Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

analisis de riesgos en planta usando árboles de eventos - AURA-O

Anuncio 
FACULTAD DE INGENIERIA
ESCUELA DE INGENIERIA MECANICA
ANALISIS DE RIESGOS EN PLANTA
USANDO ÁRBOLES DE EVENTOS
FERNANDO ESPINOSA FUENTES
INTRODUCCIÓN. El análisis de riesgos es una técnica para identificar, caracterizar, cuantificar y
evaluar peligros. Esta herramienta puede ser usada para apoyar la decisión sobre la regulación y la
inversión en seguridad. El análisis de riesgo consiste de dos fases distintas: una fase cualitativa de
identificación, caracterización y ordenamiento de los riesgos; y una fase cuantitativa de la
evaluación del riesgo, la cual incluye la estimación de la probabilidad (p.ej.: frecuencias) y
consecuencias de la ocurrencia del peligro. Las principales metas de la administración del riesgo
son minimizar la ocurrencia de los accidentes mediante la reducción de la probabilidad de su
ocurrencia (minimizar la presencia del peligro); reducir el impacto de los accidentes incontrolables
(preparar y adoptar medidas de emergencia) y transferir el riesgo (p. ej.: vía seguros). La
estimación de la probabilidad de la frecuencia del riesgo depende de gran manera de la
confiabilidad de los componentes del sistema, tomando como sistema la interacción del hombre y
la máquina o entorno.
ANÁLISIS DE RIESGOS PARA EL OPERARIO. La seguridad-inocuidad de un sistema puede ser
definida como la probabilidad de que un sistema no falle de una manera que produzca heridas
peligrosas personales o de que pueda ocurrir una gran pérdida económica. En este mismo sentido,
la fiabilidad puede ser definida como la probabilidad de que tales fallas críticas no ocurran en un
intervalo especificado de tiempo, dado que el sistema cumplía satisfactoriamente todas sus
funciones al comienzo de tal intervalo.
Esto significa que un sistema puede ser muy seguro aún si el sistema es no fiable. Esto es
verdad si el sistema siempre falla (con una alta probabilidad) de una manera no peligrosa. Muchos
sistemas pueden ser detenidos sin problemas cuando se detecta una falla crítica de seguridad.
Tales sistemas pueden ser implementados con falla silenciosa. Esto significa que cuando una falla
de seguridad crítica se detecta, el sistema automáticamente se detiene. Un sistema con falla
silenciosa, que es un caso especial de una clasificación más general de sistemas seguro a la falla,
tiene un comportamiento en el cual las fallas peligrosas no pueden ocurrir en el nivel del sistema.
Haciendo uso del análisis funcional del equipo, para reconocer aquellos subsistemas que
podrían eventualmente reportar peligro y teniendo en cuenta la forma de trabajo e intervención del
operario a cargo del equipo, se elabora un mapa de los subsistemas peligrosos (ver figura 7.1),
para posteriormente estudiar sus niveles de peligrosidad.
Se puede obtener un método de análisis estructurado para evaluar el riesgo, usando un
árbol de decisión de tipo binomial, ya que refleja bien las situaciones más recurrentes: grave o
leve, frecuente o no frecuente, etc. El resultado de este análisis provee lineamientos para el
diseño del sistema de seguridad, el cual está basado sobre cinco niveles relativos de riesgo. Estos
niveles parten del rango más bajo (nivel/categoría B) en el cual la severidad del daño es leve y
tiene una probabilidad relativa pequeña de ocurrencia, hasta la más alta del nivel de riesgos
(nivel/categoría 4) en el cual la probabilidad de un daño severo es relativamente alta. Este árbol de
decisión se muestra en la figura 7.2.
sistema
subsistema
seguridad de
la función
seguridad de
la función
subsistema
subsistema
seguridad de
la función
subsistema
o parte
subsistema
o parte
seguridad de
la función
seguridad de
la función
nivel de peligrosidad
nivel de peligrosidad
Fig. 7.1: Árbol para análisis de partes peligrosas.
El análisis de un árbol de eventos permite al
diseñador cuantificar el nivel de riesgo
asociado con la máquina o uno de sus subsistemas. Para cualquier sistema dado, el analista
primero clasifica el conjunto de problemas potenciales en términos de:
•
La severidad del daño potencial (S):
•
S1 es para daños leves: provoca ausencia corta del operario.
•
S2 para daños graves: en caso extremo la muerte del operario.
•
La frecuencia de la exposición al peligro potencial (F):
•
F1 exposición no frecuente: revisión distanciada en el tiempo del proceso productivo.
•
F2 exposición frecuente a continua: el proceso requiere atención permanente.
•
•
La posibilidad de evitar el peligro si éste ocurre (P):
P1 puede ser posible: velocidad o frecuencia de los movimientos del punto peligroso es
baja y la distancia del operador al punto peligroso es grande.
•
P2 menos posible: velocidad o frecuencia de los movimientos del punto peligroso es alta y
la distancia del operador al punto peligroso es pequeña.
•
La probabilidad de ocurrencia si un interbloqueo falla (L):
•
L1 puede ser muy improbable
•
L2 puede ser improbable
•
L3 altamente probable
L3
L2
L1
B
B
B
S1
P1
O
1
F1
P2
P1
S2
F2
P2
B
2
B
1
3
2
4
3
B
1
3
1
1
4
2
2
Fig. 7.2: Árbol de eventos para determinar niveles de peligro o riesgos para el operario.
