TECSUP - RCM_6

UNIDAD VI

Consecuencias delas fallas

Tecsup Virtu@l Índice

-1-

Índice

Unidad VI: “Consecuencias de las fallas”

1. Factibilidad técnica y el Valor de Hacerlo....................................................................32. Funciones ocultas y evidentes ...................................................................................4

2.1. Categorías de Fallas Evidentes..........................................................................53. seguridad y las Consecuencias Medioambientales .......................................................6

3.1. La seguridad Primero .......................................................................................63.2. La Pregunta de Riesgo .....................................................................................73.3. ¿Qué podría pasar si la falla ocurriera? ..............................................................83.4. ¿Cuán probable es que ocurra la falla? ..............................................................93.5. ¿El riesgo es tolerable? ....................................................................................93.6. ¿Quién debe evaluar los riesgos? ....................................................................123.7. La seguridad y el Mantenimiento Proactivo ......................................................133.8. RCM y la Legislación de Seguridad ..................................................................14

4. Consecuencias operacionales ..................................................................................144.1. ¿Cómo las fallas afectan las operaciones?........................................................144.2. Evitando las Consecuencias Operacionales.......................................................16

5. Consecuencias no operacionales..............................................................................195.1. Puntos adicionales concernientes a consecuencias no - operacionales ................21

6. Consecuencias de fallas ocultas...............................................................................226.1. Fallas Ocultas y Dispositivos de Protección.......................................................226.2. DISPOSITIVOS PROTECTORES QUE NO SON DE FALLA EVIDENTE....................236.3. LA DISPONIBILIDAD REQUERIDA DE LAS FUNCIONES OCULTAS ......................266.4. EL MANTENIMIENTO RUTINARIO Y LAS FUNCIONES OCULTAS ........................30

6.4.1. Las funciones ocultas: El Proceso de Decisión........................................326.5. Puntos adicionales acerca de funciones ocultas ................................................33

7. Conclusión.............................................................................................................378. RESUMEN..............................................................................................................37

Tecsup Virtu@l Gestión del Mantenimiento Basado en la Confiabilidad

Pág.2 Unidad VI

UNIDAD VI

“CONSECUENCIAS DE LAS FALLAS”

INTRODUCCIÓN

Las unidades anteriores han explicado cómo el proceso RCM hace las siguientes siete preguntaspor cada recurso:

1. ¿Cuáles son las funciones y las normas de actuación (rendimiento) asociadas del recurso ensu contexto operativo presente?

2. ¿De qué maneras falla para cumplir sus funciones?3. ¿Qué causa cada falla funcional?4. ¿Qué pasa cuando ocurre cada falla?5. ¿De qué manera ocurre cada falla?6. ¿Qué puede hacerse para predecir o prevenir cada falla?7. ¿Qué se hace si no puede encontrar una tarea proactiva conveniente?

Se discutieron las respuestas a las primeras cuatro preguntas a lo largo de las Unidades II a laV. Éstas mostraron cómo las hojas de Información del RCM son empleadas para registrar lasfunciones del recurso bajo revisión y para listar las fallas funcionales asociadas, modos de fallay efectos de falla.

Las últimas tres preguntas se hacen por cada modo de falla individual. Esta unidad considera laquinta pregunta:

• ¿De qué manera ocurre cada falla?

Es importante conocer el contexto operativo en que se desarrolla una falla y determinar sitendrá consecuencias sobre la producción o el servicio que se presta.Además de su incidencia sobre la seguridad de las personas y de las instalaciones.

OBJETIVOS

Definición de funciones ocultas y fallas evidentes. Establecer como las fallas afectan las operaciones. Proveer un adecuada estrategia para gerenciar fallas.


Unidad VI Pág. 3

1. FACTIBILIDAD TÉCNICA Y EL VALOR DE HACERLO

Cada vez que ocurre una falla, la organización que usa el recurso es afectada de algunamanera. Algunos fallas afectan el rendimiento, la calidad del producto o servicio al cliente.Otras amenazan la seguridad o el medioambiente. Algunas aumentan los costos operativos,por ejemplo, aumentando el consumo de energía, mientras otras tienen un impacto encuatro, cinco o más aspectos. Otras pueden parecer no tener efecto en absoluto si ocurrensolas, pero pueden exponer a la organización al riesgo de fallas mucho más serias.

Si cualquiera de estas fallas no se previniera; el tiempo y esfuerzo que necesita gastarsepara corregirlas también afecta a la organización, porque reparando fallas se consumenrecursos que podrían bien usarse en otra parte.

La naturaleza y severidad de estos efectos gobiernan la manera cómo la organización ve lafalla. El impacto preciso en cada caso es, en otras palabras, hasta qué punto sucede cadafalla y esto depende del contexto operativo del recurso, las normas de actuación que seaplican a cada función y los efectos físicos de cada modo de falla.

Esta combinación del contexto, las normas y los efectos significa que cada falla tiene unjuego específico de consecuencias asociado a ella. Si las consecuencias son muy serias,entonces se harán esfuerzos considerables para prevenir la falla o por lo menos paraanticiparla a tiempo para reducir o eliminar las consecuencias. Esto es especialmente verdadsi la falla pudiese herir o matar a alguien o si es probable que tenga un efecto serio en elmedio ambiente. También es verdad que las fallas interfieren con la producción o lasoperaciones o qué causan daños y perjuicios secundarios significativos.

Por otro lado, si la falla sólo tiene consecuencias menores, es posible que no se tomeninguna acción proactiva y la falla se corrija simplemente cada vez que ocurra.

Esto sugiere que las consecuencias de fallas son más importantes que sus característicastécnicas. También sugiere que la idea completa sobre el mantenimiento proactivo no es sóloprevenir los fallas sino cómo evitar o reducir las consecuencias de falla.

Si esto se acepta, entonces es razonable pensar que cualquier tarea proactiva merece lapena hacerse si trata con éxito las consecuencias de falla que se desean prevenir.

Esto presupone, claro, que en primer lugar es posible anticiparse o prevenir la falla. Si unatarea proactiva es o no técnicamente factible depende de las características técnicas de latarea y de la falla que se desea prevenir.

Si no es posible encontrar una tarea proactiva conveniente, la naturaleza de lasconsecuencias de falla también indica qué acción predeterminada debe tomarse.

El mantenimiento Proactivo tiene mucho más que hacer evitando oreduciendo las consecuencias de falla que solamente preveniéndolas

Una tarea proactiva merece la pena hacerse si trata con éxito lasconsecuencias de falla que se desea prevenir


Pág.4 Unidad VI

En el resto de esta unidad se considera el criterio para evaluar las consecuencias de falla ypara decidir si cualquier forma de tarea proactiva vale la pena hacerla. Estas consecuenciasse dividen en dos fases y cuatro categorías. La primera fase separa las funciones ocultas delas funciones evidentes.

Las fallas se categorizan en función de sus consecuencias las que pueden sermedioambientales, operacionales y no operacionales.

Para modos de falla que tienen consecuencias en la seguridad o medioambientales, unatarea proactiva merece ser realizada si logra reducir la probabilidad de falla a un niveltolerablemente bajo. Como es el caso de los viajes por avión que resultan estadísticamenteser mas seguros que los que se realizan por vía terrestre

2. FUNCIONES OCULTAS Y EVIDENTES

Hemos visto que cada recurso tiene más de una y a veces docenas de funciones. Cuando lamayoría de estas funciones falla, será evidente que la falla del equipo ha ocurrido.

Por ejemplo, algunas fallas causan que la luz de advertencia se encienda o hará que suenenlas alarmas o ambos. Otras causan que las máquinas paren o interrumpen alguna otra partedel proceso. Otros llevan a problemas de calidad de producto o al aumento del consumo deenergía y aún los efectos físicos obvios son acompañados con ruidos fuertes o fugas devapor, olores raros o charcos de líquido en el suelo.

Por ejemplo, la figura 3.7 en la unidad 3 mostró tres bombas que se muestran de nuevo enla figura 6.1. Si los rodamientos en la Bomba A se desgastan, se pierde la capacidadbombeo. Esta falla a si misma será inevitablemente obvia a los operadores, tan prontocomo suceda o cuando una parte del proceso que sigue se interrumpe. (Los operadores nopodrían saber inmediatamente que los rodamientos causaron el problema, pero sonconscientes del hecho que inevitablemente algo raro ha pasado).

A B C

BOMBA TRABAJA SOLA CON CARGA EN STAND BY

Figura 6.1: Diferentes contextos de operación.

Los fallas de este tipo se clasifican como evidentes porque alguien las descubrirá cuandoocurran por sí solas. Esto lleva a la siguiente definición de una función evidente:

Sin embargo, algunos fallas ocurren de tal manera que nadie sabe que el artículo está enestado de falla a menos que o hasta que alguna otra falla también ocurra.

Una función evidente es una cuya falla llega a ser inevitablemente evidentepor si sola a los operadores bajo circunstancias normales


Unidad VI Pág. 5

Por ejemplo, si la Bomba C en la figura 6.1 falla, nadie sería consciente del hecho porquebajo circunstancias normales la Bomba B todavía estará trabajando.

En otras palabras, la falla de la Bomba C por sí sola no tiene impacto directo a menos que ohasta que la Bomba B también falle (una circunstancia anormal).

La bomba C exhibe una de las características más importantes de una función oculta que esque, la falla de esta bomba por sí sola no será evidente al operador bajo circunstanciasnormales. En otras palabras, no se pondrá evidente a menos que la bomba B también falle.Esto lleva a la siguiente definición de una función oculta:

El primer paso en el proceso RCM separará las funciones ocultas de las funciones evidentesporque las funciones ocultas necesitan de un manejo especial. Veremos después que estasfunciones son asociadas a dispositivos de protección y que no son fallas de seguridad.Desde que se les pueden considerar como la mitad de los modos de falla que podríanafectar a los equipos modernos complejos, las funciones ocultas podrían convertirse en elproblema dominante de mantenimiento durante los próximos diez años. Sin embargo,consideramos que antes de poner las funciones ocultas en perspectiva, primero debemosconsiderar las fallas evidentes.

2.1. CATEGORÍAS DE FALLAS EVIDENTES

Los fallas evidentes son clasificadas, en tres categorías en orden descendente deimportancia:

• Consecuencias medioambientales y de seguridad.- Una falla tieneconsecuencias de seguridad si puede herir o matar a alguien. Tiene consecuenciasmedioambientales si pudiese llevar a un incumplimiento de cualquier normamedioambiental corporativa, regional o nacional.

• Consecuencias operacionales.- Una falla tiene consecuencias operacionales siafecta a la producción o a las operaciones (rendimiento, calidad del producto,servicio del cliente o costo operativo además del costo directo de reparación)

• Consecuencias no operacionales.- Las fallas evidentes en esta categoría noafectan ni a la seguridad ni a la producción, para lo que sólo involucran el costodirecto de reparación.

Ordenando las fallas evidentes, el RCM asegura que se consideren la seguridad y lasimplicaciones medioambientales de cada modo de falla evidente. Esto pone a laspersonas inequívocamente delante de la producción.

Este enfoque también significa que se evalúan las consecuencias medioambientales,de seguridad y económicas de cada falla en un solo ejercicio, lo que es mucho menoscostoso que considerarlos separadamente.

Una función oculta es una cuya falla no será evidente al operador bajocircunstancias normales si ocurre sola.


Pág.6 Unidad VI

3. SEGURIDAD Y LAS CONSECUENCIAS MEDIOAMBIENTALES

3.1. LA SEGURIDAD PRIMERO

Como hemos visto, el primer paso en el proceso de evaluación de las consecuenciases identificar las funciones escondidas para que puedan tratarse apropiadamente. Losmodos de falla restantes, en otras palabras, fallas que no son clasificadas comoocultas, deben por definición ser evidentes. Los párrafos anteriores explicaron que elproceso RCM considera primero la seguridad y las implicaciones medioambientales decada modo de falla evidente. Se hace así por dos razones:

• Un creencia sostenida cada vez más firmemente entre los empleadores,empleados, clientes y la sociedad en general es que “herir o matar personas en elcurso del negocio, simplemente no es tolerable y que debe hacerse todo loposible para minimizar la posibilidad de cualquier clase de incidente relacionadocon la seguridad o equilibrio medioambiental”.

