Analyse quantitative des riesques: Fiabilité de composants et
implication dans le maintenence préventive
Quantitative risk analysis: Reliability of components and implication in maintenance
preventive
Redactores:
Antonio Cejalvo Lapeña
Ingeniero Industrial
Josep Enric Domingo Biosca
Ldo. en Ciencias Químicas
CENTRO NACIONAL DE CONDICIONES DE TRABAJO
La notable evolución y complejidad de determinadas instalaciones en la industria de proceso, exige cada vez más la utilización de técnicas de evaluación de riesgos más potentes, que permitan realizar un análisis riguroso de las instalaciones, aportando algo más que la simple identificación de deficiencias o la detección de desviaciones sobre estándares reglamentarios establecidos.
Para la realización de un análisis cuantitativo de riesgos es necesario obtener la frecuencia-probabilidad de que se produzca un determinado accidente, que conjuntamente con el nivel de daño producido definirá el riesgo de la instalación.
La determinación rigurosa de la frecuencia-probabilidad de un accidente o suceso no deseado en una instalación, se realiza mediante la construcción de un árbol de fallos y errores, que permita obtener dicha frecuencia de ocurrencia a partir de las probabilidades de fallo o indisponibilidades de los equipos que integran el sistema.
La modelización del sistema mediante el árbol de fallos o errores y el análisis cualitativo y cuantitativo del mismo están tratados en la NTP-333 "Análisis probabilístico de riesgos: Metodología del Árbol del fallos y errores", a la que se remite al lector antes de abordar el presente documento.
Esta Nota Técnica de Prevención recoge los modos de fallo de los componentes y las expresiones matemáticas necesarias para el cálculo de sus probabilidades en función de sus tasas de fallo y especificaciones técnicas de operación (tiempo de operación, intervalo de mantenimiento, etc).
Una de las aplicaciones más importante de este tipo de análisis de riesgos consiste en la determinación de los equipos y funciones más criticas para la seguridad del sistema analizado y la planificación de actuaciones preventivas sobre las mismas, tanto en el diseño de la instalación como en las estrategias de mantenimiento preventivo, con el objeto final de aumentar el nivel de seguridad.
Para obtener las indisponibilidades de los sucesos básicos que componen un determinado árbol de fallos es necesario conocer y disponer ciertos parámetros de funcionamiento e intrínsecos de los componentes o equipos (válvulas, bombas, etc) que forman el sistema a analizar.
Estos parámetros están almacenados unos en bases de datos de fiabilidad de componentes y otros en las especificaciones de operación y registros de averías de la planta.
Los parámetros que a continuación se definen serán utilizados para el cálculo de las indisponibilidades de los sucesos básicos mediante las expresiones matemáticas que procedan para cada modo de fallo.
Tasa de fallos (l): Esta determinada por el número de fallos que ocurren en un equipo dividido por el tiempo transcurrido.
Tasa de fallos en operación (l o): Esta determinada por el número de fallos que tiene un equipo cuando está en operación dividido por el tiempo de operación en el que ocurren los fallos.
Tasa de fallos en espera (l s): Esta determinada por el número de fallos que tiene un equipo cuando está en espera dividido por el tiempo de espera en el que ocurren los fallos.
Indisponibilidad (q): Es el parámetro que en términos probabilísticos define la no disponibilidad de un equipo en un cierto instante de tiempo.
Indisponibilidad por demanda (qd): Es el número de fallos que tiene un equipo en la demanda de actuación dividido por el número de demandas efectuadas.
Tiempo de operación (To): Es el tiempo en que un equipo está en funcionamiento o en operación.
Tiempo entre pruebas (Tep): Es el intervalo de tiempo entre revisiones periódicas de un equipo.
Tiempo de prueba (Tp): Es el tiempo medio que dura la prueba o revisión de un equipo.
Tiempo de reparación (Tr): Es el tiempo medio de reparación de un equipo que se ha detectado fallado.
