El análisis de árbol de fallas ( FTA ) es un tipo de análisis de fallas en el que se examina un estado no deseado de un sistema. Este método de análisis se utiliza principalmente en ingeniería de seguridad e ingeniería de confiabilidad para comprender cómo pueden fallar los sistemas, identificar las mejores formas de reducir el riesgo y determinar (o tener una idea) de las tasas de eventos de un accidente de seguridad o de un nivel particular del sistema (funcional). ) falla. El FTA se utiliza en las industrias aeroespacial , [1] de energía nuclear , química y de procesos , [2] [3] [4] farmacéutica , [5] petroquímica y otras industrias de alto riesgo; pero también se utiliza en campos tan diversos como la identificación de factores de riesgo relacionados con el fracaso del sistema de servicios sociales . [6] FTA también se utiliza en ingeniería de software con fines de depuración y está estrechamente relacionado con la técnica de eliminación de causas utilizada para detectar errores.
En el sector aeroespacial, el término más general "condición de falla del sistema" se utiliza para el "estado no deseado"/evento superior del árbol de fallas. Estas condiciones se clasifican según la gravedad de sus efectos. Las condiciones más severas requieren el análisis de árbol de fallas más extenso. Estas condiciones de falla del sistema y su clasificación a menudo se determinan previamente en el análisis de riesgos funcionales .
El análisis del árbol de fallas se puede utilizar para:
El análisis de árbol de fallas (FTA) fue desarrollado originalmente en 1962 en Bell Laboratories por HA Watson, bajo un contrato de la División de Sistemas Balísticos de la Fuerza Aérea de EE. UU . para evaluar el Sistema de Control de Lanzamiento de Misiles Balísticos Intercontinentales (ICBM) Minuteman I. [7] [8] [9] [10] Desde entonces, el uso de árboles de fallas ha ganado un amplio apoyo y los expertos en confiabilidad lo utilizan a menudo como herramienta de análisis de fallas. [11] Tras el primer uso publicado de FTA en el Estudio de seguridad de control de lanzamiento del Minuteman I de 1962, Boeing y AVCO ampliaron el uso de FTA a todo el sistema Minuteman II en 1963-1964. FTA recibió una amplia cobertura en un Simposio de seguridad de sistemas celebrado en Seattle en 1965 , patrocinado por Boeing y la Universidad de Washington . [12] Boeing comenzó a utilizar FTA para el diseño de aviones civiles alrededor de 1966. [13] [14]
Posteriormente, dentro del ejército estadounidense, Picatinny Arsenal exploró la aplicación del FTA para su uso con fusibles en las décadas de 1960 y 1970. [15] En 1976, el Comando de Material del Ejército de EE. UU. incorporó el FTA en un Manual de diseño de ingeniería sobre diseño para la confiabilidad. [16] El Centro de Análisis de Confiabilidad del Laboratorio de Roma y sus organizaciones sucesoras, ahora con el Centro de Información Técnica de Defensa (Centro de Análisis de Información de Confiabilidad, y ahora Centro de Análisis de Información de Sistemas de Defensa [17] ) han publicado documentos sobre FTA y diagramas de bloques de confiabilidad desde la década de 1960. . [18] [19] [20] MIL-HDBK-338B proporciona una referencia más reciente. [21]
En 1970, la Administración Federal de Aviación de EE. UU. (FAA) publicó un cambio en las regulaciones de aeronavegabilidad 14 CFR 25.1309 para aeronaves de categoría de transporte en el Registro Federal en 35 FR 5665 (1970-04-08). Este cambio adoptó criterios de probabilidad de falla para los sistemas y equipos de aeronaves y condujo al uso generalizado de FTA en la aviación civil. En 1998, la FAA publicó la Orden 8040.4, [22] que establece una política de gestión de riesgos que incluye el análisis de peligros en una variedad de actividades críticas más allá de la certificación de aeronaves, incluido el control del tráfico aéreo y la modernización del Sistema Nacional del Espacio Aéreo de EE. UU . Esto llevó a la publicación del Manual de seguridad del sistema de la FAA, que describe el uso de FTA en varios tipos de análisis de peligros formales. [23]
Al principio del programa Apolo se planteó la pregunta sobre la probabilidad de enviar con éxito astronautas a la Luna y devolverlos sanos y salvos a la Tierra. Se realizó un cálculo de riesgo o confiabilidad de algún tipo y el resultado fue una probabilidad de éxito de la misión que era inaceptablemente baja. Este resultado disuadió a la NASA de realizar más análisis cuantitativos de riesgo o confiabilidad hasta después del accidente del Challenger en 1986. En cambio, la NASA decidió confiar en el uso de análisis de modos y efectos de fallas (FMEA) y otros métodos cualitativos para las evaluaciones de seguridad del sistema. Después del accidente del Challenger , se comprendió la importancia de la evaluación probabilística de riesgos (PRA) y la FTA en el análisis de confiabilidad y riesgo de los sistemas y su uso en la NASA ha comenzado a crecer y ahora la FTA se considera una de las técnicas más importantes de análisis de seguridad y confiabilidad de los sistemas. . [24]
Dentro de la industria de la energía nuclear, la Comisión Reguladora Nuclear de EE. UU. comenzó a utilizar métodos PRA, incluido el FTA, en 1975, y amplió significativamente la investigación de PRA después del incidente de 1979 en Three Mile Island . [25] Esto finalmente condujo a la publicación en 1981 del Manual del árbol de fallas de la NRC NUREG-0492, [26] y al uso obligatorio de PRA bajo la autoridad regulatoria de la NRC.
