.3.4]. Al dejar de cumplirse la aproximación de sucesos raros los resultados de ambas expresionescomienzan a diferenciarse notablemente, pues mientras [3.3.4] crece de manerasostenida cuando aumentan las probabilidades de los conjuntos mínimos, [3.3.5]comienza a saturarse y tiende a uno.

Hagamos seguidamente el análisis cuantitativo de las fallas del sistema del ejemplo 3.1.1,a partir de los CM dados por [3.2.13] mediante las fórmulas de cálculo [3.3.4] y [3.3.5].Para ello tendremos que hallar primeramente las probabilidades de falla de cada uno delos sucesos primarios, determinar seguidamente las probabilidades de cada uno de losCM, y, finalmente, la probabilidad de falla del sistema.

- Probabilidades de falla de los sucesos primarios.

Con excepción del suceso primario E, que representa un error humano por la no -actuación a tiempo del operador, todos los modos de falla se considerarán en esta fasedel análisis como no controlables, es decir, que durante 1 año de trabajo (aprox. T=8000h) los componentes se explotan ininterrumpidamente entonces son sometidos a unmantenimiento anual que renueva sus propiedades y reduce la probabilidad de falla alvalor inicial 0.

1) Tpn - Rotura del tanque a presión normal

Modo de falla no controlado con rata de fallas 1E-8/h. Aplicando la expresión [2.4.4] yconsiderando T=8000h como el tiempo total de trabajo hasta que el sistema se sometea mantenimiento, así como también qad=0 y Tpr=0 se obtiene:

qTpn = 1 - { 1 - EXP( -1E-8 x 8000 ) } / ( 1E-8 x 8000 ) = 4.00E-5

2) Va - No abre la válvula de alivio del tanque

Modo de falla no controlado, con rata de fallas 3E-4/h y T=8000h. De forma análoga alcaso anterior, se obtiene:

qVa = 1 - { 1 - EXP( -3E-4 x 8000 ) } / ( 3E-4 x 8000 ) = 6.21E-1

3) M - Manómetro del tanque trabado o indica por debajo

Modo de falla no controlado, con rata de fallas 1E-5/h y T=8000h. De forma análoga a loscasos anteriores, se obtiene:

qM = 1 - { 1 - EXP( -1E-5 x 8000 ) } / ( 1E-5 x 8000 ) = 3.90E-2

4) E - El operador no responde ( error humano )

Probabilidad de falla fija, estimada en qE = 1E-2

5) R - Los contactos del "relay" fallan cerrados

Modo de falla no controlado, con rata de fallas 2.7E-7/h y T=8000h. De forma análoga alos casos anteriores, se obtiene:

qR = 1 - { 1 - EXP( -2.7E-7 x 8000 ) } / ( 2.7E-7 x 8000 ) = 1.08E-3

6) SC - Sobrecorriente en el circuito de potencia (falla causa común que mantienecerrados los contactos del "relay" y del interruptor I2)

Modo de falla no controlado, con rata de fallas 1E-8/h y T=8000h. De forma análoga alos casos anteriores, se obtiene:

qSC = 1 - { 1 - EXP( -1E-8 x 8000 ) } / ( 1E-8 x 8000 ) = 4.00E-5

7) T - Los contactos del "timer" fallan cerrados

Modo de falla no controlado, con rata de fallas 1E-4/h y T=8000h. De forma análoga alos casos anteriores, se obtiene:

qT = 1 - { 1 - EXP( -1E-4 x 8000 ) } / ( 1E-4 x 8000 ) = 3.12E-1

8) I1 - Los contactos del interruptor fallan cerrados

Modo de falla no controlado , con rata de fallas 8E-6/h yT=8000h. De forma análoga a los casos anteriores, se obtiene:

qI1 = 1 - { 1 - EXP( -8E-6 x 8000 ) } / ( 8E-6 x 8000 ) = 3.13E-2

9) I2 - Los contactos del interruptor fallan cerrados

Modo de falla no controlable, con rata de fallas 8E-6/h yT=8000h. De forma análoga a los casos anteriores, se obtiene:

qi2 = 1 - { 1 - EXP( -8E-6 x 8000 ) } / ( 8E-6 x 8000 ) = 3.13E-2

- Probabilidades de falla de los CM.

De orden 1: 1 Tpn 4.00E-5 De orden 2: 1 Va.SC 2.48E-5 De orden 3: 5 Va.M.R 2.61E-5 Va.M.T 7.54E-3 Va.E.R 6.70E-6 Va.E.T 1.94E-3 Va.I2.R 2.10E-5 De orden 4: 1 Va.I2.T.I1 1.90E-4 Total : 8 9.78E-3

La probabilidad de falla del sistema mediante la expresión [3.3.4] es 9.78E-3/año. Estosignifica que el tiempo medio hasta la falla del tanque por sobrepresión esaproximadamente de 102 años. Si se emplea la fórmula [3.3.5], se obtiene un valorligeramente inferior, 9.76E-3/año. La concordancia de ambos resultados demuestra laaplicabilidad de la aproximación de sucesos raros a este ejemplo.

Como ya habíamos expresado, el interés principal del análisis radica en la evaluación delos modos de falla mayores contribuyentes a la probabilidad de falla del sistema. Paraesto resulta conveniente ordenar los CM según su probabilidad de la siguiente forma:

% % Acum.1) Va.M.T 7.54E-3 77.06 77.062) Va.E.T 1.94E-3 19.78 96.843) Va.I2.T.I1 1.90E-4 1.94 98.784) Tpn 4.00E-5 0.42 99.205) Va.M.R 2.61E-5 0.27 99.476) Va.SC 2.48E-5 0.25 99.727) Va.I2.R 2.10E-5 0.21 99.938) Va.E.R 6.70E-6 0.07 100.00

9.78E-3 100.00

En estos resultados se aprecia como más del 95% de las fallas del sistema se concentranen los 2 primeros CM. Como era de esperar, la falla de la válvula de alivio, que apareceprácticamente en todos los CM es un suceso básico clave para la falla del sistema.

Sin embargo el CM #6, donde aparece la falla por sobrecorriente en el circuito depotencia, prácticamente no contribuye a la falla del sistema, a pesar de su condición defalla causa común. Esto se debe a su probabilidad de falla comparativamente menor quela de otros modos de falla del sistema. Así pues, no siempre los CM de orden inferior sonlos mayores contribuyentes. A veces una secuencia más compleja de varias fallas puedeser preponderante. En este ejemplo los CM de orden 1 y 2 aportan solamente un 0.67%de la probabilidad de falla del sistema, mientras que el único CM de orden 4 aparece en latercera posición con un aporte de 1.94%.

Es importante que notemos la importante contribución que hace la falla de los contactosdel "timer" a la apertura, que conjuntamente con la falla de la válvula de alivio forma partede los 3 CM más importantes con un aporte del 98.78% de la probabilidad de falla total.

El error humano por acción tardía del operador, aunque reviste cierta importancia puesforma parte del CM #2 que aporta el 19.78%, no constituye un foco de atención vital parareducir la probabilidad de falla de este sistema. La vía a seguir debe ser tratar de elevar laconfiabilidad de la válvula de alivio Va y del "timer" T.

Una alternativa puede ser realizar una prueba mensual del estado de estos componentes para proceder al mantenimiento correctivo cuando la prueba detectealguna insuficiencia. Realizando estas pruebas periódicas, sólo a dichos componentes,podemos reducir sustancialmente la probabilidad de falla del sistema y el peligro de roturadel tanque.

Bajo estas condiciones, se recalculan las probabilidades de falla de la válvula de alivio yel tanque, mediante la fórmula [2.4.14], con tiempo entre pruebas de 720 horas (1 mes) ydespreciando la duración de la prueba (ç“=0). Dado que durante la prueba el sistema noestá en operación, así como tampoco durante el mantenimiento correctivo que serequiera, no se han considerado las contribuciones a la probabilidad de falla dadas por[2.4.10] y [2.4.12]. En este caso, el efecto de la prueba mensual es un corte de losmecanismos de falla de estos dos componentes cada 720 horas y no al cabo del año detrabajo, con lo cual sus probabilidades de falla se reducen sustancialmente.

Las nuevas probabilidades de falla son:

2) Va - No abre la válvula de alivio del tanque

Modo de falla controlado periódicamente, con rata de fallas 3E-4/h y tiempo entrepruebas de 720h.

qVa = ( 3E-4 x 720 ) / 2 = 1.08E-1

7) T - Los contactos del "timer" fallan cerrados

Modo de falla controlado periódicamente, con rata de fallas 1E-4/h y tiempo entrepruebas de 720h. De forma análoga al caso anterior, se obtiene:

qT = ( 1E-4 x 720 ) / 2 = 3.60E-2

Los resultados de la evaluación cuantitativa en estas nuevascondiciones son: % % Acum.

1) Va.M.T 1.51E-4 61.11 61.112) Tpn 4.00E-5 16.14 77.253) Va.E.T 3.89E-5 15.69 92.944) Va.M.R 4.54E-6 1.83 94.775) Va.SC 4.32E-6 1.74 96.826) Va.I2.T.I1 3.82E-6 1.54 98.067) Va.I2.R 3.65E-6 1.47 99.538) Va.E.R 1.17E-6 0.47 100.00

2.47E-4 100.00

El efecto de la prueba mensual de los 2 componentes seleccionados reduce laprobabilidad de falla del sistema en más de un orden. El nuevo valor de tiempo mediohasta la falla es ahora de 4049 años. En la nueva estructura de contribuciones de los CMvemos que aunque las fallas de la válvula de alivio y del "timer" continúan siendopredominantes, su aporte relativo es menor. La falla del tanque a presión normalcomienza a tener un aporte sustancial, lo que significa que la protección a la falla porsobrepresión se ha hecho más efectiva.

Otras posibles alternativas de mejora al sistema respecto a la variante inicial serían:

- Usar componentes de mayor calidad y con menor rata de fallas.

Por ejemplo, si empleamos un "timer" con rata de fallas inferior en un orden (1E-5/h), laprobabilidad de falla de este componente se reduce a 3.90E-2 y la del sistema disminuye,consecuentemente, al valor 1.32E-3/año. El tiempo medio hasta la falla para estascondiciones es de 758 años.

La nueva estructura de los CM es:

% % Acum. 1) Va.M.T 9.43E-4 71.03 71.03 2) Va.E.T 2.42E-4 18.23 89.27 3) Tpn 4.00E-5 3.01 92.28 4) Va.M.R 2.61E-5 1.97 94.25 5) Va.SC 2.48E-5 1.87 96.12 6) Va.I2.T.I1 2.37E-5 1.79 97.91 7) Va.I2.R 2.10E-5 1.58 99.49 8) Va.E.R 6.70E-6 0.51 100.00 1.32E-3 100.00

- Utilizar un "timer" redundante idéntico en serie con el que ya aparece en el circuito.

Esta mejora incorpora un nuevo componente y, por tanto, modifica tanto los datos deconfiabilidad como la propia estructura del árbol de fallas. Donde antes aparecía elsuceso básico T (los contactos del "timer" fallan cerrados), ahora se incluye en su lugaruna compuerta AND cuyas entradas son la falla por contactos cerrados de los dos"timers" en serie T1 y T2. Bajo estas condiciones, es necesario realizar la evaluacióncualitativa del nuevo árbol de fallas y determinar sus CM. Sin embargo, dada lasimplicidad de la modificación realizada en este caso específico, resulta evidente que losnuevos CM pueden obtenerse de forma sencilla, reemplazando el suceso básico originalT, por el suceso compuesto T1.T2, que representa la falla simultánea de los dos "timers"en serie.

Finalmente, si realizamos la nueva evaluación cuantitativa partiendo de que qT1 = qT2 =qT , se obtiene:

% % Acum. 1) Va.M.T1.T2 2.35E-3 75.05 75.05 2) Va.E.T1.T2 6.03E-4 19.27 94.32 3) Va.I1.I2.T1.T2 5.92E-5 1.89 96.21 4) Tpn 4.00E-5 1.28 97.49 5) Va.M.R 2.61E-5 0.83 98.32 6) Va.SC 2.48E-5 0.79 99.12 7) Va.I2.R 2.10E-5 0.67 99.79 8) Va.E.R 6.70E-6 0.21 100.00 3.13E-3 100.00

Esta modificación incrementa la confiabilidad en algo más de 3 veces. El nuevo tiempomedio hasta la falla es de aproximadamente 320 años.

Hemos podido apreciar en un ejemplo ilustrativo muy simple, como la técnica de árbolesde fallas constituye una herramienta muy útil para fundamentar cuantitativamente la tomade decisiones en materia de confiabilidad y seguridad de sistemas, las cuales puedenser modificaciones pequeñas en el diseño o tipo de equipos utilizados, ajustes en laestrategia de pruebas y mantenimiento, etc., y, sin embargo, pueden tener un impactosignificativo y cuantificable.

Con este propósito el APS se ha ido estructurando y fortaleciendo con numerososindicadores y técnicas de análisis que cuantifican la importancia de diversos factores deldiseño y la explotación .

3.4. Técnica de árboles de sucesos.

Veamos, por último, un nuevo enfoque del proceso que tiene lugar en el ejemplo 3.1.1.Hasta ahora consideramos de forma deductiva, mediante la técnica de árboles de fallas,todas las combinaciones de sucesos primarios que conducen al suceso tope no deseado,rotura del tanque en condiciones de carga normal o por sobrepresión. Si analizamos lossucesos primarios considerados, llegaremos a la conclusión de que estos pueden ser dedos tipos:

Iniciadores: Fallas de equipo, errores humanos o sucesos externos que crean unacondición de peligro de daño al sistema y requieren la acción de medios protectores oacciones del operador para contrarrestarlos o mitigar sus efectos.

Facilitadores: Fallas de equipo o errores humanos que facilitan el desarrollo de la avería,a partir del iniciador, hacia un estado final no deseado de daño al sistema, al inhabilitarlas acciones protectoras previstas.

En el ejemplo existen 3 posibles iniciadores de una avería que conduzca a la rotura deltanque por sobrepresión, que es el estado final no deseado. Ellos son:

. R - Los contactos del "relay" fallan cerrados

. SC - Sobrecorriente en el circuito de potencia

. T - Los contactos del "timer" fallan cerrados

Los facilitadores, que podrían conducir a la rotura del tanque si ocurriera alguno de losiniciadores anteriores son:

. Va - No abre la válvula de alivio del tanque

. M - Manómetro del tanque trabado o indica por debajo

. E - El operador no responde ( error humano )

. I1 - Los contactos del interruptor fallan cerrados

. I2 - Los contactos del interruptor fallan cerrados

El nuevo enfoque a que hacemos referencia, consiste en una técnica de análisisinductivo, denominada árbol de sucesos, que partiendo de un iniciador particular,determina las posibles vías conocidas como secuencias, que conducen al suceso final no deseado más general, en el ejemplo, la rotura del tanque por sobrepresión.

En la figura 3.4.1 se muestran los árboles de sucesos para cada uno de los 3 iniciadoresposibles. Los encabezamientos del árbol de sucesos son funciones necesarias para laprotección del tanque contra la rotura por sobrepresión, que implican el funcionamiento decomponentes, equipos o el éxito de determinadas acciones del operador. En ocasionesuna función se desdobla en varias acciones o en la actuación de varios sistemas, comoocurre en la figura 3.4.1 a), donde la función desconexión por el operador se hadesdoblado en dos actividades, la desconexión del circuito de potencia y la desconexióndel circuito de control. Para las acciones o sistemas en el encabezamiento del árbol desucesos se producen, cuando corresponde, bifurcaciones en dos caminos posibles, eléxito que va conduciendo a un estado final seguro, o la falla, que nos lleva al estado finalno deseado. El árbol de sucesos se va ramificando para dar lugar a un conjunto desecuencias, que se diferencian por la condición de éxito o falla de las funcionesprotectoras en cada caso.

En el árbol de sucesos se marcan con la letra D aquellas secuencias en que la combinación de fallas de las funciones protectoras conducen al estado final no deseado(daño), mientras que con la letra E se señalan los estados finales exitosos. En el ejemplo,existe una sola secuencia de daño para cada árbol de sucesos, pues en las restantessecuencias se garantiza un estado final seguro del tanque. Sin embargo en los casos reales más complejos, pueden ser varias las secuencias de daño en cada árbol desucesos.

Por otra parte, no siempre se produce la bifurcación del árbol en cada sistema o acciónprotectora. En el árbol de sucesos de la figura 3.4.1 a) se aprecia como, por ejemplo, sitiene éxito la interrupción de la corriente en el circuito de potencia no se da ningunaalternativa para las restantes acciones protectoras (interrupción de la corriente en elcircuito de control y alivio de presión en el tanque), pues la primera ya garantiza laintegridad del tanque y no se requieren otras acciones. Existen otros casos en quedeterminadas funciones son alternativas a la falla de una función anterior y sólo semodelan opciones para ellas en los casos en que la función precedente no ha sidoexitosa.

Para hallar la probabilidad del suceso final no deseado, es preciso hallar lasprobabilidades de todas las secuencias que conducen al daño y sumarlas, teniendo encuenta las contribuciones de todos los iniciadores posibles. La evaluación de laprobabilidad de cada secuencia se realiza formando el árbol de fallas de la secuencia,que une con una compuerta AND a todos los árboles de fallas de las acciones protectorasque no tienen éxito en la secuencia. En la figura 3.4.2 se muestra el árbol de fallas de lasecuencia que conduce al daño del tanque por sobrepresión, para el iniciador T - Loscontactos del "timer" fallan cerrados. La única modificación con respecto al árbol de fallasde la figura 3.1.4 es que no se incluye el suceso primario sobrecorriente en el circuito depotencia SC como modo de falla del interruptor I2, porque SC es otro iniciador y laprobabilidad de ocurrencia simultánea de dos iniciadores (en este caso T y SC) esdespreciable.

Fig. 3.4.2. Arbol de fallas de la secuencia que conduce al daño del tanque por sobrepresión, para el iniciador T - Los contactos del "timer" fallan cerrados.

Si realizamos la determinación de los CM de la secuencia y el cálculo de su probabilidad,llegaremos a los siguientes resultados:

CM Prob.

T.M.Va 7.54E-3T.E.Va 1.94E-3 T.I1.I2.Va 1.90E-4 Total 9.67E-3

Análogamente, se determinan los CM y las probabilidades de las secuencias queproducen el daño al tanque, para los restantes iniciadores.

- Iniciador R - los contactos del "relay" fallan cerrados

CM Prob.

R.M.Va 2.61E-5 R.I2.Va 2.10E-5 R.E.Va 6.70E-6 Total 5.38E-5

- Iniciador SC - sobrecorriente en el circuito de potencia

CM Prob.

SC.Va 2.48E-5 Total 2.48E-5

La probabilidad de daño al tanque por sobrepresión puede hallarse como la suma de lasprobabilidades de daño para cada uno de los iniciadores posibles, teniendo en cuenta queéstos se consideran sucesos mutuamente excluyentes.

Finalmente, esta probabilidad de falla PTsp será:

PTsp = 9.67E-3 + 5.38E-5 + 2.48E-5 = 9.75E-3/año.

Se puede apreciar como estos resultados concuerdan con los obtenidos por la técnica deárboles de fallas para el suceso no deseado rotura del tanque por sobrepresión, queexcluye el suceso primario Tpn - Rotura del tanque a presión normal.

Para el análisis de industrias complejas no resulta conveniente, como se ha hecho en elejemplo 3.1.1, construir un árbol de fallas único, que incluya todos los sucesos primarios,tanto iniciadores como facilitadores, que se deducen del suceso tope no deseado. Estoresultaría demasiado complejo y dificultaría el análisis.

Lo más conveniente es partir de un estudio denominado Análisis de modos y efectos defallas (FMEA en inglés, ver anexo C), para identificar los posibles sucesos iniciadores deavería en la industria y estimar su frecuencia de ocurrencia.

Para cada uno de los iniciadores se desarrollan los árboles de sucesos que conducen aun estado final de daño, previamente definido de acuerdo con los objetivos del estudio yque puede ser solamente de carácter económico o incluir además posibles efectosnocivos sobre el personal de la industria y/o el medio ambiente. En los árboles desucesos se modela el comportamiento de las funciones protectoras previstas en cadacaso y se determinan las secuencias cuyo estado final es el daño.

Para evaluar la probabilidad de fallas de las funciones protectoras se aplica entonces latécnica de árboles de fallas, es decir, se realiza el análisis de confiabilidad del sistema olos sistemas que cumplen cada función. Para estimar la frecuencia esperada deocurrencia del estado final no deseado (daño), es necesario resolver grandes árboles defallas para cada secuencia de daño, que resulta de la integración de los árboles de fallasde los sistemas que no tienen éxito en dicha secuencia.

Esta es la esencia del APS y, para obtener todas las ventajas que él puede ofrecernos, elcamino a seguir es la construcción de un modelo integral de la industria, aplicando deforma combinada las técnicas de árboles de sucesos y árboles de fallas.