Diferentes máquinas y procesos presentan diferentes tipos de peligros y riesgos para el
operador y el personal de mantenimiento. La valoración estructurada del riesgo es una manera
sistemática de cuantificar esos niveles de riesgos, a principios del desarrollo o bien durante la vida
útil para revalorizar el índice en base a los datos recolectados. Conduce al equipo de diseño a
determinar el espectro de la seguridad requerida del sistema, necesaria para proteger al personal
de posibles heridas, identificar peligros y posibles problemas de diseños del equipo.
La valoración estructurada del riesgo formaliza lo que, en muchas ocasiones, han sido
procesos intuitivos en los cuales los diseñadores usan experiencias pasadas para identificar y
valorar el riesgo y elegir salvaguardas para ellos. Con este tipo de cuantificación en mano, los
diseñadores o mantenedores pueden definir mejor los tipos de salvaguarda necesarios para cada
ocasión.
El sistema de seguridad general de requerimientos de diseño, asociado con cada nivel
valorado de riesgo, es descrito por las Normas Europeas (EN954-1). Como se podría esperar, a
mayor posibilidad o severidad del daño, más grandes son los requerimientos en el diseño e
integridad del sistema de seguridad de la máquina.
Para el nivel B de riesgos, el sistema de seguridad está diseñado para encontrase con
requerimientos operacionales y resistir influencias esperadas externas. Esta categoría es
usualmente satisfecha seleccionando componentes compatibles con las condiciones de aplicación,
tales como los niveles de temperatura o voltaje que podrían existir. Aquí una simple avería o falla
en el sistema de seguridad puede conducir a la pérdida de la función de seguridad.
Para el nivel 1 de riesgos, el sistema de seguridad debe cumplir los requerimientos de la
categoría B, pero debe usar principios de seguridad y componentes bien probados. Principios y
componentes bien probados incluyen aquellos que: evitan se produzcan ciertas fallas, tales como
cortocircuitos; reducen la probabilidad de averías, quizás por subestimación de componentes
seleccionados, sobredimensionando para integridad estructural, o por otros medios; detectan fallas
tempranamente, como es el caso de los interruptores de puesta a tierra; aseguran el modo de
avería (por ejemplo, asegurar que un circuito se abre cuando es vital que la potencia se interrumpa
en la presencia de una condición insegura); o limitan las consecuencias de la avería.
Aquí también una simple avería o falla en el sistema de seguridad puede conducir a la
pérdida de la función de seguridad. Pero el uso de principios y componentes bien probados provee
un alto nivel de confiabilidad del sistema.
En el caso del nivel 2 de riesgos, el sistema de seguridad debe comprender los
requerimientos de la categoría B. Se le suma, además, que no se puede poner en funcionamiento
la máquina si se detecta una avería antes de la aplicación de la potencia, o durante chequeos
periódicos durante la operación
El último requerimiento sugiere el uso de un módulo de relees de seguridad con
redundancia y autochequeante o energizante. Un canal único de operación se permite para
proveer los mecanismos de entradas (protecciones de los interbloqueos de la máquina, botones de
parada de emergencias, etc.), los cuales son probados regularmente para una apropiada
operación.
Como en el caso de los aparatos categoría B, una sola avería o falla en el sistema de
seguridad puede conducir a la pérdida de la función de seguridad entre los intervalos de chequeo.
Sin embargo, los chequeos periódicos detectarían las averías y mantendrían un estado seguro
hasta que la avería sea corregida.
Similarmente, los sistemas de seguridad para los aparatos del nivel 3 deben contener
los requerimientos de la categoría B. Se le suma que la seguridad del sistema de control debe ser
diseñada de modo tal que una sola falla no conduzca a la pérdida de la función de seguridad. Y, en
la práctica, la sola falla sería detectada.
Para prevenir que una sola avería haga fracasar la función de seguridad, aquí se necesita
ser redundante en el módulo de relees de seguridad. Un requerimiento adicional es el uso de un
canal dual de monitoreo de los aparatos de entrada tales como interruptores de conexión de la
máquina, botones de emergencias, etc.
En general, los requerimientos del sistema de seguridad del nivel 4 incluyen todos los
del nivel 3 y contienen adicionalmente el requerimiento que, en la práctica, una sola falla se detecta
en o antes de la siguiente demanda del sistema de seguridad. Si esto es imposible, entonces la
acumulación de múltiples averías no debe conducir a la pérdida de la función de seguridad. El
número permitido de averías será determinado por la aplicación, tecnología usada y estructura del
sistema. En otras palabras, una sola avería o falla en el nivel 4 del sistema de seguridad no
debería comprometer la función de seguridad.
Los requerimientos del nivel 4 de seguridad están usualmente asociados con aplicaciones
extremadamente riesgosas. Consecuentemente, el sistema de seguridad relacionado puede ser
muy complejo y costoso. Afortunadamente, pocas máquinas representan un nivel 4 de riesgo,
porque la práctica del diseño en general de máquinas, respecto a la jerarquía clásica de seguridad,
la mayoría de los peligros de la máquina son eliminados en el diseño, y se toman medidas
precautorias para evitarlos si ellos no pueden ser eliminados en el diseño, o como última opción
poner sobre aviso al usuario.
Un caso de aplicación. Teniendo un conocimiento previo en terreno de las condiciones en que
trabaja un operario frente a su máquina, se puede evaluar la condición de seguridad, siguiendo los
pasos indicados en el diagrama de la figura 7.2, el cual está implementado en planilla Excel (ver
figura 7.3). Para cada paso en la evaluación, la situación más real a la que se ve enfrentado el
operario se indica mediante el valor 1, así por ejemplo, si la severidad del daño que le podría
causar un accidente es grave, se marca con valor 1 la celda identificada con S2.
