Genaro Mosquera Castellanos Jos de Jess Rivero Oliva Jess Salomn Llanes Conrado Valhuerdi Debesa Antonio Torres

Valle Manuel Perdomo Ojeda

CENTRO DE ALTOS ESTUDIOS GERENCIALES ISID Caracas, Venezuela 1995

DISPONIBILIDAD Y CONFIABILIDAD DE SISTEMAS INDUSTRIALES

CENTRO DE ESTUDIOS GERENCIALES INSTITUTO SUPERIOR DE INVESTIGACION Y DESARROLLO Caracas - Venezuela. Mayo de 1995

Copyright, 1995. ISBN 980 00 0889 6 2. Edicin Adaptada como herramienta computacional. Centro de Altos Estudios Gerenciales ISID Empresa de la Fundacin Educativa Mara Castellanos Femaca e-mail: femaca@telcel.net.ve En asociacin con Cybercentrum Las Mercedes C.A. y Edukami U.S.A.

INDICE
1.1. CONSIDERACIONES GENERALES. ................................................................................................................... 8 1.2. COSTOS ASOCIADOS............................................................................................................................................ 9 1.3. PARMETROS DE MANTENIMIENTO. .......................................................................................................... 10 2.1. CONFIABILIDAD. ................................................................................................................................................. 12 2.1.1. Indices cuantitativos de confiabilidad. ......................................................................................................... 14 2.1.2. Relaciones entre los ndices cuantitativos de confiabilidad. ........................................................... 17 2.1.3. Variacin de la confiabilidad de los elementos en funcin del tiempo. ...................................................... 19 2.2. DISTRIBUCIONES DE PROBABILIDAD DE LAS FALLAS DE LOS COMPONENTES DE UN SISTEMA. ...................................................................................................................................................................... 22 2.2.1. Distribuciones de probabilidad de Fallas. ................................................................................................... 22 2.3. BASES DE DATOS DE CONFIABILIDAD. ....................................................................................................... 33 2.3.1. El teorema de Bayes y la confiabilidad. ....................................................................................................... 33 2.4. TIPOS DE COMPONENTES. EXPRESIONES PARA LA EVALUACIN DE SU CONFIABILIDAD. ......................................................................................................................................................................................... 36 3.1. TCNICA DE RBOLES DE FALLAS. ............................................................................................................. 45 4.1. ANLISIS DE IMPORTANCIA Y DE SENSIBILIDAD. .................................................................................. 73 4.1.1. Anlisis de importancia. ............................................................................................................................... 73 4.1.2. Anlisis de Sensibilidad por indisponibilidad media. .................................................................................. 80 4.2. ANLISIS DE INDISPONIBILIDAD INSTANTNEA. ................................................................................... 83 4.2.2. Anlisis de sensibilidad por indisponibilidad instantnea. .......................................................................... 87 4.2.3. Anlisis en puntos aislados del tiempo. ........................................................................................................ 94 5.1. CONTROL DE CONFIGURACIN. ................................................................................................................... 96 5.2. PRIORIZACIN POR MANTENIMIENTOS. ................................................................................................... 98 5.3. PRIORIZACIN POR AOT. ................................................................................................................................ 99 5.4. OPTIMIZACIN DE ESPECIFICACIONES TCNICAS. .............................................................................. 99 5.5. OPTIMIZACIN DEL MONITOREO. ............................................................................................................. 100 5.6. OPTIMIZACIN DEL INVENTARIO DE PIEZAS DE REPUESTO........................................................... 100 5.7. ESTUDIO DE LA INFLUENCIA DEL ENVEJECIMIENTO DE LOS COMPONENTES SOBRE LA DISPONIBILIDAD DE LA INSTALACIN............................................................................................................ 101 5.8. INDICADORES BASADOS EN RIESGO. ........................................................................................................ 101 5.9. APS DINMICO. ................................................................................................................................................. 102

6.1. PREPARACIN DEL ESTUDIO DE APS PARA SU INTRODUCCIN A LA INDUSTRIA. .................. 104 6.2. DESARROLLO DE UN EJEMPLO PRCTICO UTILIZANDO EL SISTEMA ARCON. ........................ 105 6.2.1. Descripcin de la tarea. ............................................................................................................................. 105 A.1. PAPEL DEL ANLISIS DE DATOS EN LOS ANLISIS DE CONFIABILIDAD. ................................... 123 A.2.1. MODOS DE FALLA............................................................................................................................................ 123 A.2.3. MODELOS DE COMPONENTES........................................................................................................................... 129 A.3. BASES DE DATOS ............................................................................................................................................... 131 C.1. INTRODUCCIN................................................................................................................................................... 141 C.2. PROPSITO DEL FMEA....................................................................................................................................... 142 C.3. REQUISITOS PARA EJECUTAR UN FMEA. ............................................................................................................ 142 C.4. PASOS DEL ANLISIS........................................................................................................................................... 143 C.5. FORMATO DE PRESENTACIN DEL ANLISIS. ...................................................................................................... 143 D.1. INTRODUCCIN. ................................................................................................................................................. 145 D.2. TRATAMIENTO DE LAS FALLAS DEPENDIENTES. .................................................................................................. 145 D.3. CONSIDERACIN DE LAS FALLAS DEPENDIENTES EN LOS MODELOS DE SISTEMAS. .......................................... 151

PROLOGO
Dentro del marco de un convenio suscrito entre la Universidad Nororiental Gran Mariscal de Ayacucho y el Instituto Superior de Ciencia y Tecnologa Nucleares, se ha instrumentado un proyecto de investigacin y desarrollo tecnolgico en el rea de Ingeniera de Mantenimiento, Como consecuencia de dicho desarrollo, y dentro de los acuerdos de cooperacin institucional, se ha venido trabajando en un sistema de medicin de parmetros de mantenimiento, dentro de los cuales destacan los aspectos tericos y aplicados de la teora de confiabilidad y esquemas asociados a los sistemas gerenciales de mantenimiento industrial. Los aspectos mencionados fueron conceptualizados y aplicados a una variada gama de sistemas industriales, dando origen a paquetes computacionales, preparados para la formacin profesional de los ingenieros en el campo del mantenimiento y de los aspectos probabilsticos de seguridad industrial. Sus aplicaciones condujeron a la creacin de un sistema preparado en ambiente de computadoras personales, soportados en un esquema interactivo. Su trabajo requiri la revisin de los aspectos conceptuales en el campo de la Ingeniera, Estadstica e Informtica, lo cual condujo a la preparacin de los manuales de operacin de los sistemas y a la elaboracin de un textos que recogiesen los esquemas tericos con sus respectivas aplicaciones, cumpliendo el doble propsito de sistematizar las investigaciones y desarrollos tecnolgicos y, al mismo tiempo, contribuyera a proporcionar una gua para el estudio a nivel profesional de pregrado y postgrado, de un tema que adquiere enorme importancia en la industria moderna. Todos los paradigmas incluidos en el texto corresponden a la propuesta innovadora de un grupo de profesores, especialistas en diversas disciplinas tcnicas, de cuyo esfuerzo se pudo lograr un verdadero aporte cientfico que, sin lugar a dudas, redunda en beneficio de los ingenieros y especialistas en ingeniera de mantenimiento industrial. La interdisciplina funcion en este libro, no slo como elemento de complementariedad profesional entre los autores, sino que pudo traducir de manera armnica los esfuerzos internacionales entre dos universidades para el bien comn de nuestros pueblos, y seguramente de otras latitudes latinoamericanas. Cabe destacar como el esfuerzo de la comunidad cientfica internacional puede concretar tan rpidamente la experticia de sus profesionales, si en el nimo de sus lderes los objetivos estratgicos se conciben adecuadamente. En este sentido, debe destacarse el esfuerzo interistitucional de la Dra. Elizabeth de Caldera, Ministra de Educacin de Venezuela en 1993, con su visin e iniciativa, juntaron el esfuerzo de dos instituciones representadas por el Dr. Edwin Pedrero Gonzlez, Rector del Instituto Superior de Ciencia y Tecnologa Nucleares y el Dr. Genaro Mosquera, Rector de la Universidad Gran Mariscal de Ayacucho. Esta iniciativa produjo una relacin poderosa en el campo de la creacin de conocimientos y del intercambio tecnolgico de dos pueblos, los cuales se tradujeron en aportes concretos del desarrollo profesional gerencial. Este esfuerzo se hizo posible con el concurso de los autores del libro: Genaro Mosquera, Jos de Jess Rivero, Jess Salomn, Conrado Valhuerdi, Antonio Torres y Manuel

Perdomo. Alrededor de ellos, un entusiasta grupo de colaboradores en las respectivas instituciones permiti darle forma a tan particular tema de investigacin; en Venezuela, vale la pena destacar a los ingenieros Luis A. Martnez y Carlos Alezones quienes desde la Gerencia de Sistemas y la Escuela de Ingeniera de la Universidad, permitieron concretar este proyecto de publicacin en beneficio de tantos usuarios de nuestras universidades y de la comunidad profesional y cientfica internacional. Los autores de esta obra desean manifestar pblico reconocimiento al Ing. Jos Guillermo Npoles (g), a quien se debe el inicio de los estudios de APS en Amrica Latina y el desarrollo del sistema computarizado ARCON. Marzo de 1995.

I. Gerencia de los sistemas de mantenimiento.

1.1. Consideraciones generales.
Las aplicaciones cientfico-tecnolgicas han derivado en los ltimos aos en una proporcin significativa hacia la Gerencia, tomando un enfoque cuantitativo sustentado en el desarrollo de modelos estadstico matemticos. Dentro de este marco general, la Gerencia Tcnica ha adquirido un enorme impulso, apoyada particularmente por el procesamiento de datos a gran velocidad, utilizando los ordenadores electrnicos los cuales son hoy en da de gran versatilidad, especialmente las computadoras personales. La gerencia de mantenimiento ha venido transformndose en una actividad cada vez ms importante dentro de los complejos industriales y ha adquirido en los ltimos aos importancia vital, para lograr que las instalaciones y equipos sean mantenidos en las mejores condiciones operacionales dentro de un ambiente de ptimo costo. El anlisis y estudio de las relaciones globales dentro de una organizacin y de su entorno requieren de experticias especficas examinando variados factores, entre los cuales est la misma organizacin estructural, el uso de los recursos materiales y financieros, la operacin de los sistemas, el control de los costos, y el soporte logstico y tcnico asociado. Dentro de ese marco referencial, y ante la diversificacin tcnica, producto de la diversidad tecnolgica y organizacional de los complejos industriales, los sistemas de mantenimiento han adquirido un enfoque especializado, soportado sobre desarrollos tecnolgicos que los han convertido, para la Administracin del Mantenimiento, en herramientas absolutamente necesarias para la direccin global de dichas organizaciones. El perfil de las mismas se ha hecho cada vez ms complejo ya que la tendencia es la estar integradas por equipos generalmente grandes, variados, ubicados en diferentes frentes de las cadenas de produccin, con operaciones automatizadas y vinculadas a sistemas logsticos para el reabastecimiento de insumos cada da ms sofisticados en su manejo y operacin. A estos aspectos se une la experticia profesional y artesanal, lo cual requiere programas de capacitacin y entrenamiento continuos. Los elementos mencionados hacen aparecer a la funcin de mantener como una actividad dinmica donde actan gran cantidad de variables y relaciones funcionales, dentro de un esquema de aleatoriedad que caracteriza al sistema de mantenimiento. En 1967, el Dr. Howard Finley (1) introdujo el concepto de Efectividad de un Sistema como mtodo para modelar las actividades del mantenimiento a objeto de optimizar su gerencia, en este sentido lo defini como: "La probabilidad que un sistema opere a toda capacidad durante un perodo de tiempo determinado"

1.2. Costos asociados.

El concepto de efectividad de un sistema fue asociado a las variables de costo involucradas en el sistema y consecuencialmente se definieron los conceptos de costo directo de mantener, costo redundante y costo de penalizacin. El concepto de costo directo de mantener se refiere a la totalidad de los costos necesarios para mantener los equipos operables incluyendo los servicios, reparaciones, inspeccin y reparaciones mayores. Con relacin al costo redundante, ste se refiere a un costo adicional por la condicin de mantener equipos en espera, para ponerlos en funcionamiento cuando el equipo principal sale de servicio. Por ltimo el costo de penalizacin se refiere a las prdidas de produccin, cuando los equipos primarios salen de servicio y no existen equipos en espera. Las interacciones funcionales de los costos mencionados son sumamente complejas; pero en todo caso, la gerencia define su esquema de actuacin conducente a identificar la mejor combinacin de los subsistemas asociados al sistema, a objeto de minimizar el costo total de la operacin y a optimizar los esfuerzos de mantener un complejo industrial en particular en la mejor condicin operacional, dentro de un tiempo determinado. El esfuerzo de mantener en primer lugar, est asociado de manera directa al tiempo fuera de servicio de una instalacin; al efecto, el costo total resultante en la operacin es relacin directa al esfuerzo de mantener. Por lo tanto, a mayor esfuerzo se comprometen recursos econmicos y materiales, razn por la cual se incrementar funcionalmente el tiempo fuera de servicio. Se desprende de esta consideracin que por mucho esfuerzo realizado el costo no necesariamente ser el ptimo, es ms, se podr incluso hacer anti-econmico. Por otro lado, la cada de un sistema por fallas del mismo o de sus componentes, inducir un costo de penalizacin como consecuencia de la prdida del valor de la produccin no colocada en los mercados o comprometida; as se desprende que este costo est exponencialmente asociado al tiempo fuera de servicio y que sumarizado con el costo de mantener determina que el costo directo de mantener se incremente. El costo total, funcin a su vez del esfuerzo de mantener, tendr un entorno ptimo, que habr que determinar tcnicamente con la ayuda del anlisis de los parmetros de mantenimiento los cuales contribuyen a mantener la efectividad del sistema preparado para su operacin en un perodo de tiempo determinado. El concepto de sistema se define de la manera siguiente: "el conjunto de elementos discretos o componentes que interactan para el cumplimiento de una funcin determinada".

1.3. Parmetros de mantenimiento.

La efectividad de un sistema, es funcin de dos conceptos muy importantes dentro de un enfoque cuantitativo de anlisis de la funcin de mantenimiento: se trata del concepto de disponibilidad. El concepto de disponibilidad se define como: "la probabilidad que un sistema, subsistema o equipo este disponible para su uso durante un tiempo dado". Esta probabilidad, asociada a la probabilidad de tener sistemas, sub-sistemas o equipos instalados con una redundancia determinada, al estar disponibles para su funcionamiento cuando el sistema, subsistema o equipo sale de servicio, permite la obtencin de una relacin funcional que determina el comportamiento de la Efectividad del sistema. El concepto de disponibilidad como medida probabilstica de que un sistema est disponible a requerimiento del sistema operativo, es de extraordinaria importancia para la gerencia de mantenimiento. El complemento de este concepto o indisponibilidad de un sistema, subsistema o equipo, se utilizar con frecuencia en los anlisis de mantenimiento por la forma prctica que toma el concepto en las aplicaciones computarizadas. La disponibilidad como parmetro de mantenimiento a su vez es funcin de dos elementos muy importantes: en primer lugar de la confiabilidad de un sistema, subsistema o equipo y en segundo lugar de la mantenibilidad. El primer elemento se define tcnicamente de variadas maneras. Conejero (2) la define como: "la caracterstica de un elemento expresada por la probabilidad que cumpla sus funciones especficas durante un tiempo determinado cuando se coloca en las condiciones del medio exterior". Finley (3) la define como: "la probabilidad que un equipo no falle mientras est en servicio durante un perodo de tiempo dado". Por ltimo, Valhuerdi y Quintero (4) la definen como: "la propiedad de un sistema de cumplir las funciones para l previstas, manteniendo su capacidad de trabajo bajo los regmenes y condiciones de explotacin prescritos y durante el intervalo de tiempo requerido".

El segundo elemento, es decir, mantenibilidad se define como: "la probabilidad que un sistema, subsistema o equipo que ha fallado pueda ser reparado dentro de un perodo de tiempo determinado". La determinacin de los parmetros confiabilidad y mantenibilidad son determinantes para calcular la disponibilidad de un sistema, sub-sistema, equipo, parte o pieza de una estructura industrial. Ello proporciona los datos fundamentales para el anlisis de la funcin de mantener y de una gerencia efectiva, dentro de un ambiente de sistema total que genera gran cantidad de informacin tcnica y que requerir de evaluacin permanente con ayuda de sistemas computarizados. Este sistema total esta conformado por multitud de factores gerenciales, entre los cuales destacan: la organizacin, y las polticas, y procedimientos, tales como: control de trabajos, control de costos y reportes gerenciales. A un mayor esfuerzo en el conocimiento de los indicadores de la gestin de mantener, habr entonces correlativamente mayor efectividad del sistema, asociado a menores costos de penalizacin y costos totales mnimos; para tales propsitos, se desprende la necesidad de un monitoreo constante de los parmetros de mantenimiento mediante un sistema de informacin y de clculo de variables, utilizando modelos estadstico matemticos que sirva de apoyo tcnico para la planeacin y programacin de las acciones de mantener.

II. Confiabilidad de componentes.

2.1. Confiabilidad.
A modo de introduccin, abordaremos brevemente los conceptos y trminos principales de la teora de confiabilidad de componentes y sistemas. Sistema: Conjunto de elementos discretos o componentes que interactan para el cumplimiento de una funcin determinada. Subconjuntos de estos componentes pueden, a su vez, denotarse como subsistemas.

Los conceptos de sistema y subsistema son conceptos relativos y dependen de la funcin que sea objeto de estudio. De acuerdo con la funcin que se defina pueden variar los lmites considerados del sistema y los subsistemas. Lo que en un estudio es sistema, puede que en otro sea subsistema. De igual forma, la definicin de los elementos discretos o componentes de un sistema tambin es relativa y depende del grado de detalle con que queramos descomponer el sistema para su estudio y, en ltima instancia, de las posibilidades que ofrezca la base de datos disponible. As, en el caso de un sistema de enfriamiento, uno de los componentes podra ser la bomba, mientras que si disponemos de los datos necesarios, la bomba podra en otro caso considerarse como sistema y sus piezas como componentes. Confiabilidad: Es la propiedad de un sistema (elemento, componente o pieza) de cumplir las funciones para l previstas, manteniendo su capacidad de trabajo bajo los regmenes y condiciones de explotacin prescritos y durante el intervalo de tiempo requerido. Dicho de otra forma, la confiabilidad es la propiedad del sistema de mantenerse sin experimentar un suceso de falla durante el tiempo y las condiciones de explotacin establecidos. Falla: Suceso despus del cual el sistema tecnolgico deja de cumplir (total o parcialmente) sus funciones. La falla es la alteracin de la capacidad de trabajo del componente o sistema.

Las fallas pueden ser clasificadas de acuerdo con una serie de ndices, que se recogen de manera general en la tabla 2.1.1. La falla catastrfica conduce a la alteracin de la capacidad de trabajo. A este tipo de falla corresponden la ruptura y el cortocircuito; las fracturas, deformaciones y atascamiento de las piezas mecnicas, etc. Las fallas paramtricas son fallas parciales que conllevan a una degradacin de la capacidad de trabajo, pero no a su interrupcin total. Las fallas, como hechos casuales, pueden ser independientes o dependientes. Si la falla de un elemento cualquiera de un sistema no motiva la falla de otros elementos, ste ser un hecho o acontecimiento independiente. Si la aparicin de la falla en un

elemento o si la probabilidad de ocurrencia de la falla ha cambiado con la falla de otros elementos, esta falla ser un hecho dependiente. Anlogamente se definen como dependientes o independientes las fallas de sistemas con respecto a las de otros sistemas.
Indice de clasificacin Segn el grado de influencia en la capacidad de trabajo Segn la influencia de fallas de otros elementos Segn el carcter de su proceso de aparicin Tipos de fallas catastrfica paramtrica independiente dependiente repentina gradual estable temporal Intermitente de interrupcin de bloqueo revelable oculta primaria secundaria comando modo comn

Segn el tiempo de permanencia del estado fallado Segn el momento en que se manifiesta Segn la forma de su deteccin

Segn la naturaleza de su origen o causas

Tabla 2.1.1. Clasificacin de las fallas. Las fallas repentinas (inesperadas) aparecen como consecuencia de la variacin brusca (catastrfica) de los parmetros fundamentales bajo la accin de factores casuales relacionados con defectos internos de los componentes, con la alteracin de los regmenes de funcionamiento o las condiciones de trabajo, o bien con errores del personal de servicio, etc. En las fallas graduales se observa la variacin suave de los parmetros debido al envejecimiento y al desgaste de los elementos o de todo el sistema. Las fallas estables son aquellas que se eliminan slo con la reparacin o la regulacin, o bien sustituyendo al elemento que fall. Las fallas temporales pueden desaparecer espontneamente sin la intervencin del personal de servicio debido a la desaparicin de los motivos que la provocaron. Las causas de tales fallas frecuentemente son los regmenes y condiciones de trabajo anormales. Las fallas temporales que se repiten muchas veces se denominan intermitentes o alternantes. Ellas atestiguan la existencia de anormalidades en la calidad del equipamiento o en regmenes y condiciones de trabajo. Las fallas de interrupcin son las que se producen en el equipamiento en operacin interrumpiendo su trabajo. Las fallas de bloqueo impiden el arranque o puesta en funcionamiento de sistemas o componentes sobre la demanda, es decir, bloquean la puesta en funcionamiento de sistemas que estn a la espera.

Las fallas revelables son aquellas que se revelan al personal de operacin inmediatamente despus de su ocurrencia porque sus efectos se manifiestan directamente en los parmetros de funcionamiento de la instalacin tecnolgica o se detectan a travs del sistema de control. Se trata de fallas de sistemas en funcionamiento, o a la espera con control de sus parmetros. Las fallas ocultas no se revelan al personal de operacin por ninguna va en el momento de su ocurrencia, pero la condicin de falla permanente est latente hasta ser descubierta por una prueba o sobre la demanda de operacin del sistema en cuestin. Se trata, por tanto, de fallas de sistemas que trabajan a la espera. Las fallas primarias son intrnsecas del elemento y responden a sus caractersticas internas. Las fallas secundarias son debidas a condiciones ambientales o tensiones operativas excesivas impuestas a un elemento desde el exterior. Las fallas comando son las originadas por la operacin indebida o la no operacin de un elemento iniciador (elemento que controla o limita el flujo de energa que llega al elemento considerado). Dentro de las fallas secundarias y comando se pueden definir las fallas modo o causa comn que son aquellas en que fallan varios elementos, producto de una misma causa. 2.1.1. Indices cuantitativos de confiabilidad. Entre los parmetros fundamentales que caracterizan la confiabilidad de elementos y sistemas se tienen los siguientes: Probabilidad de trabajo sin fallas o probabilidad de supervivencia: es la probabilidad de que en un intervalo de tiempo prefijado (o en los lmites de las horas de trabajo dadas) con regmenes y condiciones de trabajo establecidos no se produzca ninguna falla, es decir, la probabilidad de que el dispositivo dado conserve sus parmetros en los lmites prefijados durante un intervalo de tiempo determinado y para condiciones de explotacin dadas. La denotaremos por Ps(t).

De esta definicin se infiere que la probabilidad de supervivencia es el ndice a travs del cual se cuantifica la confiabilidad de un sistema o elemento tcnico. La cuantificacin de la confiabilidad como una probabilidad est determinada por el carcter aleatorio del suceso al que est referida (aparicin de la falla). Dicho suceso, aunque aleatorio, est condicionado por factores de diseo, calidad de la ejecucin y explotacin, etc., cuya influencia se refleja en su probabilidad. Por tanto, la influencia de estos factores sobre la confiabilidad tambin es susceptible de cuantificar. Probabilidad de falla: es la probabilidad de que en un intervalo de tiempo prefijado se produzca al menos una primera falla. La denotaremos por Pf(t). Puesto que el trabajo defectuoso y el trabajo sin fallas son sucesos complementos, tendremos que:

Pf(t) = 1 - Ps(t)

[2.1.1]

Desde el punto de vista matemtico Ps(t) y Pf(t) constituyen funciones de distribucin acumulada. Densidad de fallas: es el nmero de fallas por unidad de tiempo, referido a la cantidad inicial de elementos de un lote o muestra dada N0. Se representa por f(t). As: dN/dt f(t) = -- N0

[2.1.2]

donde: N(t) es el nmero de componentes que no han fallado (se encuentran operables) al cabo de un tiempo t N0 es el nmero inicial de elementos de la muestra en estudio - dN es el diferencial de elementos que fallan en el intervalo (t, t+dt) Tomando en cuenta las definiciones anteriores de probabilidad probabilidad de falla, resulta evidente que: N(t) Ps(t) = N0 N0 - N(t) Pf(t) = N0 [2.1.3] de supervivencia y

[2.1.4]

Por tanto, la densidad de fallas puede expresarse en funcin de Ps(t) o Pf(t), de la forma siguiente: dPf(t) dPs(t) f(t) = = - dt dt [2.1.5]

La densidad de fallas representa as la funcin de densidad de probabilidad asociada a la funcin de distribucin acumulada Pf(t), por ello tambin se conoce como funcin de densidad de probabilidad de falla (o de la primera falla). Intensidad de fallas o rata de fallas: es el nmero de fallas por unidad de tiempo, referido al nmero de elementos que se encuentran operables en el instante t, y se denota por R(t).

As: dN/dt R(t) = - -N(t) Si expresamos [2.1.2] como: dN/dt N(t) f(t) = - N(t) N0 resulta que f(t) R(t) = Ps(t) [2.1.7] [2.1.6]

Sustituyendo [2.1.5] en [2.1.7] y tomando en cuenta [2.1.1], la rata de fallas tambin puede expresarse como: Ps'(t) Pf'(t) f(t) R(t) = - = = Ps(t) 1 - Pf(t) 1 - Pf(t) [2.1.8]

La intensidad o rata de fallas se expresa cuantitativamente en unidades de tiempo inversas (por lo general horas inversas: 1/h) y se puede interpretar como la probabilidad de que el elemento falle por unidad de tiempo a partir de un instante de tiempo t dado, con la condicin de que no haya fallado hasta dicho instante. De ah que esta magnitud tambin se identifique como rata de fallas condicional. - Tiempo medio de operacin o servicio (tiempo medio de trabajo sin fallas): nmero medio de horas de trabajo de un componente hasta la primera falla. Lo denotaremos como TMS (tiempo medio de servicio). Este se puede hallar aproximadamente como:
N

ti
i=1

TMS = N Donde:

[2.1.9]

ti es el tiempo de trabajo sin fallas del i-simo elemento. N es el nmero de elementos del lote de componentes con que se experimenta.

Mientras mayor es el nmero N, ms calidad estadstica tiene la valoracin y mayor es

la precisin del valor determinado para TMS. -Tiempo medio de reparacin o tiempo promedio para reparar: es el tiempo medio, en horas, de duracin de la reparacin de un elemento despus de experimentar una falla. El valor aproximado del tiempo promedio para reparar (TPPR) podemos hallarlo mediante la expresin:
K

ti
i=1

TPPR = K Donde:

[2.1.10]

K es el nmero de fallas del elemento dado durante el tiempo de ensayo u observacin ti es el tiempo de duracin de la reparacin despus de la falla i. La rata de reparacin se define como el inverso de TPPR: 1 = TPPR 2.1.2. Relaciones entre los ndices cuantitativos de confiabilidad.

- Relacin entre la rata de fallas R(t) y la probabilidad de supervivencia Ps(t). Si integramos la expresin [2.1.8] como funcin de Ps(t) en los lmites de 0 a t obtenemos:

t 0

R ( )d =

[ ln Ps ( t ) ln Ps ( 0 )]

considerando que para t=0, Ps(0)=1 (componente como nuevo), resulta:

ln Ps ( t ) = R ( ) d
0

o sea:

Ps ( t ) = Exp ( R ( ) d )
0

[2.1.11]

para:

R(t) = const. = R Ps(t) = EXP(-Rt) [2.1.12]

Por ltimo, aplicando [2.1.1] se obtiene: Pf(t) = 1- EXP(-Rt) [2.1.13]

- Relacin entre la densidad de fallas f(t) y la probabilidad de supervivencia Ps(t). Si integramos [2.1.5] se obtienen las siguientes expresiones:

Pf(t) = f ()d
0

[2.1.14] [2.1.15]

Ps(t ) = 1 f ()d
0

- Relacin entre la densidad de fallas f(t) y la rata de fallas R(t). De [2.1.7] se obtiene: f(t) = R(t).Ps(t) y sustituyendo Ps(t) por [2.1.11] arribamos a:

f (t ) = R (t ).Exp( R( )d )
0

[2.1.16]

- Relacin entre el tiempo medio de servicio y la rata de fallas. El TMS se determina como el valor esperado del tiempo t hasta la falla, que sigue una funcin de densidad de probabilidad f(t). As pues, su expresin general ser:

TMS = tf (t )dt
0

Sustituyendo f(t) en funcin de Ps(t) tomando en cuenta [2.1.5], resulta:

TMS = Ps (t )dt
0

Cuando esta expresin se integra por partes se obtiene:

TMS = Exp( Rt )dt

0

Consideremos el caso particular en que la rata de fallas es constante. Bajo estas condiciones Ps(t) viene dada por [2.1.12] y [2.1.17] se transforma en: TMS = tdPs (t )
0

[2.1.17]

de donde se obtiene finalmente: TMS = 1/R [2.1.18]

Esta relacin entre TMS y R (constante) es muy importante y determina que en la prctica R y TMS sean usados indistintamente como datos de partida para los anlisis de confiabilidad. 2.1.3. Variacin de la confiabilidad de los elementos en funcin del tiempo. La curva de R(t) en funcin del tiempo para un elemento dado sigue en la mayora de los casos un comportamiento tpico como el mostrado en la figura 2.1.1, que por su forma caracterstica recibe el nombre de "curva de la baera". Esta curva puede dividirse en tres partes. La primera parte es el perodo inicial de trabajo del elemento donde pueden producirse fallas tempranas debido a deficiencias en el control de la

calidad. Los fabricantes acostumbran someter a prueba los elementos durante este perodo para corregir tales fallas tempranas. La segunda parte se caracteriza por una rata de fallas aproximadamente constante. En esta parte de la curva podemos considerar las fallas como aleatorias e independientes del tiempo. Este es el perodo de vida til del elemento, al cual podemos asociar una distribucin de probabilidad de falla de tipo exponencial como la expresada por [2.1.13] La tercera parte de la curva, en la que se produce un aumento sostenido de R(t) corresponde a la salida de servicio acelerada de los elementos debido al desgaste y el envejecimiento.

Fig. 2.1.1. Comportamiento tpico de la rata de fallas de un elemento. Para el caso particular de sistemas de alta responsabilidad, como los sistemas de seguridad de industrias de alto riesgo, las fallas tempranas tienden a ser aleatorias (R constante) debido a los altos requerimientos del control de calidad, mientras que el mantenimiento y reposicin de componentes contribuyen a alargar el perodo de vida til, protegiendo los sistemas contra el desgaste y el envejecimiento. Por otro lado, cuando los dispositivos fallan de forma no frecuente y son complejos y costosos, no pueden ser realizadas muchas pruebas para caracterizar su confiabilidad. Solo se pueden realizar estimaciones de R(t). Por ello, lo usual en los anlisis de confiabilidad y de cuantificacin de la seguridad es asumir las fallas aleatorias, de modo que R(t) es igual a un valor constante R. Ello determina que la distribucin de probabilidad ms usada para la modelacin de la confiabilidad de componentes sea la distribucin exponencial, caracterizada por las expresiones [2.1.12] y [2.1.13]. Esta es la que se emplea por lo general en los anlisis de confiabilidad mediante rboles de fallas. As, en la literatura internacional se acostumbra a caracterizar la confiabilidad de componentes mediante valores de ratas de fallas constantes expresadas en forma de fracciones simples o decimales que dan la probabilidad de fallas por hora de trabajo. En la tabla 2.1.2 se ilustran ratas de fallas tpicas para algunos componentes de sistemas industriales con ndices elevados de confiabilidad y seguridad.

Componente Bombas Tuberas Diesels Vlvulas Instrumentos

[1/h] 3E-6 1E-9 8E-5 3E-6 3E-7

Tabla 2.1.2. Ratas de fallas para algunos tipos de componentes de sistemas industriales (5).