Los equipos pueden manifestar sus fallos en tres intervalos de tiempo: mientras están en espera, cuando se demanda su actuación o cuando están en operación o funcionamiento.
La función indisponibilidad, definida por la ecuación (1) se particulariza para cada modo de fallo, adquiriendo expresiones matemáticas diferentes:
Se produce en componentes que están en espera para entrar en operación y estando en este estado fallan. Ejemplos de este tipo de componentes son las válvulas de seguridad, las bombas de refrigeración, redundantes o no, pero que no estén refrigerando en ese periodo, los grupos electrógenos, las alarmas, etc.
Los mecanismos por los que estos componentes fallan son dependientes del tiempo, por corrosión o suciedad, envejecimiento, etc y la tasa de fallos se ajusta a una distribución exponencial
por lo que la indisponibilidad puntual adquiere la expresión:
Estos componentes pueden ser probados periódicamente o no, siendo la indisponibilidad media distinta en cada caso.
Componentes en espera sometidos a pruebas periódicas: la indisponibilidad media en el intervalo entre pruebas Tep es:
Componentes en espera no sometidos a pruebas periódicas: la indisponibilidad media en el tiempo que le queda al componente es:
donde Tvp y Tv son el tiempo de vida previsto del componente y el tiempo que lleva en funcionamiento, respectivamente.
Asociada a componentes en espera que son probados o revisados periódicamente con un intervalo Tep y en los que las revisiones les hace estar indisponibles durante el tiempo de pruebas Tp.
Asociada a componentes a los que se realiza mantenimiento preventivo con un ciclo de duración Tm, dejándolos indisponibles durante el tiempo de reparación Tr.
Se da en componentes que fallan cuando se les demanda un cambio de estado, por ejemplo cuando el componente está funcionando y se le demanda que pare o cuando el componente está en espera y se le demanda que entre en operación, fallando en el arranque. Se le asocia la distribución estadística binomial, ya que la demanda solo puede tomar dos valores, éxito o fracaso:
donde x y n son el número de fallos en demanda y el número de demandas efectuadas, respectivamente.
Se da en componentes que fallan durante el tiempo de operación To. La tasa de fallos se ajusta a la distribución exponencial:
Por lo que la probabilidad de que un componente en operación falle antes de que finalice el tiempo de operación esta determinada por:
Son fallos producidos en componentes debido a un error humano en su operación. Este modo de fallo se encuentra tratado de forma sucinta en las Notas Técnicas de Prevención 360 y 377.
En este apartado se presenta un caso práctico de la aplicación de los datos de fiabilidad de componentes. La aplicación de esta metodología puede ser tanto para el análisis de seguridad de las instalaciones, como para mejorar su mantenimiento preventivo.
Se realiza el análisis de la disponibilidad del sistema de refrigeración de un reactor discontinuo ("batch"), representado, esquemáticamente en la figura 1. Este sistema, además de ser un ejemplo poco complejo y relativamente fácil de analizar, corresponde a una instalación muy extendida en la industria química de proceso y en particular en las PYMES del sector químico, por ejemplo en la industria de química fina.
Fig. 1: Esquema del sistema de refrigeración
La instalación de refrigeración está formada, básicamente por dos tramos iguales y cada tramo consta de:
1 bomba centrífuga para impulsar el agua (B1/B2).
2 válvulas de accionamiento manual para aislar la bomba (V11/V21 y V12/V22).
1 válvula de retención para evitar que se produzca flujo inverso (VR1/VR2).
1 válvula de control, gobernada por un controlador de temperatura del reactor.
En el análisis de fiabilidad del sistema de refrigeración se ha empleado la metodología de árbol de fallos y errores humanos (véase NTP-333). El paso previo a la elaboración del árbol en si, es la identificación del suceso no deseado cuya probabilidad se requiere obtener y los sucesos y circunstancias que deben concurrir para llegar al mismo. Esta etapa previa puede ser realizada por medio de:
Un análisis histórico de accidentes en instalaciones similares, aportando experiencias similares.