• En la práctica las probabilidades que se toleran en los incidentes relacionados conla seguridad tienden a ser de magnitudes menores que aquéllas que se toleranpara fallas que tienen consecuencias operacionales. Como resultado, en lamayoría de los casos dónde una tarea proactiva merece la pena realizarce, desdeel punto de vista de seguridad, también es probable que sea más adecuado desdeel punto de vista operacional.

En cierto nivel, la seguridad se refiere a la seguridad de individuos en el lugar detrabajo. Específicamente, el RCM pregunta si alguien pudiera herirse o matarse comoresultado directo del modo de falla o por otro daño que puede ser causado por lafalla.

En otro nivel, “seguridad” se refiere a la seguridad del bien de la sociedad en general.Hoy día, las fallas que afectan a la sociedad tienden a ser clasificados comoproblemas “medioambientales”. De hecho, en muchas partes del mundo el punto estáenfocado a que las organizaciones o cumplen las expectativas medioambientales de lasociedad o ya no se les permitirá operar. Así realmente aparte de cualquiersentimiento personal que cualquiera puede tener al respecto, la pruebamedioambiental está volviéndose un requisito previo para la supervivenciacorporativa.

Anteriormente se explicó cómo las expectativas de la sociedad toman la forma denormas medioambientales municipales, regionales y nacionales. Algunasorganizaciones también tienen sus propias normas corporativas más severas aún. Sedice que un modo de falla tiene consecuencias medioambientales si pudiese llevar alincumplimiento de cualquiera de estas normas.

Un modo de falla tiene consecuencias de seguridad si causa una pérdida de lafunción u otro daño que pudiese herir o matar a alguien.

Un modo de falla tiene consecuencias medioambientales si causa la pérdidade una función u otro daño que podrían llevar al incumplimiento de

cualquier norma medioambiental conocida.


Unidad VI Pág. 7

Note que al considerar que si un modo de falla tiene consecuencias medioambientaleso de seguridad, estamos considerando que un modo de falla por sí solo podría tenerconsecuencias. Esto es diferente a la parte 6 de este capítulo en que consideramos lafalla de ambos elementos de un sistema de protección (función protegida ydispositivo protector).

3.2. LA PREGUNTA DE RIESGO

A la mayoría de las personas le gustaría vivir en un ambiente dónde no hay ningunaposibilidad de muerte o lesión en absoluto, generalmente se acepta que hay unelemento de riesgo en todo lo que hacemos. En otros términos, el cero absoluto esinalcanzable, aunque es una meta digna para seguir esforzándose. Esto nos lleva apreguntar lo que es inmediatamente asequible. ¿Cómo medir el riesgo?

Para contestar esta pregunta, necesitamos primero considerar la pregunta del riesgocon más detalle.

La valoración de riesgo consta de tres elementos. El primero, lo que podría pasar si elevento bajo consideración ocurriera. El segundo, cuán probable de ocurrir es elevento en absoluto. La combinación de estos dos elementos proporciona una medidadel grado de riesgo. El tercero y a menudo el elemento más contencioso es si esteriesgo es tolerable.

Por ejemplo, considere un modo de falla que podría producir la muerte o lesión a 10personas (lo que podría pasar). La probabilidad que este modo de falla pudieseocurrir es uno en mil en cualquier año (cuán probable es de ocurrir). Sobre la base deesto, el riesgo asociado con este falla es:

10 x (1 en 1000) = 1 accidente cada 100 años

Ahora considere un segundo modo de falla que podría causar 1000 accidentes, perola probabilidad que esta falla pudiera ocurrir es uno en 100 000 en cualquier año. Elriesgo asociado con esta falla es:

1 000 x (1 en 100 000) = 1 accidente cada 100 años.

En estos ejemplos, el riesgo es el mismo aunque las figuras en que esta basado sonbastante diferentes. También note que estos ejemplos no indican si el riesgo estolerable, sólo lo cuantifican meramente. Sea o no el riesgo tolerable es una preguntaseparada y mucho más difícil y se trata después.

Notar que, el termino “probabilidad” (1 en 10 oportunidades de una falla en cualquierperiodo) y “la tasa de falla” (una vez en diez periodos en promedio, correspondiendoa un tiempo promedio entre fallas de 10 periodos) se usa como si fueranintercambiables cuando se aplica a las fallas al azar. Hablando estrictamente, esto noes verdad. Sin embargo, si el MTBF es mayor que 4 periodos, la diferencia es tanpequeña que normalmente puede ignorarse.

Los párrafos siguientes consideran cada uno de los tres elementos de riesgo en másdetalle.


Pág.8 Unidad VI

3.3. ¿QUÉ PODRÍA PASAR SI LA FALLA OCURRIERA?

Se necesita considerar dos problemas al examinar lo que podría pasar si una fallaocurre. Estos son, ¿qué es lo que realmente pasa? y si ¿alguien probablemente seaherido o se matará como resultado?. ¿Qué es lo que realmente pasa?, si cualquiermodo de falla ocurre, esto debe registrarse en la hoja de Información del RCM asícomo sus efectos de falla, como se explicó a lo largo de la unidad 4. También la parte5 de la unidad 4 listó varios efectos típicos que presentan una amenaza a laseguridad o al ambiente.

El hecho que estos efectos pudieran herir o matar a alguien no necesariamentesignifica que ocurrirá cada vez que se presente. Algunos incluso pueden ocurrirbastante a menudo sin ocasionarlo. Sin embargo, el problema no es si talesconsecuencias son inevitables, sino si son posibles.

Por ejemplo, si en una grúa puente fallara el gancho que transporta normalmenterollos de acero, la carga que cae tal vez hiera o mate a alguien que esté en esemomento parado bajo él o cerca de él. Si nadie estuviera cerca, entonces nadiesaldría herido. Sin embargo, la posibilidad que alguien pudiese herirse significa queeste modo de falla debe tratarse como un riesgo de seguridad y debe analizarse deacuerdo a eso.

Este ejemplo demuestra el hecho que el proceso RCM evalúa las consecuencias deseguridad al nivel más conservador. Si es razonable asumir que cualquier modo defalla pudiera afectar la seguridad o al ambiente, asumimos que puede y en ese casodebe sujetarse a un análisis intenso. (Veremos después que la probabilidad quealguien sea herido se toma en cuenta al evaluar la tolerancia del riesgo.)

Una situación más compleja se presenta cuando se trata con riesgos de seguridadque son cubiertos por algún tipo de sistemas de protección. Hemos visto que uno delos objetivos principales del proceso RCM es establecer la manera más eficaz demanejar cada falla en el contexto de sus consecuencias. Esto sólo puede hacerse siestas consecuencias se evalúan al empezar, como si nada se estuviera haciendo paramanejar la falla (en otros términos, predecir, prevenir o mitigar sus consecuencias).

Los dispositivos de protección que se diseñan para trabajar con los estados de falla(alarmas, sistemas de cierre y de alivio) no son nada más que sistemas de direcciónde falla. Por ello, para asegurar que el resto del análisis se lleve a cabo desde unabase de referencia apropiada, las consecuencias de falla de funciones protegidasdeben evaluarse idealmente como si los dispositivos de protección de este tipo noestuvieran presentes. Por ejemplo, una falla que podría causar fuego siempre seconsidera como un riesgo de seguridad, porque la presencia del sistema contraincendios no necesariamente garantiza que el fuego se controlará y se extinguirá. Elproceso RCM puede usarse entonces para validar (o revalidar) la conveniencia delpropio dispositivo de protección desde tres puntos de vista:

• Su habilidad para proporcionar la protección requerida. Definiendo la función deldispositivo de protección, como se explicó en la unidad 3.

• Si el dispositivo de protección responde bastante rápido para evitar lasconsecuencias.

• Qué debe hacerse para asegurar que el dispositivo de protección continúefuncionando, como se discutirá en la parte 6 de esta unidad.


Unidad VI Pág. 9

3.4. ¿CUÁN PROBABLE ES QUE OCURRA LA FALLA?

La parte 4 de la unidad 5 menciona que deben listarse en la hoja de Información delRCM sólo modos de falla que son bastante probables de ocurrir. Como resultado, si lahoja de Información se ha preparado con una base realista, el hecho que el modo defalla sea listado sugiere que hay alguna probabilidad que pudiera ocurrir y porconsiguiente debe sujetarse a un análisis intenso.

(A veces puede ser prudente listar en un FMEA lo extremadamente improbable perono obstante peligroso modo de falla, solamente para manifestar en el registro elhecho que fue considerado y luego rechazado. En estos casos, un comentario como,"Este modo de falla es considerado demasiado improbable para justificar un análisisintenso" debe registrarse en la columna de efectos de falla).

3.5. ¿EL RIESGO ES TOLERABLE?

Uno de los aspectos más difíciles de la gestión de seguridad es determinar hasta quépunto las creencias sobre lo que es tolerable varían de individuo a individuo y degrupo a grupo. Una amplia variedad de factores influencian estas creencias, pero delejos el más dominante es el grado de control que cualquier individuo piensa tienesobre la situación. Las personas casi siempre están preparadas para tolerar un nivelmás alto de riesgo cuando creen que están personalmente al mando de la situaciónque cuando creen que la situación está fuera de su mando.

Por ejemplo, las personas toleran niveles más altos de riesgo al manejar sus propiosautomóviles que cuando lo hacen como pasajeros de un avión. (Hasta qué punto esteproblema gobierna las percepciones de riesgo, se da por la estadística sorprendenteque solo 1 persona de 11 000 000 que viajan por aire entre Nueva York y Los Angelesen los EE.UU. muere mientras lo hace; en cambio 1 persona en 14 000 que realiza elviaje por tierra se ha matado. Y todavía algunas personas insisten en hacer este viajepor tierra porque creen que están más seguros).

Este ejemplo ilustra la relación entre la probabilidad de matarse, que cualquierpersona se ha preparado para tolerar y hasta qué punto esa persona cree que tieneel control. En condiciones más generales, esto podría variar para un individuoparticular como se muestra en la figura 6.2.


Pág.10 Unidad VI

10-4

10-5

10-6

10-7

Prob

abili

dad

que

tole

ro d

e m

orir

en a

l gún

año

Creo tenercompletocontrol,(al conducirmi vehículo oen el taller demi casa).

Creo tener algúncontrol y algunaelección acerca demi exposición alpeligro(en el lugar dondetrabajo).

No creo teneralgún control,pero no meexpongo a mimismo (en unavión depasajeros)

No tengo algúncontrol y ningunaelección sobre miexposición y/o demi familia(accidenteindustrial queafecta a lasociedad)

Figura 6.2: Tolerancia de riesgo fatal.

Las figuras dadas en este ejemplo no significan ser perspectivas y no sonnecesariamente reflejo del punto de vista del autor, meramente ilustra lo que unindividuo podría decidir que esta preparado tolerar. También note que esta basado enla perspectiva de una ida individual sobre su negocio diario. Este punto de vista tieneque ser traducido hacia un grado de riesgo para toda la población (todos los obrerosen un sitio, todos los ciudadanos de un pueblo o incluso toda la población de unpaís).

En otros términos, si yo tolero una probabilidad de 1 en 100 000 (10-5) de matarse enel trabajo en cualquier año y tengo 1 000 obreros que tienen el mismo punto devista, entonces todos toleramos que en promedio 1 persona por año en nuestro sitiose matará en el trabajo cada 100 años y esa persona puede ser uno mismo y puedepasar este año.

