Академический Документы
Профессиональный Документы
Культура Документы
n
d
e
R
i
e
s
g
o
s
d
e
P
r
o
c
e
s
o
e
n
I
n
s
t
a
l
a
c
i
o
n
e
s
I
n
d
u
s
t
r
i
a
l
e
s
I
n
s
t
r
u
c
t
o
r
:
I
n
g
.
E
r
n
e
s
t
o
C
a
s
t
a
e
d
a
M
a
c
a
s
P
r
o
m
o
t
o
r
:
S
U
R
A
T
E
P
C
o
l
o
m
b
i
a
,
O
c
t
u
b
r
e
,
2
0
0
1
o
b
s
t
r
u
i
d
a
.
F
u
g
a
o
r
u
p
t
u
r
a
e
n
l
a
l
i
n
e
a
c
e
r
r
a
d
o
p
a
r
a
e
l
a
l
m
a
c
e
n
a
m
i
e
n
t
o
d
e
D
A
P
.
a
E
s
t
a
s
d
e
s
v
i
a
c
i
o
n
e
s
f
u
e
r
o
n
d
i
s
c
u
t
i
d
a
s
s
e
p
a
r
a
d
a
m
e
n
t
e
,
p
e
r
o
e
n
e
s
t
a
t
a
b
l
a
s
e
c
o
n
s
i
d
e
r
a
n
e
n
f
o
r
m
a
c
o
m
b
i
n
a
d
a
.
E
q
u
i
p
o
d
e
t
r
a
b
a
j
o
:
H
A
Z
O
P
G
r
u
p
o
#
3
N
m
e
r
o
d
e
d
i
b
u
j
o
:
7
0
-
0
B
P
-
5
7
1
0
0
F
e
c
h
a
d
e
l
a
r
e
u
n
i
n
:
9
f
2
7
f
0
1
N
m
e
r
o
d
e
R
e
v
i
s
i
n
:
3
N
m
e
r
o
d
e
P
a
r
t
i
d
a
D
e
s
v
i
a
c
i
n
C
a
u
s
a
s
C
o
n
s
e
c
u
e
n
c
i
a
s
P
r
o
t
e
c
c
i
o
n
e
s
P
l
a
n
e
s
d
e
A
c
c
i
n
5
.
0
R
e
c
i
p
i
e
n
t
e
-
R
e
a
c
t
o
r
D
A
P
.
C
o
n
t
i
e
n
e
l
a
r
e
a
c
c
i
n
a
X
C
y
a
Z
p
s
i
g
.
(
R
e
f
.
a
l
d
i
a
g
r
a
m
a
)
5
.
1
0
F
a
l
t
a
d
e
a
g
i
t
a
c
i
n
.
F
a
l
l
a
d
e
l
m
o
t
o
r
d
e
l
a
g
i
t
a
d
o
r
.
F
a
l
l
a
e
n
l
a
f
l
e
c
h
a
d
e
t
r
a
n
s
m
i
s
i
n
o
e
n
e
l
m
o
t
o
r
e
d
u
c
t
o
r
d
e
l
a
g
i
t
a
d
o
r
.
F
a
l
l
a
d
e
l
o
p
e
r
a
d
o
r
a
l
e
n
c
e
n
d
e
r
e
l
a
g
i
t
a
d
o
r
.
A
m
o
n
i
a
s
i
n
r
e
a
c
c
i
o
n
a
r
e
n
e
l
r
e
a
c
t
o
r
e
s
c
o
n
d
u
c
i
d
a
h
a
s
t
a
e
l
t
a
n
q
u
e
d
e
a
l
m
a
c
e
n
a
m
i
e
n
t
o
d
e
D
A
P
y
s
e
l
i
b
e
r
a
a
l
a
r
e
a
l
a
b
o
r
a
l
.
A
l
a
r
m
a
y
d
e
t
e
c
t
o
r
d
e
a
m
o
n
i
a
.
C
o
n
s
i
d
e
r
a
r
e
l
i
n
s
t
a
l
a
r
u
n
a
a
l
a
r
m
a
f
d
e
p
a
r
o
p
a
r
a
e
l
s
i
s
t
e
m
a
p
a
r
a
u
n
a
c
o
n
d
i
c
i
n
f
a
l
t
a
d
e
a
g
i
t
a
c
i
n
.
A
s
e
g
u
r
a
r
s
e
d
e
q
u
e
e
x
i
s
t
a
l
a
v
e
n
t
i
l
a
c
i
n
a
d
e
c
u
a
d
a
e
n
e
l
a
r
e
a
l
a
b
o
r
a
l
y
f
o
c
o
n
s
i
d
e
r
a
r
e
l
u
s
a
r
u
n
t
a
n
q
u
e
c
e
r
r
a
d
o
p
a
r
a
e
l
a
l
m
a
c
e
n
a
m
i
e
n
t
o
d
e
D
A
P
.
