GUÍA  TÉCNICA: Métodos cuantitativos para el análisis de riesgos

Indice

2MÉTODOS PARA LA DETERMINACIÓN DE FRECUENCIAS                     

MÉTODOS PARA LA DETERMINACIÓN DE FRECUENCIAS

Introducción

Bases matemáticas

Fiabilidad: conceptos básicos

Determinación de la tasa de fallo de un suceso básico

Determinación de frecuencias de sucesos complejos

Método del árbol de fallos

Método del árbol de sucesos

Método del Análisis de causas/  consecuencias

Métodos para la determinación del fallo de modo común

Análisis de importancia

Resumen

2.5 DETERMINACION DE FRECUENCIAS DE SUCESOS COMPLEJOS

2.5.1 Método del árbol de fallos

2.5.1.1 Descripción

La técnica del árbol de fallos nació en 1962 con su primera aplicación a la verificación de la fiabilidad de diseño del cohete Minuteman. Posteriormente ha sido aplicada sobre todo inicialmente en el campo nuclear y posteriormente en el campo químico, en estudios como el de Rijmond (ver Guía Técnica: «Metodologías para el Análisis de riesgos. Visión General»). Los árboles de fallos constituyen una técnica ampliamente utilizada en los análisis de riesgos debido a que proporcionan resultados cualitativos y cuantitativos.

Esta técnica consiste en un proceso deductivo basado en las leyes del Algebra de Boole que permite determinar la expresión de sucesos complejos estudiados en función de los fallos básicos de los elementos que intervienen en él y calcular su probabilidad.

Consiste en descomponer sistemáticamente un suceso complejo denominado suceso TOP en sucesos intermedios hasta llegar a sucesos básicos para los cuales se puede calcular la probabilidad de fallos.

Suceso TOP: Ocupa la parte superior de la estructura lógica que representa el árbol de fallos. Es el suceso complejo del cual se desconoce la probabilidad de fallos. Tiene que estar claramente definido (condiciones, etc.)

Sucesos intermedios: Son los sucesos intermedios que son encontrados en el proceso de descomposición y que a su vez pueden ser de nuevo descompuestos. Se representan en el árbol de fallos en rectángulos.

Sucesos básicos: Son los sucesos terminales de la descomposición. Tienen asociada una probabilidad de ocurrencia determinada y pueden representar cualquier tipo de suceso de los que se han citado con anterioridad: sucesos de «fallos» como por ejemplo: infiabilidad o indisponibilidad de un componente, error humano, etc. o sucesos de «éxito» ocurrencia de un evento determinado. Se representan en círculos en la estructura del árbol.

En el proceso de descomposición del árbol se recurre a una serie de puertas lógicas que representan los operadores del álgebra de sucesos descritos en el apartado 2.2.1. Los dos tipos más elementales corresponden a las puertas AND y OR cuyos símbolos se indican a continuación. La puerta OR se utiliza para indicar un «0» lógico: significa que la salida lógica S ocurrirá siempre y cuando ocurran por lo menos una de las dos entradas lógicas e1 o e2.

La puerta AND se utiliza para indicar un «Y» lógico. Para que ocurra la salida lógica S es necesario que ocurran conjuntamente las dos entradas lógicas e1 y e2.

Se suelen numerar las puertas del árbol para facilitar su identificación. En la tabla 2.6, extracto del Fault Tree Handbook, 1987 se indican otros tipos de puertas lógicas (menos utilizados) y su simbología.

AND                    OR

TABLA 2.6 SIMBOLOGIA DEL ARBOL DE FALLOS

Sucesos no desarrollados. Existen sucesos en el proceso de descomposición del árbol de fallos que por su complejidad son a su vez difíciles de evaluar bien por falta de información o bien porque no se considera necesario. Se representan mediante un rombo y para una evaluación cuantitativa será necesario hacer una estimación de su probabilidad. Se tratan como sucesos básicos.

SUCESO NO DESARROLLADO

En la técnica del árbol de fallos cabe destacar dos fases bien diferenciadas: la primera consiste en la elaboración del árbol y la segunda en su cuantificación.

A) ELABORACION DEL ÁRBOL DE FALLOS

En esta fase se integran todos los conocimientos sobre el funcionamiento y operación de la instalación con respecto del suceso estudiado.

El primer paso consiste en identificar el suceso «no deseado» o suceso TOP que ocupará la cúspide de la estructura gráfica representativa del árbol. De la definición clara y precisa del TOP depende todo el desarrollo del árbol.

Con este TOP se establecen de forma sistemática todas las causas inmediatas que contribuyen a su ocurrencia, definiendo así los sucesos intermedios unidos a través de las puertas lógicas. El proceso de descomposición de un suceso intermedio se repite sucesivas veces hasta llegar a los sucesos básicos o componentes del árbol.