Tenga presente que cualquier cuantificación de riesgo de esta manera sólo puede seruna gruesa aproximación. En otros términos, si digo que tolero una probabilidad de10-5, esto es sólo en término figurativo. Indica que se estima tolerar una probabilidadde matarse en el trabajo que es aproximadamente 10 veces menos de lo que tolerocuando empleo un viaje por tierra. (Aproximadamente 10-4).

Teniendo siempre presente, que se está tratando con aproximaciones, el próximopaso es establecer la probabilidad que se preparan a tolerar conjuntamente con susobreros ya que cualquiera podría matarse en cualquier evento (modo de falla o fallamúltiple) en el trabajo.

Por ejemplo, continuando la lógica del ejemplo anterior, la probabilidad que se matecualquiera de los 1 000 obreros en cualquier año es 1 en 100 (asumiendo que cadauno en su sitio encara a grosso modo los mismos riesgos).


Unidad VI Pág. 11

Además, si las actividades se llevaran a cabo en el sitio incluyen 10 000 eventos quepodrían matar a alguien, entonces la probabilidad promedio que cada evento pudieramatar a una persona debe reducirse a 10-6 en cualquier año. Esto significa que debereducirse la probabilidad de un evento que probablemente puede matar a diezpersonas a 10-7, mientras debe reducirse a 10-5 la probabilidad de un evento que tienela oportunidad 1 en 10 de matar a una persona.

Las técnicas por la cual se mueven las jerarquías de probabilidad de arriba haciaabajo son conocidas como valoraciones de riesgo probabilísticas o cuantitativas. Lospuntos importantes a tener presente en esta fase son:

• La decisión acerca de lo que es tolerable debe empezar con la víctima probable.

• Es posible unir lo que una persona tolera directa y cuantitativamente a un modode falla individual de probabilidad tolerable.

Aunque normalmente se percibe el grado de control que domina las decisiones sobrela tolerancia al riesgo, este no es el único problema. Otros factores que nos ayudan adecidir lo que es tolerable incluyen lo siguiente:

• Los valores individuales: explorar este problema a cualquier profundidad estámás allá del alcance de este libro. Basta contrastar los puntos de vista sobre elriesgo tolerable como el que es acordado por un montañés con aquéllos quepadecen de vértigo o aquéllos de un minero subterráneo con aquellos que padecede claustrofobia.

• Los valores de la industria: mientras hoy en día cada industria reconoce lanecesidad de operar tan seguramente como sea posible, nadie escapa al hechoque algunos tipos de industrias son intrínsecamente más peligrosos que otros.Algunos incluso compensan los niveles más altos de riesgo con los niveles depago más altos. El punto de vista de cualquier individuo que trabaja en esaindustria estará determinado por su percepción de si los riesgos intrínsecos son“valorados” adecuadamente, si el beneficio justifica el riesgo.

• El efecto en “las generaciones futuras”: la seguridad de niños -especialmente los que no han nacido - tienen un efecto especialmente poderosoen los puntos de vista de las personas respecto de lo que es tolerable. Los adultosfrecuentemente muestran sorpresa e incluso descuido por su propia seguridad.(Cuánto tiempo tiene que emplear el supervisor persuadiendo a algunas personaspara que lleven la ropa de seguridad). Sin embargo, al observar como unaamenaza, la pérdida de facultades como consecuencia de un accidente, hace quesu actitud cambie completamente.

Por ejemplo, cuando se trabajó con un grupo que tenía la ocasión de discutir laspropiedades de un cierto químico. Las palabras como “tóxico” o “cancerígeno”' setrataron con indiferencia, aunque la mayoría de los miembros de este grupo eran ensus centros de trabajo, las personas más expuestas al riesgo.

Sin embargo, en cuanto se sugirió que el químico también era mutagenic yteratogenic y el significado de estas palabras se explicó al grupo, el químico se vio derepente con mayor respeto.


Pág.12 Unidad VI

• El conocimiento: las percepciones de riesgo son influenciadas grandemente porcuánto conoce la persona sobre el recurso, el proceso de cuál forma parte y losmecanismos de falla asociado con cada modo de falla. Cuánto más saben, mejores su juicio. (La ignorancia es a menudo una espada de doble filo. En algunassituaciones las personas toman los riesgos más espantosos por pura ignorancia,mientras en otros casos exageran ferozmente también los riesgos incluso sinignorancia. Por otro lado, necesitamos constantemente recordarnos de hasta quépunto la familiaridad puede engendrar el desprecio).

Muchos otros factores también influyen en las percepciones de riesgo, como el valorpuesto en la vida humana por los diferentes grupos culturales, los valores religiosos eincluso los factores como la edad y el estado matrimonial del individuo.

Toda estos factores significan que es imposible especificar una norma de toleranciapara cualquier riesgo que sea absoluto y objetivo. Esto sugiere, que sólo puedenevaluarse la tolerancia de cualquier riesgo basándose en lo que es "relativo ysubjetivo”, “relativo” en el sentido que el riesgo se compara con otros riesgos sobrelos que hay un acuerdo general bastante claro y “subjetivo” en el sentido que laevaluación es finalmente una cuestión de juicio. Pero, ¿cuál juicio?

3.6. ¿QUIÉN DEBE EVALUAR LOS RIESGOS?

La diversidad de los factores discutidos significa que simplemente no es posible paracualquier persona o incluso una organización, evaluar el riesgo de tal modo qué seauniversalmente aceptable. Si el asesor es demasiado conservador, las personas loignorarán y pueden incluso ridiculizar la evaluación. Si el asesor es demasiadorelajado, podría terminar acusándosele de jugar con las vidas de las personas (sirealmente no las ha matado).

Esto sugiere que sólo un grupo pueda hacer una evaluación de riesgo satisfactoria.Hasta donde sea posible, este grupo debe representar a las personas queprobablemente tienen una comprensión más clara del mecanismo de falla, los efectosde falla (sobre todo la naturaleza de cualquier riesgo), la probabilidad de ocurrenciade falla y qué posibles medidas pueden tomarse para anticiparse o prevenirla. Elgrupo también debe incluir a las personas que tienen un punto de vista legítimorespecto a la tolerancia de los riesgos. Esto significa que los representantes de lasprobables víctimas (más a menudo operadores o mantenedores en el caso deseguridad directa de riesgos) y de la dirección (quien normalmente se mantieneresponsable si alguien se hiere o si se incumple una norma medioambiental).

Si se aplica de un modo apropiadamente enfocado y estructurado, las habilidadescolectivas del grupo harán mucho para asegurar que la organización haga lo mejorpor identificar y manejar todos los modos de falla que podrían afectar la seguridad oel ambiente. (El uso de tales grupos está siguiendo la tendencia mundial hacia leyesque dicen que la seguridad es responsabilidad de todos los empleados y no sólo deresponsabilidad de la dirección). Normalmente los grupos de esta naturaleza puedenalcanzar rápidamente el acuerdo general cuando tratan con la seguridad de riesgodirecta, porque están incluidos en las personas que se arriesgan. Los riesgosmedioambientales no son tan simples, ya que la sociedad por su tamaño es la víctimaprobable y muchos de los problemas involucrados son poco familiares. Así cualquiergrupo que se espera considere si una falla pudiera incumplir una norma o unaregulación medioambiental debe averiguar de antemano cual de estas normas yregulaciones cubren el proceso bajo revisión.


Unidad VI Pág. 13

3.7. LA SEGURIDAD Y EL MANTENIMIENTO PROACTIVO

Si una falla pudiera afectar la seguridad o el ambiente, el proceso RCM estipula quedebemos intentar prevenirlo. La que hace pensar que:

Tal vez una tarea proactiva no pueda lograr este objetivo, a satisfacción del grupoque realiza el análisis, ya que se esta tratando con riesgos de seguridad omedioambientales que no pueden anticiparse o prevenirse adecuadamente. Estosignifica que algo debe cambiarse para hacer efectivo el sistema de seguridad. Este“algo” podría ser el recurso mismo, un proceso o un procedimiento operativo. Loscambios de esta clase son clasificados como “rediseños” y normalmente estáncomprendidos como uno de dos objetivos:

• Reducir la probabilidad de falla que ocurre a un nivel tolerable.

• Generar cambios para que la falla ya no tenga consecuencias medioambientales osobre la seguridad.

Notar que al tratar con la seguridad y los problemas medioambientales, el RCM noplantea el problema desde el punto de vista económico. Si no estamos seguros,tenemos la obligación de prevenir que falle o de hacerlo seguro. Esto sugiere que elproceso de decisión para modos de falla que tienen consecuencias medioambientaleso de seguridad puede resumirse como se muestra en la figura 6.3.

¿Los modos de fallas causanpérdida de la función o dañosque podrían lesionar o matar a

alguien?

¿Los modos de fallas causanpérdida de la función u otrosdaños que podrían infringiralguna norma o regulaciónmedioambiental conocida?

El mantenimiento proactivo esnecesario si reduce el riesgo de la

falla a un nivel tolerable losuficientemente bajo

Ver partes4 y 5 de

esta unidad

Si no se puede determinar una tarea proactiva que logre reducir el riesgo de lafalla a un nivel tolerable lo suficientemente bajo, entonces es obligatorio el

rediseño.

NO

SI SI NO

Figura 6.3 Identificando y desarrollando una estrategia de mantenimientopara una falla que afecta la seguridad o el medio ambiente

Para modos de falla que tienen consecuencias en la seguridad omedioambientales, una tarea proactiva merece la pena realizarce si logra

reducir la probabilidad de falla a un nivel tolerablemente bajo


Pág.14 Unidad VI

3.8. RCM Y LA LEGISLACIÓN DE SEGURIDAD

Una pregunta se hace a menudo acerca de la relación entre RCM y legislación deseguridad.

Hoy en día, la mayoría de legislaciones sobre seguridad trata meramente lasdemandas que los usuarios pueden realizar y canaliza los esfuerzos para realizarcualquier acción prudente y así asegurar que sus recursos estén seguros. Esto hallevado rápidamente a un énfasis creciente en el concepto de una auditoría quebásicamente se les exige a los usuarios de los recursos que pueden producir laevidencia documental, que hay una base racional, defendible para sus programas demantenimiento. En la inmensa mayoría de casos, el RCM satisface totalmente estetipo de requisitos.

Sin embargo, algunas regulaciones exigen que deban hacerse las tareas específicasen los tipos específicos de equipos a intervalos específicos. Si el proceso RCM hacepensar en una tarea diferente y/o un intervalo diferente, es mejor continuar haciendola tarea que especifica la legislación y discutir el cambio sugerido con la autoridadreguladora apropiada.

4. CONSECUENCIAS OPERACIONALES

4.1. ¿CÓMO LAS FALLAS AFECTAN LAS OPERACIONES?

La función primaria de la mayoría de los equipos industriales se conecta de algunamanera con la necesidad de rentabilidad o apoyar la rentabilidad que generan lasactividades.

Por ejemplo, la función primaria de la mayoría de los recursos empleados en lafabricación es dar valor agregado a los materiales, mientras los clientes pagandirectamente por el acceso a las telecomunicaciones y a los equipos de transporte(autobuses, camiones, trenes o aviones).

Las fallas que afectan las funciones primarias de estos recursos afectan la capacidadde rentabilidad de la organización. La magnitud de estos efectos depende de qué tanempleado está el equipo y la disponibilidad de alternativas. Sin embargo, en casitodos los casos los efectos son a menudo grandes, mayores que el costo de repararlas fallas. Esto también es cierto para equipos de no industriales tales como deentretenimiento, de comercio e incluso de transporte.

Por ejemplo, si las luces fallan en un juego de fútbol, los aficionados tienden a quererla devolución de su dinero. Lo mismo se aplica si los proyectores fallan en un cine. Siel aire acondicionado falla en una tienda o restaurante, los clientes se retiran. Losbancos pierden el negocio si les falta su red informática.