Seminario: Evaluacin de Riesgos de Proceso en Instalaciones Industriales
Instructor: Ing. Ernesto Castaeda Macas
Promotor: SURATEP Colombia, Octubre, 2001
Equipo de trabajo: HAZOP Grupo #3 Nmero de dibujo: 70-0BP-57100
Fecha de la reunin: 9f27f01 Nmero de Revisin: 3
Nmero de
Partida
Desviacin
Causas
Consecuencias
Protecciones
Planes de Accin
6.0 Linea - Linea de descarga de DAP del reactor hacia el tanque de almacenamiento de DAP. Conduce producto a un flujo de X gpm y a Z psig. (Ref.
al diagrama)
6.3 Retorno de flujo f flujo
mal direccionado
No existen causas
creibles
No existen efectos
significativos.
Seminario: Evaluacin de Riesgos de Proceso en Instalaciones Industriales
Instructor: Ing. Ernesto Castaeda Macas
Promotor: SURATEP Colombia, Octubre, 2001
Equipo de trabajo: HAZOP Grupo #3 Nmero de dibujo: 70-0BP-57100
Fecha de la reunin: 9f27f01 Nmero de Revisin: 3
Nmero de
Partida
Desviacin
Causas
Consecuencias
Protecciones
Planes de Accin
7.0 Recipiente - Tanque de almacenamiento de DAP. Almacena el producto terminado a temperatura y presin atmosfrica. (Ref. al diagrama)
7.1 Alto nivel Exceso de flujo
proveniente del
reactor.
Falta de succin de la
estacin de carga.
Problemas
operacionales
ocasionados por el
derrame del tanque de
almacenamiento de
DAP hacia el area
laboral (el DAP no
Supervisin del
operador al nivel del
tanque de
almacenamiento de
DAP.
Considerar el instalar
una alarma de alto
nivel para el tanque de
almacenamiento de
DAP.
Considerar el instalar
Seminario: Evaluacin de Riesgos de Proceso en Instalaciones Industriales
Instructor: Ing. Ernesto Castaeda Macas
Promotor: SURATEP Colombia, Octubre, 2001
representa ningun
riesgo de exposicin al
personal)
proteccin contra
derrames (dique)
alrededor del tanque.
Seminario: Evaluacin de Riesgos de Proceso en Instalaciones Industriales
Instructor: Ing. Ernesto Castaeda Macas
Promotor: SURATEP Colombia, Octubre, 2001
Anlisis de rbol de Fallas "Fault Tree Analysis"
El analisis de Arbol de Fallas (FTA) es una tcnica deductiva que se enfoca en un accidente en particular
o una falla principal en el sistema, y provee un mtodo para determinar las causas de tal evento. El arbol
de falla es un modelo grafico que despliega las diversas combinaciones de fallas de equipo y errores
humanos que puedan resultar en la falla principal del sistema que nos interesa analizar (llamada evento
principal TOP EvENT"). La fortaleza de la tcnica FTA como una herramienta cualitativa es su habilidad
de identificar las combinaciones de fallas basicas de equipo y errores humanos que puedan resultar en un
accidente. Esto le permite al analista enfocar medidas preventivas o de mitigacin en causas basicas
significantes, para asi reducir la probabilidad de que ocurra un accidente.
El arbol de fallas resultante despliega la relaciones lgicas entre eventos basicos y el evento principal
TOP EvENT" previamente seleccionado.
Los eventos principales son situaciones de riesgo especificos los cuales son tipicamente identificados a
travs del uso de alguna otra tcnica de evaluacin de riesgos mas general (Ej. Analisis cQu pasa si?,
Analisis HAZOP, etc.). El modelo del arbol de fallas puede ser usado para generar una lista de las
combinaciones de falla (failure modes) que pueden dar origen al evento principal de nuestro inters.
Estas combinaciones de falla son conocidas como grupo de componentes (cut sets). Un grupo Ninimo de
componentes (NCS) es la combinacin mas pequena de componentes de falla, los cuales de existir o
existir simultaneamente, van a causar el evento principal. Por ejemplo, un automvil no va a operar si el
grupo de componentes No combustible" y Parabrisas roto" ocurre. Sin embargo, la NCS es No
combustible" porque por si sola puede ocasionar que al evento principal; el que el parabrisas est roto no
tiene una ingerencia determinante en que el automvil sea o no capaz de operar.
Algunas veces los analistas pueden incluir condiciones especiales o eventos circunstanciales en un
modelo de arbol de falla (Ej. La existencia de cierta condicin de operacional en la planta). Asi que, una
lista de NCS's representa las formas en que un accidente indeseable puede ocurrir, establecidas en fallas
de equipo, errores humanos, y circunstancias asociadas.
El arbol de fallas es una representacin grafica de las relaciones entre fallas y un accidente especifico.
