Ud. está en: Contenidos > Seguridad Industrial> Accidentes de Trabajo> NTP 333: Anlisis probabilstico de riesgos: Metodologa del "rbol de fallos y errores"

NTP 333: Anlisis probabilstico de riesgos: Metodologa del "rbol de fallos y errores"

Fecha de Publicación: 18/9/2009

NTP 333: Anlisis probabilstico de riesgos: Metodologa del "rbol de fallos y errores"

Vigencia Actualizada por NTP Observaciones
Vlida
ANLISIS
Criterios legales
Criterios tcnicos
Derogados: Vigentes: Desfasados: Operativos: S

Redactor: Toms Piqu Ardanuy Ingeniero Tcnico Qumico Licenciado en Derecho
Antonio Cejalvo Lapea Ingeniero Industrial
CENTRO NACIONAL DE CONDICIONES DE TRABAJO

Fuente: Ministerio de Trabajo y Asuntos Sociales de Espaa


Introduccin


Habida cuenta que las tcnicas evolucionan rpida y continuamente y que la complejidad de los sistemas e instalaciones industriales es creciente, resulta cada vez ms limitado establecer programas de seguridad nicamente en base a los conocimientos adquiridos o por extrapolacin de situaciones similares.

Ciertamente, los conocimientos y la experiencia permiten establecer reglas generales, apoyndose en normas y reglamentaciones que se deben cumplir, pero la seguridad a exigir e implantar en una instalacin o en un proceso concreto intrnsecamente peligroso precisa de una evaluacin puntual de los peligros existentes.

Esta evaluacin, que conocemos como "anlisis de riesgos", nos habr de permitir identificar los riesgos y evaluarlos cual cualitativamente y, si cabe, tambin cuantitativamente.

Ello no es tarea fcil cuando el riesgo viene determinado por diversidad de factores de riesgo o de posibles fallos en su mayora concatenados entre s. Es imprescindible discernir y considerar todos los fallos significativos para estimar sus consecuencias y la probabilidad de acontecimiento, para finalmente conocer el riesgo de que sucedan determinados accidentes. Y a resultas de ello establecer un programa de mejoras y de control del riesgo.

Esta NTP tiene por objeto dar a conocer a nivel introductorio la Metodologa del "rbol de fallos y errores" como tcnica para el "anlisis de riesgos" que nos ha de facilitar la determinacin del riesgo propio de cada situacin, cuando se conjuga una diversidad de fallos a estudiar. Aunque la tcnica se aplica fundamentalmente para el anlisis de riesgos a partir de acontecimientos finales muy graves que pueden suceder en procesos industriales y que, por supuesto, se trata de evitar, tambin resulta til en situaciones en las que se pretende analizar "hacia atrs" el origen de determinados sucesos indeseados.


Antecedentes del anlisis por el "rbol de fallos y errores"

El mtodo de anlisis del "rbol de Fallos" (FTA: Fault Tree Analysis) (en esta NTP hablamos de "rbol de fallos y errores" para permitir diferenciar terminolgicamente los fallos de los componentes de las instalaciones de los errores en el comportamiento humano) fue concebido y utilizado por vez primera en 1962 por H. A. Watson, de Bell Telephone Laboratories, en relacin con un contrato de Air Force para evaluar las condiciones de seguridad de los sistemas de tiro de los misiles ICBM Minuteman.

A partir de ese momento, esta tcnica de anlisis de riesgos ha sido profusamente utilizada y perfeccionada por parte de instalaciones nucleares, aeronuticas y espaciales, extendindose despus su empleo para la evaluacin de riesgos a las industrias electrnica, qumica, petroqumica, etc.

Actualmente, las graves catstrofes industriales que han ocurrido en el mundo (Feyzin, Flixborough, Bophal, Chernobil, etc.) han sensibilizado a la opinin pblica, motivando a las autoridades a legislar sobre el tema, tanto a nivel de la Unin Europea como a nivel
interno de cada pas. As, la "Directiva Seveso" y sus posteriores modificaciones transpuestas a nuestra legislacin interna obligan a ciertas industrias a realizar estudios de sus riesgos potenciales capaces de actualizarse en accidentes mayores.