Siguiendo cada etapa del análisis, conducirá finalmente al analista a tener una visión de las
características que deberán tener los implementos de seguridad en la máquina, equipo o lugar de
trabajo.
Fig. 7.3: Planilla para calcular el riesgo probable para un operario.
El número que indica el índice de impacto probable, es sólo una guía para relacionar el tipo de
ínter bloqueo más indicado con el análisis realizado a través del árbol binario de decisión y así
comprobar si el ínter bloqueo instalado es suficiente o bien tomar las medidas del caso.
ANALISIS PROBABILISTICO DEL RIESGO (APR) PARA UNA PLANTA INDUSTRIAL. El
siguiente análisis provee una metodología para analizar el riesgo probable de accidente en una
planta, a través de un esquema similar al ya expuesto para el operario, y se recomiendan los
siguientes pasos (ver figura 7.4):
Desarrollo de la
secuencia (escenarios)
Cuantificación:
• Análisis dependiente
de la falla.
• Análisis de incerteza.
• Cálculo del riesgo.
Desarrollo de los
eventos iniciales
Estimaciones de
las consecuencias
Análisis del sistema
Desarrollo de
información:
- Procedimientos.
- Test y prácticas de
mantención.
- Confiabilidad humana.
- Datos de fallas.
- Esquemas.
- Especificaciones.
- Criterios de éxito.
- Apoyo de información.
- Interacción humana.
VALOR
DEL
RIESGO
Fig. 7.4: Pasos en un análisis del APR.
1. Definición de la metodología.
La preparación para un APR comienza con una revisión de los objetivos del análisis del riesgo,
para proveer una ruta o camino para el análisis.
2. Familiarización y recopilación de información.
Es necesario para comenzar el APR tener un conocimiento general del layout físico del sistema
o del proceso (p. ej.: facilidades, planta, diseño), controles administrativos, procedimientos y
pruebas de mantenimiento y sistemas protectores cuyo funcionamiento mantiene la seguridad.
Se deben entender con suficientes detalles todos los sistemas, ubicaciones y actividades
esperadas que jueguen un papel en la iniciación, propagación o detención de una condición
peligrosa, a fin de poder construir los modelos necesarios para capturar todos los escenarios
posibles. Se debe realizar una inspección detallada a los procesos en las áreas esperadas de
interés e importancia para el análisis.
Los siguientes ítems deberán ser considerados en este paso:
a) Identificar los sistemas principales de seguridad y emergencia (o métodos).
b) Identificar y describir detalladamente las interacciones físicas entre todos los sistemas
principales. El resultado debe ser resumido en una matriz de dependencia.
c) Se debe llevar un registro de los eventos pasados de fallas y situaciones no normales que
se han observado en el proceso. Tal información podría ayudar a generar escenarios de
aplicaciones importantes.
d)
La documentación consistente es la llave para asegurar la calidad del APR. Entonces se
debe diseñar un buen sistema de información para sustentar el estudio.
Con la interacción de los diseñadores del proceso, los operarios y los administradores se
determinan las reglas básicas para el análisis, el escenario del análisis y la configuración que será
analizada. También se debe determinar las fallas y las condiciones que serán incluidas o excluidas,
los modos de operación de interés, los datos de referencia o nivel estándar de diseño, y la
configuración física asociada al nivel estándar. El nivel estándar es un dato arbitrario después del
cual no hay cambios adicionales en el diseño del proceso y la configuración que será modelada.
Entonces, los resultados del APR son sólo aplicables al proceso y los datos de referencia.
3. Identificación de los eventos iniciales.
Esta tarea involucra identificar aquellos eventos (eventos anormales) que podrían, si no son
correctamente detectados, resultar en una exposición peligrosa. El primer paso involucra
identificar fuentes de peligro y las barreras para estos peligros. El siguiente paso involucra
identificar los eventos que pueden conducir a una amenaza directa a la integridad de las
barreras.
Un sistema o proceso puede tener uno o más modos de operación los cuales entregan sus
correspondientes salidas. En cada modo operacional, se ejecutan operaciones específicas que dan
como resultado las salidas esperadas. Cada función está directamente relacionada a uno o más
sistemas que ejecutan las acciones funcionales necesarias. Estos sistemas a su vez están
compuestos de varias unidades básicas (p. ej.: componentes) que ayudan a conseguir el objetivo
del sistema. Mientras el sistema esté operando dentro de sus parámetros de diseño, son pocas las
posibilidades de cambiar los componentes del sistema tal que los peligros potenciales puedan
traspasar estas barreras. Estos modos operacionales son llamados modos normales de operación.
Durante el modo normal de operación la pérdida de ciertas funciones de los sistemas
podrían causar que el proceso entre una condición fuera de lo normal. Una vez en esta condición,
se presentan dos posibilidades: primero, el estado del proceso podría ser tal que no se requieren
de otras funciones para mantener el proceso en una condición segura (segura se refiera a un
modo donde el cambio a la exposición al peligro en los límites del proceso es sumamente difícil), y
la segunda posibilidad es un estado donde otras funciones o sistemas se requieren para prevenir la
exposición al peligro dentro de los límites del sistema. Para esta segunda posibilidad, la pérdida de
una función o la pérdida de un sistema es un evento inicial. Ya que tal evento está relacionado al
proceso operativo del equipo, se llama evento operacional inicial.