Un análisis sistemático, empleando metodologías como el análisis funcional de operabilidad (HAZOP) (véase NTP-238), el análisis modal de fallos y efectos (FMEA), etc.
La experiencia del personal de la planta y del analista.
En la figura 2 se presenta el árbol de fallos utilizado para analizar la indisponibilidad del sistema. En el presente caso la indisponibilidad estudiada es la falta de refrigeración en el reactor (suceso no deseado o Top event).
Fig. 2: Árbol de fallos y errores para evaluar la indisponibilidad por falta de refrigeración en el reactor
Los sucesos intermedios que inciden directamente al TOP son: fallo en el tramo 1 y fallo en el tramo 2. Como se ha indicado anteriormente, los dos tramos son idénticos, por lo que, sólo se comenta uno, obviamente tal duplicidad aminora significativamente la indisponibilidad total. Los sucesos considerados para analizar el posible fallo en el tramo son:
Válvula manual V11 cerrada erróneamente u obstruida.
Válvula de retención VR1 falla en la apertura.
Válvula manual V12 cerrada erróneamente u obstruida.
Fallo en la válvula de control VC1.
Fallo en la bomba B1.
Los sucesos considerados por los que la válvula de control dejará de operar correctamente son, básicamente:
Fallo del controlador de temperatura del reactor:
Fallo de la señal de apertura SA.
Actuación de señal de cierre SC.
Fallo a la demanda.
Fallo en operación.
Fallo del suministro eléctrico.
El segundo suceso y el tercero son modos de fallo de la válvula.
Los sucesos considerados por los que la bomba dejará de operar correctamente o no estará disponible son, básicamente:
Indisponibilidad de la bomba por pruebas o por mantenimiento.
Fallo a la demanda.
Fallo en operación.
Fallo en espera.
Fallo del suministro eléctrico.
Fallo del controlador de temperatura del reactor:
Fallo de la señal de apertura SA.
Actuación de señal de cierre SC.
Los cuatro primeros sucesos son modos de fallo de la bomba.
El fallo del suministro eléctrico no se ha desglosado en más sucesos básicos, recibiendo el nombre de suceso no desarrollado. A este recurso se recurre cuando no se tiene más información para desglosar un suceso intermedio, su desarrollo no aporta más información o sus consecuencias son despreciables. En este caso, no es objeto del análisis y no aporta más información.
El suceso anterior y los sucesos básicos derivados de los fallos del controlador de temperatura del reactor, en la metodología de árbol de fallos, se pueden considerar como "fallos del modo común", ya que dichos fallos también son sucesos que puedan afectar a las válvula de control.
El análisis cualitativo del árbol de fallos consiste en identificar las combinaciones mínimas de sucesos básicos que hacen que se produzca el suceso no deseado, también denominado en la terminología de árboles de fallos, conjunto mínimo de fallos (de la nomenclatura anglosajona, minimal cut set).
Para la determinación de los mismos se aplica la lógica del álgebra de Boole, suponiendo que los sucesos básicos son independientes.
Con el listado de los diferentes conjuntos mínimos de fallos, se tiene una clasificación de los caminos o combinaciones de sucesos que pueden producir el suceso no deseado. Pero si lo que se pretende es hacer una clasificación por importancia o magnitud (de más a menos importancia) deberíamos de asignar valores a cada suceso básico, realizando un análisis cuantitativo.
La indisponibilidad de un conjunto mínimo de fallos viene dado por el producto de las indisponibilidades de los sucesos básicos. A su vez, la indisponibilidad total del suceso no deseado es la suma de las indisponibilidades de los conjuntos mínimos de fallos, como límite superior.
La indisponibilidad de cada suceso básico se calcula con las expresiones matemáticas descritas en el apartado "Modos de fallo y modelos de indisponibilidad" de esta NTP y a partir de las tasas de fallos de los componentes y de una serie de tiempos de funcionamiento del sistema (To, Tep, Tp, etc).