Las herramientas desarrolladas en el APS permiten cuantificar la importancia de sucesosbásicos, sistemas, secuencias accidentales y sucesos iniciadores de avería. Con estavaliosa información se pueden dirigir todos los esfuerzos a los puntos débilesidentificados con un nivel de integración que abarca toda la industria y toma en cuenta lasinterrelaciones e interdependencias entre sistemas, componentes y acciones humanas.

IV. Aplicaciones de los análisis de confiabilidad.4.1. Análisis de importancia y de sensibilidad.

4.1.1. Análisis de importancia.

Una de las aplicaciones de los análisis probabilista de seguridad de mayor utilidadpráctica, es la realización de los estudios de importancia. Estos tienen como objetivodeterminar el aporte relativo de cada componente o sistema al riesgo (probabilidad delsuceso no deseado) calculado desde el punto de vista del diseño, la operación u otrosaspectos.

Este aporte se expresa de forma cuantitativa por medio de las medidas de importanciaEn general las medidas de importancia (conocidas más de una decena en la literatura)evalúan el impacto que un determinado factor tiene sobre el riesgo global.

De manera genérica se expresa como:

Aunque el concepto de indisponibilidad y su cuantificación se aplican sólo acomponentes o sistemas a la espera, el término se acostumbra a usar para identificardiferentes tipos de análisis, como por ejemplo al análisis de indisponibilidad instantánea omedia, que pueden conjugar regímenes de espera y operación. Se utiliza comúnmenteademás en la definición de las medidas de importancia, como veremos a continuación.

De modo general, tres de las medidas de importancia más empleadas en estos análisis,son :

4.1.1.1. Medida de importancia Fussel-Vesely.

Esta medida de importancia, cuando se define para un componente dentro de un sistema,es la suma de las probabilidades de cada uno de los conjuntos mínimos donde estápresente el componente, dividida entre la probabilidad total de falla del sistema dereferencia, o sea, representa el aporte relativo de indisponibilidad de dicho componente ala indisponibilidad total del sistema.

Esta medida de importancia es siempre menor que la unidad y se expresa como:

ΣQcmi FV = [4.1.1] Qm

Importancia delfactor sobre elriesgo

Contribución del factor alriesgo ó cambio del riesgo

introducido por el factor=

donde:

ΣQcmi Suma de las probabilidades de los conjuntos mínimos donde se encuentra el componente i. Qm Indisponibilidad media del sistema.

4.1.1.2. Medida de importancia de Reducción del Riesgo.

Esta medida de importancia da un criterio de cuanto puede disminuir el riesgo global, siel componente objeto del análisis fuera perfecto, es decir que su probabilidad de falla esigual a cero. En el sistema ARCON se determina de dos formas: por la fórmula delcociente y la fórmula de la resta.

De la primera fórmula se obtienen siempre valores mayores que la unidad y su expresiónes la probabilidad de falla del sistema dividida entre la probabilidad de falla del mismocon el componente completamente disponible ( estado perfecto o indisponibilidad delcomponente igual a cero), esto se expresa como:

Qmedia RRW = [4.1.2] Qmedia(Pi= 0)

donde

Qmedia(Pi=0) - Es la Qmedia con el componente i en perfecto estado.

La segunda fórmula (de la resta) se calcula mediante la diferencia entre la probabilidadde falla del sistema y la probabilidad de falla del mismo cuando la componente seencuentra en estado perfecto. Esto es:

RRW = Qmedia - Qmedia(Pi=0) [4.1.3]

Esta medida debe ser siempre mayor que cero. En el caso que sea igual a cero, significaque el componente objeto de análisis no está presente en ninguno de los conjuntosmínimos del sistema. Cuanto menos aporte relativo tenga el componente en el sistema,menor será el valor de la importancia. Esta medida de importancia proporciona unainformación muy útil en el proceso de selección de los componentes y en elestablecimiento de la configuración de los sistemas durante la etapa de diseño, puespermite agrupar en un orden jerárquico el grupo de elementos cuya mejora aporta unbeneficio sustancial en la disminución del riesgo global de los sistemas analizados.4.1.1.3. Medida de importancia de incremento del riesgo.

Esta medida de importancia da un criterio de cuanto puede aumentar el riesgo global, si elcomponente objeto de análisis es totalmente imperfecto, o sea, suponiendo que su probabilidad de falla es igual 1.

Las fórmulas son las siguientes:

- cociente,

Qmedia(Pi= 1) RAW = [4.1.4] Qmedia

- resta,

RAW = Qmedia(Pi=1) - Qmedia [4.1.5]

Ambas expresiones son útiles para evaluar el aporte relativo de cada uno de loscomponentes por separado al incremento del riesgo de un sistema, partiendo de queestos componentes se encuentran fallados o fuera de servicio. En la práctica estamedida permite dirigir los esfuerzos hacia aquellos elementos de mayor impacto sobre elriesgo (indisponibilidad) durante la actividad de explotación.

4.1.1.4. Estudios de Priorización.

Dentro del amplio espectro de aplicaciones de APS, los estudios de priorizaciónconstituyen una de las herramientas prácticas que más utilidad reportan en el aumentode la disponibilidad operacional de instalaciones industriales.

Los procedimientos de priorización se basan en:

- Contribución de conjuntos mínimos.- Medidas de importancia de riesgo.

Los estudios de priorización basados en importancia constituyen una aplicación particularde los análisis de importancia. La característica distintiva de los análisis de importanciahabitualmente realizados por otros sistemas en el mundo es que el ordenamiento de loscontribuyentes según su importancia se realiza sin tener en cuenta ningún atributo, por loque resulta imposible identificar el aporte de determinados modelos, parámetros u otrascaracterísticas específicas (tiempo entre pruebas, tiempo permisible fuera de servicio,mantenimientos, tipo de componente, etc) a la frecuencia del suceso no deseado o a laindisponibilidad operacional de la instalación.

Cuando se realizan estudios de priorización es posible determinar claramente la influenciasobre la frecuencia del suceso no deseado o la indisponibilidad operacional de lainstalación, del atributo escogido como parámetro para realizar la priorización. Para laimplementación de los estudios de priorización por importancia se han desarrollado

determinados procedimientos según el atributo seleccionado para el mismo. Estosatributos son:

- Tiempo entre pruebas.- Mantenimiento.- Modelo de componente.- Tiempo permisible fuera de servicio (AOT).- Sin atributo.

Cuando se realiza un estudio de priorización dado con el objetivo de identificar lacontribución de algún atributo (tiempo entre pruebas, AOT y otros ) a la indisponibilidaddel sistema, es indispensable realizar una selección de los componentes, que por suinfluencia en el atributo deben ser incluidos en el análisis y separar dentro de los modelosde cálculo de cada componente, aquellos términos relacionados con el atributo encuestión.

En los estudios tradicionales de APS, la modelación de los componentes-modos de fallasse realiza explícitamente, es decir están separados los contribuyentes que representanindisponibilidad durante las pruebas, fallas ocultas y mantenimientos correc-tivos . Esteaspecto, aunque simplifica los estudios por parámetros medios, complica la ejecución deestudios de indispo-nibilidad instantánea, ya que se pierde la continuidad de la funciónque describe la indisponibilidad de un componente en el que se conjuguen todas estascaracterísticas de fallas.

Esto significa, que en los estudios de priorización generalmente realizados, basta conseleccionar para los análisis aquellos componentes, cuyas características correspondenal atributo por el que se prioriza; mientras que en ARCON, adicionalmente a lo anterior, elsistema realiza (de forma automática) la selección en el modelo de indisponibilidad mediade los componentes sujetos a priorización de los términos que corresponden al atributoen cuestión.

El significado de esta afirmación se explica detalladamente para cada caso en la siguientetabla:

Priorización por Elementos a tener en cuenta y términos de la fórmula que se consideran

Tiempo entre pruebas Se realiza sólo para elementos probados periódicamente(Tipo 4 según ARCON). Se tiene en cuenta el término dela fórmula Qcomp=Pnt(ç“/Tp) (ver [2.4.10]) , que es elaporte de las pruebas a la Qmedia. La priorización serealiza por RRW, yaque la misma expresará en este caso cuanto disminuye el riesgo cuando se logra reducira cero la indisponibidad durante la prueba (pruebaperfecta). La fórmula de la RRW en este caso esidéntica a la fórmula de la resta ya explicada y sólo se tienen en cuenta los parámetros:

Qmedia del sistema - Qmedia de los CM concomponentes tipo 4, considerando para la Qcomp. sólo el término de la fórmula anteriormente explicado.

Qmedia(Pi=0) - Qmedia del sistema,explicada en este aspecto pero considerando probabilidad cero para el componente i tipo 4.

Mantenimiento Sólo se consideran los elementos que se afectan con losmantenimientos. Para ARCON son los tipos 3, 4 y 6.En cada caso los términos que se tienen en cuentason:

R Tipo 3 Qcomp = (ver [2.4.7]) R + µ

Tipo 4 Qcomp= q = 1/2 Rdet*(Tp-τ)+ +Rdet(Tr+Phe(Tp-τ-Tr) +1-(1/RnoT)(1-EXP(-RnoT)) + qad (ver [2.4.15])

donde:

Rdet=(1-Inef).R;Rno=Inef.R; Phe=Phet+(1-Phet)Phem

Tipo 6 Qcomp= ç“m/Tm

La priorización se realiza por la medida RRW. Paralos componentes tipo3 y 4 la RRW indica en cuanto sereduce el riesgo de realizarse un efectivo mantenimiento en los componentes analizados quefuera capaz de llevar su indisponibilidad a cero. Para loscomponentes tipo 6 la RRW representa la reducción deriesgo que se logrará si se redujera a cero la indisponibilidad del componente Los aspectos sobre el cálculo de la Qmedia y de la RRW siguen las mismasreglas anteriores pero adaptadas a es-tos tipos decomponentes.

Tiempo permisible fuera de servicio(AOT)

En este caso sólo se consideran los elementos con posibilidad de salir fuera de servicio de acuerdo a lasespecificaciones técnicas de la instalación. Para ARCONestos son los tipos 4 y los tipos 1 y 3 que el usuarioconsidere necesario y a los cuales ha asignado un valorde AOT en la base de datos.

La medida seleccionada para priorización es la RAW,que significa cuanto se incrementa el riesgo cuando el componente está fuera de servicio. El valor RAW secalcula tal como se plantea en la fórmula [4.1.5].

Sin atributo La priorización sin atributo como su nombre indica serealiza sin ninguna eliminación de tipos de componentes. Se priorizan las contribucionespartiendo de la medida RRW que se calcula de acuerdo a la fórmula [4.1.3] . En este caso la priori-zación se realiza atendiendo al impacto global que tienecada componente sobre la reducción del riesgo, sinseparar las contribuciones debidas a uno u otro factor.

Por modelo de componente Para priorización por modelo de componente se puedeutilizar el campo sistema, sí dentro del mismo se hahecho la descripción del modelo de componente. Comomodelo se entiende válvula eléctrica, neumática, bombaeléctrica, diesel y otros. Esta priorización se basa tambiénen la RRW de cada componente. Esta opción en ARCONse encuentra en desarrollo. En dependencia de laresolución de la base de datos, estos análisis se puedenllevar hasta el nivel de priorización de componentessegún el diseño y/o fabricante de los mismos

Cuando se realiza un estudio de priorización a partir de determinado atributo específico,el cálculo de la medida de importancia a utilizar se adecúa al atributo objeto depriorización.

Cuando se trata de realizar un estudio de priorización la posibilidad de su ejecución essimple, si se parte del hecho de que los procedimientos están elaborados correctamente.Lo novedoso en este caso resulta la implementación de los estudios de priorización porimportancia, directamente dentro de un sistema de APS combinado con todas lasposibilidades que caracterizan al sistema ARCON ( análisis de indisponibilidad media einstantánea, análisis de sensibilidad, ,puntos aislados del tiempo, etc ).

Los estudios de priorización por importancia, que se han previsto dentro del sistemaARCON como una opción particular del Análisis de Importancia, fueron enumerados en eldesarrollo de este aspecto.

Las ventajas que reporta el análisis dentro del sistema son evidentes:

1. Realización de los estudios de priorización utilizando el sistema directamente ydocumentación inmediata de estos resultados con los listados, según se establece enlos procedimientos de priorización de los mayores y menores contribuyentes alimpacto al riesgo.

2. Ensayar posibles medidas de reducción de la contribución al impacto al riesgo de losmayores contribuyentes cambiando las bases de datos y realizando nuevos estudiosde priorización.

3. Combinar los estudios de priorización con otras potencialidades existentes en elsistema, como análisis de sensibilidad lo que contribuye a la optimización de losparámetros más sensibles de los componentes prioritarios.

Para culminar el desarrollo de este epígrafe se presenta una tabla de priorización decontribuyentes tomando como atributo el tiempo entre pruebas, obtenida con el sistemaARCON, para un sistema tecnológico de seguridad. En estudios de priorización al nivelde parte o de todo el APS o de estudios de disponibilidad de planta, se observandiferencias notables entre los mayores y menores contribuyentes, lo que permitecategorizarlos por grupos de impacto al riesgo. Este análisis realizado, a los nivelesanteriormente mencionados, permite descartar los contribuyentes de menor impacto deacuerdo al atributo utilizado durante la priorización y centrar la atención en los mayorescontribuyentes.

A continuación se presenta una tabla de priorización por tiempo entre pruebas para unsistema de seguridad de una Central Nuclear.

COMPONENTES RRW % RRW %Acum38 LF-TH23S01-O 9.69E-6 17.33 9.96E-6 17.3312 LF-TH43S01-O 9.69E-6 17.33 1.93E-5 34.6620 LF-TH63S01-O 9.69E-6 17.33 2.90E-5 51.995 LF-TH21D01-S 8.60E-6 15.38 3.76E-5 67.3827 LF-TH41D01-S 8.60E-6 15.38 4.62E-5 82.7645 LF-TH61D01-S 8.60E-6 15.38 5.48E-5 98.146 LF-TH20S04-O 1.84E-7 0.33 5.50E-5 98.4728 LF-TH40S04-O 1.84E-7 0.33 5.52E-5 98.80

Tabla 4.1.1. Priorizacion por tiempo entre pruebas.

4.1.2. Análisis de Sensibilidad por indisponibilidad media.

Los análisis de sensibilidad tienen como propósito conocer la influencia de determinadoparámetro, variables o combinaciones de estas en la indisponibilidad final de lossistemas.

Para que estos análisis tengan un resultado apreciable, deben realizarse a loscomponentes que más contribuyen a la indisponibilidad total de los sistemas, cuestiónque se logra dirigiendo los estudios a los componentes más importantes, obtenidos de losanálisis de importancia.

El tipo de análisis de sensibilidad debe corresponder con el tipo de estudio de importanciarealizado, con vista a lograr elresultado esperado.

El sistema ARCON brinda la posibilidad de realizar diferentes estudios de sensibilidad,utilizando los modelos de indisponibilidad media de componentes.

Como variables de entrada se identifican:

- Probabilidad de falla fija.- Rata de falla.- Tiempo de reparación.- Duración de las pruebas/ mantenimientos.- Tiempo entre pruebas/ mantenimientos.

La forma de preparación del estudio de sensibilidad, parte de la asignación de lasvariables estudiada y parámetro, así como de los componentes afectados en cada caso.

En el caso más complejo, el resultado del estudio de sensibilidad es una gráfica de unafamilia de curvas cuyas características son:

1- En el eje de las abcisas se ubica la variable estudiada.

2- En el eje de las ordenadas se ubica el parámetro de fiabilidad que se estudia(Indisponibilidad a la demanda, probabilidad de falla en operación, probabilidad de nocumplimiento de la función de seguridad).

3- Cada una de las curvas de sensibilidad representa un valor de la variable parámetro.

Estos estudios permiten encontrar los valores óptimos de los parámetros que sonobjetos de análisis y tomar decisiones al respecto. Sin embargo, los estudios desensibilidad, utilizando los modelos de indisponibilidad media de componentes, estánlimitados en su alcance y por el número de parámetros que pueden ser analizados.

En el ejemplo de la figura 4.1.1 se muestra un estudio de sensibilidad donde se analiza elcomportamiento de un sistema, integrado por trenes redundantes, ante mejoras delequipamiento (variación de las ratas de fallas), junto con la influencia que produce loscambios de los tiempos entre pruebas de sus trenes. Se aprecia que existe una variaciónsignificativa de los valores de indisponibilidad en función del tiempo entre pruebas, asícomo también de la variación de las ratas de fallas. De esta curva es posible deducir elparámetro óptimo, para el tiempo entre pruebas de este sistema.

Fig. 4.1.1. Estudio de sensibilidad del comportamiento de la variación de la rata de fallas ( variable parámetro ) y lavariación de los tiempos entre pruebas (variable estudiada) en un sistema con trenes redundantes.

Para analizar el comportamiento de la variación de estos y otros parámetros (porejemplo, ineficiencia de las pruebas, envejecimiento debido a pruebas, escalonamiento depruebas y mantenimientos, etc.), estos estudios deben realizarse sobre la base demodelos de indisponibilidad instantánea, que ofrecen un resultado más realista e integral sobre el comportamiento temporal y medio de la indisponibilidad del sistema.

4.2. Análisis de Indisponibilidad Instantánea.

Los análisis de indisponibilidad sobre la base de modelos de indisponibilidad instantánea,describen el comportamiento de los valores de indisponibilidad de un sistema en cadainstante de tiempo.

En la mayoría de los casos, la distribución de los valores de indisponibilidad, en losestudios reales de sistemas, está acompañada de grandes variaciones y discontinuidadesque provocan saltos muy bruscos del comportamiento de esta función en el tiempo. Poresta razón, la representación gráfica de los valores de indisponibilidad, resulta una formamuy efectiva, y en algunos casos única, de conocer el comportamiento de determinadoparámetro en el tiempo. Para una mejor apreciación de los resultados, estos se graficanen escala semilogarítmica. La distribución de los valores de indisponibilidad se realiza enescala logarítmica en el eje "Y", mientras que los valores de la variable del tiempo en eleje "X" con escala lineal.

Los análisis de indisponibilidad instantánea exigen usualmente un gran consumo detiempo de cálculo, debido a la necesidad de determinar punto a punto los valores deindisponibilidad en el tiempo. La duración de este proceso depende, en gran medida, dela dimensiones (cantidad de eventos básicos) y complejidad (configuración einterdependencia) de los sistemas analizados y de los métodos de cálculos empleados.

Por esta razón, son poco frecuentes los estudios de confiabilidad basados enindisponibilidad instantánea, siendo más generalizada esta aplicación a estudios desistemas aislados.

La mayoría de los sistemas de APS en uso, se limitan a evaluaciones deindisponibilidades medias a partir de la indisponibilidades medias de los componentes,donde la razón fundamental, como es conocido, es que estos son más rápidos, puesrequieren la evaluación de los CM una sola vez.

Sin embargo, los análisis de indisponibilidad instantánea aportan una información máscompleta sobre las características de diseño, operación, pruebas y mantenimientode los sistemas, que permite dirigir los esfuerzos de una manera más eficaz sobre las áreas sensibles de los sistemas más importantes resultantes del APS.

En ARCON, el cálculo de los valores de indisponibilidad instantánea se realiza aplicandoel concepto de reducción booleana dinámica, que se introduce a partir de una nuevatécnica en la teoría de generación y cálculo de los CM.

La reducción booleana dinámica consiste en el reajuste dinámico, partiendo de unaforma novedosa de determinación y almacenamiento de los CM del árbol de fallas originaly de la eliminación total de los contribuyentes ilegales más importantes (supersets) quesurgen en el proceso evaluativo. El fichero de los CM obtenido inicialmente, mantienetoda la información necesaria, para realizar, en la medida que exista un cambio de la

configuración, la actualización de los CM del sistema, sin necesidad de recurrir a unanueva generación de los CM del árbol de fallas correspondiente a la nueva configuración.

Esta situación se presenta cuando se realizan pruebas o mantenimientos que sacancompletamente fuera de servicio a componentes o grupos de componentes. Bajo estascondiciones existe certeza sobre la condición de algunos componentes que estáncompletamente indisponibles y ello reduce el número de CM de falla del sistema en eseinstante. El resultado obtenido consiste en la posibilidad de reconfigurar dinámicamentelos CM del sistema en dependencia de su estado operativo, partiendo del árbol de fallasgenérico original, sin necesidad de reconfigurar el árbol y resolverlo para cada estado.Aunque el problema es conocido, no ha sido posible realizar estas reevaluaciones deforma dinámica debido al gran volumen de cálculo que representan y la prácticainternacional es calcular siempre todos los CM del árbol original aunque esto conduzca auna sobreestimación del resultado.