2.2. Distribuciones de probabilidad de las fallas de los componentes de un sistema.

2.2.1. Distribuciones de probabilidad de Fallas. A continuacin se describen las distribuciones de probabilidad ms frecuentemente utilizadas para la descripcin de fallas de componentes. 2.2.1.1. Distribuciones discretas. Dos de las distribuciones discretas de probabilidad ms tiles usadas en anlisis de fallas son las distribuciones binomial y de Poisson. Dos parmetros de inters para cualquier distribucin discreta de probabilidad P(x) de una variable aleatoria x son la media M y la varianza V(x). Para N salidas posibles, la media es definida como: N M = x P(x) x=0 [2.2.1]

mientras la varianza, que mide la desviacin de los valores alrededor de la media, es: N V(x) = (x-M)2 P(x) x=0 - Distribucin Binominal. En el ms simple de los sistemas hay slo dos salidas, o el sistema funciona a la demanda o falla. Estas dos probabilidades son complementarias por lo que: P(D) = 1 - P(D) [2.2.3] [2.2.2]

donde D es el suceso que representa el xito y D la falla. Supongamos que la actuacin de un sistema no es conocida y que se va a realizar un experimento consistente de N demandas o ensayos. Se especifica que las demandas son independientes (ensayos Bernoulli) tal que P(D) es constante para cada ensayo. Para describir el experimento con la distribucin binominal es necesario que el orden de los sucesos no afecte el resultado del experimento. Los posibles resultados corresponden a los diferentes trminos del desarrollo binomial de la ecuacin. [P(D)+P(D)]N = 1 [2.2.4]

Sea q = P(D) la probabilidad de falla e introduzcamos la variable aleatoria discreta x, definida como el nmero de demandas para las que el sistema falla. Esta variable sigue la distribucin binomial, con parmetro q e ndice N. La probabilidad de que ocurran x fallas, es obtenida seleccionando al trmino apropiado del desarrollo binomial de la ecuacin [2.2.4] y tiene la forma: N! P(x) = qx(1-q)N-x x! (N-x)! [2.2.5]

Se puede demostrar que para la distribucin binomial M = Nq V(x) = Nq(1-q) [2.2.6] [2.2.7]

Otra distribucin de probabilidad obtenida de la [2.2.5] es la funcin de distribucin acumulada de que el sistema falle para Z o menos demandas. Se obtiene por adicin de los trminos apropiados en el desarrollo de la Ecuacin [2.2.4]: Z P(x Z)= P(x) x=0 [2.2.8]

As la probabilidad de que el sistema falle para Z+1 o ms demandas sera, el complemento de P(x>=Z), Z P(x > Z)= 1 - P(x) x=0 [2.2.9]

La distribucin binomial es usada en ingeniera de confiabilidad para describir un componente nico que opera a la demanda y puede ser reparado quedando en un estado "como nuevo" inmediatamente despus de que falla. Entonces P(x) es la probabilidad de que el componente falle x veces en N demandas. Una segunda aplicacin de esta distribucin para anlisis de fallas se refiere al caso de N componentes idnticos, con una probabilidad de falla q igual para todos. Entonces P(x) describe la probabilidad de que fallen x de los N componentes del sistema. - Distribucin de Poisson. La distribucin de Poisson es similar a la binomial en el hecho de que describe fenmenos para los cuales la probabilidad promedio de un suceso es constante e independiente del nmero de sucesos previos. En este caso, sin embargo, el sistema experimenta transiciones aleatoriamente desde un estado con N ocurrencias

de un suceso a otro con N+1 ocurrencias, en un proceso que es irreversible. Es decir, el ordenamiento de los sucesos no puede ser intercambiado. Otra distincin entre las distribuciones binomial y de Poisson es que para el proceso de Poisson el nmero de sucesos posibles debe ser grande. La distribucin de Poisson puede ser deducida a partir de la identidad EXP(-M).EXP(M) = 1 [2.2.10]

donde el nmero ms probable de ocurrencias del suceso es M. Si el factor EXP(M) es expandido en un desarrollo de series de potencias, la probabilidad P(x) de que exactamente x ocurrencias aleatorias tengan lugar puede inferirse como el x-esimo trmino en la serie, de donde se obtiene: EXP(-M).Mx P(x) = x! x = 0,1,2,3,... [2.2.11]

La media y la varianza de la distribucin de Poisson son ambas iguales a M. La funcin de distribucin acumulada de que un suceso ocurra Z o menos veces, viene dada por la expresin general [2.2.8], tomando en cuenta que P(x) en este caso se describe mediante [2.2.11]. As pues, EXP(-M).Mx P(x Z)= x=0 x! Z

[2.2.12]

Por supuesto la probabilidad de que un suceso ocurra Z+1 o ms veces es el complemento de [2.2.12], es decir, 1 - P(x>=Z). La distribucin de Poisson es til para el anlisis de la falla de un sistema que consta de un nmero grande de componentes idnticos que al fallar causan transiciones irreversibles en el sistema. Cada componente se asume que falla independientemente y aleatoriamente. Entonces M es el nmero ms probable de fallas del sistema durante la vida til. 2.2.1.2. Distribuciones continuas. Para anlisis de fallas los valores de la variable aleatoria tiempo hasta la falla se encuentran en el intervalo [0,]. En este caso el valor medio de una distribucin est dado por:

M = tf (t )dt
0

[2.2.13]

y la varianza

V = (t M ) 2 f (t)dt
0

[2.2.14]

- Las distribuciones de Erlang y Exponencial. La distribucin de Erlang es la forma dependiente del tiempo de la distribucin discreta de Poisson. Ella aparece frecuentemente en los clculos de ingeniera de confiabilidad que consideran fallas aleatorias, esto es, aquellas fallas para las que la rata de fallas R(t) es una constante R. Su expresin puede deducirse a partir de la expresin [2.2.11] hasta obtener finalmente la distribucin de Erlang como: R.(Rt)x-1.EXP(-Rt) f(t)= (x-1)! R>0 , x>0 [2.2.15]

La distribucin de Erlang es vlida para un nmero entero de fallas x. El caso particular ms importante es para x=1, en el que se obtiene la distribucin exponencial. f(t)= R EXP(-Rt) La funcin es: de distribucin [2.2.16] acumulada [2.2.17] de fallas para la distribucin exponencial

Pf(t)= 1 - EXP(-Rt) y los dos momentos son: 1 M = , R 1 V(t) = R2

[2.2.18]

- Distribucin Logaritmo normal. La distribucin logaritmo normal de una variable t es una distribucin para la cual el logaritmo de t sigue una distribucin normal o gaussiana. La ecuacin que

describe la distribucin de probabilidad de falla en este caso se puede escribir como: 1 ln2 (t/) f(t)= EXP(-) 2 2 (2) t [2.2.19]

El parmetro (adimensional) y el parmetro (en unidades de tiempo) determinan la forma de f(t). La densidad de probabilidad de fallas se presenta en la figura 2.2.1 donde se puede apreciar que la distribucin es oblicua hacia la derecha comparada con la distribucin de Gauss, que es simtrica respecto a su valor medio. La oblicuidad se acenta con valores crecientes de . La funcin de distribucin acumulada se halla donde se obtiene: 1 Pf(t) = [ 1 erf (z) ] 2 1 = [ 1 + erf(z) ] 2 donde Z se define como: Z= ln(t / ) 2 [2.2.21] para t> integrando la expresin [2.2.19], de

para t<

[2.2.20]

y erf es la funcin de error, que aparece tabulada. La media y la varianza de la distribucin logaritmo normal, obtenidas a partir de [2.2.13] y [2.2.14] son: M = EXP( 2/2 ) V(t) = 2 EXP(2 ) [ EXP(2 ) - 1 ] [2.2.22]

Fig. 2.2.1. Densidad de probabilidad de fallas segn la distribucin logaritmo normal. La distribucin logaritmo normal aparece en procesos en los que el cambio en una variable aleatoria en el n-esimo paso es una proporcin aleatoria de la variable en el paso (n-1)-esimo. Es decir, la distribucin logaritmo normal se emplea cuando la variacin est caracterizada por factores o porcientos. As, si X representa una cantidad que puede variar con un factor de error f, abarcando un rango de valores desde X0 /f hasta X0 f, donde X0 es un punto medio de referencia dado, la distribucin logaritmo normal es la distribucin adecuada para describir el fenmeno. La distribucin logaritmo normal se aplica con frecuencia para describir las fallas en los anlisis de confiabilidad y riesgo de sucesos raros (de baja probabilidad), en los que la informacin estadstica limitada hace que las ratas de falla varen por factores. Por ejemplo una rata de fallas estimada en 10-6/h puede variar de 10-5 a 10-7/h si el factor de error es 10. Cuando la rata de fallas se expresa como 10-x, donde x es un cierto exponente, el uso de la distribucin logaritmo normal implica que el exponente satisface una distribucin normal. As, se puede ver la distribucin logaritmo normal como apropiada para situaciones en las que hay incertidumbres grandes en los parmetros de fallas. Otra caracterstica de la distribucin logaritmo normal es que la oblicuidad para tiempos mayores considera el comportamiento general de los datos para fenmenos poco probables ya que la misma tiene en cuenta la ocurrencia de valores poco frecuentes pero con una gran desviacin, tales como ratas de fallas anmalas debido a defectos de lotes de produccin, degradacin ambiental y otras causas.

- Distribucin de Weibull. La distribucin de Weibull es una distribucin de fallas muy general y ampliamente difundida por su aplicabilidad a un gran nmero de situaciones diversas. La densidad de fallas es: K t v v
k 1

f (t ) =

t Exp v

[2.2.23]

La funcin de distribucin acumulada, el valor por las siguientes expresiones: Pf(t) = 1 - EXP[-(t / v )K] M = v (1 + K-1) V(t) = v2 { (1 + 2K-1) - [ (1 + K-1)]2}

medio

y la varianza, vienen dados

[2.2.24] [2.2.25] [2.2.26]

donde representa la funcin Gamma, que aparece tabulada. La forma de la distribucin depende primariamente del parmetro K, como se aprecia en la figura 2.2.2. Para K=1, se obtiene la distribucin exponencial, con rata de fallas R = v-1. Al incrementarse K la distribucin de Weibull tiende a la distribucin normal siendo ambas casi indistintas para K mayor que 4. Un caso particular es la distribucin de Rayleigh que se obtiene para K=2. Las aplicaciones de la distribucin de Weibull se pueden comprender ms fcilmente a partir de la expresin de la rata de fallas para esta distribucin:

K t R(t ) = v v

k 1

[2.2.27]

As pues, el modelo de Weibull es el apropiado para el ajuste de datos en los que la probabilidad condicional de fallas R(t) satisface una ley de potencia del tiempo. Ratas de fallas de este tipo se ilustran en la figura 2.2.3.

Fig. 2.2.2. Densidad de probabilidad de fallas segn la distribucin de Weibull.

Fig. 2.2.3. Rata de fallas segn la distribucin de Weibull. La aplicacin de la distribucin de Weibull est sujeta a la cuantificacin de los coeficientes "v" y "k" cuyas magnitudes dependen de la serie histrica de los tiempos de operacin o corrida de un equipo o componente.

La cuantificacin de los coeficientes o estimadores ha recibido importante atencin de Khirosi y Mieko, 1963; Johnson, 1964; C.Cohen, 1965; Weibull 1964 y Finley 1977 (6). A partir de los mtodos de Cohen y la aplicacin del Mtodo de Mxima Verosimilitud obtendremos soluciones aproximadas pero confiables de los coeficientes "v" y "k" y a partir de all derivar las estimaciones de la rata de fallas, probabilidades de supervivencia y probabilidades de falla. As mismo, evaluaciones matemticas del comportamiento de estos indicadores para diferentes perodos de tiempo. Sea la funcin de densidad de Weibull: K t K-1 f(t) = . t EXP [ - ()K ] vK v para t>0,K>0,v>0

Sea "L" la funcin de mxima verosimilitud, dependiente de una variable "A". La solucin de la ecuacin consiste en estimar el valor de "A" para el cual "L" asume un valor mximo. Como "Log L" presenta un mximo al mismo valor de "A", la ecuacin a resolver es: dLog L = 0 dA Donde la funcin de verosimilitud, segn H. Kramer, de una muestra de n observaciones es: L(x1,x2,x3,...xn) = f(x1,A).f(x2,A).f(x3,A)...f(xn,A) Si los valores de la muestra han sido dados y la funcin de "L" es de una variable "A", la funcin de verosimilitud para la muestra completa utilizando la funcin de Weibull es: K ti K-1 L(t1,t2,...tn) = . ti. EXP [- () K] v I=1 v K N

[2.2.28]

tomando logaritmo y derivando con respecto a V y K e igualando a cero tenemos: n.k k n ti Ln [L(ti,i=1...,n)] K = - + () = 0 v v i=1 v v

n ti ti n n Ln [L(ti,i=1...,n)] K = nlnv+ ln ti + ln ( ) = 0 i=1 i=1 K v v K

Eliminando V y simplificando: 1 n 1 n n K ln ti = - + ti ln ti / ti i=1 i=1 n i=1 K ti K v = [ ] 1/K i=1 n

n

[2.2.29]

Por iteraciones sucesivas, al efecto, una estimacin de "K" se puede obtener mediante el mtodo de Newton-Raphson cuya tcnica numrica permite encontrar la raz de una funcin F(x), y eliminar el error asegurando el valor de "K". Bajo estas condiciones si Ki es la aproximacin de una raz, una nueva estimacin est dada por: F(Ki) Ki+1 = Ki - F'(Ki) la funcin queda definida por: 1 1 K F(k) = (ti) .lnti - ti - lnti.ti K k n
K

F(Ki) 0

[2.2.30]

1 1 K F'(x) = (ti) .(lnti) - lnti.ti + ti K -... K K2

K 2

1 - ln ti lnti.ti K n donde: Ki+1-Ki<e

[2.2.31]

siendo e=error de aproximacin.

Prefijado e se limita el proceso iterativo para el clculo de k, calculado ste se calcula v obteniendo la estimacin por mxima verosimilitud de la funcin de Weibull. Con los estimados correspondientes se obtienen la rata de fallas, probabilidad de falla, de supervivencia y los estimados del promedio y la varianza. Los clculos respectivos han permitido la construccin de un modelo para obtener los parmetros de confiabilidad, cuyo programa computarizado ha sido denominado PARAMAN. A continuacin definimos los datos de entrada, caracterizados por el tiempo de corrida al estado entre la base de la hora y fecha de arranque del equipo y la fecha y hora de parada caracterizando la razn de las fallas. Estos datos se convierten en variables xi de la muestra, se ordenan de manera creciente y finalmente se suavizan exponencialmente para mejorar en homogeneidad, logrado este aspecto se procede al clculo de los indicadores de confiabilidad y se disponen para la respectiva simulacin atendiendo a diferentes perodos de tiempo. El modelo matemtico computarizado PARAMAN, que forma parte de un Sistema de Informacin Gerencial de Mantenimiento, calcula la probabilidad que un equipo se encuentre en operacin o sea reparado en un lapso determinado, a partir del comportamiento mismo del equipo, el cual se caracteriza por los tiempos de operacin y los tiempos durante los cuales est detenido por reparacin. La distribucin de los tiempos de operacin y de parada se asocian a funciones probabilsticas que permiten encontrar los parmetros de confiabilidad y mantenibilidad, cuya combinacin da origen a la disponibilidad y ofrece, adems la posibilidad de efectuar simulaciones sobre la base de diferentes perodos de tiempo. El modelo PARAMAN determina la rata de fallas, el factor "k" que establece el ciclo de vida del equipo, la edad caracterstica de corrida, y evala las probabilidades de supervivencia y de falla. Estos elementos entran en el clculo de los tiempos medios entre paradas y su respectiva varianza. En el caso de mantenibilidad, se define la funcin de probabilidades que calcula la posibilidad que un trabajo de mantenimiento se efecte en un tiempo determinado, la edad caracterstica para reparar, su varianza y los tiempos medios. Resumiendo, el modelo PARAMAN permite obtener: - Historial de un componente, equipo o planta ( arranques, paradas, causas de la parada) - Probabilidades de supervivencia y falla - Tiempos de operacin entre arranque y falla - Tiempos fuera de servicio - Disponibilidad para cada corrida - Tiempos medios entre fallas, fuera de servicio y disponibilidad total

- Parmetros de Weibull (tiempo de corrida caracterstico "v", factor "k", desviacin estndar del tiempo medio entre fallas, rata de fallas) - Parmetros de Gumbel (Factor de forma "A", tiempo caracterstico de parada "U") - Probabilidades de falla y tiempos de reparacin (calculados por simulacin para diferentes valores de tiempo) En (7) podr encontrar una informacin ms detallada sobre el sistema PARAMAN.

2.3. Bases de datos de confiabilidad.

2.3.1. El teorema de Bayes y la confiabilidad. La determinacin experimental de datos de confiabilidad de componentes para una industria en especfico puede confrontar dificultades cuando las fallas son sucesos raros. Por ello en ocasiones es necesario recurrir a datos de componentes similares en otras industrias donde se disponga de una mayor estadstica de fallas y hacer un proceso de "ajuste" de estos a la experiencia de explotacin de la instalacin que se analiza. Puede tambin darse el caso de datos genricos para industrias de una tecnologa dada que se quieren ajustar a los componentes anlogos de la tecnologa propia. Para ello juega un papel importante el llamado Teorema de Bayes de la Teora de las Probabilidades. - Teorema de Bayes. Sea un espacio muestral S, dividido en N sucesos A1...AN mutuamente excluyentes, tales que A1+A2+...+AN=S y otro suceso cualquiera B, subconjunto de S. Entonces, de acuerdo con la definicin de probabilidad condicional, tenemos que: P(Ai.B) = P(Ai/B).P(B) = P(B/Ai).P(Ai) Igualando el segundo y tercer miembros y despejando obtenemos: P(Ai) P(B/Ai) P(Ai/B) = P(B)

[2.3.1] se obtiene finalmente la

Si P(B) se expresa a partir de los sucesos A1...AN, expresin del Teorema de Bayes:

P(Ai) P(B/Ai) P(Ai/B) =

N

[2.3.2]

P(Ai) P(B/Ai)
i=1

La aplicacin ms importante de la expresin [2.3.2] en anlisis de confiabilidad est dirigida al ajuste de datos genricos o de otras industrias, para ser utilizados en la instalacin propia, tomando en cuenta la estadstica de fallas acumulada en esta ltima. Esta aplicacin se ilustra en el siguiente ejemplo. Ejemplo 2.3.1: Supongamos que queremos estimar la rata de fallas de una bomba de baja presin empleada en un sistema de enfriamiento. De la literatura internacional conocemos que las ratas de fallas para bombas similares en otras industrias oscilan en los rdenes 10-3, 10-4, 10-5 [1/h] . De la experiencia de explotacin de la tecnologa propia se tiene que para una muestra dada de bombas del tipo analizado no se han producido fallas durante 500 horas de trabajo en regmenes de prueba. En este caso, adoptamos como sucesos Ai las ratas de fallas encontradas en la literatura: A1 es el suceso rata de fallas igual a 10-3, A2 igual a 10-4 , A3 igual a 10-5, las que sern nuestras hiptesis de partida. El suceso B ser el que nos aporta la experiencia propia: 500 horas de trabajo sin falla. Si la rata de fallas fuese 10-3/h, la probabilidad de B (500 horas de trabajo sin fallas) sera: P(B/A1) = (1 - 10-3 . )500 Siendo 10-3 la probabilidad de falla en una hora, 1-10-3 es la probabilidad de supervivencia o de ausencia de fallas en una hora. Este ltimo trmino, elevado a la potencia 500, equivale a la probabilidad de que no se produzcan fallas en 500 horas, considerando independientes entre s los sucesos de no falla en cada hora, por lo cual, se obtiene: P(B/A1) =Exp(- 10-3 .500)= 0.6064 Clculos similares permiten obtener los valores restantes de P(B/Ai) que se presentan en la tabla 2.3.1. Estos valores contienen el dato de la experiencia propia que combinado con las probabilidades P(Ai) asumidas de otras fuentes conducen a las probabilidades condicionales P(Ai/B). Si para las probabilidades P(Ai) se asume una distribucin uniforme tal que P(Ai)=1/3, aplicando [2.3.2] podemos hallar las probabilidades de que la rata da fallas de la bomba de nuestra industria sea 10-3, 10-4 o 10-5 dada la evidencia B de que no se producen fallas en 500h de trabajo. Estas son las probabilidades condicionales P(Ai/B) de la tabla 2.3.1 para la distribucin previa uniforme.

I Ai P(B/Ai) Distribucin previa uniforme P(Ai) P(Ai/B)

1 10-3 0.6064

2 10-4 0.9512

3 10-5 0.9950

0.3333 0.2376

0.3333 0.3726

0.3333 0.3898

Distribucin previa no uniforme P(Ai) P(Ai/B) 0.1 0.0643 0.3 0.3026 0.6 0.6330

Tabla 2.3.1. Clculos bayesianos para el ejemplo 2.3.1. Si hubisemos sido ms realistas en nuestra primera estimacin de P(Ai), como muestra la distribucin no uniforme de las probabilidades previas P(B/Ai) en la tabla 2.3.1, entonces, como puede apreciarse para el segundo caso de distribucin previa no uniforme, la introduccin de la informacin B tiene menor efecto sobre los valores previos P(Ai), pues se observa una mayor concordancia entre los valores de P(Ai) y P(Ai/B). Los resultados de la tabla 2.3.1 nos permiten concluir que para la bomba del ejemplo 2.3.1 debe adoptarse una rata de fallas entre 10-4 y 10-5, ms prxima a 10-5, como podra ser 3.10-5. Una mayor certeza inicial podra obtenerse con un mejor conocimiento de las caractersticas y condiciones de trabajo de las bombas cuyas ratas de falla se tabulan en la literatura, lo que permitira asociar mayores valores de probabilidad P(A) a las ratas de aquellas cuyas caractersticas y condiciones de trabajo se asemejen ms a la propia. As, el anlisis bayesiano puede utilizarse para el ajuste de listados genricos de datos de partida para los anlisis cuantitativos de confiabilidad y seguridad, lo cual es muy frecuente en la prctica de realizacin de estos anlisis. Para ms informacin sobre le anlisis de datos vea el anexo A.

2.4. Tipos de componentes. Expresiones para la evaluacin de su confiabilidad.

Para la cuantificacin de la confiabilidad de componentes nos basaremos en el modelo exponencial, para el cual la rata de fallas es constante. Al evaluar la confiabilidad de un componente es necesario tener en cuenta dos aspectos. En primer lugar el rgimen de trabajo bajo el cual se evala la confiabilidad, lo cual determina el parmetro que la caracteriza, y en segundo lugar, la posibilidad de restitucin de la capacidad de trabajo del componente despus de una falla, es decir, si el componente es o no reparable, lo cual determina la expresin a utilizar para el clculo del parmetro que corresponda. En lo adelante al referirnos a la confiabilidad o al evaluarla, lo haremos en trminos de probabilidad de falla. Ello se debe a un problema prctico. Los valores de confiabilidad de componentes y sistemas de instalaciones de alta responsabilidad, y por tanto de altas exigencias en su calidad, son elevados, muy prximos a la unidad (decimales con varios 9 consecutivos), mientras que su complemento, la probabilidad de falla, son valores muy prximos a cero, fcilmente expresables como potencias negativas de 10. En cuanto al rgimen de trabajo de los componentes existen dos posibles: el rgimen de espera, durante el cual el componente permanece listo para entrar en funcionamiento cuando se le requiera, y el rgimen de operacin. El primero es tpico de los sistemas de seguridad o aquellos que permanecen como reserva, los cuales durante la operacin de la planta se mantienen a la espera de cualquier suceso accidental o falla que requiera su actuacin. El segundo es tpico de los sistemas de operacin normal y corresponde tambin a los sistemas de seguridad durante el perodo de tiempo que dure el cumplimiento de su funcin de seguridad despus que son demandados (sistemas de seguridad activos). Las ratas de fallas utilizadas para modelar los componentes deben estar diferenciadas de acuerdo con su rgimen de trabajo. As existen ratas de falla a la espera y ratas de fallas en operacin. Tambin debe tomarse en cuenta la correspondencia del rgimen de trabajo con el tiempo analizado. Para el rgimen de espera deber utilizarse, por tanto, la rata de fallas a la espera y el tiempo a la espera (tiempo durante el cual el componente se mantiene "listo" para entrar en funcionamiento) y para el rgimen de operacin se usar la rata de fallas en operacin y el tiempo analizado ser el perodo necesario de operacin del componente. Seguidamente se describen las expresiones para el clculo de la probabilidad de falla de componentes, segn su clasificacin en modos de falla a la espera y en operacin y de acuerdo a los tipos de componentes que emplea el algoritmo base para los

modelos computarizados denominado Anlisis de Riesgo y Confiabilidad (sistema ARCON). - Componentes a la espera. Para la evaluacin de la probabilidad de falla de componentes a la espera definiremos una nueva magnitud que es la disponibilidad del componente. La disponibilidad se define como la probabilidad de que el componente est apto o listo para actuar u operar en el momento que sea requerido. Por razones similares a las planteadas para la fiabilidad trabajaremos no con la disponibilidad de los componentes sino con su complemento (1 - disponibilidad) que llamaremos indisponibilidad y denotaremos por q(t). As, la indisponibilidad q(t) se define como la probabilidad de que un componente est en estado fallado en el instante t y no sea posible su actuacin si es requerida (falla de bloqueo). Como se aprecia, se trata de una magnitud puntual que evala la probabilidad del estado fallado en un instante t, a diferencia de la probabilidad de falla para sistemas en operacin dada por [2.1.13], que es una funcin de distribucin acumulada que da la probabilidad de falla (falla de interrupcin) para un intervalo de tiempo de 0 a t. - Componentes tipo 1. Probabilidad de falla fija. En este caso la indisponibilidad del componente es un de modo que: q(t) = q = cte. [2.4.1] valor constante en el tiempo,

Los componentes tipo 1 se emplean para modelar aquellos modos de falla, cuya probabilidad es uniforme en el tiempo, as como en aquellos casos en que no se cuenta con informacin suficiente para determinar una ley de variacin de la indisponibilidad en el tiempo de acuerdo a otro modelo. Un modo de falla al cual se aplica este modelo es al error humano, por ejemplo, el suceso de una vlvula manual dejada en posicin incorrecta despus de un mantenimiento. En este caso un valor tpico es q=2.10-2, lo que representa que en 100 demandas al componente, ste se encontrar como promedio 2 veces en posicin incorrecta (indisponible), por el error humano. - Componentes tipo 2. No controlable. Se aplica a componentes cuyo estado no es controlado durante todo el tiempo en que el sistema se encuentra a la espera, y que al presentarse la demanda pueden fallar por mecanismos de fallas ocultas. El sistema ARCON da, adems, la posibilidad de adicionar a la indisponibilidad de este tipo de componentes una probabilidad

adicional de falla a la demanda por carga de impacto sobre el componente en el momento que se requiere su actuacin. As, de la expresin [2.1.13], que corresponde a componentes no reparables cuyo tiempo hasta la falla sigue una distribucin exponencial, se obtiene adicionando la indisponibilidad por carga de impacto qad: q(t) = 1 - EXP(-Rt) + qad [2.4.2]

En ARCON tambin se incluye un tiempo previo Tpr que el componente haya estado a la espera con anterioridad, sin recibir ningn tipo de mantenimiento que permita considerarlo como nuevo al inicio de nuestro perodo de observacin. Esto modifica [2.4.2] de la siguiente manera: q(t) = 1 - EXP[-R(Tpr+t)] +qad [2.4.3]

La expresin [2.4.3] tiene un crecimiento exponencial con el tiempo, de modo que la indisponibilidad del componente ser una funcin del instante en que se produzca la demanda. En muchos casos se requiere hallar un valor de indisponibilidad medio, representativo del comportamiento del componente durante el tiempo a la espera T, tambin conocido como tiempo de observacin. Para el clculo de la indisponibilidad media del componente aplicamos la expresin general: q= 1 T

q (t )dt

Sustituyendo [2.4.3] e integrando, se obtiene finalmente: _ 1 q = 1 - {EXP[-RTpr] - EXP[-R(Tpr+T)]} + qad RT - Componentes tipo 3. Controlado de forma continua. Se aplica a los componentes cuya falla se detecta en cuanto se produce y son sometidos de inmediato a la reparacin. Para un sistema a la espera este puede ser un tanque, cuyo salidero se detecta inmediatamente por un medidor de nivel con indicacin o seal de alarma en un panel. Se trata por tanto de una falla revelable. En este caso la indisponibilidad del componente se determina a partir del balance entre los procesos de rotura y reparacin, dados por la ecuacin diferencial: q(t+dt)= [1 - q(t)].Rdt + q(t).[1 - dt] [2.4.5] [2.4.4]

En [2.4.5] se determina la indisponibilidad en t+dt correspondiente al miembro de la izquierda a partir de la indisponibilidad que haba en t mediante los dos trminos del miembro de la derecha. De ellos, el primero representa la probabilidad que tiene el componente de estar disponible en t y fallar en t+dt, mientras que el segundo corresponde a la probabilidad de estar fallado en t y no ser reparado en t+dt. Integrando finalmente: [2.4.5] y teniendo en cuenta la condicin inicial q(0)=0, se obtiene

R q(t) = { 1 - EXP[-( R + ) t ] } + qad R+

[2.4.6]

En [2.4.6] se incorpor adems la probabilidad de falla adicional que eventualmente puede tomar en cuenta posibles cargas de impacto sobre el componente en el instante de la demanda. El componente tipo 3 tiene una indisponibilidad inicialmente creciente en el tiempo, pero que se estabiliza rpidamente en su valor asinttico. Por ello, en el clculo de la indisponibilidad de este tipo de componentes se emplea habitualmente la expresin [2,4.7], que es el valor asinttico de [2.4.6]. _ R q = + qad R+ [2.4.7]

- Componentes tipo 4. Probado peridicamente. Este es el caso de los componentes cuyo estado se comprueba cada cierto tiempo Tp mediante una prueba o ensayo de duracin que permite detectar las fallas del componente. En los casos en que el componente se encuentra fallado se procede a su reparacin. La prueba puede tener una cierta ineficiencia, de modo que de la rata de fallas total slo se detecta una fraccin que llamaremos ineficiencia de la prueba y denotaremos por Inef. As, la rata de fallas se desdobla en dos componentes, la rata de fallas detectables Rdet y la rata de fallas no detectables Rno, cuyas expresiones son: Rdet = R.(1-Inef). Rno = R.Inef. [2.4.8] [2.4.9]

La indisponibilidad de un componente de este tipo tiene un carcter peridico, y puede dividirse en tres zonas principales:

- Durante la prueba. La contribucin de la prueba a la indisponibilidad viene dada por la expresin: qp = pnt Tp [2.4.10]

donde el cociente representa la probabilidad de que al presentarse una demanda el componente este en prueba y pnt es la llamada probabilidad de no-trnsito del estado de la prueba al estado del componente para el cumplimiento de su misin. La probabilidad pnt representa la indisponibilidad del componente durante la prueba. - Durante la reparacin posterior a la prueba (s se detecta fallado). Al realizar la prueba, el componente ha permanecido a la espera durante un tiempo Tp - . La probabilidad de llegar a la prueba fallado, ser, de acuerdo con [2.1.13], 1-EXP[-Rdet(Tp-)], expresin que se aproxima a Rdet(Tp-) para valores de Rdet(Tp- ) menores que 0.1, lo cual resulta completamente vlido en todos los casos de inters. Tomando en cuenta lo anterior, se puede establecer la siguiente expresin para la indisponibilidad por reparacin: Tr qr = Rdet(Tp- ) [ .( 1 - phe) + phe ] Tp- donde Tr es el tiempo medio de reparacin del componente(=1/); phe es la probabilidad de error humano total, que incluye tanto la probabilidad de no detectar la falla por error en la prueba phep como la probabilidad de que el componente quede indisponible por un error en la reparacin pher. phe = phep + ( 1 - phep ) pher En la expresin [2.4.11] el primer factor es la probabilidad de que el componente llegue fallado a la prueba. El primer sumando entre corchetes representa la probabilidad de que se produzca la demanda cuando el componente est en reparacin, dado que el componente se detecta fallado y se repara correctamente. El segundo sumando es la probabilidad total de error en la prueba o la reparacin, que hacen que el componente permanezca indisponible durante todo el tiempo Tp- que media hasta la prxima prueba. Si la expresin [2.4.11] se transforma convenientemente, se obtiene finalmente: qr = Rdet [ Tr + phe.(Tp - - Tr) ] [2.4.12] [2.4.11]

Si la probabilidad de error humano fuera cero, la expresin se reduce a: qr = Rdet.Tr [2.4.13]

- Durante el tiempo (Tp- ) hasta la prxima prueba. En este intervalo el componente est sometido a fallas ocultas no controlables cuya funcin de distribucin acumulada viene dada por [2.1.13]. Si se tiene en cuenta la aproximacin q(t)= Rdet.t, vlida para valores de Rdet.t menores que 0.1, la indisponibilidad media por fallas ocultas en este intervalo ser: q OC = Tp 0 1
Tp

R det tdt

Integrando, se obtiene finalmente: 1 qoc = Rdet (Tp- ) 2 [2.4.14] 4,

Por ltimo, la expresin de la indisponibilidad media de un componente tipo se obtiene adicionando las expresiones [2.4.10],[2.4.12],[2.4.14]: _ q = pnt + Rdet [ Tr + phe .(Tp - - Tr) ] +... Tp 1 + Rdet(Tp - ) 2

[2.4.15]

Cuando la ineficiencia de la prueba es mayor que cero la expresin [2.4.15] slo nos da el aporte a la indisponibilidad media del componente debido a las fallas detectables en la prueba. La fraccin de las fallas que no se detecta en la prueba tiene un carcter no controlable y su aporte vendr dado por una expresin como [2.4.4], usando Tpr=0 y Rno como rata de fallas . De esta forma se obtiene la expresin general que emplea el sistema ARCON: _ 1 q = pnt + Rdet[Tr + phe .(Tp - - Tr)] + Rdet(Tp- ) +... Tp 2 1 + 1 - { 1 - EXP[- Rno T] } + qad RnoT [2.4.16]