Si para la identificacin y evaluacin cualitativa de riesgos en procesos qumicos es el Hazop (Anlisis funcional de operabilidad) el procedimiento ms utilizado (NTP 238-1989), para su cuantificacin el mtodo del "rbol de fallos y errores" expuesto en la presente NTP es un mtodo clave, aunque su aplicacin legal queda limitada en nuestra reglamentacin sobre prevencin de accidentes mayores a cuando la autoridad competente lo exija.


Descripcin del mtodo

Se trata de un mtodo deductivo de anlisis que parte de la previa seleccin de un "suceso no deseado o evento que se pretende evitar", sea ste un accidente de gran magnitud (explosin, fuga, derrame, etc.) o sea un suceso de menor importancia (fallo de un sistema de cierre, etc.) para averiguar en ambos casos los orgenes de los mismos.

Seguidamente, de manera sistemtica y lgica se representan las combinaciones de las situaciones que pueden dar lugar a la produccin del "evento a evitar", conformando niveles sucesivos de tal manera que cada suceso est generado a partir de sucesos del nivel inferior, siendo el nexo de unin entre niveles la existencia de "operadores o puertas lgicas". El rbol se desarrolla en sus distintas ramas hasta alcanzar una serie de "sucesos bsicos", denominados as porque no precisan de otros anteriores a ellos para ser explicados. Tambin alguna rama puede terminar por alcanzar un "suceso no desarrollado" en otros, sea por falta de informacin o por la poca utilidad de analizar las causas que lo producen.

Los nudos de las diferentes puertas y los "sucesos bsicos o no desarrollados" deben estar claramente identificados.

Estos "sucesos bsicos o no desarrollados" que se encuentran en la parte inferior de las ramas del rbol se caracterizan por los siguientes aspectos:

  • Son independientes entre ellos.
  • Las probabilidades de que acontezcan pueden ser calculadas o estimadas.

Para ser eficaz, un anlisis por rbol de fallos debe ser elaborado por personas profundamente conocedoras de la instalacin o proceso a analizar y que a su vez conozcan el mtodo y tengan experiencia en su aplicacin; por lo que, si se precisa, se debern constituir equipos de trabajo pluridisciplinarios (tcnico de seguridad, ingeniero del proyecto, ingeniero de proceso, etc.) para proceder a la reflexin conjunta que el mtodo propicia.


Desarrollo del rbol

Prefijado el "evento que se pretende evitar" en el sistema a analizar, se procede descendiendo escaln a escaln a travs de los sucesos inmediatos o sucesos intermedios hasta alcanzar los sucesos bsicos o no desarrollados que generan las situaciones que, concatenadas, contribuyen a la aparicin del "suceso no deseado".

Para la representacin grfica de los rboles de fallos y con el fin de normalizar y universalizar la representacin se han elegido ciertos smbolos que se representan en la Tabla 1.

Si alguna de las causas inmediatas contribuye directamente por s sola en la aparicin de un suceso anterior, se conecta con l mediante una puerta lgica del tipo "O".

Por ejemplo:

En el diagrama de flujo, el producto pasar del punto 1 al punto 2 si est abierta la vlvula manual A o si est abierta la vlvula neumtica B, y su representacin lgica es la especificada en la figura.

Si son necesarias simultneamente todas las causas inmediatas para que ocurra un suceso, entonces stas se conectan con l mediante una puerta lgica del tipo "Y".

Por ejemplo:

En el diagrama de flujo representado, tienen que estar abiertas simultneamente las vlvulas A y B para que pase el producto del punto 1 al 2, y su representacin lgica es la especificada en la figura.

Procediendo sucesivamente de esta forma, se sigue descendiendo de modo progresivo en el rbol hasta llegar a un momento en que, en la parte inferior de las distintas ramas de desarrollo, nos encontramos con sucesos bsicos o no desarrollados. Habremos entonces completado la confeccin del rbol de fallos y errores.


Explotacin del rbol

La explotacin de un rbol de fallos puede limitarse a un tratamiento "cualitativo" o acceder a un segundo nivel de anlisis a travs de la "cuantificacin" cuando existen fuentes de datos relativas a las tasas de fallo de los distintos componentes.


Evaluacin cualitativa

Consiste en analizar el rbol sobre el plano de su estructura lgica para poder determinar las combinaciones mnimas de sucesos bsicos que hagan que se produzca el suceso no deseado o evento que se pretende evitar (nocin de "conjunto mnimo de fallos").