Una alternativa para identificar los eventos iniciales es usar la descomposición jerárquica del
análisis del modo de falla y efecto (AMFE). El uso del AMFE para identificar los eventos iniciales
consiste en la identificación de los eventos conducentes a una falla (modos de falla) cuyos efectos
es una amenaza a las barreras del peligro.
Para simplificar el proceso, es necesario, después de identificar todos los eventos iniciales,
combinar estos eventos iniciales que provocan la misma amenaza a las barreras y requieren de las
mismas funciones de mitigación del proceso para prevenir la exposición al peligro.
El siguiente procedimiento inductivo se debe seguir cuando se agrupan los eventos iniciales:
a. Combine los eventos iniciales que directamente rompen todas las barreras del peligro.
b. Combine los eventos iniciales que rompen la misma barrera (no necesariamente todas las
barreras).
c. Combine los eventos iniciales que requieren el mismo conjunto de acciones de mitigación
humana o automática, siguiendo su ocurrencia.
d. Combine los eventos iniciales que simultáneamente incapacita el proceso normal y algunas
de las acciones humanas o automáticas de mitigación.
Los eventos que causan una operación fuera de lo normal del proceso y requieren de otro
sistema de operación para mantener el proceso dentro de sus límites deseados, pero que no está
directamente relacionado al proceso o componentes, son eventos iniciales no operacionales. Los
eventos no operacionales iniciales se identifican con el mismo método usado para identificar los
eventos operacionales. Sin embargo, los eventos de interés son aquellos que son primariamente
externos al proceso.
El siguiente procedimiento debería ser seguido es este paso para el APR:
a. Seleccione un método para identificar los eventos iniciales específicos operacionales y no
operacionales. Dos métodos representativos son la jerarquización operacional y el AMFE.
Si está disponible una lista inicial genérica de eventos iniciales, esta puede ser usada
como complemento.
b. Usando el método seleccionado, identifique un conjunto de eventos de iniciación.
c. Agrupe los eventos iniciales de tal forma que aquellos que tienen el mismo efecto en el
proceso y requieren las mismas funciones mitigantes para prevenir la exposición al peligro
o accidente sean agrupadas juntas.
4. Secuencia o desarrollo del escenario.
El objetivo del desarrollo del escenario es derivar un conjunto completo de escenarios que
abarquen todas las rutas posibles de propagación del peligro que puedan conducir a la pérdida
o confinamiento del peligro siguiendo la ocurrencia del evento inicial. Para describir la causa y
efecto entre el iniciador y la progresión del evento, es necesario identificar aquellas funciones
(p. ej.: funciones de seguridad) que deben ser mantenidas para prevenir la pérdida de las
barreas al peligro. Los escenarios que describen las respuestas funcionales del proceso a los
eventos iniciales son frecuentemente descritos mediante árboles de eventos.
Siguiendo un evento inicial se elaboran los árboles de eventos y la representación (de
manera cronológica aproximadamente) de los éxitos o fallas de las acciones claves de mitigación
(p. ej.: acciones humanas o dispositivos mitigantes que responden automáticamente) que son
requeridos para responder al evento inicial. En el APR, dos tipos de árboles de eventos se pueden
desarrollar: funcional o sistemático. El árbol de eventos funcional usa las funciones mitigantes
como su entrada. El propósito principal del árbol funcional es comprender mejor el escenario de
eventos a un alto nivel, siguiendo la ocurrencia de un evento inicial. El árbol funcional también guía
al analista del APR en el desarrollo más detallado del árbol de eventos sistémico. El árbol de
eventos sistémico, refleja los escenarios de mitigación de eventos específicos (acciones humanas
específicas o sistemas operacionales mitigantes o fallas) que conducen a una salida peligrosa.
Esto es, el árbol de eventos funcionales puede ser más bien descompuesto para mostrar equipos o
dispositivos específicos o acciones humanas que ejecutan las funciones descritas en el árbol de
eventos de eventos funcionales. Entonces, un árbol de eventos sistémico delinea totalmente el
proceso o la respuesta del sistema a un evento inicial y sirve como la herramienta principal para un
análisis posterior en el APR.
Los siguientes procedimientos se deben seguir en este paso del APR:
a. Identificar las funciones mitigantes de cada evento inicial (o grupo de eventos).
b. Identificar las correspondientes acciones humanas, operaciones del sistema o dispositivos
asociados con cada función, junto con las condiciones necesarias para el éxito.
c. Desarrollar un árbol de eventos sistémicos para cada evento inicial (o grupos de eventos).
d. Desarrollar un árbol de eventos sistémicos para cada evento inicial, delineando las
condiciones de éxito, fenómeno de progresión del evento inicial y el efecto final de cada
escenario.
5. Análisis del sistema.
Los árboles de eventos comúnmente involucran puntos en sus ramas en la cual un sistema
dado (evento) ya sea trabaja (o sucede) o no trabaja (o no sucede). A veces, la falla de esos
sistemas (o eventos) es rara y sus datos pueden ser no adecuados para eventos observados de
fallas, para proveer una base de datos confiables de tasa de fallas. En tales casos hay que
tener otra metodología dependiendo de la certeza de los datos. El método más común usado en
un APR es calcular la probabilidad de falla del sistema mediante el análisis del árbol de fallas.
Los siguientes pasos se deben seguir como parte del desarrollo de un árbol de fallas:
a. Desarrolle un árbol de fallas para cada evento en el árbol de entradas.
b. Explicite el modelo de dependencias de un sistema en otros sistemas y dependencias inter
componentes (p. ej.: causas de fallas comunes).
c. Incluya toda causa potencial de fallas, tales como dispositivos, software, pruebas y
mantenimiento y error humano en el árbol de fallas.
