UNIDAD 11 - ANALISIS ARBOL DE FALLOS - Capitulo 10 PDF
UNIDAD 11 - ANALISIS ARBOL DE FALLOS - Capitulo 10 PDF
UNIDAD 11 - ANALISIS ARBOL DE FALLOS - Capitulo 10 PDF
MC-654
CAPITULO N° 10 – ANALISIS DE ARBOL DE FALLOS/ FAULT TREE
ANALYSIS (FTA)
Ing° Roberto Baldeón Icochea
Universidad Nacional de Ingenieria UNI-FIM - 2019
INTRODUCCION.- El análisis de árbol de fallas (FTA) fue RESUMEN DE HISTORIA DEL FTA.-
introducido por primera vez por BELL LABOTARATORIES y Los primeros años: en 1961, Bell Labs desarrolló el modelo para
es uno de los métodos más utilizados en confiabilidad del el uso del sistema de control de lanzamiento Minuteman de la
sistema, mantenimiento y análisis de seguridad. Es un Fuerza Aérea. Más tarde, la compañía Boeing utiliza el modelo de
procedimiento deductivo utilizado para determinar las análisis de árbol de fallas para el diseño y evaluación de aeronaves
civiles y comerciales. Alrededor de la década de 1970, los
diversas combinaciones de fallas de hardware y software y
ingenieros de las industrias aeroespacial y nuclear adoptaron el
errores humanos que podrían causar eventos no deseados
modelo de análisis de árbol de fallas para proyectos complejos.
(denominados eventos principales) a nivel del sistema. Los años intermedios: la teoría del árbol de fallas se hizo popular
OBJETIVO.- Es ayudar a identificar las posibles causas de entre diferentes países con la adopción de algoritmos y códigos
fallas del sistema antes de que ocurran las fallas. También técnicos. Alrededor de la década de 1990, la industria del software
se puede usar para evaluar la probabilidad del evento y el sector químico también introdujeron el análisis del árbol de
principal utilizando métodos analíticos o estadísticos. Estos fallas.
cálculos involucran confiabilidad cuantitativa del sistema e Los últimos años: los profesionales de todo el mundo
información de mantenimiento, como la probabilidad de falla, desarrollaron más códigos comerciales para el uso de ingeniería de
la tasa de falla y la tasa de reparación. confiabilidad y proyectos de robótica. Ahora, el análisis de árbol de
fallas se considera una de las herramientas de análisis de
confiabilidad y seguridad más importantes del sistema.
El método del árbol de fallas resultó de un contrato
entre la División de Sistemas de Balística de la
Fuerza Aérea y los Laboratorios Bell Telephone para LGM-30 Minuteman. Es un Misil
el estudio del lanzamiento involuntario en el ICBM Balístico Intercontinental (ICBM)
Minuteman. de Estados Unidos, operado por
la USAF, capaz de portar tres ojivas
El Estudio de seguridad de control de lanzamiento
nucleares de combate. De lanzamiento
(1962) describió por primera vez el análisis del árbol
terrestre desde silo misilístico, funciona
de fallas en el Volumen I, Sección VII, "Método de
con combustible sólido y puede atacar
análisis de control de lanzamiento involuntario".
objetivos a más de 9.600 Km. Está en
Minuteman I estaba en producción cuando se
servicio desde 1962, la versión actual
completó el estudio, por lo tanto, el estudio no
Minuteman III entró en servicio
produjo cambios en el diseño, pero los resultados
en 1970, siendo antecedida por los
estaban tan cerca de los datos observados que la
Minuteman I y II. Desde el año 2009, el
técnica se utilizó en el diseño de Minuteman II.
Minuteman III es el único tipo de misil
Desde entonces, el análisis del árbol de fallas se ha
intercontinental de lanzamiento
utilizado en combinación con otras técnicas para
terrestre que queda operativo en los
predecir y mejorar el desempeño de seguridad en
Estados Unidos
sistemas aeroespaciales y militares complejos.
PASOS A SEGUIR PARA CONSTRUCCION DEL ARBOL DE
FALLAS.-
1. Defina la condición de falla y anote la falla de nivel superior.
2. Utilizando información técnica y juicios profesionales,
determine las posibles razones de la falla. Recuerde, estos
son elementos de nivel dos porque caen justo debajo de la
falla de nivel superior en el árbol.
