6 Análisis de Modos y Efectos de Falla (FMEA)

UNIDAD VI
“CONSECUENCIAS DE LAS FALLAS”
1. INTRODUCCIÓN
Las unidades anteriores han explicado cómo el proceso RCM hace las
siguientes siete preguntas por cada recurso:
1. ¿Cuáles son las funciones y las normas de actuación (rendimiento)

asociadas del recurso en su contexto operativo presente?
2. ¿De qué maneras falla para cumplir sus funciones?
3. ¿Qué causa cada falla funcional?
4. ¿Qué pasa cuando ocurre cada falla?
5. ¿De qué manera ocurre cada falla?
6. ¿Qué puede hacerse para predecir o prevenir cada falla?
7. ¿Qué se hace si no puede encontrar una tarea proactiva conveniente?
Se discutieron las respuestas a las primeras cuatro preguntas a lo largo de las

Unidades II a la V. Éstas mostraron cómo las hojas de Información del RCM
son empleadas para registrar las funciones del recurso bajo revisión y para
listar las fallas funcionales asociadas, modos de falla y efectos de falla.
Las últimas tres preguntas se hacen por cada modo de falla individual. Esta
unidad considera la quinta pregunta:
¿De qué manera ocurre cada falla?
Es importante conocer el contexto operativo en que se desarrolla una falla y

determinar si tendrá consecuencias sobre la producción o el servicio que se
presta.
Además de su incidencia sobre la seguridad de las personas y de las
instalaciones.
2. OBJETIVOS
Definición de funciones ocultas y fallas evidentes.

Establecer como las fallas afectan las operaciones.
Proveer un adecuada estrategia para gerenciar fallas.
Gestión del Mantenimiento Basado en la Confiabilidad 129

3. FACTIBILIDAD TÉCNICA Y EL VALOR DE HACERLO
Cada vez que ocurre una falla, la organización que usa el recurso es afectada
de alguna manera. Algunos fallas afectan el rendimiento, la calidad del
producto o servicio al cliente. Otras amenazan la seguridad o el
medioambiente. Algunas aumentan los costos operativos, por ejemplo,
aumentando el consumo de energía, mientras otras tienen un impacto en
cuatro, cinco o más aspectos. Otras pueden parecer no tener efecto en absoluto
si ocurren solas, pero pueden exponer a la organización al riesgo de fallas
mucho más serias.
Si cualquiera de estas fallas no se previniera; el tiempo y esfuerzo que necesita

gastarse para corregirlas también afecta a la organización, porque reparando
fallas se consumen recursos que podrían bien usarse en otra parte.
La naturaleza y severidad de estos efectos gobiernan la manera cómo la

organización ve la falla. El impacto preciso en cada caso es, en otras palabras,
hasta qué punto sucede cada falla y esto depende del contexto operativo del
recurso, las normas de actuación que se aplican a cada función y los efectos
físicos de cada modo de falla.
Esta combinación del contexto, las normas y los efectos significa que cada falla
tiene un juego específico de consecuencias asociado a ella. Si las consecuencias
son muy serias, entonces se harán esfuerzos considerables para prevenir la
falla o por lo menos para anticiparla a tiempo para reducir o eliminar las
consecuencias. Esto es especialmente verdad si la falla pudiese herir o matar a
alguien o si es probable que tenga un efecto serio en el medio ambiente.
También es verdad que las fallas interfieren con la producción o las
operaciones o qué causan daños y perjuicios secundarios significativos.
Por otro lado, si la falla sólo tiene consecuencias menores, es posible que no se
tome ninguna acción proactiva y la falla se corrija simplemente cada vez que
ocurra.
Esto sugiere que las consecuencias de fallas son más importantes que sus
características técnicas. También sugiere que la idea completa sobre el
mantenimiento proactivo no es sólo prevenir los fallas sino cómo evitar o
reducir las consecuencias de falla.
El mantenimiento Proactivo tiene mucho más que hacer

evitando o reduciendo las consecuencias de falla que solamente
previniéndolas
Si esto se acepta, entonces es razonable pensar que cualquier tarea proactiva

merece la pena hacerse si trata con éxito las consecuencias de falla que se
desean prevenir.
Una tarea proactiva merece la pena hacerse si trata con éxito las
consecuencias de falla que se desea prevenir
130 Gestión del Mantenimiento Basado en la Confiabilidad

Esto presupone, claro, que en primer lugar es posible anticiparse o prevenir la
falla. Si una tarea proactiva es o no técnicamente factible depende de las
características técnicas de la tarea y de la falla que se desea prevenir.
Si no es posible encontrar una tarea proactiva conveniente, la naturaleza de las

consecuencias de falla también indica qué acción predeterminada debe
tomarse.
En el resto de esta unidad se considera el criterio para evaluar las
consecuencias de falla y para decidir si cualquier forma de tarea proactiva vale
la pena hacerla. Estas consecuencias se dividen en dos fases y cuatro
categorías. La primera fase separa las funciones ocultas de las funciones
evidentes.
Las fallas se categorizan en función de sus consecuencias las que pueden ser
medioambientales, operacionales y no operacionales.
Para modos de falla que tienen consecuencias en la seguridad o

medioambientales, una tarea proactiva merece ser realizada si logra reducir la
probabilidad de falla a un nivel tolerablemente bajo. Como es el caso de los
viajes por avión que resultan estadísticamente ser mas seguros que los que se
realizan por vía terrestre
4. FUNCIONES OCULTAS Y EVIDENTES
Hemos visto que cada recurso tiene más de una y a veces docenas de
funciones. Cuando la mayoría de estas funciones falla, será evidente que la
falla del equipo ha ocurrido.
Por ejemplo, algunas fallas causan que la luz de advertencia se encienda o

hará que suenen las alarmas o ambos. Otras causan que las máquinas paren o
interrumpen alguna otra parte del proceso. Otros llevan a problemas de
calidad de producto o al aumento del consumo de energía y aún los efectos
físicos obvios son acompañados con ruidos fuertes o fugas de vapor, olores
raros o charcos de líquido en el suelo.
Por ejemplo, la figura 3.7 en la unidad 3 mostró tres bombas que se muestran
de nuevo en la figura N° 1. Si los rodamientos en la Bomba A se desgastan, se
pierde la capacidad bombeo. Esta falla a si misma será inevitablemente obvia
a los operadores, tan pronto como suceda o cuando una parte del proceso que
sigue se interrumpe. (Los operadores no podrían saber inmediatamente que
los rodamientos causaron el problema, pero son conscientes del hecho que
inevitablemente algo raro ha pasado).

BOMBA TRABAJA SOLA CON CARGA EN STAND BY
A B C
Figura N° 1: Diferentes contextos de operación.
Las fallas de este tipo se clasifican como evidentes porque alguien las
descubrirá cuando ocurran por sí solas. Esto lleva a la siguiente definición de
una función evidente:
Una función evidente es una cuya falla llega a ser inevitablemente evidente
por si sola a los operadores bajo circunstancias normales
Sin embargo, algunos fallas ocurren de tal manera que nadie sabe que el
artículo está en estado de falla a menos que o hasta que alguna otra falla
también ocurra.
Por ejemplo, si la Bomba C en la figura 6.1 falla, nadie sería consciente del
hecho porque bajo circunstancias normales la Bomba B todavía estará
trabajando.
En otras palabras, la falla de la Bomba C por sí sola no tiene impacto directo a

menos que o hasta que la Bomba B también falle (una circunstancia anormal).
La bomba C exhibe una de las características más importantes de una función

oculta que es que, la falla de esta bomba por sí sola no será evidente al
operador bajo circunstancias normales. En otras palabras, no se pondrá
evidente a menos que la bomba B también falle. Esto lleva a la siguiente
definición de una función oculta:
Una función oculta es una cuya falla no será evidente al operador bajo
circunstancias normales si ocurre sola.
El primer paso en el proceso RCM separará las funciones ocultas de las

funciones evidentes porque las funciones ocultas necesitan de un manejo
especial. Veremos después que estas funciones son asociadas a dispositivos de
protección y que no son fallas de seguridad. Desde que se les pueden
considerar como la mitad de los modos de falla que podrían afectar a los
equipos modernos complejos, las funciones ocultas podrían convertirse en el

problema dominante de mantenimiento durante los próximos diez años. Sin
embargo, consideramos que antes de poner las funciones ocultas en
perspectiva, primero debemos considerar las fallas evidentes.
4.1. Categorías de fallas evidentes
Las fallas evidentes son clasificadas, en tres categorías en orden

descendente de importancia:
Consecuencias medioambientales y de seguridad.- Una falla tiene

consecuencias de seguridad si puede herir o matar a alguien. Tiene
consecuencias medioambientales si pudiese llevar a un
incumplimiento de cualquier norma medioambiental corporativa,
regional o nacional.
Consecuencias operacionales.- Una falla tiene consecuencias

operacionales si afecta a la producción o a las operaciones
(rendimiento, calidad del producto, servicio del cliente o costo
operativo además del costo directo de reparación)
Consecuencias no operacionales.- Las fallas evidentes en esta