Adems, la estructura lgica de un rbol de fallos permite utilizar el lgebra de Boole, traduciendo esta estructura a ecuaciones lgicas. Para ello se expone muy brevemente tal sistema de equivalencia lgica:

  • Una puerta "0" equivale a un signo "+", no de adicin sino de unin en teora de conjuntos.
  • Una puerta "Y" equivale a un signo "." equivalente a la interseccin.

Algunas de las leyes y propiedades bsicas del lgebra de Boole ms importantes son:

  • Propiedad conmutativa:
    x + y = y + xX y = y x

  • Propiedad asociativa:
    x + (y + z) = (x + y) + zx (y z) = (x y) z

  • Propiedad distributiva:
    x (y + z) = x y + x z(x + y) z = x y + x z

  • Propiedad idempotente:
    x x = xx + x = x

  • Ley de absorcin:
    x (x + y) = xx + x y = x


De ello se extraen las siguientes consecuencias:

  • Transformar el rbol de fallos en una funcin lgica.
  • La posibilidad de simplificar la funcin lgica del rbol gracias a la constatacin de falsas redundancias. La reduccin de falsas redundancias (reduccin booleana) consiste en simplificar ciertas expresiones booleanas y consecuentemente los elementos de estructura que las mismas representan.

Lo anterior resalta la importancia de identificar durante el anlisis, adems de los fallos individuales de los componentes, los posibles fallos debidos a una causa comn o la determinacin de los componentes que fallan del mismo modo.

Para la resolucin de rboles de fallos se realizan los siguientes pasos:

  1. Identificacin de todas las puertas lgicas y sucesos bsicos.
  2. Resolucin de todas las puertas en sus sucesos bsicos.
  3. Eliminacin de los sucesos repetidos en los conjuntos de fallo: aplicacin de la propiedad idempotente del lgebra de Boole.
  4. Eliminacin de los conjuntos de fallo que contengan a su vez conjuntos de fallo ms pequeos, es decir, determinacin de entre todas las combinaciones posibles, los conjuntos mnimos de fallo: aplicacin de la ley de absorcin del lgebra de Boole.

A ttulo de ejemplo, en el caso de rboles sencillos, los conjuntos mnimos de fallos se pueden obtener sustituyendo las puertas "O" por sus entradas en las filas de una matriz y las de las puertas "Y" en columnas. Fig. 4

Se trata de ir descendiendo en el rbol para su resolucin eliminando y sustituyendo los sucesivos smbolos de identificacin de las puertas hasta obtener las diferentes combinaciones de fallos primarios identificados.

De la resolucin del rbol de fallos, obtenemos:

  • Vas secuenciales de fallos bsicos generadores del acontecimiento final: 1.2 y 1.2.3.
  • Conjunto mnimo de fallos que son necesarios para que se produzca el acontecimiento final: 1.2.

La va 1.2.3 en realidad es la misma que la 1.2, ya que el evento ya sucede con la simultaneidad de los fallos 1 y 2 sin necesidad de que acontezca el fallo 3, con lo que el conjunto mnimo de fallos es el 1.2.

En la prctica, los rboles suelen ser bastante ms complejos y la resolucin en conjuntos mnimos de fallos es ms dificultosa, por lo que se suele acudir a paquetes de software que resuelven los rboles tanto cualitativamente como cuantitativamente.

Asimismo, la utilizacin de la informtica permite efectuar simulaciones que nos permiten examinar las diferentes combinaciones existentes y resumir el rbol en los conjuntos mnimos de fallos.


Evaluacin cuantitativa

Precisa conocer la indisponibilidad o probabilidad de fallo de aquellos sucesos que en el rbol se representan en un crculo (sucesos bsicos) y determinar valores probabilsticos de fallo a aquellos sucesos que se representan en un rombo (sucesos no desarrollados).

Segn el modo en que ha fallado el componente, se calcula la probabilidad de fallo del mismo en funcin de la tasa de fallo que se puede obtener en bancos de datos y, fundamentalmente, de la propia experiencia. Existe, asimismo, informacin que nos proporciona datos estimativos sobre tasas de errores humanos que permite asignar valores probabilsticos a su ocurrencia.

El conocimiento de los valores de probabilidad de los sucesos primarios (bsicos o no desarrollados) permite:

  • Determinar la probabilidad global de aparicin del "suceso no deseado" o "evento que se pretende evitar".
  • Determinar las vas de fallo ms crticas, es decir, las ms probables entre las combinaciones de sucesos susceptibles de ocasionar el "suceso no deseado".