La generación de los CM de árboles de fallas suele ser en muchos casos un proceso parael que se requiere un gran tiempo de máquina, por lo que su realización de formarepetida, es una tarea que en la práctica sería ineficiente y poco competitiva. Lareducción booleana dinámica permite dar respuesta con efectividad a este problema ycomo consecuencia la obtención de una información más real del comportamiento de lossistemas analizados, que es el objetivo final de estos estudios. Se demuestra que loscálculos tradicionales por parámetros medios e instantáneos (sin reducción booleanadinámica), bajo las mismas condiciones de partida sobrevaloran el comportamiento de laindisponibilidad del sistema, y en algunos casos distorsiona también el comportamientoreal de determinados parámetros de fiabilidad. En particular, con respecto a los valoresde indisponibilidad media estos pueden llegar a una sobreestimación de un 30-40 %, eincluso mayor.

4.2.1. Parámetros que describen el comportamiento de las curvas de indisponibilidadinstantánea.

Existen dos parámetros significativos en los análisis tradicionales de indisponibilidadinstantánea, que de cierto modo, permiten conocer el comportamiento de los sistemas eincluso compararlos con otros. Estos son:

- Indisponibilidad Media: El valor de la indisponibilidad media a partir de los valoresinstantáneos de indisponibilidad se determina por la integral de la distribución de losvalores de indisponibilidad en función del tiempo, en el intervalo de observación (o sea, área bajo la curva) entre el tiempo total de observación.

De forma análitica:

∫=T

odttq

TQmed )(1

donde:

q(t) - función de indisponibilidad instantánea. T - tiempo de observación.

- Indisponibilidad máxima: El valor máximo que alcanza la indisponibilidad en un instantede tiempo, dentro del intervalo de observación.

Qmax= q(t1)

q(t1) - función de indisponibilidad instantánea.

t1 - tiempo donde se obtiene el valor máximo de indisponibilidad.

Junto a estos, hay otro grupo de parámetros específicos de componentes, definidos enel epígrafe 2.4 (tiempo entre prueba, tiempo de duración de las pruebas-mantenimiento, tiempo permisible con el componente fuera de servicio, tiempo hasta la primera prueba-mantenimiento, tiempo de reparación y otros), cuyo comportamiento aproximado serefleja en las curvas de indisponibilidad instantánea, brindando además una informaciónmuy útil para el análisis detallado del sistema.

NUEVOS CONCEPTOS APLICADOS AL ANÁLISISDE INDISPONIBILIDAD INSTANTÁNEA.

No obstante, la complejidad de los análisis de indisponibilidad instantánea ha exigido laadopción de nuevos conceptos que permitan abarcar las interioridades derivadas delcomportamiento temporal de la indisponibilidad de los sistemas.

Estos conceptos han demostrando su mayor utilidad en los casos de los análisiscomparativos entre sistemas de muy alta complejidad y con indisponibilidad media similar,en los que este último indicador no permite la selección del sistema, integralmente másadecuado, desde el punto de vista de la confiabilidad. Otra aplicación muy útil de estosconceptos es la comparación de la indisponibilidad de sistemas con respecto a metas defiabilidad específicas.

Una de las utilidades de mayor importancia, de los indicadores derivados de este grupode conceptos (vulnerabilidad, distribución, homogeneidad y contribución), es que permiteidentificar los contribuyentes predominantes entre los modos de falla posibles en elsistema.

Estos nuevos conceptos (o indicadores), aplicados al análisis de indisponibilidadinstantánea, se exponen a continuación:

- Vulnerabilidad VN ( Concepto introducido por J. Nápoles, coautor del sistema ARCON)..

Es el tiempo transcurrido expresado en horas totales acumuladas de indisponibilidad deun sistema, cuando el valor de indisponibilidad del sistema sobrepasa una metacuantitativa de indisponibilidad dada. O sea, es el tiempo que un sistema es"vulnerable" al valor establecido en una meta dada.

- Distribución NRS (Concepto introducido por J. Nápoles, J. Rivero y J. Salomón autores del sistema ARCON.)

La distribución representa el valor de la suma de las áreas de indisponibilidad en losintervalos de tiempo en que el sistema es vulnerable a una meta dada. El gráfico dedistribución representa entonces el comportamiento de la distribución en función de lavulnerabilidad del sistema.

- Homogeneidad.

Es un indicador que caracteriza el nivel de aplanamiento del gráfico de indisponibilidadinstantánea del sistema. Se calcula como la razón, expresada en por ciento, de lavulnerabilidad del sistema evaluada en el punto donde el indicador de distribución NRS esigual al valor medio de indisponibilidad del sistema entre el periodo total de observación.

- Contribución NRS.

La contribución es la suma de las razones de las áreas de indisponibilidad del sistemasobre el área total para determinada meta cuantitativa. Solamente se alcanza el valor delárea total de indisponibilidad del sistema cuando la meta cuantitativa es cero. El gráficode contribución representa este indicador en función de la vulnerabilidad del sistema. Eneste gráfico se representa el valor de indisponibilidad media del sistema, que es el valormáximo teórico que puede alcanzar este indicador.

En la figura 4.2.1 se muestra el estudio de indisponibilidad instantánea del ejemplo 3.1.1.El comportamiento esperado, está representado por el crecimiento exponencial de laindisponibilidad del sistema durante todo el tiempo de observación.

Fig. 4.2.1. Estudio de indisponibilidad instantánea para el caso base del ejemplo 3.1.1.

4.2.2. Análisis de sensibilidad por indisponibilidad instantánea.

Estos análisis, en comparación con los análisis de sensibilidad a partir de lasindisponibilidades medias de los componentes, abarcan un mayor número de parámetrosde fiabilidad y permiten, además, obtener una información más completa sobre lacontribución relativa de los propios parámetros en la indisponibilidad del sistema. Porejemplo, el análisis de la influencia del escalonamiento de las pruebas y losmantenimientos es un tipo de estudio de sensibilidad que solamente se puede hacersobre la base de modelos de indisponibilidad instantánea.

Un ejemplo, de aplicación práctica de estos análisis, se muestra en el gráfico comparativo del propio ejemplo 3.1.1 (ver fig. 4.2.2), donde se analiza la variante de pruebasconcentradas (timer y válvula de alivio probados juntos cada 720 horas) contra la variante de pruebas distribuidas (igual período de pruebas, pero con desplazamiento de360 horas entre ambos elementos). El resultado del estudio demuestra, de manerainobjetable, la influencia del desplazamiento de las pruebas en la variación de laindisponibilidad del sistema.

La variación obtenida representa una disminución de un 32 % del valor medio de laindisponibilidad del sistema, cuestión que no se revelaría si este estudio deindisponibilidad se realizara a partir de indisponibilidades medias de componentes.

Fig. 4.2.2. Gráfico comparativo entre las variantes de pruebasconcentradas y distribuidas del ejemplo 3.1.1.

Otras variantes de aplicación, tomando como ejemplo 3.1.1, se presentan en las fig.4.2.3 y 4.2.4.

En el primer caso, se compara el caso base con respecto a otra variante con introducciónde una mejora o cambio de equipamiento en la válvula de alivio, siendo la variación de larata de fallas, el parámetro que representa esta modificación.

Fig. 4.2.3. Gráfico comparativo entre dos variantes del estudio 3.1.1, caso base y variantecon cambio o mejora de la válvula de alivio del sistema. Valor inicial de la rata de fallas

(caso base), valor modificado (variante de cambio o mejora).

En el segundo caso, la comparación se realiza contra un ejemplo donde se modifica laconfiguración del sistema. Esta consiste en la adición de un segundo timer con idénticafunción. En este caso, es necesario variar el árbol de fallas del sistema, así como agregarun elemento en la base de datos de confiabilidad.

En cada uno de estos ejemplos, resulta fácil reconocer la característica delcomportamiento de cada parámetro de fiabilidad en el sistema, así como diferenciarde manera simple, un caso con respecto a otro. En este aspecto, la forma de la curva,tiene el peso fundamental en la información que se brinda en el gráfico deindisponibilidades instantáneas, y de aquí su utilidad en los estudios comparativos.

Fig. 4.2.4. Gráfico comparativo entre caso base y variante con dos timer.

El análisis de la influencia de la estrategia de las pruebas y mantenimientos, en laactividadde planificación para garantizar índices elevados de confiabilidad y seguridad, es unaaplicación de extrema importancia. Sólo mediante la aplicación de estos estudios esposible conocer el comportamiento temporal de estos índices de confiabilidad yseguridad de la instalación, en dependencia del comportamiento de la estrategia depruebas y mantenimientos.

Durante la modelación de la indisponibilidad instantánea de un sistema se presentanperiódicamente puntos donde, como consecuencia de la salida de servicio dedeterminados equipos, se pueden alcanzar configuraciones críticas o cercanas a lasmismas. La explicación detallada del control de configuración (control de configuracionescríticas y mantenimientos simultáneos), así como la utilización de la indisponibilidadinstantánea para el desarrollo de estas y otras aplicaciones de APS se abordan en elcapítulo V.

En la figura 4.de homogenevariante de prse muestra lacorrespondiendistribuidas, qde distribucióaplanamiento

Fig. 4.2.5. Estudio de indisponibilidad instantánea del ejemplo3.1.1 del caso base con pruebas concentradas.

2.6 se muestra la curva de comportamiento de la distribución NRS y el valoridad correspondiente al estudio de instantánea del ejemplo 3.1.1 para lauebas concentradas, que se presenta en la figura 4.2.5. En la figura 4.2.8 curva de comportamiento de la distribución NRS y valor de homogeneidadte al estudio de instantánea del ejemplo 3.1.1 para la variante de pruebasue se presenta en la figura 4.2.7. En este último caso, al comparar la curvan y la homogeneidad con la variante anterior, se observa la tendencia al

de dicha curva, así como un aumento del valor de homogeneidad,

resultado que concuerda con el comportamiento esperado.

En la figuras 4.2.9 y 4.2.10 se presentan los gráficos de contribución NRS de cada casorespectivamente.

Fig. 4.2.6. Curva de distribución NRS del ejemplo 3.1.1 con laspruebas concentradas.

Fi
g. 4.2.7. Estudio de indisponibilidad instantánea del ejemplo 3.1.1,con las pruebas distribuidas.

Fig. 4.2.8. Curva de distribución NRS del ejemplo 3.1.1 con laspruebas distribuidas.

Fig. 4.2.9. Curva de contribución NRS del ejemplo 3.1.1 con laspruebas concentradas.

Fig. 4.2.10. Curva de contribución NRS del ejemplo 3.1.1 con laspruebas distribuidas.

En el gráfico de la figura 4.2.11 se muestra el valor hallado del tiempo de vulnerabilidad,en dependencia de una meta específica, introducida a manera de ejemplo en el gráfico de pruebas distribuidas del ejemplo 3.1.1.

Fig. 4.2.11función de ejemplo 3.1.

. Representación del tiempo de vulnerabilidad (TV=1264 horas) enuna meta de Qsist= 4.11e-04, en el gráfico de pruebas distribuidas del1.

Teniendo en cuenta que en los ejemplos analizados las diferencias entre los valores de las Qmedia obtenidas es notable, no es posible demostrar la aplicabilidad de estosindicadores para realizar comparaciones de sistemas en base a su confiabilidad. En elcapítulo VI se desarrolla en detalle un ejemplo práctico donde se demuestra estapotencialidad.

Fig. 4.2.12. Gráfico de indisponibilidad instantánea correspondiente al trabajo de unainstalación con la utilización de una estrategia de pruebas incorrecta.

En el ejemplo del gráfico de la indisponibilidad instantánea de la figura 4.2.12 se muestra el comportamiento de una instalación conformada por varios sistemas, con diferentes estrategias de pruebas y mantenimientos. Como se muestra en la curva, a las 7201horas de trabajo, la instalación alcanza un valor de indisponibilidad igual 1, loque significaría, la salida de servicio de la misma. La causa de esta salida de serviciosería, como se demuestra en análisis ulteriores en puntos aislados del tiempo, elestablecimiento de un programa incorrecto de pruebas para los sistemas de dichainstalación. En este caso se observa que el gráfico de indisponibilidad instantánea puedeser también una herramienta de pronóstico.

4.2.3. Análisis en puntos aislados del tiempo.

Este tipo de estudio es de gran utilidad, pues a partir de los resultados de los estudiosde instantánea, es posible analizar el comportamiento de la indisponibilidad del sistemaen una zona específica de interés. La necesidad del estudio de estas zonas puede estar motivada por diferentes causas, por ejemplo, comportamientos anómalos (por asimetrías no esperadas) del sistema, precisión de los valores de indisponibilidaden zonas de salto (puntos de inflexión) y zonas de valores interpolados, conocimiento del comportamiento del sistema en períodos de pruebas y mantenimientos, etc.

Los estudios de importancia de conjuntos mínimos e importancia de componentes enpuntos aislados del tiempo, constituyen opciones poderosas implementadas también, en el sistema ARCON. Estas permiten la evaluación en puntos aislados del tiempo, de los contribuyentes que más aportan al valor de indisponibilidad y por tanto alriesgo, así como facilitan la identificación de las combinaciones más importantes ysusceptibles a formar posibles configuraciones críticas o de interés por lainformación intrínseca que poseen.

Por ejemplo, en la tabla 4.2.1 se presenta un listado reducido del estudio de importanciade conjuntos mínimos más importantes realizado en un punto aislado del tiempo (7201horas), con vista a la determinación de las combinaciones mínimas que más aportan, en el momento en que la indisponibilidad instantánea se hace igual a 1, de acuerdo al comportamiento de la curva de indisponibilidad instantánea de la figura 4.2.12.

Como se observa en esta tabla, es posible pronosticar un conjunto mínimo de orden 3que provoca la falla de la instalación, ya que en ese preciso instante de tiempo, cadauno de los elementos (sistemas) que lo conforman (SISTE-A01,SISTE-A02 y SISTE-A03) se encuentran indisponibles por pruebas. Esta conclusión final se obtiene del análisis de la base de datos de fiabilidad de los componentes de dicha instalación.

Conjuntos Mínimos más probables TCalc=7201 Prob. % Acum.

1) SISTE-A01*SISTE-A02*SISTE-A03 1 100.00 100.002) TRESERVSB 7.18E-03 - -3) DIESEL1SB*DIESEL2SB*TQ30W01SB 9.72E-04 - -4) DIESEL1SB*DIESEL2SB*TQ33S04 9.72E-04 - -5) DIESEL1SB*DIESEL2SB*TQ33D01SB 9.72E-04 - -6) DIESEL1SB*DIESEL2SB*DIESEL3SB 9.72E-04 - -7) DIESEL1SB*DIESEL2SB*TQ30S02 9.72E-04 - -

Tabla 4.2.1. Listado de CM más importantes en T=7201

V. Análisis de confiabilidad enfocados a la toma dedecisiones.

La optimización de la explotación, es una tarea que exige la optimización individual yconjunta de las actividades más relevantes que intervienen en esta, durante toda la vidaútil de la instalación.

El aumento del conocimiento de las interioridades del APS ha implicado también unaumento en el uso práctico de sus resultados.

Este cambio ha ido convirtiendo el APS en una herramienta dinámica cuyos resultados seaplican normalmente en la industria de alto riesgo para la toma de decisiones.

Aunque el campo de aplicaciones de los APS tiene un espectro amplio, debido a losobjetivos de este curso, se hace énfasis en sus aplicaciones dirigidas al mantenimiento.

Dentro de la explotación, la optimización de la actividad de mantenimiento, ocupa un lugarimportante para el logro de este objetivo, pues la garantía de una elevada disponibilidad yseguridad en la explotación de una instalación depende en gran medida de la existenciade un servicio de mantenimiento eficiente.

En la optimización de la actividad de mantenimiento, es de gran importancia elconocimiento y el pronóstico del comportamiento de los índices de fiabilidad y seguridaden función del tiempo, el control de configuración (control de mantenimientos simultáneosy de configuraciones críticas), el seguimiento de las variaciones de uno o más parámetrosde fiabilidad sobre los sistemas y elementos de la instalación (escalonamiento y duraciónde las pruebas y mantenimientos, ineficiencia de la pruebas, los tiempos entre pruebas ysu conjugación con el proceso de degradación del equipamiento y otros parámetros), y engeneral, otras actividades que se enmarcan como "Aplicaciones de los APS dirigidas almantenimiento".

Algunas de las aplicaciones más útiles de los APS están dirigidas a la optimización delmantenimiento. Entre las mismas se destacan:

- Control de configuración.- Priorización por mantenimientos.- Priorización por AOT.- Optimización de especificaciones técnicas.- Optimización del monitoreo- Optimización del inventario de piezas de repuesto.- Estudio de la influencia del envejecimiento de los

componentes sobre la disponibilidad de la instalación.- Indicadores basados en riesgo.- APS dinámico.

5.1. Control de configuración.

En la explotación normal de una instalación es común encontrar combinaciones deestados de los equipos (equipos en funcionamiento, en mantenimiento, fallados, enpruebas y otros) que la componen. Entre las combinaciones de estados de los equiposque son de mayor importancia para el estudio de la indisponibilidad y el riesgo de lainstalación, están aquellas relacionadas con los estados de mantenimiento, pruebas yfallas, que sacan el equipamiento fuera de servicio.

Cuando se habla del control de configuración es necesario realizar un estudio detalladode los diferentes estados posibles de los equipos en la instalación, lo que trae comoresultado un número de combinaciones de estados imposibles de predecir cuando setrata de instalaciones industriales con un gran número de equipos, interrelacionados demanera compleja por el proceso tecnológico.

Teniendo en cuenta que en los estudios, más frecuentes de APS, se parte del estudio delas múltiples configuraciones posibles que pueden conducir a la indisponibilidad de unainstalación (representada por los CM) estamos ante la herramienta idónea para realizar elcontrol de configuración.

Partiendo de que en cualquier proceso productivo existen configuraciones más o menosimportantes según su probabilidad de ocurrencia y por tanto su efecto sobre ladisponibilidad de la instalación, es significativo que, para lograr un efecto adecuado con elcontrol de configuración, deben dirigirse los esfuerzos hacia aquellas configuraciones quepueden tener mayor impacto en la indisponibilidad y riesgo de la instalación. Estasconfiguraciones se conocen como configuraciones críticas.

Las configuraciones críticas, son combinaciones de elementos fuera de servicio (porpruebas, mantenimientos y fallas), que conducen a un proceso de degradación, porcausas controladas e incontroladas, de la característica de fiabilidad de la instalación y alocurrir tienen un alto impacto en el riesgo. Estas configuraciones deben ser evitadas.Cuando se han determinado las configuraciones críticas, las mismas deben serprohibidas durante la elaboración de la planificación del mantenimiento, y vigiladasmediante el seguimiento de la ejecución de cada una de sus actividades, incluyendo lasinterfases con la actividad de operación.

Como resultado de un estudio de APS es común disponer de los listados de los CM másimportantes categorizados según su probabilidad de ocurrencia. Los equipos haciadonde se dirigen los esfuerzos iniciales estarán precisamente incluidos en lascombinaciones mínimas más importantes, pues cualquier proceso que degrade sufuncionamiento, o que afecte la disponibilidad del equipamiento en cuestión estaráaumentado la probabilidad de ocurrencia de la configuración indeseada.

Un problema adicional con las posibles configuraciones críticas se produce cuando seexplota una instalación en estado degradado, o sea, que durante un intervalo de tiempose trabaja con determinada combinación de equipos fuera de servicio. Esto provoca quecomo consecuencia de la degradación puedan aumentar en importancia determinadasposibles configuraciones no consideradas importantes en el estado nominal de lainstalación, pero que en este estado degradado comienzan a convertirse en críticas.

Es por ello importante limitar también sobre la base del riesgo y a la disponibilidad de lainstalación, los tiempos permisibles fuera de servicio de estos equipos. Sobre esteaspecto se amplía en el epígrafe “Priorización por tiempo fuera de servicio (AOT)”. Comose aprecia en los estudios de control de configuración, se analiza el mantenimiento por suinfluencia negativa, o sea, por su efecto al sacar un equipo fuera de servicio.

Utilizando las técnicas actuales de APS es posible estudiar y optimizar los tiempos entremantenimientos y la duración de los mismos (análisis de sensibilidad), para lograr lasmenores influencias en el riesgo por determinadas configuraciones donde participanequipos en mantenimientos.

Un caso particular del control de configuración es el control de mantenimientossimultáneos. Este aspecto resulta de gran interés cuando se aplican las técnicas de APSa la elaboración de los planes de mantenimientos, en los que pueden entonces preverseo evitarse los mantenimientos simultáneos donde participen equipos que pueden conducira una configuración crítica.

En este sentido una aplicación particular de los análisis de instantánea en el control deconfiguración es la posibilidad de realizar pronósticos de las zonas del gráfico donderesultan más probables la formación de configuraciones críticas, por lo que dichas zonasdeben evitarse durante la concepción de las estrategias de mantenimientos. Un ejemplode posibilidad de pronóstico se aprecia en el ejemplo del gráfico de la figura 4.2.12.