Smbolos lgicos y de eventos usados en los rboles de Falla.
OR GATE
{puerta )
El evento resultante ocurre si alguno de los
eventos de entrada tiene lugar
AND GATE
{puerta y)
El evento resultante ocurre slo si todos los
eventos de entrada existen
simultaneamente.
Seminario: Evaluacin de Riesgos de Proceso en Instalaciones Industriales
Instructor: Ing. Ernesto Castaeda Macas
Promotor: SURATEP Colombia, Octubre, 2001
INHIBIT GATE
{Puerta inhibitoria)
El evento resultante ocurre cuando el
evento de entrada ocurre y la condicin de
inhibicin es satisfecha.
DELAY GATE
{Puertas de retraso)
El evento resultante ocurre cuando el
evento de entrada ha ocurrido y el tiempo
de retraso especificado ha expirado
INTERMEDIATE
EVENT
{Evento Intermedio)
Un evento de falla que resulta de las
interacciones de otros eventos de falla los
cuales han sido desarrollados a travs de
puertas lgicas como las definidas
anteriormente.
BASIC EVENT
{Evento Bsico)
Un componente de falla que no requiere de
desarrollo posterior. Un evento basico es el
nivel mas bajo de resolucin en un arbol de
falla
UNDEVELOPED
EVENT
{Evento no
desarrollado)
Un evento de falla que no es examinado
posteriormente, porque no hay informacin
disponible o el desarrollo posterior de dicho
evento sobre pasa el alcance del estudio.
EXTERNAL OR HOUSE
EVENT
{Evento Externo o de
casa)
Una condicin o un evento el cual se asume
exista como una condicin de frontera para
el arbol de falla
TRANSFER INJOUT
SYMBOLS
{Smbolos de
transferencia de
entradaJsalida)
El simbolo de transferencia de entrada
indica que el arbol de falla es desarrollado
mas alla de lo correspondiente por el
simbolo de transferencia de salida (Ej. En la
pagina siguiente). Los simbolos son
etiquetados usando numeros o cdigos para
asegurar que puedan ser diferenciados.
Simbolos de transferencia son
frecuentemente usados para evitar el repetir
Seminario: Evaluacin de Riesgos de Proceso en Instalaciones Industriales
Instructor: Ing. Ernesto Castaeda Macas
Promotor: SURATEP Colombia, Octubre, 2001
secuencias lgicas en diversos lugares del
modelo del arbol de falla.
Definiciones:
Eventos de falla y eventos basicos representando fallas de equipo o humanas (de ahora en adelante,
ambas de equipo y humanas son referidas como componentes) pueden ser divididas en fallas o faltas.
Una falla de componente es una mala operacin del mismo que requiere que el componente sea
reparado antes de que pueda ser usado exitosamente nuevamente. Por ejemplo, cuando la flecha de una
bomba se rompe, esta es clasificada como falla de componente. Un falta del componente es una mala
operacin la cual se corregira" por si sola una vez que las condiciones que causaron la mala operacin
sean corregidas. Un ejemplo de una falta del componente es un interruptor que falla al hacer contacto
debido a que esta humedo - cuando los contactos del interruptor son secados el interruptor vuelve a
operar normalmente.
Sin importar que una mala operacin de un componente sea clasificada como falla o como falta, la
consideracin basica para el Analisis de Arbol de Falla es la de que todos los componentes se encuentran
ya sea en condicin de falla o en condicin de trabajo. Normalmente, los analisis para subdividir los
diferentes estados de operacin no es practico. Los analistas deberan definir las condiciones de falla para
cada evento usado en el modelo de arbol de falla. Tanto faltas como fallas descritas en un arbol de falla
pueden ser clasificadas en tres clases: (1) Faltas y fallas primarias, (2) faltas y fallas secundarias, y (3)
Faltas y fallas de comando.
Faltas y fallas primarias son mal operaciones que ocurren cuando el componente esta operando en un
ambiente para la cual fue disenada. Por ejemplo, cuando un recipiente a presin falla a una presin
dentro de sus limites de diseno defecto a una soldadura defectuosa, esta es una falla primaria. Faltas y
fallas primarias son usualmente atribuibles a un defecto en el componente fallido y no puede ser
atribuido a una fuerza o condicin externa. Asi que, componentes que experimentan una falta o falla
primaria son ellos mismos responsables de sus problemas de funcionamiento.
Faltas y fallas secundarias son problemas de funcionamiento de equipo que ocurren en un ambiente para
lo que la operacin del equipo no fue disenada. Por ejemplo, cuando un recipiente a presin falla debido
a que la causa de que otro sistema falle, ocasiona que la presin interna exceda los limites de diseno del
recipiente. Faltas y fallas secundarias no son la responsabilidad del equipo que fall, pero puede ser
atribuible a fuerzas y condiciones externas.