Las tasas de fallos pueden ser extraídas de bancos de datos de fiabilidad de reconocido prestigio internacional o de la experiencia de la planta basada en registros de fallos o averías, en concreto para el presente caso se han empleado los valores publicados por CCPs (Center for Chemical Process Safety) del AlChE (American Institute of Chemical Engineers) y los tiempos, determinados en las especificaciones de operación del sistema, se han establecido los siguientes:
Tiempo de operación: 1,25 h (tiempo durante el cual el sistema de refrigeración debe funcionar correctamente, para cada proceso batch)
Tiempo entre pruebas de las bombas: 2000 h.
Tiempo en pruebas o mantenimiento de las bombas: 5 h.
Realizando el análisis cualitativo y cuantitativo del presente caso (tabla 1), siguiendo la metodología descrita en la NTP-333, se ha obtenido:
84 conjuntos mínimo de fallos:
3 de orden 1.
81 de orden 2.
Indisponibilidad total del sistema: 8,2 10-4 procesos-1 (tabla 2), esto quiere decir que de 1220 batch (o veces que se realice la operación), probablemente en una de ellas se producirá una falta de refrigeración del reactor.
Tabla 2: Relación de conjuntos mínimos de fallos más significativos |
|
En todo análisis de seguridad, es esencial identificar aquellos equipos y modos de fallos que tienen un mayor impacto en la seguridad del sistema analizado, es lo que constituye un "Análisis de importancia" del sistema. Este tipo de análisis permitirá centrar estudios posteriores en aquellos equipos o situaciones que han propiciado los sucesos básicos más importantes, a la vez que marca las pautas a seguir para adoptar los medidas preventivas más eficaces, que obviamente serán sobre aquellos equipos que muestren medidas de importancia más significativas.
La importancia de los sucesos básicos puede calcularse a través de diferentes medidas existentes, que realizan el análisis desde diferentes puntos de vista. En este documento se han considerado tres de las medidas más utilizadas.
Medida de importancia RAW (Risk Achivement Worth): se define como el cociente entre la suma de las probabilidades de los conjuntos mínimos de fallo donde aparece el componente, asumiendo para éste una probabilidad de fallo de 1 (fallo seguro), y la probabilidad total del suceso no deseado. Proporciona la degradación del sistema en caso de ocurrir el suceso básico. La ordenación obtenida está basada en la disposición estructural de los sucesos básicos en el árbol de fallos, sin tener en cuenta explícitamente los valores reales de las indisponibilidades de los sucesos.
Medida de importancia RRW (Risk Reduction Worth): se define como el cociente entre la probabilidad total del suceso TOP y la suma de las probabilidades de todos los conjuntos mínimos, asumiendo para el componente una tasa de fallo nula. Esta medida proporciona los sucesos básicos que más contribuyen al riesgo. Identifica aquellos sucesos básicos que si fueran perfectamente fiables, con indisponibilidad nula, conducirían a una reducción más importante del riesgo del sistema.
Medida de importancia de Fussell-Vesely: se define este factor respecto de un componente, como el cociente entre la suma de las probabilidades de todos los conjuntos mínimos que contienen a este componente y la probabilidad total (o suma de la probabilidad de todos los conjuntos mínimos). En esta medida influye tanto la indisponibilidad del componente como su posición estructural en el árbol de fallos.
En el caso práctico del apartado anterior, los resultados obtenidos para las tres medidas de importancia se muestran en las tablas 3, 4 y 5 y se representan en los gráficos 1, 2 y 3, respectivamente.
Medida RAW: esta medida revela la importancia de asegurar las señales eléctricas SA y SC de actuación de las válvulas de control (VC1 y VC 2) y de las bombas (B1 y B2), así como el suministro eléctrico.
Medidas RRW y Fussell-Vesely: estas medidas proporcionan la misma ordenación de sucesos básicos y revelan la importancia de reducir la probabilidad de los modos de fallo de las bombas (B1 y B2) en demanda y en espera.