Otro aspecto, en el que también se aplican los estudios de indisponibilidad instantánea,pero esta vez focalizados en puntos aislados del tiempo, es la posibilidad de reajustar losgráficos de mantenimientos en base a la certeza de la formación de una configuracióncrítica, de realizarse un mantenimiento en determinado instante de tiempo con elesquema degradado. Esta aplicación del cálculo en puntos aislados del tiempo seimplementa a través de una reevaluación del riesgo en el punto en cuestión. Este estudiopuede enfrentarse con dos estrategias posibles:

1- Reconfigurando los modelos a partir del estado degradado de la instalación yrepitiendo los cálculos de riesgo, o

2- Reevaluando el estado degradado del esquema partiendo de los registros de CMexistentes.

La primera estrategia tiene la dificultad de que necesita de una reevaluación del APS paralas nuevas condiciones, lo que conlleva a un proceso de remodelación y recuantificaciónque puede resultar poco competitivo, por el esfuerzo que representa.

La segunda, que utiliza ARCON, parte de los registros existentes de CM y reevaluárápidamente sólo aquellas combinaciones que se alteran por el estado degradado de lainstalación, utilizando además las potencialidades de la reducción booleana dinámica, loque elimina las sobreestimaciones.

Otra vertiente del estudio puede ser la determinación de los componentes másimportantes en el instante de tiempo en cuestión. Esto se puede lograr utilizando tambiénlas facilidades que oferta el sistema ARCON.

5.2. Priorización por mantenimientos.

La priorización por mantenimientos, sobre la base de la importancia de las componentesque participan en el proceso tecnológico de una instalación, es una de las aplicacionesmás útiles de los APS desarrolladas hasta el momento.

Partiendo de la definición de la medida de importancia de reducción de riesgo, un equipoaportará mayor reducción al riesgo si la diferencia entre la indisponibilidad real de lainstalación y su indisponibilidad cuando el equipo es perfecto es considerable, de aquí,que directamente por esta medida, y considerando que los mantenimientos garantizan larecuperación de un elevado % de las características de fiabilidad del equipo, se puedeobtener un listado ordenado por RRW de aquellos equipos donde el mantenimientoreportará una mejora sustancial a la disponibilidad de la instalación.

Esta aplicación garantiza que los esfuerzos del mantenimiento se centren en los equiposmás importantes, que son los que mayor reducción al riesgo pueden aportar y no desviarlos mismos hacia puntos en los que no se esperan aportes elevados a la indisponibilidadde la instalación. Para la aplicación de la priorización por mantenimiento es indispensable,tal como se explicó en 4.1.1.4, separar del modelo de la instalación aquellos elementosrelacionados con el mantenimiento. Ahora la conclusión que de estos análisis se obtieneno puede ser en ninguna forma que el aumento de los tiempos de mantenimiento o elincremento de su frecuencia sobre estos equipos conllevará al aumento de ladisponibilidad. En este aspecto hay que ser muy cuidadoso pues de adoptarse medidasde esa índole los resultados pueden ser totalmente contrarios. Ello se explica ya quecuando se saca para mantenimiento un equipo importante se está acercando laconfiguración en el que el mismo participa a un estado crítico. Esta cuestión debeevaluarse por tanto tomando una solución de compromiso entre los beneficios (reduccióndel riesgo) que son de esperar del mantenimiento y el tiempo fuera de servicio (aumentodel riesgo) a que se somete la instalación cuando el equipo está en mantenimiento.

5.3. Priorización por AOT.

Partiendo del compromiso anterior, se llega a la conclusión que es necesaria también laoptimización el tiempo fuera de servicio permisible de los equipos. Esto se logra con losprocedimientos de priorización por AOT. La priorización por AOT se implementa a partirde la medida de importancia de incremento del riesgo, teniendo en cuenta en que lamisma representa la diferencia entre la indisponibilidad media de la instalación, cuando elequipo está totalmente indisponible y la indisponibilidad media real de la misma en suestado normal. De aquí que se obtenga mediante esta medida, el peso relativo del equiposobre el valor de indisponibilidad de la instalación cuando este está indisponible.

Esta cuestión garantiza, que utilizando esta medida, sea posible ordenar el aporte de losequipos fuera de servicio y obtener resultados recomendatorios sobre el tiempo fuera deservicio basado en riesgo (AOT) con el que los mismos se deben explotar. Es común enlas especificaciones técnicas de la instalación, donde no se han usado estas técnicas,encontrar tiempos fuera de servicio, para algunos equipos importantes, que superan ellímite establecido por el AOT basado en riesgo. En este sentido los resultados del APSaplicados a la instalación pueden ser en ocasiones sorprendentes.

5.4. Optimización de especificaciones técnicas.

Es frecuente, en el alcance de las especificaciones técnicas prever la planificación de lasestrategias de pruebas y de mantenimientos de los equipos que participan en el procesoproductivo, así como las actividades a desarrollar para el cumplimiento de cada una.Como aplicaciones directas, en este caso, pueden encontrarse:

1- Prohibición de la realización de mantenimientos simultáneos en equipos cuyo impactoal riesgo sea apreciable, o de otras combinaciones de pruebas y mantenimientos, conconsecuencias similares.

2- Los resultados de los análisis de sensibilidad, obtenidos de los estudios de APS, delos tiempos entre mantenimientos y su duración, permiten establecer los valoresóptimos de estos parámetros para los equipos objeto de estudio. Estos valoresóptimos pueden ser incluidos en las especificaciones técnicas.

3- Las técnicas de priorización por mantenimiento y por AOT tienen una consecuenciadirecta en el mejoramiento de las especificaciones técnicas, por cuanto se puedenordenar los mantenimientos según su impacto sobre la disminución del riesgo y portanto el aumento de la disponibilidad de la instalación. Los estudios de priorización porAOT permiten establecer una base real de este parámetro para cada equipo, deacuerdo a la influencia que ejerce el tiempo fuera de servicio, sobre el riesgo o ladisponibilidad. Los resultados de los estudios de priorización brindan una posibilidadapreciable de corregir las especificaciones técnicas.

5.5. Optimización del Monitoreo.

Cuando se realiza un estudio de importancia por la medida RRW anteriormente explicaday sin tener en cuenta ningún atributo (priorización sin atributo) es posible categorizar lascontribuciones a la indisponibilidad de los equipos por el factor de reducción al riesgo, quelos mismos reportan cuando están en estado perfecto.

De aquí que dirigir los esfuerzos, en la realización del diagnóstico hacia aquellos equipos,cuyo aporte por el factor de reducción del riesgo sea mayor, conllevará a la optimizacióndel monitoreo.

Cuando un equipo de relativa importancia es monitoreado es posible predecir por laaplicación de diagnóstico, su falla, por lo que pueden tomarse medidas encaminadas a sumantenimiento, que en este caso será predictivo, y a la vez ordenar los cambiosnecesarios en el proceso tecnológico, con el objetivo de disminuir al máximo su impactoen el riesgo o a la indisponibilidad por dicho mantenimiento.

Desde el punto de vista económico aparece también un impacto positivo doble, ya quepor un lado, se obtiene un mayor beneficio por aumento de la disponibilidad de lainstalación, y por otro, disminuyen los costos al reducir la aplicación de estas técnicas(relativamente costosas) a los puntos donde su influencia es verdaderamentesignificativa.

5.6. Optimización del inventario de piezas de repuesto.

La realización de los estudios de priorización por tiempo entre pruebas, tiempo permisiblefuera de servicio y mantenimiento permite determinar los componentes, que atendiendo aestos criterios, tienen un impacto significativo en el aumento de la disponibilidad yreducción del riesgo residual en la industria. Consecuentemente con los resultados deeste primer nivel de análisis, los esfuerzos dirigidos a optimizar el inventario de piezas derepuesto, se centran en un grupo muy reducido de sistemas y elementos de la instalacióny no en todo el complejo.

Partiendo de este primer nivel de jerarquización, se aplican en una segunda etapaestudios de sensibilidad y análisis de indisponibilidad instantánea con el objetivo debuscar los parámetros óptimos de inspección, pruebas y reparaciones, mantenimientos,tiempos permisibles de salidas de servicio del equipamiento y otras actividades quetienen una influencia directa sobre el inventario de piezas de repuesto.

Para aquellos componentes donde la reducción de los tiempos de reparación tiene unefecto determinante sobre la disponibilidad y/o la reducción del riesgo residual de laindustria, se aplican técnicas de estimación del inventario de piezas de repuesto basadasen la distribución de Poisson, para garantizar un nivel de servicio prefijado. En (8) seexpone detalladamente esta aplicación.

Las técnicas de confiabilidad permiten encaminar los esfuerzos hacia una adecuadomanejo de partes y piezas de repuesto; así como definir aquellos componentes críticosque requieren módulos intercambiables. En general esta herramienta posibilita la gerenciade todo el conjunto de actividades necesarias para alcanzar un aumento real de ladisponibilidad y seguridad de la instalación con un nivel mínimo de costo.

La aplicación consecuente de criterios de confiabilidad evita mantener innecesariamenteelevados niveles de inventario de piezas de repuesto de equipos cuya influencia en laindisponibilidad de la instalación es pequeña. Este es un gasto innecesario que constituyeun capital inmovilizado cuyos efectos económicos globales sobre la industria son siemprenegativos.

5.7. Estudio de la influencia del envejecimiento de los componentessobre la disponibilidad de la instalación.

En los estudios tradicionales de APS, no se incorpora el envejecimiento del equipamientopara el estudio de disponibilidad y riesgo de la instalación. Es frecuente, modelar toda lavida útil de la instalación con valores constantes de ratas de fallas de los componentes,tal como se exige en los modelos exponenciales de indisponibilidad de componentes,habitualmente empleados.

Partiendo de la experiencia internacional, es una aproximación adecuada de primer ordenevaluar la importancia para el riesgo del envejecimiento de los componentes, adoptandoun modelo lineal de envejecimiento. Ello puede tener un efecto importante en la políticade mantenimiento y de restitución de equipos y piezas.

El análisis se realiza afectando linealmente la rata original de fallas, de los equipos quedeben ser cuantificados, por un factor que toma en cuenta este efecto de envejecimiento.El resultado del estudio se puede expresar en curvas de indisponibilidad versus tiempode observación.

En este caso una aplicación concreta es la realización de los estudios, ya comentados,sobre un modelo en que se tenga en cuenta el envejecimiento del equipamiento,obteniendo por tanto, conclusiones más realistas, en las que se pueden basar laspolíticas de mantenimiento y reposición de equipos.

5.8. Indicadores basados en riesgo.

Por la información detallada que aporta la realización de los estudios de APS, a laexplotación de una instalación, es posible el establecimiento de un grupo de indicadoresde carácter global y temporal, que describan el perfil de indisponibilidad o riesgo de lamisma.

El establecimiento de estas metas reporta un gran beneficio para el proceso productivo,pues permite conocer en cada instante los límites que garantizan el trabajo confiable yseguro de la instalación. Estos permiten valorar, de acuerdo al estado operativo, lainfluencia de las salidas de servicio planificadas o imprevistas del equipamiento, y tomarmedidas preventivas o recuperadoras que posibiliten mantener la instalación dentro delos límites de operación prescritos.

5.9. APS dinámico.

El APS dinámico, consiste en la realización de la evaluación probabilística de seguridadde la instalación en cada instante de la actividad de explotación. El impacto en el riesgo,así como la evaluación de otros parámetros importantes, se realiza por un sistemaautomatizado on-line, encargado de la actualización y cuantificación de los modelos deAPS de acuerdo a los diferentes estados de operación en que se encuentre dichainstalación.

La información es obtenida directamente del comportamiento del proceso tecnológico yactualizada teniendo en cuenta los cambios que se produzcan en éste, con el objetivocentral de informar al operador del cuadro de mando, del nivel de seguridad con que seopera la instalación. Esta es una herramienta muy útil en la toma de decisiones durante laetapa de explotación de la instalación.

De acuerdo a la experiencia internacional, para la implantación del APS dinámico, esnecesario como primer punto la elaboración de los modelos básicos de la instalación, osea, la realización de un estudio de APS.

La información introducida en los modelos de APS dinámicos, hoy en día, es limitada encomparación con la información obtenida de los análisis de APS, principalmente enaquellos análisis en que se maneja un gran volumen de información, cuestión que estípica en los estudios de instalaciones de alto riesgo potencial y gran complejidadtecnológica.

A pesar del desarrollo actual de los medios de cómputo, el peso fundamental de estadiferencia está en la capacidad limitada de los programas para la manipulación degrandes volúmenes de información de forma operativa, como demanda la propiadinámica de la explotación.

En este aspecto, la velocidad y capacidad de procesamiento del sistema, ha dependidodirectamente de las técnicas tradicionales empleadas en el tratamiento de la información.En esto último influye, en gran medida, la capacidad del método de procesamiento yalmacenamiento de la información de las bases de datos, la eficacia de los métodos dedeterminación y cuantificación empleados, y otras cuestiones vinculadas con la interfasehombre-máquina.

Estas técnicas de avanzada, han sido empleadas con éxito en la industria nuclear eincluso en proyectos de más alto riesgo potencial. En general, la experiencia deaplicación de estas herramientas en la industria nuclear, podría ser de un gran beneficioen la gestión de seguridad de los procesos industriales más convencionales.

Las posibilidades de realización de los estudios de indisponibilidad instantánea, losindicadores orientados a metas de fiabilidad, la reducción booleana dinámica, los análisisde importancia de componentes y CM en puntos aislados del tiempo, los estudios depriorización, y otras opciones presentes en el sistema ARCON (manejo de esquemastecnológicos, graficación de árboles de fallas y otras), junto a su capacidad decompactación de la información y alta velocidad de procesamiento, son potencialidadescreadas con vista a su aplicación futura para una versión dirigida al APS dinámico.

VII. Aplicaciones Industriales.6.1. Preparación del estudio de APS para su introducción a la industria.

La introducción de los resultados del APS en la industria implica, como primer paso, lapropia realización del estudio, y a partir de sus resultados, contando con los modelos desistemas y de planta, realizar entonces, la implementación de las aplicacionesindustriales.

6.1.1. Metodología general de análisis en los estudios de APS.

En estos estudios, con vistas a reducir los esfuerzos y garantizar su máxima calidad, esnecesario cumplir determinadas reglas.

Estas reglas se establecen en los procedimientos de garantía de calidad de APSempleados en Cuba.

De forma resumida los pasos, que como regla general se siguen para cumplir un estudiode APS, son:

1. Definición de objetivos y alcance del APS.2. Familiarización con el proceso tecnológico por medio de la documentación existente

(planos, cartas tecnológicas, pasaportes e instrucciones de explotación delequipamiento, manual de organización del proceso tecnológico y otros documentosnecesarios para el funcionamiento confiable y seguro de los sistemas).

3. Identificación de los sucesos iniciadores y construcción de los correspondientesárboles de sucesos.

4. Modelación de los sistemas participantes y estimación de los datos de confiabilidad delos componentes incluidos en cada sistema.

5. Análisis cualitativo (determinación de los CM).6. Análisis cuantitativo (cuantificación de sistemas, secuencias, parámetros globales de

riesgo).7. Aplicaciones.

- Cálculos de indisponibilidades, a partir de las indisponibilidades medias de loscomponentes.

- Estudios de importancia de componentes y conjuntos mínimos.- Estudios de priorización.- Análisis de sensibilidad sobre la base de las indisponibilidades medias de

componentes.- Análisis de instantánea (estudios de sensibilidad, análisis del comportamiento de la

fiabilidad de los sistemas en relación con metas cuantitativas, análisis en puntosaislados de tiempo, estudios de importancia y otros análisis a partir de laconjugación de todas estas técnicas).

8. Revisión, aprobación y documentación final del estudio.

6.2. Desarrollo de un ejemplo práctico utilizando el sistema ARCON.

En un caso de estudio de disponibilidad de un sistema simplificado, como el que sedesarrolla a continuación no es necesario desplegar el análisis inductivo (árbol deeventos) con el que se inicia el APS. Para este tipo de análisis basta con utilizar lasposibilidades del análisis deductivo (árbol de fallas) lo que no resta validez a losresultados que se obtendrán. A continuación se muestra un ejemplo práctico donde seutilizan algunas de las herramientas y aplicaciones anteriormente explicadas.

6.2.1. Descripción de la tarea.

La instalación mostrada en la figura 6.2.1 es un caso muy simplificado de un esquema dehidrofinación para obtener finales desulfurizados.

Fig. 6.2.1. Esquema simplificado de una instalación dehidrofinación de finales desulfurizados.

La instalación consta de los siguientes equipos y sistemas:

1. Tanque de materia prima (T1) con serpentín de precalentamiento incorporado altanque.

2. Sistema de bombeo eléctrico (bombas B1 y B2), una bomba de operación normal yuna de reserva.

3. Calentador I1 (utiliza como sustancia calentadora el producto del fondo de la torre).4. Horno (H1) con sistema de combustible (SC) y suministro de hidrógeno.5. Reactor (R).6. Torre despojadora (To).7. Sistema de bombeo eléctrico de fondo de torre (B3 y B4), una bomba de operación

normal y una de reserva.8. Condensador (Co).9. Tambor separador (Ta).10. Enfriador (E1).11. Tanque de producto final (T2).12. Torre de quemado de gases (Flare) (F).13. Colector de gases (CG).

6.2.2. Breve descripción del proceso.

La materia prima (Ejemplo: kerosina virgen) se precalienta en el tanque T1 para facilitarsu bombeo con las bombas B1 ó B2, según la que se encuentre en operación normal.Antes de entrar al horno la materia prima se calienta en el intercambiador I1, utilizando elsubproducto del fondo de la torre (To). En el horno se aumenta la temperatura de lamateria prima hasta el valor necesario para garantizar el proceso químico, que ocurre enel reactor (R), donde se inyecta hidrógeno proveniente de otro punto del proceso, paragarantizar la hidrofinación.

En la torre (To) se realiza la separación de los productos ligeros y pesados. Los productosmás ligeros se extraen por los puntos altos de la torre y se pasan a un condensador (Co)donde se enfrían con agua técnica. A continuación, los productos ligeros, se introducenen un tambor separador (Ta), separándose en este, los gases no condensables que sedestinan al Flare, otros gases combustibles que se incorporan al colector de gases (CG)de servicio de planta y el agua que se drena por la parte inferior del tambor.

El subproducto pesado se bombea desde el fondo de la torre, utilizando el sistema debombeo (B3 ó B4). La energía acumulada en el subproducto pesado (en este casokerosina hidrofinada) sirve para precalentar la materia prima en el intercambiador I1. A lasalida del intercambiador I1 este subproducto cede parte de su calor en el enfriador E1 yse almacena en el tanque T2.

6.2.3. Consideraciones necesarias para el análisis.

Para comenzar el desarrollo del ejemplo es necesario presentaralgunas consideraciones:

1. El esquema seleccionado se ha simplificado con el objetivo de su utilización comomaterial docente. Por esta razón no aparecen desarrollados los sistemas de apoyo:

- Sistema de combustible para el horno.

- Sistema de enfriamiento para el condensador.- Sistema de vapor para necesidades de planta.- Sistema de suministro eléctrico.- Sistema de producción e inyección de hidrógeno.

Se ha reducido al mínimo la cantidad de equipos modelados. Con igual objetivo se considera un sólo modo de falla por equipo. Los equipos más complejos (Ej: Torre yotros) se simplifican considerándose como un componente único (baja resolución en elanálisis).

2. Las ratas y probabilidades de fallas seleccionadas para modelar cada dispositivo noson reales, ya que no se dispone de una base de datos adecuada para el análisis. Porello los resultados obtenidos tienen validez sólo desde el punto de vista demostrativode los análisis y herramientas que se aplican.

3. Los equipos con reserva (bombas) se alternan mensualmente (Tiempo de misión delas bombas 720 h). La prueba de las bombas de reserva se realiza mensualmente ydurante el período de la prueba las mismas están inhabilitadas para el trabajo en casode una demanda. El equipamiento restante trabaja ininterrumpidamente durante 300días. Estos datos igualmente, sólo son válidos en el marco del ejemplo práctico.

4. La interrupción del trabajo de cualquiera de los equipos sin reserva implica la paradade la instalación.

6.2.4. Modelación de la instalación del ejemplo práctico y establecimiento de la base dedatos de confiabilidad a utilizar.

A partir del esquema de la fig 6.2.1, la descripción del proceso y las consideraciones

realizadas, se obtiene el árbol de fallas mostrado en la fig 6.2.2.

Fig. 6.2.2. Arbol de fallas de la instalación del ejemplo práctico.

