ANALISIS DE RIESGOS EN PLANTA USANDO RBOLES DE

EVENTOS














FERNANDO ESPINOSA FUENTES






7.1. INTRODUCCIN. El anlisis de riesgos es una tcnica para identificar, caracterizar,
cuantificar y evaluar peligros. Esta herramienta puede ser usada para apoyar la decisin sobre la
regulacin y la inversin en seguridad. El anlisis de riesgo consiste de dos fases distintas: una
fase cualitativa de identificacin, caracterizacin y ordenamiento de los riesgos; y una fase
cuantitativa de la evaluacin del riesgo, la cual incluye la estimacin de la probabilidad (p.ej.:
frecuencias) y consecuencias de la ocurrencia del peligro. Las principales metas de la
administracin del riesgo son minimizar la ocurrencia de los accidentes mediante la reduccin de la
probabilidad de su ocurrencia (minimizar la presencia del peligro); reducir el impacto de los
accidentes incontrolables (preparar y adoptar medidas de emergencia) y transferir el riesgo (p. ej.:
va seguros). La estimacin de la probabilidad de la frecuencia del riesgo depende de gran manera
de la confiabilidad de los componentes del sistema, tomando como sistema la interaccin del
hombre y la mquina o entorno.

7.2. ANLISIS DE RIESGOS PARA EL OPERARIO. La seguridad-inocuidad de un sistema puede
ser definida como la probabilidad de que un sistema no falle de una manera que produzca heridas
peligrosas personales o de que pueda ocurrir una gran prdida econmica. En este mismo sentido,
la fiabilidad puede ser definida como la probabilidad de que tales fallas crticas no ocurran en un
intervalo especificado de tiempo, dado que el sistema cumpla satisfactoriamente todas sus
funciones al comienzo de tal intervalo.
Esto significa que un sistema puede ser muy seguro an si el sistema es no fiable. Esto es
verdad si el sistema siempre falla (con una alta probabilidad) de una manera no peligrosa. Muchos
sistemas pueden ser detenidos sin problemas cuando se detecta una falla crtica de seguridad.
Tales sistemas pueden ser implementados con falla silenciosa. Esto significa que cuando una falla
de seguridad crtica se detecta, el sistema automticamente se detiene. Un sistema con falla
silenciosa, que es un caso especial de una clasificacin ms general de sistemas seguro a la falla,
tiene un comportamiento en el cual las fallas peligrosas no pueden ocurrir en el nivel del sistema.
Haciendo uso del anlisis funcional del equipo, para reconocer aquellos subsistemas que
podran eventualmente reportar peligro y teniendo en cuenta la forma de trabajo e intervencin del
operario a cargo del equipo, se elabora un mapa de los subsistemas peligrosos (ver figura 7.1),
para posteriormente estudiar sus niveles de peligrosidad.
Se puede obtener un mtodo de anlisis estructurado para evaluar el riesgo, usando un
rbol de decisin de tipo binomial, ya que refleja bien las situaciones ms recurrentes: grave o
leve, frecuente o no frecuente, etc. El resultado de este anlisis provee lineamientos para el
diseo del sistema de seguridad, el cual est basado sobre cinco niveles relativos de riesgo. Estos
niveles parten del rango ms bajo (nivel/categora B) en el cual la severidad del dao es leve y
tiene una probabilidad relativa pequea de ocurrencia, hasta la ms alta del nivel de riesgos
(nivel/categora 4) en el cual la probabilidad de un dao severo es relativamente alta. Este rbol de
decisin se muestra en la figura 7.2.



sistema
subsistema subsistema subsistema
seguridad de
la funcin
seguridad de
la funcin
seguridad de
la funcin
subsistema
o parte
subsistema
o parte
seguridad de
la funcin
seguridad de
la funcin
ni vel de peli grosi dad
ni vel de peli grosi dad















Fig. 7.1: rbol para anlisis de partes peligrosas.

El anlisis de un rbol de eventos permite al diseador cuantificar el nivel de riesgo
asociado con la mquina o uno de sus subsistemas. Para cualquier sistema dado, el analista
primero clasifica el conjunto de problemas potenciales en trminos de:
La severidad del dao potencial (S):
S
1
es para daos leves: provoca ausencia corta del operario.
S
2
para daos graves: en caso extremo la muerte del operario.
La frecuencia de la exposicin al peligro potencial (F):
F
1
exposicin no frecuente: revisin distanciada en el tiempo del proceso productivo.
F
2
exposicin frecuente a continua: el proceso requiere atencin permanente.
La posibilidad de evitar el peligro si ste ocurre (P):
P
1
puede ser posible: velocidad o frecuencia de los movimientos del punto peligroso es
baja y la distancia del operador al punto peligroso es grande.
P
2
menos posible: velocidad o frecuencia de los movimientos del punto peligroso es alta y
la distancia del operador al punto peligroso es pequea.
La probabilidad de ocurrencia si un interbloqueo falla (L):
L
1
puede ser muy improbable
L
2
puede ser improbable
L
3
altamente probable



B B B
B
B
B
1
2
3
4
1
1
2
3
3
4
1
1
2
2
L3 L2 L1
O
S1
S2
F1
F2
P1
P2
P1
P2

Fig. 7.2: rbol de eventos para determinar niveles de peligro o riesgos para el operario.