3. Continúa desglosando cada elemento con puertas
adicionales para bajar los niveles. Considere las relaciones
entre los elementos para ayudarlo a decidir si usar una
puerta lógica "y" o "o".
4. Finalice y revise el diagrama completo. La cadena solo
puede terminar en una falla básica: humana, hardware o
software.
5. Si es posible, evalúe la probabilidad de ocurrencia para cada
uno de los elementos de nivel más bajo y calcule las
probabilidades estadísticas de abajo hacia arriba.
• Defina el evento superior. Para definir el evento superior, se tiene
que identificar el tipo de falla que se va a investigar. Esto podría ser
lo que haya sido el resultado final de un incidente, tal como el
volcarse un montacargas.
• Determine todos los eventos no deseados en la operación de
un sistema. Separe esta lista en grupos con características
El Análisis de Fallas con Diagramas de comunes. Varios FTA tal vez sean necesarios para estudiar un
Árbol sistema completamente. Finalmente, un evento debe establecerse
El FTA consta de los pasos: que representa todos los eventos dentro de un grupo. Este evento
1. Definir el evento superior. llega a ser el evento no deseado que se va a estudiar.
2. Conocer el sistema. • Conozca el sistema. Se debe estudiar toda la información
3. Construir el árbol. disponible sobre el sistema y su ambiente. Puede ser de ayuda un
4. Validar el árbol. análisis de trabajo para determinar la información necesaria.
5. Evaluar el árbol. • Construya el árbol de fallas. Este paso tal vez sea el más fácil
6. Considerar cambios constructivos. porque se usan solamente pocos de los símbolos y la construcción
7. Considerar
07/09/2020
alternativas y recomiende práctica es muy sencilla.
medidas.
Paso 1. Definir el problema Paso 2. Construyendo el árbol de fallas
El equipo de diseño de ingeniería El FTA comienza en el evento superior y
selecciona: continúa, nivel por nivel, hasta que
• el evento principal, todos los eventos de falla se hayan
• las condiciones de contorno, rastreado hasta sus causas
contribuyentes básicas (es decir,
• límites físicos del sistema, eventos básicos). En cada nivel, se
• el nivel de resolución de los sistemas, definen las causas inmediatas,
• condiciones iniciales, necesarias y suficientes que darían como
• eventos que no están permitidos, resultado el evento intermedio o
• condiciones existentes, superior bajo consideración. El análisis
continúa en cada nivel, hasta que se
• supuestos condicionales. alcanzan las causas básicas o las
Definir el evento principal es uno de los condiciones límite del análisis.
aspectos más importantes del primer paso.
El evento principal es el accidente (o
evento no deseado) que es el tema del FTA.
El evento principal a menudo se identifica a
través de otros estudios de análisis de
riesgos (como HAZID). Los eventos
principales deben definirse con precisión
para el sistema o la planta que se está
evaluando, porque el análisis de eventos
principales ampliamente definidos o mal
definidos a menudo puede conducir a un
análisis ineficaz.
Los Diagramas Analíticos.- Son
representaciones gráficas o ilustraciones
de un proyecto o evento. Utilizan el
razonamiento deductivo ya que
empiezan con un evento general o un
evento de resultado y elaboran por las
ramas a los eventos específicos
causantes que tienen que ocurrir para
producir el evento general.
Se refiere a los diagramas analíticos
como árboles porque su estructura
parece la de un árbol, estrecho en lo de
arriba con un solo evento y luego
echando ramas en el proceso de su
desarrollo.
SIMBOLO DESCRIPCION
Puerta Y – Representa una condición en la cual todos los eventos mostrados debajo de la puerta (puerta de entrada) tiene que estar prese ntes para
que ocurra el evento arriba de la puerta (evento de resultado). Esto significa que el evento de resultado ocurrirá solamente si todos los eventos de
entrada existen simultáneamente.
Puerta O – Representa una situación en la cual cualquier de los eventos mostrados debajo de la puerta (puerta de entrada) llevarán al ev ento
mostrado arriba de la puerta (evento de resultado). El evento ocurrirá si solamente uno o cualquier combinación de los eventos de entrada ocurre.