Las faltas y fallas de comando, son problemas de funcionamiento de equipo en donde las funciones del
componente funcionan como fue disenado; es considerada una mala operacin debido a que la funcin
del componente no fue la deseada. Por ejemplo, una alarma de temperatura falla al anunciar
temperatura alta en un proceso debido a que el sensor de temperatura falla , por lo que es un comando
de falla a la alarma. La alarma experimenta una falla debido a que el sensor falla al enviar el comando a
la alarma para que suene cuando la alta temperatura ocurre; asi que, no se requiere una reparacin para
la alarma. Los comandos de falta o falla no son responsabilidad del equipo que falla, pero la falla en el
equipo supuestamente se debi al comando del mismo.
Seminario: Evaluacin de Riesgos de Proceso en Instalaciones Industriales
Instructor: Ing. Ernesto Castaeda Macas
Promotor: SURATEP Colombia, Octubre, 2001
Todas estas tres clases de faltas y fallas van a aparecer normalmente en un arbol de falla. Uno de los
objetivos del analisis de arbol de falla es el identificar los eventos basicos que puedan resultar en un
accidente. Estos eventos basicos son faltas y fallas primarias que identifican al componente que es
responsable de la falla. Faltas y fallas secundarias y de comando son los eventos de falla intermedios los
cuales son posteriormente definidos por las faltas y fallas primarias (eventos basicos).
Procedimiento de anlisis.
Existen cuatro pasos para el analisis que se deben de seguir para llevar a cabo una analisis de arbol de
fallas; (1) definicin del problema, (2) construir el arbol de falla, (3) el analisis del arbol de falla
cualitativamente, (+) documentar los resultados.
Definiendo el problema. Para definir el problema usted tiene que seleccionar: (1) El evento principal
Top Event" y (2) Condiciones de frontera para el analisis. Estas condiciones de frontera para el analisis
incluyen;
Barreras fisicas del sistema Eventos no permitidos
Nivel de resolucin Condiciones existentes
Condiciones iniciales Otras consideraciones
El definir el evento principal es uno de los aspectos mas importantes del primer paso. El evento
principal es el accidente (o evento no deseado) del cual es objeto el analisis de arbol de falla (este evento
es normalmente identificado a travs de otros estudios de evaluacin de riesgos). Eventos principales
deberan ser precisamente definidos para el sistema o planta el cual este siendo analizada porque el
realizar un analisis sobre un evento principal superficial o mal definido, puede frecuentemente llevar a un
resultado ineficiente. Por ejemplo, un evento principal fuego en la planta" es demasiado general para un
analisis de arbol de fallas. Por el contrario, un apropiado evento principal podria ser una reaccin
incontrolada de oxidacin en un reactor durante su operacin normal". Esta descripcin de un evento
esta bien definida y con un alcance apropiado debido a que dice qu", dnde", y cuando". El qu
(reaccin incontrolada) nos dice el tipo de accidente, el donde (un reactor de oxidacin) nos dice el
sistema o equipo de proceso involucrado en el accidente, y el cuando (durante la operacin normal) nos
dice la configuracin general del sistema.
Las barreras fisicas del sistema delimitan al equipo, las interfaces de los equipos con otros procesos, y los
sistemas de servicios f soporte que deberan ser incluidos en el analisis de arbol de falla. A lo largo de las
fronteras fisicas del sistema, el analista debera especificar el nivel de resolucin para los eventos del
arbol de falla (el nivel de resolucin simplemente establece la cantidad de detalle de ser incluida en el
arbol de falla). Por ejemplo, una valvula operada con un motor puede ser incluida como una pieza
independiente de equipo, o puede ser descrita como diferentes elementos independientes (Ej. Cuerpo de
la valvula, interiores, y el motor). Este despiece podria tambin incluir el interruptor del reductor,
suministro de energia, y al operador humano necesario para activar la operacin de la valvula. Un factor
que debera ser considerado en la definicin del nivel de resolucin es la cantidad de informacin
detallada de la falla que es disponible al analista. La resolucin de un arbol de fallas debera ser limitado
al detalle necesario para satisfacer los objetivos del analista.
Otra condicin de frontera es la configuracin inicial del equipo o condiciones iniciales de
operacin. Esta informacin establece la configuracin del sistema y equipo que es incluido en el
analisis de arbol de falla. El analista especifica que valvulas estan abiertas, cuales estan cerradas, qu
Seminario: Evaluacin de Riesgos de Proceso en Instalaciones Industriales
Instructor: Ing. Ernesto Castaeda Macas
Promotor: SURATEP Colombia, Octubre, 2001
bombas estan operando, cuales estan apagadas, etc., para todo el equipo dentro de las fronteras fisicas
del sistema. Estas condiciones de frontera describen al sistema en sus condiciones normales y de falla.