categoría no afectan ni a la seguridad ni a la producción, para lo que
sólo involucran el costo directo de reparación.
Ordenando las fallas evidentes, el RCM asegura que se consideren la

seguridad y las implicaciones medioambientales de cada modo de falla
evidente. Esto pone a las personas inequívocamente delante de la
producción.
Este enfoque también significa que se evalúan las consecuencias

medioambientales, de seguridad y económicas de cada falla en un solo
ejercicio, lo que es mucho menos costoso que considerarlos
separadamente.
5. SEGURIDAD Y LAS CONSECUENCIAS MEDIOAMBIENTALES
5.1. La seguridad primero
Como hemos visto, el primer paso en el proceso de evaluación de las

consecuencias es identificar las funciones escondidas para que puedan
tratarse apropiadamente. Los modos de falla restantes, en otras palabras,
fallas que no son clasificadas como ocultas, deben por definición ser
evidentes. Los párrafos anteriores explicaron que el proceso RCM
considera primero la seguridad y las implicaciones medioambientales de
cada modo de falla evidente. Se hace así por dos razones:
Un creencia sostenida cada vez más firmemente entre los

empleadores, empleados, clientes y la sociedad en general es que
“herir o matar personas en el curso del negocio, simplemente no es

tolerable y que debe hacerse todo lo posible para minimizar la
posibilidad de cualquier clase de incidente relacionado con la
seguridad o equilibrio medioambiental”.
En la práctica las probabilidades que se toleran en los incidentes

relacionados con la seguridad tienden a ser de magnitudes menores
que aquéllas que se toleran para fallas que tienen consecuencias
operacionales. Como resultado, en la mayoría de los casos dónde
una tarea proactiva merece la pena realizarce, desde el punto de
vista de seguridad, también es probable que sea más adecuado
desde el punto de vista operacional.
En cierto nivel, la seguridad se refiere a la seguridad de individuos en el

lugar de trabajo. Específicamente, el RCM pregunta si alguien pudiera
herirse o matarse como resultado directo del modo de falla o por otro
daño que puede ser causado por la falla.
Un modo de falla tiene consecuencias de seguridad si causa una

pérdida de la función u otro daño que pudiese herir o matar a alguien.
En otro nivel, “seguridad” se refiere a la seguridad del bien de la

sociedad en general. Hoy día, las fallas que afectan a la sociedad tienden
a ser clasificados como problemas “medioambientales”. De hecho, en
muchas partes del mundo el punto está enfocado a que las
organizaciones o cumplen las expectativas medioambientales de la
sociedad o ya no se les permitirá operar. Así realmente aparte de
cualquier sentimiento personal que cualquiera puede tener al respecto,
la prueba medioambiental está volviéndose un requisito previo para la
supervivencia corporativa.
Anteriormente se explicó cómo las expectativas de la sociedad toman la

forma de normas medioambientales municipales, regionales y
nacionales. Algunas organizaciones también tienen sus propias normas
corporativas más severas aún. Se dice que un modo de falla tiene
consecuencias medioambientales si pudiese llevar al incumplimiento de
cualquiera de estas normas.
Un modo de falla tiene consecuencias medioambientales si causa la

pérdida de una función u otro daño que podrían llevar al
incumplimiento de cualquier norma medioambiental conocida.
Note que al considerar que si un modo de falla tiene consecuencias

medioambientales o de seguridad, estamos considerando que un modo
de falla por sí solo podría tener consecuencias. Esto es diferente a la
parte 6 de este capítulo en que consideramos la falla de ambos
elementos de un sistema de protección (función protegida y dispositivo
protector).

5.2. La pregunta de riesgo
A la mayoría de las personas le gustaría vivir en un ambiente dónde no

hay ninguna posibilidad de muerte o lesión en absoluto, generalmente
se acepta que hay un elemento de riesgo en todo lo que hacemos. En
otros términos, el cero absoluto es inalcanzable, aunque es una meta
digna para seguir esforzándose. Esto nos lleva a preguntar lo que es
inmediatamente asequible. ¿Cómo medir el riesgo?
Para contestar esta pregunta, necesitamos primero considerar la

pregunta del riesgo con más detalle.
La valoración de riesgo consta de tres elementos. El primero, lo que

podría pasar si el evento bajo consideración ocurriera. El segundo, cuán
probable de ocurrir es el evento en absoluto. La combinación de estos
dos elementos proporciona una medida del grado de riesgo. El tercero y
a menudo el elemento más contencioso es si este riesgo es tolerable.
Por ejemplo, considere un modo de falla que podría producir la muerte

o lesión a 10 personas (lo que podría pasar). La probabilidad que este
modo de falla pudiese ocurrir es uno en mil en cualquier año (cuán
probable es de ocurrir). Sobre la base de esto, el riesgo asociado con este
falla es:
10 x (1 en 1000) = 1 accidente cada 100 años
Ahora considere un segundo modo de falla que podría causar 1000

accidentes, pero la probabilidad que esta falla pudiera ocurrir es uno en
100 000 en cualquier año. El riesgo asociado con esta falla es:
1 000 x (1 en 100 000) = 1 accidente cada 100 años.
En estos ejemplos, el riesgo es el mismo aunque las figuras en que esta

basado es bastante diferente. También note que estos ejemplos no
indican si el riesgo es tolerable, sólo lo cuantifican meramente. Sea o no
el riesgo tolerable es una pregunta separada y mucho más difícil y se
trata después.
Notar que, el término “probabilidad” (1 en 10 oportunidades de una

falla en cualquier periodo) y “la tasa de falla” (una vez en diez periodos
en promedio, correspondiendo a un tiempo promedio entre fallas de 10
periodos) se usa como si fueran intercambiables cuando se aplica a las
fallas al azar. Hablando estrictamente, esto no es verdad. Sin embargo, si
el MTBF es mayor que 4 periodos, la diferencia es tan pequeña que
normalmente puede ignorarse.
Los párrafos siguientes consideran cada uno de los tres elementos de

riesgo en más detalle.

5.3. ¿Qué podría pasar si la falla ocurriera?
Se necesita considerar dos problemas al examinar lo que podría pasar si

una falla ocurre. Estos son, ¿qué es lo que realmente pasa? y si ¿alguien
probablemente sea herido o se matará como resultado?. ¿Qué es lo que
realmente pasa?, si cualquier modo de falla ocurre, esto debe registrarse
en la hoja de Información del RCM así como sus efectos de falla, como se
explicó a lo largo de la unidad 4. También la parte 5 de la unidad 4 listó
varios efectos típicos que presentan una amenaza a la seguridad o al
ambiente.
El hecho que estos efectos pudieran herir o matar a alguien no

necesariamente significa que ocurrirá cada vez que se presente. Algunos
incluso pueden ocurrir bastante a menudo sin ocasionarlo. Sin embargo,
el problema no es si tales consecuencias son inevitables, sino si son
posibles.
Por ejemplo, si en una grúa puente fallara el gancho que transporta

normalmente rollos de acero, la carga que cae tal vez hiera o mate a
alguien que esté en ese momento parado bajo él o cerca de él. Si nadie
estuviera cerca, entonces nadie saldría herido. Sin embargo, la
posibilidad que alguien pudiese herirse significa que este modo de falla
debe tratarse como un riesgo de seguridad y debe analizarse de acuerdo
a eso.
Este ejemplo demuestra el hecho que el proceso RCM evalúa las

consecuencias de seguridad al nivel más conservador. Si es razonable
asumir que cualquier modo de falla pudiera afectar la seguridad o al
ambiente, asumimos que puede y en ese caso debe sujetarse a un análisis
intenso. (Veremos después que la probabilidad que alguien sea herido se
toma en cuenta al evaluar la tolerancia del riesgo.)
Una situación más compleja se presenta cuando se trata con riesgos de

seguridad que son cubiertos por algún tipo de sistemas de protección.
Hemos visto que uno de los objetivos principales del proceso RCM es
establecer la manera más eficaz de manejar cada falla en el contexto de
sus consecuencias. Esto sólo puede hacerse si estas consecuencias se
evalúan al empezar, como si nada se estuviera haciendo para manejar la
falla (en otros términos, predecir, prevenir o mitigar sus consecuencias).
Los dispositivos de protección que se diseñan para trabajar con los

estados de falla (alarmas, sistemas de cierre y de alivio) no son nada más
que sistemas de dirección de falla. Por ello, para asegurar que el resto
del análisis se lleve a cabo desde una base de referencia apropiada, las
consecuencias de falla de funciones protegidas deben evaluarse
idealmente como si los dispositivos de protección de este tipo no
estuvieran presentes. Por ejemplo, una falla que podría causar fuego
siempre se considera como un riesgo de seguridad, porque la presencia
del sistema contra incendios no necesariamente garantiza que el fuego se

controlará y se extinguirá. El proceso RCM puede usarse entonces para
validar (o revalidar) la conveniencia del propio dispositivo de
protección desde tres puntos de vista:
Su habilidad para proporcionar la protección requerida. Definiendo

la función del dispositivo de protección, como se explicó en la
unidad 3.
Si el dispositivo de protección responde bastante rápido para evitar
las consecuencias.
Qué debe hacerse para asegurar que el dispositivo de protección
continúe funcionando, como se discutirá en la parte 6 de esta
unidad.
5.4. ¿Cuán probable es que ocurra la falla?
La parte 4 de la unidad 5 menciona que deben listarse en la hoja de