En [2.4.16] se incluy como ltimo trmino la probabilidad de falla adicional a la demanda por carga de impacto. El sistema ARCON tiene adems la posibilidad de ajustar las ratas de fallas de la frmula [2.4.16] para tomar en cuenta los casos en que la prueba degrada al componente e incrementa su rata de fallas. Este es el caso tpico de los generadores diesel que se emplean en la industria para asegurar el suministro elctrico en condiciones de avera. Con este fin el sistema emplea un dato adicional para los componentes tipo 4, el factor de degradacin de la prueba, expresado como el % de incremento de la rata de fallas en cada prueba. Estas expresiones tienen cierta complejidad y no se han incluido en el presente material. - Componentes tipo 6. Indisponibilidad por mantenimiento. Este modo de falla es la probabilidad de que el componente se encuentre fuera de servicio por mantenimiento en el momento que tiene lugar una demanda. Si Tm es el tiempo entre mantenimientos y m es la duracin del mantenimiento, la indisponibilidad por mantenimiento viene dada por: _ m q = Tm - Componentes tipo 7. Suceso desarrollado. Es un componente de probabilidad de falla fija, que a los efectos del clculo no se diferencia del componente tipo 1 y su indisponibilidad viene dada tambin por la expresin [2.4.1]. Se emplea para representar la falla de un subsistema, sistema de apoyo o elemento complejo, que en el momento del anlisis no se puede desarrollar en los modos de falla ms simples que lo componen por falta de informacin, o bien este desarrollo se ha hecho de forma separada para una integracin posterior, cuando se vaya a conformar el modelo de confiabilidad del sistema a partir de sus componentes en lo que se conoce como un rbol de fallas. - Componentes en operacin ( tipo 5 ). La probabilidad de que un componente falle en operacin, ser la probabilidad de que experimente al menos una falla cuando trabaja durante ese perodo, por lo que puede ser cuantificada mediante la funcin de distribucin acumulada de fallas Pf(t), dada por [2.1.13], para R=Rop y t=top : Pf(t) = 1 - EXP(-Rop . top) [2.4.17]

que puede ser aproximada como Pf(t) = Rop . top para valores de Pf(t) menores que 0.1. Esta expresin se aplica al clculo de la probabilidad de falla de componentes no reparables en operacin, que a lo sumo pueden experimentar una falla. Sin embargo, para componentes redundantes reparables, es necesario tomar en cuenta la posibilidad de reparacin, pues mientras sta se realiza, la misin es cumplida por el otro componente y el sistema no falla. En este caso la falla se produce slo si el componente redundante tambin falla, antes de que el primero haya podido ser reparado. En estos casos la probabilidad de falla del componente en operacin se determina mediante una expresin anloga a la [2.4.7], empleada para componentes tipo 3: Rop Pop = Rop+ donde Pop Rop [2.4.19] es la probabilidad de falla en operacin del componente reparable es la rata de fallas del componente en operacin es la rata de reparaciones del componente, igual al inverso del tiempo promedio para reparar. [2.4.18]

III. Confiabilidad de sistemas.

La evaluacin de la confiabilidad de un sistema consiste en la cuantificacin de la probabilidad de falla en el cumplimiento de su funcin, a partir de las probabilidades de falla de sus componentes, que se combinan tomando en cuenta las interconexiones e interdependencias entre ellos. Estas interrelaciones vienen dadas por la estructura del sistema y sus procedimientos de trabajo. Con este fin, se requiere la construccin de un modelo que contemple tanto las fallas de equipo como las debidas a errores humanos, as como la influencia de los procedimientos de operacin, prueba y mantenimiento del sistema. Sin embargo, el inters fundamental del anlisis de confiabilidad no es exclusivamente el resultado global de la probabilidad de falla del sistema, para demostrar que ste satisface las exigencias planteadas al diseo. Los mayores dividendos se obtienen mediante un proceso sistemtico y bien estructurado para la determinacin de los contribuyentes ms importantes a dicho resultado global. Estos son los puntos del sistema que requieren mayor atencin. Consecuentemente, se considera el efecto de modificaciones en el diseo, as como en los procedimientos de operacin, prueba y mantenimiento, que an siendo simples, pueden conllevar a una mejora significativa de la confiabilidad. Para sistemas complejos e interdependientes el anlisis de rboles de fallas ha demostrado ser una herramienta poderosa que se aplica con xito en las industrias nuclear, aeronutica y aeroespacial. Se emplea de forma creciente en la industria qumica y, en general, resulta una tcnica con alto nivel de estructuracin, estandarizacin y universalidad, aplicable a industrias complejas que deben operar con elevada disponibilidad y seguridad. La tcnica de rboles de fallas tendra un alcance limitado si se aplicara solamente al anlisis de confiabilidad de sistemas aislados. El mayor beneficio se obtiene cuando se aplica de forma combinada con la tcnica de rboles de sucesos, para la construccin de un modelo integral de la industria, que caracteriza la respuesta de sus sistemas ante diversos sucesos iniciadores de avera (situaciones accidentales), que de no ser controlados o mitigados tienen un impacto negativo sobre el proceso productivo (paradas ms o menos prolongadas, dao a sistemas con prdidas econmicas de consideracin, dao al medio ambiente y a la poblacin circundante). Este estudio integral es lo que se conoce como un Anlisis Probabilista de Seguridad (APS). A partir del modelo bsico del APS se pueden realizar mltiples aplicaciones durante toda la vida til de la instalacin para garantizar una elevada disponibilidad, seguridad industrial y proteccin del medio ambiente. Estas aplicaciones se basan en el conocimiento de los puntos dbiles del proceso, que permite la toma de medidas tcnicas y organizativas, muchas veces sencillas, pero que tienen un efecto importante sobre los ndices tcnico-econmicos de seguridad de la industria.

El modelo de APS no permanece esttico, sino que se actualiza como resultado de la experiencia operacional y las modificaciones que se introducen en el diseo y los procedimientos de trabajo. Esto puede hacerse con facilidad a partir del modelo bsico y permite a la gerencia un mejor conocimiento de las caractersticas de seguridad y disponibilidad de la planta, para estar prevenidos frente a eventuales puntos dbiles y anticiparse a stos con la toma de medidas oportunas.

3.1. Tcnica de rboles de fallas.

El rbol de fallas es un modelo lgico deductivo, que parte del suceso tope para el cual se produce la falla del sistema. De una forma sistemtica se va desarrollando el suceso tope en los sucesos intermedios que conducen a ste, y a su vez los sucesos intermedios en otros de menor jerarqua, hasta llegar a los sucesos primarios, determinados por el nivel de resolucin del anlisis posible o deseable. Este se establece atendiendo a los datos de fallas de que se dispone y/o al alcance que se pretende lograr de acuerdo con los objetivos del estudio. Los sucesos intermedios y primarios se interconectan mediante compuertas lgicas, que bsicamente pueden ser de 3 tipos: Compuerta OR: El estado fallado de cualquiera de los sucesos que entran a ella produce el estado fallado a la salida. Compuerta AND: El estado fallado a la salida de la compuerta se produce cuando todos los sucesos que entran a ella estn en estado fallado. Compuerta n/m ("Majority"): El estado fallado a la salida de la compuerta se produce con cualquier combinacin de n sucesos en estado fallado del total de m que entra a la compuerta. En la figura 3.1.1 se muestran los smbolos de mayor utilizacin en la construccin de rboles de fallas.

Fig 3.1.1. Smbolos de mayor utilizacin en la construccin de rboles de fallas. Los sucesos primarios son puntos terminales del rbol que no se continan desarrollando. De ellos los sucesos bsicos corresponden generalmente a modos de falla propios de componentes (por ejemplo falla de una vlvula a la apertura o al cierre), mientras que el suceso desarrollado es un suceso complejo que no se desdobla en sucesos bsicos de menor jerarqua, por no contarse con la informacin necesaria o porque resulta conveniente desarrollarlo aparte como un rbol independiente. Este ltimo es el caso de los sistemas de apoyo (por ejemplo la falla de la alimentacin elctrica), que se acostumbra a modelar en rboles de fallas independientes para despus acoplarlos (integrarlos) a los rboles de los diversos sistemas a los cuales este sistema de apoyo presta servicio. El smbolo de suceso intermedio (rectngulo) se coloca antes de cada compuerta o suceso primario para describir con precisin el suceso de falla que se est representando. Los smbolos de transferencia permiten conectar un subrbol en varios puntos del rbol principal sin necesidad de repetir varias veces la misma informacin, as como establecer cortes y divisiones del rbol cuando por sus dimensiones no puede representarse completamente en una hoja de papel. Este es el caso del rbol de fallas que aparece posteriormente en la figura 3.1.4.

La tcnica de rboles de fallas permite modelar los sistemas con un alto grado de flexibilidad, pero deben tenerse en cuenta las siguientes premisas fundamentales: 1. Los sucesos bsicos de un rbol de fallas tienen carcter binario, es decir, el componente est fallado o est operable, el modo de falla se produce o no se produce. No es posible modelar estados intermedios o degradados de los componentes. 2. Los sucesos bsicos tienen que ser estadsticamente independientes, lo cual es una exigencia del mtodo que se emplea para calcular la probabilidad de falla del sistema a partir de los resultados de la evaluacin cualitativa del rbol de fallas. La existencia de modos de falla dependientes se toma en cuenta cuando un mismo suceso intermedio o primario aparece repetido en el rbol de fallas, como contribuyente a varios sucesos intermedios. Para la construccin de un rbol da fallas se precisa ante todo comprender bien el funcionamiento del sistema y sus procedimientos operacionales, de prueba y mantenimiento. Al desarrollar el rbol desde el suceso tope hasta llegar a los sucesos primarios, es necesario identificar en cada paso todas las contribuciones o caminos que pueden conducir al suceso intermedio. De modo general, para la falla de cada componente existen al menos 5 posibilidades: 1. El equipo no recibi la seal que activa su operacin. 2. El equipo no recibe servicio de algn sistema de apoyo, necesario para su trabajo. (Ej. : alimentacin elctrica, enfriamiento, lubricacin, etc.). 3. El propio equipo experimenta algn tipo de falla que le impide operar. 4. Se produce un error humano que imposibilita la activacin del componente, debido a la no-intervencin del operador o su actuacin tarda, o por haberse dejado el componente en posicin incorrecta despus de un mantenimiento. 5. Algn suceso externo puede afectar al componente y evitar su funcionamiento. En este caso pueden presentarse fallas del tipo causa comn, que afectan simultneamente a varios componentes (por ejemplo, dao por incendio). Existe un grupo de reglas bsicas que se recomiendan para asegurar el desarrollo del rbol de fallas con la calidad requerida, lo que constituye un aspecto importante para su posterior revisin y fcil comprensin por parte de otros especialistas. A continuacin relacionamos las tres principales:

1. Describir de manera precisa los modos de falla dentro de los rectngulos que identifican el suceso tope, los sucesos intermedios y los sucesos primarios. 2. Todas las entradas de una compuerta deben estar completamente definidas antes de pasar a modelar otras compuertas. 3. No conectar compuertas con compuertas, ni sucesos primarios con compuertas directamente. Esto se hace siempre a travs del rectngulo donde se describe con detalle el suceso intermedio o primario correspondiente. Vase seguidamente algunos ejemplos sencillos que ilustran la construccin de rboles de fallas. En la figura 3.1.2 (a) se muestra el rbol de fallas del disparo de un circuito interruptor. La falla se produce por tres causas, cualquiera de las cuales, de modo independiente, puede dar lugar al suceso tope. Por esta razn se emplea una compuerta OR. Los sucesos primarios que entran a la compuerta OR son el desperfecto en el propio interruptor, la ausencia de la seal de disparo y, eventualmente, el dao por incendio, un suceso externo que provoca condiciones ambientales severas y conduce a la rotura del elemento. Este es un modo de falla del tipo causa comn, pues se trata de un suceso nico que suele afectar a varios componentes (todos fallan por una causa comn).

(a)

(b) Fig. 3.1.2. Arbol de fallas del disparo de un circuito interruptor. En la figura 3.1.2 (b) continua el rbol a partir del suceso B, que en la figura 3.1.2 (a) apareca como un suceso desarrollado. Para esto se toma en cuenta que la seal de disparo se produce por la apertura de uno de dos "relays" conectados en serie. Bajo estas condiciones, la falla de la seal de disparo tiene lugar cuando ambos "relays" B1 y B2 fallan cerrados, puesto que con slo uno que abra sus contactos, el circuito de control queda desenergizado y se produce la seal. Por ello al reemplazar el suceso B por B1 y B2 se ha empleado una compuerta AND. Ejemplo 3.1.1: La figura 3.1.3 muestra un sistema con un tanque a presin al cual se inyecta un gas desde un depsito mediante un compresor accionado por un motor elctrico. En cada ciclo el operador echa a andar un "timer" T y el tanque se llena durante un cierto tiempo hasta que abren los contactos del "timer", mucho antes de que se cree una condicin de sobrepresin. Despus de cada ciclo el gas comprimido se descarga abriendo la vlvula Vd destinada a este fin. Cuando el tanque queda vaco se cierra nuevamente Vd y todo est listo para dar inicio a un nuevo ciclo. Si en el proceso de llenado del tanque no se produce el disparo del "timer" T, el operador est instruido para verificar la presin del manmetro M y abrir los interruptores normalmente cerrados I1 e I2, lo cual desenergiza el motor del compresor, al interrumpirse la alimentacin elctrica tanto en el circuito de potencia como en el de control.

Fig. 3.1.3. Esquema simplificado del sistema de llenado de un tanque a presin.

(a)

(b) Fig. 3.1.4. Arbol de fallas del sistema del ejemplo 3.1.1.

(c)

(d) Fig. 3.1.4. Arbol de fallas del sistema del ejemplo 3.1.1. (continuacin).

(e)

(f) Fig. 3.1.4. Arbol de fallas del sistema del ejemplo 3.1.1. (continuacin). En la figura 3.1.4 se muestra el rbol de fallas del suceso no deseado rotura del tanque en condiciones de carga normal o por sobrepresin. La rotura del tanque en condiciones de carga normal se representa mediante un suceso primario, pues con la informacin disponible no es posible desarrollarlo ms. En cambio, la rotura por sobrepresin puede tener lugar al combinarse la falla de la proteccin por sobrepresin del tanque (vlvula de alivio Va) con el suceso intermedio trabajo del compresor durante un tiempo excesivo. La necesidad de ocurrencia simultnea de ambos determina el empleo de una compuerta AND. A continuacin se describen brevemente dos de los sucesos intermedios que contribuyen a la ocurrencia del suceso trabajo del compresor durante un tiempo excesivo. - No se interrumpe la corriente en el circuito de potencia (figura 3.1.4 c y f). Se produce cuando el manmetro M se traba o indica por debajo del valor real de presin (el operador no se percata del peligro y no acta), o bien no se logra abrir el interruptor I2 por falla del equipo, o bien la accin del operador no se produce o resulta tarda. La falla del interruptor puede ser por un problema intrnseco o provocada por una sobrecorriente SC en el circuito que dejen "pegados" los contactos. Este ltimo suceso es una falla causa comn que deja "pegados" los contactos del "relay" R y adems inhabilita la accin mitigadora de apertura del interruptor I2. Por esta razn, la falla por sobrecorriente aparece como un suceso primario repetido que contribuye a la ocurrencia de dos sucesos intermedios diferentes del rbol. - No se interrumpe la corriente en el circuito de control (figura 3.1.4 e).

En este caso aparece tambin la falla del manmetro M que evita la accin del operador sobre el interruptor I1, luego vemos que este componente contribuye a la falla en dos sucesos intermedios, es decir, produce una interdependencia que se expresa como un componente repetido en el rbol de fallas. Los modos de falla del interruptor I1 son similares a los de I2, con excepcin de la falla por sobrecorriente que no es posible en el circuito de control. Cuando no se est acostumbrado al enfoque probabilista se puede pensar que algunos de estos modos de falla pueden ser rebuscados o imposibles. Esto puede ser cierto en algunos casos, pero debemos tomar en cuenta que, en efecto, si la aplicacin de esta tcnica se realiza en industrias con elevadas exigencias a la calidad de los equipos y a la calificacin del personal, los sucesos que estamos considerando son indudablemente de baja probabilidad. Sin embargo, la clave del anlisis de rboles de fallas radica precisamente, en no descartar de antemano ninguno de los modos de falla posibles y si esto resultara razonable o conveniente deben documentarse las consideraciones que fundamentan tal decisin. La resolucin del rbol de fallas y la evaluacin de las probabilidades de los modos de falla del sistema que surjan, es la que permite sobre bases objetivas descartar determinados modos de falla poco importantes y centrar nuestra atencin en otros que resulten los mayores contribuyentes a la indisponibilidad del sistema. Cuando se trata de sistemas complejos y, particularmente, cuando estas tcnicas se aplican a la modelacin integral de la industria, pueden aparecer combinaciones de fallas de equipo y errores humanos que hacen una importante contribucin a la probabilidad de falla del sistema especfico o de la industria y que no haban sido tomadas en cuenta con el peso que les corresponde en razn de su importancia. En todo caso, aunque dicha combinacin de fallas fuera conocida el mtodo permite cuantificar su aporte y fundamentar la toma de decisiones que corresponda. El rbol de fallas tiene, segn hemos visto hasta este punto, un carcter totalmente cualitativo. Sin embargo, an antes de realizar evaluacin numrica alguna, ya el propio rbol hace una contribucin significativa a nuestro conocimiento del sistema o de la industria. Buscando los posibles modos de falla, logramos dominar con profundidad sus caractersticas tcnicas de diseo, de funcionamiento y los procedimientos de operacin, pruebas y mantenimiento. El mtodo nos va conduciendo a los puntos dbiles, a las diversas formas en que puede fallar. 3.2. Evaluacin cualitativa del rbol de fallas. La resolucin del rbol de fallas consta de dos etapas principales, la evaluacin cualitativa consistente en la determinacin de todas las combinaciones de sucesos primarios que hacen fallar el sistema y la evaluacin cuantitativa, paso en el cual se determina la probabilidad de falla del sistema a partir de las probabilidades de todos los caminos posibles que conducen al suceso tope no deseado.

As pues, la evaluacin cualitativa tiene como objetivo central la determinacin de todos los llamados conjuntos mnimos de corte del rbol de fallas. Un conjunto mnimo de corte o simplemente conjunto mnimo (CM) es un conjunto de sucesos primarios que no puede ser reducido en nmero y cuya ocurrencia determina que se produzca el suceso tope. En el ejemplo de la figura 3.1.2 (b), las fallas {A} y {C} son CM de orden 1, pues con slo ocurrir la falla intrnseca del interruptor o el dao por incendio ya tiene lugar el suceso tope no deseado. El otro CM de este ejemplo sera {B1, B2}, en este caso de orden 2 pues se necesita que ambos "relays" fallen cerrados para que se produzca el suceso tope. {B1} no sera un CM, pues con esta falla nica no se produce el suceso tope. En cambio {A, C} aunque da lugar al suceso tope no es CM, pues puede ser reducido en nmero, es decir, slo es necesaria la falla de A o de C para que se produzca el suceso tope, no se requiere que fallen ambos. Es importante destacar que la presencia de CM de orden 1 en un rbol de fallas de un sistema indica su vulnerabilidad a esta falla nica, lo cual slo es aceptable si dicha falla es de muy baja probabilidad. En el caso del ejemplo de la figura 3.1.2 (b) esto es posible porque se trata de un dispositivo que normalmente cumple funciones como parte de un sistema ms complejo. El rbol de fallas es una estructura lgica integrada por sucesos primarios binarios. Esto hace que para su evaluacin cualitativa se requiera el empleo de las reglas del lgebra de Boole, que exponemos brevemente a continuacin, sobre la base de los sucesos de falla genricos X, Y, Z. Propiedad conmutativa Propiedad asociativa Propiedad distributiva Propiedad idempotente Ley de absorcin Leyes de Morgan XY=YX ; X+Y=Y+X X (YZ)=(XY)Z X+(Y+Z)=(X+Y)+Z X(Y+Z)=(XY)+(X.Z) X+(YZ)=(X+Y)(X+Z) XX=X ; X+X=X X(X+Y)=X ; X+X.Y=X ___ _ _ ___ _ _ XY=X + Y ; X+Y=XY

En las expresiones anteriores el signo "" significa la interseccin de dos sucesos de falla, es decir, su ocurrencia simultnea, mientras que el signo "+" representa la unin de dos sucesos de falla, es decir, la ocurrencia de uno o del otro. Los sucesos X, Y son los eventos complementos de la falla, es decir, representan el estado operable (xito) del componente.

Existen diversos algoritmos para la determinacin de los conjuntos mnimos de un rbol de fallas. De ellos aqu presentaremos el de arriba hacia abajo ("top-down"), que se emplea en el sistema ARCON. El mtodo consiste en la sustitucin paulatina de las compuertas por sus entradas, desde la compuerta tope hasta llegar a los sucesos primarios, dando prioridad a las compuertas AND y n/m ("majority") con respecto a las compuertas OR, lo que contribuye a evitar una expansin excesiva del nmero de combinaciones de sucesos. En varias partes del proceso se realiza lo que se conoce como reduccin booleana, es decir, la eliminacin de combinaciones booleanas de fallas que no resultan mnimas. Esto asegura que al final del proceso se obtengan de forma explcita todos los conjuntos mnimos de corte, que constituyen los modos de falla del sistema. Para ilustrar la evaluacin cualitativa de un rbol de fallas nos basaremos en un caso sencillo, como el del ejemplo 3.1.1, cuyo rbol de fallas aparece en la figura 3.1.4. Si C1 representa el suceso tope, este puede representarse a partir de sus entradas como: C1=Tpn+C2 [3.2.1]

donde Tpn es el suceso primario rotura del tanque a presin normal y C2 es el suceso intermedio rotura del tanque por sobrepresin. Tpn es ya un suceso primario, luego corresponde ahora sustituir la compuerta C2, de donde resulta: C1=Tpn+Va.C3 [3.2.2]

Ntese como en la expresin [3.2.1] la sustitucin se hace como una unin(+) de los sucesos de falla Tpn y C2, interconectados en el rbol mediante una compuerta OR. En cambio, al sustituir la compuerta C2 en la expresin [3.2.1] para obtener la [3.2.2], Va y C3 se sustituyen como una interseccin de sucesos de falla, en correspondencia con la compuerta AND de la cual ambos son entradas en el rbol de fallas. Continuando el proceso, tendremos que: C1=Tpn+Va.C4.C5 C1=Tpn+Va.C4.(R+SC+C6) C1=Tpn+Va.C4.(R+SC+T.C7) C1=Tpn+Va.(M+E+I2+SC).{R+SC+T.(M+E+I1)} [3.2.3] [3.2.4] [3.2.5] [3.2.6]

Aplicando la ley distributiva de forma sucesiva, tendremos que: C1=Tpn+Va.(M+E+I2+SC).(R+SC+T.M+T.E+T.I1) [3.2.7]

C1=Tpn+Va.(M.R+M.SC+M.T.M+M.T.E+M.T.I1+E.R+E.SC+E.T.M+E.T.E+ +E.T.I1+I2.R+I2.SC+I2.T.M+I2.T.E+I2.T.I1+SC.R+SC.SC+ +SC.T.M+SC.T.E+SC.T.I1) [3.2.8] Si ahora aplicamos la propiedad idempotente, resulta: C1=Tpn+Va.(M.R+M.SC+M.T+M.T.E+M.T.I1+E.R+E.SC+E.T.M+E.T+E.T.I1+ +I2.R+I2.SC+I2.T.M+I2.T.E+I2.T.I1+SC.R+SC+SC.T.M+ +SC.T.E+SC.T.I1) [3.2.9] En la expresin [3.2.9] aparecen 21 trminos que representan combinaciones booleanas de fallas de componentes que conducen a la falla del sistema. Sin embargo, como veremos seguidamente, de estas 21 combinaciones booleanas slo 8 son CM. En efecto, si sometemos esta expresin a un proceso de reduccin booleana aplicando la ley de absorcin, resulta que: M.SC+E.SC+I2.SC+SC.R+SC+SC.T.M+SC.T.E+SC.T.I1=SC M.T+M.T.E+M.T.I1+I2.T.M=M.T E.T.M+E.T+E.T.I1+I2.T.E=E.T y por tanto [3.2.9] se transforma en: C1=Tpn+Va.(M.R+M.T+E.R+E.T+I2.R+I2.T.I1+SC) de donde, los CM que conducen a la rotura del tanque son: De orden 1: 1 De orden 2: 1 De orden 3: 5 Tpn Va.SC Va.M.R Va.M.T Va.E.R Va.E.T Va.I2.R Va.I2.T.I1 [3.2.13] [3.2.10] [3.2.11] [3.2.12]

De orden 4: 1 Total :8

Se puede apreciar como las expresiones [3.2.10], [3.2.11] y [3.2.12] reducen 7, 3 y 3 combinaciones booleanas respectivamente en la expresin [3.2.9].

Resulta siempre conveniente, a modo de comprobacin, realizar un examen de los CM obtenidos. Si nos concentramos en los modos de falla del tanque por sobrepresin, veremos que en todos los CM aparece la falla a la apertura de la vlvula de alivio de presin del tanque Va combinada con otros sucesos de falla. An sin realizar el anlisis cuantitativo, la simple inspeccin cualitativa de los CM nos permite concluir, en principio, que este suceso bsico ser probablemente un punto dbil del sistema, es decir, debemos reforzar la proteccin por sobrepresin. La falla de Va puede combinarse con el suceso SC que hace fallar cerrados los contactos del "relay" y del interruptor I2 por una causa comn, o con la falla propia del "relay" R unida a la no-indicacin correcta del manmetro de presin M que evita la intervencin del operador, y as sucesivamente podemos continuar analizando el resto de los CM. El proceso realizado nos permite inducir las siguientes consideraciones generales: 1. La generacin de CM va produciendo una expansin paulatina del nmero de trminos de la expresin booleana, hasta llegar al resultado final en el que el suceso tope se expresa como la unin de todos los sucesos de falla, dados por los conjuntos mnimos de corte. La expresin [3.2.9] lleg a tener 21 trminos. 2. Durante el proceso se generan muchas combinaciones booleanas que no son CM, y requieren ser reducidas. En el ejemplo se redujeron 13 combinaciones booleanas y slo quedaron 8 CM. 3. Las cantidades de CM que se pueden derivar de un rbol de fallas de mediana complejidad, y con slo decenas o cientos de sucesos bsicos y compuertas pueden ser gigantescas, del orden de los millones y superiores. Cuando se resuelven rboles que modelan el comportamiento global de la industria ante un suceso iniciador de avera, el nmero de CM suele ser particularmente elevado, debido a que las secuencias accidentales que surgen involucran normalmente la falla de varios sistemas. 4. El elevado volumen de operaciones lgicas requerido por la determinacin de los CM, slo es posible con eficiencia y sin errores mediante el empleo de tcnicas de computacin. Debe tenerse en cuenta que el consumo de memoria y tiempo de mquina como funcin del nmero de componentes y la complejidad del rbol sigue una ley exponencial. Para rboles de cierta complejidad, con cientos o miles de compuertas y sucesos bsicos, la determinacin de los CM slo es posible mediante un software potente y una computadora rpida con suficiente memoria operativa y en disco. La inmensa mayora de los programas de APS de uso actual estn soportados en computadoras "Mainframe" y una buena parte de los que trabajan en computadoras personales (PC) confronta serias limitaciones de memoria y velocidad. No obstante, el creciente desarrollo de los PC ha propiciado el surgimiento de algunos sistemas capaces de manejar rboles de fallas complejos en PC, como es el caso de ARCON (ver Anexo B).

3.3. Evaluacin cuantitativa de las fallas. La evaluacin cuantitativa de rboles de fallas consiste, bsicamente, en la determinacin de la probabilidad de ocurrencia del suceso tope que describe la falla del sistema, a partir de las probabilidades de los CM, que representan las contribuciones de todos los modos de falla posibles. Sean CM1 y CM2 dos CM del rbol de fallas. La probabilidad de que ocurra el modo de falla CM1 o el modo de falla CM2, es decir, la probabilidad de falla del sistema por una de estas dos vas ser: P(CM1+CM2)=P(CM1)+P(CM2)-P(CM1.CM2) [3.3.1]

donde el suceso CM1.CM2 representa la ocurrencia simultnea de ambos modos de falla, que de no restarse se estara sumando dos veces al resultado final y producira su sobreestimacin. Si ahora se tratara de tres conjuntos mnimos CM1,CM2 y CM3, la expresin de la probabilidad de falla del sistema por estas tres vas sera: P(CM1+CM2+CM3)=P(CM1)+P(CM2)+P(CM3)-P(CM1.CM2)-P(CM2.CM3)-P(CM1.CM3)+P(CM1.CM2.CM3) [3.3.2] En la expresin [3.3.2] se restan las combinaciones de CM de orden 2, pues de no hacerlo se estara considerando dos veces. Sin embargo, al restar estos tres trminos eliminamos completamente la contribucin CM1.CM2.CM3 que debe ser restituida adicionando el ltimo sumando. En el caso general de N conjuntos mnimos de corte, la probabilidad de falla del sistema viene dada por la siguiente expresin:
N i=1 N i=1 N N N

P( CMi)= P(CMi) -
N N

i=1 j=i+1

P(CMi) P(CMj) +

i=1 j=i+1 k=j+1 N i=1

P(CMi) P(CMj) P(CMk) - ...