Diferentes mquinas y procesos presentan diferentes tipos de peligros y riesgos para el
operador y el personal de mantencin. La valoracin estructurada del riesgo es una manera
sistemtica de cuantificar esos niveles de riesgos, a principios del desarrollo o bien durante la vida
til para revalorizar el ndice en base a los datos recolectados. Conduce al equipo de diseo a
determinar el espectro de la seguridad requerida del sistema, necesaria para proteger al personal
de posibles heridas, identificar peligros y posibles problemas de diseos del equipo.
La valoracin estructurada del riesgo formaliza lo que, en muchas ocasiones, han sido
procesos intuitivos en los cuales los diseadores usan experiencias pasadas para identificar y
valorar el riesgo y elegir salvaguardas para ellos. Con este tipo de cuantificacin en mano, los
diseadores o mantenedores pueden definir mejor los tipos de salvaguarda necesarios para cada
ocasin.
El sistema de seguridad general de requerimientos de diseo, asociado con cada nivel
valorado de riesgo, es descrito por las Normas Europeas (EN954-1). Como se podra esperar, a
mayor posibilidad o severidad del dao, ms grandes son los requerimientos en el diseo e
integridad del sistema de seguridad de la mquina.
Para el nivel B de riesgos, el sistema de seguridad est diseado para encontrase con
requerimientos operacionales y resistir influencias esperadas externas. Esta categora es
usualmente satisfecha seleccionando componentes compatibles con las condiciones de aplicacin,
tales como los niveles de temperatura o voltaje que podran existir. Aqu una simple avera o falla
en el sistema de seguridad puede conducir a la prdida de la funcin de seguridad.

Para el nivel 1 de riesgos, el sistema de seguridad debe cumplir los requerimientos de la
categora B, pero debe usar principios de seguridad y componentes bien probados. Principios y
componentes bien probados incluyen aquellos que: evitan se produzcan ciertas fallas, tales como
cortocircuitos; reducen la probabilidad de averas, quizs por subestimacin de componentes
seleccionados, sobredimensionando para integridad estructural, o por otros medios; detectan fallas
tempranamente, como es el caso de los interruptores de puesta a tierra; aseguran el modo de
avera (por ejemplo, asegurar que un circuito se abre cuando es vital que la potencia se interrumpa
en la presencia de una condicin insegura); o limitan las consecuencias de la avera.
Aqu tambin una simple avera o falla en el sistema de seguridad puede conducir a la
prdida de la funcin de seguridad. Pero el uso de principios y componentes bien probados provee
un alto nivel de confiabilidad del sistema.
En el caso del nivel 2 de riesgos, el sistema de seguridad debe comprender los
requerimientos de la categora B. Se le suma, adems, que no se puede poner en funcionamiento
la mquina si se detecta una avera antes de la aplicacin de la potencia, o durante chequeos
peridicos durante la operacin
El ltimo requerimiento sugiere el uso de un mdulo de relees de seguridad con
redundancia y autochequeante o energizante. Un canal nico de operacin se permite para
proveer los mecanismos de entradas (protecciones de los interbloqueos de la mquina, botones de
parada de emergencias, etc.), los cuales son probados regularmente para una apropiada
operacin.
Como en el caso de los aparatos categora B, una sola avera o falla en el sistema de
seguridad puede conducir a la prdida de la funcin de seguridad entre los intervalos de chequeo.
Sin embargo, los chequeos peridicos detectaran las averas y mantendran un estado seguro
hasta que la avera sea corregida.
Similarmente, los sistemas de seguridad para los aparatos del nivel 3 deben contener
los requerimientos de la categora B. Se le suma que la seguridad del sistema de control debe ser
diseada de modo tal que una sola falla no conduzca a la prdida de la funcin de seguridad. Y, en
la prctica, la sola falla sera detectada.
Para prevenir que una sola avera haga fracasar la funcin de seguridad, aqu se necesita
ser redundante en el mdulo de relees de seguridad. Un requerimiento adicional es el uso de un
canal dual de monitoreo de los aparatos de entrada tales como interruptores de conexin de la
mquina, botones de emergencias, etc.
En general, los requerimientos del sistema de seguridad del nivel 4 incluyen todos los
del nivel 3 y contienen adicionalmente el requerimiento que, en la prctica, una sola falla se detecta
en o antes de la siguiente demanda del sistema de seguridad. Si esto es imposible, entonces la
acumulacin de mltiples averas no debe conducir a la prdida de la funcin de seguridad. El
nmero permitido de averas ser determinado por la aplicacin, tecnologa usada y estructura del

sistema. En otras palabras, una sola avera o falla en el nivel 4 del sistema de seguridad no
debera comprometer la funcin de seguridad.
Los requerimientos del nivel 4 de seguridad estn usualmente asociados con aplicaciones
extremadamente riesgosas. Consecuentemente, el sistema de seguridad relacionado puede ser
muy complejo y costoso. Afortunadamente, pocas mquinas representan un nivel 4 de riesgo,
porque la prctica del diseo en general de mquinas, respecto a la jerarqua clsica de seguridad,
la mayora de los peligros de la mquina son eliminados en el diseo, y se toman medidas
precautorias para evitarlos si ellos no pueden ser eliminados en el diseo, o como ltima opcin
poner sobre aviso al usuario.