Después de desastres en la industria de procesos, como el desastre de Bhopal en 1984 y la explosión de Piper Alpha en 1988 , en 1992 la Administración de Seguridad y Salud Ocupacional del Departamento de Trabajo de los Estados Unidos (OSHA) publicó en el Registro Federal en 57 FR 6356 (1992-02-24) su Proceso Estándar de gestión de seguridad (PSM) en 19 CFR 1910.119. [27] OSHA PSM reconoce el FTA como un método aceptable para el análisis de riesgos de procesos (PHA).
Hoy en día, FTA se utiliza ampliamente en ingeniería de confiabilidad y seguridad de sistemas , y en todos los campos principales de la ingeniería.
La metodología FTA se describe en varios estándares industriales y gubernamentales, incluido NRC NUREG–0492 para la industria de la energía nuclear, una revisión orientada aeroespacial de NUREG–0492 para uso de la NASA , [24] SAE ARP4761 para el sector aeroespacial civil, MIL–HDBK–338 Para sistemas militares, la norma IEC 61025 [28] está destinada a uso en todas las industrias y ha sido adoptada como norma europea EN 61025.
Cualquier sistema suficientemente complejo está sujeto a fallas como resultado de la falla de uno o más subsistemas. Sin embargo, la probabilidad de fallo a menudo puede reducirse mediante un mejor diseño del sistema. El análisis del árbol de fallas mapea la relación entre fallas, subsistemas y elementos de diseño de seguridad redundantes mediante la creación de un diagrama lógico del sistema general.
El resultado no deseado se toma como la raíz ("evento superior") de un árbol de lógica. Por ejemplo, el resultado no deseado de una operación de prensa de estampado de metal que se esté considerando podría ser el estampado de un apéndice humano. Si trabajamos hacia atrás desde este evento principal, se podría determinar que hay dos formas en que esto podría suceder: durante la operación normal o durante la operación de mantenimiento. Esta condición es un OR lógico. Considerando la rama del peligro que ocurre durante la operación normal, tal vez se determine que hay dos maneras en que esto podría suceder: la prensa gira y daña al operador, o la prensa gira y daña a otra persona. Este es otro OR lógico. Se puede lograr una mejora en el diseño al requerir que el operador presione dos botones separados para hacer funcionar la máquina; esta es una característica de seguridad en forma de un AND lógico. El botón puede tener una tasa de falla intrínseca; esto se convierte en un estímulo de falla que puede analizarse.
Cuando los árboles de fallas están etiquetados con números reales de probabilidades de fallas, los programas de computadora pueden calcular las probabilidades de fallas a partir de los árboles de fallas. Cuando se descubre que un evento específico tiene más de un efecto, es decir, tiene impacto en varios subsistemas, se denomina causa común o modo común. Gráficamente hablando, significa que este evento aparecerá en varios lugares del árbol. Las causas comunes introducen relaciones de dependencia entre eventos. Los cálculos de probabilidad de un árbol que contiene algunas causas comunes son mucho más complicados que los de los árboles normales donde todos los eventos se consideran independientes. No todas las herramientas de software disponibles en el mercado ofrecen dicha capacidad.