Información del RCM sólo modos de falla que son bastante probables de
ocurrir. Como resultado, si la hoja de Información se ha preparado con
una base realista, el hecho que el modo de falla sea listado sugiere que
hay alguna probabilidad que pudiera ocurrir y por consiguiente debe
sujetarse a un análisis intenso.
(A veces puede ser prudente listar en un FMEA lo extremadamente

improbable pero no obstante peligroso modo de falla, solamente para
manifestar en el registro el hecho que fue considerado y luego
rechazado. En estos casos, un comentario como, "Este modo de falla es
considerado demasiado improbable para justificar un análisis intenso"
debe registrarse en la columna de efectos de falla).
5.5. ¿El riesgo es tolerable?
Uno de los aspectos más difíciles de la gestión de seguridad es

determinar hasta qué punto las creencias sobre lo que es tolerable varían
de individuo a individuo y de grupo a grupo. Una amplia variedad de
factores influencian estas creencias, pero de lejos el más dominante es el
grado de control que cualquier individuo piensa tiene sobre la situación.
Las personas casi siempre están preparadas para tolerar un nivel más
alto de riesgo cuando creen que están personalmente al mando de la
situación que cuando creen que la situación está fuera de su mando.
Por ejemplo, las personas toleran niveles más altos de riesgo al manejar
sus propios automóviles que cuando lo hacen como pasajeros de un
avión. (Hasta qué punto este problema gobierna las percepciones de
riesgo, se da por la estadística sorprendente que solo 1 persona de 11 000
000 que viajan por aire entre Nueva York y Los Angeles en los EE.UU.
muere mientras lo hace; en cambio 1 persona en 14 000 que realiza el
viaje por tierra se ha matado. Y todavía algunas personas insisten en
hacer este viaje por tierra porque creen que están más seguros).

Este ejemplo ilustra la relación entre la probabilidad de matarse, que
cualquier persona se ha preparado para tolerar y hasta qué punto esa
persona cree que tiene el control. En condiciones más generales, esto
podría variar para un individuo particular como se muestra en la figura
N° 2.
10-4
10-5
Probabilidad que tolero
de morir en algún año
10-6
10-7
Creo tener Creo tener algún No creo tener No tengo algún

completo control y alguna algún control, control y ninguna
control, elección acerca pero no me elección sobre mi
(al conducir de mi exposición expongo a mi exposición y/o de
mi vehículo o al peligro mismo (en un mi familia
en el taller de (en el lugar avión de (accidente
mi casa). donde trabajo). pasajeros) industrial que
afecta a la
sociedad)
Figura N° 2: Tolerancia de riesgo fatal.
Las figuras dadas en este ejemplo no significan ser perspectivas y no son

necesariamente reflejo del punto de vista del autor, meramente ilustra lo
que un individuo podría decidir que esta preparado tolerar. También
note que esta basado en la perspectiva de una ida individual sobre su
negocio diario. Este punto de vista tiene que ser traducido hacia un
grado de riesgo para toda la población (todos los obreros en un sitio,
todos los ciudadanos de un pueblo o incluso toda la población de un
país).
En otros términos, si yo tolero una probabilidad de 1 en 100 000 (10-5) de

matarse en el trabajo en cualquier año y tengo 1 000 obreros que tienen
el mismo punto de vista, entonces todos toleramos que en promedio 1
persona por año en nuestro sitio se matará en el trabajo cada 100 años y
esa persona puede ser uno mismo y puede pasar este año.
Tenga presente que cualquier cuantificación de riesgo de esta manera

sólo puede ser una gruesa aproximación. En otros términos, si digo que

tolero una probabilidad de 10-5, esto es sólo en término figurativo. Indica
que se estima tolerar una probabilidad de matarse en el trabajo que es
aproximadamente 10 veces menos de lo que tolero cuando empleo un
viaje por tierra. (Aproximadamente 10-4).
Teniendo siempre presente, que se está tratando con aproximaciones, el

próximo paso es establecer la probabilidad que se preparan a tolerar
conjuntamente con sus obreros ya que cualquiera podría matarse en
cualquier evento (modo de falla o falla múltiple) en el trabajo.
Por ejemplo, continuando la lógica del ejemplo anterior, la probabilidad

que se mate cualquiera de los 1 000 obreros en cualquier año es 1 en 100
(asumiendo que cada uno en su sitio encara a grosso modo los mismos
riesgos).
Además, si las actividades se llevaran a cabo en el sitio incluyen 10 000
eventos que podrían matar a alguien, entonces la probabilidad
promedio que cada evento pudiera matar a una persona debe reducirse
a 10-6 en cualquier año. Esto significa que debe reducirse la probabilidad
de un evento que probablemente puede matar a diez personas a 10-7,
mientras debe reducirse a 10-5 la probabilidad de un evento que tiene la
oportunidad 1 en 10 de matar a una persona.
Las técnicas por la cual se mueven las jerarquías de probabilidad de

arriba hacia abajo son conocidas como valoraciones de riesgo
probabilísticas o cuantitativas. Los puntos importantes a tener presente
en esta fase son:
La decisión acerca de lo que es tolerable debe empezar con la

víctima probable.
Es posible unir lo que una persona tolera directa y

cuantitativamente a un modo de falla individual de probabilidad
tolerable.
Aunque normalmente se percibe el grado de control que domina las

decisiones sobre la tolerancia al riesgo, este no es el único problema.
Otros factores que nos ayudan a decidir lo que es tolerable incluyen lo
siguiente:
Los valores individuales: explorar este problema a cualquier

profundidad está más allá del alcance de este libro. Basta contrastar
los puntos de vista sobre el riesgo tolerable como el que es acordado
por un montañés con aquéllos que padecen de vértigo o aquéllos de
un minero subterráneo con aquellos que padece de claustrofobia.
Los valores de la industria: mientras hoy en día cada industria

reconoce la necesidad de operar tan seguramente como sea posible,
nadie escapa al hecho que algunos tipos de industrias son

intrínsecamente más peligrosos que otros. Algunos incluso
compensan los niveles más altos de riesgo con los niveles de pago
más altos. El punto de vista de cualquier individuo que trabaja en
esa industria estará determinado por su percepción de si los riesgos
intrínsecos son “valorados” adecuadamente, si el beneficio justifica
el riesgo.
El efecto en “las generaciones futuras”: la seguridad de niños -

especialmente los que no han nacido - tienen un efecto
especialmente poderoso en los puntos de vista de las personas
respecto de lo que es tolerable. Los adultos frecuentemente
muestran sorpresa e incluso descuido por su propia seguridad.
(Cuánto tiempo tiene que emplear el supervisor persuadiendo a
algunas personas para que lleven la ropa de seguridad). Sin
embargo, al observar como una amenaza, la pérdida de facultades
como consecuencia de un accidente, hace que su actitud cambie
completamente.
Por ejemplo, cuando se trabajó con un grupo que tenía la ocasión de

discutir las propiedades de un cierto químico. Las palabras como
“tóxico” o “cancerígeno”' se trataron con indiferencia, aunque la
mayoría de los miembros de este grupo eran en sus centros de trabajo,
las personas más expuestas al riesgo.
Sin embargo, en cuanto se sugirió que el químico también era mutagenic

y teratogenic y el significado de estas palabras se explicó al grupo, el
químico se vio de repente con mayor respeto.
El conocimiento: las percepciones de riesgo son influenciadas

grandemente por cuánto conoce la persona sobre el recurso, el
proceso de cuál forma parte y los mecanismos de falla asociado con
cada modo de falla. Cuánto más saben, mejor es su juicio. (La
ignorancia es a menudo una espada de doble filo. En algunas
situaciones las personas toman los riesgos más espantosos por pura
ignorancia, mientras en otros casos exageran ferozmente también
los riesgos incluso sin ignorancia. Por otro lado, necesitamos
constantemente recordarnos de hasta qué punto la familiaridad
puede engendrar el desprecio).
Muchos otros factores también influyen en las percepciones de riesgo,

como el valor puesto en la vida humana por los diferentes grupos
culturales, los valores religiosos e incluso los factores como la edad y el
estado matrimonial del individuo.
Toda estos factores significan que es imposible especificar una norma de

tolerancia para cualquier riesgo que sea absoluto y objetivo. Esto
sugiere, que sólo pueden evaluarse la tolerancia de cualquier riesgo
basándose en lo que es "relativo y subjetivo”, “relativo” en el sentido
que el riesgo se compara con otros riesgos sobre los que hay un acuerdo

general bastante claro y “subjetivo” en el sentido que la evaluación es
finalmente una cuestión de juicio. Pero, ¿cuál juicio?
5.6. ¿Quién debe evaluar los riesgos?
La diversidad de los factores discutidos significa que simplemente no es