B) CUANTIFICACION DEL ÁRBOL DE FALLOS

Para ello se reduce la lógica del árbol hasta obtener las combinaciones mínimas de sucesos primarios cuya ocurrencia simultánea garantiza la ocurrencia del propio TOP. Cada una de estas combinaciones, también llamadas conjunto mínimo de fallo (minimal cut set en la nomenclatura anglosajona), corresponde a la intersección lógica (en Algebra de Boole) de varios sucesos elementales. Como por hipótesis de los árboles de fallos se supone que los sucesos básicos son mutuamente independientes (es decir, que la ocurrencia de uno de ellos no tiene influencia sobre la ocurrencia de otro), la probabilidad de un conjunto mínimo de fallo viene dada por el producto de las probabilidades de los sucesos elementales que lo componen. (Ver apartado 2.2.1, «Teorema de las probabilidades compuestas»).

A su vez el suceso TOP viene representado por la unión lógica de todos los N conjuntos mínimos de fallos y se evalúa su probabilidad -P(TOP)- aplicando el «Teorema de las probabilidades totales o de Poincaré», apartado 2.2.1:

 

 

 

donde Ci designa la probabilidad de un conjunto mínimo de fallos:

siendo as la probabilidad de s-ésimo suceso básico del conjunto mínimo de P sucesos (o de orden P).

Se suele aproximar la expresión (1) truncándola en el primer término. Esta simplificación, que se conoce como la del «suceso raro», facilita los cálculos y el error que se comete se puede despreciar. Algunos códigos informáticos de tratamiento de árboles de fallos permiten determinar el error cometido.

En los análisis mediante árboles de fallos se suele recurrir a otros estudios para acotar mejor los resultados. Entre ellos se destacan los análisis de incertidumbre y las clasificaciones de los sucesos base según distintas medidas de importancia. Se comentan brevemente a continuación cada uno de estos puntos.

C) ANÁLISIS DE INCERTIDUMBRE

Las tasas de fallos de los componentes que aparecen en un árbol de fallos deben ser extraídas de los bancos de datos de fiabilidad. Básicamente y tal como se puso de manifiesto en el apartado 2.4.2, se pueden considerar tres tipos de bancos:

  1. de origen nuclear que recogen la larga experiencia operativa en numerosas plantas nucleares en el mundo y especialmente americanas (WASH-1400, CRYSTAL RIVER III, etc.).

  2. Bancos de datos semi bibliográficos que incluyen datos extraídos de muy diversos orígenes (Rijnmond, etc.).

  3. Bancos de datos específicos (OREDA para plataformas petrolíferas, por ejemplo).

Estos bancos estudian el comportamiento de un cierto número de equipos a lo largo del tiempo. Posteriormente los datos recogidos son tratados estadísticamente para obtener un valor representativo. Sin embargo, la mayoría de bancos de datos proporcionan no sólo un valor medio, sino que lo acompañan de un intervalo de variación dentro del cual podría oscilar el valor.

Esta dispersión obedece al hecho de que, en muchos casos, han entrado, en la «población» estadística considerada, componentes que:

Trabajan en condiciones exteriores distintas (atmosféricas, entorno, etc.) o con productos diferentes,

Son de características constructivas no directamente comparables,

O están sometidos a políticas de mantenimiento no semejantes.

El valor medio extraído es, por tanto, un dato genérico que puede no adecuarse al caso en estudio.

Se considera habitualmente que la dispersión que existe sobre datos de este tipo puede ser descrita o ajustada a través de una ley de distribución logarítmica normal caracterizada por dos parámetros: un valor mediano (m) (que tiene acumulado un 50% de probabilidad) y un factor de error. Este factor de error (f) delimita un intervalo de variación para la probabilidad de fallo del componente definido como:

                        [min, max]

donde:            min = m/f

          max = m . f

La tasa de fallos estará situada en el intervalo reseñado en un 90% de los casos. (Ver características de la ley de distribución lognormal, apartado 2.4.2).

La escasez de datos propios de plantas químicas, por un lado, y su falta de especificidad (adecuación al caso concreto estudiado), obliga a intentar medir la dispersión que puede existir sobre el resultado de una evaluación de un árbol de fallos en función de la dispersión que puedan tener los datos de partida. Este estudio es el denominado análisis de incertidumbre.

El análisis de incertidumbre consiste en medir la dispersión existente sobre el suceso TOP en función de la que puedan tener los fallos básicos.

En el caso en que se conoce la ley de distribución de los n componentes básicos del árbol, se suele recurrir al Método de Montecarlo que consiste en:

Para cada componente se simula aleatoriamente una tasa de fallo. Para ello se genera un número aleatorio entre 0 y 1 que corresponde a la probabilidad de una determinada tasa; conocida la ley de distribución, se determina entonces la tasa de fallos correspondiente.

Con los n valores de tasas de fallos generados aleatoriamente dentro de las distribuciones respectivas y correspondientes a los n componentes del árbol de fallos, se realiza una evaluación del árbol de fallos.

Se repite N veces la operación con un nuevo conjunto de n-valores en cada caso.

Al final se obtienen N valores posibles del suceso TOP que a su vez puede ser tratados estadísticamente para calcular:

Valor medio.

Intervalo de variación.

El proceso descrito tiene que ser llevado a cabo mediante ordenador.