En general, las fallas afectan las operaciones de cuatro maneras:

• Las Fallas afectan el rendimiento total: Esto ocurre cuando el equipo detienetotalmente la operación o cuando funciona demasiado despacio. Esto produce unaumento de los costos de producción ya que la planta tiene que trabajar untiempo extra para ponerse al día o también perdidas en las ventas si la plantaestá totalmente cargada.


Unidad VI Pág. 15

• Las Fallas afectan la calidad del producto: Si una máquina ya no puedealcanzar las tolerancias industriales o si una falla causa el deterioro de losmateriales, el resultado probable es obtener desechos o realizar costososreprocesos. En un sentido más general, la “calidad” también cubre conceptostales como la precisión de sistemas de navegación, la exactitud de sistemas demarcado y así sucesivamente.

• Afectan el servicio al cliente: Las fallas afectan el servicio al cliente de muchasmaneras, desde la entrega tardía de pedidos hasta la salida con retraso de unavión de pasajeros. Los retrasos frecuentes o serios a veces traen cuantiosasmultas, pero en la mayoría de los casos no producen una pérdida inmediata de larentabilidad. Sin embargo los problemas de servicio crónicos en el futuro causaránque los clientes pierdan la confianza y realicen su negocio en otra parte.

• Aumentado los costos operativos además del costo directo dereparación. Por ejemplo, la falla podría llevar el aumento del consumo deenergía o podría involucrar un cambio a un proceso alternativo más caro.

En las empresas sin fines de lucro como las militares, ciertas fallas también puedenafectar la habilidad de la organización de cumplir su función primaria a veces conresultados desbastadores.

"Por falta de una herradura, se perdió un zapato. Por falta de un zapato, se perdió uncaballo. Por falta de un caballo, se perdió un mensaje. Por falta de un mensaje, seperdió una batalla. Por falta de una batalla, se perdió una guerra. Todo por falta deuna herradura".

Mientras sea difícil costear los resultados de perder una guerra, las fallas de estaclase todavía tienen implicaciones económicas a nivel mundial. Si ocurren con muchafrecuencia, puede ser necesario mantener dos caballos para asegurar que uno estarádisponible para hacer el trabajo o sesenta tanques de guerra en lugar de cincuenta oseis portaaviones en lugar de cinco. La redundancia a esta escala puede ser de hechomuy cara.

La severidad de estas consecuencias significa que si una falla evidente no proponeuna amenaza a la seguridad o el ambiente, los procesos RCM enfocan su atención enlas consecuencias operacionales de la falla.

Como vimos, estas consecuencias tienden a ser económicas en naturaleza, por lo quenormalmente se evalúan en condiciones económicas. Sin embargo, en casos másextremos (como perder una guerra), el “costo” puede ser evaluado en una base máscualitativa.

Un falla tiene consecuencias operacionales si tiene un efecto adverso directocon la capacidad operacional


Pág.16 Unidad VI

4.2. EVITANDO LAS CONSECUENCIAS OPERACIONALES

El efecto económico global de cualquier modo de falla que tiene consecuenciasoperacionales depende de dos factores:

• ¿Cuánto cuesta la falla cada vez que ocurre?, en términos de su efecto en lacapacidad operacional más los costos de la reparación.

• ¿Con qué frecuencia ocurren?

En la sección anterior, no se prestó mucha atención en cuán a menudo es probableque ocurran las fallas. (Las tasas de falla tienen una presencia pequeña en las fallasrelacionadas con la seguridad, porque el objetivo en estos casos es evitar cualquierfalla de este tipo). Sin embargo, si las consecuencias de falla son económicas, elcosto total es afectado en función que tan a menudo es probable que ocurran lasconsecuencias. En otras palabras, para evaluar el impacto económico de estas fallas,necesitamos evaluar cuál es el probable costo durante un período de tiempo.

Considere la bomba mostrada la figura 6.4. La bomba se controla por un interruptorde flotador que la activa cuando el nivel en el Tanque Y cae a 120 000 litros y otroque la desactiva cuando el nivel en el Tanque Y alcanza 240 000 litros. Una alarma denivel bajo se coloca justo debajo del nivel 120 000 litros. Si el tanque se estásecando, el proceso de evacuación del fluido tiene que ser cortado. El uso de labomba cuesta a la organización $5 000 por hora.

Figura 6.4: Bomba única.

MODO DE FALLA EFECTO DE FALLA1 Rodamientos atascados por

uso y desgaste normalesEl motor se atasca pero no se activa ninguna alarmade sonido en la sala de control. El nivel en el tanquecae por debajo del nivel de la alarma de sonido en 120000 litros. El tiempo perdido para reemplazar parareemplazar los rodamientos es de 4 horas. (El tiempopromedio de ocurrencias de este modo falla esaproximadamente 3 años).

Figura 6.5: FMEA debido a la falla de los rodamientos en una bombaúnica (sin equipo redundante)


Unidad VI Pág. 17

Asumir que ya se ha acordado que un modo de falla que puede afectar a esta bombaes “Rodamientos atascados debido a un desgaste normal”. Por simplicidad, se asumeque el motor en esta bomba está provisto con un interruptor de carga excesiva, perono hay ninguna alarma conectada a la sala de control. Este modo de falla y susefectos podrían describirse en una hoja de Información de RCM como se muestra enla figura 6.5.

El agua sale del tanque a una velocidad de 800 litros por minuto, por lo que el tanquese seca en 2,5 horas (150 minutos) después que suena la alarma de mínimo nivel.Toma 4 horas para reemplazar los rodamientos, por lo que el proceso que sigue sedetiene durante 1,5 horas. Así que este falla cuesta:

1,5 x $5 000 = $7 500

En pérdida de producción cada tres años, más el costo de reemplazar losrodamientos. Asuma que es técnicamente factible verificar los rodamientos a travésdel análisis vibracional una vez por semana. Si se detecta en los rodamientos un nivelalto de vibración, las consecuencias operacionales de la falla pueden ser evitadasasegurando que el tanque esté lleno antes de empezar el trabajo con losrodamientos.

Esto proporciona cinco horas de almacenamiento para que los rodamientos puedanreemplazarse en cuatro horas sin interferir con el proceso que sigue. También asumaque la bomba está ubicada en una estación de bombeo sin operadores. Se haacordado que personal de mantenimiento debe llevar a cabo el chequeo y que eltiempo total necesario para realizarlo es de 20 minutos. Asuma además que el costototal de emplear a este personal es de $24 por hora, en cuyo caso cuesta $8 porrealizar cada chequeo. Si el MTBF de los rodamientos es 3 años, él haráaproximadamente 150 chequeos por falla (ya que es un chequeo semanal). En otrostérminos, el costo de los chequeos es:

150 x $8 = $1 200

Cada tres años, de nuevo más el costo de reemplazar los rodamientos. En esteejemplo, la tarea planificada claramente tiene mejor relación costo / beneficiorespecto al costo de las consecuencias operacionales de la falla más el costo dereparación. Esto sugiere que si una falla tiene consecuencias operacionales, la basepara decidir si una tarea proactiva se debe realizar, es la económica:

Recíprocamente, si no puede encontrarse el costo/beneficio de la tarea proactiva,entonces no se debe realizarse ningún mantenimiento planificado para intentaranticiparse o prevenir el modo de falla bajo consideración. En algunos casos, la mejoropción costo / beneficio en ese punto es simplemente decidir vivir con la falla.

Sin embargo, si una tarea proactiva no puede encontrarse y las consecuencias defalla todavía son intolerables, puede ser deseable cambiar el diseño del recurso (ocambiar el proceso) para reducir los costos totales:

Para los modos de falla con consecuencias operacionales, una tarea proactivamerece la pena realizarla si, durante un período de tiempo, cuesta menos queel costo de las consecuencias operacionales más el costo de reparar la falla,

esto significa prevenir.


Pág.18 Unidad VI

• Reduciendo la frecuencia (y el costo total) de la falla.• Reduciendo o eliminando las consecuencias de la falla.• Haciendo un tarea proactiva con un adecuado costo/beneficio.

Notar que en el caso de un modo de falla con consecuencias de seguridad ymedioambientales, el objetivo es reducir la probabilidad de falla a un nivel muy bajo.En el caso de consecuencias operacionales, el objetivo es reducir la probabilidad (ofrecuencia) a un nivel económicamente tolerable. Como se mencionó al inicio de laparte 3 de este capítulo, es probable que esta frecuencia sea mucho mayor de lo quetoleraríamos para la mayoría de los riesgos de seguridad, por ello el proceso RCMasume que una tarea proactiva que reduce la probabilidad de una falla relativa a laseguridad a un nivel tolerable también podrá hacerlo con las consecuenciasoperacionales de esa falla.

Para comenzar con esto, de nuevo solo consideramos la conveniencia de hacer loscambios después de haber establecido si es posible conseguir el rendimiento deseadodel recurso desde su situación actual. Sin embargo, las modificaciones tambiénnecesitan ser justificados desde el punto de vista de sus costos, por cuanto generaronobligatorias acciones de incumplimiento por los modos de falla con consecuenciasmedioambientales o de seguridad.

A la luz de estos comentarios, el proceso de decisión sobre las fallas conconsecuencias operacionales puede resumirse como se muestra en la figura 6.6:

¿El modo de falla tiene un efecto directo adversoen la capacidad operacional?

El mantenimiento proactivo es necesario sisu costo es menor (sobre un periodo de tiempo)

que el costo de las consecuencias opereracionalesmás el costo de la reparación de las fallas, lo cual

significa prevenir

Si el costo - beneficio de la tareaproactiva no puede ser determinada,

la decisión por defecto es noprogramar mantenimiento...........

Ver parte 5 de

esta unidad

............pero esto podría ser contrarrestado rediseñando los equipos ocambiando los procesos para reducir los costos totales

SINO

Figura 6.6: Identificando y desarrollando una estrategia de mantenimientopara un falla que tiene consecuencias operacionales.


Unidad VI Pág. 19

Notar que este análisis se lleva a cabo para cada modo de falla individual y no para elrecurso en conjunto. Esto es porque cada tarea proactiva se diseña para prevenir unmodo de falla específico, así la viabilidad económica de cada tarea sólo puedecompararse con los costos del modo de falla, lo cual significa prevenir. En cada caso,esta es una simple decisión pasa – no pasa.

En la práctica, al evaluar de esta manera los modos de falla individuales, no siemprees necesario hacer un detallado estudio costo - beneficio basado en el actual costodel tiempo muerto y el MTBF como se muestra en el ejemplo de la bomba. Esto esporque la conveniencia económica de las tareas proactivas es a menudointuitivamente obvia al evaluar los modos de falla con las consecuenciasoperacionales.

Sin embargo, ya sea que las consecuencias económicas se evalúen formalmente ointuitivamente, este aspecto del proceso RCM todavía debe aplicarse completamente.(De hecho, este paso es a menudo sorprendentemente descuidado por las personasnuevas en el proceso. Las personas de mantenimiento en particular tienen latendencia de llevar a cabo las tareas en base sólo a la viabilidad técnica, lo queresulta en un elegante programa de mantenimiento, pero excesivamente costoso.)

Finalmente, tenga presente que las consecuencias operacionales de cualquier fallaestán fuertemente influenciadas por el contexto en el cual el activo está operando.Ésta es otra razón del por qué debe tenerse cuidado para asegurar que el contextooperativo antes de aplicar un programa de mantenimiento desarrollado para unrecurso sea idéntico al de otro.

5. CONSECUENCIAS NO OPERACIONALES

Las consecuencias de un falla evidente que no tiene un efecto directo adverso en laseguridad, el medioambiente o sobre la capacidad operacional son clasificadas como nooperacionales. Las únicas consecuencias asociadas con estas fallas son los costos directosde reparación, por lo que estas consecuencias son también económicas.

Considere por ejemplo las bombas mostradas en la figura 6.7. Este sistema es similar almostrado en la Figura 6.4, excepto que ahora hay dos bombas (ambas idénticas a la bombaen la Figura 6.4).

Figura 6.7: Sistema de bombeo con bomba de reserva.