posible para cualquier persona o incluso una organización, evaluar el
riesgo de tal modo qué sea universalmente aceptable. Si el asesor es
demasiado conservador, las personas lo ignorarán y pueden incluso
ridiculizar la evaluación. Si el asesor es demasiado relajado, podría
terminar acusándosele de jugar con las vidas de las personas (si
realmente no las ha matado).
Esto sugiere que sólo un grupo pueda hacer una evaluación de riesgo
satisfactoria. Hasta donde sea posible, este grupo debe representar a las
personas que probablemente tienen una comprensión más clara del
mecanismo de falla, los efectos de falla (sobre todo la naturaleza de
cualquier riesgo), la probabilidad de ocurrencia de falla y qué posibles
medidas pueden tomarse para anticiparse o prevenirla. El grupo
también debe incluir a las personas que tienen un punto de vista
legítimo respecto a la tolerancia de los riesgos. Esto significa que los
representantes de las probables víctimas (más a menudo operadores o
mantenedores en el caso de seguridad directa de riesgos) y de la
dirección (quien normalmente se mantiene responsable si alguien se
hiere o si se incumple una norma medioambiental).
Si se aplica de un modo apropiadamente enfocado y estructurado, las

habilidades colectivas del grupo harán mucho para asegurar que la
organización haga lo mejor por identificar y manejar todos los modos de
falla que podrían afectar la seguridad o el ambiente. (El uso de tales
grupos está siguiendo la tendencia mundial hacia leyes que dicen que la
seguridad es responsabilidad de todos los empleados y no sólo de
responsabilidad de la dirección). Normalmente los grupos de esta
naturaleza pueden alcanzar rápidamente el acuerdo general cuando
tratan con la seguridad de riesgo directa, porque están incluidos en las
personas que se arriesgan. Los riesgos medioambientales no son tan
simples, ya que la sociedad por su tamaño es la víctima probable y
muchos de los problemas involucrados son poco familiares. Así
cualquier grupo que se espera considere si una falla pudiera incumplir
una norma o una regulación medioambiental debe averiguar de
antemano cuál de estas normas y regulaciones cubren el proceso bajo
revisión.
5.7. La seguridad y el mantenimiento proactivo
Si una falla pudiera afectar la seguridad o el ambiente, el proceso RCM

estipula que debemos intentar prevenirlo. La que hace pensar que:

Para modos de falla que tienen consecuencias en la seguridad o
medioambientales, una tarea proactiva merece la pena realizarce si
logra reducir la probabilidad de falla a un nivel tolerablemente bajo
Tal vez una tarea proactiva no pueda lograr este objetivo, a satisfacción
del grupo que realiza el análisis, ya que se esta tratando con riesgos de
seguridad o medioambientales que no pueden anticiparse o prevenirse
adecuadamente. Esto significa que algo debe cambiarse para hacer
efectivo el sistema de seguridad. Este “algo” podría ser el recurso
mismo, un proceso o un procedimiento operativo. Los cambios de esta
clase son clasificados como “rediseños” y normalmente están
comprendidos como uno de dos objetivos:
Reducir la probabilidad de falla que ocurre a un nivel tolerable.
Generar cambios para que la falla ya no tenga consecuencias

medioambientales o sobre la seguridad.
Notar que al tratar con la seguridad y los problemas medioambientales,

el RCM no plantea el problema desde el punto de vista económico. Si no
estamos seguros, tenemos la obligación de prevenir que falle o de
hacerlo seguro. Esto sugiere que el proceso de decisión para modos de
falla que tienen consecuencias medioambientales o de seguridad puede
resumirse como se muestra en la figura N° 3.
¿ L o s m o d o s d e fa lla s c a u s a n
¿ L o s m o d o s d e fa lla s c a u s a n
p é r d id a d e la fu n c ió n u o tr o s
p é r d id a d e la fu n c ió n o d a ñ o s
NO d a ñ o s q u e p o d r ía n in fr in g ir
q u e p o d r ía n le s io n a r o m a ta r a
a lg u n a n o r m a o r e g u la c ió n
a lg u ie n ?
m e d io a m b ie n ta l c o n o c id a ?
SI SI NO
V e r p a r te s
E l m a n te n im ie n to p r o a c tiv o e s
4 y 5 de
n e c e s a r io s i r e d u c e e l r ie s g o d e la
e s ta u n id a d
fa lla a u n n iv e l to le r a b le lo
s u fic ie n te m e n te b a j o
S i n o s e p u e d e d e te r m in a r u n a ta r e a p r o a c tiv a q u e lo g r e r e d u c ir e l r ie s g o d e la
fa lla a u n n iv e l to le r a b le lo s u fic ie n te m e n te b a j o , e n to n c e s e s o b lig a to r io e l
r e d is e ñ o .
Figura N° 3: Identificando y desarrollando una estrategia de

mantenimiento para una falla que afecta la seguridad o el medio
ambiente

5.8. RCM y la legislación de seguridad
Una pregunta se hace a menudo acerca de la relación entre RCM y

legislación de seguridad.
Hoy en día, la mayoría de legislaciones sobre seguridad trata meramente

las demandas que los usuarios pueden realizar y canaliza los esfuerzos
para realizar cualquier acción prudente y así asegurar que sus recursos
estén seguros. Esto ha llevado rápidamente a un énfasis creciente en el
concepto de una auditoría que básicamente se les exige a los usuarios de
los recursos que puedan producir la evidencia documental, que hay una
base racional, defendible para sus programas de mantenimiento. En la
inmensa mayoría de casos, el RCM satisface totalmente este tipo de
requisitos.
Sin embargo, algunas regulaciones exigen que deban hacerse las tareas
específicas en los tipos específicos de equipos a intervalos específicos. Si
el proceso RCM hace pensar en una tarea diferente y/o un intervalo
diferente, es mejor continuar haciendo la tarea que especifica la
legislación y discutir el cambio sugerido con la autoridad reguladora
apropiada.
6. CONSECUENCIAS OPERACIONALES
6.1. ¿Cómo las fallas afectan las operaciones?
La función primaria de la mayoría de los equipos industriales se conecta

de alguna manera con la necesidad de rentabilidad o apoyar la
rentabilidad que generan las actividades.
Por ejemplo, la función primaria de la mayoría de los recursos

empleados en la fabricación es dar valor agregado a los materiales,
mientras los clientes pagan directamente por el acceso a las
telecomunicaciones y a los equipos de transporte (autobuses, camiones,
trenes o aviones).
Las fallas que afectan las funciones primarias de estos recursos afectan la
capacidad de rentabilidad de la organización. La magnitud de estos
efectos depende de qué tan empleado está el equipo y la disponibilidad
de alternativas. Sin embargo, en casi todos los casos los efectos son a
menudo grandes, mayores que el costo de reparar las fallas. Esto
también es cierto para equipos de no industriales tales como de
entretenimiento, de comercio e incluso de transporte.
Por ejemplo, si las luces fallan en un juego de fútbol, los aficionados

tienden a querer la devolución de su dinero. Lo mismo se aplica si los
proyectores fallan en un cine. Si el aire acondicionado falla en una tienda
o restaurante, los clientes se retiran. Los bancos pierden el negocio si les
falta su red informática.

En general, las fallas afectan las operaciones de cuatro maneras:
Las Fallas afectan el rendimiento total: Esto ocurre cuando el

equipo detiene totalmente la operación o cuando funciona
demasiado despacio. Esto produce un aumento de los costos de
producción ya que la planta tiene que trabajar un tiempo extra para
ponerse al día o también perdidas en las ventas si la planta está
totalmente cargada.
Las Fallas afectan la calidad del producto: Si una máquina ya no
puede alcanzar las tolerancias industriales o si una falla causa el
deterioro de los materiales, el resultado probable es obtener
desechos o realizar costosos reprocesos. En un sentido más general,
la “calidad” también cubre conceptos tales como la precisión de
sistemas de navegación, la exactitud de sistemas de marcado y así
sucesivamente.
Afectan el servicio al cliente: Las fallas afectan el servicio al cliente

de muchas maneras, desde la entrega tardía de pedidos hasta la
salida con retraso de un avión de pasajeros. Los retrasos frecuentes
o serios a veces traen cuantiosas multas, pero en la mayoría de los
casos no producen una pérdida inmediata de la rentabilidad. Sin
embargo los problemas de servicio crónicos en el futuro causarán
que los clientes pierdan la confianza y realicen su negocio en otra
parte.
Aumentado los costos operativos además del costo directo de

reparación. Por ejemplo, la falla podría llevar el aumento del
consumo de energía o podría involucrar un cambio a un proceso
alternativo más caro.
En las empresas sin fines de lucro como las militares, ciertas fallas
también pueden afectar la habilidad de la organización de cumplir su
función primaria a veces con resultados desbastadores.
"Por falta de una herradura, se perdió un zapato. Por falta de un zapato,

se perdió un caballo. Por falta de un caballo, se perdió un mensaje. Por
falta de un mensaje, se perdió una batalla. Por falta de una batalla, se
perdió una guerra. Todo por falta de una herradura".
Mientras sea difícil costear los resultados de perder una guerra, las fallas
de esta clase todavía tienen implicaciones económicas a nivel mundial.
Si ocurren con mucha frecuencia, puede ser necesario mantener dos
caballos para asegurar que uno estará disponible para hacer el trabajo o
sesenta tanques de guerra en lugar de cincuenta o seis portaaviones en
lugar de cinco. La redundancia a esta escala puede ser de hecho muy
cara.