7.2.1. Un caso de aplicacin. Teniendo un conocimiento previo en terreno de las condiciones en
que trabaja un operario frente a su mquina, se puede evaluar la condicin de seguridad, siguiendo
los pasos indicados en el diagrama de la figura 7.2, el cual est implementado en planilla Excel
(ver figura 7.3). Para cada paso en la evaluacin, la situacin ms real a la que se ve enfrentado el
operario se indica mediante el valor 1, as por ejemplo, si la severidad del dao que le podra
causar un accidente es grave, se marca con valor 1 la celda identificada con S
2
.
Siguiendo cada etapa del anlisis, conducir finalmente al analista a tener una visin de las
caractersticas que debern tener los implementos de seguridad en la mquina, equipo o lugar de
trabajo.


Fig. 7.3: Planilla para calcular el riesgo probable para un operario.



El nmero que indica el ndice de impacto probable, es slo una gua para relacionar el tipo de
nter bloqueo ms indicado con el anlisis realizado a travs del rbol binario de decisin y as
comprobar si el nter bloqueo instalado es suficiente o bien tomar las medidas del caso.

7.3. ANALISIS PROBABILISTICO DEL RIESGO (APR) PARA UNA PLANTA INDUSTRIAL. El
siguiente anlisis provee una metodologa para analizar el riesgo probable de accidente en una
planta, a travs de un esquema similar al ya expuesto para el operario, y se recomiendan los
siguientes pasos (ver figura 7.4):

Desarrollo de los
eventos iniciales
Desarrollo de la
secuencia (escenarios)
Cuantificacin:
Anlisis dependiente
de la falla.
Anlisis de incerteza.
Clculo del riesgo.

Anlisis del sistema

Estimaciones de
las consecuencias
VALOR
DEL
RIESGO
Desarrollo de
informacin:
- Procedimientos.
- Test y prcticas de
mantencin.
- Confiabilidad humana.
- Datos de fallas.
- Esquemas.
- Especificaciones.
- Criterios de xito.
- Apoyo de informacin.
- Interaccin humana.

Fig. 7.4: Pasos en un anlisis del APR.

1. Definicin de la metodologa.
La preparacin para un APR comienza con una revisin de los objetivos del anlisis del riesgo,
para proveer una ruta o camino para el anlisis.
2. Familiarizacin y recopilacin de informacin.

Es necesario para comenzar el APR tener un conocimiento general del layout fsico del sistema
o del proceso (p. ej.: facilidades, planta, diseo), controles administrativos, procedimientos y
pruebas de mantencin y sistemas protectores cuyo funcionamiento mantiene la seguridad.
Se deben entender con suficientes detalles todos los sistemas, ubicaciones y actividades
esperadas que jueguen un papel en la iniciacin, propagacin o detencin de una condicin
peligrosa, a fin de poder construir los modelos necesarios para capturar todos los escenarios
posibles. Se debe realizar una inspeccin detallada a los procesos en las reas esperadas de
inters e importancia para el anlisis.
Los siguientes tems debern ser considerados en este paso:
a) Identificar los sistemas principales de seguridad y emergencia (o mtodos).
b) Identificar y describir detalladamente las interacciones fsicas entre todos los sistemas
principales. El resultado debe ser resumido en una matriz de dependencia.
c) Se debe llevar un registro de los eventos pasados de fallas y situaciones no normales que
se han observado en el proceso. Tal informacin podra ayudar a generar escenarios de
aplicaciones importantes.
d) La documentacin consistente es la llave para asegurar la calidad del APR. Entonces se
debe disear un buen sistema de informacin para sustentar el estudio.
Con la interaccin de los diseadores del proceso, los operarios y los administradores se
determinan las reglas bsicas para el anlisis, el escenario del anlisis y la configuracin que ser
analizada. Tambin se debe determinar las fallas y las condiciones que sern incluidas o excluidas,
los modos de operacin de inters, los datos de referencia o nivel estndar de diseo, y la
configuracin fsica asociada al nivel estndar. El nivel estndar es un dato arbitrario despus del
cual no hay cambios adicionales en el diseo del proceso y la configuracin que ser modelada.
Entonces, los resultados del APR son slo aplicables al proceso y los datos de referencia.
3. Identificacin de los eventos iniciales.
Esta tarea involucra identificar aquellos eventos (eventos anormales) que podran, si no son
correctamente detectados, resultar en una exposicin peligrosa. El primer paso involucra
identificar fuentes de peligro y las barreras para estos peligros. El siguiente paso involucra
identificar los eventos que pueden conducir a una amenaza directa a la integridad de las
barreras.
Un sistema o proceso puede tener uno o ms modos de operacin los cuales entregan sus
correspondientes salidas. En cada modo operacional, se ejecutan operaciones especficas que dan
como resultado las salidas esperadas. Cada funcin est directamente relacionada a uno o ms
sistemas que ejecutan las acciones funcionales necesarias. Estos sistemas a su vez estn
compuestos de varias unidades bsicas (p. ej.: componentes) que ayudan a conseguir el objetivo
del sistema. Mientras el sistema est operando dentro de sus parmetros de diseo, son pocas las
posibilidades de cambiar los componentes del sistema tal que los peligros potenciales puedan
traspasar estas barreras. Estos modos operacionales son llamados modos normales de operacin.