Pág.20 Unidad VI

La bomba de trabajo “B” se enciende por un interruptor del flotador cuando el nivel en elTanque Y cae hasta 120 000 litros y se apaga por otro interruptor cuando el nivel alcanzalos 240 000 litros. Un tercer interruptor se localiza justo debajo del interruptor de bajo nivelde la bomba servicio, este interruptor ha sido diseñado para activar una alarma de sonidoen la sala de control cuando el nivel del agua lo alcance y para encender la bomba dereserva. Si el tanque se seca, el proceso de suministro aguas abajo tiene que serparalizado. Esto también cuesta a la organización que usa la bomba a razón de $5 000 porhora.

Como antes, asumir que ha sido convenido que un modo de falla que pueda afectar a labomba de servicio es “rodamientos agarrotados” y que este atascamiento es causado por eluso y desgaste normal. Asumir que el motor en la bomba de servicio está también provistocon un interruptor de sobrecarga, pero no hay ninguna conexión alámbrica desde la alarmaa la sala de mando. Este modo de falla y sus efectos podrían describirse en una hoja deinformación RCM como se muestra en la Figura 6.8:

MODO DE FALLA EFECTO DE FALLA1 Rodamientos atascados por

uso y desgaste normalesEl motor se atasca pero no se activa ninguna alarmade sonido en la sala de control. El nivel en el tanquecae por debajo del nivel de la alarma de sonido en120 000 litros y la bomba de reserva es encendidaautomáticamente. El tiempo requerido parareemplazar los rodamientos es de 4 horas. (El tiempopromedio de ocurrencias de este modo falla esaproximadamente 3 años).

Figura 6.8: FMEA por la falla de los rodamientosla bomba de servicio con equipo redundante.

En este ejemplo, la bomba de reserva se enciende cuando falla la bomba de servicio, así eltanque no se secará. Por lo que el único costo asociado con este falla es:

• El costo de reemplazar los rodamientos.

Asumir sin embargo que todavía es técnicamente factible verificar el rodamiento porvibraciones una vez por semana. Si el nivel de vibración es elevado, los operadores podríanaccionar manualmente la bomba de reserva y los rodamientos podrían ser reemplazados.

Asumir que estas bombas también se localizan en una despoblada estación de bombeo yque ha sido de nuevamente coordinado que el chequeo – el cual toma veinte minutos -debe ser efectuado por una persona de mantenimiento a un costo de $8 por chequeo. Asíuna vez más, él hará aproximadamente 150 chequeos por falla. En otros palabras, el costopor falla del programa de mantenimiento de proactivo es:

150 x $8 = $1 200 más el costo de reemplazar los rodamientos.

En este ejemplo, el costo de hacer las tareas programadas es ahora mucho mayor que elcosto de no hacerlas. Como resultado, no merece la pena ejecutar las tareas proactivas aúncuando la bomba es técnicamente idéntica a la bomba descrita en Figura 6.3. Esto sugiereque sólo merece la pena prevenir una falla la cual no tiene consecuencias operacionales si,durante un período de tiempo, el costo de las tareas preventivas es menor que el costo decorregir la falla. Si no lo es, el mantenimiento programado no es necesario.


Unidad VI Pág. 21

Si una tarea proactiva no es necesaria, entonces en raros casos podría justificarse unamodificación por las mismas razones que se aplican a fallas con consecuenciasoperacionales.

5.1. PUNTOS ADICIONALES CONCERNIENTES A CONSECUENCIAS NO -OPERACIONALES

Dos puntos adicionales necesitan considerarse al revisar los fallas con consecuenciasno consecuencias operacionales, como sigue:• Daño secundario: Algunos modos de falla causan un considerable daño

secundario si ellos no son anticipados o prevenidos, incrementando así el costo dela reparación. Una tarea proactiva apropiada podría hacer posible prevenir oanticiparse a la falla y evitar estos daños. Sin embargo, tal tarea sólo se justificasi el costo de hacerla es menor que el costo de reparar la falla y el dañosecundario.

Por ejemplo, en la Figura 6.7 la descripción de los efectos de falla sugiere que elatascamiento de los rodamientos no causa daño secundario. Si esto es así, entoncesel análisis efectuado es válido. Sin embargo, si la falla inadvertida del rodamientotambién causó que el árbol se cizallara, entonces una tarea proactiva que detecte lafalla inminente del rodamiento podría permitir a los operadores paralizar la bombaantes que el árbol se dañe. En este caso el costo de la falla imprevista de losrodamientos es:

El costo de reemplazar los rodamientos y el árbol.Por otro lado, el costo de la tarea proactiva (por falla del rodamiento) es aún:

$1 200 más el costo de reemplazar los rodamientos.

Claramente, la tarea proactiva merece la pena llevarse a cabo si el costo dereemplazar el árbol es mayor de $1 200. Si cuesta menos de $1 200, entonces estatarea todavía no debe realizarse.

• Funciones protegidas: Sólo es válido decir que una falla no tendráconsecuencias operacionales se dispone de un componente de reserva oredundante, es razonable asumir que el dispositivo protector funcionará cuando lafalla ocurra. Por supuesto esto significa que debe aplicarse un adecuadoprograma de mantenimiento al dispositivo protector (la bomba de reserva en elejemplo dado).

Si las consecuencias de la falla múltiple de un sistema protegido son particularmenteserias, puede merecer la pena prevenir la falla del dispositivo protegido así como deldispositivo protector con objeto de reducir la probabilidad de una falla múltiple a unnivel tolerable. (Como se explicó anteriormente, si la falla múltiple tieneconsecuencias de seguridad, puede ser sabio evaluar las consecuencias como si laprotección no estuviera en absoluto presente y entonces revalidar la protección comola parte del proceso de selección de tareas).

Para los modos de falla con consecuencias no operacionales, una tareaproactiva es necesaria si para un período de tiempo, cuesta menos que el costo

de reparar las fallas, esto significa prevenir


Pág.22 Unidad VI

6. CONSECUENCIAS DE FALLAS OCULTAS

6.1. FALLAS OCULTAS Y DISPOSITIVOS DE PROTECCIÓN

Anteriormente se mencionó que el incremento del número de posibilidades que unequipo pueda fallar ha generado el correspondiente crecimiento de la variedad yseveridad de las consecuencias de fallas que caen en la categoría de evidentes. Porello se está incrementando el uso de dispositivos protectores en el esfuerzo deeliminar (o al menos reducir) estas consecuencias. Estos dispositivos trabajan en unalas siguientes cinco categorías:

• Alertar a los operadores de condiciones anormales.• Paralizar el equipo ante la eventualidad de una falla.• Eliminar o también darle la importancia debida a condiciones anormales que

generen una falla o que podrían de algún modo generar serios daños.• Encargarse de una función que halla fallado.• Prevenir situaciones peligrosas que pudieran surgir.

En esencia, la función de estos dispositivos es asegurar que las consecuencias de fallade la función protegida sean mucho menos seria de lo que podrían ser si noestuvieran protegidas. Así, todo dispositivo protector es parte de un sistema de por lomenos dos componentes:

• El dispositivo protector.• La función protegida.

Por ejemplo, la bomba “C” en la figura 6.7 puede ser considerada como un dispositivoprotector, ya que este “protege” la función de bombeo si la bomba “B” falla. Labomba “B” es por supuesto la función protegida.

La existencia de tal sistema crea dos juegos de posibilidades de falla, dependiendo desi el dispositivo protector es de falla evidente o no. Se consideran las implicancias decada juego en los siguientes párrafos, empezando con los dispositivos que son defalla evidente.

Dispositivo Protector de Falla EvidenteEn este contexto, falla evidente significa que la falla del dispositivo por si misma vienea ser evidente a los operadores bajo condiciones normales.

Esto significa que en un sistema que incluye un dispositivo protector de fallaevidente, hay tres posibilidades de falla en cualquier período, como sigue:

La primera posibilidad es que ningún dispositivo falle.- En este caso todo procedenormalmente.La segunda posibilidad es que la función protegida falle antes que el dispositivoprotector.- En este caso el dispositivo protector se sale de lo que se entiende sufunción y, dependiendo de la naturaleza de la protección, las consecuencias, de lafalla de la función protegida serán reducidas o eliminadas.

En este contexto, “Falla evidente” significa que la falla del dispositivo por simisma viene a ser evidente al personal de operaciones bajo condiciones

normales.


Unidad VI Pág. 23

La tercera posibilidad es que el dispositivo protector falle antes que la funciónprotegida.- Esto podría ser una causa evidente, porque si no lo fuera, el dispositivono sería de falla evidente como se definió anteriormente. Una buena acción permitiríala oportunidad de eliminar el dispositivo protector fallado, mientras el dispositivoprotegido está fallando, ya sea paralizando la función protegida o proporcionando unaprotección alternativa mientras el dispositivo protector fallado está rectificándose.

Por ejemplo, un operador podría ser interrogado por mantenerse mirando elmanómetro y su dedo en el botón de parada, mientras el presostato está siendoreemplazado.

Esto significa que las consecuencias de la falla de un dispositivo protector de fallaevidente usualmente cae en la categoría “operacional” o en la “no - operacional”.Esta sucesión de eventos se resume en Figura 6.9.

Tiempo

Función

2: La función protegida es paralizada o se provee otra protección,mientras el dispositivo protector está reparándose. Esto reduce laprobabilidad de una fallamúltiple a casi cero. La función

Protegida

protegida

se aseguramientras el

Dispositivo

dispositivo

4: Si la función protegida falla aquí,el dispositivo protector actúa para reducir oeliminar consecuencias.

Protector

protector esta

bajoreparación

1: La falla de un“dispositivo de

falla evidente” esinmediatamente

evidente.

3: Dispositivo protectorrecuperado: de la situaciónanterior a la normal.

Figura 6.9 Falla de un dispositivo protector de falla evidente.

6.2. DISPOSITIVOS PROTECTORES QUE NO SON DE FALLA EVIDENTE

En un sistema que contiene un dispositivo protector que no es de falla evidente, estedispositivo protector es incapaz de cumplir su función entendida anteriormente yaque no es evidente bajo circunstancias normales. Esto crea cuatro posibilidades defalla en cualquier período dado, dos de las cuales son las mismas que lasconsideradas en dispositivos de falla evidente. La primera es donde ningún dispositivofalla caso en el que todo procede normalmente como antes.

La segunda posibilidad es que la función protegida falle en un momento cuando eldispositivo protector está todavía funcionando. En este caso el dispositivo protectortambién ejecuta lo que se entendió como su función, así las consecuencias de la fallade la función protegida serán reducidas o totalmente eliminadas.

Por ejemplo, considere una válvula de alivio de la presión (dispositivo protector) estámontado en un recipiente a presión (función protegida). Si la presión sobrepasa ellímite tolerable, la válvula se acciona y reduce o elimina las consecuencias de unasobrepresión. Semejantemente, si la Bomba “B” en la Figura 6.7 falla, la Bomba “C”se encargará de bombear.


Pág.24 Unidad VI

La tercera posibilidad es que el dispositivo protector falle mientras la funciónprotegida está todavía trabajando. En este caso, la falla no tiene ningunaconsecuencia directa. De hecho nadie sabe aún que el dispositivo protector está enun estado fallido.

Por ejemplo, si la válvula de alivio de la presión se atascara, nadie sería conscientedel hecho que tan alta presión se manejo dentro de los límites de operación normal.Similarmente, si la bomba “C” falló de algún manera mientras la bomba “B” estabatrabajando, nadie sería consciente del hecho a menos que o hasta que la bomba “B”también falle.

Lo discutido anteriormente sugiere que las funciones ocultas pueden identificarserealizando la siguiente interrogante:

Si la respuesta a esta pregunta es no, el modo de falla está oculto. Si la respuestaes sí, este es evidente. Note que en este contexto, “por sí misma” significa quenada ha fallado aún. También note que asumimos que a estas alturas del análisisningún esfuerzo se ha hecho por chequear si la función oculta está todavíatrabajando. Esta es la razón por la que tales chequeos son una forma demantenimiento programado y el propósito principal del análisis es averiguar si talmantenimiento es necesario.