6. Eventos internos externos al proceso.
Los eventos que se originan dentro de un sistema complejo son llamados eventos internos. Los
eventos que afectan adversamente al proceso y ocurren fuera de los límites del proceso, pero
dentro de las instalaciones, se definen como eventos internos externos al proceso. Típicos
eventos internos externos al proceso son incendios internos, flujos internos, eventos de alta
energía dentro de un sistema complejo. Los sucesos de estos eventos deberían ser modelados
con árboles de eventos para mostrar todos los posibles escenarios.
7. Eventos externos.
Son eventos que se originan fuera del sistema complejo. Ejemplo de eventos externos serían el
incendio, temblor terrestre, choques, etc. Esta clasificación puede ser usada para agrupar
escenarios en los árboles de eventos.
8. Consideraciones dependientes de las fallas.
Para lograr un nivel muy bajo de riesgos, los sistemas y dispositivos que comprenden las
barreras a la exposición al peligro deben tener muy altos niveles de confiabilidad. Esta alta
confiabilidad es lograda típicamente a través del uso de redundancias y/o diversos dispositivos,
las cuales proveen múltiples alternativas de éxito. El problema entonces comienza en el
aseguramiento de las independencias de esas alternativas, ya que siempre hay algún grado de
acoplamiento entre la fallas de los mecanismos, ya sea a través del medio operativo (eventos
externos a los dispositivos), o a través de dependencias funcionales o espaciales. El tratamiento
de estas dependencias debe ser cuidadosamente incluido en el desarrollo y análisis de los
árboles de eventos y de fallas en el APR. Como la confiabilidad de los sistemas individuales y
de los subsistemas aumenta debido a la redundancia, la contribución de las fallas dependientes
se vuelve muy importante, al punto que las fallas dependientes pueden dominar la totalidad de
la confiabilidad. El tratamiento de las fallas dependientes no es un paso aislado realizado
durante el APR, se debe considerar en todo su análisis (p. ej.: en los árboles de eventos,
árboles de fallas y acciones humanas).
El siguiente procedimiento se debe seguir en el análisis de las dependencias:
a. Identifique los ítems que son similares y pueden causar dependencias o causas comunes de
falla. Por ejemplo, bombas similares, válvulas moto-operadas, válvulas operadas por aire,
generadores diesel y baterías son los mayores componentes en las plantas de procesos y
se consideran fuentes importantes de causas de fallas comunes.
b. Los ítems que son potencialmente susceptibles a una causa común de falla se deben
incorporar explícitamente en los árboles de eventos y de fallas cuando es aplicable.
c. Las dependencias funcionales deben ser identificadas y explícitamente modeladas en los
árboles de fallas y de eventos.
9. Análisis de los datos de fallas.
Un bloque crítico en la valoración de la confiabilidad y disponibilidad de los ítems de un sistema
complejo es el dato de falla en el desarrollo del ítem. En particular, la mejor fuente para predecir
futuras disponibilidades del equipo son las experiencias pasadas o las pruebas. Los
componentes de los datos de confiabilidad son las entradas a los modelos de estudios de la
confiabilidad y la validez de esos resultados depende altamente de la calidad de la información
de entrada. Se debe reconocer, sin embargo, que los datos históricos tienen validez solamente
en el entendido que las condiciones circundantes son las mismas. Tres tipos de eventos se
identifican durante la secuencia el accidente, y el modelamiento del sistema debe ser
cuantificado para los árboles de eventos y árboles de falla para estimar la frecuencia de
ocurrencias de las secuencias: eventos iniciales, componentes fallados y errores humanos.
La cuantificación de los eventos iniciales y la probabilidad de fallas de los componentes
involucran dos actividades separadas. Primero, el modelo de confiabilidad para cada evento se
debe establecer, en seguida los parámetros del modelo se establecen. Los datos necesarios
incluyen tasa de fallas de los componentes, tiempos de reparación, frecuencia de pruebas, pruebas
de detención, probabilidad de las causas comunes y caracterización de las incertezas.
El siguiente procedimiento se debe seguir como parte de la tarea de análisis de datos:
a. Determinar los valores genéricos de las tasa de fallas y distribución de probabilidad de las
fallas para componentes identificados en el análisis del árbol de fallas.
b. Determinar pruebas, reparaciones y acciones de mantenimiento primarias de la experiencia,
si es posible. De otra forma use fuentes genéricas.
c.
Determinar la frecuencia de los eventos iniciales y otros eventos de fallas de los
componentes a partir de la experiencia, juicio de expertos o fuentes genéricas.
d. Determinar la probabilidad de falla de causas comunes para ítems similares, principalmente
de datos genéricos. Sin embargo, cuando un dato específico significativo está disponible se
puede usar.
10. Cuantificación.
Las secuencias de los árboles de fallas y de eventos se cuantifican para determinar las
frecuencias de los escenarios e incertezas asociadas en los cálculos. Las aproximaciones
dependen a veces de la manera como las dependencias del sistema se manejan.
Normalmente, se usa la cuantificación mediante la reducción Booleana para arribar a una
representación Booleana para cada secuencia. Comenzando con los modelos de árboles de falla
para varios sistemas o eventos de entrada en los árboles de eventos, y usando las estimaciones
de probabilidades para cada uno de los eventos en el árbol de fallas, se obtiene la probabilidad de
entrada para cada árbol de eventos (si la entrada es independiente do otras entradas).