Datos de ConfiabilidadNo. T R/P TR T1/M1 TI τ AOT It Pad Pnt/Tp Phet Código1 5 1E-7 CG2 5 1E-9 TA3 5 1E-7 CO4 5 1E-6 F5 5 1E-6 TO6 5 1E-9 RE7 5 1E-7 I18 5 1E-7 E19 5 1E-7 I210 5 1E-6 720 H1R11 1 5E-1 24 B1RE12 4 3E-5 20 360 720 3 24 0 0 1.00 0 B1S13 5 3E-5 720 B1R14 5 3E-7 720 B2R15 1 5E-1 24 B2RE16 4 3E-5 20 720 720 3 24 0 0 1.00 0 B2S17 5 1E-6 SC18 1 5E-1 24 B3RE19 4 3E-5 20 360 720 3 24 0 0 1.00 0 B3S20 5 3E-5 720 B3R21 5 3E-5 720 B4R22 1 5E-1 24 B4RE23 4 3E-5 20 720 3 24 0 0 1.00 0 B4S

Tabla 6.2.1. Base de datos de confiabilidad para ejemplo práctico.

La base de datos utilizada en el análisis se muestra en la tabla 6.2.1, donde:

No- Número de orden del componente (empleado en ARCON para la codificación deelementos en la lógica de fallas).

T- Tipo de componente según ARCON (ver epíg. 2.4)

R/P - Rata de falla ó Probabilidad constante a la demanda.

Tr - Tiempo medio de reparación.

T1|M1- Tiempo de realización de la primera prueba o mantenimiento. Para los elementostipo 5 este dato es su tiempo de misión (Tmis) particular.

TI|MI- Tiempo entre pruebas.

τ - Duración de las pruebas o mantenimientos.

AOT - Tiempo máximo permisible de un tren desconectado.

It- Ineficiencia de la prueba.

Pnt- Indisponibilidad durante la prueba.

Pad - Indisponibilidad adicional debida a la demanda.

Phet - Probabilidad de error humano durante la prueba.

Código- Asignado por el usuario (generalmente se obtiene de la documentación técnicade planta).

A partir de los datos anteriores y del árbol de fallas se elabora la lógica de fallas paraentrada al sistema ARCON, que quedará de la siguiente forma:

NoC TC Código de Puerta Lógica de fallasC1 O FALLAINST 1 2 3 4 5 6C2C2 O FALLACONEX 7 8 9C3C4C11C3 O FALLAHORNO 10 17C4 O FALLABOMBAS12 C5C8C5 Y FALLACONB1RE 11C6C6 Y COMBB1REB2 14C7C7 O F-B1RE 12 13C8 Y FALLACONB2RE 15C9C9 Y COMBB2REB1 13C10

C10 O F-B2RE 14 16C11 O FALLABOMBAS34 C12C15C12 Y FALLACONB3REB4 18C13C13 Y COMBB3REB4 21C14C14 O F-B3RE 19 20C15 Y FALLACONB4RE 22C16C16 Y COMBB4REB3 20C17C17 O F-B4RE 21 23

donde:

NoC- Número de orden de la compuerta. Este dato se utiliza para identificar lascompuertas en el campo de lógica de fallas.

TC- Tipo de compuerta. Los tipos de combinaciones booleanas admitidas por elsistema son:

Y- compuerta AND.

O- compuerta OR.

Mn-donde M significa que es una compuerta de lógica mayoritaria. y n es el numeradorde la combinación n/m de la compuerta.

Lógica de fallas- Cadena de la lógica de fallas.

6.2.5. Análisis cualitativo y cuantitativo.

De la determinación de los conjuntos mínimos con ARCON seobtiene:

Orden Cantidad

1 11

2 0

3 8

Total 19

Tabla 6.2.2. Tabla de relación de conjuntos mínimos.

Los resultados de la indisponibilidad media calculada son:

Indisponibilidad a la demanda = 0.00Probabilidad de falla en operación = 2.74E-2Probabilidad de no cumplir la función de seguridad = 2.74E-2

La tabla de CM más importantes es:

Conjuntos Mínimos más probables

Componente Código Prob. % Acum.

17 SC 7.17E-03 26.15 26.154 F 7.17E-03 26.15 52.315 TO 7.17E-03 26.15 78.467 I1 7.20E-04 2.62 81.088 E1 7.20E-04 2.62 83.719 I2 7.20E-04 2.62 86.3310 H1R 7.20E-04 2.62 88.951 E2 7.20E-04 2.62 91.583 CO 7.20E-04 2.62 94.2014 11 13 B2R * B1RE *B1R 2.28E-04 0.83 95.0313 15 14 B1R * B2RE *B2R 2.28E-04 0.83 95.8621 18 20 B4R * B3RE * B3R 2.28E-04 0.83 96.7020 22 21 B3R * B4RE * B4R 2.28E-04 0.83 97.5314 11 12 B2R * B1RE * B1S 1.66E-04 0.60 98.1313 15 16 B1R * B2RE * B2S 1.66E-04 0.60 98.7421 18 19 B4R * B3RE * B3S 1.66E-04 0.60 99.3420 22 23 B3R * B4RE * B4S 1.66E-04 0.60 99.952 TA 7.20E-06 0.03 99.976 RE 7.20E-06 0.03 100.00

Tabla 6.2.3. Tabla de CM más importantes.

Como se aprecia de la tabla de conjuntos mínimos, los mayores contribuyentes a la falladel sistema son los componentes con operación continua, a pesar de las bajas ratas defallas adoptadas para los mismos. Esto se debe a los siguientes factores:

1. Modelo seleccionado para describir la indisponibilidad de los componentes enoperación (tipo 5 según ARCON, de donde se obtienen valores elevados deindisponibilidad ya que esta depende directamente del tiempo de operación, que eneste caso es elevado, 7200 h).

2. La disposición en serie de la mayoría de los componentes en operación continua, loque los coloca en una configuración donde en casi todos los casos su falla conduce ala falla del sistema (están presentes en CM de orden 1).

Aunque la cuestión del análisis de configuraciones críticas resulta en este casorelativamente fácil dado que se trabaja con CM de orden uno, es interesante llamar laatención sobre el hecho de que las configuraciones críticas más importantes estánrelacionadas con los CM, cuya probabilidad de ocurrencia es superior. En este análisis

por parámetros medios no es posible descubrir algunas cuestiones relativas alsurgimiento temporal de configuraciones críticas, debidas a la estrategia de pruebasadoptada. Este aspecto se aprecia en los análisis de indisponibilidad instantáneaulteriores.

La contribución o influencia en la indisponibilidad del sistema de cada componente puedeobtenerse a partir de las medidas de importancia.

Los resultados de importancia obtenidos según la medida RRW son:

Comp. Código Fussell-Vesely RRW RAW QComp

5 TO 2.62E-01 7.17E-03 9.73E-01 7.17E-034 F 2.62E-01 7.17E-03 9.73E-01 7.17E-0317 SC 2.62E-01 7.17E-03 9.73E-01 7.17E-0310 H1R 2.62E-02 7.20E-04 9.73E-01 7.20E-049 I2 2.62E-02 7.20E-04 9.73E-01 7.20E-041 E2 2.62E-02 7.20E-04 9.73E-01 7.20E-048 E1 2.62E-02 7.20E-04 9.73E-01 7.20E-047 I1 2.62E-02 7.20E-04 9.73E-01 7.20E-043 CO 2.62E-02 7.20E-04 9.73E-01 7.20E-0421 B4R 2.27E-02 6.22E-04 2.85E-02 2.14E-0220 B3R 2.27E-02 6.22E-04 2.85E-02 2.14E-0213 B1R 2.27E-02 6.22E-04 2.85E-02 2.14E-0214 B2R 2.27E-02 6.22E-04 2.85E-02 2.14E-0218 B3RE 1.44E-02 3.94E-04 3.94E-04 5.00E-0122 B4RE 1.44E-02 3.94E-04 3.94E-04 5.00E-0111 B1RE 1.44E-02 3.94E-04 3.94E-04 5.00E-0115 B2RE 1.44E-02 3.94E-04 3.94E-04 5.00E-0116 B2S 6.05E-03 1.66E-04 1.05E-02 1.55E-0223 B4S 6.05E-03 1.66E-04 1.05E-02 1.55E-0219 B3S 6.05E-03 1.66E-04 1.05E-02 1.55E-02

Tabla 6.2.4. Tabla de importancia RRW.

Como una aplicación de los análisis de importancia, es posible obtener la contribución de cada componente según determinado atributo, utilizando los estudios de priorización.

A continuación se han desarrollado algunos estudios de priorización:

Comp. Código RRW % RRWacum. % Acum. QComp

12 B1S 1.21E-04 25.00 1.21E-04 25.00 1.14E-02 16 B2S 1.21E-04 25.00 2.43E-04 50.00 1.14E-02 23 B4S 1.21E-04 25.00 3.64E-04 75.00 1.14E-02 19 B3S 1.21E-04 25.00 4.85E-04 100.00 1.14E-02Total - 4.85E-04 100.00 4.85E-04 100.00 1.14E=02

Tabla 6.2.5. Tabla de priorización por mantenimiento.

Comp. Código RRW % RRWacum. % Acum. QComp

19 B3S 4.45E-05 25.00 4.45E-05 25.00 4.17E-03 12 B1S 4.45E-05 25.00 8.90E-05 50.00 4.17E-03 16 B2S 4.45E-05 25.00 1.34E-04 75.00 4.17E-03 23 B4S 4.45E-05 25.00 1.78E-04 100.00 4.17E-03Total - 1.78E-04 100.00 1.78E-04 100.00 -

Tabla 6.2.6. Tabla de priorización por tiempo entre pruebas.

Comp. Código RAW AOT DCaot AOTr AOT/AOTr QComp 16 B2S 1.05E-02 24 2.88E-05 228 10.51 1.55E-02 12 B1S 1.05E-02 24 2.88E-05 228 10.51 1.55E-02 23 B4S 1.05E-02 24 2.88E-05 228 10.51 1.55E-02 19 B3S 1.05E-02 24 2.88E-05 228 10.51 1.55E-02 18 B3RE 3.94E-04 24 1.08E-06 6097 0.39 5.00E-01 22 B4RE 3.94E-04 24 1.08E-06 6097 0.39 5.00E-01 15 B2RE 3.94E-04 24 1.08E-06 6097 0.39 5.00E-01 11 B1RE 3.94E-04 24 1.08E-06 6097 0.39 5.00E-01

Tabla 6.2.7. Tabla de priorización por tiempo fuera de servicio. El ordenamiento obtenido de los estudios de importancia (tabla 6.2.4) muestra unadependencia notable de los valores de las ratas de fallas de los componentes, lo queresulta común en análisis de este tipo donde se trabaja con sistemas con disposición enserie de casi todos sus elementos (hay reservas para pocos dispositivos de operacióncontinua) y donde no existe diversidad en cuanto al régimen de operación de loscomponentes que se modelan (la mayoría son modelados como tipo 5), lo que ocasionaque los resultados dependan casi exclusivamente de los valores de las ratas de fallas ydel tiempo de operación.

Los resultados de la priorización muestran algunas cuestiones que permanecen ocultasen otros estudios.

Por ejemplo la tabla 6.2.5 muestra que durante la explotación sólo es posible realizarmantenimientos a los equipos con reserva, y que el resultado que de dichosmantenimientos se obtendrá es una reducción del riesgo (aumento de disponibilidad de lainstalación), de la misma magnitud para cada bomba.

En cuanto a la tabla 6.2.6 se observa que la contribución de las pruebas de la reservaestá distribuida también uniformemente, por lo que cualquier medida que sobre el patrónde pruebas de cada bomba se realice tendrá igual aporte a la reducción del riesgo o alaumento de disponibilidad de la instalación.

De la tabla 6.2.7 es posible concluir que los tiempos fuera de servicio, inicialmenteconsiderados para las bombas, están subestimados y es posible sin afectarsensiblemente la disponibilidad de la instalación, aumentar los mismos.

A partir de los resultados de los estudios de importancia, se concluye que incidiendo sobre determinados parámetros de algunos de los componentes más importantes, puede lograrse la disminución de la influencia de los mismos, sobre laindisponibilidad de la instalación.

Estos estudios se pueden realizar utilizando los análisis de sensibilidad.

Por ejemplo, afectando la rata de fallas de los componentes más importantes de esteanálisis que son, de acuerdo a la tabla 6.2.4, los componentes 4,5 y 17 (Flare, Torredespojadora y sistema de combustible respectivamente), lo que significa sustituirlos porotros de mayor calidad, se puede lograr la mejoría de disponibilidad que refleja la curvade la fig. 6.2.3. Este caso se evalúa considerando la disminución de la rata de fallas decada componente (4,5 y 17) en un orden (desde 1E-6 hasta 1E-7).

Del análisis de la siguiente curva se observa un aumento de un 12 % de la disponibilidadde la instalación, cuando se mejora en sólo un orden la rata de fallas de los dispositivosmás importantes, lo que indica que deben dirigirse los esfuerzos a aumentar la calidad delos mismos o a introducir mejoras internas en estos, sobre la base de análisis con mayorresolución.

Fig. 6.2.3.instalaci

Otra variancomponentvariación de hasta 3E-5mismos en

Fig. 6.2.4.

Gráfica de sensibilidad sustituyendo los componentes más importantes de laón (To, F, SC) por otros similares con rata de fallas disminuida en un orden.

te de análisis de sensibilidad se realiza variando los parámetros de loses probados periódicamente, en este caso las bombas (B1, B2, B3 y B4). La los parámetros incluye el análisis de un intervalo de rata de fallas desde 3E-7 (valor actual según base de datos), y de los tiempos entre pruebas de losvalores discretos de 360, 720, 1440 y 2160 horas.

Gráfica de sensibilidad variando las ratas de fallas y tiempo entre pruebas delas bombas probadas periódicamente.

El análisis de las curvas muestra, que la incidencia sobre estos parámetros no reportamejoras notables en la disponibilidad de la instalación. Ello se debe a que se ha afectadola fiabilidad de equipos cuya importancia en la instalación es insignificante (veáse la tabla6.2.4).

Sin embargo hay un detalle en dichas curvas que debe ser destacado. Cuando seaumenta el tiempo entre pruebas aparecen dos efectos contrapuestos: el primero es elaumento de la contribución de las fallas ocultas y el segundo es la disminución de lacontribución de la indisponibilidad durante las pruebas.

Esto explica que la variación de la indisponibilidad para tiempos entre pruebas mayores(1440 y 2160 h) es más sensible a la variación de la rata de fallas que los casos de menortiempo entre pruebas.

Como tendencia general se observa que para bajas ratas de fallas el aporte de lasindisponibilidades por pruebas es determinante, mientras que para mayores ratas predomina el aporte de las fallas ocultas. Esto significa que cuando se trabaje conbombas de alta fiabilidad debe prestarse especial atención a la duración de las pruebas,mientras que para bombas de menor calidad es importante prestar más atención a losintervalos entre pruebas.

Existen algunas cuestiones del caso de estudio hasta el momento no abordadas, porejemplo el análisis de los resultados de la indisponibilidad instantánea, que como seexplicó puede mostrar aspectos hasta ahora enmascarados en los análisis porparámetros medios. El análisis de la indisponibilidad instantánea de este sistema semuestra en la figura 6.2.5:

Fig. 6.2.5. Gráfica de indisponibilidad instantánea del caso base.

En la gráfica se observa un grupo numeroso de picos de indisponibilidad debidos a laspruebas de las bombas. Esto provoca que el ordenamiento de los mayores contribuyentesa la falla de la instalación, durante los tiempos de prueba se altere, tal como se aprecia enlos análisis ulteriores en puntos aislados del tiempo (Tabla 6.2.9).

La curva de distribución correspondiente a esta gráfica de indisponibilidad instantánea,se presenta en la figura 6.2.6:

Fig. 6.2.6. Gráfica de distribución del caso base.

Los resultados anteriores muestran un valor de indisponibilidad media sobre la base de lainstantánea de 2.73 E-2 y una indisponibilidad máxima de 4.79 E-2. En este caso lasobreestimación de los valores obtenidos por la indisponibilidad media (ver a continuaciónde la tabla 6.2.2) no resulta notable con respecto a los resultados de la instantánea.

Suponiendo que la estrategia de pruebas se cambie aumentando el intervalo entre laspruebas a 1440 horas, se obtiene la curva de la fig 6.2.7.

Los resultados obtenidos muestran un crecimiento casi insignificante de los valores de laindisponibilidad media y máxima respectivamente: 2.76E-2 y 4.81E-2 con respecto a2.73E-3 y 4.79E-2 del caso base.

Fig. 6.2.7.

La curva dcomparacióinteresanteobtenidas distribuciónestrategiashomogeneiaportes de pruebas co

Prácticamecomo referencima de idóneo debde indisponejemplo qu6.2.9, dond

Gráfica de indisponibilidad instantánea del caso base con aumento del tiempoentre pruebas a 1440 horas.

e distribución correspondiente al caso anterior se muestra en la fig. 6.2.8. Lan de las curvas de distribución de las figuras 6.2.6 y 6.2.8 arroja resultadoss. Si se parte del hecho de que las indisponibilidades medias y máximas,en cada caso, son similares, se obtiene que el análisis de las curvas de es un buen punto de partida, para determinar cual será la mejor de las dos. En este caso la estrategia de pruebas bimestral (1440 horas) reporta unadad superior, lo que se interpreta como una reducción apreciable de loslas indisponibilidades por pruebas con respecto al caso base (estrategia den TI=720 horas).

nte la característica más ventajosa la tendrá aquel caso, en el que tomandoencia el valor de la indisponibilidad media, se obtengan áreas menores pordicho valor. Esto significa, desde el punto de vista técnico, que el sistema

erá ser aquel que durante menos tiempo se mantenga en sus valores máximosibilidad, lo que lo haría menos vulnerable a metas de fiabilidad hipotéticas. Une ayuda a corroborar esta afirmación es el caso que se presenta en la figurae se ha reducido el tiempo entre pruebas a 360 horas.

Fi
g. 6.2.8. Gráfica de distribución para caso base con aumento del tiempo entre pruebasa 1440 horas.
Fig. 6.2.9. Gráfica de indisponibilidad instantánea del caso base con reducción deltiempo entre pruebas a 360 horas.

Como se observa en este caso mientras más se prueba (aumento de la frecuencia depruebas) el área que aportan los picos de indisponibilidad por pruebas es mayor y losvalores de homogeneidad (fig 6.2.10) por tanto son menores.

Lógicamente en este caso la característica definitoria, que ayuda a seleccionar unaestrategia de pruebas u otra, es el valor de indisponibilidad media (2.61 E-2 para estecaso), que resulta ser la menor de las obtenidas hasta el momento. Este detalle no debellevar a la conclusión de que el aumento de la frecuencia de las pruebas (disminución delTI), conduce siempre al aumento de la disponibilidad, pues en estos estudios no se hatenido en cuenta la influencia del factor de degradación durante las pruebas, lo quepuede conllevar a obtener efectos contrarios a los mostrados hasta el momento.

Fig. 6.2.10. Gráfica de distribución del caso base con reduccióndel tiempo entre pruebas a 360 horas.

Un estudio de sensibilidad realizado para un caso similar al anterior pero introduciendoun factor de degradación del 3% por efecto de las pruebas periódicas, aporta valores deindisponibilidad máxima y media similares (5.23E-2 y 2.62E-2), pero conlleva a ladisminución de la homogeneidad en un 12 %, lo que demuestra el aumento del aporte delos picos de indisponibilidad por pruebas.

Los análisis en puntos aislados del tiempo permiten descubrir los mayores contribuyentesen puntos aislados del tiempo, y tomar medidas sobre los mismos encaminadas adisminuir sus aportes. Por ejemplo, del análisis del instante 720 horas, partiendo del casobase, se obtienen las tablas 6.2.8 y 6.2.9 de conjuntos mínimos importantes (CMI) y deimportancia RRW, respectivamente.

Este análisis demuestra que el aporte pronunciado de indisponibilidad en los picos, loproduce la ocurrencia de un reordenamiento de los mayores contribuyentes a laindisponibilidad de la instalación en los intervalos de duración de las pruebas, dondepasan a ser más importantes los aportes de las bombas en operación cuya rata de fallases significativamente superior comparada con las de otros contribuyentes que resultan

Esta cuestión indica que deben tomarse medidas encaminadas a disminuir lasindisponibilidades durante las pruebas. Otro detalle de interés en este caso, es que paralos períodos de pruebas aparecen también nuevas configuraciones críticas que difierendel ordenamiento vigente en casi todo el intervalo. Esto se puede apreciar comparando

Es importante concluir que aún fuera de estos intervalos de pruebas cualquier alteracióndel proceso tecnológico, que saque de servicio un equipo, aunque no implique la paradade la instalación, puede generar configuraciones críticas que difieren por elreordenamiento de los contribuyentes, de las inicialmente detectadas.

Conjuntos Mínimos más probables

Componente Código Prob. % Acum.

13 15 B1R * B2RE 1.07E-02 22.30 22.3020 22 B3R * B4RE 1.07E-02 22.30 44.6017 SC 7.17E-03 14.97 59.584 F 7.17E-03 14.97 74.555 TO 7.17E-03 14.97 89.537 I1 7.20E-04 1.50 91.038 E1 7.20E-04 1.50 92.539 I2 7.20E-04 1.50 94.0310 H1R 7.20E-04 1.50 95.53

Tabla 6.2.8. Tabla de CMI en T=720 h.