D) ANÁLISIS DE IMPORTANCIA

Con las medidas de importancia se pueden clasificar los conjuntos mínimos de fallos o los sucesos básicos según los criterios que permiten determinar los que son críticos para la instalación. Las principales medidas de importancia son las tres que se describen seguidamente. Es de notar que según las fuentes, las denominaciones e incluso las expresiones varían, aunque al ser valores relativos, no se alteran las conclusiones que se pueden extraer de este tipo de estudios.

Medida de importancia RAW (Risk Achievement Worth): Se define como el cociente entre la suma de las probabilidades de los conjuntos mínimos donde aparece el componente, asumiendo para éste una probabilidad de fallo de 1 (fallo seguro), y la probabilidad total del suceso TOR Este factor mide la degradación que sufre el sistema en caso de ocurrir el fallo del componente. Tiene en cuenta la importancia «estructural», de un componente. Por ejemplo para un componente que constituye un conjunto mínimo de fallo de orden uno este factor es igual a la inversa de la probabilidad del suceso TOP. La expresión matemática del factor RAW respecto al componente C es:

donde:

C         es el componente respecto del cual se calcula la medida de importancia.

Ci         es uno de los N conjuntos mínimos de fallos del sistema.

p(Ci)     es la probabilidad de Ci.

Cε Ci   C ε Ci  representa que el componente C es uno de los componentes del conjunto mínimo de fallos Ci.

p(C)=1 indica que el componente C adopta una tasa de fallos igual a 1 (fallo seguro).

Medida de importancia RRW (Risk Reduction Worth): Se define como el cociente entre la probabilidad total del suceso TOP y la suma de las probabilidades de todos los conjuntos mínimos, asumiendo para el componente una tasa de fallo nula. Este factor proporciona el coeficiente por el cual quedaría dividida la frecuencia total del suceso TOP analizado en el caso de que el componente fuera perfecto. Este factor permite determinar qué componentes se tienen que modificar para reducir apreciablemente el riesgo. La expresión matemática del factor RRW respecto del componente C es:

donde:

C         es el componente respecto del cual se calcula la medida de importancia.

Ci         es uno de los N conjuntos mínimos de fallos del sistema.

p(Ci)    es la probabilidad de Ci.

p(C)=0  indica que el componente C adopta una tasa de fallos igual a 0 (no falla el componente).

Medida de importancia de Fusell-Vesely: Se define el factor de importancia de Fusell-Vesely respecto de un componente C como el cociente entre la suma de las probabilidades de todos los conjuntos mínimos que contienen a este componente y la probabilidad total (o suma de las probabilidades de todos los conjuntos mínimos). Su expresión es:

donde:

C         es el componente respecto del cual se calcula la medida de importancia

Ci         es uno de los N conjuntos mínimos de fallos del sistema

p(Ci)     es un probabilidad

Cε Ci   C ε Ci   representa que el componente C es uno de los componentes del conjunto mínimo de fallos Ci.

Este factor tiene en cuenta el número de conjuntos mínimos de fallos en que aparece un componente (frecuencia de aparición en el árbol); su probabilidad y la de los componentes a los cuales va asociado.

Las medidas de importancia RAW y RRW son las más utilizadas porque su significado es más directo: se expresan en términos de porcentaje de mejora o empeoramiento de la probabilidad del TOP.

Por último, cabe tener en cuenta que también existen medidas de importancia respecto de los conjuntos mínimos de fallos.

2.5.1.2 Ambito de aplicación

La técnica, por su grado de elaboración, se aplica a sucesos relativamente complejos para los cuales no es posible la obtención directa de la frecuencia.

Estos sucesos se han de poder descomponer en sucesos más sencillos.

2.5.1.3 Recursos necesarios

RECURSOS HUMANOS

La técnica es relativamente compleja y tiene que ser aplicada por un analista con una preparación adecuada en el uso del método. Requiere normalmente un proceso de revisión por un tercero si se quiere garantizar la calidad del estudio (por sus características se presta a interpretaciones distintas de los analistas, si no se fijan claramente los supuestos y criterios antes del estudio). También es necesario considerar una importante dedicación para la determinación de las tasas de fallos de los componentes.

Para un árbol de fallos de unos 50 componentes se podrían considerar las siguientes actividades:

Estudio de sistema (dos días de dedicación).

Elaboración del árbol (un día).

Estas dos fases requieren para el analista el apoyo de todas las personas que más conocen el área de la instalación y su operación: personal de producción, mantenimiento, operadores, instrumentistas, etc.

Determinación de las frecuencias (un día).

Cuantificación del árbol mediante ordenador (4 horas).

Estudio de resultados (dos días).

Propuestas de mejoras (4 horas).

Reelaboración del árbol incluyendo mejoras y evaluación (dos días y medio).

Es decir, un total de unas 76 horas de dedicación de un analista experto, pudiendo variar esta estimación en función de la complejidad del sistema, de la experiencia anterior del analista en cuanto al tipo de sistema y por último, del grado de detalle que se persiga en el estudio.