Eventos no permitidos son, para el propsito de un analisis de arbol de falla, son aquellos que son
considerados increibles o que, por cualquier otra razn, no deberan ser considerados en el analisis. Por
ejemplo, fallas en el cableado pueden ser excluidas del analisis del sistema de instrumentacin.
Condiciones existentes son (tambin para los propsitos de un analisis de arbol de fallas) eventos o
condiciones consideradas con la certeza de ocurrir. Eventualmente los eventos existentes y los no
permitidos no aparecen en el arbol de falla finalizado, pero sus efectos deberan ser considerados para el
desarrollo de otros analisis.
Construyendo un rbol de falla. La construccin de un arbol de falla comienza con el evento principal
Top Event" y continua, nivel por nivel, hasta que todos los eventos de falla han sido trazados hacia sus
causas basicas (eventos basicos). El analista comienza con el evento principal y, para el siguiente nivel,
usa un razonamiento deductivo de causa y efecto para determinar las causas inmediatas, necesarias y
suficientes, que resulten en un evento principal Top Event", el problema puede ser muy simple para un
analisis de arbol de falla. Normalmente, estas no son causas basicas, pero son fallas intermedias que
requieren desarrollo adicional. Si el analista puede inmediatamente determinar las causas basicas del
evento principal, el problema puede ser muy simple para un analisis de arbol de falla y podria ser
evaluado por otra tcnica de evaluacin de riesgos.
Seminario: Evaluacin de Riesgos de Proceso en Instalaciones Industriales
Instructor: Ing. Ernesto Castaeda Macas
Promotor: SURATEP Colombia, Octubre, 2001
Las causas inmediatas del evento principal son mostradas en el arbol de falla en relacin con el evento
principal. Si cualquiera de las causas inmediatas resulta directamente en el evento principal, estara
conectado con el evento principal con una puerta lgica OR. Si todas las causas inmediatas son
requeridas para que el evento principal ocurra (como se muestra en el diagrama anterior), estaran
conectadas al evento principal con una puerta lgica AND. Cada uno de los eventos intermedios es
tratado en la misma forma como el evento principal. Para cada evento intermedio, las causas son
determinadas y mostradas en el arbol de falla con la puerta lgica apropiada.
El analista continua este procedimiento hasta que todos los eventos basicos intermedios han sido
desarrollados hacia sus causas de falla.
A continuacin se enlistan algunas reglas basicas que han sido desarrolladas para promover consistencia
y calidad en el proceso de construccin de un arbol de falla. Estos lineamientos tienen la intencin de
enfatizar la importancia de la construccin del modelo del arbol de falla en forma sistematica y metdica.
Seminario: Evaluacin de Riesgos de Proceso en Instalaciones Industriales
Instructor: Ing. Ernesto Castaeda Macas
Promotor: SURATEP Colombia, Octubre, 2001
Reglas para la construccin de un rbol de Falla
Establecimiento de Evento de
Falla
Escriba los enunciados que son alimentados en las cajas y los
circulos como fallas. Establezca en forma precisa la descripcin del
componente y el modo de falla de dicho componente. El hacer
estas declaraciones tan preciso como sea posible es necesario para
completar la descripcin del evento de falla. Las porciones del
cdnde? Y cqu? Especifican al equipo y sus estados relevantes de
falla. La condicin cporqu? Describe la situacin del sistema con
respecto al equipo, asi que nos dice porqu dicho estado del equipo
es considerado una falla. Estas declaraciones deben ser tan
completas como sea posible; el analista debera resistir la tentacin
de abreviarlas durante la construccin del arbol de falla.
Evaluacin de Evento de Falla Cuando se lleve a cabo la evaluacin de un evento de falla, haga la
pregunta: cEsta falla puede ser considerada como una falla de
equipo? Si la respuesta es si", clasifique el evento de falla como
estado de falla del equipo". Si la respuesta es no", clasifique el
evento de falla como estado de falla del sistema" . Esta
clasificacin ayuda en el desarrollo continuo en el evento de falla.
Si el evento es un estado de falla de equipo, coloque una puerta
OR al evento de falla y busque las fallas primarias, secundarias o
de comando que puedan haber dado como resultado dicho evento.
Si el evento de falla es un estado de falla de sistema, busque las
causas del evento de falla.
No hay milagros Si el funcionamiento normal del equipo origina una secuencia de
falla, asuma que el equipo funciona normalmente. Nunca asuma
que la milagrosa y totalmente inesperada falla de un equipo
interrumpe o previene el que un accidente ocurra.
Complete cada puerta Todas las entradas hacia una puerta en particular deberan ser
completamente definidas antes de realizar analisis posteriores de
cualquier otra puerta. Para modelos simples, el arbol de falla
debera ser cubierto en niveles, y cada nivel debera ser completado
antes de comenzar el siguiente nivel. Sin embargo, analistas
experimentados podrian considerar esta regla inmanejable durante
el desarrollo de arboles de falla grandes.