Para la valoracin de la probabilidad global de aparicin del "suceso no deseado" se realizan los siguientes pasos:

  1. Se asignan valores probabilsticos a los sucesos primarios.
  2. Se determinan las combinaciones mnimas de sucesos primarios cuya ocurrencia simultnea garantiza la aparicin del "suceso no deseado": establecimiento de los "conjuntos mnimos de fallos".
  3. Se calcula la probabilidad de cada una de las vas de fallo representada por los conjuntos mnimos de fallos, la cual es igual al producto (interseccin lgica en lgebra de Boole) de las probabilidades de los sucesos primarios que la componen.
  4. Se calcula la "probabilidad de que se produzca el "acontecimiento final", como la suma de las probabilidades (unin lgica de todos los N conjuntos mnimos de fallo en lgebra de Boole) de los conjuntos mnimos de fallo, como lmite superior, ya que matemticamente debera restarse la interseccin de stos.

A ttulo de ejemplo, si en el caso del rbol representado en la fig. 1 asignamos valores medios de probabilidades de fallo a los sucesos primarios:

  1. P 1 = 5 10 -3; P 2 = 6 10 -2; P 3 = 10 -3
  2. Conjunto mnimo de fallos: P 1 y P 2
  3. Pva(1)= P 1 P 2 = 5 10 -3 x 6 10 -2 = 300 10 -6
  4. Probabilidad de acontecimiento final: PAF = P 1 P 2 = 300 10 -6

En este caso coincide con la probabilidad del conjunto mnimo de fallos ya que ste es nico. En el supuesto que se plantea a continuacin, en que el rbol que se desarrolla es ligeramente ms complejo, se observar cmo se calcula la PAF a partir de la existencia de varios conjuntos mnimos de fallos.


Ejercicio de aplicacin del mtodo "rbol de fallos y errores"

"En una empresa qumica existe una nave de produccin en la cual el reactor es refrigerado por una red de agua industrial en circuito cerrado", siendo sta enfriada por una torre de refrigeracin tal y como se muestra en el esquema 1.

Esquema 1: Representacin del proceso. En trazo negro se representa la situacin inicial y en rojo la implantacin de las modificaciones propuestas

Hay veces en verano que la temperatura del agua de este circuito no es suficientemente baja y se debe enfriar complementariamente con la red de agua potable, mediante la apertura de la vlvula VC-1 que es accionada neumticamente a travs del termostato T.

La empresa se ha planteado con preocupacin que la red de agua industrial pudiera contaminar el agua potable, por las consecuencias que de ello podran derivarse. (La interconexin de ambas redes de agua est explcitamente prohibida en la 0.G.S.H.T. en su art. 38.4, por lo que este enunciado contempla un supuesto terico cuyo nico fin es el de facilitar la comprensin del mtodo y la reflexin sobre los resultados del anlisis probabilstico.)

Obviamente, para que el agua industrial entrase en la canalizacin de agua potable debera ser la presin P-1 mayor que P-2 (situacin que no se da en condiciones habituales), tendra que fallar la vlvula antirretorno VR-1 y fallar la vlvula VC-1, salvo en perodos calurosos en que VC-1 est abierta. En el anlisis de este supuesto se considera que la vlvula de control VC-1 se encuentra cerrada. Obviamente, cuando la vlvula de control est abierta por requerimiento del proceso, en la elaboracin del rbol se deberan eliminar los diferentes modos de fallo de este elemento."


En esta situacin, analizamos la probabilidad de contaminacin de la red de agua potable cuando accidentalmente la presin P-1 supera a la presin P-2, mediante la elaboracin del correspondiente rbol de fallos; considerando para la realizacin de este ejercicio las siguientes probabilidades de fallo de los diferentes elementos:

Fallo de vlvula de retencin VR por retroceso del fluido 10-2
Fallo de estanqueidad de VC en posicin de cierre 10 -3
Posibilidad de bloqueo de las vlvulas neumticas VC al abrir o cerrar 10-3
Fallo del termostato de regulacin de VC 10-3
Fallo de transmisin de seal del termostato o presostato 10-4
Fallo presostato 10-3
Fallo seal acstica de alarma 10-2
Probabilidad de no actuacin correcta ante alarma 10-2