El árbol suele escribirse utilizando símbolos de puerta lógica convencionales . Un conjunto de cortes es una combinación de eventos, generalmente fallas de componentes, que causan el evento superior. Si no se puede eliminar ningún evento de un conjunto de cortes sin que no se produzca el evento superior, entonces se denomina conjunto de cortes mínimo.
Algunas industrias utilizan tanto árboles de fallas como árboles de eventos (consulte Evaluación probabilística de riesgos ). Un árbol de eventos comienza a partir de un iniciador no deseado (pérdida de suministro crítico, fallo de componente, etc.) y sigue posibles eventos adicionales del sistema hasta una serie de consecuencias finales. A medida que se considera cada nuevo evento, se agrega un nuevo nodo en el árbol con una división de probabilidades de tomar cualquiera de las ramas. Entonces se pueden ver las probabilidades de una serie de "eventos principales" que surgen del evento inicial.
Los programas clásicos incluyen el software CAFTA del Instituto de Investigación de Energía Eléctrica (EPRI), que utilizan muchas de las centrales nucleares de EE. UU. y la mayoría de los fabricantes aeroespaciales estadounidenses e internacionales, y SAPHIRE del Laboratorio Nacional de Idaho , que se utiliza por el Gobierno de Estados Unidos para evaluar la seguridad y confiabilidad de los reactores nucleares , el Transbordador Espacial y la Estación Espacial Internacional . Fuera de EE. UU., el software RiskSpectrum es una herramienta popular para el análisis de árboles de fallas y árboles de eventos, y tiene licencia para su uso en más del 60% de las centrales nucleares del mundo para evaluaciones probabilísticas de seguridad. El software gratuito de nivel profesional también está ampliamente disponible; SCRAM [29] es una herramienta de código abierto que implementa el estándar abierto Open-PSA Model Exchange Format [30] para aplicaciones de evaluación probabilística de seguridad.
Los símbolos básicos utilizados en FTA se agrupan en eventos, puertas y símbolos de transferencia. Se pueden utilizar variaciones menores en el software FTA.
Los símbolos de eventos se utilizan para eventos primarios y eventos intermedios . Los eventos primarios no se desarrollan más en el árbol de fallas. Los eventos intermedios se encuentran a la salida de una puerta. Los símbolos del evento se muestran a continuación:
Los símbolos de eventos principales se utilizan normalmente de la siguiente manera:
Se puede utilizar una puerta de evento intermedia inmediatamente encima de un evento principal para proporcionar más espacio para escribir la descripción del evento.
El TLC es un enfoque de arriba hacia abajo.
Los símbolos de puerta describen la relación entre los eventos de entrada y salida. Los símbolos se derivan de símbolos lógicos booleanos:
Las puertas funcionan de la siguiente manera:
Los símbolos de transferencia se utilizan para conectar las entradas y salidas de árboles de fallas relacionados, como el árbol de fallas de un subsistema a su sistema. La NASA preparó un documento completo sobre FTA a través de incidentes prácticos. [24]
Los eventos en un árbol de fallas están asociados con probabilidades estadísticas o tasas constantes distribuidas exponencialmente de Poisson. Por ejemplo, las fallas de los componentes generalmente pueden ocurrir con una tasa de falla constante λ (una función de riesgo constante). En este caso más simple, la probabilidad de falla depende de la tasa λ y del tiempo de exposición t:
dónde:
si
Un árbol de fallas a menudo se normaliza para un intervalo de tiempo determinado, como una hora de vuelo o un tiempo promedio de misión. Las probabilidades de eventos dependen de la relación de la función de riesgo de eventos con este intervalo.
A diferencia de los diagramas de puertas lógicas convencionales en los que las entradas y salidas contienen los valores binarios de VERDADERO (1) o FALSO (0), las puertas en un árbol de fallas generan probabilidades relacionadas con las operaciones establecidas de la lógica booleana . La probabilidad de que se produzca un evento de salida de una puerta depende de las probabilidades del evento de entrada.