+(-1)

N+1

P(CMi)

[3.3.3]

Para industrias de elevada confiabilidad y bajos niveles de riesgo, la expresin [3.3.3] puede simplificarse notablemente tomando en cuenta que la probabilidad de un CM es un valor mucho menor que 1, lo que se conoce como aproximacin de sucesos raros. Bajo estas condiciones, en la expresin [3.3.3] los trminos de segundo orden y superiores pueden ser despreciados frente al primer sumando que har la contribucin fundamental, con lo que se obtiene la expresin: N N [3.3.4] P( CMi)= P(CMi) i=1 i=1

Esto equivale a suponer que los CM son mutuamente excluyentes, es decir, que se considera sumamente improbable la ocurrencia simultnea de varios CM (la ocurrencia de un CM excluye la posibilidad de ocurrencia de cualquiera de los otros). Si comparamos las frmulas [3.3.3] y [3.3.4] es fcil comprobar que el valor dado por [3.3.4] sobrestima el valor real, por cuanto los trminos que se desprecian van siendo menores en la medida que aumenta su orden y los signos alternos comienzan precisamente con una resta. De esta forma, la contribucin que se elimina al pasar de [3.3.3] a [3.3.4] tiene signo negativo y conduce a una sobreestimacin de la probabilidad de falla en [3.3.4]. Esta es una ventaja de la expresin, pues al aplicarla sabemos que estamos siendo conservadores. Sin embargo, para aquellos casos en que las probabilidades de falla son elevadas y deja de cumplirse la aproximacin de sucesos raros la sobreestimacin puede ser considerable hasta el punto de obtenerse probabilidades de falla del sistema mayores que 1. Veamos a continuacin otra expresin para evaluar la probabilidad de falla del sistema. En este caso se parte del supuesto de que los CM son sucesos independientes, es decir, se asume que la ocurrencia de un CM no modifica la probabilidad de ocurrencia de los restantes. Esta suposicin resulta vlida cuando los sucesos bsicos son independientes y de baja probabilidad, pues cada CM contiene uno o varios componentes que lo diferencian del resto y bajo estas condiciones la modificacin de la probabilidad de un CM por la ocurrencia de otro resulta pequea. La frmula que se emplea en este caso sistema (Pf) es: N Pf= 1 - [ 1 - P(CMi) ] i=1 [3.3.5] para hallar la probabilidad de falla del

En esta expresin, el trmino 1- P(CMi) representa la probabilidad de que el conjunto mnimo CMi no ocurra. El producto de estos trminos para todos los CM desde 1 hasta N es la probabilidad de que no suceda ningn CM, suponiendo que ellos son

independientes, es decir, la probabilidad de que el sistema no falle. El complemento de este suceso tiene una probabilidad igual a 1 menos el valor anterior, y es precisamente la probabilidad de que tenga lugar al menos un CM, es decir, la probabilidad de que el sistema falle. Aunque la expresin [3.3.5] es ms compleja de evaluar y su aplicacin tambin est limitada a sucesos de baja probabilidad para que sea vlida la suposicin de independencia entre CM, tiene una ventaja sobre la frmula [3.3.4] y es que nunca da valores de probabilidad superiores a la unidad. Cuando la aproximacin de sucesos raros es vlida y se calcula por las expresiones [3.3.4] y [3.3.5] se observa una diferencia despreciable entre ambas, con valores ligeramente superiores al emplear [3.3.4]. Al dejar de cumplirse la aproximacin de sucesos raros los resultados de ambas expresiones comienzan a diferenciarse notablemente, pues mientras [3.3.4] crece de manera sostenida cuando aumentan las probabilidades de los conjuntos mnimos, [3.3.5] comienza a saturarse y tiende a uno. Hagamos seguidamente el anlisis cuantitativo de las fallas del sistema del ejemplo 3.1.1, a partir de los CM dados por [3.2.13] mediante las frmulas de clculo [3.3.4] y [3.3.5]. Para ello tendremos que hallar primeramente las probabilidades de falla de cada uno de los sucesos primarios, determinar seguidamente las probabilidades de cada uno de los CM, y, finalmente, la probabilidad de falla del sistema. - Probabilidades de falla de los sucesos primarios. Con excepcin del suceso primario E, que representa un error humano por la no actuacin a tiempo del operador, todos los modos de falla se considerarn en esta fase del anlisis como no controlables, es decir, que durante 1 ao de trabajo (aprox. T=8000h ) los componentes se explotan ininterrumpidamente entonces son sometidos a un mantenimiento anual que renueva sus propiedades y reduce la probabilidad de falla al valor inicial 0. 1) Tpn - Rotura del tanque a presin normal Modo de falla no controlado con rata de fallas 1E-8/h. Aplicando la expresin [2.4.4] y considerando T=8000h como el tiempo total de trabajo hasta que el sistema se somete a mantenimiento, as como tambin qad=0 y Tpr=0 se obtiene: qTpn = 1 - { 1 - EXP( -1E-8 x 8000 ) } / ( 1E-8 x 8000 ) = 4.00E-5 2) Va - No abre la vlvula de alivio del tanque Modo de falla no controlado, con rata de fallas 3E-4/h y T=8000h. De forma anloga al caso anterior, se obtiene: qVa = 1 - { 1 - EXP( -3E-4 x 8000 ) } / ( 3E-4 x 8000 ) = 6.21E-1

3) M - Manmetro del tanque trabado o indica por debajo Modo de falla no controlado, con rata de fallas 1E-5/h y T=8000h. De forma anloga a los casos anteriores, se obtiene: qM = 1 - { 1 - EXP( -1E-5 x 8000 ) } / ( 1E-5 x 8000 ) = 3.90E-2 4) E - El operador no responde ( error humano ) Probabilidad de falla fija, estimada en qE = 1E-2 5) R - Los contactos del "relay" fallan cerrados Modo de falla no controlado, con rata de fallas 2.7E-7/h y T=8000h. De forma anloga a los casos anteriores, se obtiene: qR = 1 - { 1 - EXP( -2.7E-7 x 8000 ) } / ( 2.7E-7 x 8000 ) = 1.08E-3 6) SC - Sobrecorriente en el circuito de potencia (falla causa comn que mantiene cerrados los contactos del "relay" y del interruptor I2) Modo de falla no controlado, con rata de fallas 1E-8/h y T=8000h. De forma anloga a los casos anteriores, se obtiene: qSC = 1 - { 1 - EXP( -1E-8 x 8000 ) } / ( 1E-8 x 8000 ) = 4.00E-5 7) T - Los contactos del "timer" fallan cerrados Modo de falla no controlado, con rata de fallas 1E-4/h y T=8000h. De forma anloga a los casos anteriores, se obtiene: qT = 1 - { 1 - EXP( -1E-4 x 8000 ) } / ( 1E-4 x 8000 ) = 3.12E-1 8) I1 - Los contactos del interruptor fallan cerrados Modo de falla no controlado , con rata de fallas 8E-6/h y T=8000h. De forma anloga a los casos anteriores, se obtiene: qI1 = 1 - { 1 - EXP( -8E-6 x 8000 ) } / ( 8E-6 x 8000 ) = 3.13E-2

9) I2 - Los contactos del interruptor fallan cerrados Modo de falla no controlable, con rata de fallas 8E-6/h y T=8000h. De forma anloga a los casos anteriores, se obtiene: qi2 = 1 - { 1 - EXP( -8E-6 x 8000 ) } / ( 8E-6 x 8000 ) = 3.13E-2 - Probabilidades de falla de los CM. De orden 1: 1 De orden 2: 1 De orden 3: 5 Tpn Va.SC Va.M.R Va.M.T Va.E.R Va.E.T Va.I2.R Va.I2.T.I1 4.00E-5 2.48E-5 2.61E-5 7.54E-3 6.70E-6 1.94E-3 2.10E-5 1.90E-4 9.78E-3

De orden 4: 1 Total :8

La probabilidad de falla del sistema mediante la expresin [3.3.4] es 9.78E-3/ao. Esto significa que el tiempo medio hasta la falla del tanque por sobrepresin es aproximadamente de 102 aos. Si se emplea la frmula [3.3.5], se obtiene un valor ligeramente inferior, 9.76E-3/ao. La concordancia de ambos resultados demuestra la aplicabilidad de la aproximacin de sucesos raros a este ejemplo. Como ya habamos expresado, el inters principal del anlisis radica en la evaluacin de los modos de falla mayores contribuyentes a la probabilidad de falla del sistema. Para esto resulta conveniente ordenar los CM segn su probabilidad de la siguiente forma: 1) Va.M.T 2) Va.E.T 3) Va.I2.T.I1 4) Tpn 5) Va.M.R 6) Va.SC 7) Va.I2.R 8) Va.E.R 7.54E-3 1.94E-3 1.90E-4 4.00E-5 2.61E-5 2.48E-5 2.10E-5 6.70E-6 9.78E-3 % 77.06 19.78 1.94 0.42 0.27 0.25 0.21 0.07 100.00 % Acum. 77.06 96.84 98.78 99.20 99.47 99.72 99.93 100.00

En estos resultados se aprecia como ms del 95% de las fallas del sistema se concentran en los 2 primeros CM. Como era de esperar, la falla de la vlvula de alivio, que aparece prcticamente en todos los CM es un suceso bsico clave para la falla del sistema. Sin embargo el CM #6, donde aparece la falla por sobrecorriente en el circuito de potencia, prcticamente no contribuye a la falla del sistema, a pesar de su condicin de falla causa comn. Esto se debe a su probabilidad de falla comparativamente menor que la de otros modos de falla del sistema. As pues, no siempre los CM de orden inferior son los mayores contribuyentes. A veces una secuencia ms compleja de varias fallas puede ser preponderante. En este ejemplo los CM de orden 1 y 2 aportan solamente un 0.67% de la probabilidad de falla del sistema, mientras que el nico CM de orden 4 aparece en la tercera posicin con un aporte de 1.94%. Es importante que notemos la importante contribucin que hace la falla de los contactos del "timer" a la apertura, que conjuntamente con la falla de la vlvula de alivio forma parte de los 3 CM ms importantes con un aporte del 98.78% de la probabilidad de falla total. El error humano por accin tarda del operador, aunque reviste cierta importancia pues forma parte del CM #2 que aporta el 19.78%, no constituye un foco de atencin vital para reducir la probabilidad de falla de este sistema. La va a seguir debe ser tratar de elevar la confiabilidad de la vlvula de alivio Va y del "timer" T. Una alternativa puede ser realizar una prueba mensual del estado de estos componentes para proceder al mantenimiento correctivo cuando la prueba detecte alguna insuficiencia. Realizando estas pruebas peridicas, slo a dichos componentes, podemos reducir sustancialmente la probabilidad de falla del sistema y el peligro de rotura del tanque. Bajo estas condiciones, se recalculan las probabilidades de falla de la vlvula de alivio y el tanque, mediante la frmula [2.4.14], con tiempo entre pruebas de 720 horas (1 mes) y despreciando la duracin de la prueba (=0). Dado que durante la prueba el sistema no est en operacin, as como tampoco durante el mantenimiento correctivo que se requiera, no se han considerado las contribuciones a la probabilidad de falla dadas por [2.4.10] y [2.4.12]. En este caso, el efecto de la prueba mensual es un corte de los mecanismos de falla de estos dos componentes cada 720 horas y no al cabo del ao de trabajo, con lo cual sus probabilidades de falla se reducen sustancialmente. Las nuevas probabilidades de falla son: 2) Va - No abre la vlvula de alivio del tanque Modo de falla controlado peridicamente, con rata de fallas 3E-4/h y tiempo entre pruebas de 720h. qVa = ( 3E-4 x 720 ) / 2 = 1.08E-1

7) T - Los contactos del "timer" fallan cerrados Modo de falla controlado peridicamente, con rata de fallas 1E-4/h y tiempo entre pruebas de 720h. De forma anloga al caso anterior, se obtiene: qT = ( 1E-4 x 720 ) / 2 = 3.60E-2 Los resultados de la evaluacin cuantitativa en estas nuevas condiciones son: % % Acum. 1) Va.M.T 1.51E-4 61.11 61.11 2) Tpn 4.00E-5 16.14 77.25 3) Va.E.T 3.89E-5 15.69 92.94 4) Va.M.R 4.54E-6 1.83 94.77 5) Va.SC 4.32E-6 1.74 96.82 6) Va.I2.T.I1 3.82E-6 1.54 98.06 7) Va.I2.R 3.65E-6 1.47 99.53 8) Va.E.R 1.17E-6 0.47 100.00 2.47E-4 100.00

El efecto de la prueba mensual de los 2 componentes seleccionados reduce la probabilidad de falla del sistema en ms de un orden. El nuevo valor de tiempo medio hasta la falla es ahora de 4049 aos. En la nueva estructura de contribuciones de los CM vemos que aunque las fallas de la vlvula de alivio y del "timer" continan siendo predominantes, su aporte relativo es menor. La falla del tanque a presin normal comienza a tener un aporte sustancial, lo que significa que la proteccin a la falla por sobrepresin se ha hecho ms efectiva. Otras posibles alternativas de mejora al sistema respecto a la variante inicial seran: - Usar componentes de mayor calidad y con menor rata de fallas. Por ejemplo, si empleamos un "timer" con rata de fallas inferior en un orden (1E-5/h), la probabilidad de falla de este componente se reduce a 3.90E-2 y la del sistema disminuye, consecuentemente, al valor 1.32E-3/ao. El tiempo medio hasta la falla para estas condiciones es de 758 aos. La nueva estructura de los CM es:

1) Va.M.T 2) Va.E.T 3) Tpn 4) Va.M.R 5) Va.SC 6) Va.I2.T.I1 7) Va.I2.R 8) Va.E.R

9.43E-4 2.42E-4 4.00E-5 2.61E-5 2.48E-5 2.37E-5 2.10E-5 6.70E-6 1.32E-3

% % Acum. 71.03 71.03 18.23 89.27 3.01 92.28 1.97 94.25 1.87 96.12 1.79 97.91 1.58 99.49 0.51 100.00 100.00

- Utilizar un "timer" redundante idntico en serie con el que ya aparece en el circuito. Esta mejora incorpora un nuevo componente y, por tanto, modifica tanto los datos de confiabilidad como la propia estructura del rbol de fallas. Donde antes apareca el suceso bsico T (los contactos del "timer" fallan cerrados), ahora se incluye en su lugar una compuerta AND cuyas entradas son la falla por contactos cerrados de los dos "timers" en serie T1 y T2. Bajo estas condiciones, es necesario realizar la evaluacin cualitativa del nuevo rbol de fallas y determinar sus CM. Sin embargo, dada la simplicidad de la modificacin realizada en este caso especfico, resulta evidente que los nuevos CM pueden obtenerse de forma sencilla, reemplazando el suceso bsico original T, por el suceso compuesto T1.T2, que representa la falla simultnea de los dos "timers" en serie. Finalmente, si realizamos la nueva evaluacin cuantitativa partiendo de que qT1 = qT2 = qT , se obtiene: % % Acum. 75.05 75.05 6.03E-4 19.27 94.32 1.89 96.21 1.28 97.49 2.61E-5 0.83 98.32 2.48E-5 0.79 99.12 2.10E-5 0.67 99.79 6.70E-6 0.21 100.00 3.13E-3 100.00 Esta modificacin incrementa la confiabilidad en algo ms de 3 veces. El nuevo tiempo medio hasta la falla es de aproximadamente 320 aos.

1) Va.M.T1.T2 2.35E-3 2) Va.E.T1.T2 3) Va.I1.I2.T1.T2 5.92E-5 4) Tpn 4.00E-5 5) Va.M.R 6) Va.SC 7) Va.I2.R 8) Va.E.R

Hemos podido apreciar en un ejemplo ilustrativo muy simple, como la tcnica de rboles de fallas constituye una herramienta muy til para fundamentar cuantitativamente la toma de decisiones en materia de confiabilidad y seguridad de sistemas, las cuales pueden ser modificaciones pequeas en el diseo o tipo de equipos utilizados, ajustes en la estrategia de pruebas y mantenimiento, etc., y, sin embargo, pueden tener un impacto significativo y cuantificable. Con este propsito el APS se ha ido estructurando y fortaleciendo con numerosos indicadores y tcnicas de anlisis que cuantifican la importancia de diversos factores del diseo y la explotacin . 3.4. Tcnica de rboles de sucesos. Veamos, por ltimo, un nuevo enfoque del proceso que tiene lugar en el ejemplo 3.1.1. Hasta ahora consideramos de forma deductiva, mediante la tcnica de rboles de fallas, todas las combinaciones de sucesos primarios que conducen al suceso tope no deseado, rotura del tanque en condiciones de carga normal o por sobrepresin. Si analizamos los sucesos primarios considerados, llegaremos a la conclusin de que estos pueden ser de dos tipos: Iniciadores: Fallas de equipo, errores humanos o sucesos externos que crean una condicin de peligro de dao al sistema y requieren la accin de medios protectores o acciones del operador para contrarrestarlos o mitigar sus efectos. Facilitadores: Fallas de equipo o errores humanos que facilitan el desarrollo de la avera, a partir del iniciador, hacia un estado final no deseado de dao al sistema, al inhabilitar las acciones protectoras previstas. En el ejemplo existen 3 posibles iniciadores de una avera que conduzca a la rotura del tanque por sobrepresin, que es el estado final no deseado. Ellos son: . R - Los contactos del "relay" fallan cerrados . SC - Sobrecorriente en el circuito de potencia . T - Los contactos del "timer" fallan cerrados Los facilitadores, que podran conducir a la rotura del tanque si ocurriera alguno de los iniciadores anteriores son: . Va - No abre la vlvula de alivio del tanque . M - Manmetro del tanque trabado o indica por debajo

. E - El operador no responde ( error humano ) . I1 - Los contactos del interruptor fallan cerrados . I2 - Los contactos del interruptor fallan cerrados El nuevo enfoque a que hacemos referencia, consiste en una tcnica de anlisis inductivo, denominada rbol de sucesos, que partiendo de un iniciador particular, determina las posibles vas conocidas como secuencias, que conducen al suceso final no deseado ms general, en el ejemplo, la rotura del tanque por sobrepresin. En la figura 3.4.1 se muestran los rboles de sucesos para cada uno de los 3 iniciadores posibles. Los encabezamientos del rbol de sucesos son funciones necesarias para la proteccin del tanque contra la rotura por sobrepresin, que implican el funcionamiento de componentes, equipos o el xito de determinadas acciones del operador. En ocasiones una funcin se desdobla en varias acciones o en la actuacin de varios sistemas, como ocurre en la figura 3.4.1 a), donde la funcin desconexin por el operador se ha desdoblado en dos actividades, la desconexin del circuito de potencia y la desconexin del circuito de control. Para las acciones o sistemas en el encabezamiento del rbol de sucesos se producen, cuando corresponde, bifurcaciones en dos caminos posibles, el xito que va conduciendo a un estado final seguro, o la falla, que nos lleva al estado final no deseado. El rbol de sucesos se va ramificando para dar lugar a un conjunto de secuencias, que se diferencian por la condicin de xito o falla de las funciones protectoras en cada caso.

En el rbol de sucesos se marcan con la letra D aquellas secuencias en que la combinacin de fallas de las funciones protectoras conducen al estado final no deseado (dao), mientras que con la letra E se sealan los estados finales exitosos. En el ejemplo, existe una sola secuencia de dao para cada rbol de sucesos, pues en las restantes secuencias se garantiza un estado final seguro del tanque. Sin embargo en los casos reales ms complejos, pueden ser varias las secuencias de dao en cada rbol de sucesos. Por otra parte, no siempre se produce la bifurcacin del rbol en cada sistema o accin protectora. En el rbol de sucesos de la figura 3.4.1 a) se aprecia como, por ejemplo, si tiene xito la interrupcin de la corriente en el circuito de potencia no se da ninguna alternativa para las restantes acciones protectoras (interrupcin de la corriente en el circuito de control y alivio de presin en el tanque), pues la primera ya garantiza la integridad del tanque y no se requieren otras acciones. Existen otros casos en que determinadas funciones son alternativas a la falla de una funcin anterior y slo se modelan opciones para ellas en los casos en que la funcin precedente no ha sido exitosa. Para hallar la probabilidad del suceso final no deseado, es preciso hallar las probabilidades de todas las secuencias que conducen al dao y sumarlas, teniendo en cuenta las contribuciones de todos los iniciadores posibles. La evaluacin de la probabilidad de cada secuencia se realiza formando el rbol de fallas de la secuencia, que une con una compuerta AND a todos los rboles de fallas de las acciones protectoras que no tienen xito en la secuencia. En la figura 3.4.2 se muestra el rbol de fallas de la secuencia que conduce al dao del tanque por sobrepresin, para el iniciador T - Los contactos del "timer" fallan cerrados. La nica modificacin con respecto al rbol de fallas de la figura 3.1.4 es que no se incluye el suceso primario sobrecorriente en el circuito de potencia SC como modo de falla del interruptor I2, porque SC es otro iniciador y la probabilidad de ocurrencia simultnea de dos iniciadores (en este caso T y SC) es despreciable.

Fig. 3.4.2. Arbol de fallas de la secuencia que conduce al dao del tanque por sobrepresin, para el iniciador T - Los contactos del "timer" fallan cerrados. Si realizamos la determinacin de los CM de la secuencia y el clculo de su probabilidad, llegaremos a los siguientes resultados: CM T.M.Va T.E.Va T.I1.I2.Va Total Prob. 7.54E-3 1.94E-3 1.90E-4 9.67E-3

Anlogamente, se determinan los CM y las probabilidades de las secuencias que producen el dao al tanque, para los restantes iniciadores. - Iniciador R - los contactos del "relay" fallan cerrados CM R.M.Va R.I2.Va R.E.Va Total Prob. 2.61E-5 2.10E-5 6.70E-6 5.38E-5

- Iniciador SC - sobrecorriente en el circuito de potencia CM SC.Va Total Prob. 2.48E-5 2.48E-5

La probabilidad de dao al tanque por sobrepresin puede hallarse como la suma de las probabilidades de dao para cada uno de los iniciadores posibles, teniendo en cuenta que stos se consideran sucesos mutuamente excluyentes. Finalmente, esta probabilidad de falla PTsp ser: PTsp = 9.67E-3 + 5.38E-5 + 2.48E-5 = 9.75E-3/ao. Se puede apreciar como estos resultados concuerdan con los obtenidos por la tcnica de rboles de fallas para el suceso no deseado rotura del tanque por sobrepresin, que excluye el suceso primario Tpn - Rotura del tanque a presin normal. Para el anlisis de industrias complejas no resulta conveniente, como se ha hecho en el ejemplo 3.1.1, construir un rbol de fallas nico, que incluya todos los sucesos primarios, tanto iniciadores como facilitadores, que se deducen del suceso tope no deseado. Esto resultara demasiado complejo y dificultara el anlisis. Lo ms conveniente es partir de un estudio denominado Anlisis de modos y efectos de fallas (FMEA en ingls, ver anexo C), para identificar los posibles sucesos iniciadores de avera en la industria y estimar su frecuencia de ocurrencia. Para cada uno de los iniciadores se desarrollan los rboles de sucesos que conducen a un estado final de dao, previamente definido de acuerdo con los objetivos del estudio y que puede ser solamente de carcter econmico o incluir adems posibles efectos nocivos sobre el personal de la industria y/o el medio ambiente. En los rboles de sucesos se modela el comportamiento de las funciones protectoras previstas en cada caso y se determinan las secuencias cuyo estado final es el dao. Para evaluar la probabilidad de fallas de las funciones protectoras se aplica entonces la tcnica de rboles de fallas, es decir, se realiza el anlisis de confiabilidad del sistema o los sistemas que cumplen cada funcin. Para estimar la frecuencia esperada de ocurrencia del estado final no deseado (dao), es necesario resolver grandes rboles de fallas para cada secuencia de dao, que resulta de la integracin de los rboles de fallas de los sistemas que no tienen xito en dicha secuencia.

Esta es la esencia del APS y, para obtener todas las ventajas que l puede ofrecernos, el camino a seguir es la construccin de un modelo integral de la industria, aplicando de forma combinada las tcnicas de rboles de sucesos y rboles de fallas. Las herramientas desarrolladas en el APS permiten cuantificar la importancia de sucesos bsicos, sistemas, secuencias accidentales y sucesos iniciadores de avera. Con esta valiosa informacin se pueden dirigir todos los esfuerzos a los puntos dbiles identificados con un nivel de integracin que abarca toda la industria y toma en cuenta las interrelaciones e interdependencias entre sistemas, componentes y acciones humanas.

IV. Aplicaciones de los anlisis de confiabilidad.

4.1. Anlisis de importancia y de sensibilidad.
4.1.1. Anlisis de importancia. Una de las aplicaciones de los anlisis probabilista de seguridad de mayor utilidad prctica, es la realizacin de los estudios de importancia. Estos tienen como objetivo determinar el aporte relativo de cada componente o sistema al riesgo (probabilidad del suceso no deseado) calculado desde el punto de vista del diseo, la operacin u otros aspectos. Este aporte se expresa de forma cuantitativa por medio de las medidas de importancia En general las medidas de importancia (conocidas ms de una decena en la literatura) evalan el impacto que un determinado factor tiene sobre el riesgo global. De manera genrica se expresa como:
Importancia del factor sobre el riesgo

Contribucin del factor al riesgo cambio del riesgo introducido por el factor

Aunque el concepto de indisponibilidad y su cuantificacin se aplican slo a componentes o sistemas a la espera, el trmino se acostumbra a usar para identificar diferentes tipos de anlisis, como por ejemplo al anlisis de indisponibilidad instantnea o media, que pueden conjugar regmenes de espera y operacin. Se utiliza comnmente adems en la definicin de las medidas de importancia, como veremos a continuacin. De modo general, tres de las medidas de importancia ms empleadas en estos anlisis, son : 4.1.1.1. Medida de importancia Fussel-Vesely. Esta medida de importancia, cuando se define para un componente dentro de un sistema, es la suma de las probabilidades de cada uno de los conjuntos mnimos donde est presente el componente, dividida entre la probabilidad total de falla del sistema de referencia, o sea, representa el aporte relativo de indisponibilidad de dicho componente a la indisponibilidad total del sistema. Esta medida de importancia es siempre menor que la unidad y se expresa como: FV = Qm

Qcmi

[4.1.1]

donde:

Qcmi
Qm

Suma de las probabilidades de los conjuntos mnimos donde se encuentra el componente i. Indisponibilidad media del sistema.

4.1.1.2. Medida de importancia de Reduccin del Riesgo. Esta medida de importancia da un criterio de cuanto puede disminuir el riesgo global, si el componente objeto del anlisis fuera perfecto, es decir que su probabilidad de falla es igual a cero. En el sistema ARCON se determina de dos formas: por la frmula del cociente y la frmula de la resta. De la primera frmula se obtienen siempre valores mayores que la unidad y su expresin es la probabilidad de falla del sistema dividida entre la probabilidad de falla del mismo con el componente completamente disponible ( estado perfecto o indisponibilidad del componente igual a cero), esto se expresa como: Qmedia RRW = Qmedia(Pi= 0) donde Qmedia(Pi=0) - Es la Qmedia con el componente i en perfecto estado. La segunda frmula (de la resta) se calcula mediante la diferencia entre la probabilidad de falla del sistema y la probabilidad de falla del mismo cuando la componente se encuentra en estado perfecto. Esto es: RRW = Qmedia - Qmedia(Pi=0) [4.1.3] [4.1.2]

Esta medida debe ser siempre mayor que cero. En el caso que sea igual a cero, significa que el componente objeto de anlisis no est presente en ninguno de los conjuntos mnimos del sistema. Cuanto menos aporte relativo tenga el componente en el sistema, menor ser el valor de la importancia. Esta medida de importancia proporciona una informacin muy til en el proceso de seleccin de los componentes y en el establecimiento de la configuracin de los sistemas durante la etapa de diseo, pues permite agrupar en un orden jerrquico el grupo de elementos cuya mejora aporta un beneficio sustancial en la disminucin del riesgo global de los sistemas analizados. 4.1.1.3. Medida de importancia de incremento del riesgo.

Esta medida de importancia da un criterio de cuanto puede aumentar el riesgo global, si el componente objeto de anlisis es totalmente imperfecto, o sea, suponiendo que su probabilidad de falla es igual 1. Las frmulas son las siguientes: cociente, [4.1.4]

Qmedia(Pi= 1) RAW = Qmedia resta, [4.1.5]

RAW = Qmedia(Pi=1) - Qmedia

Ambas expresiones son tiles para evaluar el aporte relativo de cada uno de los componentes por separado al incremento del riesgo de un sistema, partiendo de que estos componentes se encuentran fallados o fuera de servicio. En la prctica esta medida permite dirigir los esfuerzos hacia aquellos elementos de mayor impacto sobre el riesgo (indisponibilidad) durante la actividad de explotacin. 4.1.1.4. Estudios de Priorizacin. Dentro del amplio espectro de aplicaciones de APS, los estudios de priorizacin constituyen una de las herramientas prcticas que ms utilidad reportan en el aumento de la disponibilidad operacional de instalaciones industriales. Los procedimientos de priorizacin se basan en: - Contribucin de conjuntos mnimos. - Medidas de importancia de riesgo. Los estudios de priorizacin basados en importancia constituyen una aplicacin particular de los anlisis de importancia. La caracterstica distintiva de los anlisis de importancia habitualmente realizados por otros sistemas en el mundo es que el ordenamiento de los contribuyentes segn su importancia se realiza sin tener en cuenta ningn atributo, por lo que resulta imposible identificar el aporte de determinados modelos, parmetros u otras caractersticas especficas (tiempo entre pruebas, tiempo permisible fuera de servicio, mantenimientos, tipo de componente, etc) a la frecuencia del suceso no deseado o a la indisponibilidad operacional de la instalacin. Cuando se realizan estudios de priorizacin es posible determinar claramente la influencia sobre la frecuencia del suceso no deseado o la indisponibilidad operacional de la instalacin, del atributo escogido como parmetro para realizar la priorizacin. Para la implementacin de los estudios de priorizacin por importancia se han desarrollado

determinados procedimientos segn el atributo seleccionado para el mismo. Estos atributos son: Tiempo entre pruebas. Mantenimiento. Modelo de componente. Tiempo permisible fuera de servicio (AOT). Sin atributo.

Cuando se realiza un estudio de priorizacin dado con el objetivo de identificar la contribucin de algn atributo (tiempo entre pruebas, AOT y otros ) a la indisponibilidad del sistema, es indispensable realizar una seleccin de los componentes, que por su influencia en el atributo deben ser incluidos en el anlisis y separar dentro de los modelos de clculo de cada componente, aquellos trminos relacionados con el atributo en cuestin. En los estudios tradicionales de APS, la modelacin de los componentes-modos de fallas se realiza explcitamente, es decir estn separados los contribuyentes que representan indisponibilidad durante las pruebas, fallas ocultas y mantenimientos correc-tivos . Este aspecto, aunque simplifica los estudios por parmetros medios, complica la ejecucin de estudios de indispo-nibilidad instantnea, ya que se pierde la continuidad de la funcin que describe la indisponibilidad de un componente en el que se conjuguen todas estas caractersticas de fallas. Esto significa, que en los estudios de priorizacin generalmente realizados, basta con seleccionar para los anlisis aquellos componentes, cuyas caractersticas corresponden al atributo por el que se prioriza; mientras que en ARCON, adicionalmente a lo anterior, el sistema realiza (de forma automtica) la seleccin en el modelo de indisponibilidad media de los componentes sujetos a priorizacin de los trminos que corresponden al atributo en cuestin. El significado de esta afirmacin se explica detalladamente para cada caso en la siguiente tabla:

Priorizacin por Tiempo entre pruebas

Elementos a tener en cuenta y trminos de la frmula que se consideran Se realiza slo para elementos probados peridicamente (Tipo 4 segn ARCON). Se tiene en cuenta el trmino de la frmula Qcomp=Pnt(/Tp) (ver [2.4.10]) , que es el aporte de las pruebas a la Qmedia. La priorizacin se realiza por RRW, yaque la misma expresar en este caso cuanto disminuye el riesgo cuando se logra reducir a cero la indisponibidad durante la prueba (prueba perfecta). La frmula de la RRW en este caso es idntica a la frmula de la resta ya explicada y slo se tienen en cuenta los parmetros: Qmedia del sistema - Qmedia de los CM con componentes tipo 4, considerando para la Qcomp. slo el trmino de la frmula anteriormente explicado. Qmedia(Pi=0) - Qmedia del sistema,explicada en este aspecto pero considerando probabilidad cero para el componente i tipo 4.

Mantenimiento

Slo se consideran los elementos que se afectan con los mantenimientos. Para ARCON son los tipos 3, 4 y 6. En cada caso los trminos que se tienen en cuenta son: R Tipo 3 Qcomp = R + Tipo 4 (ver [2.4.7])

Qcomp= q = 1/2 Rdet*(Tp-)+ +Rdet(Tr+Phe(Tp--Tr) +1-(1/RnoT)(1-EXP(-RnoT)) (ver [2.4.15]) + qad

donde: Rdet=(1-Inef).R;Rno=Inef.R; Phe=Phet+(1-Phet)Phem

Tipo 6 Qcomp= m/Tm La priorizacin se realiza por la medida RRW. Para los componentes tipo3 y 4 la RRW indica en cuanto se reduce el riesgo de realizarse un efectivo mantenimiento en los componentes analizados que fuera capaz de llevar su indisponibilidad a cero. Para los componentes tipo 6 la RRW representa la reduccin de riesgo que se lograr si se redujera a cero la indisponibilidad del componente Los aspectos sobre el clculo de la Qmedia y de la RRW siguen las mismas reglas anteriores pero adaptadas a es-tos tipos de componentes. Tiempo permisible fuera de servicio En este caso slo se consideran los elementos con (AOT) posibilidad de salir fuera de servicio de acuerdo a las especificaciones tcnicas de la instalacin. Para ARCON estos son los tipos 4 y los tipos 1 y 3 que el usuario considere necesario y a los cuales ha asignado un valor de AOT en la base de datos. La medida seleccionada para priorizacin es la RAW, que significa cuanto se incrementa el riesgo cuando el componente est fuera de servicio. El valor RAW se calcula tal como se plantea en la frmula [4.1.5]. La priorizacin sin atributo como su nombre indica se realiza sin ninguna eliminacin de tipos de componentes. Se priorizan las contribuciones partiendo de la medida RRW que se calcula de acuerdo a la frmula [4.1.3] . En este caso la priorizacin se realiza atendiendo al impacto global que tiene cada componente sobre la reduccin del riesgo, sin separar las contribuciones debidas a uno u otro factor. Para priorizacin por modelo de componente se puede utilizar el campo sistema, s dentro del mismo se ha hecho la descripcin del modelo de componente. Como modelo se entiende vlvula elctrica, neumtica, bomba elctrica, diesel y otros. Esta priorizacin se basa tambin en la RRW de cada componente. Esta opcin en ARCON se encuentra en desarrollo. En dependencia de la resolucin de la base de datos, estos anlisis se pueden llevar hasta el nivel de priorizacin de componentes segn el diseo y/o fabricante de los mismos

Sin atributo

Por modelo de componente

Cuando se realiza un estudio de priorizacin a partir de determinado atributo especfico, el clculo de la medida de importancia a utilizar se adeca al atributo objeto de priorizacin.

Cuando se trata de realizar un estudio de priorizacin la posibilidad de su ejecucin es simple, si se parte del hecho de que los procedimientos estn elaborados correctamente. Lo novedoso en este caso resulta la implementacin de los estudios de priorizacin por importancia, directamente dentro de un sistema de APS combinado con todas las posibilidades que caracterizan al sistema ARCON ( anlisis de indisponibilidad media e instantnea, anlisis de sensibilidad, ,puntos aislados del tiempo, etc ). Los estudios de priorizacin por importancia, que se han previsto dentro del sistema ARCON como una opcin particular del Anlisis de Importancia, fueron enumerados en el desarrollo de este aspecto. Las ventajas que reporta el anlisis dentro del sistema son evidentes: 1. Realizacin de los estudios de priorizacin utilizando el sistema directamente y documentacin inmediata de estos resultados con los listados, segn se establece en los procedimientos de priorizacin de los mayores y menores contribuyentes al impacto al riesgo. 2. Ensayar posibles medidas de reduccin de la contribucin al impacto al riesgo de los mayores contribuyentes cambiando las bases de datos y realizando nuevos estudios de priorizacin. 3. Combinar los estudios de priorizacin con otras potencialidades existentes en el sistema, como anlisis de sensibilidad lo que contribuye a la optimizacin de los parmetros ms sensibles de los componentes prioritarios. Para culminar el desarrollo de este epgrafe se presenta una tabla de priorizacin de contribuyentes tomando como atributo el tiempo entre pruebas, obtenida con el sistema ARCON, para un sistema tecnolgico de seguridad. En estudios de priorizacin al nivel de parte o de todo el APS o de estudios de disponibilidad de planta, se observan diferencias notables entre los mayores y menores contribuyentes, lo que permite categorizarlos por grupos de impacto al riesgo. Este anlisis realizado, a los niveles anteriormente mencionados, permite descartar los contribuyentes de menor impacto de acuerdo al atributo utilizado durante la priorizacin y centrar la atencin en los mayores contribuyentes. A continuacin se presenta una tabla de priorizacin por tiempo entre pruebas para un sistema de seguridad de una Central Nuclear.