La severidad de estas consecuencias significa que si una falla evidente
no propone una amenaza a la seguridad o el ambiente, los procesos
RCM enfocan su atención en las consecuencias operacionales de la falla.
Una falla tiene consecuencias operacionales si tiene un efecto adverso

directo con la capacidad operacional
Como vimos, estas consecuencias tienden a ser económicas en

naturaleza, por lo que normalmente se evalúan en condiciones
económicas. Sin embargo, en casos más extremos (como perder una
guerra), el “costo” puede ser evaluado en una base más cualitativa.
6.2. Evitando las consecuencias operacionales
El efecto económico global de cualquier modo de falla que tiene

consecuencias operacionales depende de dos factores:
¿Cuánto cuesta la falla cada vez que ocurre?, en términos de su

efecto en la capacidad operacional más los costos de la reparación.
¿Con qué frecuencia ocurren?
En la sección anterior, no se prestó mucha atención en cuán a menudo es

probable que ocurran las fallas. (Las tasas de falla tienen una presencia
pequeña en las fallas relacionadas con la seguridad, porque el objetivo
en estos casos es evitar cualquier falla de este tipo). Sin embargo, si las
consecuencias de falla son económicas, el costo total es afectado en
función que tan a menudo es probable que ocurran las consecuencias.
En otras palabras, para evaluar el impacto económico de estas fallas,
necesitamos evaluar cuál es el probable costo durante un período de
tiempo.
Considere la bomba mostrada la figura 6.4. La bomba se controla por un

interruptor de flotador que la activa cuando el nivel en el Tanque Y cae a
120 000 litros y otro que la desactiva cuando el nivel en el Tanque Y
alcanza 240 000 litros. Una alarma de nivel bajo se coloca justo debajo
del nivel 120 000 litros. Si el tanque se está secando, el proceso de
evacuación del fluido tiene que ser cortado. El uso de la bomba cuesta a
la organización $5 000 por hora.

Figura N° 4: Bomba única.
MODO DE FALLA EFECTO DE FALLA

1 Rodamientos atascados por El motor se atasca pero no se activa ninguna alarma de
uso y desgaste normales sonido en la sala de control. El nivel en el tanque cae
por debajo del nivel de la alarma de sonido en 120 000
litros. El tiempo perdido para reemplazar para
reemplazar los rodamientos es de 4 horas. (El tiempo
promedio de ocurrencias de este modo falla es
aproximadamente 3 años).
Figura N° 5: FMEA debido a la falla de los rodamientos en una bomba

Única (sin equipo redundante)
Asumir que ya se ha acordado que un modo de falla que puede afectar a

esta bomba es “Rodamientos atascados debido a un desgaste normal”.
Por simplicidad, se asume que el motor en esta bomba está provisto con
un interruptor de carga excesiva, pero no hay ninguna alarma conectada
a la sala de control. Este modo de falla y sus efectos podrían describirse
en una hoja de Información de RCM como se muestra en la figura 6.5.
El agua sale del tanque a una velocidad de 800 litros por minuto, por lo
que el tanque se seca en 2,5 horas (150 minutos) después que suena la
alarma de mínimo nivel. Toma 4 horas para reemplazar los rodamientos,
por lo que el proceso que sigue se detiene durante 1,5 horas. Así que este
falla cuesta:
1,5 x $5 000 = $7 500
En pérdida de producción cada tres años, más el costo de reemplazar los

rodamientos. Asuma que es técnicamente factible verificar los
rodamientos a través del análisis vibracional una vez por semana. Si se
detecta en los rodamientos un nivel alto de vibración, las consecuencias
operacionales de la falla pueden ser evitadas asegurando que el tanque
esté lleno antes de empezar el trabajo con los rodamientos.

Esto proporciona cinco horas de almacenamiento para que los
rodamientos puedan reemplazarse en cuatro horas sin interferir con el
proceso que sigue. También asuma que la bomba está ubicada en una
estación de bombeo sin operadores. Se ha acordado que personal de
mantenimiento debe llevar a cabo el chequeo y que el tiempo total
necesario para realizarlo es de 20 minutos. Asuma además que el costo
total de emplear a este personal es de $24 por hora, en cuyo caso cuesta
$8 por realizar cada chequeo. Si el MTBF de los rodamientos es 3 años, él
hará aproximadamente 150 chequeos por falla (ya que es un chequeo
semanal). En otros términos, el costo de los chequeos es:
150 x $8 = $1 200
Cada tres años, de nuevo más el costo de reemplazar los rodamientos.

En este ejemplo, la tarea planificada claramente tiene mejor relación
costo / beneficio respecto al costo de las consecuencias operacionales de
la falla más el costo de reparación. Esto sugiere que si una falla tiene
consecuencias operacionales, la base para decidir si una tarea proactiva
se debe realizar, es la económica:
Para los modos de falla con consecuencias operacionales, una tarea

proactiva merece la pena realizarla si, durante un período de tiempo,
cuesta menos que el costo de las consecuencias operacionales más el
costo de reparar la falla, esto significa prevenir.
Recíprocamente, si no puede encontrarse el costo/beneficio de la tarea

proactiva, entonces no se debe realizarse ningún mantenimiento
planificado para intentar anticiparse o prevenir el modo de falla bajo
consideración. En algunos casos, la mejor opción costo / beneficio en ese
punto es simplemente decidir vivir con la falla.
Sin embargo, si una tarea proactiva no puede encontrarse y las

consecuencias de falla todavía son intolerables, puede ser deseable
cambiar el diseño del recurso (o cambiar el proceso) para reducir los
costos totales:
Reduciendo la frecuencia (y el costo total) de la falla.

Reduciendo o eliminando las consecuencias de la falla.
Haciendo un tarea proactiva con un adecuado costo/beneficio.
Notar que en el caso de un modo de falla con consecuencias de

seguridad y medioambientales, el objetivo es reducir la probabilidad de
falla a un nivel muy bajo. En el caso de consecuencias operacionales, el
objetivo es reducir la probabilidad (o frecuencia) a un nivel
económicamente tolerable. Como se mencionó al inicio de la parte 3 de
este capítulo, es probable que esta frecuencia sea mucho mayor de lo que
toleraríamos para la mayoría de los riesgos de seguridad, por ello el
proceso RCM asume que una tarea proactiva que reduce la probabilidad

de una falla relativa a la seguridad a un nivel tolerable también podrá
hacerlo con las consecuencias operacionales de esa falla.
Para comenzar con esto, de nuevo solo consideramos la conveniencia de

hacer los cambios después de haber establecido si es posible conseguir el
rendimiento deseado del recurso desde su situación actual. Sin embargo,
las modificaciones también necesitan ser justificados desde el punto de
vista de sus costos, por cuanto generaron obligatorias acciones de
incumplimiento por los modos de falla con consecuencias
medioambientales o de seguridad.
A la luz de estos comentarios, el proceso de decisión sobre las fallas con

consecuencias operacionales puede resumirse como se muestra en la
figura 6.6:
¿El modo de falla tiene un efecto directo adverso

en la capacidad operacional?
NO
SI
El mantenimiento proactivo es necesario si Ver parte

su costo es menor (sobre un periodo de tiempo) 5 de
que el costo de las consecuencias opereracionales esta unidad
más el costo de la reparación de las fallas, lo cual
significa prevenir
Si el costo - beneficio de la tarea

proactiva no puede ser determinada,
la decisión por defecto es no
programar mantenimiento...........
............pero esto podría ser contrarrestado rediseñando los equipos o

cambiando los procesos para reducir los costos totales

mantenimiento para un falla que tiene consecuencias operacionales.
Notar que este análisis se lleva a cabo para cada modo de falla
individual y no para el recurso en conjunto. Esto es porque cada tarea
proactiva se diseña para prevenir un modo de falla específico, así la
viabilidad económica de cada tarea sólo puede compararse con los
costos del modo de falla, lo cual significa prevenir. En cada caso, esta es
una simple decisión pasa – no pasa.