El clculo de los conjuntos mnimos de fallo y de la probabilidad de contaminacin del agua potable es:

Con lo que la probabilidad del suceso no deseado, es decir, de contaminacin del agua potable es:

P = P (1,2) + P(1,3) + P (1,4) + P(1,5) =

= P 1 P 2 +P 1 P 3 + P 1P 4 +P 1 P 5 = 3, 1 10 -5

Del anlisis de la situacin actual de la instalacin observamos que la probabilidad de contaminacin de la red de agua potable cuando P1 > P2 es de 3,1 10 -5 y en la situacin en que la vlvula de control VC-1 est abierta la probabilidad de contaminacin del agua potable es la de que falle la vlvula de retencin VR-1, es decir, P = 10 -2; siendo ambas probabilidades no aceptables ante las posibles consecuencias a que dara lugar en caso de producirse la contaminacin.

"Ante ello, valoramos como variara tal probabilidad de contaminacin incorporando a la instalacin actual una segunda vlvula de retencin as como un presostato que acte, cuando P-1 se aproxime a P-2, sobre la vlvula VC2 dndole orden de cierre y, a su vez, al activarse d una alarma acstica en sala de control, a fin de que pudiera actuarse manualmente sobre VC-2 en caso de fallo del cierre neumtico.

Con el cierre de VC-2 se desconecta la alarma y el consiguiente incremento de temperatura activara el termostato T accionando la apertura de VC-1. La red de agua potable garantiza suficiente caudal para mantener refrigerado el reactor."

Analizamos en esta nueva situacin como vara la probabilidad de contaminacin de la red de agua potable, mediante la elaboracin de un nuevo rbol de fallos en el que se contemplan las variaciones simuladas.

El clculo de los conjuntos mnimos de fallo y de la probabilidad de contaminacin del agua potable se indica en la figura 7.

Obtendremos la probabilidad de contaminacin del agua potable mediante la suma de las probabilidades de ocurrencia de los conjuntos mnimos de fallo, dando un valor de 6,2685 10 -10. En las situaciones en que VC-1 est abierta (perodo muy caluroso), la probabilidad se incrementa hasta un valor de 2,0221 10 -7.

En esta nueva situacin, se observa como, con la incorporacin de unos determinados elementos bsicos de seguridad, se ha obtenido una importante mejora en cuanto a la fiabilidad de la instalacin en lo referente a la probabilidad de contaminacin del agua potable. Tengamos en cuenta que una probabilidad de dao inferior a 10 -1 puede considerarse indicativa de un hecho de materializacin remota, en cuyo entorno podra encontrarse la frontera de aceptabilidad social de las situaciones de riesgo de graves consecuencias.

De la resolucin de este supuesto en sus dos situaciones, la inicial y la propuesta de modificacin, se desprende cmo esta metodologa de anlisis permite, a partir de una situacin dada, establecer simulaciones que nos permiten conocer y valorar como va evolucionando la seguridad de la instalacin y, en consecuencia, adoptar las soluciones que nos permitan alcanzar unas cotas de seguridad tcnica y socialmente aceptables y asimismo facilita la justificacin de las inversiones en seguridad, puesto que permite conocer el grado de mejora que se obtendr con la implantacin de tales medidas.

Si bien es cierto que la aplicacin de esta metodologa presenta ciertas dificultades, tales como que exige un alto grado de conocimientos y experiencia tanto de las instalaciones a analizar como del propio mtodo y que precisa disponer de bases de datos propios a fin de superar la incertidumbre que genera la asignacin de valores de probabilidad de fallo a los componentes de la instalacin que se analiza; hay que considerar que el esfuerzo necesario para realizar los anlisis de riesgos cualitativos y cuantitativos queda ampliamente compensado no slo por la mejora final de la seguridad del sistema, sino, adems, por el enriquecimiento del equipo analizador en el conocimiento exhaustivo del funcionamiento del proceso y de los diferentes modos de fallo resultantes de las posibles alteraciones de las mltiples variables que condicionan el sistema.


Bibliografa

(1)
FAVARO, M et alt. Bilan des mthodes d'analyse a priori des risques Nancy, INRS, 1990, Cahiers de notes documentaires n 139
(2) RAMOS ANTN, ARISTIDES Procedimiento para la valoracin cuantitativa de los riesgos. Mtodos de los rboles de fallos Madrid, COASHIQ, 1990