Durante el modo normal de operacin la prdida de ciertas funciones de los sistemas
podran causar que el proceso entre una condicin fuera de lo normal. Una vez en esta condicin,
se presentan dos posibilidades: primero, el estado del proceso podra ser tal que no se requieren
de otras funciones para mantener el proceso en una condicin segura (segura se refiera a un
modo donde el cambio a la exposicin al peligro en los lmites del proceso es sumamente difcil), y
la segunda posibilidad es un estado donde otras funciones o sistemas se requieren para prevenir la
exposicin al peligro dentro de los lmites del sistema. Para esta segunda posibilidad, la prdida de
una funcin o la prdida de un sistema es un evento inicial. Ya que tal evento est relacionado al
proceso operativo del equipo, se llama evento operacional inicial.
Una alternativa para identificar los eventos iniciales es usar la descomposicin jerrquica del
anlisis del modo de falla y efecto (AMFE). El uso del AMFE para identificar los eventos iniciales
consiste en la identificacin de los eventos conducentes a una falla (modos de falla) cuyos efectos
es una amenaza a las barreras del peligro.
Para simplificar el proceso, es necesario, despus de identificar todos los eventos iniciales,
combinar estos eventos iniciales que provocan la misma amenaza a las barreras y requieren de las
mismas funciones de mitigacin del proceso para prevenir la exposicin al peligro.
El siguiente procedimiento inductivo se debe seguir cuando se agrupan los eventos iniciales:
a. Combine los eventos iniciales que directamente rompen todas las barreras del peligro.
b. Combine los eventos iniciales que rompen la misma barrera (no necesariamente todas las
barreras).
c. Combine los eventos iniciales que requieren el mismo conjunto de acciones de mitigacin
humana o automtica, siguiendo su ocurrencia.
d. Combine los eventos iniciales que simultneamente incapacita el proceso normal y algunas
de las acciones humanas o automticas de mitigacin.
Los eventos que causan una operacin fuera de lo normal del proceso y requieren de otro
sistema de operacin para mantener el proceso dentro de sus lmites deseados, pero que no est
directamente relacionado al proceso o componentes, son eventos iniciales no operacionales. Los
eventos no operacionales iniciales se identifican con el mismo mtodo usado para identificar los
eventos operacionales. Sin embargo, los eventos de inters son aquellos que son primariamente
externos al proceso.
El siguiente procedimiento debera ser seguido es este paso para el APR:
a. Seleccione un mtodo para identificar los eventos iniciales especficos operacionales y no
operacionales. Dos mtodos representativos son la jerarquizacin operacional y el AMFE.
Si est disponible una lista inicial genrica de eventos iniciales, esta puede ser usada
como complemento.
b. Usando el mtodo seleccionado, identifique un conjunto de eventos de iniciacin.

c. Agrupe los eventos iniciales de tal forma que aquellos que tienen el mismo efecto en el
proceso y requieren las mismas funciones mitigantes para prevenir la exposicin al peligro
o accidente sean agrupadas juntas.
4. Secuencia o desarrollo del escenario.
El objetivo del desarrollo del escenario es derivar un conjunto completo de escenarios que
abarquen todas las rutas posibles de propagacin del peligro que puedan conducir a la prdida
o confinamiento del peligro siguiendo la ocurrencia del evento inicial. Para describir la causa y
efecto entre el iniciador y la progresin del evento, es necesario identificar aquellas funciones
(p. ej.: funciones de seguridad) que deben ser mantenidas para prevenir la prdida de las
barreas al peligro. Los escenarios que describen las respuestas funcionales del proceso a los
eventos iniciales son frecuentemente descritos mediante rboles de eventos.
Siguiendo un evento inicial se elaboran los rboles de eventos y la representacin (de
manera cronolgica aproximadamente) de los xitos o fallas de las acciones claves de mitigacin
(p. ej.: acciones humanas o dispositivos mitigantes que responden automticamente) que son
requeridos para responder al evento inicial. En el APR, dos tipos de rboles de eventos se pueden
desarrollar: funcional o sistemtico. El rbol de eventos funcional usa las funciones mitigantes
como su entrada. El propsito principal del rbol funcional es comprender mejor el escenario de
eventos a un alto nivel, siguiendo la ocurrencia de un evento inicial. El rbol funcional tambin gua
al analista del APR en el desarrollo ms detallado del rbol de eventos sistmico. El rbol de
eventos sistmico, refleja los escenarios de mitigacin de eventos especficos (acciones humanas
especficas o sistemas operacionales mitigantes o fallas) que conducen a una salida peligrosa.
Esto es, el rbol de eventos funcionales puede ser ms bien descompuesto para mostrar equipos o
dispositivos especficos o acciones humanas que ejecutan las funciones descritas en el rbol de
eventos de eventos funcionales. Entonces, un rbol de eventos sistmico delinea totalmente el
proceso o la respuesta del sistema a un evento inicial y sirve como la herramienta principal para un
anlisis posterior en el APR.
Los siguientes procedimientos se deben seguir en este paso del APR:
a. Identificar las funciones mitigantes de cada evento inicial (o grupo de eventos).
b. Identificar las correspondientes acciones humanas, operaciones del sistema o dispositivos
asociados con cada funcin, junto con las condiciones necesarias para el xito.
c. Desarrollar un rbol de eventos sistmicos para cada evento inicial (o grupos de eventos).
d. Desarrollar un rbol de eventos sistmicos para cada evento inicial, delineando las
condiciones de xito, fenmeno de progresin del evento inicial y el efecto final de cada
escenario.
5. Anlisis del sistema.
Los rboles de eventos comnmente involucran puntos en sus ramas en la cual un sistema
dado (evento) ya sea trabaja (o sucede) o no trabaja (o no sucede). A veces, la falla de esos
sistemas (o eventos) es rara y sus datos pueden ser no adecuados para eventos observados de