En la práctica, al evaluar de esta manera los modos de falla individuales,
no siempre es necesario hacer un detallado estudio costo - beneficio
basado en el actual costo del tiempo muerto y el MTBF como se muestra
en el ejemplo de la bomba. Esto es porque la conveniencia económica de
las tareas proactivas es a menudo intuitivamente obvia al evaluar los
modos de falla con las consecuencias operacionales.
Sin embargo, ya sea que las consecuencias económicas se evalúen
formalmente o intuitivamente, este aspecto del proceso RCM todavía
debe aplicarse completamente. (De hecho, este paso es a menudo
sorprendentemente descuidado por las personas nuevas en el proceso.
Las personas de mantenimiento en particular tienen la tendencia de
llevar a cabo las tareas en base sólo a la viabilidad técnica, lo que resulta
en un elegante programa de mantenimiento, pero excesivamente
costoso.)
Finalmente, tenga presente que las consecuencias operacionales de

cualquier falla están fuertemente influenciadas por el contexto en el cual
el activo está operando. Ésta es otra razón del por qué debe tenerse
cuidado para asegurar que el contexto operativo antes de aplicar un
programa de mantenimiento desarrollado para un recurso sea idéntico
al de otro.
7. CONSECUENCIAS NO OPERACIONALES
Las consecuencias de un falla evidente que no tiene un efecto directo adverso en

la seguridad, el medioambiente o sobre la capacidad operacional son clasificadas
como no operacionales. Las únicas consecuencias asociadas con estas fallas son
los costos directos de reparación, por lo que estas consecuencias son también
económicas.
Considere por ejemplo las bombas mostradas en la figura N° 7. Este sistema es

similar al mostrado en la Figura N° 4, excepto que ahora hay dos bombas
(ambas idénticas a la bomba en la Figura N° 4).
Figura N° 7: Sistema de bombeo con bomba de reserva.
La bomba de trabajo “B” se enciende por un interruptor del flotador cuando el

nivel en el Tanque Y cae hasta 120 000 litros y se apaga por otro interruptor

cuando el nivel alcanza los 240 000 litros. Un tercer interruptor se localiza
justo debajo del interruptor de bajo nivel de la bomba servicio, este interruptor
ha sido diseñado para activar una alarma de sonido en la sala de control
cuando el nivel del agua lo alcance y para encender la bomba de reserva. Si el
tanque se seca, el proceso de suministro aguas abajo tiene que ser paralizado.
Esto también cuesta a la organización que usa la bomba a razón de $5 000 por
hora.
Como antes, asumir que ha sido convenido que un modo de falla que pueda
afectar a la bomba de servicio es “rodamientos agarrotados” y que este
atascamiento es causado por el uso y desgaste normal. Asumir que el motor
en la bomba de servicio está también provisto con un interruptor de
sobrecarga, pero no hay ninguna conexión alámbrica desde la alarma a la sala
de mando. Este modo de falla y sus efectos podrían describirse en una hoja de
información RCM como se muestra en la Figura N° 8:
MODO DE FALLA EFECTO DE FALLA

1 Rodamientos atascados por El motor se atasca pero no se activa ninguna
uso y desgaste normales alarma de sonido en la sala de control. El nivel
en el tanque cae por debajo del nivel de la alarma
de sonido en 120 000 litros y la bomba de reserva
es encendida automáticamente. El tiempo
requerido para reemplazar los rodamientos es de
4 horas. (El tiempo promedio de ocurrencias de
este modo falla es aproximadamente 3 años).
Figura N° 8: FMEA por la falla de los rodamientos la bomba de servicio con

equipo redundante.
En este ejemplo, la bomba de reserva se enciende cuando falla la bomba de

servicio, así el tanque no se secará. Por lo que el único costo asociado con esta
falla es:
El costo de reemplazar los rodamientos.
Asumir sin embargo que todavía es técnicamente factible verificar el

rodamiento por vibraciones una vez por semana. Si el nivel de vibración es
elevado, los operadores podrían accionar manualmente la bomba de reserva y
los rodamientos podrían ser reemplazados.
Asumir que estas bombas también se localizan en una despoblada estación de

bombeo y que ha sido de nuevamente coordinado que el chequeo – el cual
toma veinte minutos - debe ser efectuado por una persona de mantenimiento
a un costo de $8 por chequeo. Así una vez más, él hará aproximadamente 150
chequeos por falla. En otros palabras, el costo por falla del programa de
mantenimiento de proactivo es:
150 x $8 = $1 200 más el costo de reemplazar los rodamientos.

En este ejemplo, el costo de hacer las tareas programadas es ahora mucho
mayor que el costo de no hacerlas. Como resultado, no merece la pena ejecutar
las tareas proactivas aún cuando la bomba es técnicamente idéntica a la
bomba descrita en Figura N° 3. Esto sugiere que sólo merece la pena prevenir
una falla la cual no tiene consecuencias operacionales si, durante un período
de tiempo, el costo de las tareas preventivas es menor que el costo de corregir
la falla. Si no lo es, el mantenimiento programado no es necesario.
Si una tarea proactiva no es necesaria, entonces en raros casos podría
justificarse una modificación por las mismas razones que se aplican a fallas
con consecuencias operacionales.
Para los modos de falla con consecuencias no operacionales, una tarea

proactiva es necesaria si para un período de tiempo, cuesta menos
que el costo de reparar las fallas, esto significa prevenir
7.1. Puntos adicionales concernientes a consecuencias no - operacionales
Dos puntos adicionales necesitan considerarse al revisar los fallas con

consecuencias no consecuencias operacionales, como sigue:
Daño secundario: Algunos modos de falla causan un considerable

daño secundario si ellos no son anticipados o prevenidos,
incrementando así el costo de la reparación. Una tarea proactiva
apropiada podría hacer posible prevenir o anticiparse a la falla y
evitar estos daños. Sin embargo, tal tarea sólo se justifica si el costo
de hacerla es menor que el costo de reparar la falla y el daño
secundario.
Por ejemplo, en la Figura 6.7 la descripción de los efectos de falla sugiere

que el atascamiento de los rodamientos no causa daño secundario. Si
esto es así, entonces el análisis efectuado es válido. Sin embargo, si la
falla inadvertida del rodamiento también causó que el árbol se cizallara,
entonces una tarea proactiva que detecte la falla inminente del
rodamiento podría permitir a los operadores paralizar la bomba antes
que el árbol se dañe. En este caso el costo de la falla imprevista de los
rodamientos es:
El costo de reemplazar los rodamientos y el árbol.

Por otro lado, el costo de la tarea proactiva (por falla del rodamiento) es
aún:
$1 200 más el costo de reemplazar los rodamientos.

Claramente, la tarea proactiva merece la pena llevarse a cabo si el costo
de reemplazar el árbol es mayor de $1 200. Si cuesta menos de $1 200,
entonces esta tarea todavía no debe realizarse.
Funciones protegidas: Sólo es válido decir que una falla no tendrá

consecuencias operacionales se dispone de un componente de
reserva o redundante, es razonable asumir que el dispositivo
protector funcionará cuando la falla ocurra. Por supuesto esto
significa que debe aplicarse un adecuado programa de
mantenimiento al dispositivo protector (la bomba de reserva en el
ejemplo dado).
Si las consecuencias de la falla múltiple de un sistema protegido son

particularmente serias, puede merecer la pena prevenir la falla del
dispositivo protegido así como del dispositivo protector con objeto de
reducir la probabilidad de una falla múltiple a un nivel tolerable. (Como
se explicó anteriormente, si la falla múltiple tiene consecuencias de
seguridad, puede ser sabio evaluar las consecuencias como si la
protección no estuviera en absoluto presente y entonces revalidar la
protección como la parte del proceso de selección de tareas).
8. CONSECUENCIAS DE FALLAS OCULTAS
8.1. Fallas ocultas y dispositivos de protección
Anteriormente se mencionó que el incremento del número de

posibilidades que un equipo pueda fallar ha generado el
correspondiente crecimiento de la variedad y severidad de las
consecuencias de fallas que caen en la categoría de evidentes. Por ello se
está incrementando el uso de dispositivos protectores en el esfuerzo de
eliminar (o al menos reducir) estas consecuencias. Estos dispositivos
trabajan en una las siguientes cinco categorías:
Alertar a los operadores de condiciones anormales.

Paralizar el equipo ante la eventualidad de una falla.
Eliminar o también darle la importancia debida a condiciones
anormales que generen una falla o que podrían de algún modo
generar serios daños.
Encargarse de una función que halla fallado.
Prevenir situaciones peligrosas que pudieran surgir.
En esencia, la función de estos dispositivos es asegurar que las

consecuencias de falla de la función protegida sean mucho menos seria
de lo que podrían ser si no estuvieran protegidas. Así, todo dispositivo
protector es parte de un sistema de por lo menos dos componentes:
El dispositivo protector.
La función protegida.

Por ejemplo, la bomba “C” en la figura 6.7 puede ser considerada como
un dispositivo protector, ya que este “protege” la función de bombeo si
la bomba “B” falla. La bomba “B” es por supuesto la función protegida.
La existencia de tal sistema crea dos juegos de posibilidades de falla,

dependiendo de si el dispositivo protector es de falla evidente o no. Se
consideran las implicancias de cada juego en los siguientes párrafos,
empezando con los dispositivos que son de falla evidente.
Dispositivo Protector de Falla Evidente

En este contexto, falla evidente significa que la falla del dispositivo por
si misma viene a ser evidente a los operadores bajo condiciones
normales.
En este contexto, “Falla evidente” significa que la falla del dispositivo

por si misma viene a ser evidente al personal de operaciones bajo
condiciones normales.
Esto significa que en un sistema que incluye un dispositivo protector de

falla evidente, hay tres posibilidades de falla en cualquier período, como
sigue:
La primera posibilidad es que ningún dispositivo falle.- En este caso

todo procede normalmente.
La segunda posibilidad es que la función protegida falle antes que el

dispositivo protector.- En este caso el dispositivo protector se sale de lo
que se entiende su función y, dependiendo de la naturaleza de la
protección, las consecuencias, de la falla de la función protegida serán
reducidas o eliminadas.
La tercera posibilidad es que el dispositivo protector falle antes que la

función protegida.- Esto podría ser una causa evidente, porque si no lo
fuera, el dispositivo no sería de falla evidente como se definió
anteriormente. Una buena acción permitiría la oportunidad de eliminar
el dispositivo protector fallado, mientras el dispositivo protegido está
fallando, ya sea paralizando la función protegida o proporcionando una
protección alternativa mientras el dispositivo protector fallado está
rectificándose.
Por ejemplo, un operador podría ser interrogado por mantenerse

mirando el manómetro y su dedo en el botón de parada, mientras el
presostato está siendo reemplazado.
Esto significa que las consecuencias de la falla de un dispositivo

protector de falla evidente usualmente cae en la categoría “operacional”
o en la “no - operacional”.
Esta sucesión de eventos se resume en Figura N° 9.