La cuarta posibilidad durante cualquier ciclo es que el dispositivo protector falle yluego la función protegida falla mientras el dispositivo protector está en un estadofallido. Esta situación es conocida como falla múltiple. (Ésta es una posibilidad realsimplemente porque la falla del dispositivo protector no es evidente y así nadie seríaconsciente de la necesidad de tomar una acción correctiva o alternativa para evitar lafalla múltiple).

Tiempo 2: Ninguna acción se tomo para paralizar lafunción protegida o para proveer otra protección

Función La Función protegidaProtegida opera sin protección 3: Si la función

a causa que nadie Protegida falla aquíDispositivo sabe que el el resultado seráProtector 1: La falla de un dispositivo una falla múltiple

dispositivo de falla protector a falladoNo - evidente, no esevidente al operador

Figura 6.10 Falla de un dispositivo protector mientras la falla esta oculta.

La secuencia de eventos que describen una falla múltiple se resumen en la Figura6.10.

¿Sería la pérdida de función causada por este modo de falla,por sí misma, evidente a los operadores bajo condiciones normales?

Una falla múltiple sólo ocurre si una función protegida falla mientras eldispositivo protector está en un estado fallido.


Unidad VI Pág. 25

En el caso de la válvula de alivio, si la presión en el recipiente sube excesivamentemientras la válvula está atascada, el vaso probablemente explotará (a menos quealguien actúe muy rápidamente o a menos que haya otra protección en el sistema).Si la bomba “B” falla, mientras la bomba”C” está en un estado fallido, el resultadoserá una pérdida total de la capacidad de bombeo.

Dado que la prevención de la falla es lo principal para evitar las consecuencias de lasfallas, este ejemplo también sugiere que cuando se desarrolla un programa demantenimiento para funciones ocultas, el objetivo realmente es prevenir - o por lomenos reducir la probabilidad de - la falla múltiple asociada.

La determinación con la que se intente prevenir la falla oculta depende de lasconsecuencias de la falla múltiple.

Por ejemplo, las bombas “B” y “C” podrían estar bombeando agua refrigerante a unreactor nuclear. En el caso, que el reactor no pudiera paralizarse lo suficientementerápido, las últimas consecuencias de la falla múltiple podrían ser una fusión nuclear,con catastróficas consecuencias en seguridad, medioambientales y operacionales.

Por otro lado, las dos bombas podrían estar bombeando agua hacia un tanque quetiene suficiente capacidad para suministrar un flujo continuo aguas abajo por doshoras. En este caso, la consecuencia de falla múltiple sería una parada de laproducción después de dos horas, en el caso que ninguna de las bombas pudierarepararse antes que el tanque se quede seco. Más allá, el análisis podría sugerir queen el peor de los casos, esta falla múltiple pudiera costar a la organización (por decir)$2 000 en la producción perdida.

En el primero de estos ejemplos, las consecuencias de la falla múltiple son por ciertomuy serias, así que caminaríamos grandes distancias para preservar la integridad delas funciones ocultas. En el segundo caso, las consecuencias de la falla múltiple sonpuramente económicas y su costo podría influenciar la determinación con la queintentaríamos prevenir las fallas ocultas.

Ejemplos adicionales de fallas ocultas y fallas múltiples que podrían permanecer sinser detectadas son:

• Interruptores de vibración: un interruptor de vibración diseñado para paralizarun gran ventilador podría configurarse de tal manera que su falla esté oculta.Sin embargo, esto solamente tiene importancia si la vibración del ventiladorsobrepasa el límite tolerable (falla secundaria), causando que los rodamientos o elmismo ventilador se desintegren (las consecuencias de una falla múltiple).

• Interruptores de último nivel: los interruptores de último nivel se diseñanpara activar una alarma o paralizar el equipo si un interruptor de nivel primariofalla al operar. En otras palabras, si un interruptor de último nivel se atasca, nohabría consecuencias a menos que el interruptor primario también falle (fallasecundaria), caso en el cuál el recipiente o tanque podría secarse (consecuenciasde una falla múltiple).

El objetivo de un programa de mantenimiento para una función oculta esprevenir - o por lo menos reducir la probabilidad de – la falla múltiple asociada.


Pág.26 Unidad VI

• Mangueras contra el fuego: la falla de una manguera contra el fuego no tieneuna consecuencia directa. Sólo toma importancia cuando hay fuego (una fallasecundaria), en tal caso si la manguera está fallada puede resultar que el lugar seincendie y que las personas mueran (las consecuencias de una falla múltiple).

Otras funciones ocultas típicas incluyen equipo médico de emergencia, más tipos dedetección del fuego, equipamiento para prevenir y advertir explosiones, botones deparada de emergencia y conexiones alambradas, estructuras secundarias decontención, interruptor de temperatura y presión, dispositivo protector de cargaexcesiva o sobre velocidad, la planta de reserva (en stand by), los componentesestructurales redundantes, circuito de aislamiento por sobre corriente, fusible ysistemas de suministro de potencia de emergencia.

6.3. LA DISPONIBILIDAD REQUERIDA DE LAS FUNCIONES OCULTAS

Hasta ahora, se ha definido la falla oculta y se ha descrito la relación entre dispositivoprotector y función oculta. La próxima cuestión implica una mirada más íntima alcomportamiento que requerimos de las funciones ocultas.

Una de las más importantes y prolongada conclusión hasta hoy es que laconsecuencia directa de una falla oculta se acrecienta ante el riesgo de una fallamúltiple. Como esto es lo último que se desearía conseguir, un elemento clave delcomportamiento de una función oculta es la posibilidad de estar conectado con lafalla múltiple asociada.

Hemos visto que donde un sistema es protegido por un dispositivo que no es de fallaevidente, una falla múltiple sólo ocurre si el dispositivo protegido falla mientras eldispositivo protector está en un estado fallido, como está ilustrado en la Figura 6.10.

Así, la probabilidad de una falla múltiple en cualquier período debe estar dado por laprobabilidad que la función protegida fallará mientras el dispositivo protector está enun estado fallido durante el mismo período. Figure 6.11 muestra que esto puedecalcularse como sigue:

La probabilidad de = La probabilidad de falla x La indisponibilidad mediauna falla múltiple de la función protegida del dispositivo protector

La probabilidad tolerable de una falla múltiple es determinada por los usuarios delsistema. La probabilidad de falla de una función protegida normalmente es un dato.Así, si estas dos variables son conocidas, la indisponibilidad permitida, del dispositivoprotector puede expresarse como sigue:

La indisponibilidad permitida = La Probabilidad de un falla múltipledel dispositivo protector La Probabilidad de falla de una

función protegida

Así, un elemento crucial del comportamiento requerido de función oculta es ladisponibilidad requerida para reducir la probabilidad de la falla múltiple asociada a unnivel tolerable.


Unidad VI Pág. 27

Lo discutido sugiere que la disponibilidad es determinada en las siguiente tres etapas:

• Primero establecer ¿qué probabilidad?, la organización esta preparada a tolerarpara una falla múltiple.

• Luego determinar la probabilidad que la función protegida fallará en el períodobajo consideración (esto es también conocido como la razón de demanda).

• Finalmente, determinar ¿qué disponibilidad? deba alcanzar la función oculta parareducir la probabilidad de una falla múltiple a un nivel requerido.

Cuando se calculan los riesgos asociados con los sistemas protegidos, hay a vecesuna tendencia a considerar la probabilidad de falla de los dispositivos protegido yprotector como fijo. Esto lleva a la creencia que la única manera de cambiar laprobabilidad de una falla múltiple es cambiando el hardware (en otras palabras,modificar el sistema), quizás adicionando más protección o reemplazandocomponentes existentes con otros más confiables.

De hecho, esta creencia es incorrecta, porque es usualmente posible variar ambos, laprobabilidad de falla de la función protegida y (sobre todo) la indisponibilidad deldispositivo protector adoptando un mantenimiento y políticas operativasconvenientes. Como resultado, es también posible reducir la probabilidad de una fallamúltiple a casi cualquiera nivel deseado dentro de lo razonable por la adopción detales políticas. (El cero es por supuesto claro un ideal inalcanzable).

Figura 6.11:CALCULANDO LA PROBABILIDAD DE UN FRACASO MÚLTIPLE

La probabilidad que una función protegida falle en cualquier período es el inverso desu tiempo promedio entre fallas (MTBF), como se ilustra abajo. Figura 6.11a:

Fig. 6.11a: LaProbabilidad y lasfunciones protegidas

Función

Si el MTBF de la función protegida es de 4 años y el periodo demedición (monitoreo) es de un año, entonces la probabilidad que lafunción protegida falle en este periodo es de 1 en 4.

Protegida Fallas

DispositivoProtector Fallas

Periodo de medición

La probabilidad que el dispositivo protector este en un estado fallido en cualquiermomento está dado por el porcentaje de tiempo en el cual se encuentra en un estadofallido. Por supuesto medida su indisponibilidad (también conocido como tiempo fuerade servicio “downtime” o el tiempo muerto fraccionario “fractional dead time”), comose muestra debajo en la Figura 611 b:


Pág.28 Unidad VI

Periodo de mediciónFunciónProtegida Falla

DispositivoProtector Fallido

Fig. 6.11b: La Probabilidad ylos dispositivos protectores

Si la indisponibilidad media del dispositivo protectores 33%, entonces la probabilidad que este en estadofallido en cualquier instante es 1 en 3.

La probabilidad de una falla múltiple es calculada multiplicando la probabilidad de lafalla de la función protegida por la indisponibilidad media del dispositivo protector.Para el caso descrito arriba en las Figura 5.11 (a) y (b), la probabilidad de una fallamúltiple sería como se indica en la Figura 6.11 (c), debajo:

Un añoFunción Probabilidad de falla en cualquier año = 1 en 4 FallasProtegida

Indisponibilidad 33%Dispositivo

Disponibilidad 67%

Protector Fallido

Fig. 6.11c: La Probabilidad deuna falla múltiple

La probabilidad de una falla múltiple enun año:

1 en 4 x 1 en 3 = 1 en 12

Por ejemplo, las consecuencias que ambas bombas (en la Figura 6.7) estén en unestado fallido pueden ser tales que los usuarios se preparen para tolerar unaprobabilidad de falla múltiple de menos que 1 en 1 000 en cualquier año (o 10-3).Asumir que también ha sido estimado, que si la bomba de servicio tiene un apropiadomantenimiento, su MTBF puede incrementarse a diez años, lo cual corresponde a unaprobabilidad de falla en cualquier año, de uno en diez o 10-1.

Así que para reducir la probabilidad de falla múltiple a menos de 10-3, no debepermitirse que la indisponibilidad de la bomba de reserva se exceda de 10-2 o 1%. Enotras palabras debe mantenerse de tal manera que su disponibilidad excede 99%.Esto se ilustra en la Figura 6.12, debajo:

Un añoFunción Probabilidad de falla en cualquier año = 1 en 10 FallasProtegida

Dispositivo

Disponibilidad 99% Indisponibilidad 1%

Protector

Fig. 6.12: Disponibilidad deseada deun dispositivo protector

La probabilidad de una falla múltiple encualquier ahora año es:

1 en 10 x 1 en 100 = 1 en 1000


Unidad VI Pág. 29

En la práctica, la probabilidad considerada tolerable para cualquier falla múltipledepende de sus consecuencias. En la inmensa mayoría de casos la valoración tieneque ser hecha por los usuarios del recurso. Estas consecuencias varían grandementede sistema a sistema y lo que se juzga tolerable varía ampliamente también. Parailustrar este punto, la Figura 6.13 sugiere cuatro posibles valoraciones para cuatrosistemas diferentes:

Falla de laFunción

Protegida

Estado fallido delDispositivoProtector

FallaMúltiple

Razón Tolerablede una

Falla Múltiple

Error ortográficoen

un memo o e -mail

El procesador de textos noestá disponible para

detectar errores

Problemas ortográficosno detectados ¿ 10 por mes?