fallas, para proveer una base de datos confiables de tasa de fallas. En tales casos hay que
tener otra metodologa dependiendo de la certeza de los datos. El mtodo ms comn usado en
un APR es calcular la probabilidad de falla del sistema mediante el anlisis del rbol de fallas.
Los siguientes pasos se deben seguir como parte del desarrollo de un rbol de fallas:
a. Desarrolle un rbol de fallas para cada evento en el rbol de entradas.
b. Explicite el modelo de dependencias de un sistema en otros sistemas y dependencias inter
componentes (p. ej.: causas de fallas comunes).
c. Incluya toda causa potencial de fallas, tales como dispositivos, software, pruebas y
mantencin y error humano en el rbol de fallas.
6. Eventos internos externos al proceso.
Los eventos que se originan dentro de un sistema complejo son llamados eventos internos. Los
eventos que afectan adversamente al proceso y ocurren fuera de los lmites del proceso, pero
dentro de las instalaciones, se definen como eventos internos externos al proceso. Tpicos
eventos internos externos al proceso son incendios internos, flujos internos, eventos de alta
energa dentro de un sistema complejo. Los sucesos de estos eventos deberan ser modelados
con rboles de eventos para mostrar todos los posibles escenarios.
7. Eventos externos.
Son eventos que se originan fuera del sistema complejo. Ejemplo de eventos externos seran el
incendio, temblor terrestre, choques, etc. Esta clasificacin puede ser usada para agrupar
escenarios en los rboles de eventos.
8. Consideraciones dependientes de las fallas.
Para lograr un nivel muy bajo de riesgos, los sistemas y dispositivos que comprenden las
barreras a la exposicin al peligro deben tener muy altos niveles de confiabilidad. Esta alta
confiabilidad es lograda tpicamente a travs del uso de redundancias y/o diversos dispositivos,
las cuales proveen mltiples alternativas de xito. El problema entonces comienza en el
aseguramiento de las independencias de esas alternativas, ya que siempre hay algn grado de
acoplamiento entre la fallas de los mecanismos, ya sea a travs del medio operativo (eventos
externos a los dispositivos), o a travs de dependencias funcionales o espaciales. El tratamiento
de estas dependencias debe ser cuidadosamente incluido en el desarrollo y anlisis de los
rboles de eventos y de fallas en el APR. Como la confiabilidad de los sistemas individuales y
de los subsistemas aumenta debido a la redundancia, la contribucin de las fallas dependientes
se vuelve muy importante, al punto que las fallas dependientes pueden dominar la totalidad de
la confiabilidad. El tratamiento de las fallas dependientes no es un paso aislado realizado
durante el APR, se debe considerar en todo su anlisis (p. ej.: en los rboles de eventos,
rboles de fallas y acciones humanas).
El siguiente procedimiento se debe seguir en el anlisis de las dependencias:
a. Identifique los tems que son similares y pueden causar dependencias o causas comunes de
falla. Por ejemplo, bombas similares, vlvulas moto-operadas, vlvulas operadas por aire,

generadores diesel y bateras son los mayores componentes en las plantas de procesos y
se consideran fuentes importantes de causas de fallas comunes.
b. Los tems que son potencialmente susceptibles a una causa comn de falla se deben
incorporar explcitamente en los rboles de eventos y de fallas cuando es aplicable.
c. Las dependencias funcionales deben ser identificadas y explcitamente modeladas en los
rboles de fallas y de eventos.
9. Anlisis de los datos de fallas.
Un bloque crtico en la valoracin de la confiabilidad y disponibilidad de los tems de un sistema
complejo es el dato de falla en el desarrollo del tem. En particular, la mejor fuente para predecir
futuras disponibilidades del equipo son las experiencias pasadas o las pruebas. Los
componentes de los datos de confiabilidad son las entradas a los modelos de estudios de la
confiabilidad y la validez de esos resultados depende altamente de la calidad de la informacin
de entrada. Se debe reconocer, sin embargo, que los datos histricos tienen validez solamente
en el entendido que las condiciones circundantes son las mismas. Tres tipos de eventos se
identifican durante la secuencia el accidente, y el modelamiento del sistema debe ser
cuantificado para los rboles de eventos y rboles de falla para estimar la frecuencia de
ocurrencias de las secuencias: eventos iniciales, componentes fallados y errores humanos.
La cuantificacin de los eventos iniciales y la probabilidad de fallas de los componentes
involucran dos actividades separadas. Primero, el modelo de confiabilidad para cada evento se
debe establecer, en seguida los parmetros del modelo se establecen. Los datos necesarios
incluyen tasa de fallas de los componentes, tiempos de reparacin, frecuencia de pruebas, pruebas
de detencin, probabilidad de las causas comunes y caracterizacin de las incertezas.
El siguiente procedimiento se debe seguir como parte de la tarea de anlisis de datos:
a. Determinar los valores genricos de las tasa de fallas y distribucin de probabilidad de las
fallas para componentes identificados en el anlisis del rbol de fallas.
b. Determinar pruebas, reparaciones y acciones de mantencin primarias de la experiencia, si
es posible. De otra forma use fuentes genricas.
c. Determinar la frecuencia de los eventos iniciales y otros eventos de fallas de los
componentes a partir de la experiencia, juicio de expertos o fuentes genricas.
d. Determinar la probabilidad de falla de causas comunes para tems similares, principalmente
de datos genricos. Sin embargo, cuando un dato especfico significativo est disponible se
puede usar.
10. Cuantificacin.
Las secuencias de los rboles de fallas y de eventos se cuantifican para determinar las
frecuencias de los escenarios e incertezas asociadas en los clculos. Las aproximaciones
dependen a veces de la manera como las dependencias del sistema se manejan.
Normalmente, se usa la cuantificacin mediante la reduccin Booleana para arribar a una
representacin Booleana para cada secuencia. Comenzando con los modelos de rboles de falla