RECURSOS MATERIALES

La técnica del árbol de fallos es relativamente detallada y requiere un excelente conocimiento del sistema. Desde el punto de vista de documentación se requerirá toda la disponible: desde los diagramas de tubería e instrumentación hasta los procedimientos de operación/mantenimiento seguidos y los detalles de diseño de cada elemento, ya que el árbol de fallos incorpora multitud de aspectos.

2.5.1.4 Soportes informáticos

Para árboles con un número de componentes no muy elevado el esfuerzo de evaluación exige el uso de un programa de evaluación de árboles de fallos. En la tabla 2.7 se reseñan algunos de los códigos existentes.

TABLA 2.7 CODIGOS DE CALCULO DE ARBOLES DE FALLOS

Se distinguen básicamente en su forma de resolución del árbol de fallos.

2.5.1.5 Ventajas/Inconvenientes

VENTAJAS

  1. La técnica estudia las causas de los sucesos indeseados y permite evidenciar los puntos débiles de un sistema (conjuntos mínimos de fallos). Este aspecto es fundamental en materia de prevención de accidentes.

  2. A través del análisis de importancia se conoce el peso relativo de los distintos elementos del sistema. Con ello se puede establecer una lista de prioridades a fijar para mejorar la instalación.

  3. La técnica es un método para conocer a fondo un sistema.

INCONVENIENTES

  1. No permite tratar directamente fallos dependientes, al menos de forma directa, aunque siempre sea posible añadir el fallo dependiente como un componente más del árbol.

  2. Sólo permite el tratamiento de situaciones temporales homogéneas.

  3. El resultado calculado presenta una incertidumbre asociada a la que pesa sobre los componentes básicos, a los posibles errores en la construcción o debido a criterios dispares de los analistas.

2.5.1.6 Ejemplos

Se presenta a continuación un caso práctico de desarrollo de un árbol de fallos.

Sistema de partida

El sistema de partida es un depósito horizontal refrigerado de 180 m³ de amoníaco. El suceso TOP se define como «Rotura del depósito de amoníaco». Se pretende determinar las causas que pueden conducir al suceso y la probabilidad del evento sobre un período de un año.

A) DESCRIPCION DEL ÁRBOL DE FALLOS

El suceso TOP estudia las posibilidades de rotura catastrófica del depósito de amoníaco, representado en la figura 2.12.

FIGURAS 2.12  METODO DEL ARBOL DE FALLOS. EJEMPLO: ESQUEMA DEL DEPOSITO DE AMONIACO

Se han considerado básicamente las tres posibilidades de rotura siguientes:

Por sobrecarga del cuerpo del depósito, que englobaría el fallo del soporte, un exceso de calor externo y un exceso de presión.

Por defecto mecánico, que englobaría un inadecuado diseño, la corrosión y la fatiga del depósito.

Por rotura frágil, que englobaría una carga externa y la posibilidad de alcanzar una temperatura por debajo de la crítica.

En la figura 2.13 se representa el árbol de fallos de la rotura del depósito de amoníaco y en la tabla 2.8 se recogen los componentes considerados, indicándose su tasa (probabilidad de ocurrencia/fallo sobre un período de un año), la fuente de donde fue extraído o los cálculos efectuados para la obtención del valor y, finalmente, un factor de error que mide la dispersión que existe sobre la tasa de fallo, suponiendo que se distribuye según una ley logarítmico normal.

FIGURA 2. 13 METODO DEL ARBOL DE FALLOS. EJEMPLO: ARBOL DE FALLOS DE ROTURA DEL DEPOSITO DE AMONIACO

 

TABLA 2.8 RELACION DE COMPONENTES BASICOS PARA EL 

  1. Representa la posibilidad de ocurrencia sobre un periodo anual.

  2. Se supone que probabilidad se distribuye según una distribución lognormal caracterizada por un valor mediano (columna «valor adoptado») y un factor de error que mide la incertidumbre sobre el dato (ver apartado 2.3.2), de forma que se garantiza, con un. confianza del 90%, que la probabilidad se encuentra dentro de un intervalo cuyo valor inferior es la mediana multiplicada por el factor error. Así para El la probabilidad se halla en el intervalo [10-7/100x] es decir [10-8; 10-5]

  3. Pressure Safeny Valtre.

B) RESULTADOS CUALITATIVOS

La evaluación del árbol de fallos proporciona, desde el punto de vista cualitativo, la distribución en conjuntos mínimos de fallo (agrupación de fallo/sucesos que, ocurriendo simultáneamente, conducen a la ocurrencia del suceso TOP estudiado, en este caso la rotura del depósito de amoníaco) que se indica en el cuadro siguiente.

El número total de conjuntos mínimos (minimal cut set) es de 30.

Existen 5 conjuntos mínimos de orden 1; es decir, causas únicas que conducen a la rotura del depósito. Son la mayoría causas «externas» como un terremoto, un impacto de vehículo o un fallo del asentamiento del terreno; las restantes son un inadecuado diseño o defecto mecánico del equipo.