El siguiente procedimiento se debe seguir como parte del proceso de cuantificación:
a. Combinar los correspondientes árboles de fallas asociados con cada falla o evento exitoso
en la secuencia del árbol de eventos (p. ej.: combínelos en una forma Booleana).
Desarrolle una función reducida Booleana para cada secuencia.
b. Calcular la frecuencia total de cada secuencia, usando la frecuencia de eventos iniciales, la
probabilidad de falla de los dispositivos, frecuencias de test y mantenimiento, distribución
de probabilidades de causas de fallas, y probabilidad de fallas humanas.
c. Calcular la frecuencia de cada secuencia.
Un ejemplo de aplicación. Considere el sistema de protección contra el fuego mostrado en la
figura 7.5. Este sistema está diseñado para extinguir todos los fuegos posibles en una planta que
maneja productos químicos tóxicos. Hay dos dispositivos independientes con boquillas extintoras
las cuales están diseñadas de tal manera que cada una de ellas es capaz de controlar cualquier
tipo de incendio dentro de la planta. El dispositivo de boquillas 1 es el dispositivo principal de
inyección de agua. Cuando se recibe una señal desde el detector de fuego, la bomba 1 funciona
automáticamente, succionando agua desde el estanque de almacenamiento e inyectándola en el
área con fuego de la planta.
Detector
Actuador de alarma
(DAA)
Válvula (V12)
Estanque de
agua (EA)
Válvula (V11)
B1
Válvula (V22)
Válvula (V21)
Boquillas línea 1 (BI1)
Boquillas línea 2 (BI2)
B2
Bombas
Potencia
exterior (PE)
Dpto. de
bomberos (DB)
Generador Diesel
(GD)
Fig. 7.5: Sistema de protección contra el fuego.
Operador (Op)
Si el circuito 1 de inyección de agua no funciona, el operador de la planta puede poner en
funcionamiento a una segunda unidad de bombeo manualmente. Si la segunda unidad no está
operativa, el operador puede llamar al departamento de bomberos, aunque el detector también
envía una señal directamente a bomberos. Sin embargo, debido a la tardanza en la llegada de los
bomberos, la magnitud del daño podría ser tan grande como si el fuego fuese extinguido por los
inyectores de agua.
Bajo todas las condiciones, si la potencia exterior no está disponible debido al fuego u otras
razones, un generador local proveería de energía eléctrica a las bombas. La potencia para el
detector se provee a través de baterías, las cuales están siendo constantemente cargadas desde
la energía exterior. Aún si la corriente alterna no está disponible, se espera que la corriente
continua esté siempre disponible a través de las baterías. Las válvulas manuales a ambos lados
están normalmente abiertas, y permanecen cerradas cuando se están reparando las bombas. El
sistema completo contra el fuego y el generador están ubicados afuera de la planta por lo cual no
son afectados por fuego interno alguno.
El análisis de riesgos es el que se indica a continuación:
1. Identificación de los eventos iniciales.
En este paso, todos los eventos que conducen o promueven un incendio en la planta se deben
identificar. Esto debería incluir equipos funcionando mal, errores humanos y condiciones del
proceso, conjuntamente con la frecuencia de cada evento. Suponiendo que todos los eventos
conducirían a la misma magnitud del fuego, el último evento inicial es el fuego, para el cual la
frecuencia es la suma de las frecuencias de los eventos individuales causantes del fuego.
Asuma para este ejemplo que la frecuencia estimada de la aparición del fuego es 1x10-6/año.
Ya que el fuego es el único desafío para la planta en este ejemplo, se tiene al final un solo
evento inicial. Sin embargo, en situaciones más complejas, un gran conjunto de eventos
iniciales se pueden identificar, cada uno de ellos siendo un desafío diferente en la planta.
2. Desarrollo del escenario.
En esta etapa, se debe explicar la causa y efecto de las relaciones entre el fuego y la
progresión de los eventos que siguen al fuego. Se usará el método de árbol de eventos para
describir estas relaciones. Generalmente, esto se realiza en forma inductiva, y el nivel de
detalles considerado en el árbol depende del analista. Dos medidas de protección han sido
consideradas en el árbol de eventos, mostrado en la figura 7.6: medidas de protección en el
sitio o lugar (bombas, estanque, etc.) y medidas exteriores (departamento de bomberos). La
selección de estas medidas está basada en el hecho de la disponibilidad o no disponibilidad de
las medidas en el lugar o fuera del lugar que podrían conducir a diferentes estados de daño en
la planta.
Resultado final
Sistema de
protección en
el lugar (PEL)
Funciona
Efecto
Daño grado 1
Menor
Daño grado 2
Mayor
Daño grado 3
Catastrófico
Sistema de
protección
fuera del
lugar (PFL)
Fuego (F)
Funciona
Falla
Falla
Fig. 7.6: Distintos escenarios usando el árbol de eventos.
3. Análisis del sistema.
En este paso, se deben identificar todas las fallas (de equipos o humanas) que conducen a la falla
de la entrada del árbol de eventos (medidas de protección en el sitio o fuera del sitio).
Por ejemplo en la figura 7.7, se muestra el árbol de fallas desarrollado para el sistema de
protección contra el fuego en el lugar. En este árbol de fallas, se describen todos los eventos
básicos que conducen a la falla de los circuitos independientes. Note que la energía eléctrica de
las bombas y el estanque de agua están presentes en las dos rutas. Claramente esto es
considerado una dependencia física. Esto se debe tomar en cuenta en la cuantificación del análisis
del riesgo. En estos árboles, todos los eventos externos y pasivos que conducen a la falla no han
sido considerados. En la figura 7.8 se muestra el árbol de fallas para el sistema de protección fuera
del lugar.