para varios sistemas o eventos de entrada en los rboles de eventos, y usando las estimaciones
de probabilidades para cada uno de los eventos en el rbol de fallas, se obtiene la probabilidad de
entrada para cada rbol de eventos (si la entrada es independiente do otras entradas).
El siguiente procedimiento se debe seguir como parte del proceso de cuantificacin:
a. Combinar los correspondientes rboles de fallas asociados con cada falla o evento exitoso
en la secuencia del rbol de eventos (p. ej.: combnelos en una forma Booleana).
Desarrolle una funcin reducida Booleana para cada secuencia.
b. Calcular la frecuencia total de cada secuencia, usando la frecuencia de eventos iniciales, la
probabilidad de falla de los dispositivos, frecuencias de test y mantencin, distribucin de
probabilidades de causas de fallas, y probabilidad de fallas humanas.
c. Calcular la frecuencia de cada secuencia.

7.3.1 Un ejemplo de aplicacin. Considere el sistema de proteccin contra el fuego mostrado en
la figura 7.5. Este sistema est diseado para extinguir todos los fuegos posibles en una planta que
maneja productos qumicos txicos. Hay dos dispositivos independientes con boquillas extintoras
las cuales estn diseadas de tal manera que cada una de ellas es capaz de controlar cualquier
tipo de incendio dentro de la planta. El dispositivo de boquillas 1 es el dispositivo principal de
inyeccin de agua. Cuando se recibe una seal desde el detector de fuego, la bomba 1 funciona
automticamente, succionando agua desde el estanque de almacenamiento e inyectndola en el
rea con fuego de la planta.


B1
Dpto. de
bomberos (DB)
Detector
Actuador de alarma
(DAA)
Estanque de
agua (EA)
Potencia
exterior (PE)
Generador Diesel
(GD)
Vlvula (V11)
Vlvula (V21)
Vlvula (V12)
Vlvula (V22)
Bombas
B2
Boquillas lnea 1 (BI1)
Boquillas lnea 2 (BI2)
Operador (Op)
Fig. 7.5: Sistema de proteccin contra el fuego.


Si el circuito 1 de inyeccin de agua no funciona, el operador de la planta puede poner en
funcionamiento a una segunda unidad de bombeo manualmente. Si la segunda unidad no est
operativa, el operador puede llamar al departamento de bomberos, aunque el detector tambin
enva una seal directamente a bomberos. Sin embargo, debido a la tardanza en la llegada de los
bomberos, la magnitud del dao podra ser tan grande como si el fuego fuese extinguido por los
inyectores de agua.
Bajo todas las condiciones, si la potencia exterior no est disponible debido al fuego u otras
razones, un generador local proveera de energa elctrica a las bombas. La potencia para el
detector se provee a travs de bateras, las cuales estn siendo constantemente cargadas desde
la energa exterior. An si la corriente alterna no est disponible, se espera que la corriente
continua est siempre disponible a travs de las bateras. Las vlvulas manuales a ambos lados
estn normalmente abiertas, y permanecen cerradas cuando se estn reparando las bombas. El
sistema completo contra el fuego y el generador estn ubicados afuera de la planta por lo cual no
son afectados por fuego interno alguno.
El anlisis de riesgos es el que se indica a continuacin:
1. Identificacin de los eventos iniciales.
En este paso, todos los eventos que conducen o promueven un incendio en la planta se deben
identificar. Esto debera incluir equipos funcionando mal, errores humanos y condiciones del
proceso, conjuntamente con la frecuencia de cada evento. Suponiendo que todos los eventos
conduciran a la misma magnitud del fuego, el ltimo evento inicial es el fuego, para el cual la
frecuencia es la suma de las frecuencias de los eventos individuales causantes del fuego.
Asuma para este ejemplo que la frecuencia estimada de la aparicin del fuego es 1x10
-6
/ao.
Ya que el fuego es el nico desafo para la planta en este ejemplo, se tiene al final un solo
evento inicial. Sin embargo, en situaciones ms complejas, un gran conjunto de eventos
iniciales se pueden identificar, cada uno de ellos siendo un desafo diferente en la planta.
2. Desarrollo del escenario.
En esta etapa, se debe explicar la causa y efecto de las relaciones entre el fuego y la
progresin de los eventos que siguen al fuego. Se usar el mtodo de rbol de eventos para
describir estas relaciones. Generalmente, esto se realiza en forma inductiva, y el nivel de
detalles considerado en el rbol depende del analista. Dos medidas de proteccin han sido
consideradas en el rbol de eventos, mostrado en la figura 7.6: medidas de proteccin en el
sitio o lugar (bombas, estanque, etc.) y medidas exteriores (departamento de bomberos). La
seleccin de estas medidas est basada en el hecho de la disponibilidad o no disponibilidad de
las medidas en el lugar o fuera del lugar que podran conducir a diferentes estados de dao en
la planta.





Sistema de
proteccin en
el lugar (PEL)
Funciona
Falla
Sistema de
proteccin
fuera del
lugar (PFL)
Funciona
Falla
Fuego (F)
Resultado final Efecto
Dao grado 1
Dao grado 2
Dao grado 3
Menor
Mayor
Catastrfico

Fig. 7.6: Distintos escenarios usando el rbol de eventos.