Existen 13 conjuntos mínimos de orden 2; es decir, combinaciones de dos fallos simultáneos que conducen a la rotura del depósito. La combinación E16 E17: incendio externo y fallo mecánico del depósito, es un ejemplo.

Existen 10 conjuntos mínimos de orden 3; es decir, combinaciones triples. E4 E5 E6: introducción de un material corrosivo en el depósito y falta de detección e intervención por parte del operador es un ejemplo.

Por último, la rotura del depósito también puede producirse por un sobrellenado del mismo, pero en este caso es necesaria la ocurrencia de 5 sucesos al mismo tiempo.

 

Orden

Minimal cutset (MCS)

Composición

Probabilidad

1

E15

E14

E13

E1

E12

 

Número de MCS = 5

Fallo del asentamiento del terreno.

Defecto mecánico del soporte.

Terremoto.

Inadecuado diseño del depósito

Impacto de vehículo.

2. 10-7

10-7

 10-7

10-7

 10-8

2

E23                  E21

E23                  E22

E20                  E23

E25                  E22

E24                  E21

E25                  E21

E24                  E22

E20                  E25

E20                  E24

 

E16                  E17

 

E18                  E19

E40                  E41

 

E2                    E3

 

 

Número de MCS = 13

Combinaciones de dos sucesos que conducen a rotura por stress corrosion cracking

 

 

 

 

 

 

 

 

Incendio externo y fallo mecánico del depósito.

Incendio externo y fallo mecánico del soporte.

Incendio externo y fallo del de presión.

Inadecuada construcción del depósito y vibración fuerte.

10-10

10-10

1,6.10-11

10-8

1,6.10-9

10-8

1,6.10-9

1,6.10-8

2,56.10-10

5.10-10

 

5.10-10

4.10-15

 

10-13

 

3

E37      E38      E39

 

 

E23      E30      E26

E23      E30      E28

E25      E30      E26

E25      E30      E28

E24      E30      E26

E24      E30      E28

 

E4        E5        E6

  

E7        E8        E9

 

 E7       E10      E11

  

  

Número de MCS = 10

Introducción de material incompatible al depósito no detección, ni intervención del operador.

Combinaciones de tres sucesos que conducen a rotura por stress corrosion cracking.

 

 

 

 

 

Introducción de material corrosión en el tanque; no detección ni intervención por parte del operador.

Tanque vacío, error operativo con introducción de NH3 y carga externa.

Disparo intempestivo de válvulas de seguridad con bajada de temperatura en el depósito y carga externa.

4,3 10-7

 

 

 5.10-11

8.10-12

5.10-9

8.10-10

8.10-10

1,310-10 

1,4.10-9

 

1,6.10-8

 

 6,12.10-10

5

E35  E36  E32  E33

E35  E36   E31  E34

 

Número de MCS = 2

Rotura por sobrepresión debida a un sobrellenado.

1,68.10-11

1,68.10-11

C) RESULTADOS CUANTITATIVOS

La probabilidad del suceso TOP sobre un período de un año es de 1,3.10-6.

Desde el punto de vista cuantitativo cada uno de los minimal cut set de la tabla anterior tiene asociado una probabilidad (el producto de las probabilidades de los componentes - admitiendo la aproximación del «suceso raro», ver tabla 2.8) que se indica en la citada tabla. La suma de estas probabilidades proporciona la probabilidad del suceso TOP. En este caso se obtiene un valor de 1,3.10-6 sobre un período de un año.

Otra forma de presentar la información cuantitativa consiste en determinar las probabilidades de los sucesos intermedios de la estructura del árbol.

La distribución en sucesos intermedios se reseña en la tabla siguiente.

 

Suceso intermedio

Probabilidad

Porcentaje respecto del TOP

Gran sobrecarga del cuerpo del depósito (puerta lógica G2) (b) por:

-          Fallo soporte (G12)

-          Exceso calor externo (G 13)

-          Exceso de presión (G20) (c):

o       Por sobrellenado (G21)

o       Por fuego externo (G22)

o       Por reacción química rápida (G23)

8,9.10-7

(4,1.10-7)

(5.10-10)

(4,8.10-6)

(5,2.10-8)

(4.10-15)

(4,3. 10-7)

69

(31,3)

(-) (f)

 

(4)

(-)

(33,5)

 

Defecto mecánico (G3) (d)

-          Diseño inadecuado (E1)

-          Corrosión (G5) (e):

o       Por material corrosivo introducid desde camiones cisterna (G9)

o       Stress corrosion cracking (G10)

o       Fatiga (G6)

3,8.10-7

(1.10-7)

 

(1,4.10-8)

  (2,66. 10-7)

 (1.10-13)

29.7

(7,8)

 

(1, 1)

  (20,8)

 (-)

Rotura frágil (G4)

1,6.10-8

1,3

 

TOP (a) (TOTAL)

1,3.10-6

100

 

Notas:

  1. El suceso TOP se expresa como suma lógica de los sucesos G2,G3 y G4. TOP = G2 + G3 + G4

  2. El suceso G2 se expresa como suma lógica de los sucesos G12,G13 y G20. G2 = G12 + G13 + G20

  3. El suceso G20 se expresa como suma lógica de los sucesos G21,G22 y G23. G20 = G21 + G22 + G23

  4. El suceso G3 se expresa como suma lógica de los sucesos intermedios G5 y del suceso básico E1.G3 = E1 + G5. El suceso G5 se expresa como suma lógica de los sucesos intermedios G9,G10 y G6.