Motor 10 Kwbomba “B”,

sobrecargado

Gatillo del interruptoratascado y cerrado

El motor se quemó:$ 500 el rebobinado

¿1 en 50 años?

Bomba deservicio B

falla

Bomba de reserva Cfallada

Pérdida total de lacapacidad de bombeo:$10 000 en pérdida de

producción¿1 en 1000 años?

Calderosobrepresurizad

o

Válvula de alivio atascada Caldero explota:Mueren 10 personas

¿1 en 10 000 000 deaños?

Figura 6.13 Razón de la falla múltiple

Como antes, estos niveles de tolerabilidad no son una receta y necesariamente noreflejan el punto de vista del autor. Ellos son el resultado de demostrar que encualquier sistema protegido, alguien debe evaluar lo que es tolerable antes de decidirel nivel de protección que se necesita, esta valoración diferirá para sistemasdiferentes.

La Parte 3 de esta unidad sugiere que si la falla múltiple pudiera afectar la seguridad,"alguien" debe convocar a una reunión de diálogo que incluya a representantes de lasprobables víctimas junto con sus gerentes. Esto es bien cierto para fallas múltiplesque tienen consecuencias económicas.

Por ejemplo, en el caso del error ortográfico, la probable "víctima" es el autor de lacorrespondencia. En muchas organizaciones, la consecuencia es probablemente pasaruna ligera vergüenza (si alguien notifica el error). En el caso del motor eléctrico, lapersona que probablemente será responsabilizada (en otros términos, la "víctima"probable) o es el gerente responsable del presupuesto de mantenimiento o el gerentede mantenimiento en persona. En el caso de pérdida de la capacidad de bombeo, lasgrandes sumas involucradas implican que los niveles superiores de dirección de laempresa deben ser involucrados al establecer el criterio tolerabilidad.

De la figura 6.13 también se entiende que las probabilidades que cualquierorganización podría prepararse a tolerar respecto a fallas con consecuenciaseconómicas tienden a disminuir con el incremento de la magnitud de lasconsecuencias.


Pág.30 Unidad VI

Esto sugiere que para cualquier organización debería ser posible desarrollar unprograma de riesgos económicos “estándar” tolerables que podría en su momentoayudar a desarrollar programas de mantenimiento diseñados para liberarnos de estosriesgos. Esto podría tomar la forma que se muestra en la Figura 6.14.

1

10-1

10-2

10-3

10-4

10-5

10-6

Prob

abili

dad

que

tole

ram

os d

ecu

alqu

ier

even

to e

n cu

alqu

ier

año

Trivial(sin costo)

Sobre$ 100

$ 1 000 $10 000 $100 000 $1 millón $10 millo-nes y más

Costo de cualquier evento

Figure 6.14: Torelabilidad de riesgos económicos.

Notar que estos niveles de tolerabilidad no son una receta y no significan algún tipode propuesta de estándares universales. Los riesgos económicos que unaorganización está preparada a tolerar son literalmente el negocio de esa organización.

Las Figuras que 6.2 y 6.14 advierten que podría ser posible producir un programa deriesgos que combinen riesgos de seguridad y riesgos económicos en uno solo.

En algunos casos, puede ser innecesario – por cierto a veces imposible - realizar unriguroso análisis cuantitativo de la probabilidad de fallas múltiples de la maneradescrita anteriormente. En tales casos, puede ser suficiente hacer una valoración dela disponibilidad requerida del dispositivo protector basándose en una valoracióncualitativa de la confiabilidad de la función protegida y las posibles consecuencias deuna falla múltiple. Sin embargo, si la falla múltiple es particularmente seria, entoncesdebe realizarse un riguroso análisis.

Lo siguiente los párrafos consideran en más detalle cómo es posible influenciar:

• La razón con las que fallan las funciones protegidas.• La disponibilidad de dispositivos protegidos.

6.4. EL MANTENIMIENTO RUTINARIO Y LAS FUNCIONES OCULTAS

En un sistema que incorpora un dispositivo protector de falla no evidente, laprobabilidad de una falla múltiple puede ser reducida como sigue:

• Reducir la razón de falla de la función protegida:

Tolerable

Intolerable


Unidad VI Pág. 31

• Haciendo alguna clase de mantenimiento proactivo.• Cambiando la forma en que la función protegida es operada.• Cambiando el diseño de la función protegida.

• Aumentando la disponibilidad del dispositivo protector:

• Haciendo alguna clase de mantenimiento del proactivo.• Verificando periódicamente si el dispositivo protector ha fallado.• Modificando el dispositivo protector.

Prevenir la falla de la función protegida .-Hemos visto que la probabilidad deuna falla múltiple esta parcialmente basada en la razón de falla de la funciónprotegida. Esto podría reducirse aprovechando el mantenimiento o la operación deldispositivo protegido o incluso (como un última instancia) cambiando su diseño.Específicamente, si las fallas de una función protegida se pueden anticipar o prevenir,el tiempo promedio entre (imprevistas) fallas de esta función podría incrementarse.Esto reduciría la probabilidad de una falla múltiple.

Por ejemplo, una manera de prevenir la falla simultánea de las Bombas “B” y “C” esintentar prevenir las fallas imprevistas de la Bomba “B”. Reduciendo el número deestas fallas, podría incrementarse el MTBF de la Bomba “B” y así la probabilidad deuna falla múltiple se reduciría correspondientemente, como se muestra en la Figura6.12.

Sin embargo, tener presente que la razón para la instalación de un dispositivoprotector es que la función protegida es vulnerable a las fallas imprevistas con seriasconsecuencias.Secundariamente, si no se toma ninguna acción para prevenir la falla del dispositivoprotector, sería inevitablemente fallar en alguna etapa y dejar de proporcionarcualquier protección. Después de este punto, la probabilidad de la falla múltiple esigual a la probabilidad que la función protegida falle sola.

Esta situación debe ser intolerable o no se hubiera instalado un dispositivo protectorpara empezar. Esto sugiere que se debe intentar encontrar una manera práctica deprevenir las fallas de los dispositivos protectores que son de falla no evidente.

Prevenir las fallas ocultas .-Para prevenir una falla múltiple, se debe asegurar quela función oculta no este en un estado fallido si y cuando la función protegida falla. Sise encontró una tarea proactiva lo suficientemente buena para asegurar un 100% dedisponibilidad del dispositivo protector, entonces una falla múltiple es teóricamentecasi imposible.

Por ejemplo, si se pudiera encontrar una tarea proactiva que asegure un 100% dedisponibilidad de la bomba “C” mientras está en estado de reserva, entonces sepuede asegurar que “C” puede encargarse del trabajo si “B” falló.

(En este caso una falla múltiple es sólo posible si los usuarios operan la Bomba “C”mientras “B” está siendo reparada o reemplazada. Sin embargo, aún cuando el riesgode la falla múltiple es bajo, ya que “B” debe ser reparado rápidamente y así lacantidad de tiempo que la organización está en riesgo es bastante corta. Si laorganización está preparada o no lo está, para tomar el riesgo de hacer funcionar laBomba “C” mientras “B” no lo está depende de las consecuencias de la falla múltipley de si es posible disponer de otras formas de protección).


Pág.32 Unidad VI

En la práctica, es muy improbable que cualquier tarea proactiva cause en cualquierfunción, oculta o de otro tipo, el alcanzar una disponibilidad de 100%indefinidamente. Lo que debe hacer, sin embargo, es entregar la disponibilidadnecesaria para reducir la probabilidad de la falla múltiple a un nivel tolerable.

Por ejemplo, asumir que se encuentra una tarea proactiva que permite a la bomba“C” alcanzar un nivel de disponibilidad de 99%. Si el MTBF de la Bomba “B” es 10años, entonces la probabilidad de una falla múltiple podría ser 10-3 (1 en 1 000) encualquier año, como se discutió antes.

Si pudiera incrementar la disponibilidad de la Bomba “C” a 99,9% la probabilidad dela falla múltiple se reduciría a 10-4 (1 en 10 000) y así sucesivamente.

Así para una falla oculta, una tarea proactiva merece la pena ponerse en práctica siasegura la disponibilidad necesaria para reducir la probabilidad de falla múltiple a unnivel tolerable.

A menudo es imposible encontrar una tarea del proactiva que asegure ladisponibilidad requerida. Esto se aplica especialmente al tipo de equipo que padecede fallas ocultas. Así, si no se puede encontrar una manera de prevenir una fallaoculta, se debe encontrar alguna otra manera de mejorar la disponibilidad de lafunción oculta.

Detectar la falla oculta .-Si no es posible encontrar una forma conveniente deprevención de fallas ocultas, todavía es posible reducir el riesgo de una falla múltiplechequeando las funciones ocultas periódicamente para averiguar si están todavíafuncionando. Si este chequeo (llamado "encontrando fallas") se lleva a cabo en losintervalos convenientes y si la función es rectificada tan pronto como se encuentra eldefecto; todavía es posible asegurar un alto nivel de disponibilidad.

Modificar el equipo.- En un número muy pequeño de casos, hay dos posibilidades,es imposible encontrar algún tipo de tarea rutinaria que asegure el nivel deseado dedisponibilidad o no es práctico hacerlo en la frecuencia requerida. Sin embargo,algunas cosas pueden hacerse para reducir el riesgo de una falla múltiple a un niveltolerable, en estos casos, es normalmente necesario regresar a la "tabla de dibujo yrevisar el diseño.

Si la falla múltiple afectara a la seguridad o el medioambiente, el rediseño esobligatorio. Si la falla múltiple sólo tiene las consecuencias económicas, la necesidadpara rediseñar se evalúa en el campo económico.

6.4.1. LAS FUNCIONES OCULTAS: EL PROCESO DE DECISIÓN

Todos los puntos tratados hasta ahora sobre el desarrollo de una estrategiade mantenimiento para funciones ocultas pueden resumirse como semuestra en la Figura 6.15:

Para fallas ocultas; una tarea proactiva merece la pena hacerse si asegura ladisponibilidad necesaria para reducir la probabilidad de una falla múltiple a un

nivel tolerable.


Unidad VI Pág. 33

¿La pérdida de función causada por este modo defalla por si misma llega a ser evidente al equipo

operacional bajo circunstancias normales?

El mantenimiento proactivo merece hacerse si asegura la disponibilidad necesaria para

reducir la probabilidad de una falla múltiplea un nivel tolerable.

Si no se puede encontrar una tarea proactiva adecuada, verificarperiodicamente si las funciones ocultas estan trabajando (hacer un

programa de tareas "encontrando - falla")

La falla esevidente. Verpartes 3 a la 5de esta unidad.

Si no se puede encontrar una adecuada tarea "encontrando - fallas":

- El rediseño es obligatorio si la falla múltiple pudiera afectar la seguridad o el medio ambiente.

- Si la falla múltiple no afecta la seguridad o el medio ambiente, entonces el rediseño debe ser justificado en términos económicos.

NO SI

Figura 6.15: Identificando y desarrollando una estrategia demantenimiento para una falla oculta.

6.5. PUNTOS ADICIONALES ACERCA DE FUNCIONES OCULTAS

Seis puntos necesitan un especial cuidado cuando se hace la primera pregunta en laFigura 6.15. Ellos son los siguientes:

• La distinción entre las fallas funcionales y los modos de falla.• La pregunta del tiempo.• Las funciones primarias y secundarias de los dispositivos protectores.• ¿Qué significa exactamente "equipo operacional"?• ¿Qué son "circunstancias normales”?• ¿Qué son "dispositivos de falla evidente”?

Estos aspectos son todos discutidos con más detalle en los siguientes párrafos.