1. Rectángulo – Es el principal componente básico del árbol analítico. Representa el evento negativo y se localiza en el punto superior del árbol y
puede localizarse por todo el árbol para indicar otros eventos que pueden dividirse más. Este es el único símbolo que tendrá abajo una puerta de
lógica y eventos de entrada.
2. Círculo – Representa un evento base en el árbol. Estos se encuentran en los niveles inferiores del árbol y no requieren más desarrollo o
divisiones. No hay puertas o eventos debajo del evento base.
3. Diamante – Identifica un evento terminal sin desarrollar. Tal evento es uno no completamente desarrollado debido a una falta de información o
significancia. Una rama del árbol de fallas puede terminar con un diamante. Por ejemplo, la mayoría de los proyectos requieren personal,
procedimientos, y equipo. El desarrollador del árbol tal vez se decida enfocarse en el aspecto de personal del procedimiento y no en los aspectos
del equipo o procedimientos. En este caso el desarrollador usaría diamantes para mostrar “procedimientos” y “equipo” como eve ntos terminales no
desarrollados.
4. Óvalo – Representa una situación especial que puede ocurrir solamente si ocurren ciertas circunstancias. Esto se explica adentro del símbolo del
ovalo. Un ejemplo de esto tal vez sea el caso de que si hay que cerrar ciertos interruptores por una secuencia específica antes de ocurrir una
acción.
5. Triángulo – Significa una transferencia de una rama del árbol de fallas a otro lugar del árbol. Donde se conecta un triángulo al árbol con una fl
echa, todo que esté mostrado debajo del punto de conexión se pasa a otra área del árbol. Esta área se identifica con un trián gulo correspondiente
que se conecta al árbol con una línea vertical. Letras, números o figuras diferencian un grupo de símbolos de transferencia de otro. Para mantener
la simplicidad del árbol analítico, el símbolo de transferencia debe usarse con moderación.
Un árbol de fallas puede convertirse en un diagrama de bloques de confiabilidad y viceversa.
A
B
A
B
A B C C
top
C
top
top
A B C B C
A B C
Si son necesarias simultáneamente todas las causas inmediatas para
En el diagrama de flujo, el producto que ocurra un suceso, entonces éstas se conectan con él mediante
pasará del punto 1 al punto 2 si está una puerta lógica del tipo "Y".
abierta la válvula manual “A” o si está Por ejemplo:
abierta la válvula neumática “B”, y su En el diagrama de flujo representado, tienen que estar abiertas
representación lógica es la simultáneamente las válvulas A y B para que pase el producto del
especificada en la figura. punto 1 al 2, y su representación lógica es la especificada en la
figura.
07/09/2020
Además, la estructura lógica de un árbol de fallos permite Algunas de las leyes y propiedades
utilizar el álgebra de Boole, traduciendo esta estructura a básicas del álgebra de Boole más
importantes son:
ecuaciones lógicas. Para ello se expone muy brevemente tal
Propiedad conmutativa:
sistema de equivalencia lógica: x+y=y+x
Una puerta "0" equivale a un signo "+", no de adición sino x·y=y·x
de unión en teoría de conjuntos. Propiedad asociativa:
Una puerta "Y" equivale a un signo "." equivalente a la x + (y + z) = (x + y) + z
intersección. x · (y · z) = (x · y) · z
Propiedad distributiva:
De ello se extraen las siguientes consecuencias: x · (y + z) = x · y + x · z
Transformar el árbol de fallos en una función lógica. (x + y) · z = x · y + x · z
La posibilidad de simplificar la función lógica del árbol gracias Propiedad idempotente:
a la constatación de falsas redundancias. La reducción de x·x=x
x+x=x
falsas redundancias (reducción booleana) consiste en
Ley de absorción:
simplificar ciertas expresiones booleanas y x · (x + y) = x
consecuentemente los elementos de estructura que las x+x·y=x
mismas representan.
Ejemplo: La fiabilidad del sistema de la figura
Relaciones entre expresiones de Boole y los diagramas lógicos adjunta se calcula a partir de los fallos primarios,
cuyos sucesos 1,2,3,4,5,6 y 7, son
independientes y que sus probabilidades de
fallos son:
P1=0.20 P2=0.30 P3=0.32
P4=0.24 P5=0.22 P6=0.15 P7=0.12
Determine la probabilidad de fallo del sistema
(Suceso F).