  5. G5 = G9 + G10 + G6, de acuerdo con la notación de la lógica booleana de la tabla 2.1, en que el signo más representa la unión de sucesos o «0» lógico y truncando la expresión  aproximación del «suceso raro»).

  6. Valor despreciable.

En la primera columna se indican los tres sucesos intermedios que condicionan el suceso TOP: las puertas lógicas G2, G3 y G4. Estas puertas están indicadas a través de un 'O' lógico por la suma de sus probabilidades indicadas en la segunda columna y subrayadas dan la probabilidad del TOP (8,9.10-7; 3,8.10-7; 1,6.10-8). Se reparten el 100% de la probabilidad de TCP que se resena en la última columna y subrayadas (69, 29,7 y 1,3%).

Por otra parte, se indican las probabilidades de los sucesos intermedios en los cuales pueden ser descompuestos los sucesos intermedios G2, G3 y G4, dándose valores entre paréntesis. Así la probabilidad de G2 se expresa como suma de las probabilidades de las puertas G12, G13 y G20 (4,1. 10-7 ; 5.10-10; 4,8.10-6).

Se observa que la probabilidad de producirse la rotura del depósito de amoníaco reside en un 33,5% respecto del TOP en la ocurrencia de una reacción química rápida por la introducción de material químico incompatible en el depósito, desde la cisterna, al no realizarse el análisis de la misma.

Con un valor similar se encuentra el fallo de los soportes debido bien sea a causas naturales externas (fallo del asentamiento, impacto o terremoto), bien sea a un defecto mecánico o diseño inadecuado.

Le sigue en importancia el defecto mecánico por stress corrosion cracking, que englobando las diferentes posibilidades, tendría un peso sobre el total del 20,8%.

D) ANÁLISIS DE IMPORTANCIA

Los componentes cuyos RRW es más importantes son:

Componente

RRW

-          Material incompatible en la cisterna (E37).

-          El operador no reconoce el peligro (E38).

-          El material incompatible alcanza el depósito (E39).

-          Defecto alcanza criticidad entre revisiones (E23).

-          Hundimiento (E15).

1,5

1,5

1,5

1,3

1,2

Ejemplos de cálculo

Para el componente E37 que únicamente aparece en el minimal cut set de orden 3 (E37 E38 E39) y que tiene una probabilidad de 4,3.10-7, el RRW, de acuerdo con la fórmula reseñada:

donde 1,3.10-6es la probabilidad del suceso TOP

Para el componente E15 que configura un minimal cut set de orden 1 de probabilidad igual a 2.10-7 el valor de RRW es:

Si se consigue eliminar la posibilidad de que se introduzca un material incompatible en la cisterna (el suceso E37 adoptaría una probabilidad igual a 0), la probabilidad de que se produzca una rotura del depósito se divide por 1,5 (RRW de E37) pasando a ser, por tanto, de 8,6. 10-7, es decir, que se reduce en un 66%.

El resto de componentes posee un RRW más próximo a 1, es decir, si su tasa de fallo fuera cero la repercusión sobre el suceso sería despreciable.

Los componentes cuyos RAW son mayores:

Componente

RRW

-          Material de construcción del depósito no adecuado (E21); no realización del alivio de tensiones (E22); líquido demasiado frío por llenado directo en fase líquida (E20).

-          Material corrosivo en cisterna (E5).

-          Exceso O2/agua en cisterna (E26); efectuar el primer llenado sin barrido de 02 y con presencia de agua (E28).

 

 876

746

  439

Ejemplos de cálculo

     Para el componente E21 (de probabilidad 10-4) que aparece en tres minimal cut set (E23 E21; E24 E21; E25 E21), se puede aproximar que la probabilidad de los minimal cut set donde aparece E21 pasa a ser 10-61,6.10-5 y 10-4, respectivamente, si la probabilidad de E21 es igual a 1.

La suma de las probabilidades de los minimal cut set que permanecen invariables se puede encontrar mediante resta de la probabilidad del TOP y el de los minimal cut set, es decir,

1,3.10-6 - 1,17.10-6 = 1,183.10-5

De donde, por último:

Para el componente E5 de probabilidad 1,5.10-5 que aparece en un minimal cut set de orden 3 (E4 E5 E6) se tiene:

  • Probabilidad del minimal cut set asumiendo que E5 falla (probabilidad igual a 1) es: 9,5.10-4.

  • Probabilidad correspondiente a la suma de los restantes minimal cut set.

1,3.10-6- 1,425.10-8 = 1,3.10-6

siendo 1,4.10-9 el valor del minimal cut set E4 E5 E6.

Por último, el RAW resultante es.