Una puerta AND representa una combinación de eventos independientes . Es decir, la probabilidad de cualquier evento de entrada a una puerta AND no se ve afectada por ningún otro evento de entrada a la misma puerta. En términos de teoría de conjuntos , esto es equivalente a la intersección de los conjuntos de eventos de entrada, y la probabilidad de la salida de la puerta AND viene dada por:
Una puerta OR, por otro lado, corresponde a una unión de conjuntos:
Dado que las probabilidades de falla en los árboles de fallas tienden a ser pequeñas (menos de 0,01), P (A ∩ B) generalmente se convierte en un término de error muy pequeño, y la salida de una puerta OR puede aproximarse de manera conservadora mediante el supuesto de que las entradas son eventos mutuamente excluyentes :
Una puerta OR exclusiva con dos entradas representa la probabilidad de que ocurra una u otra entrada, pero no ambas:
Nuevamente, dado que P (A ∩ B) generalmente se convierte en un término de error muy pequeño, la puerta OR exclusiva tiene un valor limitado en un árbol de fallas.
Muy a menudo, se utilizan tasas distribuidas exponencialmente de Poisson [31] para cuantificar un árbol de fallas en lugar de probabilidades. Las tasas a menudo se modelan como constantes en el tiempo, mientras que la probabilidad es función del tiempo. Los eventos exponenciales de Poisson se modelan como infinitamente cortos, por lo que no pueden superponerse dos eventos. Una puerta OR es la superposición (suma de tasas) de las dos frecuencias de falla de entrada o tasas de falla que se modelan como procesos de puntos de Poisson . La salida de una puerta AND se calcula utilizando la indisponibilidad (Q 1 ) de un evento que adelgaza el proceso del punto de Poisson del otro evento (λ 2 ). La indisponibilidad (Q 2 ) del otro evento adelgaza el proceso del punto de Poisson del primer evento (λ 1 ). Los dos procesos de puntos de Poisson resultantes se superponen según las siguientes ecuaciones.
La salida de una puerta AND es la combinación de los eventos de entrada independientes 1 y 2 a la puerta AND:
En un árbol de fallas, la indisponibilidad (Q) puede definirse como la indisponibilidad de una operación segura y puede no referirse a la indisponibilidad de la operación del sistema dependiendo de cómo se estructuró el árbol de fallas. Los términos de entrada al árbol de fallas deben definirse cuidadosamente.
Se pueden utilizar muchos enfoques diferentes para modelar un TLC, pero la forma más común y popular se puede resumir en unos pocos pasos. Un único árbol de fallos se utiliza para analizar uno y sólo un evento no deseado, que posteriormente puede alimentarse a otro árbol de fallos como evento básico. Aunque la naturaleza del evento no deseado puede variar dramáticamente, un TLC sigue el mismo procedimiento para cualquier evento no deseado; ya sea un retraso de 0,25 ms para la generación de energía eléctrica, un incendio en el compartimento de carga no detectado o el lanzamiento aleatorio e involuntario de un misil balístico intercontinental .
El análisis del TLC implica cinco pasos:
FTA es un método deductivo de arriba hacia abajo destinado a analizar los efectos de la iniciación de fallas y eventos en un sistema complejo. Esto contrasta con el análisis modal de fallas y efectos (FMEA), que es un método de análisis inductivo y ascendente destinado a analizar los efectos de fallas de un solo componente o función en equipos o subsistemas. FTA es muy bueno para mostrar qué tan resistente es un sistema a fallas iniciales únicas o múltiples. No es bueno encontrar todas las posibles fallas iniciales. FMEA es bueno para catalogar exhaustivamente las fallas iniciales e identificar sus efectos locales. No es bueno para examinar múltiples fallas o sus efectos a nivel del sistema. El TLC considera eventos externos, el AMEF no. [33] En el sector aeroespacial civil, la práctica habitual es realizar tanto FTA como FMEA, con un resumen de efectos del modo de falla (FMES) como interfaz entre FMEA y FTA.
Las alternativas al FTA incluyen el diagrama de dependencia (DD), también conocido como diagrama de bloques de confiabilidad (RBD) y el análisis de Markov . Un diagrama de dependencia es equivalente a un análisis de árbol de éxito (STA), el inverso lógico de un FTA, y representa el sistema utilizando rutas en lugar de puertas. DD y STA producen probabilidad de éxito (es decir, evitar un evento superior) en lugar de probabilidad de un evento superior.
{{cite book}}
: Mantenimiento CS1: falta el editor de la ubicación ( enlace ){{cite book}}
: Mantenimiento CS1: nombres numéricos: lista de autores ( enlace )