2: La función protegida es paralizada o se provee otra
protección, mientras el dispositivo protector está
Tiempo reparándose. Esto reduce la probabilidad de una falla
múltiple a casi cero.
Función La función
Protegida protegida 4: Si la función protegida falla
se asegura aquí,
mientras el el dispositivo protector actúa para
Dispositi dispositivo reducir o eliminar consecuencias.
vo
Protector 1: La falla de un protector esta 3: Dispositivo protector
“dispositivo de bajo recuperado: de la situación
falla evidente” es reparación anterior a la normal.
inmediatamente
evidente.
Figura 9: Falla de un dispositivo protector de falla evidente.
8.2. Dispositivos protectores que no son de falla evidente
En un sistema que contiene un dispositivo protector que no es de falla

evidente, este dispositivo protector es incapaz de cumplir su función
entendida anteriormente ya que no es evidente bajo circunstancias
normales. Esto crea cuatro posibilidades de falla en cualquier período
dado, dos de las cuales son las mismas que las consideradas en
dispositivos de falla evidente. La primera es donde ningún dispositivo
falla caso en el que todo procede normalmente como antes.
La segunda posibilidad es que la función protegida falle en un momento

cuando el dispositivo protector está todavía funcionando. En este caso el
dispositivo protector también ejecuta lo que se entendió como su
función, así las consecuencias de la falla de la función protegida serán
reducidas o totalmente eliminadas.
Por ejemplo, considere una válvula de alivio de la presión (dispositivo

protector) está montado en un recipiente a presión (función protegida).
Si la presión sobrepasa el límite tolerable, la válvula se acciona y reduce
o elimina las consecuencias de una sobrepresión. Semejantemente, si la
Bomba “B” en la Figura N° 7 falla, la Bomba “C” se encargará de
bombear.
La tercera posibilidad es que el dispositivo protector falle mientras la
función protegida está todavía trabajando. En este caso, la falla no tiene
ninguna consecuencia directa. De hecho nadie sabe aún que el
dispositivo protector está en un estado fallido.
Por ejemplo, si la válvula de alivio de la presión se atascara, nadie sería

consciente del hecho que tan alta presión se manejo dentro de los límites
de operación normal. Similarmente, si la bomba “C” falló de algún

manera mientras la bomba “B” estaba trabajando, nadie sería consciente
del hecho a menos que o hasta que la bomba “B” también falle.
Lo discutido anteriormente sugiere que las funciones ocultas pueden

identificarse realizando la siguiente interrogante:
¿Sería la pérdida de función causada por este modo de falla,

por sí misma, evidente a los operadores bajo condiciones normales?
Si la respuesta a esta pregunta es no, el modo de falla está oculto. Si la

respuesta es sí, este es evidente. Note que en este contexto, “por sí
misma” significa que nada ha fallado aún. También note que asumimos
que a estas alturas del análisis ningún esfuerzo se ha hecho por chequear
si la función oculta está todavía trabajando. Esta es la razón por la que
tales chequeos son una forma de mantenimiento programado y el
propósito principal del análisis es averiguar si tal mantenimiento es
necesario.
La cuarta posibilidad durante cualquier ciclo es que el dispositivo

protector falle y luego la función protegida falla mientras el dispositivo
protector está en un estado fallido. Esta situación es conocida como falla
múltiple. (Ésta es una posibilidad real simplemente porque la falla del
dispositivo protector no es evidente y así nadie sería consciente de la
necesidad de tomar una acción correctiva o alternativa para evitar la
falla múltiple).
Una falla múltiple sólo ocurre si una función protegida falla mientras
el dispositivo protector está en un estado fallido
Tiempo 2: Ninguna acción se tomo para paralizar la

función protegida o para proveer otra protección
Función La Función protegida

Protegida opera sin protección 3: Si la función
a causa que nadie Protegida falla aquí
Dispositivo sabe que el el resultado será
Protector 1: La falla de un dispositivo una falla múltiple
dispositivo de falla protector a fallado
No - evidente, no es
evidente al operador
Figura N° 10: Falla de un dispositivo protector mientras la falla esta oculta.

La secuencia de eventos que describen una falla múltiple se resumen en
la Figura N° 10.
En el caso de la válvula de alivio, si la presión en el recipiente sube
excesivamente mientras la válvula está atascada, el vaso probablemente
explotará (a menos que alguien actúe muy rápidamente o a menos que
haya otra protección en el sistema). Si la bomba “B” falla, mientras la
bomba”C” está en un estado fallido, el resultado será una pérdida total
de la capacidad de bombeo.
Dado que la prevención de la falla es lo principal para evitar las

consecuencias de las fallas, este ejemplo también sugiere que cuando se
desarrolla un programa de mantenimiento para funciones ocultas, el
objetivo realmente es prevenir - o por lo menos reducir la probabilidad
de - la falla múltiple asociada.
El objetivo de un programa de mantenimiento para una función

oculta es prevenir - o por lo menos reducir la probabilidad de – la
falla múltiple asociada.
La determinación con la que se intente prevenir la falla oculta depende

de las consecuencias de la falla múltiple.
Por ejemplo, las bombas “B” y “C” podrían estar bombeando agua
refrigerante a un reactor nuclear. En el caso, que el reactor no pudiera
paralizarse lo suficientemente rápido, las últimas consecuencias de la
falla múltiple podrían ser una fusión nuclear, con catastróficas
consecuencias en seguridad, medioambientales y operacionales.
Por otro lado, las dos bombas podrían estar bombeando agua hacia un
tanque que tiene suficiente capacidad para suministrar un flujo continuo
aguas abajo por dos horas. En este caso, la consecuencia de falla múltiple
sería una parada de la producción después de dos horas, en el caso que
ninguna de las bombas pudiera repararse antes que el tanque se quede
seco. Más allá, el análisis podría sugerir que en el peor de los casos, esta
falla múltiple pudiera costar a la organización (por decir) $2 000 en la
producción perdida.
En el primero de estos ejemplos, las consecuencias de la falla múltiple

son por cierto muy serias, así que caminaríamos grandes distancias para
preservar la integridad de las funciones ocultas. En el segundo caso, las
consecuencias de la falla múltiple son puramente económicas y su costo
podría influenciar la determinación con la que intentaríamos prevenir
las fallas ocultas.
Ejemplos adicionales de fallas ocultas y fallas múltiples que podrían

permanecer sin ser detectadas son:

Interruptores de vibración: un interruptor de vibración diseñado
para paralizar un gran ventilador podría configurarse de tal manera
que su falla esté oculta.
Sin embargo, esto solamente tiene importancia si la vibración del
ventilador sobrepasa el límite tolerable (falla secundaria), causando
que los rodamientos o el mismo ventilador se desintegren (las
consecuencias de una falla múltiple).
Interruptores de último nivel: los interruptores de último nivel se

diseñan para activar una alarma o paralizar el equipo si un
interruptor de nivel primario falla al operar. En otras palabras, si un
interruptor de último nivel se atasca, no habría consecuencias a
menos que el interruptor primario también falle (falla secundaria),
caso en el cuál el recipiente o tanque podría secarse (consecuencias
de una falla múltiple).
Mangueras contra el fuego: la falla de una manguera contra el
fuego no tiene una consecuencia directa. Sólo toma importancia
cuando hay fuego (una falla secundaria), en tal caso si la manguera
está fallada puede resultar que el lugar se incendie y que las
personas mueran (las consecuencias de una falla múltiple).
Otras funciones ocultas típicas incluyen equipo médico de emergencia,

más tipos de detección del fuego, equipamiento para prevenir y advertir
explosiones, botones de parada de emergencia y conexiones alambradas,
estructuras secundarias de contención, interruptor de temperatura y
presión, dispositivo protector de carga excesiva o sobre velocidad, la
planta de reserva (en stand by), los componentes estructurales
redundantes, circuito de aislamiento por sobre corriente, fusible y
sistemas de suministro de potencia de emergencia.
8.3. La disponibilidad requerida de las funciones ocultas
Hasta ahora, se ha definido la falla oculta y se ha descrito la relación

entre dispositivo protector y función oculta. La próxima cuestión
implica una mirada más íntima al comportamiento que requerimos de
las funciones ocultas.
Una de las más importantes y prolongadas conclusiones hasta hoy es

que la consecuencia directa de una falla oculta se acrecienta ante el
riesgo de una falla múltiple. Como esto es lo último que se desearía
conseguir, un elemento clave del comportamiento de una función oculta
es la posibilidad de estar conectado con la falla múltiple asociada.
Hemos visto que donde un sistema es protegido por un dispositivo que

no es de falla evidente, una falla múltiple sólo ocurre si el dispositivo
protegido falla mientras el dispositivo protector está en un estado
fallido, como está ilustrado en la Figura N° 10.