Si existiera un error en la selección del material de construcción del depósito (suceso E21), la probabilidad de rotura del depósito sería de 1,14.10-3, es decir 876 veces mayor (valor del RAW de E21).

E) ANÁLISIS DE INCERTIDUMBRE

Tal como consta en la tabla de definición de los componentes (tabla 2.8), se ha considerado que existe incertidumbre sobre las probabilidades de los sucesos básicos, de tal forma que se ajusta esta incertidumbre con una ley de distribución lognormal caracterizada por su mediana y factor de error.

Para calcular la dispersión existente sobre el suceso TOP se han llevado a cabo 1.200 evaluaciones del árbol generando aleatoriamente para cada suceso básico un valor dentro del rango de valores posibles.

Se representa en la tabla de la página xx las probabilidades acumuladas de los valores obtenidos para el TOP.

El TOP con esta simulación tiene una probabilidad del 5% de ser un valor inferior a 2,2.10-8, mientras que con una confianza del 95% se puede asegurar que la probabilidad del TOP será inferior a 5,69.10-7.

De esta forma se puede afirmar con una confianza del 90% que la probabilidad el TOP se halla en el intervalo [2,2.10-8; 5,69.10-7].

Esta distribución viene caracterizada por otros parámetros estadísticos como son el valor medio (suma de los 1.200 valores obtenidos partido por 1.200); la desviación tipo (suma de las diferencias cuadráticas con respecto de la media dividida por 1.200) y la mediana (valor que acumula un 50% de probabilidad).

Media:                         1,39.10-6

Desviación tipo:            1,02.10-5

Mediana:            2,04.10-7

Tamaño de la muestra (1.200).

Cabe destacar que la evaluación «puntual» con los valores medianos de los componentes proporcionaba un valor de 1,3.10-6cercano al de la media.

Distribución acumulada de la probabilidad del suceso TOP

Confianza    %

Probabilidad del TOP

0,5

8,61.10-9

1,0

1,21.10-8

2,5

1,60.10-8

5,0

2,22.10-8

10,0

3,16.10-8

20,0

5,77.10-8

25,0

7,33.10-8

30,0

8,82.10-8

40,0

1,29.10-7

50,0

2,04. 10-7

60,0

3,04. 10-7

70,0

4,35.10-7

75,0

5,78. 10-7

80,0

7,29. 10-7

90,0

1,99.10-7

95,0

5,69. 10-7

97,5

1,02.10-5

99,0

1,81 .10-5

99,5

2,87.10-5

F) MEJORAS A INTRODUCIR

Sobre la base del estudio de los resultados de evaluación del árbol se propone una serie de mejoras que van encaminadas a reducir la probabilidad de los sucesos que, a través del estudio de importancia, han resultado tener un peso específico apreciable.

  1. Control de calidad de la cisterna para analizar su contenido antes de la descarga, con el fin de:

Verificar que contiene NH3 para evitar la introducción en el depósito de un material incompatible o corrosivo.

Comprobar si presenta un exceso de O2/agua.

  1. Realizar purga en la fase vapor del depósito.

  2. Inertizar el depósito antes del primer llenado.

  3. Reducir a la mitad (3 años) el período entre revisiones.

  4. Colocar un medidor de nivel en el depósito que detenga la operación de carga por alto nivel.

Estas mejoras conducen a la introducción de nuevos componentes (E45, E27, E42, E29, E43 y E44), que se señalan en el árbol de fallos de la figura 2.13 mediante trazos discontínuos. Con estas mejoras la evaluación del árbol de fallos ofrece los resultados que se señalan en los siguientes apartados.

a) Evaluación cualitativa del árbol de fallos considerando las mejoras

La distribución en conjuntos mínimos de fallos se modifica de la siguiente forma.

El número total de conjuntos mínimos (minimal cut set) es de 30.

Los sucesos debidos a fenómenos externos se mantienen (conjuntos mínimos de orden 1 y 2), mientras que se reduce el número de los conjuntos mínimos de fallos de orden 3 (de 10 a 2), apareciendo conjuntos mínimos de orden 4 y 6.

En la tabla siguiente se subrayan los componentes que corresponden a mejoras y que aumentan el orden de los conjuntos mínimos de fallos.

Orden

Minimal cutset (MCS)

Composición

Probabilidad

1

E15

 E14

E13

E1

E12

 

 Número de MCS = 5

Fallo del asentamiento del terreno.

Defecto mecánico del soporte.

Terremoto.

Inadecuado diseño del depósito

Impacto de vehículo.

2. 10-7

 10-7

10-7

10-7

10-8

2

E23                E21

E23                E22

E20                E23

E25                E22

E24                E21

E25                E21

E24                E22

E20                E25

E20                E24

 

E16                E17

 

E18                E19

E40                E41

 

E2                   E3

 

Número de MCS = 13

Combinaciones de dos sucesos que conducen a rotura por stress corrosion cracking

 

 

 

 

 

 

 

 

Incendio externo y fallo mecánico del depósito.

Incendio externo y fallo mecánico del soporte.

Incendio externo y fallo del de presión.

Inadecuada construcción del depósito y vibración fuerte.