38 12 20 5 27 45 6 28

COMPONENTES LF-TH23S01-O LF-TH43S01-O LF-TH63S01-O LF-TH21D01-S LF-TH41D01-S LF-TH61D01-S LF-TH20S04-O LF-TH40S04-O

RRW 9.69E-6 9.69E-6 9.69E-6 8.60E-6 8.60E-6 8.60E-6 1.84E-7 1.84E-7

% 17.33 17.33 17.33 15.38 15.38 15.38 0.33 0.33

RRW 9.96E-6 1.93E-5 2.90E-5 3.76E-5 4.62E-5 5.48E-5 5.50E-5 5.52E-5

%Acum 17.33 34.66 51.99 67.38 82.76 98.14 98.47 98.80

Tabla 4.1.1. Priorizacion por tiempo entre pruebas.

4.1.2. Anlisis de Sensibilidad por indisponibilidad media. Los anlisis de sensibilidad tienen como propsito conocer la influencia de determinado parmetro, variables o combinaciones de estas en la indisponibilidad final de los sistemas. Para que estos anlisis tengan un resultado apreciable, deben realizarse a los componentes que ms contribuyen a la indisponibilidad total de los sistemas, cuestin que se logra dirigiendo los estudios a los componentes ms importantes, obtenidos de los anlisis de importancia. El tipo de anlisis de sensibilidad debe corresponder con el tipo de estudio de importancia realizado, con vista a lograr el resultado esperado. El sistema ARCON brinda la posibilidad de realizar diferentes estudios de sensibilidad, utilizando los modelos de indisponibilidad media de componentes. Como variables de entrada se identifican: Probabilidad de falla fija. Rata de falla. Tiempo de reparacin. Duracin de las pruebas/ mantenimientos. Tiempo entre pruebas/ mantenimientos.

La forma de preparacin del estudio de sensibilidad, parte de la asignacin de las variables estudiada y parmetro, as como de los componentes afectados en cada caso. En el caso ms complejo, el resultado del estudio de sensibilidad es una grfica de una familia de curvas cuyas caractersticas son: 1- En el eje de las abcisas se ubica la variable estudiada.

2- En el eje de las ordenadas se ubica el parmetro de fiabilidad que se estudia (Indisponibilidad a la demanda, probabilidad de falla en operacin, probabilidad de no cumplimiento de la funcin de seguridad). 3- Cada una de las curvas de sensibilidad representa un valor de la variable parmetro. Estos estudios permiten encontrar los valores ptimos de los parmetros que son objetos de anlisis y tomar decisiones al respecto. Sin embargo, los estudios de sensibilidad, utilizando los modelos de indisponibilidad media de componentes, estn limitados en su alcance y por el nmero de parmetros que pueden ser analizados. En el ejemplo de la figura 4.1.1 se muestra un estudio de sensibilidad donde se analiza el comportamiento de un sistema, integrado por trenes redundantes, ante mejoras del equipamiento (variacin de las ratas de fallas), junto con la influencia que produce los cambios de los tiempos entre pruebas de sus trenes. Se aprecia que existe una variacin significativa de los valores de indisponibilidad en funcin del tiempo entre pruebas, as como tambin de la variacin de las ratas de fallas. De esta curva es posible deducir el parmetro ptimo, para el tiempo entre pruebas de este sistema.

Fig. 4.1.1. Estudio de sensibilidad del comportamiento de la variacin de la rata de fallas ( variable parmetro ) y la variacin de los tiempos entre pruebas (variable estudiada) en un sistema con trenes redundantes.

Para analizar el comportamiento de la variacin de estos y otros parmetros (por ejemplo, ineficiencia de las pruebas, envejecimiento debido a pruebas, escalonamiento de pruebas y mantenimientos, etc.), estos estudios deben realizarse sobre la base de modelos de indisponibilidad instantnea, que ofrecen un resultado ms realista e integral sobre el comportamiento temporal y medio de la indisponibilidad del sistema.

4.2. Anlisis de Indisponibilidad Instantnea.

Los anlisis de indisponibilidad sobre la base de modelos de indisponibilidad instantnea, describen el comportamiento de los valores de indisponibilidad de un sistema en cada instante de tiempo. En la mayora de los casos, la distribucin de los valores de indisponibilidad, en los estudios reales de sistemas, est acompaada de grandes variaciones y discontinuidades que provocan saltos muy bruscos del comportamiento de esta funcin en el tiempo. Por esta razn, la representacin grfica de los valores de indisponibilidad, resulta una forma muy efectiva, y en algunos casos nica, de conocer el comportamiento de determinado parmetro en el tiempo. Para una mejor apreciacin de los resultados, estos se grafican en escala semilogartmica. La distribucin de los valores de indisponibilidad se realiza en escala logartmica en el eje "Y", mientras que los valores de la variable del tiempo en el eje "X" con escala lineal. Los anlisis de indisponibilidad instantnea exigen usualmente un gran consumo de tiempo de clculo, debido a la necesidad de determinar punto a punto los valores de indisponibilidad en el tiempo. La duracin de este proceso depende, en gran medida, de la dimensiones (cantidad de eventos bsicos) y complejidad (configuracin e interdependencia) de los sistemas analizados y de los mtodos de clculos empleados. Por esta razn, son poco frecuentes los estudios de confiabilidad basados en indisponibilidad instantnea, siendo ms generalizada esta aplicacin a estudios de sistemas aislados. La mayora de los sistemas de APS en uso, se limitan a evaluaciones de indisponibilidades medias a partir de la indisponibilidades medias de los componentes, donde la razn fundamental, como es conocido, es que estos son ms rpidos, pues requieren la evaluacin de los CM una sola vez. Sin embargo, los anlisis de indisponibilidad instantnea aportan una informacin ms completa sobre las caractersticas de diseo, operacin, pruebas y mantenimiento de los sistemas, que permite dirigir los esfuerzos de una manera ms eficaz sobre las reas sensibles de los sistemas ms importantes resultantes del APS. En ARCON, el clculo de los valores de indisponibilidad instantnea se realiza aplicando el concepto de reduccin booleana dinmica, que se introduce a partir de una nueva tcnica en la teora de generacin y clculo de los CM. La reduccin booleana dinmica consiste en el reajuste dinmico, partiendo de una forma novedosa de determinacin y almacenamiento de los CM del rbol de fallas original y de la eliminacin total de los contribuyentes ilegales ms importantes (supersets) que surgen en el proceso evaluativo. El fichero de los CM obtenido inicialmente, mantiene toda la informacin necesaria, para realizar, en la medida que exista un cambio de la

configuracin, la actualizacin de los CM del sistema, sin necesidad de recurrir a una nueva generacin de los CM del rbol de fallas correspondiente a la nueva configuracin. Esta situacin se presenta cuando se realizan pruebas o mantenimientos que sacan completamente fuera de servicio a componentes o grupos de componentes. Bajo estas condiciones existe certeza sobre la condicin de algunos componentes que estn completamente indisponibles y ello reduce el nmero de CM de falla del sistema en ese instante. El resultado obtenido consiste en la posibilidad de reconfigurar dinmicamente los CM del sistema en dependencia de su estado operativo, partiendo del rbol de fallas genrico original, sin necesidad de reconfigurar el rbol y resolverlo para cada estado. Aunque el problema es conocido, no ha sido posible realizar estas reevaluaciones de forma dinmica debido al gran volumen de clculo que representan y la prctica internacional es calcular siempre todos los CM del rbol original aunque esto conduzca a una sobreestimacin del resultado. La generacin de los CM de rboles de fallas suele ser en muchos casos un proceso para el que se requiere un gran tiempo de mquina, por lo que su realizacin de forma repetida, es una tarea que en la prctica sera ineficiente y poco competitiva. La reduccin booleana dinmica permite dar respuesta con efectividad a este problema y como consecuencia la obtencin de una informacin ms real del comportamiento de los sistemas analizados, que es el objetivo final de estos estudios. Se demuestra que los clculos tradicionales por parmetros medios e instantneos (sin reduccin booleana dinmica), bajo las mismas condiciones de partida sobrevaloran el comportamiento de la indisponibilidad del sistema, y en algunos casos distorsiona tambin el comportamiento real de determinados parmetros de fiabilidad. En particular, con respecto a los valores de indisponibilidad media estos pueden llegar a una sobreestimacin de un 30-40 %, e incluso mayor. 4.2.1. Parmetros que describen el comportamiento de las curvas de indisponibilidad instantnea. Existen dos parmetros significativos en los anlisis tradicionales de indisponibilidad instantnea, que de cierto modo, permiten conocer el comportamiento de los sistemas e incluso compararlos con otros. Estos son: - Indisponibilidad Media: El valor de la indisponibilidad media a partir de los valores instantneos de indisponibilidad se determina por la integral de la distribucin de los valores de indisponibilidad en funcin del tiempo, en el intervalo de observacin (o sea, rea bajo la curva) entre el tiempo total de observacin. De forma anlitica: Qmed = 1 T q(t )dt T o

donde: q(t) - funcin de indisponibilidad instantnea. Ttiempo de observacin. - Indisponibilidad mxima: El valor mximo que alcanza la indisponibilidad en un instante de tiempo, dentro del intervalo de observacin. Qmax= q(t1) q(t1) - funcin de indisponibilidad instantnea. t1 - tiempo donde se obtiene el valor mximo de indisponibilidad. Junto a estos, hay otro grupo de parmetros especficos de componentes, definidos en el epgrafe 2.4 (tiempo entre prueba, tiempo de duracin de las pruebas-mantenimiento, tiempo permisible con el componente fuera de servicio, tiempo hasta la primera pruebamantenimiento, tiempo de reparacin y otros), cuyo comportamiento aproximado se refleja en las curvas de indisponibilidad instantnea, brindando adems una informacin muy til para el anlisis detallado del sistema. NUEVOS CONCEPTOS APLICADOS AL ANLISIS DE INDISPONIBILIDAD INSTANTNEA. No obstante, la complejidad de los anlisis de indisponibilidad instantnea ha exigido la adopcin de nuevos conceptos que permitan abarcar las interioridades derivadas del comportamiento temporal de la indisponibilidad de los sistemas. Estos conceptos han demostrando su mayor utilidad en los casos de los anlisis comparativos entre sistemas de muy alta complejidad y con indisponibilidad media similar, en los que este ltimo indicador no permite la seleccin del sistema, integralmente ms adecuado, desde el punto de vista de la confiabilidad. Otra aplicacin muy til de estos conceptos es la comparacin de la indisponibilidad de sistemas con respecto a metas de fiabilidad especficas. Una de las utilidades de mayor importancia, de los indicadores derivados de este grupo de conceptos (vulnerabilidad, distribucin, homogeneidad y contribucin), es que permite identificar los contribuyentes predominantes entre los modos de falla posibles en el sistema. Estos nuevos conceptos (o indicadores), aplicados al anlisis de indisponibilidad instantnea, se exponen a continuacin: - Vulnerabilidad VN ( Concepto
introducido por J. Npoles, coautor del sistema ARCON)..

Es el tiempo transcurrido expresado en horas totales acumuladas de indisponibilidad de un sistema, cuando el valor de indisponibilidad del sistema sobrepasa una meta cuantitativa de indisponibilidad dada. O sea, es el tiempo que un sistema es "vulnerable" al valor establecido en una meta dada.

- Distribucin NRS

(Concepto introducido por J. Npoles, J. Rivero y J. Salomn autores del sistema ARCON.)

La distribucin representa el valor de la suma de las reas de indisponibilidad en los intervalos de tiempo en que el sistema es vulnerable a una meta dada. El grfico de distribucin representa entonces el comportamiento de la distribucin en funcin de la vulnerabilidad del sistema. - Homogeneidad. Es un indicador que caracteriza el nivel de aplanamiento del grfico de indisponibilidad instantnea del sistema. Se calcula como la razn, expresada en por ciento, de la vulnerabilidad del sistema evaluada en el punto donde el indicador de distribucin NRS es igual al valor medio de indisponibilidad del sistema entre el periodo total de observacin. - Contribucin NRS. La contribucin es la suma de las razones de las reas de indisponibilidad del sistema sobre el rea total para determinada meta cuantitativa. Solamente se alcanza el valor del rea total de indisponibilidad del sistema cuando la meta cuantitativa es cero. El grfico de contribucin representa este indicador en funcin de la vulnerabilidad del sistema. En este grfico se representa el valor de indisponibilidad media del sistema, que es el valor mximo terico que puede alcanzar este indicador. En la figura 4.2.1 se muestra el estudio de indisponibilidad instantnea del ejemplo 3.1.1. El comportamiento esperado, est representado por el crecimiento exponencial de la indisponibilidad del sistema durante todo el tiempo de observacin.

Fig. 4.2.1. Estudio de indisponibilidad instantnea para el caso base del ejemplo 3.1.1.

4.2.2. Anlisis de sensibilidad por indisponibilidad instantnea. Estos anlisis, en comparacin con los anlisis de sensibilidad a partir de las indisponibilidades medias de los componentes, abarcan un mayor nmero de parmetros de fiabilidad y permiten, adems, obtener una informacin ms completa sobre la contribucin relativa de los propios parmetros en la indisponibilidad del sistema. Por ejemplo, el anlisis de la influencia del escalonamiento de las pruebas y los mantenimientos es un tipo de estudio de sensibilidad que solamente se puede hacer sobre la base de modelos de indisponibilidad instantnea. Un ejemplo, de aplicacin prctica de estos anlisis, se muestra en el grfico comparativo del propio ejemplo 3.1.1 (ver fig. 4.2.2), donde se analiza la variante de pruebas concentradas (timer y vlvula de alivio probados juntos cada 720 horas) contra la variante de pruebas distribuidas (igual perodo de pruebas, pero con desplazamiento de 360 horas entre ambos elementos). El resultado del estudio demuestra, de manera inobjetable, la influencia del desplazamiento de las pruebas en la variacin de la indisponibilidad del sistema. La variacin obtenida representa una disminucin de un 32 % del valor medio de la indisponibilidad del sistema, cuestin que no se revelara si este estudio de indisponibilidad se realizara a partir de indisponibilidades medias de componentes.

Fig. 4.2.2. Grfico comparativo entre las variantes de pruebas concentradas y distribuidas del ejemplo 3.1.1. Otras variantes de aplicacin, tomando como ejemplo 3.1.1, se presentan en las fig. 4.2.3 y 4.2.4.

En el primer caso, se compara el caso base con respecto a otra variante con introduccin de una mejora o cambio de equipamiento en la vlvula de alivio, siendo la variacin de la rata de fallas, el parmetro que representa esta modificacin.

Fig. 4.2.3. Grfico comparativo entre dos variantes del estudio 3.1.1, caso base y variante con cambio o mejora de la vlvula de alivio del sistema. Valor inicial de la rata de fallas (caso base), valor modificado (variante de cambio o mejora). En el segundo caso, la comparacin se realiza contra un ejemplo donde se modifica la configuracin del sistema. Esta consiste en la adicin de un segundo timer con idntica funcin. En este caso, es necesario variar el rbol de fallas del sistema, as como agregar un elemento en la base de datos de confiabilidad. En cada uno de estos ejemplos, resulta fcil reconocer la caracterstica del comportamiento de cada parmetro de fiabilidad en el sistema, as como diferenciar de manera simple, un caso con respecto a otro. En este aspecto, la forma de la curva, tiene el peso fundamental en la informacin que se brinda en el grfico de indisponibilidades instantneas, y de aqu su utilidad en los estudios comparativos.

Fig. 4.2.4. Grfico comparativo entre caso base y variante con dos timer.

El anlisis de la influencia de la estrategia de las pruebas y mantenimientos, en la actividad de planificacin para garantizar ndices elevados de confiabilidad y seguridad, es una aplicacin de extrema importancia. Slo mediante la aplicacin de estos estudios es posible conocer el comportamiento temporal de estos ndices de confiabilidad y seguridad de la instalacin, en dependencia del comportamiento de la estrategia de pruebas y mantenimientos. Durante la modelacin de la indisponibilidad instantnea de un sistema se presentan peridicamente puntos donde, como consecuencia de la salida de servicio de determinados equipos, se pueden alcanzar configuraciones crticas o cercanas a las mismas. La explicacin detallada del control de configuracin (control de configuraciones crticas y mantenimientos simultneos), as como la utilizacin de la indisponibilidad instantnea para el desarrollo de estas y otras aplicaciones de APS se abordan en el captulo V.

Fig. 4.2.5. Estudio de indisponibilidad instantnea del ejemplo 3.1.1 del caso base con pruebas concentradas. En la figura 4.2.6 se muestra la curva de comportamiento de la distribucin NRS y el valor de homogeneidad correspondiente al estudio de instantnea del ejemplo 3.1.1 para la variante de pruebas concentradas, que se presenta en la figura 4.2.5. En la figura 4.2.8 se muestra la curva de comportamiento de la distribucin NRS y valor de homogeneidad correspondiente al estudio de instantnea del ejemplo 3.1.1 para la variante de pruebas distribuidas, que se presenta en la figura 4.2.7. En este ltimo caso, al comparar la curva de distribucin y la homogeneidad con la variante anterior, se observa la tendencia al aplanamiento de dicha curva, as como un aumento del valor de homogeneidad,

resultado que concuerda con el comportamiento esperado. En la figuras 4.2.9 y 4.2.10 se presentan los grficos de contribucin NRS de cada caso respectivamente.

Fig. 4.2.6. Curva de distribucin NRS del ejemplo 3.1.1 con las pruebas concentradas.

Fig. 4.2.7. Estudio de indisponibilidad instantnea del ejemplo 3.1.1, con las pruebas distribuidas.

Fig. 4.2.8. Curva de distribucin NRS del ejemplo 3.1.1 con las pruebas distribuidas.

Fig. 4.2.9. Curva de contribucin NRS del ejemplo 3.1.1 con las pruebas concentradas.

Fig. 4.2.10. Curva de contribucin NRS del ejemplo 3.1.1 con las pruebas distribuidas. En el grfico de la figura 4.2.11 se muestra el valor hallado del tiempo de vulnerabilidad, en dependencia de una meta especfica, introducida a manera de ejemplo en el grfico de pruebas distribuidas del ejemplo 3.1.1.

Fig. 4.2.11. Representacin del tiempo de vulnerabilidad (TV=1264 horas) en funcin de una meta de Qsist= 4.11e-04, en el grfico de pruebas distribuidas del ejemplo 3.1.1.

Teniendo en cuenta que en los ejemplos analizados las diferencias entre los valores de las Qmedia obtenidas es notable, no es posible demostrar la aplicabilidad de estos indicadores para realizar comparaciones de sistemas en base a su confiabilidad. En el captulo VI se desarrolla en detalle un ejemplo prctico donde se demuestra esta potencialidad.

Fig. 4.2.12. Grfico de indisponibilidad instantnea correspondiente al trabajo de una instalacin con la utilizacin de una estrategia de pruebas incorrecta. En el ejemplo del grfico de la indisponibilidad instantnea de la figura 4.2.12 se muestra el comportamiento de una instalacin conformada por varios sistemas, con diferentes estrategias de pruebas y mantenimientos. Como se muestra en la curva, a las 7201 horas de trabajo, la instalacin alcanza un valor de indisponibilidad igual 1, lo que significara, la salida de servicio de la misma. La causa de esta salida de servicio sera, como se demuestra en anlisis ulteriores en puntos aislados del tiempo, el establecimiento de un programa incorrecto de pruebas para los sistemas de dicha instalacin. En este caso se observa que el grfico de indisponibilidad instantnea puede ser tambin una herramienta de pronstico.

4.2.3. Anlisis en puntos aislados del tiempo. Este tipo de estudio es de gran utilidad, pues a partir de los resultados de los estudios de instantnea, es posible analizar el comportamiento de la indisponibilidad del sistema en una zona especfica de inters. La necesidad del estudio de estas zonas puede estar motivada por diferentes causas, por ejemplo, comportamientos anmalos (por asimetras no esperadas) del sistema, precisin de los valores de indisponibilidad en zonas de salto (puntos de inflexin) y zonas de valores interpolados, conocimiento del comportamiento del sistema en perodos de pruebas y mantenimientos, etc. Los estudios de importancia de conjuntos mnimos e importancia de componentes en puntos aislados del tiempo, constituyen opciones poderosas implementadas tambin, en el sistema ARCON. Estas permiten la evaluacin en puntos aislados del tiempo, de los contribuyentes que ms aportan al valor de indisponibilidad y por tanto al riesgo, as como facilitan la identificacin de las combinaciones ms importantes y susceptibles a formar posibles configuraciones crticas o de inters por la informacin intrnseca que poseen. Por ejemplo, en la tabla 4.2.1 se presenta un listado reducido del estudio de importancia de conjuntos mnimos ms importantes realizado en un punto aislado del tiempo (7201 horas), con vista a la determinacin de las combinaciones mnimas que ms aportan, en el momento en que la indisponibilidad instantnea se hace igual a 1, de acuerdo al comportamiento de la curva de indisponibilidad instantnea de la figura 4.2.12. Como se observa en esta tabla, es posible pronosticar un conjunto mnimo de orden 3 que provoca la falla de la instalacin, ya que en ese preciso instante de tiempo, cada uno de los elementos (sistemas) que lo conforman (SISTE-A01,SISTE-A02 y SISTEA03) se encuentran indisponibles por pruebas. Esta conclusin final se obtiene del anlisis de la base de datos de fiabilidad de los componentes de dicha instalacin. Conjuntos Mnimos ms probables TCalc=7201 Prob. 1) SISTE-A01*SISTE-A02*SISTE-A03 2) TRESERVSB 3) DIESEL1SB*DIESEL2SB*TQ30W01SB 4) DIESEL1SB*DIESEL2SB*TQ33S04 5) DIESEL1SB*DIESEL2SB*TQ33D01SB 6) DIESEL1SB*DIESEL2SB*DIESEL3SB 7) DIESEL1SB*DIESEL2SB*TQ30S02 1 7.18E-03 9.72E-04 9.72E-04 9.72E-04 9.72E-04 9.72E-04 % 100.00 Acum. 100.00 -

Tabla 4.2.1. Listado de CM ms importantes en T=7201

V. Anlisis de confiabilidad enfocados a la toma de decisiones.

La optimizacin de la explotacin, es una tarea que exige la optimizacin individual y conjunta de las actividades ms relevantes que intervienen en esta, durante toda la vida til de la instalacin. El aumento del conocimiento de las interioridades del APS ha implicado tambin un aumento en el uso prctico de sus resultados. Este cambio ha ido convirtiendo el APS en una herramienta dinmica cuyos resultados se aplican normalmente en la industria de alto riesgo para la toma de decisiones. Aunque el campo de aplicaciones de los APS tiene un espectro amplio, debido a los objetivos de este curso, se hace nfasis en sus aplicaciones dirigidas al mantenimiento. Dentro de la explotacin, la optimizacin de la actividad de mantenimiento, ocupa un lugar importante para el logro de este objetivo, pues la garanta de una elevada disponibilidad y seguridad en la explotacin de una instalacin depende en gran medida de la existencia de un servicio de mantenimiento eficiente. En la optimizacin de la actividad de mantenimiento, es de gran importancia el conocimiento y el pronstico del comportamiento de los ndices de fiabilidad y seguridad en funcin del tiempo, el control de configuracin (control de mantenimientos simultneos y de configuraciones crticas), el seguimiento de las variaciones de uno o ms parmetros de fiabilidad sobre los sistemas y elementos de la instalacin (escalonamiento y duracin de las pruebas y mantenimientos, ineficiencia de la pruebas, los tiempos entre pruebas y su conjugacin con el proceso de degradacin del equipamiento y otros parmetros), y en general, otras actividades que se enmarcan como "Aplicaciones de los APS dirigidas al mantenimiento". Algunas de las aplicaciones ms tiles de los APS estn dirigidas a la optimizacin del mantenimiento. Entre las mismas se destacan: Control de configuracin. Priorizacin por mantenimientos. Priorizacin por AOT. Optimizacin de especificaciones tcnicas. Optimizacin del monitoreo Optimizacin del inventario de piezas de repuesto. Estudio de la influencia del envejecimiento de los componentes sobre la disponibilidad de la instalacin. Indicadores basados en riesgo. APS dinmico.

5.1. Control de configuracin.

En la explotacin normal de una instalacin es comn encontrar combinaciones de estados de los equipos (equipos en funcionamiento, en mantenimiento, fallados, en pruebas y otros) que la componen. Entre las combinaciones de estados de los equipos que son de mayor importancia para el estudio de la indisponibilidad y el riesgo de la instalacin, estn aquellas relacionadas con los estados de mantenimiento, pruebas y fallas, que sacan el equipamiento fuera de servicio. Cuando se habla del control de configuracin es necesario realizar un estudio detallado de los diferentes estados posibles de los equipos en la instalacin, lo que trae como resultado un nmero de combinaciones de estados imposibles de predecir cuando se trata de instalaciones industriales con un gran nmero de equipos, interrelacionados de manera compleja por el proceso tecnolgico. Teniendo en cuenta que en los estudios, ms frecuentes de APS, se parte del estudio de las mltiples configuraciones posibles que pueden conducir a la indisponibilidad de una instalacin (representada por los CM) estamos ante la herramienta idnea para realizar el control de configuracin. Partiendo de que en cualquier proceso productivo existen configuraciones ms o menos importantes segn su probabilidad de ocurrencia y por tanto su efecto sobre la disponibilidad de la instalacin, es significativo que, para lograr un efecto adecuado con el control de configuracin, deben dirigirse los esfuerzos hacia aquellas configuraciones que pueden tener mayor impacto en la indisponibilidad y riesgo de la instalacin. Estas configuraciones se conocen como configuraciones crticas. Las configuraciones crticas, son combinaciones de elementos fuera de servicio (por pruebas, mantenimientos y fallas), que conducen a un proceso de degradacin, por causas controladas e incontroladas, de la caracterstica de fiabilidad de la instalacin y al ocurrir tienen un alto impacto en el riesgo. Estas configuraciones deben ser evitadas. Cuando se han determinado las configuraciones crticas, las mismas deben ser prohibidas durante la elaboracin de la planificacin del mantenimiento, y vigiladas mediante el seguimiento de la ejecucin de cada una de sus actividades, incluyendo las interfases con la actividad de operacin. Como resultado de un estudio de APS es comn disponer de los listados de los CM ms importantes categorizados segn su probabilidad de ocurrencia. Los equipos hacia donde se dirigen los esfuerzos iniciales estarn precisamente incluidos en las combinaciones mnimas ms importantes, pues cualquier proceso que degrade su funcionamiento, o que afecte la disponibilidad del equipamiento en cuestin estar aumentado la probabilidad de ocurrencia de la configuracin indeseada.

Un problema adicional con las posibles configuraciones crticas se produce cuando se explota una instalacin en estado degradado, o sea, que durante un intervalo de tiempo se trabaja con determinada combinacin de equipos fuera de servicio. Esto provoca que como consecuencia de la degradacin puedan aumentar en importancia determinadas posibles configuraciones no consideradas importantes en el estado nominal de la instalacin, pero que en este estado degradado comienzan a convertirse en crticas. Es por ello importante limitar tambin sobre la base del riesgo y a la disponibilidad de la instalacin, los tiempos permisibles fuera de servicio de estos equipos. Sobre este aspecto se ampla en el epgrafe Priorizacin por tiempo fuera de servicio (AOT). Como se aprecia en los estudios de control de configuracin, se analiza el mantenimiento por su influencia negativa, o sea, por su efecto al sacar un equipo fuera de servicio. Utilizando las tcnicas actuales de APS es posible estudiar y optimizar los tiempos entre mantenimientos y la duracin de los mismos (anlisis de sensibilidad), para lograr las menores influencias en el riesgo por determinadas configuraciones donde participan equipos en mantenimientos. Un caso particular del control de configuracin es el control de mantenimientos simultneos. Este aspecto resulta de gran inters cuando se aplican las tcnicas de APS a la elaboracin de los planes de mantenimientos, en los que pueden entonces preverse o evitarse los mantenimientos simultneos donde participen equipos que pueden conducir a una configuracin crtica. En este sentido una aplicacin particular de los anlisis de instantnea en el control de configuracin es la posibilidad de realizar pronsticos de las zonas del grfico donde resultan ms probables la formacin de configuraciones crticas, por lo que dichas zonas deben evitarse durante la concepcin de las estrategias de mantenimientos. Un ejemplo de posibilidad de pronstico se aprecia en el ejemplo del grfico de la figura 4.2.12. Otro aspecto, en el que tambin se aplican los estudios de indisponibilidad instantnea, pero esta vez focalizados en puntos aislados del tiempo, es la posibilidad de reajustar los grficos de mantenimientos en base a la certeza de la formacin de una configuracin crtica, de realizarse un mantenimiento en determinado instante de tiempo con el esquema degradado. Esta aplicacin del clculo en puntos aislados del tiempo se implementa a travs de una reevaluacin del riesgo en el punto en cuestin. Este estudio puede enfrentarse con dos estrategias posibles: 1- Reconfigurando los modelos a partir del estado degradado de la instalacin y repitiendo los clculos de riesgo, o 2- Reevaluando el estado degradado del esquema partiendo de los registros de CM existentes.

La primera estrategia tiene la dificultad de que necesita de una reevaluacin del APS para las nuevas condiciones, lo que conlleva a un proceso de remodelacin y recuantificacin que puede resultar poco competitivo, por el esfuerzo que representa. La segunda, que utiliza ARCON, parte de los registros existentes de CM y reevalu rpidamente slo aquellas combinaciones que se alteran por el estado degradado de la instalacin, utilizando adems las potencialidades de la reduccin booleana dinmica, lo que elimina las sobreestimaciones. Otra vertiente del estudio puede ser la determinacin de los componentes ms importantes en el instante de tiempo en cuestin. Esto se puede lograr utilizando tambin las facilidades que oferta el sistema ARCON.

5.2. Priorizacin por mantenimientos.

La priorizacin por mantenimientos, sobre la base de la importancia de las componentes que participan en el proceso tecnolgico de una instalacin, es una de las aplicaciones ms tiles de los APS desarrolladas hasta el momento. Partiendo de la definicin de la medida de importancia de reduccin de riesgo, un equipo aportar mayor reduccin al riesgo si la diferencia entre la indisponibilidad real de la instalacin y su indisponibilidad cuando el equipo es perfecto es considerable, de aqu, que directamente por esta medida, y considerando que los mantenimientos garantizan la recuperacin de un elevado % de las caractersticas de fiabilidad del equipo, se puede obtener un listado ordenado por RRW de aquellos equipos donde el mantenimiento reportar una mejora sustancial a la disponibilidad de la instalacin. Esta aplicacin garantiza que los esfuerzos del mantenimiento se centren en los equipos ms importantes, que son los que mayor reduccin al riesgo pueden aportar y no desviar los mismos hacia puntos en los que no se esperan aportes elevados a la indisponibilidad de la instalacin. Para la aplicacin de la priorizacin por mantenimiento es indispensable, tal como se explic en 4.1.1.4, separar del modelo de la instalacin aquellos elementos relacionados con el mantenimiento. Ahora la conclusin que de estos anlisis se obtiene no puede ser en ninguna forma que el aumento de los tiempos de mantenimiento o el incremento de su frecuencia sobre estos equipos conllevar al aumento de la disponibilidad. En este aspecto hay que ser muy cuidadoso pues de adoptarse medidas de esa ndole los resultados pueden ser totalmente contrarios. Ello se explica ya que cuando se saca para mantenimiento un equipo importante se est acercando la configuracin en el que el mismo participa a un estado crtico. Esta cuestin debe evaluarse por tanto tomando una solucin de compromiso entre los beneficios (reduccin del riesgo) que son de esperar del mantenimiento y el tiempo fuera de servicio (aumento del riesgo) a que se somete la instalacin cuando el equipo est en mantenimiento.

5.3. Priorizacin por AOT.

Partiendo del compromiso anterior, se llega a la conclusin que es necesaria tambin la optimizacin el tiempo fuera de servicio permisible de los equipos. Esto se logra con los procedimientos de priorizacin por AOT. La priorizacin por AOT se implementa a partir de la medida de importancia de incremento del riesgo, teniendo en cuenta en que la misma representa la diferencia entre la indisponibilidad media de la instalacin, cuando el equipo est totalmente indisponible y la indisponibilidad media real de la misma en su estado normal. De aqu que se obtenga mediante esta medida, el peso relativo del equipo sobre el valor de indisponibilidad de la instalacin cuando este est indisponible. Esta cuestin garantiza, que utilizando esta medida, sea posible ordenar el aporte de los equipos fuera de servicio y obtener resultados recomendatorios sobre el tiempo fuera de servicio basado en riesgo (AOT) con el que los mismos se deben explotar. Es comn en las especificaciones tcnicas de la instalacin, donde no se han usado estas tcnicas, encontrar tiempos fuera de servicio, para algunos equipos importantes, que superan el lmite establecido por el AOT basado en riesgo. En este sentido los resultados del APS aplicados a la instalacin pueden ser en ocasiones sorprendentes.