Comp. Código Fussell-Vesely RRW RAW QComp

13 B1R 2.28E-01 1.09E-02 5.00E-01 2.14E-0220 B3R 2.28E-01 1.09E-02 5.00E-01 2.14E-0218 B3RE 2.23E-01 1.07E-02 1.07E-02 5.00E-0111 B1RE 2.23E-01 1.07E-02 1.07E-02 5.00E-015 TO 1.50E-01 7.17E-03 9.52E-01 7.17E-0317 SC 1.50E-01 7.17E-03 9.52E-01 7.17E-034 F 1.50E-01 7.17E-03 9.52E-01 7.17E-033 CO 1.50E-02 7.20E-04 9.52E-01 7.20E-041 E2 1.50E-02 7.20E-04 9.52E-01 7.20E-049 I2 1.50E-02 7.20E-04 9.52E-01 7.20E-04

Tabla 6.2.9. Importancia en T=721.

Anexo A. Análisis de datos. A.1. Papel del análisis de datos en los análisis de confiabilidad.

El objetivo principal del análisis de datos es la obtención de datos, fundamentalmente pormétodos estadísticos, para su incorporación en los modelos desarrollados en el análisisde sistemas. Los datos de fiabilidad permiten estimar las probabilidades de los sucesosbásicos de los modelos, a partir de las cuales se cuantifica la indisponibilidad del sistemao la planta.

Los tipos de datos que se manejan principalmente en el análisis de sistemas son:

a) Probabilidades y ratas de fallas para modos de fallas de componentes.

b) Indisponibilidades por mantenimiento y pruebas.

c) Probabilidades de errores humanos.

d) Probabilidades de fallas causa común.

La estimación de los dos últimos tipos de datos es objeto de estudio por otras actividadesde análisis (Análisis de Fiabilidad Humana y Análisis de Fallas Causa Común,respectivamente).

A.2. Interfases del análisis de datos con el análisis de sistemas. Sucesos básicos.

La interfase entre las actividades de análisis de sistemas y datos se realiza a través delos sucesos básicos de falla de componentes.

El analista de sistemas finaliza el desarrollo del modelo en sucesos básicos típicos paralos que es factible la obtención de datos estadísticos. Estos sucesos básicos representanel agrupamiento de todos los posibles modos de falla de un componente en un número decategorías limitadas.

A.2.1. Modos de falla.

El modo de falla se refiere a la forma en que se manifiesta la falla de un componente.Los modos de falla más generalizados se relacionan a continuación:

(Los códigos que aparecen entre paréntesis acompañando cada modo de falla soncódigos estandarizados para los modos de falla, que conjuntamente con los códigos deproyecto de los componentes a que se refieren conforman los códigos que identifican lossucesos básicos en los modelos de sistemas).

- Falla al arranque (S)

- Caracteriza la falla de componentes a arrancar cuando son demandados.

- Es aplicable a todos los componentes que realizan su función arrancando y conmovimiento (rotación) continuo subsiguiente.

- Falla relativa a la demanda.

- Ejemplos: Bombas, Diesels, Ventiladores, Compresores.

- Falla en operación (R)

- Caracteriza la falla de un componente que trabaja en forma continua (movimientorotatorio) durante el tiempo de misión requerido.

- Aplicable a todos los componentes que realizan su función por movimiento continuo.

- Falla relativa al tiempo de operación.

- Ejemplos: Bombas, Diesels, Ventiladores, Compresores.

- Falla a la apertura (O)

- Caracteriza la falla de un componente a moverse a una posición nueva, abierta.

- Aplicable a componentes que realizan su función por (cambio) de un estado cerrado aotro abierto.


- Ejemplos: Válvulas, Interruptores.

- Falla al cierre (E)

- Caracteriza la falla de un componente a moverse a una nueva, cerrada.

- Aplicable a componentes que realizan su función por cambio de un estado abierto aotro cerrado.



- Falla al mantenimiento de la posición (D)

- Caracteriza fallas de componentes para mantener la posición requerida. Aplicableusualmente a componentes que realizan su función cambiando de estado entre dosestados discretos o que cambian de estado regulando entre dos puntos extremos. Serefiere a componentes que tienen que mantener su posición durante el tiempo demisión. La falla causaría su movimiento a una posición contraria.

- Falla relativa al tiempo de operación o espera.


- Falla por ruptura (T)

- Caracteriza una rotura grande en la frontera de retención de fluido.

- Aplicable a todos los componentes que retienen líquido. Si el componente realizaalguna otra función, no sólo retener líquido, esta falla inhabilitaría al componente pararealizar su función.

- Falla relativa al tiempo operacional o de espera.

- Ejemplos: Intercambiadores, Bombas.

- Pérdida de eficiencia (Z)

- Caracteriza la disminución del flujo y la transferencia de calor debido a deposicionesen las paredes de los componentes, que conlleva a la pérdida de la efectividad en eltrabajo del mismo.

- Aplicable a componentes donde se transfiere calor entre fluidos.


- Ejemplos: Intercambiadores de calor, Calentadores, Enfriadores.

- Falla en funcionamiento (F)

- Es un modo de falla general que caracteriza la falla de un componente para cumplir sufunción.

- Aplicable a componentes que no se mueven (macroscópicamente) para ejecutar sufunción.

- Falla relativa al tiempo operacional o la demanda.-

- Ejemplos: Baterías, Transformadores, Equipos de Instrumentación y control (I&C).

- Corto a tierra (G)

- Caracteriza conexiones a tierra de cualquier componente donde la corriente eléctrica esaislada a una tensión más alta quela tierra.

- Aplicable a componentes eléctricos y de I&C que de alguna manera conducen,transfieren o modifican la corriente eléctrica, cuando al romperse el aislamiento a tierraestos componentes se inhabilitan para cumplir su función o se causa perturbación aotros componentes.


- Ejemplos: Barras, Centro de Control de Motores.

- Corto circuito (H)

- Caracteriza conexiones entre dos o más conductores que normalmente estánaislados.

- Aplicable prácticamente a todos los componentes eléctricos y de I&C, cuando elaislamiento entre dos conductores normalmente separados desaparece formándoseun cortocircuito que inhabilita el componente para cumplir su función o causaperturbación en otros componentes.

- Falla relativa al tiempo de operación o de espera.


- Circuito abierto (I)

- Caracteriza la desconexión (aislamiento) de un circuito eléctrico.- - Aplicable prácticamente a todos los componentes eléctricos y de I&C, para el caso de

que el componente sea inhabilitado para cumplir su función cuando el conductoreléctrico se aísla internamente.



- Obstrucción (Q)

- Caracteriza cualquier forma de obstaculizar el flujo en dirección requerida, no causadapor la operación normal componente.

Fig. A.1. Fronteras de la bomba motorizada y sub-árbol de fallas para la misma.

Bomba motorizadafalla al arranque y en

operación

Bomba falla alarranque

Bomba falla enoperación

Bomba falla alarranque (fallas

locales)

Bomba falla enoperación

(fallas locales)

Falla delenfriamiento

del local

Falla de larefrigeración de

la bomba

Falla suministroeléctrico de C.A. al

interruptor 1

Falla de suministroeléctrico desde la

barra de C.C.

Falla de suministroeléctrico de C.A. al

interruptor


barra de C.A.

1

or

or

Bomba falla alarranque (fallas

locales)

or

or

Fig. A.2. Fronteras de la válvula motorizada y árbol de fallas para la misma.

En las figuras A.1 y A.2 se ilustran estos límites para una bomba y una válvulamotorizadas, así como los sub-árboles de falla de estos componentes que secorresponden con los mismos. Las fallas dentro de las fronteras definidas se consideranen los modelos de los componentes como "fallas locales" y son las que deben disponerde datos para la estimación de su probabilidad. ” A continuación se describen los límitesque normalmente se consideran para algunos componentes importantes.

- Generadores diesel.

Los límites físicos de los generadores diesel incluyen: cuerpo del generador,generador/accionador, sistema de lubricación (local), sistema de gas-oil (local),componentes de refrigeración (locales), sistema de aire de arranque, sistema de aire decombustión y gases de escape, sistema de control individual del generador diesel,interruptor de suministro a las barras de los consumidores y su circuito de control localasociado, con excepción de todos los contactos y relays que interaccionan con otrossistemas eléctricos o de control.

Válvula motorizada falla a la apertura

(cierre)

Falla a la apertura(cierre)

fallas locales


barra de C.A.

Falla de la señal decontrol para la

apertura (cierre) de la

or

- Bombas motorizadas.

Los límites físicos de las bombas incluyen: cuerpo de la bomba, motor/accionador,sistema de lubricación, componentes de refrigeración de los sellos, interruptor desuministro de tensión y su circuito de control local asociado.

- Turbobombas.

Los límites físicos de las turbobombas incluyen: cuerpo de la bomba, turbina/accionador,sistema de lubricación (incluida bomba), extracciones, componentes de refrigeración delos sellos y sistema local de control (velocidad) de la turbina. Quedan incluidas dentrodel sistema de control las válvulas de regulación y parada de la turbina.

- Válvulas motorizadas.

Los límites físicos de las válvulas incluyen: cuerpo de la válvula, motor/accionador,interruptor de suministro de tensión y su circuito local de apertura/cierre.

- Válvulas electromagnéticas.

Los límites físicos de las válvulas electromagnéticas incluyen: cuerpo de la válvula,operador (solenoide) y circuito local de energización del solenoide (contactos auxiliares,cableados y contactos de energización del solenoide).

- Interruptores de potencia.

Los límites físicos de los interruptores de potencia incluyen el cuerpo/accionador delinterruptor entre la salida y entrada de cables.

A.2.3. Modelos de componentes.

Los regímenes de trabajo de los componentes (espera, no reparables, probadosperiódicamente, monitoreados continuamente, mantenimiento preventivo, operación)determinan los modelos de fiabilidad de los mismos y estos a su vez la información de planta de interés para la estimación o ajuste de datos. Lo anterior se ilustra en la tabla acontinuación.

Suceso Básico Información Requerida Parámetro EstimadoComponente en espera(falla a la demanda)

n sucesos de falla en un total deN demandas

Probabilidad de falla a lademanda P=n/N

n sucesos en un tiempo total deespera Ts

Rata de fallas a la esperaR= n/Ts

Componente en operaciónfalla en funcionamiento ocambia de estado durante su misión

n sucesos de falla en el tiempode exposición Te

Rata de fallas en operaciónR= n/Te

Componente no disponiblepor pruebas

Duración media de la prueba D.Tiempo entre pruebas T

Indisponibilidad durante laspruebas Q=D/T

Componente no disponiblepor mantenimientopreventivo

Duración media del mtto. DTiempo entre mttos. T

Indisponibilidad por mtto.preventivo Q=D/T

Componente no disponiblepor mantenimientocorrectivo

Tiempo total fuera de serviciopor mantenimientos correctivosestando la planta en operaciónTFS . Tiempo total de operación Top.

Indispon. por mtto. correctivoQ=TFS/Top (durante laoperación del componente))

Número de actos de mtto.Correctivo M .Tiempo entre pruebas T

Q=TFS/(M*T) (asociada apruebas

Componente monitoreado no disponible por mtto.correctivo debido a falla detectada

Número de actos de mtto. N (núm. de fallas) en tiempo TTiempo medio de duración delmantenimiento Tr

Rata d e mtto. (fallas)R =N/TIndisponibilidad por mtto.CorrectivoQ=(N*Tr)/T

Los índices anteriores se obtienen para cada población (muestra) de componentesanálogos y conllevan una valoración estadística de los estimados realizados.

La información a valorar se obtiene de:

- Libros de operación

- Registros históricos de pruebas/mantenimientos

- Procedimientos de pruebas/ mantenimientos

- Ordenes de trabajo

- Informes periódicos

- Informes sobre sucesos notificables

Hay que destacar que si en el caso de las ratas de fallas se puede partir de datosgenéricos, en los casos de indisponibilidades por pruebas y mantenimientos se trata dedatos intrínsecos de cada planta y no procede su extrapolación de una planta a otra, porla flexibilidad con que se definen las políticas de mantenimiento, su dependencia de lascaracterísticas de diseño de las plantas, etc.

A.3. Bases de Datos

Las bases de datos de fiabilidad normalmente recogen para los diferentes casos típicosde componentes (mecánicos, eléctricos y e I&C) y modos de fallas, los siguientesíndices:

- Probabilidades de falla a la demanda.

- Ratas de fallas en espera.

- Ratas de falla en operación.

- Factores de Error.

- Información complementaria sobre características de los componentes, definición desus límites, fuentes de información, experiencia operacional (en dependencia delgrado de detalle de la información presentada).

Las bases de datos pueden ser de dos tipos: específicas y genéricas.

Los datos específicos son los que se obtienen directamente de la experiencia operacionalde la planta de interés. Sin embargo, es difícil encontrar el caso de una planta cuyosdatos estén comprendidos completamente en esta categoría. En general la informaciónde una planta no es suficiente desde el punto de vista estadístico para desarrollar unabase de datos específica por sí misma. Por ello se parte de datos genéricos, los cualesse ajustan con la experiencia operacional propia para obtener así una base específica.

Así, por datos genéricos se identifican los que no provienen de componentes de la plantapropia, sino que se adoptan de componentes análogos de otras plantas. El denominadoAnálisis Bayesiano permite la adecuación de estos datos a la experiencia operacionalpropia cuando existe evidencia (registros) apropiada de la misma.

Con este procedimiento se disminuye la incertidumbre estadística (aumento de la

población de partida) aunque con ello se incrementa la incertidumbre de conocimiento(aplicabilidad de los datos) debido a diferencias en el productor, calidad de manufactura,características de diseño, política y calidad de mantenimientos, ambiente operacional, etc. Esto último puede contrarrestarse en cierta medida adoptando bases de datos definidaspara plantas de tecnología lo más similar posible a la propia.

Otra fuente de incertidumbre puede ser la no clara definición de las fronteras de loscomponentes en la base genérica de partida, lo que puede determinar la falta decorrespondencia con respecto a los límites establecidos para los componentes propios(ver A2.2).

No obstante, las incertidumbres que pueden derivarse del uso de datos genéricos norestan validez a los resultados de los estudios realizados, cuando estos se refieren a lasvaloraciones de tipo comparativo, que sirven de base a la proposición de mejoras yestablecimiento de prioridades en su implementación, como por ejemplo:

- ordenamiento por importancia de componentes,

- comparación de alternativas de diseño,

- comparación de alternativas de regímenes de explotación,

- optimización de especificaciones técnicas de funcionamiento.

Por último, existen técnicas para la valoración del impacto de estas incertidumbres en losresultados del análisis (análisis de incertidumbres, análisis de sensibilidad), con vistas asu consideración en la toma de decisiones.

De esta forma la utilización de datos genéricos de partida es una alternativa viable a lacarencia de una base de datos específica, a la vez que constituye un punto de partida para el desarrollo de esta última.

Anexo B. El sistema ARCONLos trabajos en este sistema se iniciaron a finales de 1987 y desde entonces se handesarrollado varias versiones, caracterizadas por los siguientes atributos principales

Capacidad de resolución de árboles de fallas complejos en PC

Potente generador de CM que supera la cifra de cientos de millones

Variadas opciones de evaluación numérica

Facilidades gráficas poderosas para la representación de árboles de fallas yárboles de sucesos, bases de datos y resultados de los análisis

Durante estos años se han sucedido diversas versiones del sistema, donde se hanampliado sustancialmente sus capacidades e introducido nuevas y potentes opciones. La más reciente versión 5.0 permite resolver los árboles de fallas muy complejos que segeneran a partir de las secuencias accidentales de un APS.

Seguidamente, mostramos los resultados de la generación de los CM y el cálculo de susprobabilidades, en un árbol de fallas complejo evaluado con el sistema ARCON 5.0.

Ejemplo B.1: Modelo simplificado del sistema de inyección de alta presión de la CentralElectronuclear (CEN) de Juraguá en Cuba, para el suceso iniciador de avería Pérdida delsuministro eléctrico exterior. Para este iniciador, la función del sistema es reponer lapequeña pérdida de inventario de agua que se produce en el circuito primario, debido aldisparo de las válvulas de seguridad del compensador de presión en los primerosinstantes de la avería.

El sistema consta de 3 líneas independientes para la inyección del agua al primario, condos bombas de alta presión por cada uno de los 3 trenes redundantes. Para este iniciadorel criterio de éxito es que se logre inyectar el gasto nominal de una de las bombas poralguna de las 3 líneas existentes. El suceso tope no deseado es el evento complementode éste, es decir, que no se logre inyectar agua con ninguna de las bombas.

La figura B.1 muestra una de las pantallas del árbol de fallas, obtenida mediante elsistema ARCON. Se aprecia que la información de los sucesos intermedios se refleja enforma de códigos de las compuertas, que permiten describir los sucesos que ellasrepresentan de manera compacta y uniforme. Con esto se facilita la interpretación yrevisión de los modelos de árboles de fallas por otros especialistas.

La codmodelasistemásistemaestanda

A contiCM que

Conjun

T

Fig. B.1. Pantalla del árbol de fallas del sistema de inyección de altapresión de la CEN de Juraguá, obtenida mediante el sistema ARCON.

ificación anterior forma parte de la metodología lógico-modular, adoptada para lación del APS de la central nuclear de Juraguá. Ella constituye un enfoquetico para el desarrollo de árboles de fallas, a partir de la descomposición de loss en tramos de tuberías o redes, lográndose de esta forma un alto grado derización de los criterios de modelación de diferentes analistas.

nuación mostramos una tabla resumen que facilita ARCON con las cantidades de genera este árbol de fallas.

tos Mínimos50

337545225266805922843

20934723267364353894425927681179648262144

14172493

123456789101112otal

Por supuesto que sería absurdo e inútil someter a análisis esta enorme cantidad de CM.La tarea básica que realiza el sistema es, entonces, cuantificar la probabilidad de falladel sistema a partir de todos estos CM y determinar cuáles de ellos son los mayores contribuyentes a dicha probabilidad de falla, que es nuestro interés principal. Estoúltimo lo ofrece ARCON en una tabla como la que mostramos a continuación.

Conjuntos Mínimos más probables Prob. % Acum.

1) LF-1GX-S * LF-1GW-S * LF-1GV-S 4.47E-05 6.04 6.042) CM-1BVWX02Q-C 3.20E-05 4.32 10.363) LF-1GX-R * LF-1GW-S * LF-1GV-S 2.99E-05 4.03 14.394) LF-1GX-S * LF-1GW-R * LF-1GV-S 2.99E-05 4.03 18.435) LF-1GX-S * LF-1GW-S * LF-1GV-R 2.99E-05 4.03 22.466) LF-1GX-R * LF-1GW-R * LF-1GV-S 2.00E-05 2.69 25.157) LF-1GX-R * LF-1GW-S * LF-1GV-R 2.00E-05 2.69 27.858) LF-1GX-S * LF-1GW-R * LF-1GV-R 2.00E-05 2.69 30.549) LF-1GX-R * LF-1GW-R * LF-1GV-R 1.33E-05 1.80 32.3410) FL-TJ61S21-O * LF-1GW-S * LF-1GV-S 1.00E-05 1.35 33.7011) LF-1GX-S * FL-TJ41S21-O * LF-1GV-S 1.00E-05 1.35 35.0512) LF-1GX-S * LF-1GW-S * FL-TJ21S21-O 1.00E-05 1.35 36.4013) LF-1GX-R * FL-TJ41S21-O * LF-1GV-S6.69E-06 0.90 37.3014) LF-1GX-R * LF-1GW-S * FL-TJ21S21-O 6.69E-06 0.90 38.2015) FL-TJ61S21-O * LF-1GW-R * LF-1GV-S 6.69E-06 0.90 39.1016) FL-TJ61S21-O * LF-1GW-S * LF-1GV-R 6.69E-06 0.90 40.0117) LF-1GX-S * LF-1GW-R * FL-TJ21S21-O 6.69E-06 0.90 40.9118) LF-1GX-S * FL-TJ41S21-O * LF-1GV-R6.69E-06 0.90 41.8119) FL-TJ61S05-O * LF-1GW-S * LF-1GV-S 6.68E-06 0.90 42.7120) LF-1GX-S * FL-TJ41S05-O * LF-1GV-S 6.68E-06 0.90 43.61

En estos resultados, correspondientes a los 20 CM de mayor importancia, se apreciacomo el peso relativo de cada uno de ellos es bajo, por lo que el % acumulado se vaincrementando de forma moderada. Este es un aspecto positivo y es precisamente lo quese persigue con una toma de decisiones oportuna, porque significa que las probabilidadesde los modos de falla del sistema están distribuidas de forma balanceada y no existen CMdominantes, que lo hagan vulnerable ante determinadas combinaciones de fallas oindisponibilidades de equipo y errores humanos.