Solución:
B = P5 + P6 + P7 =(1- (1-0.22)*(1-0.15)*(1-0.12) = 0.41656
A = P2*P3*P4 = (0.30)*(0.32)*(0.24)) = =.02304
VR-1
P1
Torre de
SUMIDERO Refrigeración VC-2 REACTOR
Hay veces en verano que la temperatura del agua de este circuito no es suficientemente baja y se debe enfriar complementariamente con la red de agua
potable, mediante la apertura de la válvula VC-1 que es accionada neumáticamente a través del termostato T.
La empresa se ha planteado con preocupación que la red de agua industrial pudiera contaminar el agua potable, por las consecuencias que de ello podrían
derivarse. (La interconexión de ambas redes de agua está explícitamente prohibida en la 0.G.S.H.T. en su art. 38.4, por lo que este enunciado contempla un
supuesto teórico cuyo único fin es el de facilitar la comprensión del método y la reflexión sobre los resultados del análisis probabilístico.)
Obviamente, para que el agua industrial entrase en la
canalización de agua potable debería ser la presión P-1 • Fallo de válvula de retención VR por
mayor que P-2 (situación que no se da en condiciones retroceso del fluido = 10-2
habituales), tendría que fallar la válvula antirretorno VR- • Fallo de estanqueidad de VC en
1 y fallar la válvula VC-1, salvo en períodos calurosos en posición de cierre = 10-3
que VC-1 está abierta. En el análisis de este supuesto • Posibilidad de bloqueo de las válvulas
se considera que la válvula de control VC-1 se neumáticas VC al abrir o cerrar = 10-3
encuentra cerrada. • Fallo del termostato de regulación de
VC = 10-3
Obviamente, cuando la válvula de control está abierta • Fallo de transmisión de señal del
por requerimiento del proceso, en la elaboración del termostato o presostato = 10-4
árbol se deberían eliminar los diferentes modos de fallo • Fallo presostato = 10-3
de este elemento. • Fallo señal acústica de alarma = 10-2
Considerando para la realización de este ejercicio las • Probabilidad de no actuación correcta
siguientes probabilidades de fallo de los diferentes ante alarma = 10-2
elementos:
PD= P5+P4= (1-(1-P4)*(1-P5))
Contaminación
PD = (1-(10-3)(10-4))=
de agua Potable
PD = 0.001099
PC = PD +P3 = (1-(1-PD)(1-P3))
PC = (1-(1-0.001099)(10-3)) A
PC = 0.0020988 1
PB = PC+P2 = (1-(1-PC)*(1-P2)) Fallo Fallo en VC-1
Estanq
PB= (1-(1-0.0020988)(1-10-3)) uidad
VR-1
PB = 0.0030967 B
PA = P1*PB = (10-2) * (0.003097)
PA = 3.1 x 10-5 Fallo al cerrar Fallo
Estanqu
idad 2
Cerrada
Del análisis de la situación actual de la instalación C
observamos que la probabilidad de contaminación de
la red de agua potable cuando P1 > P2 es de 3,1 · 10- No llega señal
5 y en la situación en que la válvula de control VC-1 cierre Bloque
3
Válvula
está abierta la probabilidad de contaminación del agua
potable es la de que falle la válvula de retención VR-1, D
4
es decir, P = 10-2; siendo ambas probabilidades no 5
Falto
aceptables ante las posibles consecuencias a que Fallo
Termos
Trans
misión
daría lugar en caso de producirse la contaminación. tato señal
Ante ello, valoramos como variaría tal probabilidad de contaminación
incorporando a la instalación actual una segunda válvula de retención así como
un presostato que actúe, cuando P-1 se aproxime a P-2, sobre la válvula VC2
dándole orden de cierre y, a su vez, al activarse dé una alarma acústica en sala
de control, a fin de que pudiera actuarse manualmente sobre VC-2 en caso de
fallo del cierre neumático.
Con el cierre de VC-2 se desconecta la alarma y el consiguiente incremento de
temperatura activaría el termostato T accionando la apertura de VC-1. La red de
agua potable garantiza suficiente caudal para mantener refrigerado el reactor."
Red de Agua
Industrial
Red de
P2 Agua
A Potable
H
P VC-1
T
VR-2
VR-1
P1
Torre de
Refrigeración REACTOR
SUMIDERO VC-2