5.4. Optimizacin de especificaciones tcnicas.

Es frecuente, en el alcance de las especificaciones tcnicas prever la planificacin de las estrategias de pruebas y de mantenimientos de los equipos que participan en el proceso productivo, as como las actividades a desarrollar para el cumplimiento de cada una. Como aplicaciones directas, en este caso, pueden encontrarse: 1- Prohibicin de la realizacin de mantenimientos simultneos en equipos cuyo impacto al riesgo sea apreciable, o de otras combinaciones de pruebas y mantenimientos, con consecuencias similares. 2- Los resultados de los anlisis de sensibilidad, obtenidos de los estudios de APS, de los tiempos entre mantenimientos y su duracin, permiten establecer los valores ptimos de estos parmetros para los equipos objeto de estudio. Estos valores ptimos pueden ser incluidos en las especificaciones tcnicas. 3- Las tcnicas de priorizacin por mantenimiento y por AOT tienen una consecuencia directa en el mejoramiento de las especificaciones tcnicas, por cuanto se pueden ordenar los mantenimientos segn su impacto sobre la disminucin del riesgo y por tanto el aumento de la disponibilidad de la instalacin. Los estudios de priorizacin por AOT permiten establecer una base real de este parmetro para cada equipo, de acuerdo a la influencia que ejerce el tiempo fuera de servicio, sobre el riesgo o la disponibilidad. Los resultados de los estudios de priorizacin brindan una posibilidad apreciable de corregir las especificaciones tcnicas.

5.5. Optimizacin del Monitoreo.

Cuando se realiza un estudio de importancia por la medida RRW anteriormente explicada y sin tener en cuenta ningn atributo (priorizacin sin atributo) es posible categorizar las contribuciones a la indisponibilidad de los equipos por el factor de reduccin al riesgo, que los mismos reportan cuando estn en estado perfecto. De aqu que dirigir los esfuerzos, en la realizacin del diagnstico hacia aquellos equipos, cuyo aporte por el factor de reduccin del riesgo sea mayor, conllevar a la optimizacin del monitoreo. Cuando un equipo de relativa importancia es monitoreado es posible predecir por la aplicacin de diagnstico, su falla, por lo que pueden tomarse medidas encaminadas a su mantenimiento, que en este caso ser predictivo, y a la vez ordenar los cambios necesarios en el proceso tecnolgico, con el objetivo de disminuir al mximo su impacto en el riesgo o a la indisponibilidad por dicho mantenimiento. Desde el punto de vista econmico aparece tambin un impacto positivo doble, ya que por un lado, se obtiene un mayor beneficio por aumento de la disponibilidad de la instalacin, y por otro, disminuyen los costos al reducir la aplicacin de estas tcnicas (relativamente costosas) a los puntos donde su influencia es verdaderamente significativa.

5.6. Optimizacin del inventario de piezas de repuesto.

La realizacin de los estudios de priorizacin por tiempo entre pruebas, tiempo permisible fuera de servicio y mantenimiento permite determinar los componentes, que atendiendo a estos criterios, tienen un impacto significativo en el aumento de la disponibilidad y reduccin del riesgo residual en la industria. Consecuentemente con los resultados de este primer nivel de anlisis, los esfuerzos dirigidos a optimizar el inventario de piezas de repuesto, se centran en un grupo muy reducido de sistemas y elementos de la instalacin y no en todo el complejo. Partiendo de este primer nivel de jerarquizacin, se aplican en una segunda etapa estudios de sensibilidad y anlisis de indisponibilidad instantnea con el objetivo de buscar los parmetros ptimos de inspeccin, pruebas y reparaciones, mantenimientos, tiempos permisibles de salidas de servicio del equipamiento y otras actividades que tienen una influencia directa sobre el inventario de piezas de repuesto. Para aquellos componentes donde la reduccin de los tiempos de reparacin tiene un efecto determinante sobre la disponibilidad y/o la reduccin del riesgo residual de la industria, se aplican tcnicas de estimacin del inventario de piezas de repuesto basadas en la distribucin de Poisson, para garantizar un nivel de servicio prefijado. En (8) se expone detalladamente esta aplicacin.

Las tcnicas de confiabilidad permiten encaminar los esfuerzos hacia una adecuado manejo de partes y piezas de repuesto; as como definir aquellos componentes crticos que requieren mdulos intercambiables. En general esta herramienta posibilita la gerencia de todo el conjunto de actividades necesarias para alcanzar un aumento real de la disponibilidad y seguridad de la instalacin con un nivel mnimo de costo. La aplicacin consecuente de criterios de confiabilidad evita mantener innecesariamente elevados niveles de inventario de piezas de repuesto de equipos cuya influencia en la indisponibilidad de la instalacin es pequea. Este es un gasto innecesario que constituye un capital inmovilizado cuyos efectos econmicos globales sobre la industria son siempre negativos.

5.7. Estudio de la influencia del envejecimiento de los componentes sobre la disponibilidad de la instalacin.
En los estudios tradicionales de APS, no se incorpora el envejecimiento del equipamiento para el estudio de disponibilidad y riesgo de la instalacin. Es frecuente, modelar toda la vida til de la instalacin con valores constantes de ratas de fallas de los componentes, tal como se exige en los modelos exponenciales de indisponibilidad de componentes, habitualmente empleados. Partiendo de la experiencia internacional, es una aproximacin adecuada de primer orden evaluar la importancia para el riesgo del envejecimiento de los componentes, adoptando un modelo lineal de envejecimiento. Ello puede tener un efecto importante en la poltica de mantenimiento y de restitucin de equipos y piezas. El anlisis se realiza afectando linealmente la rata original de fallas, de los equipos que deben ser cuantificados, por un factor que toma en cuenta este efecto de envejecimiento. El resultado del estudio se puede expresar en curvas de indisponibilidad versus tiempo de observacin. En este caso una aplicacin concreta es la realizacin de los estudios, ya comentados, sobre un modelo en que se tenga en cuenta el envejecimiento del equipamiento, obteniendo por tanto, conclusiones ms realistas, en las que se pueden basar las polticas de mantenimiento y reposicin de equipos.

5.8. Indicadores basados en riesgo.

Por la informacin detallada que aporta la realizacin de los estudios de APS, a la explotacin de una instalacin, es posible el establecimiento de un grupo de indicadores de carcter global y temporal, que describan el perfil de indisponibilidad o riesgo de la misma.

El establecimiento de estas metas reporta un gran beneficio para el proceso productivo, pues permite conocer en cada instante los lmites que garantizan el trabajo confiable y seguro de la instalacin. Estos permiten valorar, de acuerdo al estado operativo, la influencia de las salidas de servicio planificadas o imprevistas del equipamiento, y tomar medidas preventivas o recuperadoras que posibiliten mantener la instalacin dentro de los lmites de operacin prescritos.

5.9. APS dinmico.

El APS dinmico, consiste en la realizacin de la evaluacin probabilstica de seguridad de la instalacin en cada instante de la actividad de explotacin. El impacto en el riesgo, as como la evaluacin de otros parmetros importantes, se realiza por un sistema automatizado on-line, encargado de la actualizacin y cuantificacin de los modelos de APS de acuerdo a los diferentes estados de operacin en que se encuentre dicha instalacin. La informacin es obtenida directamente del comportamiento del proceso tecnolgico y actualizada teniendo en cuenta los cambios que se produzcan en ste, con el objetivo central de informar al operador del cuadro de mando, del nivel de seguridad con que se opera la instalacin. Esta es una herramienta muy til en la toma de decisiones durante la etapa de explotacin de la instalacin. De acuerdo a la experiencia internacional, para la implantacin del APS dinmico, es necesario como primer punto la elaboracin de los modelos bsicos de la instalacin, o sea, la realizacin de un estudio de APS. La informacin introducida en los modelos de APS dinmicos, hoy en da, es limitada en comparacin con la informacin obtenida de los anlisis de APS, principalmente en aquellos anlisis en que se maneja un gran volumen de informacin, cuestin que es tpica en los estudios de instalaciones de alto riesgo potencial y gran complejidad tecnolgica. A pesar del desarrollo actual de los medios de cmputo, el peso fundamental de esta diferencia est en la capacidad limitada de los programas para la manipulacin de grandes volmenes de informacin de forma operativa, como demanda la propia dinmica de la explotacin. En este aspecto, la velocidad y capacidad de procesamiento del sistema, ha dependido directamente de las tcnicas tradicionales empleadas en el tratamiento de la informacin. En esto ltimo influye, en gran medida, la capacidad del mtodo de procesamiento y almacenamiento de la informacin de las bases de datos, la eficacia de los mtodos de determinacin y cuantificacin empleados, y otras cuestiones vinculadas con la interfase hombre-mquina.

Estas tcnicas de avanzada, han sido empleadas con xito en la industria nuclear e incluso en proyectos de ms alto riesgo potencial. En general, la experiencia de aplicacin de estas herramientas en la industria nuclear, podra ser de un gran beneficio en la gestin de seguridad de los procesos industriales ms convencionales. Las posibilidades de realizacin de los estudios de indisponibilidad instantnea, los indicadores orientados a metas de fiabilidad, la reduccin booleana dinmica, los anlisis de importancia de componentes y CM en puntos aislados del tiempo, los estudios de priorizacin, y otras opciones presentes en el sistema ARCON (manejo de esquemas tecnolgicos, graficacin de rboles de fallas y otras), junto a su capacidad de compactacin de la informacin y alta velocidad de procesamiento, son potencialidades creadas con vista a su aplicacin futura para una versin dirigida al APS dinmico.

VII. Aplicaciones Industriales.

6.1. Preparacin del estudio de APS para su introduccin a la industria.
La introduccin de los resultados del APS en la industria implica, como primer paso, la propia realizacin del estudio, y a partir de sus resultados, contando con los modelos de sistemas y de planta, realizar entonces, la implementacin de las aplicaciones industriales. 6.1.1. Metodologa general de anlisis en los estudios de APS. En estos estudios, con vistas a reducir los esfuerzos y garantizar su mxima calidad, es necesario cumplir determinadas reglas. Estas reglas se establecen en los procedimientos de garanta de calidad de APS empleados en Cuba. De forma resumida los pasos, que como regla general se siguen para cumplir un estudio de APS, son: 1. Definicin de objetivos y alcance del APS. 2. Familiarizacin con el proceso tecnolgico por medio de la documentacin existente (planos, cartas tecnolgicas, pasaportes e instrucciones de explotacin del equipamiento, manual de organizacin del proceso tecnolgico y otros documentos necesarios para el funcionamiento confiable y seguro de los sistemas). 3. Identificacin de los sucesos iniciadores y construccin de los correspondientes rboles de sucesos. 4. Modelacin de los sistemas participantes y estimacin de los datos de confiabilidad de los componentes incluidos en cada sistema. 5. Anlisis cualitativo (determinacin de los CM). 6. Anlisis cuantitativo (cuantificacin de sistemas, secuencias, parmetros globales de riesgo). 7. Aplicaciones. - Clculos de indisponibilidades, a partir de las indisponibilidades medias de los componentes. - Estudios de importancia de componentes y conjuntos mnimos. - Estudios de priorizacin. de - Anlisis de sensibilidad sobre la base de las indisponibilidades medias componentes. - Anlisis de instantnea (estudios de sensibilidad, anlisis del comportamiento de la fiabilidad de los sistemas en relacin con metas cuantitativas, anlisis en puntos aislados de tiempo, estudios de importancia y otros anlisis a partir de la conjugacin de todas estas tcnicas).

8. Revisin, aprobacin y documentacin final del estudio.

6.2. Desarrollo de un ejemplo prctico utilizando el sistema ARCON.

En un caso de estudio de disponibilidad de un sistema simplificado, como el que se desarrolla a continuacin no es necesario desplegar el anlisis inductivo (rbol de eventos) con el que se inicia el APS. Para este tipo de anlisis basta con utilizar las posibilidades del anlisis deductivo (rbol de fallas) lo que no resta validez a los resultados que se obtendrn. A continuacin se muestra un ejemplo prctico donde se utilizan algunas de las herramientas y aplicaciones anteriormente explicadas. 6.2.1. Descripcin de la tarea. La instalacin mostrada en la figura 6.2.1 es un caso muy simplificado de un esquema de hidrofinacin para obtener finales desulfurizados.

Fig. 6.2.1. Esquema simplificado de una instalacin de hidrofinacin de finales desulfurizados. La instalacin consta de los siguientes equipos y sistemas: 1. Tanque de materia prima (T1) con serpentn de precalentamiento incorporado al tanque. 2. Sistema de bombeo elctrico (bombas B1 y B2), una bomba de operacin normal y una de reserva.

Calentador I1 (utiliza como sustancia calentadora el producto del fondo de la torre). Horno (H1) con sistema de combustible (SC) y suministro de hidrgeno. Reactor (R). Torre despojadora (To). Sistema de bombeo elctrico de fondo de torre (B3 y B4), una bomba de operacin normal y una de reserva. 8. Condensador (Co). 9. Tambor separador (Ta). 10. Enfriador (E1). 11. Tanque de producto final (T2). 12. Torre de quemado de gases (Flare) (F). 13. Colector de gases (CG). 6.2.2. Breve descripcin del proceso. La materia prima (Ejemplo: kerosina virgen) se precalienta en el tanque T1 para facilitar su bombeo con las bombas B1 B2, segn la que se encuentre en operacin normal. Antes de entrar al horno la materia prima se calienta en el intercambiador I1, utilizando el subproducto del fondo de la torre (To). En el horno se aumenta la temperatura de la materia prima hasta el valor necesario para garantizar el proceso qumico, que ocurre en el reactor (R), donde se inyecta hidrgeno proveniente de otro punto del proceso, para garantizar la hidrofinacin. En la torre (To) se realiza la separacin de los productos ligeros y pesados. Los productos ms ligeros se extraen por los puntos altos de la torre y se pasan a un condensador (Co) donde se enfran con agua tcnica. A continuacin, los productos ligeros, se introducen en un tambor separador (Ta), separndose en este, los gases no condensables que se destinan al Flare, otros gases combustibles que se incorporan al colector de gases (CG) de servicio de planta y el agua que se drena por la parte inferior del tambor. El subproducto pesado se bombea desde el fondo de la torre, utilizando el sistema de bombeo (B3 B4). La energa acumulada en el subproducto pesado (en este caso kerosina hidrofinada) sirve para precalentar la materia prima en el intercambiador I1. A la salida del intercambiador I1 este subproducto cede parte de su calor en el enfriador E1 y se almacena en el tanque T2. 6.2.3. Consideraciones necesarias para el anlisis. Para comenzar el desarrollo del ejemplo es necesario presentar algunas consideraciones: 1. El esquema seleccionado se ha simplificado con el objetivo de su utilizacin como material docente. Por esta razn no aparecen desarrollados los sistemas de apoyo: - Sistema de combustible para el horno.

3. 4. 5. 6. 7.

- Sistema de enfriamiento para el condensador. - Sistema de vapor para necesidades de planta. - Sistema de suministro elctrico. - Sistema de produccin e inyeccin de hidrgeno. Se ha reducido al mnimo la cantidad de equipos modelados. Con igual objetivo se considera un slo modo de falla por equipo. Los equipos ms complejos (Ej: Torre y otros) se simplifican considerndose como un componente nico (baja resolucin en el anlisis). 2. Las ratas y probabilidades de fallas seleccionadas para modelar cada dispositivo no son reales, ya que no se dispone de una base de datos adecuada para el anlisis. Por ello los resultados obtenidos tienen validez slo desde el punto de vista demostrativo de los anlisis y herramientas que se aplican. 3. Los equipos con reserva (bombas) se alternan mensualmente (Tiempo de misin de las bombas 720 h). La prueba de las bombas de reserva se realiza mensualmente y durante el perodo de la prueba las mismas estn inhabilitadas para el trabajo en caso de una demanda. El equipamiento restante trabaja ininterrumpidamente durante 300 das. Estos datos igualmente, slo son vlidos en el marco del ejemplo prctico. 4. La interrupcin del trabajo de cualquiera de los equipos sin reserva implica la parada de la instalacin. 6.2.4. Modelacin de la instalacin del ejemplo prctico y establecimiento de la base de datos de confiabilidad a utilizar. A partir del esquema de la fig 6.2.1, la descripcin del proceso y las consideraciones

realizadas, se obtiene el rbol de fallas mostrado en la fig 6.2.2.

Fig. 6.2.2. Arbol de fallas de la instalacin del ejemplo prctico.

Datos de Confiabilidad No. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 T 5 5 5 5 5 5 5 5 5 5 1 4 5 5 1 4 5 1 4 5 5 1 4 R/P 1E-7 1E-9 1E-7 1E-6 1E-6 1E-9 1E-7 1E-7 1E-7 1E-6 5E-1 3E-5 3E-5 3E-7 5E-1 3E-5 1E-6 5E-1 3E-5 3E-5 3E-5 5E-1 3E-5 20 720 20 360 720 720 24 3 24 0 0 1.00 0 720 24 3 24 0 0 1.00 0 20 720 720 20 360 720 720 24 3 24 0 0 1.00 0 720 3 720 24 24 0 0 1.00 0 TR T1/M1 TI AOT It Pad Pnt/Tp Phet Cdigo CG TA CO F TO RE I1 E1 I2 H1R B1RE B1S B1R B2R B2RE B2S SC B3RE B3S B3R B4R B4RE B4S

Tabla 6.2.1. Base de datos de confiabilidad para ejemplo prctico. La base de datos utilizada en el anlisis se muestra en la tabla 6.2.1, donde: No- Nmero de orden del componente (empleado en ARCON para la codificacin de elementos en la lgica de fallas). T- Tipo de componente segn ARCON (ver epg. 2.4) R/P - Rata de falla Probabilidad constante a la demanda. Tr - Tiempo medio de reparacin.

T1|M1- Tiempo de realizacin de la primera prueba o mantenimiento. Para los elementos tipo 5 este dato es su tiempo de misin (Tmis) particular. TI|MI- Tiempo entre pruebas. - Duracin de las pruebas o mantenimientos. AOT - Tiempo mximo permisible de un tren desconectado. It- Ineficiencia de la prueba. Pnt- Indisponibilidad durante la prueba. Pad - Indisponibilidad adicional debida a la demanda. Phet - Probabilidad de error humano durante la prueba. Cdigo- Asignado por el usuario (generalmente se obtiene de la documentacin tcnica de planta). A partir de los datos anteriores y del rbol de fallas se elabora la lgica de fallas para entrada al sistema ARCON, que quedar de la siguiente forma:
NoC C1 C2 C3 C4 C5 C6 C7 C8 C9 C10 C11 C12 C13 C14 C15 C16 C17 TC O O O O Y Y O Y Y O O Y Y O Y Y O Cdigo de Puerta FALLAINST FALLACONEX FALLAHORNO FALLABOMBAS12 FALLACONB1RE COMBB1REB2 F-B1RE FALLACONB2RE COMBB2REB1 F-B2RE FALLABOMBAS34 FALLACONB3REB4 COMBB3REB4 F-B3RE FALLACONB4RE COMBB4REB3 F-B4RE Lgica de fallas 1 2 3 4 5 6C2 7 8 9C3C4C11 10 17 C5C8 11C6 14C7 12 13 15C9 13C10 14 16 C12C15 18C13 21C14 19 20 22C16 20C17 21 23

donde: NoC- Nmero de orden de la compuerta. Este dato se compuertas en el campo de lgica de fallas. utiliza para identificar las

TC- Tipo de compuerta. Los tipos de combinaciones booleanas admitidas por el sistema son: Y- compuerta AND. O- compuerta OR. Mn-donde M significa que es una compuerta de lgica mayoritaria. y n es el numerador de la combinacin n/m de la compuerta. Lgica de fallas- Cadena de la lgica de fallas. 6.2.5. Anlisis cualitativo y cuantitativo. De la determinacin de los conjuntos mnimos con ARCON se obtiene: Orden 1 2 3 Total Cantidad 11 0 8 19

Tabla 6.2.2. Tabla de relacin de conjuntos mnimos. Los resultados de la indisponibilidad media calculada son: Indisponibilidad a la demanda = 0.00 Probabilidad de falla en operacin = 2.74E-2 Probabilidad de no cumplir la funcin de seguridad = 2.74E-2

La tabla de CM ms importantes es: Conjuntos Mnimos ms probables

Componente Cdigo Prob. % Acum.

17 4 5 7 8 9 10 1 3 14 11 13 13 15 14 21 18 20 20 22 21 14 11 12 13 15 16 21 18 19 20 22 23 2 6

SC F TO I1 E1 I2 H1R E2 CO B2R * B1RE *B1R B1R * B2RE *B2R B4R * B3RE * B3R B3R * B4RE * B4R B2R * B1RE * B1S B1R * B2RE * B2S B4R * B3RE * B3S B3R * B4RE * B4S TA RE

7.17E-03 7.17E-03 7.17E-03 7.20E-04 7.20E-04 7.20E-04 7.20E-04 7.20E-04 7.20E-04 2.28E-04 2.28E-04 2.28E-04 2.28E-04 1.66E-04 1.66E-04 1.66E-04 1.66E-04 7.20E-06 7.20E-06

26.15 26.15 26.15 2.62 2.62 2.62 2.62 2.62 2.62 0.83 0.83 0.83 0.83 0.60 0.60 0.60 0.60 0.03 0.03

26.15 52.31 78.46 81.08 83.71 86.33 88.95 91.58 94.20 95.03 95.86 96.70 97.53 98.13 98.74 99.34 99.95 99.97 100.00

Tabla 6.2.3. Tabla de CM ms importantes. Como se aprecia de la tabla de conjuntos mnimos, los mayores contribuyentes a la falla del sistema son los componentes con operacin continua, a pesar de las bajas ratas de fallas adoptadas para los mismos. Esto se debe a los siguientes factores: 1. Modelo seleccionado para describir la indisponibilidad de los componentes en operacin (tipo 5 segn ARCON, de donde se obtienen valores elevados de indisponibilidad ya que esta depende directamente del tiempo de operacin, que en este caso es elevado, 7200 h). 2. La disposicin en serie de la mayora de los componentes en operacin continua, lo que los coloca en una configuracin donde en casi todos los casos su falla conduce a la falla del sistema (estn presentes en CM de orden 1). Aunque la cuestin del anlisis de configuraciones crticas resulta en este caso relativamente fcil dado que se trabaja con CM de orden uno, es interesante llamar la atencin sobre el hecho de que las configuraciones crticas ms importantes estn relacionadas con los CM, cuya probabilidad de ocurrencia es superior. En este anlisis

por parmetros medios no es posible descubrir algunas cuestiones relativas al surgimiento temporal de configuraciones crticas, debidas a la estrategia de pruebas adoptada. Este aspecto se aprecia en los anlisis de indisponibilidad instantnea ulteriores. La contribucin o influencia en la indisponibilidad del sistema de cada componente puede obtenerse a partir de las medidas de importancia. Los resultados de importancia obtenidos segn la medida RRW son: Comp. Cdigo QComp 5 4 17 10 9 1 8 7 3 21 20 13 14 18 22 11 15 16 23 19 TO F SC H1R I2 E2 E1 I1 CO B4R B3R B1R B2R B3RE B4RE B1RE B2RE B2S B4S B3S Fussell-Vesely 2.62E-01 2.62E-01 2.62E-01 2.62E-02 2.62E-02 2.62E-02 2.62E-02 2.62E-02 2.62E-02 2.27E-02 2.27E-02 2.27E-02 2.27E-02 1.44E-02 1.44E-02 1.44E-02 1.44E-02 6.05E-03 6.05E-03 6.05E-03 RRW 7.17E-03 7.17E-03 7.17E-03 7.20E-04 7.20E-04 7.20E-04 7.20E-04 7.20E-04 7.20E-04 6.22E-04 6.22E-04 6.22E-04 6.22E-04 3.94E-04 3.94E-04 3.94E-04 3.94E-04 1.66E-04 1.66E-04 1.66E-04 9.73E-01 9.73E-01 9.73E-01 9.73E-01 9.73E-01 9.73E-01 9.73E-01 9.73E-01 9.73E-01 2.85E-02 2.85E-02 2.85E-02 2.85E-02 3.94E-04 3.94E-04 3.94E-04 3.94E-04 1.05E-02 1.05E-02 1.05E-02 RAW 7.17E-03 7.17E-03 7.17E-03 7.20E-04 7.20E-04 7.20E-04 7.20E-04 7.20E-04 7.20E-04 2.14E-02 2.14E-02 2.14E-02 2.14E-02 5.00E-01 5.00E-01 5.00E-01 5.00E-01 1.55E-02 1.55E-02 1.55E-02

Tabla 6.2.4. Tabla de importancia RRW. Como una aplicacin de los anlisis de importancia, es posible obtener la contribucin de cada componente segn determinado atributo, utilizando los estudios de priorizacin. A continuacin se han desarrollado algunos estudios de priorizacin:

Comp. Cdigo

RRW

RRWacum.

% Acum.

QComp

12 16 23 19 Total

B1S B2S B4S B3S -

1.21E-04 1.21E-04 1.21E-04 1.21E-04 4.85E-04

25.00 25.00 25.00 25.00 100.00

1.21E-04 2.43E-04 3.64E-04 4.85E-04 4.85E-04

25.00 50.00 75.00 100.00 100.00

1.14E-02 1.14E-02 1.14E-02 1.14E-02 1.14E=02

Tabla 6.2.5. Tabla de priorizacin por mantenimiento.

Comp. Cdigo RRW % RRWacum. % Acum. QComp

19 12 16 23 Total

B3S B1S B2S B4S -

4.45E-05 4.45E-05 4.45E-05 4.45E-05 1.78E-04

25.00 25.00 25.00 25.00 100.00

4.45E-05 8.90E-05 1.34E-04 1.78E-04 1.78E-04

25.00 50.00 75.00 100.00 100.00

4.17E-03 4.17E-03 4.17E-03 4.17E-03 -

Tabla 6.2.6. Tabla de priorizacin por tiempo entre pruebas.

Comp. 16 12 23 19 18 22 15 11 Cdigo B2S B1S B4S B3S B3RE B4RE B2RE B1RE RAW 1.05E-02 1.05E-02 1.05E-02 1.05E-02 3.94E-04 3.94E-04 3.94E-04 3.94E-04 AOT 24 24 24 24 24 24 24 24 DCaot 2.88E-05 2.88E-05 2.88E-05 2.88E-05 1.08E-06 1.08E-06 1.08E-06 1.08E-06 AOTr 228 228 228 228 6097 6097 6097 6097 AOT/AOTr 10.51 10.51 10.51 10.51 0.39 0.39 0.39 0.39 QComp 1.55E-02 1.55E-02 1.55E-02 1.55E-02 5.00E-01 5.00E-01 5.00E-01 5.00E-01

Tabla 6.2.7. Tabla de priorizacin por tiempo fuera de servicio. El ordenamiento obtenido de los estudios de importancia (tabla 6.2.4) muestra una dependencia notable de los valores de las ratas de fallas de los componentes, lo que resulta comn en anlisis de este tipo donde se trabaja con sistemas con disposicin en serie de casi todos sus elementos (hay reservas para pocos dispositivos de operacin continua) y donde no existe diversidad en cuanto al rgimen de operacin de los componentes que se modelan (la mayora son modelados como tipo 5), lo que ocasiona que los resultados dependan casi exclusivamente de los valores de las ratas de fallas y del tiempo de operacin. Los resultados de la priorizacin muestran algunas cuestiones que permanecen ocultas en otros estudios. Por ejemplo la tabla 6.2.5 muestra que durante la explotacin slo es posible realizar mantenimientos a los equipos con reserva, y que el resultado que de dichos mantenimientos se obtendr es una reduccin del riesgo (aumento de disponibilidad de la instalacin), de la misma magnitud para cada bomba.

En cuanto a la tabla 6.2.6 se observa que la contribucin de las pruebas de la reserva est distribuida tambin uniformemente, por lo que cualquier medida que sobre el patrn de pruebas de cada bomba se realice tendr igual aporte a la reduccin del riesgo o al aumento de disponibilidad de la instalacin. De la tabla 6.2.7 es posible concluir que los tiempos fuera de servicio, inicialmente considerados para las bombas, estn subestimados y es posible sin afectar sensiblemente la disponibilidad de la instalacin, aumentar los mismos. A partir de los resultados de los estudios de importancia, se concluye que incidiendo sobre determinados parmetros de algunos de los componentes ms importantes, puede lograrse la disminucin de la influencia de los mismos, sobre la indisponibilidad de la instalacin. Estos estudios se pueden realizar utilizando los anlisis de sensibilidad. Por ejemplo, afectando la rata de fallas de los componentes ms importantes de este anlisis que son, de acuerdo a la tabla 6.2.4, los componentes 4,5 y 17 (Flare, Torre despojadora y sistema de combustible respectivamente), lo que significa sustituirlos por otros de mayor calidad, se puede lograr la mejora de disponibilidad que refleja la curva de la fig. 6.2.3. Este caso se evala considerando la disminucin de la rata de fallas de cada componente (4,5 y 17) en un orden (desde 1E-6 hasta 1E-7). Del anlisis de la siguiente curva se observa un aumento de un 12 % de la disponibilidad de la instalacin, cuando se mejora en slo un orden la rata de fallas de los dispositivos ms importantes, lo que indica que deben dirigirse los esfuerzos a aumentar la calidad de los mismos o a introducir mejoras internas en estos, sobre la base de anlisis con mayor resolucin.

Fig. 6.2.3. Grfica de sensibilidad sustituyendo los componentes ms importantes de la instalacin (To, F, SC) por otros similares con rata de fallas disminuida en un orden. Otra variante de anlisis de sensibilidad se realiza variando los parmetros de los componentes probados peridicamente, en este caso las bombas (B1, B2, B3 y B4). La variacin de los parmetros incluye el anlisis de un intervalo de rata de fallas desde 3E-7 hasta 3E-5 (valor actual segn base de datos), y de los tiempos entre pruebas de los mismos en valores discretos de 360, 720, 1440 y 2160 horas.

Fig. 6.2.4. Grfica de sensibilidad variando las ratas de fallas y tiempo entre pruebas de las bombas probadas peridicamente.

El anlisis de las curvas muestra, que la incidencia sobre estos parmetros no reporta mejoras notables en la disponibilidad de la instalacin. Ello se debe a que se ha afectado la fiabilidad de equipos cuya importancia en la instalacin es insignificante (vese la tabla 6.2.4). Sin embargo hay un detalle en dichas curvas que debe ser destacado. Cuando se aumenta el tiempo entre pruebas aparecen dos efectos contrapuestos: el primero es el aumento de la contribucin de las fallas ocultas y el segundo es la disminucin de la contribucin de la indisponibilidad durante las pruebas. Esto explica que la variacin de la indisponibilidad para tiempos entre pruebas mayores (1440 y 2160 h) es ms sensible a la variacin de la rata de fallas que los casos de menor tiempo entre pruebas. Como tendencia general se observa que para bajas ratas de fallas el aporte de las indisponibilidades por pruebas es determinante, mientras que para mayores ratas predomina el aporte de las fallas ocultas. Esto significa que cuando se trabaje con bombas de alta fiabilidad debe prestarse especial atencin a la duracin de las pruebas, mientras que para bombas de menor calidad es importante prestar ms atencin a los intervalos entre pruebas. Existen algunas cuestiones del caso de estudio hasta el momento no abordadas, por ejemplo el anlisis de los resultados de la indisponibilidad instantnea, que como se explic puede mostrar aspectos hasta ahora enmascarados en los anlisis por parmetros medios. El anlisis de la indisponibilidad instantnea de este sistema se muestra en la figura 6.2.5:

Fig. 6.2.5. Grfica de indisponibilidad instantnea del caso base.

En la grfica se observa un grupo numeroso de picos de indisponibilidad debidos a las pruebas de las bombas. Esto provoca que el ordenamiento de los mayores contribuyentes a la falla de la instalacin, durante los tiempos de prueba se altere, tal como se aprecia en los anlisis ulteriores en puntos aislados del tiempo (Tabla 6.2.9). La curva de distribucin correspondiente a esta grfica de indisponibilidad instantnea, se presenta en la figura 6.2.6:

Fig. 6.2.6. Grfica de distribucin del caso base. Los resultados anteriores muestran un valor de indisponibilidad media sobre la base de la instantnea de 2.73 E-2 y una indisponibilidad mxima de 4.79 E-2. En este caso la sobreestimacin de los valores obtenidos por la indisponibilidad media (ver a continuacin de la tabla 6.2.2) no resulta notable con respecto a los resultados de la instantnea. Suponiendo que la estrategia de pruebas se cambie aumentando el intervalo entre las pruebas a 1440 horas, se obtiene la curva de la fig 6.2.7. Los resultados obtenidos muestran un crecimiento casi insignificante de los valores de la indisponibilidad media y mxima respectivamente: 2.76E-2 y 4.81E-2 con respecto a 2.73E-3 y 4.79E-2 del caso base.

Fig. 6.2.7. Grfica de indisponibilidad instantnea del caso base con aumento del tiempo entre pruebas a 1440 horas.

La curva de distribucin correspondiente al caso anterior se muestra en la fig. 6.2.8. La comparacin de las curvas de distribucin de las figuras 6.2.6 y 6.2.8 arroja resultados interesantes. Si se parte del hecho de que las indisponibilidades medias y mximas, obtenidas en cada caso, son similares, se obtiene que el anlisis de las curvas de distribucin es un buen punto de partida, para determinar cual ser la mejor de las dos estrategias. En este caso la estrategia de pruebas bimestral (1440 horas) reporta una homogeneidad superior, lo que se interpreta como una reduccin apreciable de los aportes de las indisponibilidades por pruebas con respecto al caso base (estrategia de pruebas con TI=720 horas). Prcticamente la caracterstica ms ventajosa la tendr aquel caso, en el que tomando como referencia el valor de la indisponibilidad media, se obtengan reas menores por encima de dicho valor. Esto significa, desde el punto de vista tcnico, que el sistema idneo deber ser aquel que durante menos tiempo se mantenga en sus valores mximos de indisponibilidad, lo que lo hara menos vulnerable a metas de fiabilidad hipotticas. Un ejemplo que ayuda a corroborar esta afirmacin es el caso que se presenta en la figura 6.2.9, donde se ha reducido el tiempo entre pruebas a 360 horas.