4. Análisis de los datos de fallas.
Es importante en este punto calcular la probabilidad de los eventos básicos de falla descritos en
el árbol de eventos y en los árboles de fallas. Esto se puede realizar usando datos específicos
de la planta, datos genéricos o juicios de expertos. En la tabla 7.1 se entregan los datos usados
para esta evaluación. Se asume que se necesitan a lo menos 10 horas para extinguir el fuego
completamente.
Boquillas línea 1
inhabilitada
Válvula 12
cerrada
OR
Falla ruta de
inyección 1
OR
Falla bomba
1
Válvula 11
cerrada
Bomba 1
inhabilitada
Falla detector
alarma
AND
Sin energía
bomba 1
Gen. Diesel
inhabilitado
Estanque
inhabilitado
Falla sistema
AND protección en el
lugar
Sin energía
exterior
Boquillas línea 2
inhabilitadas
Válvula 22
cerrada
OR
Falla ruta de
inyección 2
OR
Falla bomba
2
Válvula 21
cerrada
Estanque
inhabilitado
Operador no
da la partida
Bomba 2
inhabilitada
Falla detector
alarma
AND
Sin energía
bomba 2
Fig. 7.7: Árbol de eventos para el sistema de protección en el lugar.
Operador no avisa a
los bomberos
AND
Fallas
internas
Fallas detector
alarma
Falla sistema
OR protección fuera
del lugar
Respuesta tardía de
los bomberos
Fig. 7.8: árbol de eventos para el sistema de protección fuera del lugar.
Sin energía
exterior
Gen. Diesel
inhabilitado
DATOS PARA LA EVALUACIÒN DEL APR
Evento de falla
Experiencia en la planta
Dato genérico
Frecuencia de iniciación
No hay datos de incendios
Cinco incendios en plantas
F = 5/70000
del fuego
durante los últimos 10
similares.
F = 7,1x10-5/año
años de operación
años-planta
Hay
de
Probabilidad usada
70.000
Comentarios
Uso de datos genéricos
expe-
riencia.
Falla de las bomba 1 y
Cuatro fallas de las dos
Fallas al funcionar =
4/(2x12x10)=
Para fallas en la partida
bomba 2
bombas
1x10-5/hr.
0,0166/demanda
use datos específicos de
realizan pruebas mensual-
No disponibilidad =
la planta. Para fallas al
mente cuyos tiempos son
0,0166 + 10/8760 =
funcionar
cortos.
0,0178
genéricos. Suponiendo 10
reparación toma 10 horas
Fallas al funcionar =
años de experiencia y
en la frecuencia de 1 vez
1x10-5/hr.
8760 horas en el año.
al año. No se sabe de
B1 = B2 =
fallas al funcionar.
0,0178 + 1x10-5x10 =
al
El
partir.
tiempo
Se
de
use
datos
1,79x10-2
Causa común de fallas
No se tiene conocimiento
entre las bombas 1 y 2
Usando en método del
Usando
la
no
dispo-
Despreciar las posibles
factor β, con β=0,1 para
nibilidad debido a fallas
fallas comunes de las
falla de las bombas al
comunes:
boquillas y las válvulas.
partir. Ver nota al pie.
CCF = 0,1x1,78x10-2
= 1,78x10-3
V11 = V12 = V21 = V22=
Se usan datos específicos
válvula cerrada después
= 1/(2x12x10)
de la planta.
de una prueba de la
= 4,2x10-3
Falla por aislamiento de
Una
las válvulas.
falla al dejar la
No se usan.
bomba, por subsistema.
Falla de las boquillas.
No
hay
experiencias
1x10-5/demanda
= 1x10 /demanda
anteriores.
Tres fallas en las pruebas
Diesel
mensuales.
horas
Se usa dato genérico
-5
Falla en el generador
40
BI1 = BI2 =
3x10-2/demanda
3/(12x10) =
Datos específicos de la
2,5x10 /demanda
planta se usan para falla
-2
para
su
3x10-3/hora por corrida
reparación por año.
en la demanda. Se supone
3x10-3/hora
GD = 2,5x10 + 3x10 x40
10 años de experiencia.
= 0,145
Genérico
-2
-3
para
el
funcionamiento.
Pérdida
de
potencia
No hay experiencia.
0,1/año
exterior.
PPE = 0,1x10/8760
= 1,1x10 /demanda
-4
Asuma
10
horas
de
operación para extinguir el
fuego y uso de dato
genérico.
Falla del detector.
No hay experiencia.
No disponibilidad de datos.
MAA = 1x10
-4
Esta
estimación
está
basada en el juicio de un
experto.
Tabla 7.1: Datos para evaluación del APR.
DATOS PARA LA EVALUACIÒN DEL APR
Evento de falla
Experiencia en la planta
Falla del operador en la
No hay experiencia.
partida de la bomba 2.
Dato genérico
Uso de método THERP
Probabilidad usada
Comentarios
OP1 = 1x10-2
Uso del método THERP
OP2 = 1x10-3
Este dato está basado en
para tareas de esta clase,
se sugiere 1x10-2
Falla del operador en
No hay experiencia.
1x10-3
llamar a los bomberos.
experiencias similares de
no respuesta. Se usa dato
genérico.
Respuesta atrasada o no
hay
respuesta
departamento
No hay experiencia.