3. Anlisis del sistema.
En este paso, se deben identificar todas las fallas (de equipos o humanas) que conducen a la falla
de la entrada del rbol de eventos (medidas de proteccin en el sitio o fuera del sitio).
Por ejemplo en la figura 7.7, se muestra el rbol de fallas desarrollado para el sistema de
proteccin contra el fuego en el lugar. En este rbol de fallas, se describen todos los eventos
bsicos que conducen a la falla de los circuitos independientes. Note que la energa elctrica de
las bombas y el estanque de agua estn presentes en las dos rutas. Claramente esto es
considerado una dependencia fsica. Esto se debe tomar en cuenta en la cuantificacin del anlisis
del riesgo. En estos rboles, todos los eventos externos y pasivos que conducen a la falla no han
sido considerados. En la figura 7.8 se muestra el rbol de fallas para el sistema de proteccin fuera
del lugar.
4. Anlisis de los datos de fallas.
Es importante en este punto calcular la probabilidad de los eventos bsicos de falla descritos en
el rbol de eventos y en los rboles de fallas. Esto se puede realizar usando datos especficos
de la planta, datos genricos o juicios de expertos. En la tabla 7.1 se entregan los datos usados
para esta evaluacin. Se asume que se necesitan a lo menos 10 horas para extinguir el fuego
completamente.







Boquillas lnea 1
inhabilitada
Vlvula 12
cerrada
Bomba 1
inhabilitada
Falla ruta de
inyeccin 1
Falla bomba Falla detector
alarma
OR

OR
Sin energa
exterior
1

Fig. 7.7: rbol de eventos para el sistema de proteccin en el lugar.

Fig. 7.8: rbol de eventos para el sistema de proteccin fuera del lugar.




AND
Falla sistema
proteccin en el
lugar

OR
Falla ruta de
inyeccin 2

OR
Falla bomba
2

AND
Vlvula 11
cerrada
Sin energa
bomba 1
Gen. Diesel
inhabilitado Estanque
inhabilitado
Boquillas lnea 2
inhabilitadas
Operador no
da la partida Vlvula 22
cerrada
Bomba 2
inhabilitada
Falla detector
alarma Vlvula 21
cerrada

AND
Sin energa
bomba 2 Estanque
inhabilitado
Sin energa
exterior
Gen. Diesel
inhabilitado
Operador no avisa a
los bomberos

OR
Falla sistema
proteccin fuera
del lugar
Respuesta tarda de
los bomberos

AND
Fallas
internas
Fallas detector
alarma


DATOS PARA LA EVALUACIN DEL APR
Evento de falla Experiencia en la pl obabilidad usada Comentarios anta Dato genrico Pr
Frecu cin N Cinco ntas F = Uso de os encia de inicia
del fuego
o hay datos de incendios
durante los ltimos 10
aos de operacin
incendios en pla
similares. Hay 70.000
aos-planta de expe-
riencia.
5/70000
F = 7,1x10
-5
/ao
datos genric
Falla de las bomba 1 y Cuatro fallas de las dos funcionar = 4/(2x12x10)=
da

funcionar =
1x10
-5
x10 =
Para fallas en la partida
bomba 2 bombas al partir. Se
realizan pruebas mensual-
mente cuyos tiempos son
cortos. El tiempo de
reparacin toma 10 horas
en la frecuencia de 1 vez
al ao. No se sabe de
fallas al funcionar.
Fallas al
1x10
-5
/hr. 0,0166/deman
No disponibilidad =
0,0166 + 10/8760 =
0,0178
Fallas al
1x10
-5
/hr.
B1 = B2 =
0,0178 +
1,79x10
-2
use datos especficos de
la planta. Para fallas al
funcionar use datos
genricos. Suponiendo 10
aos de experiencia y
8760 horas en el ao.
Causa comn de fallas No se tiene conocimiento Usando en mtodo del la no dispo-
1,78x10
-2
Despreciar las posibles
entre las bombas 1 y 2 factor , con =0,1 para
falla de las bombas al
partir. Ver nota al pie.
Usando
nibilidad debido a fallas
comunes:
CCF = 0,1x
= 1,78x10
-3
fallas comunes de las
boquillas y las vlvulas.
Falla por aislamiento de Una falla al dejar la No se usan. = V22= Se usan datos especficos
las vlvulas. vlvula cerrada despus
de una prueba de la
bomba, por subsistema.
V11 = V12 = V21
= 1/(2x12x10)
= 4,2x10
-3
de la planta.
Falla de las boquillas. s 1x10
-5
/demanda BI1 = BI2 =
anda
Se usa dato genrico No hay experiencia
anteriores. = 1x10
-5
/dem
Falla en el generador n las pruebas
para su
3x10
-2
/demanda
x10
-3
/hora por corrida
anda
-2
+ 3x10
-3
x40
Datos especficos de la
el
Diesel
Tres fallas e
mensuales.
40 horas
reparacin por ao.