Fig. 6.2.8. Grfica de distribucin para caso base con aumento del tiempo entre pruebas a 1440 horas.

Fig. 6.2.9. Grfica de indisponibilidad instantnea del caso base con reduccin del tiempo entre pruebas a 360 horas.

Como se observa en este caso mientras ms se prueba (aumento de la frecuencia de pruebas) el rea que aportan los picos de indisponibilidad por pruebas es mayor y los valores de homogeneidad (fig 6.2.10) por tanto son menores. Lgicamente en este caso la caracterstica definitoria, que ayuda a seleccionar una estrategia de pruebas u otra, es el valor de indisponibilidad media (2.61 E-2 para este caso), que resulta ser la menor de las obtenidas hasta el momento. Este detalle no debe llevar a la conclusin de que el aumento de la frecuencia de las pruebas (disminucin del TI), conduce siempre al aumento de la disponibilidad, pues en estos estudios no se ha tenido en cuenta la influencia del factor de degradacin durante las pruebas, lo que puede conllevar a obtener efectos contrarios a los mostrados hasta el momento.

Fig. 6.2.10. Grfica de distribucin del caso base con reduccin del tiempo entre pruebas a 360 horas. Un estudio de sensibilidad realizado para un caso similar al anterior pero introduciendo un factor de degradacin del 3% por efecto de las pruebas peridicas, aporta valores de indisponibilidad mxima y media similares (5.23E-2 y 2.62E-2), pero conlleva a la disminucin de la homogeneidad en un 12 %, lo que demuestra el aumento del aporte de los picos de indisponibilidad por pruebas. Los anlisis en puntos aislados del tiempo permiten descubrir los mayores contribuyentes en puntos aislados del tiempo, y tomar medidas sobre los mismos encaminadas a disminuir sus aportes. Por ejemplo, del anlisis del instante 720 horas, partiendo del caso base, se obtienen las tablas 6.2.8 y 6.2.9 de conjuntos mnimos importantes (CMI) y de importancia RRW, respectivamente.

Este anlisis demuestra que el aporte pronunciado de indisponibilidad en los picos, lo produce la ocurrencia de un reordenamiento de los mayores contribuyentes a la indisponibilidad de la instalacin en los intervalos de duracin de las pruebas, donde pasan a ser ms importantes los aportes de las bombas en operacin cuya rata de fallas es significativamente superior comparada con las de otros contribuyentes que resultan Esta cuestin indica que deben tomarse medidas encaminadas a disminuir las indisponibilidades durante las pruebas. Otro detalle de inters en este caso, es que para los perodos de pruebas aparecen tambin nuevas configuraciones crticas que difieren del ordenamiento vigente en casi todo el intervalo. Esto se puede apreciar comparando Es importante concluir que an fuera de estos intervalos de pruebas cualquier alteracin del proceso tecnolgico, que saque de servicio un equipo, aunque no implique la parada de la instalacin, puede generar configuraciones crticas que difieren por el reordenamiento de los contribuyentes, de las inicialmente detectadas.

Conjuntos Mnimos ms probables

Componente Cdigo Prob. % Acum.

13 15 20 22 17 SC 4 5 7 8 9 10 H1R

B1R * B2RE 1.07E-02 B3R * B4RE 1.07E-02 7.17E-03 14.97 F 7.17E-03 TO 7.17E-03 I1 7.20E-04 E1 7.20E-04 I2 7.20E-04 7.20E-04 1.50

22.30 22.30 59.58 14.97 14.97 1.50 1.50 1.50 95.53

22.30 44.60 74.55 89.53 91.03 92.53 94.03

Tabla 6.2.8. Tabla de CMI en T=720 h.

Comp.

Cdigo

Fussell-Vesely

RRW

RAW

QComp

13 20 18 11 5 17 4 3 1 9

B1R B3R B3RE B1RE TO SC F CO E2 I2

2.28E-01 2.28E-01 2.23E-01 2.23E-01 1.50E-01 1.50E-01 1.50E-01 1.50E-02 1.50E-02 1.50E-02

1.09E-02 5.00E-01 2.14E-02 1.09E-02 5.00E-01 2.14E-02 1.07E-02 1.07E-02 5.00E-01 1.07E-02 1.07E-02 5.00E-01 7.17E-03 9.52E-01 7.17E-03 7.17E-03 9.52E-01 7.17E-03 7.17E-03 9.52E-01 7.17E-03 7.20E-04 9.52E-01 7.20E-04 7.20E-04 9.52E-01 7.20E-04 7.20E-04 9.52E-01 7.20E-04

Tabla 6.2.9. Importancia en T=721.

Anexo A. Anlisis de datos.

A.1. Papel del anlisis de datos en los anlisis de confiabilidad.
El objetivo principal del anlisis de datos es la obtencin de datos, fundamentalmente por mtodos estadsticos, para su incorporacin en los modelos desarrollados en el anlisis de sistemas. Los datos de fiabilidad permiten estimar las probabilidades de los sucesos bsicos de los modelos, a partir de las cuales se cuantifica la indisponibilidad del sistema o la planta. Los tipos de datos que se manejan principalmente en el anlisis de sistemas son: a) Probabilidades y ratas de fallas para modos de fallas de componentes. b) Indisponibilidades por mantenimiento y pruebas. c) Probabilidades de errores humanos. d) Probabilidades de fallas causa comn. La estimacin de los dos ltimos tipos de datos es objeto de estudio por otras actividades de anlisis (Anlisis de Fiabilidad Humana y Anlisis de Fallas Causa Comn, respectivamente). A.2. Interfases del anlisis de datos con el anlisis de sistemas. Sucesos bsicos. La interfase entre las actividades de anlisis de sistemas y datos se realiza a travs de los sucesos bsicos de falla de componentes. El analista de sistemas finaliza el desarrollo del modelo en sucesos bsicos tpicos para los que es factible la obtencin de datos estadsticos. Estos sucesos bsicos representan el agrupamiento de todos los posibles modos de falla de un componente en un nmero de categoras limitadas. A.2.1. Modos de falla. El modo de falla se refiere a la forma en que se manifiesta la falla de un componente. Los modos de falla ms generalizados se relacionan a continuacin: (Los cdigos que aparecen entre parntesis acompaando cada modo de falla son cdigos estandarizados para los modos de falla, que conjuntamente con los cdigos de proyecto de los componentes a que se refieren conforman los cdigos que identifican los sucesos bsicos en los modelos de sistemas).

- Falla al arranque (S) Caracteriza la falla de componentes a arrancar cuando son demandados. Es aplicable a todos los componentes que realizan su funcin arrancando y con movimiento (rotacin) continuo subsiguiente. Falla relativa a la demanda. Ejemplos: Bombas, Diesels, Ventiladores, Compresores.

- Falla en operacin (R) Caracteriza la falla de un componente que trabaja en forma continua (movimiento rotatorio) durante el tiempo de misin requerido. Aplicable a todos los componentes que realizan su funcin por movimiento continuo. Falla relativa al tiempo de operacin. Ejemplos: Bombas, Diesels, Ventiladores, Compresores.

- Falla a la apertura (O) Caracteriza la falla de un componente a moverse a una posicin nueva, abierta. Aplicable a componentes que realizan su funcin por (cambio) de un estado cerrado a otro abierto. Falla relativa a la demanda. Ejemplos: Vlvulas, Interruptores.

- Falla al cierre (E) Caracteriza la falla de un componente a moverse a una nueva, cerrada. Aplicable a componentes que realizan su funcin por cambio de un estado abierto a otro cerrado. Falla relativa a la demanda. Ejemplos: Vlvulas, Interruptores.

- Falla al mantenimiento de la posicin (D) Caracteriza fallas de componentes para mantener la posicin requerida. Aplicable usualmente a componentes que realizan su funcin cambiando de estado entre dos estados discretos o que cambian de estado regulando entre dos puntos extremos. Se refiere a componentes que tienen que mantener su posicin durante el tiempo de misin. La falla causara su movimiento a una posicin contraria. Falla relativa al tiempo de operacin o espera. Ejemplos: Vlvulas, Interruptores.

- Falla por ruptura (T) Caracteriza una rotura grande en la frontera de retencin de fluido. Aplicable a todos los componentes que retienen lquido. Si el componente realiza alguna otra funcin, no slo retener lquido, esta falla inhabilitara al componente para realizar su funcin. Falla relativa al tiempo operacional o de espera. Ejemplos: Intercambiadores, Bombas.

- Prdida de eficiencia (Z) Caracteriza la disminucin del flujo y la transferencia de calor debido a deposiciones en las paredes de los componentes, que conlleva a la prdida de la efectividad en el trabajo del mismo. Aplicable a componentes donde se transfiere calor entre fluidos. Falla relativa al tiempo operacional o de espera. Ejemplos: Intercambiadores de calor, Calentadores, Enfriadores.

- Falla en funcionamiento (F) Es un modo de falla general que caracteriza la falla de un componente para cumplir su funcin. Aplicable a componentes que no se mueven (macroscpicamente) para ejecutar su funcin. Falla relativa al tiempo operacional o la demanda.

Ejemplos: Bateras, Transformadores, Equipos de Instrumentacin y control (I&C).

- Corto a tierra (G) - Caracteriza conexiones a tierra de cualquier componente donde la corriente elctrica es aislada a una tensin ms alta quela tierra. Aplicable a componentes elctricos y de I&C que de alguna manera conducen, transfieren o modifican la corriente elctrica, cuando al romperse el aislamiento a tierra estos componentes se inhabilitan para cumplir su funcin o se causa perturbacin a otros componentes. Falla relativa al tiempo operacional o de espera. Ejemplos: Barras, Centro de Control de Motores.

- Corto circuito (H) Caracteriza conexiones entre dos o ms conductores que normalmente estn aislados. Aplicable prcticamente a todos los componentes elctricos y de I&C, cuando el aislamiento entre dos conductores normalmente separados desaparece formndose un cortocircuito que inhabilita el componente para cumplir su funcin o causa perturbacin en otros componentes. Falla relativa al tiempo de operacin o de espera. Ejemplos: Barras, Centro de Control de Motores.

- Circuito abierto (I) Caracteriza la desconexin (aislamiento) de un circuito elctrico. Aplicable prcticamente a todos los componentes elctricos y de I&C, para el caso de que el componente sea inhabilitado para cumplir su funcin cuando el conductor elctrico se asla internamente. Falla relativa al tiempo operacional o de espera. Ejemplos: Barras, Centro de Control de Motores.

- Obstruccin (Q) Caracteriza cualquier forma de obstaculizar el flujo en direccin requerida, no causada por la operacin normal componente.

Bomba motorizada falla al arranque y en operacin

or
Falla suministro elctrico de C.A. al interruptor

Bomba falla al arranque or

Bomba falla en operacin or

Bomba falla al arranque (fallas locales)

Bomba falla al arranque (fallas locales)

Bomba falla en operacin (fallas locales)

Falla de la refrigeracin de la bomba

Falla del enfriamiento del local

Falla de suministro elctrico de C.A. al

interruptor or
Falla de suministro elctrico desde la barra de C.C. Falla de suministro elctrico desde la barra de C.A.

Fig. A.1. Fronteras de la bomba motorizada y sub-rbol de fallas para la misma.

Vlvula motorizada falla a la apertura (cierre)

or

Falla a la apertura (cierre) fallas locales

Falla de suministro elctrico desde la barra de C.A.

Falla de la seal de control para la apertura (cierre) de la

Fig. A.2. Fronteras de la vlvula motorizada y rbol de fallas para la misma. En las figuras A.1 y A.2 se ilustran estos lmites para una bomba y una vlvula motorizadas, as como los sub-rboles de falla de estos componentes que se corresponden con los mismos. Las fallas dentro de las fronteras definidas se consideran en los modelos de los componentes como "fallas locales" y son las que deben disponer de datos para la estimacin de su probabilidad. A continuacin se describen los lmites que normalmente se consideran para algunos componentes importantes. - Generadores diesel. Los lmites fsicos de los generadores diesel incluyen: cuerpo del generador, generador/accionador, sistema de lubricacin (local), sistema de gas-oil (local), componentes de refrigeracin (locales), sistema de aire de arranque, sistema de aire de combustin y gases de escape, sistema de control individual del generador diesel, interruptor de suministro a las barras de los consumidores y su circuito de control local asociado, con excepcin de todos los contactos y relays que interaccionan con otros sistemas elctricos o de control.

- Bombas motorizadas. Los lmites fsicos de las bombas incluyen: cuerpo de la bomba, motor/accionador, sistema de lubricacin, componentes de refrigeracin de los sellos, interruptor de suministro de tensin y su circuito de control local asociado. - Turbobombas. Los lmites fsicos de las turbobombas incluyen: cuerpo de la bomba, turbina/accionador, sistema de lubricacin (incluida bomba), extracciones, componentes de refrigeracin de los sellos y sistema local de control (velocidad) de la turbina. Quedan incluidas dentro del sistema de control las vlvulas de regulacin y parada de la turbina. - Vlvulas motorizadas. Los lmites fsicos de las vlvulas incluyen: cuerpo de la vlvula, motor/accionador, interruptor de suministro de tensin y su circuito local de apertura/cierre. - Vlvulas electromagnticas. Los lmites fsicos de las vlvulas electromagnticas incluyen: cuerpo de la vlvula, operador (solenoide) y circuito local de energizacin del solenoide (contactos auxiliares, cableados y contactos de energizacin del solenoide). - Interruptores de potencia. Los lmites fsicos de los interruptores de potencia incluyen el cuerpo/accionador del interruptor entre la salida y entrada de cables. A.2.3. Modelos de componentes. Los regmenes de trabajo de los componentes (espera, no reparables, probados peridicamente, monitoreados continuamente, mantenimiento preventivo, operacin) determinan los modelos de fiabilidad de los mismos y estos a su vez la informacin de planta de inters para la estimacin o ajuste de datos. Lo anterior se ilustra en la tabla a continuacin.

Suceso Bsico Componente en espera (falla a la demanda)

Componente en operacin falla en funcionamiento o cambia de estado durante su misin Componente no disponible por pruebas Componente no disponible por mantenimiento preventivo Componente no disponible por mantenimiento correctivo

Informacin Requerida Parmetro Estimado n sucesos de falla en un total de Probabilidad de falla a la demanda P=n/N N demandas n sucesos en un tiempo total de Rata de fallas a la espera espera Ts R= n/Ts Rata de fallas en operacin n sucesos de falla en el tiempo de exposicin Te R= n/Te Duracin media de la prueba D. Tiempo entre pruebas T Duracin media del mtto. D Tiempo entre mttos. T Tiempo total fuera de servicio por mantenimientos correctivos estando la planta en operacin TFS . Tiempo total de operacin Top. Nmero de actos de mtto. Correctivo M . Tiempo entre pruebas T Nmero de actos de mtto. N (nm. de fallas) en tiempo T Tiempo medio de duracin del mantenimiento Tr Indisponibilidad durante las pruebas Q=D/T Indisponibilidad por mtto. preventivo Q=D/T Indispon. por mtto. correctivo Q=TFS/Top (durante la operacin del componente))

Q=TFS/(M*T) (asociada a pruebas Rata d e mtto. (fallas) R =N/T Indisponibilidad por mtto. Correctivo

Componente monitoreado no disponible por mtto. correctivo debido a falla detectada

Q=(N*Tr)/T

Los ndices anteriores se obtienen para cada poblacin (muestra) de componentes anlogos y conllevan una valoracin estadstica de los estimados realizados. La informacin a valorar se obtiene de: Libros de operacin Registros histricos de pruebas/mantenimientos Procedimientos de pruebas/ mantenimientos

Ordenes de trabajo Informes peridicos Informes sobre sucesos notificables

Hay que destacar que si en el caso de las ratas de fallas se puede partir de datos genricos, en los casos de indisponibilidades por pruebas y mantenimientos se trata de datos intrnsecos de cada planta y no procede su extrapolacin de una planta a otra, por la flexibilidad con que se definen las polticas de mantenimiento, su dependencia de las caractersticas de diseo de las plantas, etc. A.3. Bases de Datos Las bases de datos de fiabilidad normalmente recogen para los diferentes casos tpicos de componentes (mecnicos, elctricos y e I&C) y modos de fallas, los siguientes ndices: Probabilidades de falla a la demanda. Ratas de fallas en espera. Ratas de falla en operacin. Factores de Error. Informacin complementaria sobre caractersticas de los componentes, definicin de sus lmites, fuentes de informacin, experiencia operacional (en dependencia del grado de detalle de la informacin presentada).

Las bases de datos pueden ser de dos tipos: especficas y genricas. Los datos especficos son los que se obtienen directamente de la experiencia operacional de la planta de inters. Sin embargo, es difcil encontrar el caso de una planta cuyos datos estn comprendidos completamente en esta categora. En general la informacin de una planta no es suficiente desde el punto de vista estadstico para desarrollar una base de datos especfica por s misma. Por ello se parte de datos genricos, los cuales se ajustan con la experiencia operacional propia para obtener as una base especfica. As, por datos genricos se identifican los que no provienen de componentes de la planta propia, sino que se adoptan de componentes anlogos de otras plantas. El denominado Anlisis Bayesiano permite la adecuacin de estos datos a la experiencia operacional propia cuando existe evidencia (registros) apropiada de la misma. Con este procedimiento se disminuye la incertidumbre estadstica (aumento de la

poblacin de partida) aunque con ello se incrementa la incertidumbre de conocimiento (aplicabilidad de los datos) debido a diferencias en el productor, calidad de manufactura, caractersticas de diseo, poltica y calidad de mantenimientos, ambiente operacional, etc. Esto ltimo puede contrarrestarse en cierta medida adoptando bases de datos definidas para plantas de tecnologa lo ms similar posible a la propia. Otra fuente de incertidumbre puede ser la no clara definicin de las fronteras de los componentes en la base genrica de partida, lo que puede determinar la falta de correspondencia con respecto a los lmites establecidos para los componentes propios (ver A2.2). No obstante, las incertidumbres que pueden derivarse del uso de datos genricos no restan validez a los resultados de los estudios realizados, cuando estos se refieren a las valoraciones de tipo comparativo, que sirven de base a la proposicin de mejoras y establecimiento de prioridades en su implementacin, como por ejemplo: ordenamiento por importancia de componentes, comparacin de alternativas de diseo, comparacin de alternativas de regmenes de explotacin, optimizacin de especificaciones tcnicas de funcionamiento.

Por ltimo, existen tcnicas para la valoracin del impacto de estas incertidumbres en los resultados del anlisis (anlisis de incertidumbres, anlisis de sensibilidad), con vistas a su consideracin en la toma de decisiones. De esta forma la utilizacin de datos genricos de partida es una alternativa viable a la carencia de una base de datos especfica, a la vez que constituye un punto de partida para el desarrollo de esta ltima.

Anexo B. El sistema ARCON

Los trabajos en este sistema se iniciaron a finales de 1987 y desde entonces se han desarrollado varias versiones, caracterizadas por los siguientes atributos principales Capacidad de resolucin de rboles de fallas complejos en PC Potente generador de CM que supera la cifra de cientos de millones Variadas opciones de evaluacin numrica Facilidades grficas poderosas para la representacin de rboles de fallas y rboles de sucesos, bases de datos y resultados de los anlisis

Durante estos aos se han sucedido diversas versiones del sistema, donde se han ampliado sustancialmente sus capacidades e introducido nuevas y potentes opciones. La ms reciente versin 5.0 permite resolver los rboles de fallas muy complejos que se generan a partir de las secuencias accidentales de un APS. Seguidamente, mostramos los resultados de la generacin de los CM y el clculo de sus probabilidades, en un rbol de fallas complejo evaluado con el sistema ARCON 5.0. Ejemplo B.1: Modelo simplificado del sistema de inyeccin de alta presin de la Central Electronuclear (CEN) de Juragu en Cuba, para el suceso iniciador de avera Prdida del suministro elctrico exterior. Para este iniciador, la funcin del sistema es reponer la pequea prdida de inventario de agua que se produce en el circuito primario, debido al disparo de las vlvulas de seguridad del compensador de presin en los primeros instantes de la avera. El sistema consta de 3 lneas independientes para la inyeccin del agua al primario, con dos bombas de alta presin por cada uno de los 3 trenes redundantes. Para este iniciador el criterio de xito es que se logre inyectar el gasto nominal de una de las bombas por alguna de las 3 lneas existentes. El suceso tope no deseado es el evento complemento de ste, es decir, que no se logre inyectar agua con ninguna de las bombas. La figura B.1 muestra una de las pantallas del rbol de fallas, obtenida mediante el sistema ARCON. Se aprecia que la informacin de los sucesos intermedios se refleja en forma de cdigos de las compuertas, que permiten describir los sucesos que ellas representan de manera compacta y uniforme. Con esto se facilita la interpretacin y revisin de los modelos de rboles de fallas por otros especialistas.

Fig. B.1. Pantalla del rbol de fallas del sistema de inyeccin de alta presin de la CEN de Juragu, obtenida mediante el sistema ARCON. La codificacin anterior forma parte de la metodologa lgico-modular, adoptada para la modelacin del APS de la central nuclear de Juragu. Ella constituye un enfoque sistemtico para el desarrollo de rboles de fallas, a partir de la descomposicin de los sistemas en tramos de tuberas o redes, logrndose de esta forma un alto grado de estandarizacin de los criterios de modelacin de diferentes analistas. A continuacin mostramos una tabla resumen que facilita ARCON con las cantidades de CM que genera este rbol de fallas. Conjuntos Mnimos
1 2 3 4 5 6 7 8 9 10 11 12 Total 5 0 3375 45225 266805 922843 2093472 3267364 3538944 2592768 1179648 262144 14172493

Por supuesto que sera absurdo e intil someter a anlisis esta enorme cantidad de CM. La tarea bsica que realiza el sistema es, entonces, cuantificar la probabilidad de falla del sistema a partir de todos estos CM y determinar cules de ellos son los mayores contribuyentes a dicha probabilidad de falla, que es nuestro inters principal. Esto ltimo lo ofrece ARCON en una tabla como la que mostramos a continuacin. Conjuntos Mnimos ms probables 1) 2) 3) 4) 5) 6) 7) 8) 9) 10) 11) 12) 13) 14) 15) 16) 17) 18) 19) 20) Prob. % Acum. 6.04 10.36 4.03 4.03 4.03 2.69 2.69 2.69 1.80 1.35 1.35 1.35 37.30 0.90 0.90 0.90 0.90 41.81 0.90 0.90 6.04 14.39 18.43 22.46 25.15 27.85 30.54 32.34 33.70 35.05 36.40 38.20 39.10 40.01 40.91 42.71 43.61

LF-1GX-S * LF-1GW-S * LF-1GV-S 4.47E-05 CM-1BVWX02Q-C 3.20E-05 4.32 LF-1GX-R * LF-1GW-S * LF-1GV-S 2.99E-05 LF-1GX-S * LF-1GW-R * LF-1GV-S 2.99E-05 LF-1GX-S * LF-1GW-S * LF-1GV-R 2.99E-05 LF-1GX-R * LF-1GW-R * LF-1GV-S 2.00E-05 LF-1GX-R * LF-1GW-S * LF-1GV-R 2.00E-05 LF-1GX-S * LF-1GW-R * LF-1GV-R 2.00E-05 LF-1GX-R * LF-1GW-R * LF-1GV-R 1.33E-05 FL-TJ61S21-O * LF-1GW-S * LF-1GV-S 1.00E-05 LF-1GX-S * FL-TJ41S21-O * LF-1GV-S 1.00E-05 LF-1GX-S * LF-1GW-S * FL-TJ21S21-O 1.00E-05 LF-1GX-R * FL-TJ41S21-O * LF-1GV-S 6.69E-06 0.90 LF-1GX-R * LF-1GW-S * FL-TJ21S21-O 6.69E-06 FL-TJ61S21-O * LF-1GW-R * LF-1GV-S 6.69E-06 FL-TJ61S21-O * LF-1GW-S * LF-1GV-R 6.69E-06 LF-1GX-S * LF-1GW-R * FL-TJ21S21-O 6.69E-06 LF-1GX-S * FL-TJ41S21-O * LF-1GV-R 6.69E-06 0.90 FL-TJ61S05-O * LF-1GW-S * LF-1GV-S 6.68E-06 LF-1GX-S * FL-TJ41S05-O * LF-1GV-S 6.68E-06

En estos resultados, correspondientes a los 20 CM de mayor importancia, se aprecia como el peso relativo de cada uno de ellos es bajo, por lo que el % acumulado se va incrementando de forma moderada. Este es un aspecto positivo y es precisamente lo que se persigue con una toma de decisiones oportuna, porque significa que las probabilidades de los modos de falla del sistema estn distribuidas de forma balanceada y no existen CM dominantes, que lo hagan vulnerable ante determinadas combinaciones de fallas o indisponibilidades de equipo y errores humanos. Llama la atencin el CM #2, que es de orden 1. Este representa la falla modo comn de la alimentacin elctrica a los 3 trenes redundantes, lo que indispone completamente al sistema. Una de las tareas importantes de un APS es, precisamente, identificar la susceptibilidad de los sistemas y de la industria a este tipo de falla dependiente y cuantificar los aportes que se producen por esta causa. Generalmente entre los CM ms importantes se hallan presentes las fallas modo comn de componentes redundantes (ver anexo D).

A pesar de la pequea contribucin individual, de cada CM separado, los primeros 20 representan algo ms del 40% de la probabilidad total de falla del sistema, que es de 7.4E-4 por demanda (se trata de un sistema a la espera, que entra en funcionamiento slo cuando es demandado por la ocurrencia del suceso iniciador de avera). Si continuramos examinando los CM, veramos que los 600 CM ms importantes representan ya alrededor del 96% de la indisponibilidad o probabilidad de falla por demanda del sistema. En la prctica, los contribuyentes ms significativos nunca sobrepasan la cifra de 2000. Sin embargo, esto no simplifica la tarea, porque los 2000 hay que encontrarlos entre cientos y miles de millones. Para ello se requiere un software eficiente. Adicionalmente a estos anlisis de indisponibilidad media con determinacin de los CM ms importantes, ARCON posibilita una amplia gama de opciones de anlisis cuantitativo de rboles de fallas y de sucesos: Clculos en tiempos aislados. Anlisis de importancia para indisponibilidades medias y tiempos de clculo aislados. Estudios de indisponibilidad instantnea. Anlisis de sensibilidad. Estudios de priorizacin: - sin atributos - por tiempo entre pruebas - por mantenimiento - por AOT

La evaluacin de rboles de sucesos contempla adems el anlisis detallado o ininterrumpido de una o varias secuencias accidentales, as como medidas de importancia de sistemas (Fussel-Vesely y RRW) y de secuencias accidentales (RIM). Todas estas opciones se acompaan de un potente soporte grfico para el anlisis de los resultados y la documentacin de las tareas. En los captulos IV, V y VI se detallan las diversas aplicaciones de estas potencialidades del sistema ARCON.

Anexo B. El sistema ARCON

Los trabajos en este sistema se iniciaron a finales de 1987 y desde entonces se han desarrollado varias versiones, caracterizadas por los siguientes atributos principales Capacidad de resolucin de rboles de fallas complejos en PC Potente generador de CM que supera la cifra de cientos de millones Variadas opciones de evaluacin numrica Facilidades grficas poderosas para la representacin de rboles de fallas y rboles de sucesos, bases de datos y resultados de los anlisis

Durante estos aos se han sucedido diversas versiones del sistema, donde se han ampliado sustancialmente sus capacidades e introducido nuevas y potentes opciones. La ms reciente versin 5.0 permite resolver los rboles de fallas muy complejos que se generan a partir de las secuencias accidentales de un APS. Seguidamente, mostramos los resultados de la generacin de los CM y el clculo de sus probabilidades, en un rbol de fallas complejo evaluado con el sistema ARCON 5.0. Ejemplo B.1: Modelo simplificado del sistema de inyeccin de alta presin de la Central Electronuclear (CEN) de Juragu en Cuba, para el suceso iniciador de avera Prdida del suministro elctrico exterior. Para este iniciador, la funcin del sistema es reponer la pequea prdida de inventario de agua que se produce en el circuito primario, debido al disparo de las vlvulas de seguridad del compensador de presin en los primeros instantes de la avera. El sistema consta de 3 lneas independientes para la inyeccin del agua al primario, con dos bombas de alta presin por cada uno de los 3 trenes redundantes. Para este iniciador el criterio de xito es que se logre inyectar el gasto nominal de una de las bombas por alguna de las 3 lneas existentes. El suceso tope no deseado es el evento complemento de ste, es decir, que no se logre inyectar agua con ninguna de las bombas. La figura B.1 muestra una de las pantallas del rbol de fallas, obtenida mediante el sistema ARCON. Se aprecia que la informacin de los sucesos intermedios se refleja en forma de cdigos de las compuertas, que permiten describir los sucesos que ellas representan de manera compacta y uniforme. Con esto se facilita la interpretacin y revisin de los modelos de rboles de fallas por otros especialistas.

Fig. B.1. Pantalla del rbol de fallas del sistema de inyeccin de alta presin de la CEN de Juragu, obtenida mediante el sistema ARCON. La codificacin anterior forma parte de la metodologa lgico-modular, adoptada para la modelacin del APS de la central nuclear de Juragu. Ella constituye un enfoque sistemtico para el desarrollo de rboles de fallas, a partir de la descomposicin de los sistemas en tramos de tuberas o redes, logrndose de esta forma un alto grado de estandarizacin de los criterios de modelacin de diferentes analistas. A continuacin mostramos una tabla resumen que facilita ARCON con las cantidades de CM que genera este rbol de fallas. Conjuntos Mnimos
1 2 3 4 5 6 7 8 9 10 11 12 Total 5 0 3375 45225 266805 922843 2093472 3267364 3538944 2592768 1179648 262144 14172493

Por supuesto que sera absurdo e intil someter a anlisis esta enorme cantidad de CM. La tarea bsica que realiza el sistema es, entonces, cuantificar la probabilidad de falla del sistema a partir de todos estos CM y determinar cules de ellos son los mayores contribuyentes a dicha probabilidad de falla, que es nuestro inters principal. Esto ltimo lo ofrece ARCON en una tabla como la que mostramos a continuacin. Conjuntos Mnimos ms probables 1) 2) 3) 4) 5) 6) 7) 8) 9) 10) 11) 12) 13) 14) 15) 16) 17) 18) 19) 20) Prob. % Acum. 6.04 10.36 4.03 4.03 4.03 2.69 2.69 2.69 1.80 1.35 1.35 1.35 37.30 0.90 0.90 0.90 0.90 41.81 0.90 0.90 6.04 14.39 18.43 22.46 25.15 27.85 30.54 32.34 33.70 35.05 36.40 38.20 39.10 40.01 40.91 42.71 43.61

LF-1GX-S * LF-1GW-S * LF-1GV-S 4.47E-05 CM-1BVWX02Q-C 3.20E-05 4.32 LF-1GX-R * LF-1GW-S * LF-1GV-S 2.99E-05 LF-1GX-S * LF-1GW-R * LF-1GV-S 2.99E-05 LF-1GX-S * LF-1GW-S * LF-1GV-R 2.99E-05 LF-1GX-R * LF-1GW-R * LF-1GV-S 2.00E-05 LF-1GX-R * LF-1GW-S * LF-1GV-R 2.00E-05 LF-1GX-S * LF-1GW-R * LF-1GV-R 2.00E-05 LF-1GX-R * LF-1GW-R * LF-1GV-R 1.33E-05 FL-TJ61S21-O * LF-1GW-S * LF-1GV-S 1.00E-05 LF-1GX-S * FL-TJ41S21-O * LF-1GV-S 1.00E-05 LF-1GX-S * LF-1GW-S * FL-TJ21S21-O 1.00E-05 LF-1GX-R * FL-TJ41S21-O * LF-1GV-S 6.69E-06 0.90 LF-1GX-R * LF-1GW-S * FL-TJ21S21-O 6.69E-06 FL-TJ61S21-O * LF-1GW-R * LF-1GV-S 6.69E-06 FL-TJ61S21-O * LF-1GW-S * LF-1GV-R 6.69E-06 LF-1GX-S * LF-1GW-R * FL-TJ21S21-O 6.69E-06 LF-1GX-S * FL-TJ41S21-O * LF-1GV-R 6.69E-06 0.90 FL-TJ61S05-O * LF-1GW-S * LF-1GV-S 6.68E-06 LF-1GX-S * FL-TJ41S05-O * LF-1GV-S 6.68E-06

En estos resultados, correspondientes a los 20 CM de mayor importancia, se aprecia como el peso relativo de cada uno de ellos es bajo, por lo que el % acumulado se va incrementando de forma moderada. Este es un aspecto positivo y es precisamente lo que se persigue con una toma de decisiones oportuna, porque significa que las probabilidades de los modos de falla del sistema estn distribuidas de forma balanceada y no existen CM dominantes, que lo hagan vulnerable ante determinadas combinaciones de fallas o indisponibilidades de equipo y errores humanos. Llama la atencin el CM #2, que es de orden 1. Este representa la falla modo comn de la alimentacin elctrica a los 3 trenes redundantes, lo que indispone completamente al sistema. Una de las tareas importantes de un APS es, precisamente, identificar la susceptibilidad de los sistemas y de la industria a este tipo de falla dependiente y cuantificar los aportes que se producen por esta causa. Generalmente entre los CM ms importantes se hallan presentes las fallas modo comn de componentes redundantes (ver anexo D).