1x10-4
LFD = 1x10-4
Esto está basado en casos
del
similares del cuerpo de
de
bomberos. Atrasos o no
bomberos.
llegada
se
debe
accidentes,
problemas
a
tráfico,
de
comuni-
cación, etc.
Estanque con fallas.
No hay experiencia.
1x10-5
T = 1x10-5
Esto está basado en datos
de ruptura del estanque o
contenido
de
agua
insuficiente.
Tabla 7.1 (cont): datos para evaluación del APR.
Nota: en general, la probabilidad de causas comunes de fallas entre k elementos específicos en un
grupo compuesto por m elementos, tal que se cumple 1≤ k ≤ m, se puede calcular a través del
modelo que relaciona los parámetros de la probabilidad total Qt y la relación entre la tasa de fallas
debido a causas comunes y tasa de fallas independientes β, como sigue:
Qk =
(1 – β)Qt
k=1
0
1< k < m
βQt
k=m
Método THERP (Technique for Human Error Rate Prediction), un sistema convencional de análisis
de confiabilidad modificado para cuantificar posibles errores humanos. En vez de generar
diferentes estados en un equipo, THERP reproduce posibles actividades humanas y su
correspondiente posibilidad de error humano. Para mayores detalles consultar Swain, A.D. and
H.E. Guttman (1983), “Handbook of human Reliability Analysis with EMPSIS on Nuclear Power
Applications”, U.S. Nuclear Regulatory Commission, NUREG/CR-1278, Washington D.C.
5. Cuantificación.
Para calcular la frecuencia de cada escenario definido en la figura 7.9, se determina la
probabilidad de cada escenario basado en la probabilidad de cada evento integrante del árbol
de fallas. Para el árbol de eventos los tres escenarios a evaluar serán:
Escenario1 = F x (PEL) funciona
Escenario2 = F x (PEL) falla x (PLF) funciona
Escenario3 = F x (PEL) falla x (PLF) falla
El proceso se muestra en la figura 7.9.
Figura 7.9: árbol de eventos valorado.
6. Consecuencias.
En el desarrollo del escenario y la cuantificación de las tareas, se identifican tres escenarios
distintos de interés, cada uno con distintas salidas y frecuencias. La consecuencia asociada con
cada escenario se especifica en términos de las pérdidas económicas y/o humanas. Esta parte
del análisis es una de las más difíciles por diferentes razones:
1) Cada escenario posee peligros y formas de exposición diferentes al peligro, y requieren
de cuidadosos monitoreos. En este caso, el modelo debería incluir como el fuego se
propaga a través de la planta, como la gente se puede exponer, procedimiento de
evacuación, disponibilidad de ropa protectora, etc.
2) La salida del escenario puede ser medida en término de pérdidas humanas. También
puede ser medida como pérdidas financieras. Esto involucra asignar valores a la vida
humana o a los accidentes, lo cual es fuente de controversias.
El bajo valor asignado al riesgo indica que el riesgo del fuego no es importante en esta
planta. Sin embargo, los escenario 1 y 2 son significativamente más importantes que el escenario
3. Entonces, si el riesgo fuese alto, uno podría mejorar estos componentes o eventos, que tengan
una mayor contribución al escenario 1 y 2. El escenario 1 es debido principalmente a la falla común
entre las bombas 1 y 2, así reduciendo esta probabilidad de falla se puede analizar una fuente
potencial del mejoramiento.
7. Cálculo del riesgo y evaluación.
Usando los valores de la figura 7.9, se puede calcular el riesgo asociado con cada escenario:
Escenario número
Consecuencia económica
1
$1.000.000
2
$92.000.000
3
$210.000.000
El riesgo se muestra en la tabla 7.2:
Escenario número
Riesgo del escenario
1
7,1x10-5x$1.000.000 = $71,3
2
8,5x10-8x$92.000.000 = $7,8
3
8,5x10-19x$210.000.000 = $0,0
Tabla 7.2: Riesgos valorados para cada escenario.
Ya que el análisis muestra que el riesgo debido al fuego es más bien bajo, no es importante
realizar un análisis de incertezas.
CONCLUSION. Controlar el riesgo también es parte integral del mantenimiento ya que situaciones
inseguras y sus posibles efectos afectan negativamente, cuando estas se convierten finalmente en
accidentes. Redundan sobre el personal en forma dramática disminuyendo su rendimiento y sobre
los bienes deteriorándolos. Un análisis detallado como el mostrado puede ser una gran
salvaguarda a situaciones no deseadas.
Documentos relacionados
NO DE FALLAS PROBLEMA PRESENTADO ANÁLISIS
NO DE FALLAS PROBLEMA PRESENTADO ANÁLISIS
capítulo i mantenimiento
capítulo i mantenimiento
FallosSD
FallosSD
1). De un ejemplo de un producto muy caro que tenga una calidad
1). De un ejemplo de un producto muy caro que tenga una calidad
Servicio que agrupa una serie de actividades cuya ejecución
Servicio que agrupa una serie de actividades cuya ejecución
LAS FALLAS DE LOS SISTEMAS DE CONTROL EMPRESARIAL La
LAS FALLAS DE LOS SISTEMAS DE CONTROL EMPRESARIAL La
Señal auditiva, visual, olfativa o táctil, deliberada
Señal auditiva, visual, olfativa o táctil, deliberada
Temario - Centro de Geociencias ::.. UNAM
Temario - Centro de Geociencias ::.. UNAM
Descargar
Anuncio
Anuncio