Fallas funcionales y modos de fallasEn esta fase del proceso de RCM, cada modo de falla, que sea lo bastante probablecause cada falla funcional, será identificada en la Hoja Información del RCM. Estotiene dos implicancias importantes:


Pág.34 Unidad VI

• Primeramente, no se está preguntando qué falla pudiera ocurrir. Todos estánintentando establecer si cada modo de falla que ya ha sido identificado como unaposibilidad podría ser oculta o evidente si ocurriera.

• Secundariamente, no se está preguntando si el equipo operacional puedediagnosticar el modo de falla por sí mismo. Se está preguntando si la pérdida defunción causada por el modo de falla será evidente bajo circunstancias normales.(En otras palabras, se está preguntando si el modo de falla tiene algún efecto osíntoma bajo circunstancias normales, podría el observador pensar que elelemento no es de suficiente capacidad para cumplir con su función entendida - opor lo menos, que alguna cosa se salió del contexto de lo que ordinariamentetenía que ocurrir).

Por ejemplo, considere un vehículo motorizado que padece del bloqueo de la línea decombustible. El conductor promedio (en otras palabras, el "operador" promedio) nosería capaz de diagnosticar este modo de falla sin la ayuda de un especialista, asípodría dar la tentación de llamar a esto una falla oculta. Sin embargo, la pérdida de lafunción causada por este modo de falla es evidente, porque el funcionamiento delautomóvil se detuvo.

La pregunta del tiempoA menudo existe la tentación de describir una falla como "oculta" si transcurre unconsiderable período de tiempo entre el momento en que ocurre la falla y elmomento en que se descubre. De hecho, éste no es el caso. Si la pérdida de funcióneventualmente llega a ser obvia a los operadores, como resultado directo e inevitablede esta falla, entonces la falla es tratada como evidente, no importa cuánto tiempotranscurre entre la falla en cuestión y su descubrimiento.

Por ejemplo, un tanque llenado al tope por la Bomba “A” en la Figura 6.4 puedetomar semanas en vaciarse, por lo tanto la falla de esta bomba podría no ser obviaen cuanto ocurra. Esto puede tentar el describir la falla como oculta. Sin embargo,esta no es la causa para que el tanque se seque como consecuencia directa einevitable de la falla de la Bomba “A”. Por consiguiente el hecho que la Bomba “A”este en estado fallido inevitablemente llegará a ser evidente al equipo operacional.

Recíprocamente, la falla de la Bomba “C” en Figura 6.7 sólo será evidente si la Bomba“B” falló (a menos que alguien inspeccione cada cierto tiempo a la Bomba “C”). Si labomba B fue operado y mantenido de tal forma que nunca fue necesario encender laBomba “C”, es posible que la falla de la Bomba “C” nunca sea descubierta.

Este ejemplo demuestra que el tiempo no es un problema al considerar las fallasocultas. La interrogante simplemente es, si todos eventualmente serán conscientesque la falla ha ocurrido y no si ellos serán conscientes cuando ocurre.

Las funciones primarias y secundariasDe lejos se ha enfocado la función primaria de los dispositivos protectores, que no esotra cosa que la capacidad de completar la función para la cual han sido diseñadoscuando sean llamados a hacerlo. Se ha visto, que esto es usual después que lafunción protegida ha fallado. Sin embargo, una función secundaria importante demuchos de estos dispositivos es que ellos no deben trabajar cuando nada estádañado.


Unidad VI Pág. 35

Por ejemplo, la función primaria de un interruptor de presión podría listarse comosigue:

• Ser capaz de transmitir una señal cuando la presión cae por debajo de 250 psi.

La función secundaria implícita de este interruptor es:

• Ser incapaz de transmitir una señal cuando la presión está por encima de 250 psi.

La falla de la primera función está oculta, pero la falla de la segunda es evidente,porque si ocurre, el interruptor transmite una falsa señal de paralización y la máquinapara. Si en la práctica es probable que esto ocurra, debe listarse como un modo defalla de la función que se interrumpe (normalmente la función primaria de lamáquina). Como resultado, normalmente no hay ninguna necesidad de listarseparadamente la segunda función implícita, pero el modo de falla se puede listarbajo la función pertinente si es bastante probable que ocurra.

El equipo operacionalAl preguntar si una falla es evidente, el término “equipo operacional” se refiere aalguien quien tiene la ocasión de observar el equipo o que lo está haciendo en algúnmomento en el curso de sus actividades diarias normales y con quién puede contarseinformará que el equipo ha fallado.

Las fallas pueden ser observadas por personas con puntos de vista muy diferentes.Ellos incluyen a operadores, conductores, inspectores de calidad, artesanos,supervisores, e incluso los arrendatarios de edificios. Sin embargo, si cualquiera deestas personas puede considerarse que detectará e informará una falla, depende decuatro elementos críticos:

• El observador debe estar en la condición de detectar acertadamente el modo defalla o de detectar la pérdida de función causada por el modo de falla. Esta puedeser una localización física o accediendo al equipo o a la información (incluso lainformación que maneja la gerencia) que llame su atención haciendo ver que algoestá equivocado.

• El observador debe poder reconocer las condiciones previas a una falla.• El observador debe entender y aceptar que reportar fallas es parte de su trabajo.• El observador debe tener acceso al procedimiento de reporte de fallas.

Las circunstancias normalesUn análisis cuidadoso revela que a menudo muchos de los deberes ejecutadosactualmente por los operadores son tareas de mantenimiento. Al considerar estastareas es preferible empezar desde cero, ya que de lo contrario las tareas o susfrecuencias necesitan ser revisadas radicalmente. En otros términos, al preguntar siuna falla será evidente al equipo operacional bajo circunstancias “normales”, lapalabra normal tiene el siguiente significado:

• Que nada esta haciéndose para prevenir la falla. Si una tarea proactiva estápreviniendo satisfactoriamente la falla, podría decirse que la falla está oculta yaque no ocurre. Sin embargo anteriormente se señaló que los modos de falla y susefectos deben listarse y el resto del proceso RCM aplicarse como si ninguna tareaproactiva se estuviera haciendo, ya que uno de los propósitos principales delejercicio es revisar si se debe hacer alguna tarea en primer lugar.


Pág.36 Unidad VI

• Que ninguna tarea específica está haciéndose para detectar la falla. Un númerosorpresivo de tareas que ya forman parte de los deberes normales de losoperadores son las rutinas diseñadas para verificar si las funciones ocultas estántrabajando.

Por ejemplo, presionando un botón en el tablero de control, todos los días, se verificasi todas las luces de las alarmas en el tablero están trabajando, por supuesto esta esuna tarea del tipo encontrando – fallas.

Las tareas encontrando – fallas son cubiertas por el proceso de selección de tareasdel RCM, así una vez más debería asumirse en esta fase del análisis que esta tarea noestá haciéndose (aunque la tarea es verdaderamente parte de los deberes normalesdel operador). Esta es la razón por la que el proceso RCM podría revelar una tareamás efectiva o la necesidad hacer la misma tarea a una frecuencia superior o másbaja.

(Punto aparte del asunto de las tareas de mantenimiento, hay a menudoconsiderables dudas sobre lo que actualmente son los "deberes normales" del equipooperacional. Esto ocurre muy a menudo donde los procedimientos de operaciónestándar o están pobremente documentados o no existen. En estos casos, el procesode revisión del RCM hace mucho al ayudar a clarificar cuales deberían ser estosdeberes y puede hacer mucho para sentar las bases de un completo juego deprocedimientos de operación. Esto se aplica especialmente a las plantas de altatecnología).

Dispositivos de falla evidenteA menudo sucede que un circuito protector es llamado de falla evidente, cuando esno lo es. Esto normalmente ocurre cuando sólo una parte del circuito es consideradaen vez del circuito como un todo.

Un ejemplo relacionado a un interruptor de presión, esta vez conectado a unrodamiento hidrostático. El interruptor fue el medio para paralizar la máquina si lapresión de aceite en el rodamiento cayera por debajo de un cierto nivel. Surgiódurante la discusión que si la señal eléctrica desde el interruptor al panel de controlfuera interrumpida, la máquina podría paralizar, así la falla del interruptor fue juzgadacomo evidente.

Sin embargo, la extensa discusión reveló que un diafragma dentro del interruptorpodría deteriorarse con el tiempo, así el interruptor podría ser incapaz de sensar loscambios en la presión. Esta falla estaba oculta y el programa mantenimiento para elinterruptor se desarrolló acordemente.

Para evitar este problema, tenga cuidado de incluir sensores y actuadores en elanálisis de cualquier lazo de control, así como el propio circuito eléctrico.


Unidad VI Pág. 37

7. CONCLUSIÓN

¿La perdida de función causadapor este modo de falla llega aser por si misma evidente al

equipo operacional bajocircunstancias normales?

¿Podría este modo de fallacausar una pérdida de función o daño secundario que pueda

herir o matar a alguien oincumplir alguna conocidanorma medioambiental?

El mantenimiento proactivomerece hacerse si reduce laprobabilidad de la falla a un

nivel tolerable

Si no ..

SI

SI

¿Este modo de falla tieneun efecto directo

adverso en la capacidadoperacional

El mantenimiento proactivomerece hacerse si reduce la

probabilidad de una fallamúltiple a un nivel tolerable

Realizar una tarea "encontrando fallas"

programada

El rediseño puede serobligatorio

NO

El rediseño puede serobligatorio

Si no ..

NO

El mantenimientoproactivo merece

hacerse si sobre unperiodo de tiempo sus

costos son menores queel costo de lasconsecuencias

operacionales más elcosto de reparar la falla

SI

No programarmantenimiento

Si no ..

El rediseño puede serdeseable

El mantenimientoproactivo merece

hacerse si sobre unperiodo de tiempo sus

costos son menores queel costo de reparar la

falla

NO

Si no ..

No programarmantenimiento

El rediseño puede serdeseable

Figura 6.16: La evaluación de las consecuencias de las fallas.

Esta unidad ha demostrado cómo el proceso RCM provee un comprensivo marco estratégicopara gerenciar fallas. Como se resume en la Figura 6.16, este marco:

• Clasifica todas las fallas en base a sus consecuencias. Separando las fallas ocultas de lasevidentes y luego ordenando las consecuencias de las fallas evidentes en ordendescendente a su importancia.

• Proveer una base para decidir si el mantenimiento proactivo merece hacerse en funcióndel caso.

• Sugerir que acciones deberían tomarse si no se puede encontrar una tarea proactivaadecuada.

8. RESUMEN

Las acciones correctivas y preventivas motivadas por una falla tienen su fundamento en quelas consecuencias de las fallas son más importantes que sus características técnicas. Deaquí la idea de que el mantenimiento proactivo no sólo debe prevenir los fallas sino tambiénevitar o reducir sus consecuencias.

Los equipos tienen funciones evidentes y son aquellas cuya falla llega a ser inevitablementeevidente bajo circunstancias normales, pero también se tienen funciones ocultas y estas secaracterizan por que sus fallas no son evidentes a los ojos de os operadores encircunstancias normales. Como cuando la válvula de alivio de un caldero pirotubular tiene suparte móvil pegada al asiento por falta de un continuo accionamiento de mantenimiento.


Pág.38 Unidad VI

En los modos de falla que tienen consecuencias en la seguridad o medioambientales, unatarea proactiva merece la pena realizarce si logra reducir la probabilidad de falla a un niveltolerablemente bajo. Como las tareas proactivas que se dan en los aviones, según lasestadísticas viajar por avión es más seguro que hacerlo por vía terrestre ya que la tasa demortandad es mucho menor.

Así mismo en esta unidad se sugiere que en los modos de falla con consecuenciasoperacionales, merecen realizarce tareas proactivas si, durante un período de tiempo,cuestan menos que el costo de las consecuencias operacionales más el costo de reparar lasfallas. Además de lo anterior se verá la relación entre las funciones protegidas y losdispositivos protectores, así como la probabilidad de una falla múltiple.

FIN DEL TEXTO

TECSUP - RCM_6

Documents

Transcript of TECSUP - RCM_6