No conecte una puerta a otro
puerta
Las entradas de las puertas deberan ser propiamente definidas
como eventos de falla; asi es, las puertas no deberan de ser
conectadas directamente con otras puertas. El utilizar atajos en el
desarrollo del arbol de falla conduce a confusin debido a que las
salidas de las puertas no son especificadas.
Analizando el Nodelo del arbol de Falla. El arbol de falla completado provee informacin util a travs de
mostrar como las fallas interactuan para dar como resultado un accidente. Sin embargo, aun un analista
experimentado no puede identificar directamente del arbol de falla todas las combinaciones de fallas que
pueden dar como resultado el accidente de nuestro inters (a menos que l o ella estn buscando un
Seminario: Evaluacin de Riesgos de Proceso en Instalaciones Industriales
Instructor: Ing. Ernesto Castaeda Macas
Promotor: SURATEP Colombia, Octubre, 2001
arbol de falla muy simple). Asi que discutiremos un mtodo para obtener dichas combinaciones (NCS's)
para el arbol de falla (este proceso es tambin conocido como resolviendo" el arbol de falla"). El juego
minimo de condiciones (NCS's) son todas las combinaciones de fallas que pueden resultar en el evento
de falla principal del arbol falla Top Event". Ellos son, lgicamente un equivalente a la informacin
desplegada en el arbol de falla. Los NCS's son utiles para priorizar las formas en que un accidente puede
ocurrir, y ellos permiten la cuantificacin del arbol de falla en el caso en que exista la apropiada
informacin disponible. Existen varias formas, manuales y computarizadas, para resolver un modelo de
arbol de falla a travs de sus minimas combinaciones (NCS's).
La solucin del mtodo del arbol de falla consiste en cuatro pasos: (1) !dentificar todas las puertas y
eventos basicos en forma unica, (2) resuelva todas las puertas dentro de juegos o combinaciones de
eventos basicos, (3) remueva eventos duplicados dentro de los juegos, y (+) borre todos los super juegos
(juegos que contengan otros juegos). El resultado del procedimiento es una lista de juegos minimos de
combinaciones (NCS's) para el arbol de falla.
Seminario: Evaluacin de Riesgos de Proceso en Instalaciones Industriales
Instructor: Ing. Ernesto Castaeda Macas
Promotor: SURATEP Colombia, Octubre, 2001
Paso 1. El primer paso es el identifica en forma singular (sin duplicidad) todas las puertas y eventos
basicos en el arbol de falla. Como se puede ver en el ejemplo, las puertas se identifican con letras y los
eventos basicos con numeros. Cada identificacin es unica, y si un evento basico aparece mas de una vez
en un arbol de falla, este debera tener el mismo identificador cada vez. Por ejemplo, el evento basico
numero 2, aparece dos veces en el ejemplo, cada vez con el mismo identificados.
Paso 2. El segundo paso es el resolver todas las puertas dentro de los eventos basicos. Esto se lleva a
cabo en un formato de matriz, comenzando con el evento principal Top Event" y prosiguiendo a travs
de la matriz hasta que todas las puertas estn resueltas. Las puertas son resueltas a travs de
remplazarlas en la matriz con sus respectivas entradas. El evento principal siempre es la primer entrada
en la matriz y es alimentada en la primer columna de la primera fila. Existen dos reglas para la
alimentacin de la informacin restante en la matriz: la regla de la puerta OR y la regla de la puerta AND.
La regla de la puerta OR - La primer entrada (input) a una puerta OR reemplaza al
identificador de la puerta de la matriz, una entrada por fila. En adicin, si existen otras entradas
en la fila en donde la puerta OR aparezca, estas entradas deberan ser repetidas en todas las filas
que contengan las otras entradas (inputs) a la puerta.
La regla de la puerta AND - Cuando se esta resolviendo una puerta AND en una matriz, la
primer alimentacin (input) a la puerta AND remplaza al identificador de la puerta en la matriz, y
las otras alimentaciones a la puerta AND son insertadas en la siguiente columna disponible, una
alimentacin por columna, en la misma fila en donde la puerta AND aparezca. Cada puerta
subsiguiente es resuelta y todas las otras entradas a la puerta AND seran incluidas en cada nueva
fila creada. Las puertas !NH!B!T y DELAY son resueltas como si fueran puertas AND.
A A B D
( a ) ( b )
B 1 D C 1 D 2 C
1 4 C
( c ) ( d )
1 2 C 2 1 2 2
1 4 C 1 4 C 2
1 2 3 1 2 3
Seminario: Evaluacin de Riesgos de Proceso en Instalaciones Industriales
Instructor: Ing. Ernesto Castaeda Macas
Promotor: SURATEP Colombia, Octubre, 2001
1 4 3
( a ) ( b )
Estas dos reglas se repetiran tantas veces como sea necesario hasta que se mantengan identificadores
de eventos basicos en la matriz.