Llama la atención el CM #2, que es de orden 1. Este representa la falla modo común dela alimentación eléctrica a los 3 trenes redundantes, lo que indispone completamente alsistema. Una de las tareas importantes de un APS es, precisamente, identificar lasusceptibilidad de los sistemas y de la industria a este tipo de falla dependiente ycuantificar los aportes que se producen por esta causa. Generalmente entre los CM másimportantes se hallan presentes las fallas modo común de componentes redundantes (veranexo D).

A pesar de la pequeña contribución individual, de cada CM separado, los primeros 20representan algo más del 40% de la probabilidad total de falla del sistema, que es de7.4E-4 por demanda (se trata de un sistema a la espera, que entra en funcionamientosólo cuando es demandado por la ocurrencia del suceso iniciador de avería). Sicontinuáramos examinando los CM, veríamos que los 600 CM más importantesrepresentan ya alrededor del 96% de la indisponibilidad o probabilidad de falla pordemanda del sistema. En la práctica, los contribuyentes más significativos nunca sobrepasan la cifra de 2000. Sin embargo, esto no simplifica la tarea, porque los 2000hay que encontrarlos entre cientos y miles de millones. Para ello se requiere un softwareeficiente.

Adicionalmente a estos análisis de indisponibilidad media con determinación de los CMmás importantes, ARCON posibilita una amplia gama de opciones de análisis cuantitativode árboles de fallas y de sucesos:

- Cálculos en tiempos aislados.- Análisis de importancia para indisponibilidades medias y tiempos de cálculo aislados.- Estudios de indisponibilidad instantánea.- Análisis de sensibilidad.- Estudios de priorización:

- sin atributos- por tiempo entre pruebas- por mantenimiento- por AOT

La evaluación de árboles de sucesos contempla además el análisis detallado oininterrumpido de una o varias secuencias accidentales, así como medidas deimportancia de sistemas (Fussel-Vesely y RRW) y de secuencias accidentales (RIM).

Todas estas opciones se acompañan de un potente soporte gráfico para el análisis de losresultados y la documentación de las tareas.

En los capítulos IV, V y VI se detallan las diversas aplicaciones de estas potencialidadesdel sistema ARCON.

Anexo B. El sistema ARCONLos trabajos en este sistema se iniciaron a finales de 1987 y desde entonces se handesarrollado varias versiones, caracterizadas por los siguientes atributos principales

Capacidad de resolución de árboles de fallas complejos en PC

Potente generador de CM que supera la cifra de cientos de millones

Variadas opciones de evaluación numérica

Facilidades gráficas poderosas para la representación de árboles de fallas yárboles de sucesos, bases de datos y resultados de los análisis

Durante estos años se han sucedido diversas versiones del sistema, donde se hanampliado sustancialmente sus capacidades e introducido nuevas y potentes opciones. La más reciente versión 5.0 permite resolver los árboles de fallas muy complejos que segeneran a partir de las secuencias accidentales de un APS.

Seguidamente, mostramos los resultados de la generación de los CM y el cálculo de susprobabilidades, en un árbol de fallas complejo evaluado con el sistema ARCON 5.0.

Ejemplo B.1: Modelo simplificado del sistema de inyección de alta presión de la CentralElectronuclear (CEN) de Juraguá en Cuba, para el suceso iniciador de avería Pérdida delsuministro eléctrico exterior. Para este iniciador, la función del sistema es reponer lapequeña pérdida de inventario de agua que se produce en el circuito primario, debido aldisparo de las válvulas de seguridad del compensador de presión en los primerosinstantes de la avería.

El sistema consta de 3 líneas independientes para la inyección del agua al primario, condos bombas de alta presión por cada uno de los 3 trenes redundantes. Para este iniciadorel criterio de éxito es que se logre inyectar el gasto nominal de una de las bombas poralguna de las 3 líneas existentes. El suceso tope no deseado es el evento complementode éste, es decir, que no se logre inyectar agua con ninguna de las bombas.

La figura B.1 muestra una de las pantallas del árbol de fallas, obtenida mediante elsistema ARCON. Se aprecia que la información de los sucesos intermedios se refleja enforma de códigos de las compuertas, que permiten describir los sucesos que ellasrepresentan de manera compacta y uniforme. Con esto se facilita la interpretación yrevisión de los modelos de árboles de fallas por otros especialistas.

La codmodelasistemásistemaestanda

A contiCM que

Conjun

T

Fig. B.1. Pantalla del árbol de fallas del sistema de inyección de altapresión de la CEN de Juraguá, obtenida mediante el sistema ARCON.

ificación anterior forma parte de la metodología lógico-modular, adoptada para lación del APS de la central nuclear de Juraguá. Ella constituye un enfoquetico para el desarrollo de árboles de fallas, a partir de la descomposición de loss en tramos de tuberías o redes, lográndose de esta forma un alto grado derización de los criterios de modelación de diferentes analistas.

nuación mostramos una tabla resumen que facilita ARCON con las cantidades de genera este árbol de fallas.

tos Mínimos50

337545225266805922843

20934723267364353894425927681179648262144

14172493

123456789101112otal

Por supuesto que sería absurdo e inútil someter a análisis esta enorme cantidad de CM.La tarea básica que realiza el sistema es, entonces, cuantificar la probabilidad de falladel sistema a partir de todos estos CM y determinar cuáles de ellos son los mayores contribuyentes a dicha probabilidad de falla, que es nuestro interés principal. Estoúltimo lo ofrece ARCON en una tabla como la que mostramos a continuación.

Conjuntos Mínimos más probables Prob. % Acum.

1) LF-1GX-S * LF-1GW-S * LF-1GV-S 4.47E-05 6.04 6.042) CM-1BVWX02Q-C 3.20E-05 4.32 10.363) LF-1GX-R * LF-1GW-S * LF-1GV-S 2.99E-05 4.03 14.394) LF-1GX-S * LF-1GW-R * LF-1GV-S 2.99E-05 4.03 18.435) LF-1GX-S * LF-1GW-S * LF-1GV-R 2.99E-05 4.03 22.466) LF-1GX-R * LF-1GW-R * LF-1GV-S 2.00E-05 2.69 25.157) LF-1GX-R * LF-1GW-S * LF-1GV-R 2.00E-05 2.69 27.858) LF-1GX-S * LF-1GW-R * LF-1GV-R 2.00E-05 2.69 30.549) LF-1GX-R * LF-1GW-R * LF-1GV-R 1.33E-05 1.80 32.3410) FL-TJ61S21-O * LF-1GW-S * LF-1GV-S 1.00E-05 1.35 33.7011) LF-1GX-S * FL-TJ41S21-O * LF-1GV-S 1.00E-05 1.35 35.0512) LF-1GX-S * LF-1GW-S * FL-TJ21S21-O 1.00E-05 1.35 36.4013) LF-1GX-R * FL-TJ41S21-O * LF-1GV-S6.69E-06 0.90 37.3014) LF-1GX-R * LF-1GW-S * FL-TJ21S21-O 6.69E-06 0.90 38.2015) FL-TJ61S21-O * LF-1GW-R * LF-1GV-S 6.69E-06 0.90 39.1016) FL-TJ61S21-O * LF-1GW-S * LF-1GV-R 6.69E-06 0.90 40.0117) LF-1GX-S * LF-1GW-R * FL-TJ21S21-O 6.69E-06 0.90 40.9118) LF-1GX-S * FL-TJ41S21-O * LF-1GV-R6.69E-06 0.90 41.8119) FL-TJ61S05-O * LF-1GW-S * LF-1GV-S 6.68E-06 0.90 42.7120) LF-1GX-S * FL-TJ41S05-O * LF-1GV-S 6.68E-06 0.90 43.61

En estos resultados, correspondientes a los 20 CM de mayor importancia, se apreciacomo el peso relativo de cada uno de ellos es bajo, por lo que el % acumulado se vaincrementando de forma moderada. Este es un aspecto positivo y es precisamente lo quese persigue con una toma de decisiones oportuna, porque significa que las probabilidadesde los modos de falla del sistema están distribuidas de forma balanceada y no existen CMdominantes, que lo hagan vulnerable ante determinadas combinaciones de fallas oindisponibilidades de equipo y errores humanos.

Llama la atención el CM #2, que es de orden 1. Este representa la falla modo común dela alimentación eléctrica a los 3 trenes redundantes, lo que indispone completamente alsistema. Una de las tareas importantes de un APS es, precisamente, identificar lasusceptibilidad de los sistemas y de la industria a este tipo de falla dependiente ycuantificar los aportes que se producen por esta causa. Generalmente entre los CM másimportantes se hallan presentes las fallas modo común de componentes redundantes (veranexo D).

A pesar de la pequeña contribución individual, de cada CM separado, los primeros 20representan algo más del 40% de la probabilidad total de falla del sistema, que es de7.4E-4 por demanda (se trata de un sistema a la espera, que entra en funcionamientosólo cuando es demandado por la ocurrencia del suceso iniciador de avería). Sicontinuáramos examinando los CM, veríamos que los 600 CM más importantesrepresentan ya alrededor del 96% de la indisponibilidad o probabilidad de falla pordemanda del sistema. En la práctica, los contribuyentes más significativos nunca sobrepasan la cifra de 2000. Sin embargo, esto no simplifica la tarea, porque los 2000hay que encontrarlos entre cientos y miles de millones. Para ello se requiere un softwareeficiente.

Adicionalmente a estos análisis de indisponibilidad media con determinación de los CMmás importantes, ARCON posibilita una amplia gama de opciones de análisis cuantitativode árboles de fallas y de sucesos:

- Cálculos en tiempos aislados.- Análisis de importancia para indisponibilidades medias y tiempos de cálculo aislados.- Estudios de indisponibilidad instantánea.- Análisis de sensibilidad.- Estudios de priorización:

- sin atributos- por tiempo entre pruebas- por mantenimiento- por AOT

La evaluación de árboles de sucesos contempla además el análisis detallado oininterrumpido de una o varias secuencias accidentales, así como medidas deimportancia de sistemas (Fussel-Vesely y RRW) y de secuencias accidentales (RIM).

Todas estas opciones se acompañan de un potente soporte gráfico para el análisis de losresultados y la documentación de las tareas.

En los capítulos IV, V y VI se detallan las diversas aplicaciones de estas potencialidadesdel sistema ARCON.

Anexo C. Análisis de Modos y Efectos de Fallas(FMEA).

C.1. Introducción.

Dentro de las técnicas de análisis de confiabilidad de sistemas se presenta el FMEAcomo una de las más sencillas y útiles, ya que no se necesita de la existencia de datospara obtener resultados beneficiosos.

Se refiere a un método inductivo de análisis cualitativo de fiabilidad basado en lapregunta "¿Qué puede pasar si...?" y parte de la definición de una falla única en elequipamiento o tuberías de un sistema, determinando los efectos de éste para el sistemaa que pertenece el elemento fallado, para otros sistemas y para la planta en general.

Los sistemas a que se hace referencia pueden ser:

- sistemas de fluidos; - sistemas eléctricos; - sistemas de instrumentación y control; - sistemas de ventilación y aire acondicionado.

Para una mejor comprensión de esta técnica se definen los siguientes conceptos:

- Componente (elemento): nivel inferior de la subdivisión de la planta o sistema que esobjeto de análisis. La definición de qué constituye un componente para cualquier análisis depende de la disponibilidad de datos (resolución de la base de datos de fiabilidad) y delos objetivos y alcance de la tarea específica.

- Función: requerimientos al trabajo de un componente dentro de un sistema (p.e., lafunción de una válvula de cierre podría ser abrir ante una señal determinada para permitirel paso de un fluido y mantenerse abierta por un espacio dado de tiempo).

- Falla única: falla aleatoria que resulta en la pérdida de la capacidad de un componentepara ejecutar las funciones a él asignadas. Las fallas que resulten como consecuencia deun suceso único aleatorio se consideran parte de la falla única.

- Mecanismo de falla: procesos de origen físico (mecánico) o químico cuya incidenciaacumulativa sobre un componente determinado provoca su falla en un modo dado.Pueden relacionarse con el tiempo de espera o de trabajo del componente, o con lasdemandas a que éste se someta durante su tiempo de servicio.

- Modo de falla: forma en la que puede fallar la función de un componente (p.e., válvulafalla al cierre, ruptura de tubería, interruptor falla al mantenimiento de la posiciónrequerida).

- Efecto de la falla: consecuencias positivas o negativas de una falla sobre un subsistema,un sistema o la planta en general. La relación entre el mecanismo, modo y efecto de unafalla es que los mecanismos de fallas que actúan sobre un componente provocan la falladel componente en un modo dado, que se refleja con determinados efectos sobre elsistema y la instalación en general.

C.2. Propósito del FMEA.

El propósito principal de un FMEA en el marco de un análisis de fiabilidad de sistemas, esproveer información cualitativa sobre los variados modos en que un sistema puede fallar ylas consecuencias de estos para el propio sistema, otros sistemas con él relacionados yla planta en general. De ahí que se pueda utilizar para apoyar el desarrollo de losmodelos de sistemas (árboles de falla de sistemas) cuando los registros en planta no sonsuficientes y hay carencia de datos estadísticos, o cuando el equipo de análisis no estásuficientemente familiarizado con el diseño y la operación de la instalación, así como paradeterminar los sucesos iniciadores de accidente específicos de una planta.

Otros usos que puede tener un FMEA son, los siguientes:

-Comparación de varias alternativas de diseño y configuraciones de sistemas oplantas en su conjunto,

-Confirmación de la capacidad de un sistema para satisfacer ”sus criterios de fiabilidad dediseño,

-Identificar las áreas problemáticas en el diseño y operación de un sistema (p.e., modosde falla que puedan causar que el ”sistema falle, interconexiones entre sistemas, áreasque necesitan una redundancia mayor, etc.),

C.3. Requisitos para ejecutar un FMEA.

Antes de ejecutar un FMEA el analista debe definir qué constituye el sistema que va a seranalizado (fronteras interior y exterior del sistema). Esta definición incluye:

- requerimientos al estado funcional del sistema,

- condiciones ambientales y operacionales bajo las cuales el sistema va a estar,

- establecimiento claro de las fronteras físicas y funcionales del sistema y las interfases con otros sistemas,

- definición de la falla del sistema,

- nivel de resolución del análisis (subsistemas y componentes en los que comienza el análisis y sistemas o planta en su conjunto en los que termina), determinado por los objetivos planteados de la tarea.

C.4. Pasos del análisis.

1. Reunir toda la información de proyecto importante sobre el sistema enconsideración (p.e., descripción, planos, etc.).

2. Determinar el nivel al cual va a asumirse la falla de los componentes (resolución delanálisis respecto a la frontera interior) para la iteración inicial.

3. Usando el formato de la fig. C.1, identificar para cada componente los posibles modosde falla con sus causas probables.

4. Identificar los efectos de cada falla a nivel del sistema.

Durante este proceso identificar otras fallas con efectos e indicaciones muy similares.

5. Comprobar las acciones de diagnóstico necesarias para identificar los efectos dadoscon un modo de falla particular.

6. Determinar las acciones correctivas necesarias.

7. Repetir los pasos (4), (5) y (6) para cada conjunto de condiciones que modifiquen losefectos del modo de falla (*),

8. Cuando el proceso esté completo al nivel del sistema, identificar los efectos de lafalla al nivel de otros sistemas y la planta en su conjunto.

C.5. Formato de presentación del análisis.

Los resultados del análisis se presentan en forma resumida en una tabla con el formatoque se ilustra en la figura C.1.

Pueden existir determinadas condiciones de operación del ”sistema o la instalación, paralas cuales los efectos de un mismo modo de falla de uno o varios componentes no sea el mismo. Por ejemplo, la falla de una bomba de agua de alimentar estando la reservaindisponible (por cualquier causa), no tiene el mismo efecto que la misma falla estandodisponible la reserva. Cada caso debe identificarse de manera clara en el análisis.

COMPONENTE EFECTOS SOBRENo.

CO

DIG

O

DES

CR

IPC

ION

UBI

CAC

IÓN

ESTA

DO

MO

DO

DE

FALL

A

SIST

EMA

OTR

OS

SIST

EMAS

PLAN

TA

MET

OD

O D

ED

ETEC

CIO

N

POSI

BILI

DAD

ES D

ER

ECU

PER

ACIO

N

CO

MEN

TAR

IOS

Fig. C.1. Formato de presentación del FMEA.

donde:

CODIGO: se refiere al código de Proyecto del componente.

DESCRIPCION: se refiere a la denominación, tipo de componente y tipo de actuacióndel mismo (p.e., válvula de no retorno, válvula manual de cierre, bomba centrífuga, etc.).

UBICACIÓN: se refiere al local (código) y cota donde se ubica el componente.

ESTADO: se refiere a la posición del componente en operación normal (p.e.,normalmente abierto, desconectado, etc.).

MODOS DE FALLA: se refiere al modo de falla particular que se analiza, (para unmismo componente pueden haber varios modos de falla posibles). Incluye descripción ycódigo.

CAUSAS DE FALLA: se refiere a las causas posibles que pueden originar la falla delcomponente.

EFECTOS: se refiere a los efectos que tiene la falla sobre el sistema a que pertenece elcomponente, sobre otros sistemas con él relacionados y sobre la planta (p.e., disparo deturbina, disparo del generador, ningún efecto apreciable, etc.).

METODO DE DETECCION: se refiere a la forma en que se detecta la falla (si es posible),ya sea directa o indirectamente, localmente o en panel de control central mediantealarmas, indicadores, etc.).

POSIBILIDADES DE RECUPERACION: se refiere a si existe la posibilidad, y cómo, derecuperar las condiciones iniciales antes de la falla del sistema, o la salida de servicio dela planta.

COMENTARIOS: se refiere a cualquier información adicional que sirva para aclaracióndel análisis.

Anexo D. Nociones generales sobre fallasdependientes.

D.1. Introducción.

El tratamiento de las fallas dependientes tiene una importancia crucial en los análisisde fiabilidad de sistemas y Análisis Probabilistas de Seguridad (APS). Esto se debe a que existen mecanismos que provocan la ocurrencia de múltiples fallas decomponentes producto de una única causa o varias que coexisten al mismo tiempo y deno considerarse se obtendría como consecuencia una subestimación de los resultadoscuantitativos del análisis y por lo tanto una caracterización erróneamente optimista de la disponibilidad de los sistemas y de la seguridad de la instalación.

En la medida en que se ha ido perfeccionando el diseño, la fabricación y construcciónde las instalaciones, se ha comprobado una reducción notable de sus probabilidades defallas únicas aleatorias, convirtiéndose así las fallas dependientes en uno de los factores dominantes de la evaluación del riesgo y la fiabilidad.

La falla de múltiples componentes puede clasificarse como independiente odependiente.

Fallas múltiples independientes: conjunto de sucesos de falla cuya probabilidadpuede expresarse como el producto simple de las probabilidades incondicionales de los sucesos de fallas individuales que lo forman. Por ejemplo, dado la falla de dos componentes A y B, P(A*B)=P(A)*P(B).

Fallas múltiples dependientes: conjunto de sucesos de falla cuya probabilidad nopuede expresarse como el producto simple de las probabilidades incondicionales defallas de los sucesos individuales que lo forman. Por ejemplo, P(A*B)=/ P(A)*P(B).En este caso P(A*B)=P(A)*P(B/A), donde P(B/A) es la probabilidad condicional deque ocurra la falla de B dado que ha ocurrido la de A.

D.2. Tratamiento de las fallas dependientes.

Las fallas dependientes son el resultado de la coexistencia de dos factores: uno queproporciona la susceptibilidad del elemento a la falla (causa raíz) y un mecanismo deacoplamiento que crea las condiciones de fallas múltiples de componentes. De acuerdocon la estrategia de defensa incorporada en el proyecto del sistema puedeconsiderarse posible o no la ocurrencia de la falla dependiente.

Atendiendo a estas cuestiones existen tres direcciones sobre las que se enfoca elanálisis de las fallas dependientes:

a) Las causas raíces de la falla.

b) El mecanismo de acoplamiento entre las fallas individuales.

c) La estrategia defensiva para eliminar las dependencias o reducir la probabilidad deque se presenten.

a) Causas raíces de la falla.

La causa raíz de la falla de uno o varios componentes, se identifica como la razónprimaria por la que el componente se encuentra en estado indisponible y que mientrasesté presente va a existir la posibilidad de que el mismo componente u otroscomponentes similares se encuentren en este estado.

Existen cuatro tipos generales de causas raíces:

De equipo (Hardware): fallas aleatorias aisladas del equipamiento debidas acausas inherentes al componente afectado.

Humanas: errores durante las actividades de la planta relacionadas con laoperación, el mantenimiento, las pruebas, el diseño, la fabricación y la construcción.

Ambientales: sucesos externos al equipamiento pero internos a la planta, queresultan en esfuerzos ambientales aplicados al equipamiento.