Tabla 3: Clasificación de los sucesos básicos más relevantes según medida de importancia RAW |
Gráfico 1 Representación de los sucesos básicos más relevantes en función de la medida de importancia RAW |
|
|
Tabla 4: Clasificación de los sucesos básicos más relevantes según medida de importancia RRW |
Gráfico 2 Representación de los sucesos básicos más relevantes en función de la medida de importancia RAW |
|
|
Tabla 5: Clasificación de los sucesos básicos más relevantes según medida de importancia Fussell-Vesely |
Gráfico 3 Representación de los sucesos básicos más relevantes en función de la medida de importancia Fussell-Vesely |
|
|
Las medidas existentes para aumentar la fiabilidad (o disminuir la indisponibilidad) de un sistema o reducir la probabilidad de fallo, pueden ser básicamente de dos tipos.
En primer lugar, modificar la estructura del árbol de fallos: a través de cambios en la instalación, que fundamentalmente pueden consistir en la incorporación de redundancias en aquellos elementos o funciones que se hayan identificado como críticas o imprescindibles para la seguridad del sistema, como en el caso del suministro eléctrico y señales de actuación del ejemplo anterior, que proporcionan los valores superiores en la medida de importancia RAW.
En segundo lugar, disminuir la indisponibilidad de los sucesos básicos: tal y como se ha visto en el punto "Modos de fallo y modelos de indisponibilidad" de esta NTP, la indisponibilidad de cada suceso básico se ha calculado mediante unas expresiones matemáticas para cada modo de fallo, que tienen como variables las tasas de fallos intrínsecas de los componentes (ls, lo) y las condiciones de operación y mantenimiento del sistema (Tep, Tp, To, Tr).
Por ello, la reducción de las indisponibilidades de los sucesos básicos puede ser lograda mediante la elección de componentes con tasas de fallos bajas y adoptando adecuadas estrategias de mantenimiento preventivo.
En el caso práctico analizado, las medidas de importancia RRW y Fussell-Vesely han revelado la importancia de reducir la indisponibilidad de las bombas instaladas, a las cuales se les realiza pruebas periódicas.
La indisponibilidad de la bomba esta determinada por:
q = qespera + qpruebas + qdemanda + qoperación
El intervalo óptimo entre pruebas se puede obtener derivando la función anterior respecto al tiempo entre pruebas e igualando la derivada a cero:
Que en el caso práctico realizado anteriormente proporciona un valor de 1.036 horas.
Para verificar este resultado se ha calculado la indisponibilidad total del suceso no deseado para distintos tiempos entre pruebas de las bombas; los resultados se presentan en la tabla 6 y se representan en el gráfico 4, de donde se desprende que el mínimo valor de la indisponibilidad total se obtiene para un tiempo entre pruebas próximo a 1.000 horas, corroborándose el cálculo matemático del tiempo óptimo realizado anteriormente.
Tabla 6: Los valores indisponibilidad total en función del tiempo entre pruebas de las bombas |
Gráfico 4: Representación de los valores indisponibilidad total en función del tiempo entre pruebas de las bombas |
|
|
(1) AMERICAN INSTITUTE OF CHEMICAL ENGINERS
Guidelines for process Equipment Reliability Data - 1989.
(2) BESTRATÉN, MANUEL
NTP-238 Los análisis de peligros y de operabilidad en instalaciones
de proceso - 1989.
(3) DIRECCIÓN GENERAL DE PROTECCIÓN CIVIL - MINISTERIO DEL INTERIOR
Guía Técnica. Métodos cuantitativos para el análisis de riesgos - 1994.
(4) HAUPTMANNS, ULRICH
Análisis de Árboles de Fallos.
(5) LEES, FRANK P.
Loss Prevention in the Process Industries - 1980.
(6) PIQUE, TOMAS Y CEJALVO, ANTONIO
NTP-333 Análisis probabilístico de riesgos: Metodología del
"Árbol de fallos y errores" - 1994.