A pesar de la pequea contribucin individual, de cada CM separado, los primeros 20 representan algo ms del 40% de la probabilidad total de falla del sistema, que es de 7.4E-4 por demanda (se trata de un sistema a la espera, que entra en funcionamiento slo cuando es demandado por la ocurrencia del suceso iniciador de avera). Si continuramos examinando los CM, veramos que los 600 CM ms importantes representan ya alrededor del 96% de la indisponibilidad o probabilidad de falla por demanda del sistema. En la prctica, los contribuyentes ms significativos nunca sobrepasan la cifra de 2000. Sin embargo, esto no simplifica la tarea, porque los 2000 hay que encontrarlos entre cientos y miles de millones. Para ello se requiere un software eficiente. Adicionalmente a estos anlisis de indisponibilidad media con determinacin de los CM ms importantes, ARCON posibilita una amplia gama de opciones de anlisis cuantitativo de rboles de fallas y de sucesos: Clculos en tiempos aislados. Anlisis de importancia para indisponibilidades medias y tiempos de clculo aislados. Estudios de indisponibilidad instantnea. Anlisis de sensibilidad. Estudios de priorizacin: - sin atributos - por tiempo entre pruebas - por mantenimiento - por AOT

La evaluacin de rboles de sucesos contempla adems el anlisis detallado o ininterrumpido de una o varias secuencias accidentales, as como medidas de importancia de sistemas (Fussel-Vesely y RRW) y de secuencias accidentales (RIM). Todas estas opciones se acompaan de un potente soporte grfico para el anlisis de los resultados y la documentacin de las tareas. En los captulos IV, V y VI se detallan las diversas aplicaciones de estas potencialidades del sistema ARCON.

Anexo C. Anlisis de Modos y Efectos de Fallas (FMEA).

C.1. Introduccin. Dentro de las tcnicas de anlisis de confiabilidad de sistemas se presenta el FMEA como una de las ms sencillas y tiles, ya que no se necesita de la existencia de datos para obtener resultados beneficiosos. Se refiere a un mtodo inductivo de anlisis cualitativo de fiabilidad basado en la pregunta "Qu puede pasar si...?" y parte de la definicin de una falla nica en el equipamiento o tuberas de un sistema, determinando los efectos de ste para el sistema a que pertenece el elemento fallado, para otros sistemas y para la planta en general. Los sistemas a que se hace referencia pueden ser: - sistemas de fluidos; - sistemas elctricos; - sistemas de instrumentacin y control; - sistemas de ventilacin y aire acondicionado. Para una mejor comprensin de esta tcnica se definen los siguientes conceptos: - Componente (elemento): nivel inferior de la subdivisin de la planta o sistema que es objeto de anlisis. La definicin de qu constituye un componente para cualquier anlisis depende de la disponibilidad de datos (resolucin de la base de datos de fiabilidad) y de los objetivos y alcance de la tarea especfica. - Funcin: requerimientos al trabajo de un componente dentro de un sistema (p.e., la funcin de una vlvula de cierre podra ser abrir ante una seal determinada para permitir el paso de un fluido y mantenerse abierta por un espacio dado de tiempo). - Falla nica: falla aleatoria que resulta en la prdida de la capacidad de un componente para ejecutar las funciones a l asignadas. Las fallas que resulten como consecuencia de un suceso nico aleatorio se consideran parte de la falla nica. - Mecanismo de falla: procesos de origen fsico (mecnico) o qumico cuya incidencia acumulativa sobre un componente determinado provoca su falla en un modo dado. Pueden relacionarse con el tiempo de espera o de trabajo del componente, o con las demandas a que ste se someta durante su tiempo de servicio. - Modo de falla: forma en la que puede fallar la funcin de un componente (p.e., vlvula falla al cierre, ruptura de tubera, interruptor falla al mantenimiento de la posicin requerida).

- Efecto de la falla: consecuencias positivas o negativas de una falla sobre un subsistema, un sistema o la planta en general. La relacin entre el mecanismo, modo y efecto de una falla es que los mecanismos de fallas que actan sobre un componente provocan la falla del componente en un modo dado, que se refleja con determinados efectos sobre el sistema y la instalacin en general. C.2. Propsito del FMEA. El propsito principal de un FMEA en el marco de un anlisis de fiabilidad de sistemas, es proveer informacin cualitativa sobre los variados modos en que un sistema puede fallar y las consecuencias de estos para el propio sistema, otros sistemas con l relacionados y la planta en general. De ah que se pueda utilizar para apoyar el desarrollo de los modelos de sistemas (rboles de falla de sistemas) cuando los registros en planta no son suficientes y hay carencia de datos estadsticos, o cuando el equipo de anlisis no est suficientemente familiarizado con el diseo y la operacin de la instalacin, as como para determinar los sucesos iniciadores de accidente especficos de una planta. Otros usos que puede tener un FMEA son, los siguientes: -Comparacin de varias plantas en su conjunto, alternativas de diseo y configuraciones de sistemas o

-Confirmacin de la capacidad de un sistema para satisfacer sus criterios de fiabilidad de diseo, -Identificar las reas problemticas en el diseo y operacin de un sistema (p.e., modos de falla que puedan causar que el sistema falle, interconexiones entre sistemas, reas que necesitan una redundancia mayor, etc.), C.3. Requisitos para ejecutar un FMEA. Antes de ejecutar un FMEA el analista debe definir qu constituye el sistema que va a ser analizado (fronteras interior y exterior del sistema). Esta definicin incluye: - requerimientos al estado funcional del sistema, - condiciones ambientales y operacionales bajo las cuales el sistema va a estar, - establecimiento claro de las fronteras fsicas y funcionales del sistema y las interfases con otros sistemas, - definicin de la falla del sistema,

- nivel de resolucin del anlisis (subsistemas y componentes en los que comienza el anlisis y sistemas o planta en su conjunto en los que termina), determinado por los objetivos planteados de la tarea. C.4. Pasos del anlisis. 1. Reunir toda la informacin de proyecto importante sobre el consideracin (p.e., descripcin, planos, etc.). sistema en

2. Determinar el nivel al cual va a asumirse la falla de los componentes (resolucin del anlisis respecto a la frontera interior) para la iteracin inicial. 3. Usando el formato de la fig. C.1, identificar para cada componente los posibles modos de falla con sus causas probables. 4. Identificar los efectos de cada falla a nivel del sistema. Durante este proceso identificar otras fallas con efectos e indicaciones muy similares. 5. Comprobar las acciones de diagnstico necesarias para identificar los efectos dados con un modo de falla particular. 6. Determinar las acciones correctivas necesarias. 7. Repetir los pasos (4), (5) y (6) para cada conjunto de condiciones que modifiquen los efectos del modo de falla (*), 8. Cuando el proceso est completo al nivel del sistema, identificar los efectos de la falla al nivel de otros sistemas y la planta en su conjunto. C.5. Formato de presentacin del anlisis. Los resultados del anlisis se presentan en forma resumida en una tabla con el formato que se ilustra en la figura C.1. Pueden existir determinadas condiciones de operacin del sistema o la instalacin, para las cuales los efectos de un mismo modo de falla de uno o varios componentes no sea el mismo. Por ejemplo, la falla de una bomba de agua de alimentar estando la reserva indisponible (por cualquier causa), no tiene el mismo efecto que la misma falla estando disponible la reserva. Cada caso debe identificarse de manera clara en el anlisis.

POSIBILIDADES DE RECUPERACION

No. DESCRIPCION

COMPONENTE UBICACIN

EFECTOS SOBRE OTROS SISTEMAS METODO DE DETECCION

Fig. C.1. Formato de presentacin del FMEA. donde: CODIGO: se refiere al cdigo de Proyecto del componente. DESCRIPCION: se refiere a la denominacin, tipo de componente y tipo de actuacin del mismo (p.e., vlvula de no retorno, vlvula manual de cierre, bomba centrfuga, etc.). UBICACIN: se refiere al local (cdigo) y cota donde se ubica el componente. ESTADO: se refiere a la posicin del componente en operacin normal (p.e., normalmente abierto, desconectado, etc.). MODOS DE FALLA: se refiere al modo de falla particular que se analiza, (para un mismo componente pueden haber varios modos de falla posibles). Incluye descripcin y cdigo. CAUSAS DE FALLA: se refiere a las causas posibles que pueden originar la falla del componente. EFECTOS: se refiere a los efectos que tiene la falla sobre el sistema a que pertenece el componente, sobre otros sistemas con l relacionados y sobre la planta (p.e., disparo de turbina, disparo del generador, ningn efecto apreciable, etc.). METODO DE DETECCION: se refiere a la forma en que se detecta la falla (si es posible), ya sea directa o indirectamente, localmente o en panel de control central mediante alarmas, indicadores, etc.). POSIBILIDADES DE RECUPERACION: se refiere a si existe la posibilidad, y cmo, de recuperar las condiciones iniciales antes de la falla del sistema, o la salida de servicio de la planta. COMENTARIOS: se refiere a cualquier informacin adicional que sirva para aclaracin del anlisis.

COMENTARIOS

MODO DE FALLA

SISTEMA

ESTADO

CODIGO

PLANTA

Anexo D. Nociones generales sobre fallas dependientes.

D.1. Introduccin. El tratamiento de las fallas dependientes tiene una importancia crucial en los anlisis de fiabilidad de sistemas y Anlisis Probabilistas de Seguridad (APS). Esto se debe a que existen mecanismos que provocan la ocurrencia de mltiples fallas de componentes producto de una nica causa o varias que coexisten al mismo tiempo y de no considerarse se obtendra como consecuencia una subestimacin de los resultados cuantitativos del anlisis y por lo tanto una caracterizacin errneamente optimista de la disponibilidad de los sistemas y de la seguridad de la instalacin. En la medida en que se ha ido perfeccionando el diseo, la fabricacin y construccin de las instalaciones, se ha comprobado una reduccin notable de sus probabilidades de fallas nicas aleatorias, convirtindose as las fallas dependientes en uno de los factores dominantes de la evaluacin del riesgo y la fiabilidad. La falla de dependiente. mltiples componentes puede clasificarse como independiente o

Fallas mltiples independientes: conjunto de sucesos de falla cuya probabilidad puede expresarse como el producto simple de las probabilidades incondicionales de los sucesos de fallas individuales que lo forman. Por ejemplo, dado la falla de dos componentes A y B, P(A*B)=P(A)*P(B). Fallas mltiples dependientes: conjunto de sucesos de falla cuya probabilidad no puede expresarse como el producto simple de las probabilidades incondicionales de fallas de los sucesos individuales que lo forman. Por ejemplo, P(A*B)=/ P(A)*P(B). En este caso P(A*B)=P(A)*P(B/A), donde P(B/A) es la probabilidad condicional de que ocurra la falla de B dado que ha ocurrido la de A.

D.2. Tratamiento de las fallas dependientes. Las fallas dependientes son el resultado de la coexistencia de dos factores: uno que proporciona la susceptibilidad del elemento a la falla (causa raz) y un mecanismo de acoplamiento que crea las condiciones de fallas mltiples de componentes. De acuerdo con la estrategia de defensa incorporada en el proyecto del sistema puede considerarse posible o no la ocurrencia de la falla dependiente. Atendiendo a estas cuestiones existen tres direcciones sobre las que se enfoca el anlisis de las fallas dependientes: a) Las causas races de la falla.

b) El mecanismo de acoplamiento entre las fallas individuales. c) La estrategia defensiva para eliminar las dependencias o reducir la probabilidad de que se presenten. a) Causas races de la falla. La causa raz de la falla de uno o varios componentes, se identifica como la razn primaria por la que el componente se encuentra en estado indisponible y que mientras est presente va a existir la posibilidad de que el mismo componente u otros componentes similares se encuentren en este estado. Existen cuatro tipos generales de causas races: De equipo (Hardware): fallas aleatorias causas inherentes al componente afectado. aisladas del equipamiento debidas a

Humanas: errores durante las actividades de la planta relacionadas con la operacin, el mantenimiento, las pruebas, el diseo, la fabricacin y la construccin. Ambientales: sucesos externos al equipamiento pero internos a la planta, que resultan en esfuerzos ambientales aplicados al equipamiento. Externas: sucesos externos a la planta que resultan en esfuerzos ambientales anormales que se aplican al equipamiento.

La determinacin de las causas races de falla juega un papel importante en el anlisis de las fallas, sean dependientes o independientes, ya que incidiendo sobre stas pueden modificarse el diseo o los procedimientos de operacin, pruebas y mantenimiento de los componentes y sistemas, de modo que no vuelva a presentarse una falla por esa causa. Al fallar o encontrarse indisponible uno o varios componentes (falla mltiple), con frecuencia se puede determinar el hecho que se manifiesta como causa del mismo, sin embargo, esto generalmente se refiere a la "causa directa". Por ejemplo: Suceso Falla mecnica de una bomba en operacin. Causa directa Alta vibracin por error en el montaje. Causa raz Capacitacin inadecuada del personal de montaje y deficiencias en los procedimientos de montaje.

Es decir, es importante examinar la cadena de sucesos que van desde la causa prxima o directa hasta la causa final o raz, que muchas veces se presenta como un proceso complejo. En la fig. D.1 se muestra un esquema orientativo de clasificacin de causas genricas de falla, de acuerdo a la experiencia de las centrales nucleares:

CAUSAS DE FALLAS DEPENDIENTES

Ingeniera (E)

Operacin (O)

No Indentificadas

Diseo (ED)

Construccin (EC)

Procedimientos (EC)

Ambiente (OE)

Deficiencia Funcional (EDF)

Fallas de Realizacin (EDR

Fabricacin (ECM)

Montaje y P. En Serv. (ECI)

Mantenim. (OPM)

Operacin (OPO)

Extremos Normales (OEN)

Sucesos Energticos (OEE)

Peligro No Detectable

Dependenc . Entre Trenes

Control de Calidad Indadecuad o

Control de Calidad Indadecuad o

Reparacin Incorrecta

Errores del Operador

Temperat.

Incendio

Presin Instrument. Inadecuada Pruebas Incorrectas Procedim. Inadecuad. Humedad

Inundacin

Control Inadecuado

Operacin y Proteccin de Compon. Comunes

Normas Indadecuad .

Normas Indadecuad .

Tiempo Meteorol.

Calibracin Incorrecta Inspeccin Inadecuada Inspeccin Inadecuada Procedim. Incorrectos Pruebas Inadecuad. Pruebas y Puesta en Servicio Inadecuad.

Supervsin Inadecuada

Vibracin Terremoto

Deficiencia s Operac.

Error de Comunicac.

Aceleracin Explosin

Tensin Supervisin Incorrecta Corrosin Energa Elctrica Proyectiles

Compon. Inadecuado s

Errores en el Diseo

Contamina c Radiacin

Limitac. en el Diseo

Interferenc. Fuentes Qumicas

b) Mecanismo de acoplamiento entre fallas individuales. El mecanismo de acoplamiento es el responsable de extender la susceptibilidad de un componente a una causa de falla, hacia otros componentes. Se identifican 3 tipos de mecanismos de acoplamiento: (1) Dependencias funcionales: Dependencias entre elementos (1) debidas a que comparten determinados equipos o a procesos de acoplamiento. El compartimiento de equipos se refiere a aquellos casos de mltiples elementos que comparten el mismo equipamiento (vlvulas, intercambiadores de calor, bombas, etc.), mientras que los procesos de acoplamiento se refieren a los casos donde la funcin de un elemento depende directa o indirectamente de la funcin de otro. En este ltimo caso existe una dependencia directa cuando el producto del funcionamiento de un elemento constituye una entrada para otro (p.e., enlace entre el sistema de agua de alimentar y el sistema de alimentacin elctrica de consumos propios, etc.). Una dependencia indirecta existe siempre que los requerimientos funcionales de un elemento dependan del estado de otro (p.e., dependencia del trabajo del sistema de agua de alimentar del trabajo del sistema de calentadores de baja presin). (2) Dependencias fsicas: Existen dos tipos de dependencias fsicas, Equipamiento ubicado dentro del mismo local, dentro de las mismas barreras contra incendio, contra inundaciones o contra impacto de objetos. (Proximidad espacial). Equipamiento no interconectado espacialmente, pero acoplado por condiciones ambientales (por ejemplo, sistema de ventilacin, aire acondicionado, etc.).

(3) Interacciones humanas. Se pueden distinguir las relativas a acciones basadas en el conocimiento y las relativas a acciones basadas en procedimientos; en las actividades relacionadas con el diseo, fabricacin, construccin, montaje, operacin, pruebas, inspeccin, mantenimiento preventivo y correctivo y liquidacin de averas. ___________________________
(1) En estas definiciones el trmino genrico "elemento" puede significar un sistema, un subsistema, un tren redundante, o un componente.

Al examinar las causas races luego de definir los mecanismos de acoplamiento, las primeras pueden agruparse como sigue: Causas races que afectan al equipamiento similar. Componentes similares que son afectados usualmente por procedimientos similares de montaje, mantenimiento y pruebas, as como por procesos similares de diseo y fabricacin. Estos rasgos comunes pueden provocar fallas mltiples debidas a errores humanos sistemticamente repetidos. Por tanto, para estas causas de fallas dependientes el mecanismo de acoplamiento es la similitud del equipamiento, y los grupos de componentes de inters son aquellos con componentes similares. Las fallas dependientes resultantes de este tipo de causas races presentan mecanismos de acoplamiento del tipo (1) y (3) anteriores. Causas races que afectan al equipamiento ubicado en el mismo local, o enlazado por las mismas condiciones ambientales. Las condiciones ambientales adversas como, por ejemplo, incendios, inundaciones, alta humedad, campos magnticos, etc., pueden generar fallas mltiples en un rea limitada o en diversas reas acopladas por la ventilacin, el aire acondicionado, etc. Para estas causas, el mecanismo de acoplamiento de inters es la susceptibilidad a ciertas condiciones ambientales adversas y la ubicacin con respecto a stas, o el acoplamiento por un factor o agente externo (por ejemplo, equipamiento no separado por barreras de la fuente de condiciones ambientales adversas). Este tipo de causas races genera fallas dependientes que presentan mecanismos de acoplamiento del tipo (2). Causas races que afectan al equipamiento operado o mantenido segn los mismos procedimientos. Los componentes que son afectados por los mismos procedimientos de operacin normal, de pruebas y mantenimiento, o de avera pueden fallar producto de errores comunes del personal al aplicar dichos procedimientos. Estos procedimientos pueden influir sobre componentes no similares. Este tipo de causas races pueden afectar a componentes diferentes, generando sucesos dependientes que presentan mecanismos de falla del tipo (3).

c) Estrategia defensiva. Las fallas dependientes pueden eliminarse o reducirse su probabilidad mediante las dos estrategias de defensa siguientes: 1. Reducir la susceptibilidad de los componentes a una causa falla determinada (p.e., control de calidad del diseo, calidad de los procedimientos de prueba y mantenimiento, etc.). 2. Eliminar el mecanismo de acoplamiento (p.e., separacin fsica, diversidad, etc.). Entre las medidas que pueden tomarse contra este tipo de fallas estn:

- Establecimiento de barreras. Se refiere a cualquier impedimento fsico que trate de confinar o restringir cualquier condicin potencialmente daina (por ejemplo, la propagacin de un incendio). Tambin debe evitarse interconectar componentes redundantes separados fsicamente (por barreras o locales) a travs de sistema de ventilacin o aire acondicionado comn. Se emplean comnmente los bloqueos entre componentes o trenes redundantes de los sistemas de instrumentacin y control, para evitar, por ejemplo, que puedan ser sacados fuera de servicio ms de uno a la vez para la realizacin de una prueba o mantenimiento; esto reduce el acoplamiento asociado a errores que pudieran cometerse en la realizacin de la prueba de un tren o componente redundante, mientras existe otro que est en mantenimiento preventivo. - Entrenamiento adecuado del personal. Mediante un programa de entrenamiento que asegure que los operadores y el personal de mantenimiento se familiaricen con los procedimientos, de modo que sean capaces de seguirlos durante todas las condiciones de operacin. - Control de la calidad. Mediante un programa que asegure un producto en requerimientos de proyecto y las normas. - Redundancia. Se agregan componentes redundantes idnticos adicionales al sistema con el fin de incrementar la probabilidad de que un suficiente nmero de componentes sobreviva a una causa de falla dada ante una demanda de actuacin. - Estrategia de vigilancia, pruebas y mantenimiento planificado. Se evita la existencia de fallas no revelables (ocultas) o al menos se disminuye el tiempo en que stas puedan existir. Esto incluye el monitoreo (alarmas), pruebas frecuentes, inspecciones, etc. La realizacin de pruebas y mantenimientos preventivos escalonados para los componentes redundantes tiene algunas ventajas sobre ejecutarlos de manera simultnea (concentrada) o secuencial. Primeramente, se reduce el acoplamiento asociado a ciertas fallas relacionadas con errores del personal durante las actividades de pruebas y mantenimientos. (La probabilidad de que un operador o un tcnico repita una accin incorrecta es menor cuando esa actividad se realiza meses, semanas e incluso das despus de haberse realizado con anterioridad). correspondencia con los

Otra gran ventaja es que se reduce el tiempo de exposicin a las fallas dependientes de manera proporcional al nmero de equipos redundantes, que definen el escalonamiento. - Revisin de procedimientos. Revisin de los procedimientos de operacin, mantenimiento, de pruebas y calibracin para eliminar acciones incorrectas o inapropiadas, que puedan resultar en la indisponibilidad del sistema. - Diversidad. Uso de enfoques, procesos o mtodos diferentes para lograr el mismo resultado (diversidad funcional). Por ejemplo, el control de diferentes variables de proceso para iniciar la correccin de parmetros en el circuito o el disparo del equipo que se quiere proteger. Uso de diferente tipo de equipamiento para ejecutar la misma funcin (diversidad de equipamiento). Por ejemplo, empleo de bombas y vlvulas redundantes de diferente fabricante. Empleo de diferente personal para ejecutar las tareas de montaje, mantenimiento y pruebas sobre el equipamiento redundante. D.3. Consideracin de las fallas dependientes en los modelos de sistemas. Se pueden incluir de manera explcita o implcita. - De forma explcita. Cuando las causas de la falla de mltiples componentes se puede representar como modos de falla de los componentes de los que depende (dependencias funcionales, fsicas y humanas). Por ejemplo, la falla de varias bombas o vlvulas elctricas debida a la falla de una barra comn de consumo propio de la cual se alimentan. Debe tratarse de incluir las fallas dependientes en los modelos de manera explcita, siempre que sea posible. Esta dependencia se incluye en el modelo de falla del sistema (rbol de fallas) a travs de la inclusin del suceso bsico que representa la falla de la barra de alimentacin elctrica, con su respectiva probabilidad o rata de fallas, como una de las causas de falla de cada una de las vlvulas o bombas respectivas, asegurndose que dicho suceso tenga la misma codificacin para todos los casos donde intervenga (ver fig. D.2, componente F-ALIMELE). - De forma implcita. Cuando la causa de fallas mltiples no est en la falla de otro u otros componentes, o cuando no est identificada de manera clara su causa raz o, aun estndolo, no se cuenta con los datos que permitan su evaluacin individual. Sus efectos se tienen en cuenta (de forma implcita sin enumerar de manera explcita

las causas de la falla mltiple en el modelo), a travs de parmetros que se determinan a partir del procesamiento de los datos registrados de la experiencia operacional, de la misma manera que se determinan las ratas de fallas de los componentes de los sistemas. Ejemplos de mtodos utilizados son: el del Factor BETA (ms utilizado por su sencillez), el mtodo de la rata Binomial de Fallas, el mtodo de los Parmetros Bsicos, etc. En el ejemplo de la fig. D.2 se presenta un sub-rbol simplificado de falla de la parte de bombas de un sistema de agua de alimentar. El suceso bsico CM-BAB-R significa la falla de ambas bombas BA-A y BA-B a continuar en operacin por causa comn (dependencias residuales). Ntese que en dicha figura aparecen dos sucesos dependientes, uno es la falla de las bombas por la falla de la alimentacin elctrica colocado explcitamente en el modelo como causa de falla de stas (mtodo explcito), representado por F-ALIMELE, y el otro CM-BAB-R, que no especifica la causa o causas que provocan la falla en operacin de ambas bombas (mtodo implcito).

FALLA DE LAS BOMBAS DE AGUA DE ALIMENTAR

AND

FALLA BOMBA BA EN OPERACION

OR

FALLA LA RESERVA (BOMBA BA-B)

OR

F-BAB-R

F-ALIMELE

CM-BAB-R

F-BAB-S

F-BAB-R

F-ALIMELE

CM-BAB-R

Fig. D.2. Subrbol de fallas simplificado de las bombas de agua de alimentar de un sistema hipottico. Los sucesos de falla en la fig. D.2 se describen como: F-BAA-R. F-BAB-R. F-BAB-S. F-ALIMELE. CM-BAB-R. Falla de la bomba BA-A en operacin. Falla de la bomba BA-B en operacin. Falla de la bomba BA-B al arranque. Falla de la alimentacin elctrica. Falla en operacin de las bombas BA-A y BA-B, por causa comn

BIBLIOGRAFIA
1- Maintenance Engineering Workshop, Houston, THFC, 1963, pg. 253. 2- Lozano Conejero, Antonio. Confiabilidad - Teora y Prctica. Buenos Aires, Editorial
Universitaria,1969, pg. 94.

3- Finley, Howard. Principios de Optimizacin de Mantenimiento, Howard Finley de Venezuela

C.A., 1975, pg. 525.

4- C. Valhuerdi, R. Quintero . Seguridad nuclear. Problemas y valoraciones. Seleccin de temas.

Instituto Superior de Ciencias y Tecnologa Nucleares, MES, La Habana, 1990.

5- IAEA-TECDOC-478. Component Reliability Data for Use in Probabilistic Safety Assessment.

IAEA, Vienna, 1988.

6- Finley, Howard. Ingeniera de Mantenimiento, Houston, 1977. 7- Mosquera, Genaro. Apoyo Logstico para el Mantenimiento Industrial, U.C.V. C.D.C.H.,
Caracas, 1987.

8- Mosquera, Genaro. Gerencia de Logstica Industrial, Academia de Ciencias Econmicas,

Caracas, 1994.

9- J. Rivero, J. Salomn, M. Perdomo, A. Torres. Resultados ms significativos de los estudios

de anlisis probabilista de seguridad en Cuba. Revista CTN No 1, Brasil, 1993.

10- J. Rivero, J. Salomn, A. Torres, M. Perdomo. El programa ARCON 4.1 para anlisis
probabilista de seguridad de nivel I. Memorias del II Congreso Regional de ARCAL. Mxico, 1993.

11- NUREG/CR-4213. SETS Reference Manual. USNRC, Washington DC,U.S.A, 1985. 12- R. W. Randall. FTAP: Computer Aided Fault Tree Analysis. Operational Research Center,
University of California, Berkeley, ORC 78-14, 1978.

13- IAEA-TECDOC-480. J. B. Fussell, PRISIM - A Computer Program that Enhances Operational

Safety. JBFAssociates,Inc., Knoxville, Tennessee. U.S.A., 1988.

14- R. Nakai, Y. Kani. A Living PSA System LIPSAS for an LMFBR. Power Reactor and Nuclear
Fuel Development Corporation. Narita, O-arai,Ibaraki,311-13. Japan, 1991.

15- S. Haddad, S. Hirschberg. PSA in the Nuclear and Process Industry: Opportunities for
Interchange of Experience. International Atomic Energy Agency (IAEA). Vienna, Austria, 1991.

16- GDA/APS. Grupo de desarrollo y aplicaciones de APS. Manual de Usuario del Cdigo ARCON
versin docente. Cuba, 1993.

17- STI/PUB/759. IAEA, Safety Aspects of the Ageing and Maintenance of Nuclear Power Plants.
Viena, 1988.

18- IAEA-TECDOC-542. Use of Expert Systems in Nuclear Safety. Vienna. 1988. 19- N. J. Liparrulo, D. R. Sharp. B. D. Sloane, J. K. Chan. Developments in Living Probabilistic
Risk Assessment. Pittsburg. PA 15230. U.S.A, 1988.

20- GDA/APS. Grupo de desarrollo y aplicaciones de APS. Manual de instrucciones y

procedimientos de garanta de calidad del APS de la CEN Juragu. 1993.

21- Workshop "PSA based optimization of tasks and procedures in NPP operation", Mexico, 1993. 22- IAEA-TECDOC-480. Improving Operational Safety Management through Probabilistic Safety
Assessment on Personal Computers. Vienna, 1988.

23- Mc Cormick. Reliability and risk analysis. Methods and nuclear power applications. 1983. 24- 24-IAEA-TECDOC-590. Case study on the use of PSA methods: Determinig safety importance
of systems and components at nuclear power plants. April, 1991.

25- IAEA-TECDOC-508. Survey of Ranges of Component Reliability Data for Use in Probabilistic
Safety Assessment. IAEA, Vienna, 1989.

26- IAEA Safety Series No. 50-P-4. Procedures for Conducting Probabilistic Safety Assessment of
Nuclear Power Plants. IAEA, 1992.

27- NUREG/CR-4780. Procedures for Treating Common Cause Failures in Safety and Reliability
Studies. USNRC, 1988.

28- SRD Dependent Failures Procedures Guide. SRD, UKAEA, 1987. 29- Castillo Guilarte, Manuel. Sistematizacin del Departamento Tcnico de Continuidad Absoluta,
Caracas, 1981, pg. 92

30- Estava Moreno, Nicols. Mantenimiento y Subdesarrollo, Caracas, Editorial Principios, pg.
233.

31- Foster, Caxton. Real Time Programming. Philippines, Editorial Addiso-Wesley, Publishing
Company, 1981, pg. 190.

32- Glass, Robert y Noiseux, Rolan. Software Maintenance Guidebook, New Jersey, Editorial
Prentice-Hall Inc., 1981, pg. 193.

33- Goldeman, S.A. y Slattery, T.B., Maintainability: A mayor element of System Effectiveness,
Newe York, Editorial John Wiley & Sons Inc., 1964, pg. 282.

34- Gumbel, Emil Julius, Statistics of Extremes, 3ra. Ed., Editorial Columbia University Press,
1066, pg. 375.

35- Jelen, F.C., Const and Optimization Engineering, New York, Editorial Mc-Graw Hill Book
Company, 1970, pg. 490

36- Newbrough, E.T., Administracin de Mantenimiento Industrial, 2da. Impresin, Mxico,

Editorial Diana, 1976, pg. 413, traducido por Mario Bracamonte Cantolla.

37- Organizacin de la Aviacin Civil Internacional, Confiabilidad y Disponibilidad del Equipo

Electrnico, Montreal, 1968, pg. 20.

38- Bain, Lee y Antle, Charles, Estimation of Parameters in the Weibull Distribution,
Technometrics, Vol. 9, No. 4, Nov. 1967, pgs. 621-627.

39- Beichelt, F. Y Fisher, K., On a basic Equation of Reliability Theory, Microelectronics Reliability,
Vol.`19, No. 1979, pgs. 367-369.

40- Bosch, G., Model for Failure Rate Curves, Microelectronics Reliability, Vol.`19, No. 1979, pgs.
579-588.

41- Cohen, Clifford A., Maximum Likelihood Estimation in the Weibull Distribution based on
Censored and on Complete Data, Technometrics, Vol. 7, No. 4, Nov. 1965, pgs. 579-588

42- Finley, Howard, Total Life Cycle Costs of Plant and Equipment, Canadian Society for Chemical
Engineering, 20th Conference, Paper 65, Oct. 1970. Processing, Enero 1972, pgs. 81-86.

43- Finley, Howard, How Cost-Effective is

your Maintenance Organization?, Hydrocarbon

44- Finley, Howard, High Technology Maintenance Management, National Petroleum Refiners
Association, Atlanta, Sept. 1976.

45- Johnson, L.G., Statistical Treatment of Failure Experiments, Transactions of the 22nd Technical
Conference of Quality Control., pgs. 113-140.

46- Latour, P.R., On-Line Computer Optimization: What is it and where to do it, Hydrocarbon
Processing, Jun. 1979, pgs. 73-82.

47- Mosquera C., Genaro, Administracin y Mantenimiento, Universidad Central de Venezuela,

Caracas, 1979, pg. 18.

48- Qureisi, A.S., The Discrimination between two Weibull Processes, Technometrics, Vol. 6, No.1
Feb, 1964, pgs. 57-75.

49- Redding, J.H. y Maynard, H.B., Can a Computer Reduce your Maintenance?, Hydrocarbon

Processing, January 1980, pgs. 78-91.

50- Trotter, J.A., Reduce Maintenance Costs with Computers, Hydrocarbon Processing, January
1979, pgs. 133-140.

51- Weibull, Waloddi, An Statistical Representation of Fatigue Failure in Solids, Transactions of

the Royal Institute of Technology, Stockholm, No. 27, p;ags. 133-140.