Externas: sucesos externos a la planta que resultan en esfuerzos ambientalesanormales que se aplican al equipamiento.

La determinación de las causas raíces de falla juega un papel importante en elanálisis de las fallas, sean dependientes o independientes, ya que incidiendo sobreéstas pueden modificarse el diseño o los procedimientos de operación, pruebas ymantenimiento de los componentes y sistemas, de modo que no vuelva a presentarse una falla por esa causa. Al fallar o encontrarse indisponible uno o varios componentes (falla múltiple), con frecuencia se puede determinar el hecho que se manifiesta como causa del mismo, sin embargo, esto generalmente se refiere a la"causa directa". Por ejemplo:

Suceso Causa directa Causa raíz

Falla mecánica de una Alta vibración Capacitación inade- bomba en operación. por error en el cuada del personal montaje. de montaje y deficien-

cias en los procedi-mientos de montaje.

Es decir, es importante examinar la cadena de sucesos que van desde la causapróxima o directa hasta la causa final o raíz, que muchas veces se presenta como unproceso complejo.

En la fig. D.1 se muestra un esquema orientativo de clasificación de causas genéricas defalla, de acuerdo a la experiencia de las centrales nucleares:

DeficienciaFuncional

(EDF)

Fallas deRealización

(EDR

Fabricación(ECM)

Montaje yP. En Serv.

(ECI)

Mantenim.(OPM)

Operación(OPO)

ExtremosNormales

(OEN)

SucesosEnergéticos

(OEE)

Diseño(ED)

Construcción(EC)

Procedimientos(EC)

Ambiente(OE)

Ingeniería(E)

Operación(O)

NoIndentificadas

CAUSAS DE FALLAS DEPENDIENTES

Peligro NoDetectable

Instrument.Inadecuada

ControlInadecuado

Dependenc.

EntreTrenes

Operacióny

Protecciónde

Compon.Comunes

Deficiencias Operac.

Compon.Inadecuado

s

Errores enel Diseño

Limitac. en el Diseño

Control deCalidad

Indadecuado

NormasIndadecuad

.

InspecciónInadecuada

PruebasInadecuad.

Control deCalidad

Indadecuado

NormasIndadecuad

.

InspecciónInadecuada

Pruebas yPuesta enServicio

Inadecuad.

ReparaciónIncorrecta

PruebasIncorrectas

CalibraciónIncorrecta

Procedim.Incorrectos

SupervisiónIncorrecta

Errores delOperador

Procedim.Inadecuad.

SupervsiónInadecuada

Error deComunicac.

Temperat.

Presión

Humedad

Vibración

Aceleración

Tensión

Corrosión

Contaminac

Interferenc.

Incendio

Inundación

TiempoMeteorol.

Terremoto

Explosión

Proyectiles

EnergíaEléctrica

Radiación

FuentesQuímicas

b) Mecanismo de acoplamiento entre fallas individuales.

El mecanismo de acoplamiento es el responsable de extender la susceptibilidad deun componente a una causa de falla, hacia otros componentes.

Se identifican 3 tipos de mecanismos de acoplamiento:

(1) Dependencias funcionales:

Dependencias entre elementos (1) debidas a que comparten determinados equipos o a procesos de acoplamiento. El compartimiento de equipos se refiere a aquellos casos de múltiples elementos que comparten el mismo equipamiento(válvulas, intercambiadores de calor, bombas, etc.), mientras que los procesos deacoplamiento se refieren a los casos donde la función de un elemento depende directao indirectamente de la función de otro. En este último caso existe una dependenciadirecta cuando el producto del funcionamiento de un elemento constituye una entradapara otro (p.e., enlace entre el sistema de agua de alimentar y el sistema dealimentación eléctrica de consumos propios, etc.). Una dependencia indirecta existesiempre que los requerimientos funcionales de un elemento dependan del estado deotro (p.e., dependencia del trabajo del sistema de agua de alimentar del trabajo delsistema de calentadores de baja presión).

(2) Dependencias físicas:

Existen dos tipos de dependencias físicas,

Equipamiento ubicado dentro del mismo local, dentro de las mismas barrerascontra incendio, contra inundaciones o contra impacto de objetos. (Proximidadespacial).

Equipamiento no interconectado espacialmente, pero acoplado por condiciones ambientales (por ejemplo, sistema de ventilación, aire acondicionado, etc.).

(3) Interacciones humanas.

Se pueden distinguir las relativas a acciones basadas en el conocimiento y lasrelativas a acciones basadas en procedimientos; en las actividades relacionadascon el diseño, fabricación, construcción, montaje, operación, pruebas, inspección,mantenimiento preventivo y correctivo y liquidación de averías.___________________________

(1) En estas definiciones el término genérico "elemento" puede significar un sistema, un subsistema, un tren redundante, o uncomponente.

Al examinar las causas raíces luego de definir los mecanismos de acoplamiento, lasprimeras pueden agruparse como sigue:

Causas raíces que afectan al equipamiento similar. Componentes similares que son afectados usualmente por procedimientos similares de montaje,mantenimiento y pruebas, así como por procesos similares de diseño y fabricación.Estos rasgos comunes pueden provocar fallas múltiples debidas a erroreshumanos sistemáticamente repetidos. Por tanto, para estas causas de fallas dependientes el mecanismo de acoplamiento es la similitud del equipamiento, ylos grupos de componentes de interés son aquellos con componentes similares. Las fallas dependientes resultantes de este tipo de causas raíces presentan mecanismos de acoplamiento del tipo (1) y (3) anteriores.

Causas raíces que afectan al equipamiento ubicado en el mismo local, oenlazado por las mismas condiciones ambientales. Las condiciones ambientales adversas como, por ejemplo, incendios, inundaciones, alta humedad, camposmagnéticos, etc., pueden generar fallas múltiples en un área limitada o en diversasáreas acopladas por la ventilación, el aire acondicionado, etc. Para estas causas, elmecanismo de acoplamiento de interés es la susceptibilidad a ciertas condicionesambientales adversas y la ubicación con respecto a éstas, o el acoplamiento por unfactor o agente externo (por ejemplo, equipamiento no separado por barreras dela fuente de condiciones ambientales adversas). Este tipo de causas raíces generafallas dependientes que presentan mecanismos de acoplamiento del tipo (2).

Causas raíces que afectan al equipamiento operado o mantenido según losmismos procedimientos. Los componentes que son afectados por los mismosprocedimientos de operación normal, de pruebas y mantenimiento, o de averíapueden fallar producto de errores comunes del personal al aplicar dichos procedimientos. Estos procedimientos pueden influir sobre componentes nosimilares. Este tipo de causas raíces pueden afectar a componentes diferentes, generando sucesos dependientes que presentan mecanismos de falladel tipo (3).

c) Estrategia defensiva.

Las fallas dependientes pueden eliminarse o reducirse su probabilidad mediante lasdos estrategias de defensa siguientes:

1. Reducir la susceptibilidad de los componentes a una causa falla determinada (p.e.,control de calidad del diseño, calidad de los procedimientos de prueba ymantenimiento, etc.).

2. Eliminar el mecanismo de acoplamiento (p.e., separación física, diversidad, etc.).

Entre las medidas que pueden tomarse contra este tipo de fallas están:

- Establecimiento de barreras.

Se refiere a cualquier impedimento físico que trate de confinar o restringir cualquiercondición potencialmente dañina (por ejemplo, la propagación de un incendio).

También debe evitarse interconectar componentes redundantes separados físicamente (por barreras o locales) a través de sistema de ventilación o aireacondicionado común.

Se emplean comúnmente los bloqueos entre componentes o trenes redundantes delos sistemas de instrumentación y control, para evitar, por ejemplo, que puedan sersacados fuera de servicio más de uno a la vez para la realización de una prueba o mantenimiento; esto reduce el acoplamiento asociado a errores que pudieran cometerse en la realización de la prueba de un tren o componente redundante, mientras existe otro que está en mantenimiento preventivo.

- Entrenamiento adecuado del personal.

Mediante un programa de entrenamiento que asegure que los operadores y elpersonal de mantenimiento se familiaricen con los procedimientos, de modo que seancapaces de seguirlos durante todas las condiciones de operación.

- Control de la calidad.

Mediante un programa que asegure un producto en correspondencia con losrequerimientos de proyecto y las normas.

- Redundancia.

Se agregan componentes redundantes idénticos adicionales al sistema con el fin deincrementar la probabilidad de que un suficiente número de componentes sobreviva auna causa de falla dada ante una demanda de actuación.

- Estrategia de vigilancia, pruebas y mantenimiento planificado.

Se evita la existencia de fallas no revelables (ocultas) o al menos se disminuye eltiempo en que éstas puedan existir. Esto incluye el monitoreo (alarmas), pruebasfrecuentes, inspecciones, etc.

La realización de pruebas y mantenimientos preventivos escalonados para loscomponentes redundantes tiene algunas ventajas sobre ejecutarlos de manerasimultánea (concentrada) o secuencial. Primeramente, se reduce el acoplamientoasociado a ciertas fallas relacionadas con errores del personal durante las actividadesde pruebas y mantenimientos. (La probabilidad de que un operador o un técnico repitauna acción incorrecta es menor cuando esa actividad se realiza meses, semanas e incluso días después de haberse realizado con anterioridad).

Otra gran ventaja es que se reduce el tiempo de exposición a las fallas dependientes demanera proporcional al número de equipos redundantes, que definen el escalonamiento.

- Revisión de procedimientos.

Revisión de los procedimientos de operación, mantenimiento, de pruebas y calibraciónpara eliminar acciones incorrectas o inapropiadas, que puedan resultar en laindisponibilidad del sistema.

- Diversidad.

Uso de enfoques, procesos o métodos diferentes para lograr el mismo resultado(diversidad funcional). Por ejemplo, el control de diferentes variables de proceso parainiciar la corrección de parámetros en el circuito o el disparo del equipo que se quiereproteger.

Uso de diferente tipo de equipamiento para ejecutar la misma función (diversidad deequipamiento). Por ejemplo, empleo de bombas y válvulas redundantes de diferentefabricante.

Empleo de diferente personal para ejecutar las tareas de montaje, mantenimiento ypruebas sobre el equipamiento redundante.

D.3. Consideración de las fallas dependientes en los modelos de sistemas.

Se pueden incluir de manera explícita o implícita.

- De forma explícita.

Cuando las causas de la falla de múltiples componentes se puede representar comomodos de falla de los componentes de los que depende (dependencias funcionales,físicas y humanas). Por ejemplo, la falla de varias bombas o válvulas eléctricas debidaa la falla de una barra común de consumo propio de la cual se alimentan. Debetratarse de incluir las fallas dependientes en los modelos de manera explícita, siempreque sea posible.

Esta dependencia se incluye en el modelo de falla del sistema (árbol de fallas) a travésde la inclusión del suceso básico que representa la falla de la barra de alimentacióneléctrica, con su respectiva probabilidad o rata de fallas, como una de las causas de falla de cada una de las válvulas o bombas respectivas, asegurándose que dicho sucesotenga la misma codificación para todos los casos donde intervenga (ver fig. D.2, componente F-ALIMELE).

- De forma implícita.

Cuando la causa de fallas múltiples no está en la falla de otro u otros componentes, ocuando no está identificada de manera clara su causa raíz o, aun estándolo, no secuenta con los datos que permitan su evaluación individual.

Sus efectos se tienen en cuenta (de forma implícita sin enumerar de manera explícita

las causas de la falla múltiple en el modelo), a través de parámetros que sedeterminan a partir del procesamiento de los datos registrados de la experienciaoperacional, de la misma manera que se determinan las ratas de fallas de loscomponentes de los sistemas. Ejemplos de métodos utilizados son: el del Factor BETA (más utilizado por su sencillez), el método de la rata Binomial de Fallas, elmétodo de los Parámetros Básicos, etc.

En el ejemplo de la fig. D.2 se presenta un sub-árbol simplificado de falla de la parte de bombas de un sistema de agua de alimentar. El suceso básico CM-BAB-R significa la falla de ambas bombas BA-A y BA-B a continuar en operación por causa común (dependencias residuales). Nótese que en dicha figura aparecen dos sucesosdependientes, uno es la falla de las bombas por la falla de la alimentación eléctricacolocado explícitamente en el modelo como causa de falla de éstas (método explícito),representado por F-ALIMELE, y el otro CM-BAB-R, que no especifica la causa ocausas que provocan la falla en operación de ambas bombas (método implícito).

Fig. D.2. Subárbol de fallas simplificado de las bombas de agua de alimentar de unsistema hipotético.

Los sucesos de falla en la fig. D.2 se describen como:

F-BAA-R. Falla de la bomba BA-A en operación.F-BAB-R. Falla de la bomba BA-B en operación.F-BAB-S. Falla de la bomba BA-B al arranque.F-ALIMELE. Falla de la alimentación eléctrica.CM-BAB-R. Falla en operación de las bombas BA-A y BA-B, por causa común

FALLA DE LAS BOMBAS DEAGUA DE ALIMENTAR

AND

FALLA BOMBA BAEN OPERACION

FALLA LA RESERVA(BOMBA BA-B)

F-ALIMELE CM-BAB-R F-BAB-S F-BAB-R F-ALIMELE CM-BAB-RF-BAB-R

OR OR

BIBLIOGRAFIA1- Maintenance Engineering Workshop, Houston, THFC, 1963, pág. 253.

2- Lozano Conejero, Antonio. Confiabilidad - Teoría y Práctica. Buenos Aires, EditorialUniversitaria,1969, pág. 94.

3- Finley, Howard. Principios de Optimización de Mantenimiento, Howard Finley de VenezuelaC.A., 1975, pág. 525.

4- C. Valhuerdi, R. Quintero . Seguridad nuclear. Problemas y valoraciones. Selección de temas.Instituto Superior de Ciencias y Tecnología Nucleares, MES, La Habana, 1990.

5- IAEA-TECDOC-478. Component Reliability Data for Use in Probabilistic Safety Assessment.IAEA, Vienna, 1988.

6- Finley, Howard. Ingeniería de Mantenimiento, Houston, 1977.

7- Mosquera, Genaro. Apoyo Logístico para el Mantenimiento Industrial, U.C.V. – C.D.C.H.,Caracas, 1987.

8- Mosquera, Genaro. Gerencia de Logística Industrial, Academia de Ciencias Económicas,Caracas, 1994.

9- J. Rivero, J. Salomón, M. Perdomo, A. Torres. Resultados más significativos de los estudiosde análisis probabilista de seguridad en Cuba. Revista CTN No 1, Brasil, 1993.

10- J. Rivero, J. Salomón, A. Torres, M. Perdomo. El programa ARCON 4.1 para análisisprobabilista de seguridad de nivel I. Memorias del II Congreso Regional de ARCAL. México,1993.

11- NUREG/CR-4213. SETS Reference Manual. USNRC, Washington DC,U.S.A, 1985.

12- R. W. Randall. FTAP: Computer Aided Fault Tree Analysis. Operational Research Center,University of California, Berkeley, ORC 78-14, 1978.

13- IAEA-TECDOC-480. J. B. Fussell, PRISIM - A Computer Program that Enhances OperationalSafety. JBFAssociates,Inc., Knoxville, Tennessee. U.S.A., 1988.

14- R. Nakai, Y. Kani. A Living PSA System LIPSAS for an LMFBR. Power Reactor and NuclearFuel Development Corporation. Narita, O-arai,Ibaraki,311-13. Japan, 1991.

15- S. Haddad, S. Hirschberg. PSA in the Nuclear and Process Industry: Opportunities forInterchange of Experience. International Atomic Energy Agency (IAEA). Vienna, Austria, 1991.

16- GDA/APS. Grupo de desarrollo y aplicaciones de APS. Manual de Usuario del Código ARCONversión docente. Cuba, 1993.

17- STI/PUB/759. IAEA, Safety Aspects of the Ageing and Maintenance of Nuclear Power Plants.Viena, 1988.

18- IAEA-TECDOC-542. Use of Expert Systems in Nuclear Safety. Vienna. 1988.

19- N. J. Liparrulo, D. R. Sharp. B. D. Sloane, J. K. Chan. Developments in Living ProbabilisticRisk Assessment. Pittsburg. PA 15230. U.S.A, 1988.

20- GDA/APS. Grupo de desarrollo y aplicaciones de APS. Manual de instrucciones y

procedimientos de garantía de calidad del APS de la CEN Juraguá. 1993.

21- Workshop "PSA based optimization of tasks and procedures in NPP operation", Mexico, 1993.

22- IAEA-TECDOC-480. Improving Operational Safety Management through Probabilistic Safety Assessment on Personal Computers. Vienna, 1988.

23- Mc Cormick. Reliability and risk analysis. Methods and nuclear power applications. 1983.

24- 24-IAEA-TECDOC-590. Case study on the use of PSA methods: Determinig safety importanceof systems and components at nuclear power plants. April, 1991.

25- IAEA-TECDOC-508. Survey of Ranges of Component Reliability Data for Use in ProbabilisticSafety Assessment. IAEA, Vienna, 1989.

26- IAEA Safety Series No. 50-P-4. Procedures for Conducting Probabilistic Safety Assessment ofNuclear Power Plants. IAEA, 1992.

27- NUREG/CR-4780. Procedures for Treating Common Cause Failures in Safety and ReliabilityStudies. USNRC, 1988.

28- SRD Dependent Failures Procedures Guide. SRD, UKAEA, 1987.

29- Castillo Guilarte, Manuel. Sistematización del Departamento Técnico de Continuidad Absoluta,Caracas, 1981, pág. 92

30- Estava Moreno, Nicolás. Mantenimiento y Subdesarrollo, Caracas, Editorial Principios, pág.233.

31- Foster, Caxton. Real Time Programming. Philippines, Editorial Addiso-Wesley, PublishingCompany, 1981, pág. 190.

32- Glass, Robert y Noiseux, Rolan. Software Maintenance Guidebook, New Jersey, EditorialPrentice-Hall Inc., 1981, pág. 193.

33- Goldeman, S.A. y Slattery, T.B., Maintainability: A mayor element of System Effectiveness,Newe York, Editorial John Wiley & Sons Inc., 1964, pág. 282.

34- Gumbel, Emil Julius, Statistics of Extremes, 3ra. Ed., Editorial Columbia University Press,1066, pág. 375.

35- Jelen, F.C., Const and Optimization Engineering, New York, Editorial Mc-Graw Hill BookCompany, 1970, pág. 490

36- Newbrough, E.T., Administración de Mantenimiento Industrial, 2da. Impresión, México,Editorial Diana, 1976, pág. 413, traducido por Mario Bracamonte Cantolla.

37- Organización de la Aviación Civil Internacional, Confiabilidad y Disponibilidad del EquipoElectrónico, Montreal, 1968, pág. 20.

38- Bain, Lee y Antle, Charles, Estimation of Parameters in the Weibull Distribution,Technometrics, Vol. 9, No. 4, Nov. 1967, págs. 621-627.

39- Beichelt, F. Y Fisher, K., On a basic Equation of Reliability Theory, Microelectronics Reliability,Vol.`19, No. 1979, págs. 367-369.

40- Bosch, G., Model for Failure Rate Curves, Microelectronics Reliability, Vol.`19, No. 1979, págs.579-588.

41- Cohen, Clifford A., Maximum Likelihood Estimation in the Weibull Distribution based onCensored and on Complete Data, Technometrics, Vol. 7, No. 4, Nov. 1965, págs. 579-588

42- Finley, Howard, Total Life Cycle Costs of Plant and Equipment, Canadian Society for ChemicalEngineering, 20th Conference, Paper 65, Oct. 1970.

43- Finley, Howard, How Cost-Effective is your Maintenance Organization?, HydrocarbonProcessing, Enero 1972, págs. 81-86.

44- Finley, Howard, High Technology Maintenance Management, National Petroleum RefinersAssociation, Atlanta, Sept. 1976.

45- Johnson, L.G., Statistical Treatment of Failure Experiments, Transactions of the 22nd TechnicalConference of Quality Control., págs. 113-140.

46- Latour, P.R., On-Line Computer Optimization: What is it and where to do it, HydrocarbonProcessing, Jun. 1979, págs. 73-82.

47- Mosquera C., Genaro, Administración y Mantenimiento, Universidad Central de Venezuela,Caracas, 1979, pág. 18.

48- Qureisi, A.S., The Discrimination between two Weibull Processes, Technometrics, Vol. 6, No.1Feb, 1964, págs. 57-75.

49- Redding, J.H. y Maynard, H.B., Can a Computer Reduce your Maintenance?, Hydrocarbon

Processing, January 1980, págs. 78-91.

50- Trotter, J.A., Reduce Maintenance Costs with Computers, Hydrocarbon Processing, January1979, págs. 133-140.

51- Weibull, Waloddi, An Statistical Representation of Fatigue Failure in Solids, Transactions ofthe Royal Institute of Technology, Stockholm, No. 27, p;ags. 133-140.

libro gerencia en mantenimiento

Documents