10-10

10-10

1,6.10-11

10-8

1,6.10-9

10-8

1,6.10-9

1,6.10-8

2,56.10-10

5.10-10

 5.10-10

 

4.10-15

 

10-13

 

3

E7                   E8       E9

 

E7       E10     E11

 

  

Número de MCS = 2

Deposito vacío, error operativo con introducción de NH3 y carga externa.

Disparo intempestivo de válvulas de seguridad con bajada de temperatura en el depósito y carga externa.

1,6.10-8

 

 6,12.10-10

 

4

E37  E38  E3  E44

E4    E5    E6  E44

  Número de MCS = 2

Introducción de material incompatible al tanque no detección, ni intervención del operador y fallo del análisis previo de materia corrosivo (E44,E45)

4,3.10-11

1,4.10-11

5

E23 E30 E26 E27 E42

 

E25 E30 E26 E27 E42

E24 E30 E26 E27 E42

 

E23 E30 E28 E29 E42

E25 E30 E28 E29 E42

E24 E30 E28 E29 E42

 

Número de MCS = 6

Combinaciones de tres sucesos que conducen a rotura por stress corrosion cracking junto con un fallo en la operación de purga en fase vapor del depósito (E42) y el error en el análisis de 02 en la cisterna (E27).

 

Idem pero con un error en no inertizar el depósito antes del primer llenado (E29).

Inferior a

5.10-17

Idem

Idem

 

 Idem

Idem

 Idem

 

 

6

E35 E36 E32 E33.E43

E35 E36 E31 E33 E43

 

Número de MCS = 2

Rotura por sobrepresión debida a un sobrellenado.con fallo del corte por exceso de nivel (E43)

Idem

Idem

 b) Resultados cuantitativos del árbol de fallos considerando las mejoras

La suma de las probabilidades de los minimal cut set de la tabla anterior proporciona el nuevo valor del suceso TCP: 5,5.10-7 oc/año, lo que supone una reducci6n del 56,6% con respecto del valor anterior.

Otra forma de presentar los resultados cuantitativos, tal como se indicaba en el punto C), consiste en determinar las probabilidades de los sucesos intermedios G2, G3 y G4 unidos mediante una puerta lógica «O». En la siguiente tabla se desglosan las probabilidades y el tanto por ciento que representa sobre el TOP.

Suceso intermedio

Probabilidad

Porcentaje respecto del TOP

Gran sobrecarga del cuerpo del depósito (puerta lógica G2) (b) por:

-          Fallo soporte (G12)

-          Exceso calor externo (G 13)

-          Exceso de presión (G20) (c):

o       Por sobrellenado (G21)

o       Por fuego externo (G22)

o       Por reacción química rápida (G23)

3,1.10-7

(3,1.10-7)

(5.10-10)

 

(-) (f)

(4.10-15)

(-)

54,3

(54,3)

(-)

 

(-)

(-)

(-)

 

Defecto mecánico (G3) (d)

-          Diseño inadecuado (E1)

-          Corrosión (G5) (e):

o       Por material corrosivo introducido desde camiones cisterna (G9)

o       Stress corrosion cracking (G10)

o       Fatiga (G6)

2.10-7

(1.10-7)

 

(-)

 (1,24.10-7)

(1.10-13)

36,2

(18,1)

 

(-)

 (18,1)

(-)

Rotura frágil (G4)

1,6.10-8

2,9

 

TOP (a) (TOTAL)

5,5.10-7

100

 

Notas:

  1. El suceso TOP se expresa como suma lógica de los sucesos G2,G3 y G4. TOP = G2  + G3  + G4.

  2. El suceso G2 se expresa como suma lógica de los sucesos G12,G13 y G20. G2 = G12 + G13  + G20

  3. El suceso G20 se expresa como suma lógica de los sucesos G21,G22 y G23. G20 = G21 +  G22  + G23

  4. El suceso G3 se expresa como suma lógica de los sucesos G5 y el suceso básico El. G3  = El + G5.

  5. El suceso G5 se expresa como suma lógica de los sucesos G9, G10 y G6. G5 = G9 + G10 + G6, de acuerdo con la notación de la lógica Booleana de la tabla 2.l, en que el signo más representa la unión de sucesos o «O» lógico y truncando la expresión (1), de acuerdo con la aproximación del «suceso raro».

  6. Valor despreciable.

La influencia de cada una de las mejoras propuestas, sobre el valor del TOP es:

Mejora propuesta

Porcentaje de mejora respecto al valor del TOP

-          Analizar la cisterna.

-          Realizar purga en fase vapor del depósito.

-          Inertizar el depósito antes del primer llenado.

-          Reducir a la mitad (3 años) el período entre revisiones.

-          Colocar un medidor de nivel en el depósito que detenga la operación de carga.

34,6

5,1

    0,07

21,5

~ 0

Como se puede apreciar las mejoras que contribuyen más a la reducción de la probabilidad de rotura del depósito son el analizar la cisterna antes de su vaciado y la reducción del período entre revisiones.

AvanzarRetroceso