Las tablas anteriormente expuestas muestran la forma en que se resuelve utilizando las dos reglas, el
arbol de falla anteriormente presentado. Parte (a) la matriz muestra la primera entrada en la matriz, la
puerta A, la cual es el evento principal Top Event" en nuestro ejemplo de arbol de falla. La puerta A es
una puerta AND, asi que aplicamos la regla de la puerta AND para resolver la puerta A en sus
alimentaciones (inputs), puertas B y D, como se muestra en las Parte (b). Ahora escogemos la siguiente
puerta para ser resuelta, por ejemplo, la puerta B. La puerta B es tambin una puerta AND, asi que sus
alimentaciones (inputs) son alimentadas en la misma fila que la puerta B. Este reemplazo es mostrado es
mostrado en la Parte (c).
Siguiente, resolvemos la puerta D. La puerta D es una puerta OR, asi que su primer alimentacin (input)
reemplaza D, y su segunda alimentacin es alimentada en la siguiente fila disponible, como se muestra
en la Parte (d). Note que la puerta C es ahora la unica puerta que queda en la matriz, apareciendo en
ambas filas, 1 y 2. Cada suceso de la puerta C es resuelto separadamente. Primero, en la fila 1, nosotros
aplicamos la regla de la puerta OR a la puerta C, tal como se muestra en la Parte (e), resultando en un
nuevo juego de entradas en la fila 3. Similarmente, nosotros resolvemos el segundo suceso de la puerta
C de acuerdo a lo que se muestra en la Parte (f). Esto completa la resolucin de las puertas en la matriz.
Los resultados de este paso son cuatro grupos de juegos de eventos basicos:
Juego de corte !: 1,2,2
Juego de corte !!: 1,2,+
Juego de corte !!!: 1,2,3
Juego de corte !v: 1,3,+
Paso 3. El tercer paso del procedimiento de solucin del arbol de falla es el remover eventos duplicados
dentro de cada juego de eventos basicos identificados. Unicamente el juego de corte 1 tiene un evento
basico repetido en los resultados: el evento basico 2 aparece duplicado. Cuando nosotros retiramos este
evento repetido, los juegos de eventos basicos son:
Juego de corte !: 1,2
Juego de corte !!: 1,2,+
Juego de corte !!!: 1,2,3
Juego de corte !v: 1,3,+
Paso 4. El cuarto paso del procedimiento de solucin del arbol de falla es el borrar todos los Super-
juegos que aparecen en los juegos de los eventos basicos. En estos juegos, existen dos super-juegos.
Ambos, !! y !!! son super-juegos de !; esto es, tanto !! y !!! contienen a !. Una vez que estos super-
juegos son borrados; los juegos que quedan son los Ninimos juegos de corte (NCS's) para nuestro
ejemplo:
Ninimo Juego de Corte !: 1,2
Ninimo Juego de Corte !!: 1,3,+
Seminario: Evaluacin de Riesgos de Proceso en Instalaciones Industriales
Instructor: Ing. Ernesto Castaeda Macas
Promotor: SURATEP Colombia, Octubre, 2001
Una vez que la lista de los Ninimos Juegos de Corte para un evento principal en particular es encontrado,
un analista puede evaluar las fallas constitutivas para determinar los puntos dbiles" en el sistema.
Utilizando los resultados de este analisis cualitativo, el analista de un arbol de falla puede proponer
sugerencias para mejorar la seguridad del sistema que esta siendo estudiado.
Documentando los resultados. La etapa final en el desarrollo de un analisis de arbol de falla es el
documentar los resultados del estudio. El analista de riesgo debera proveer una descripcin del sistema
analizado, una discusin de la definicin del problema, una lista de consideraciones, el modelo(s) de arbol
de falla que hayan sido desarrollados, listado de los Ninimos Juegos de Corte (NCS's), asi como la
evaluacin de la significancia de los mismos. Adicionalmente, cualquier otra recomendacin que haya sido
generada durante el analisis debera ser presentado.
Ejemplo
El sistema consiste en un reactor de proceso para un proceso altamente inestable, el cual es sensible
ante cualquier pequeno cambio de temperatura. El sistema esta equipado con un sistema de rociado de
agua para en caso de emergencia enfriar al reactor para protegerlo en caso de una reaccin incontrolada.
Para prevenir una reaccin fuera de control durante un incremento de temperatura, el flujo de entrada de
material de proceso al reactor debera detenerse o de lo contrario el sistema de rociado debera ser
activado. La temperatura del reactor es monitoreada por un sensor (T1) en cual automaticamente activa
el sistema de rocio, abriendo la valvula de suministro de agua al sistema de rocio cuando el incremento
de temperatura es detectado. Al mismo tiempo, el sonido del sensor T1 y una alarma en el cuarto de
control alertan al operador del incremento de temperatura. Cuando la alarma suena, el operador activa el
interruptor de cierre de la valvula para detener la entrada del flujo al reactor. El operador tambin debera
activar el interruptor del sistema de rocio en el cuarto de control, en caso de que este no sea activado
automaticamente por el sensor T1. Si la valvula de entrada se cierra o el sistema de rocio es activado, el
dano al sistema debido a una reaccin incontrolada es evitado.