3
3/(12x10) =
2,5x10
-2
/dem
3x10
-3
/hora
GD = 2,5x10
= 0,145
planta se usan para falla
en la demanda. Se supone
10 aos de experiencia.
Genrico para
funcionamiento.
Prdida de potencia No hay experiencia. 0,1/ao PPE = 0,1x10/8760
nda
ras de
exterior. = 1,1x10
-4
/dema
Asuma 10 ho
operacin para extinguir el
fuego y uso de dato
genrico.
Falla del detector. No hay experiencia. No disponibilidad de datos. MAA = 1x10
-4
imacin est Esta est
basada en el juicio de un
experto.

abla 7.1: Datos para evaluacin del APR. T







DATOS PARA LA EVALUACIN DEL APR
Evento de falla Experiencia en la pl obabilidad usada Comentarios anta Dato genrico Pr
Falla del operador en la N Uso ERP OP Uso de P
partida de la bomba 2.
o hay experiencia. de mtodo TH
para tareas de esta clase,
se sugiere 1x10
-2
1 = 1x10
-2
l mtodo THER
Falla del operador en No hay experiencia. OP2 = 1x10
-3
Este dato est basado en
llamar a los bomberos.
1x10
-3
experiencias similares de
no respuesta. Se usa dato
genrico.
Respuesta atrasada o no No hay experiencia. 1x10
-4
LFD = 1x10
-4
asado en casos
hay respuesta del
departamento de
bomberos.
Esto est b
similares del cuerpo de
bomberos. Atrasos o no
llegada se debe a
accidentes, trfico,
problemas de comuni-
cacin, etc.
Estanque con fallas. No hay experiencia. 1x10
-5
T = 1x10
-5
sado en datos Esto est ba
de ruptura del estanque o
contenido de agua
insuficiente.

abla 7.1 (cont): datos para evaluacin del APR.
ota: en general, la probabilidad de causas comunes de fallas entre k elementos especficos en un
(1 )Q k = 1
m
todo THERP (Technique for Human Error Rate Prediction), un sistema convencional de anlisis
T

N
grupo compuesto por m elementos, tal que se cumple 1 k m, se puede calcular a travs del
modelo que relaciona los parmetros de la probabilidad total Q
t
y la relacin entre la tasa de fallas
debido a causas comunes y tasa de fallas independientes , como sigue:


t
Q
k
= 0 1< k <
Q k = m
t

M
de confiabilidad modificado para cuantificar posibles errores humanos. En vez de generar
diferentes estados en un equipo, THERP reproduce posibles actividades humanas y su
correspondiente posibilidad de error humano. Para mayores detalles consultar Swain, A.D. and
H.E. Guttman (1983), Handbook of human Reliability Analysis with EMPSIS on Nuclear Power
Applications, U.S. Nuclear Regulatory Commission, NUREG/CR-1278, Washington D.C.




5. Cuantificacin.
la frecuencia de cada escenario definido en la figura 7.9, se determina la

PLF)
funciona
l proceso se muestra en la figura 7.9.
Para calcular
probabilidad de cada escenario basado en la probabilidad de cada evento integrante del rbol
de fallas. Para el rbol de eventos los tres escenarios a evaluar sern:
Escenario
1
= F x (PEL)
funciona
Escenario
2
= F x (PEL)
falla
x (
Escenario
3
= F x (PEL)
falla
x (PLF)
falla

E

Figura 7.9: rbol de eventos valorado.
. Consecuencias.
del escenario y la cuantificacin de las tareas, se identifican tres escenarios
diferentes al peligro, y requieren
evacuacin, disponibilidad de ropa protectora, etc.

6
En el desarrollo
distintos de inters, cada uno con distintas salidas y frecuencias. La consecuencia asociada con
cada escenario se especifica en trminos de las prdidas econmicas y/o humanas. Esta parte
del anlisis es una de las ms difciles por diferentes razones:
1) Cada escenario posee peligros y formas de exposicin
de cuidadosos monitoreos. En este caso, el modelo debera incluir como el fuego se
propaga a travs de la planta, como la gente se puede exponer, procedimiento de

2)
o involucra asignar valores a la vida
El b
planta. Sin ortantes que el escenario
gura 7.9, se puede calcular el riesgo asociado con cada escenario:
La salida del escenario puede ser medida en trmino de prdidas humanas. Tambin
puede ser medida como prdidas financieras. Est
humana o a los accidentes, lo cual es fuente de controversias.
ajo valor asignado al riesgo indica que el riesgo del fuego no es importante en esta
embargo, los escenario 1 y 2 son significativamente ms imp
3. Entonces, si el riesgo fuese alto, uno podra mejorar estos componentes o eventos, que tengan
una mayor contribucin al escenario 1 y 2. El escenario 1 es debido principalmente a la falla comn
entre las bombas 1 y 2, as reduciendo esta probabilidad de falla se puede analizar una fuente
potencial del mejoramiento.
7. Clculo del riesgo y evaluacin.
Usando los valores de la fi

Escenario nmero Consecuencia econmica
1 $1.000.000
2 $92.000.000
3 $ 210.000.000

El riesgo se muestra en abla 7.2:
Riesgo del escenario
la t

Escenario nmero
1 7,1x10
-5
x$1.000.000 = $71,3
2 8,5 ,8 x10
-8
x$92.000.000 = $7
3 8 ,5x10
-19
x$210.000.000 = $0,0

Tabla 7.2: Riesgos valorados para cada escenario.
do al fuego es ms bien bajo, no es importante
alizar un anlisis de incertezas.
riesgo tambin es parte integral del mantenimiento ya que
ituaciones inseguras y sus posibles efectos afectan negativamente, cuando estas se convierten

Ya que el anlisis muestra que el riesgo debi
re

7.4. CONCLUSION. Controlar el
s
finalmente en accidentes. Redundan sobre el personal en forma dramtica disminuyendo su
rendimiento y sobre los bienes deteriorndolos. Un anlisis detallado como el mostrado puede ser
una gran salvaguarda a situaciones no deseadas.