El primer paso del analisis del arbol de falla es el definir el problema. Para este ejemplo, la definicin del
problema es como sigue:
Evento Principal: Dano en el reactor debido a alta temperatura en el proceso.
Evento Existente: Alta temperatura de proceso.
Eventos No Permitidos: Fallas de suministro elctrico, fallas en los interruptores de
paro, y fallas en el cableado de instrumentacin.
Fronteras Fsicas: De acuerdo a lo mostrado en el diagrama. Equipos de
proceso localizados corriente arriba y corriente abajo del
reactor no son considerados.
Configuracin del sistema: valvula de alimentacin al reactor abierta, valvula de
suministro de agua contra incendio cerrada.
Nivel de solucin: Equipo de acuerdo a lo mostrado en el diagrama.
Seminario: Evaluacin de Riesgos de Proceso en Instalaciones Industriales
Instructor: Ing. Ernesto Castaeda Macas
Promotor: SURATEP Colombia, Octubre, 2001
La construccin del arbol de falla comienza con el evento principal y procede nivel por nivel hasta que
todas las fallas han sido trazadas hasta sus causas basicas. Para comenzar el arbol de falla, primero
determine las causas inmediatas, necesarias, y suficientes para determinar el evento principal e
identificar la puerta lgica que define la relacin de aquellas causas con el evento principal. De la
descripcin del sistema en el ejemplo, nosotros podemos identificar dos condiciones necesarias para que
el evento principal suceda, dado que exista alta temperatura en el reactor:
No exista flujo en el sistema de rocio
La valvula de entrada al reactor se mantenga abierta
Debido a que estos dos eventos deben existir simultaneamente para que exista el evento principal, el
desarrollo requiere de una puerta lgica AND, como se muestra en el diagrama. La condicin existente de
alta temperatura en el reactor es mostrada como evento de hogar en el mismo diagrama.
El desarrollo ahora continua al siguiente nivel; asi es, cada uno de los eventos de falla es desarrollado a
travs de determinar sus causas inmediatas, necesarias y suficientes. Para el evento No hay flujo en el
sistema de rocio", existen dos causas posibles:
Prdida de suministro de agua contra incendio
La valvula del sistema de rocio no pueda abrir
Como cualquiera de estas dos causas resultan en falta de flujo, ellas son adheridas al arbol de falla con
puertas lgicas OR. El siguiente diagrama muestra este desarrollo y el desarrollo continuado del evento
valvula de alimentacin al reactor permanece abierta". Aqui tambin se muestra el evento falta de
suministro de agua contra incendio" representado por un simbolo de un evento no-desarrollado
Seminario: Evaluacin de Riesgos de Proceso en Instalaciones Industriales
Instructor: Ing. Ernesto Castaeda Macas
Promotor: SURATEP Colombia, Octubre, 2001
(diamante). Podrian haber varias causas para el evento, pero estan fuera del alcance de la definicin del
problema por lo que no estan desarrolladas en el arbol de falla.
El desarrollo del arbol de falla continua hasta que todos los eventos son resueltos hasta sus causas
basicas o hasta que las fronteras del sistema sean alcanzadas. Usted puede ver el desarrollo del arbol de
falla completo.
El siguiente paso en el analisis del arbol de falla es el determinar los Ninimos Juegos de Corte (NCS's)
para el arbol de falla siguiendo el procedimiento anteriormente descrito. Para permitirle al lector el revizar
la solucin, la siguiente tabla muestra la lista de los Ninimos Juegos de Corte. Los NCS's son priorizados
de acuerdo al juicio del analista de acuerdo a la importancia de los eventos que formen parte de los
NCS's.
MCS's Evento Bsico Tipo de Eventos
1 3 Falla de equipo activa
2 1, 7 Falla de equipo activa, error humano
Seminario: Evaluacin de Riesgos de Proceso en Instalaciones Industriales
Instructor: Ing. Ernesto Castaeda Macas
Promotor: SURATEP Colombia, Octubre, 2001
3 2, 7 Falla de equipo activa, error humano
+ 1, 5 Falla de equipo activa, falla de equipo activa
5 1, 6 Falla de equipo activa, falla de equipo activa
6 2, 5 Falla de equipo activa, falla de equipo activa
7 2, 6 Falla de equipo activa, falla de equipo activa
Seminario: Evaluacin de Riesgos de Proceso en Instalaciones Industriales
Instructor: Ing. Ernesto Castaeda Macas
Promotor: SURATEP Colombia, Octubre, 2001