Así, la probabilidad de una falla múltiple en cualquier período debe
estar dado por la probabilidad que la función protegida fallará mientras
el dispositivo protector está en un estado fallido durante el mismo
período. Figure N° 11 muestra que esto puede calcularse como sigue:
La probabilidad de = La probabilidad de falla x La indisponibilidad

media una falla múltiple de la función protegida del dispositivo
protector
La probabilidad tolerable de una falla múltiple es determinada por los

usuarios del sistema. La probabilidad de falla de una función protegida
normalmente es un dato. Así, si estas dos variables son conocidas, la
indisponibilidad permitida, del dispositivo protector puede expresarse
como sigue:
La indisponibilidad permitida = La Probabilidad de un falla múltiple

del dispositivo protector La Probabilidad de falla de una
función protegida
Así, un elemento crucial del comportamiento requerido de función

oculta es la disponibilidad requerida para reducir la probabilidad de la
falla múltiple asociada a un nivel tolerable.
Lo discutido sugiere que la disponibilidad es determinada en las
siguientes tres etapas:
Primero establecer ¿qué probabilidad?, la organización está

preparada a tolerar para una falla múltiple.
Luego determinar la probabilidad que la función protegida fallará

en el período bajo consideración (esto es también conocido como la
razón de demanda).
Finalmente, determinar ¿qué disponibilidad? deba alcanzar la

función oculta para reducir la probabilidad de una falla múltiple a
un nivel requerido.
Cuando se calculan los riesgos asociados con los sistemas protegidos,

hay a veces una tendencia a considerar la probabilidad de falla de los
dispositivos protegido y protector como fijo. Esto lleva a la creencia que
la única manera de cambiar la probabilidad de una falla múltiple es
cambiando el hardware (en otras palabras, modificar el sistema), quizás
adicionando más protección o reemplazando componentes existentes
con otros más confiables.
De hecho, esta creencia es incorrecta, porque es usualmente posible

variar ambos, la probabilidad de falla de la función protegida y (sobre
todo) la indisponibilidad del dispositivo protector adoptando un
mantenimiento y políticas operativas convenientes. Como resultado, es
también posible reducir la probabilidad de una falla múltiple a casi

cualquiera nivel deseado dentro de lo razonable por la adopción de tales
políticas. (El cero es por supuesto claro un ideal inalcanzable).
CALCULANDO LA PROBABILIDAD DE UN FRACASO MÚLTIPLE
La probabilidad que una función protegida falle en cualquier período es

el inverso de su tiempo promedio entre fallas (MTBF), como se ilustra
abajo. Figura N° 11a:
Si el MTBF de la función protegida es de 4 años y el periodo de

medición (monitoreo) es de un año, entonces la probabilidad
que la función protegida falle en este periodo es de 1 en 4.
Función
Protegid Fallas
a
Dispositi
vo
Protector Fallas
Periodo de medición
Figura N° 11 a: La Probabilidad y las funciones protegidas
La probabilidad que el dispositivo protector este en un estado fallido en

cualquier momento está dado por el porcentaje de tiempo en el cual se
encuentra en un estado fallido. Por supuesto medida su indisponibilidad
(también conocido como tiempo fuera de servicio “downtime” o el
tiempo muerto fraccionario “fractional dead time”), como se muestra
debajo en la Figura N° 11 b:
Periodo de medición
Función
Protegida Falla
Dispositiv
o
Protector Fallido
Si la indisponibilidad media del dispositivo
protector es 33%, entonces la probabilidad que
este en estado fallido en cualquier instante es 1
en 3.
Figura N° 11 b: La Probabilidad y los dispositivos protectores
La probabilidad de una falla múltiple es calculada multiplicando la

probabilidad de la falla de la función protegida por la indisponibilidad
media del dispositivo protector. Para el caso descrito arriba en las Figura

N° 11 (a) y (b), la probabilidad de una falla múltiple sería como se indica
en la Figura N° 11 (c), debajo:
Un año
Función Probabilidad de falla en cualquier año = 1 en 4 Fallas
Protegida
Indisponibilidad 33%
Dispositiv Disponibilidad 67%
o
Protector Fallido
La probabilidad de una falla múltiple
en un año:
1 en 4 x 1 en 3 = 1 en 12
Figura N° 11 c: La Probabilidad de una falla múltiple
Por ejemplo, las consecuencias que ambas bombas (en la Figura N° 7)

estén en un estado fallido pueden ser tales que los usuarios se preparen
para tolerar una probabilidad de falla múltiple de menos que 1 en 1 000
en cualquier año (o 10-3). Asumir que también ha sido estimado, que si la
bomba de servicio tiene un apropiado mantenimiento, su MTBF puede
incrementarse a diez años, lo cual corresponde a una probabilidad de
falla en cualquier año, de uno en diez o 10-1.
Así que para reducir la probabilidad de falla múltiple a menos de 10-3,

no debe permitirse que la indisponibilidad de la bomba de reserva se
exceda de 10-2 o 1%. En otras palabras debe mantenerse de tal manera
que su disponibilidad excede 99%. Esto se ilustra en la Figura N° 12,
debajo:
Un año
Función Probabilidad de falla en cualquier año = 1 en 10 Fallas
Protegida
Dispositiv Disponibilidad 99% Indisponibilidad 1%

o
Protector
La probabilidad de una falla múltiple en

cualquier ahora año es:
1 en 10 x 1 en 100 = 1 en 1000
Figura N° 12: Disponibilidad deseada de un dispositivo protector
En la práctica, la probabilidad considerada tolerable para cualquier falla

múltiple depende de sus consecuencias. En la inmensa mayoría de casos
la valoración tiene que ser hecha por los usuarios del recurso. Estas
consecuencias varían grandemente de sistema a sistema y lo que se

juzga tolerable varía ampliamente también. Para ilustrar este punto, la
Figura N° 13 sugiere cuatro posibles valoraciones para cuatro sistemas
diferentes:
Falla de la Estado fallido del Falla Razón Tolerable

Función Dispositivo Múltiple de una
Protegida Protector Falla Múltiple
El procesador de textos Problemas ortográficos
Error ortográfico no está disponible para no detectados ¿ 10 por mes?
en detectar errores
un memo o e -
mail
Motor 10 Kw Gatillo del interruptor El motor se quemó: ¿1 en 50 años?

bomba “B”, atascado y cerrado $ 500 el rebobinado
sobrecargado
Pérdida total de la
Bomba de Bomba de reserva C capacidad de bombeo:
servicio B fallada $10 000 en pérdida de ¿1 en 1000 años?
falla producción
Caldero Válvula de alivio Caldero explota: ¿1 en 10 000 000 de

sobrepresurizado atascada Mueren 10 personas años?
Figura N° 13: Razón de la falla múltiple
Como antes, estos niveles de tolerabilidad no son una receta y

necesariamente no reflejan el punto de vista del autor. Ellos son el
resultado de demostrar que en cualquier sistema protegido, alguien
debe evaluar lo que es tolerable antes de decidir el nivel de protección
que se necesita, esta valoración diferirá para sistemas diferentes.
La Parte 3 de esta unidad sugiere que si la falla múltiple pudiera afectar

la seguridad, "alguien" debe convocar a una reunión de diálogo que
incluya a representantes de las probables víctimas junto con sus
gerentes. Esto es bien cierto para fallas múltiples que tienen
consecuencias económicas.
Por ejemplo, en el caso del error ortográfico, la probable "víctima" es el

autor de la correspondencia. En muchas organizaciones, la consecuencia
es probablemente pasar una ligera vergüenza (si alguien notifica el
error). En el caso del motor eléctrico, la persona que probablemente será
responsabilizada (en otros términos, la "víctima" probable) o es el
gerente responsable del presupuesto de mantenimiento o el gerente de
mantenimiento en persona. En el caso de pérdida de la capacidad de
bombeo, las grandes sumas involucradas implican que los niveles
superiores de dirección de la empresa deben ser involucrados al
establecer el criterio tolerabilidad.

De la figura N° 13 también se entiende que las probabilidades que
cualquier organización podría prepararse a tolerar respecto a fallas con
consecuencias económicas tienden a disminuir con el incremento de la
magnitud de las consecuencias.
Esto sugiere que para cualquier organización debería ser posible
desarrollar un programa de riesgos económicos “estándar” tolerables
que podría en su momento ayudar a desarrollar programas de
mantenimiento diseñados para liberarnos de estos riesgos. Esto podría
tomar la forma que se muestra en la Figura N° 14.
10-1
10-2
cualquier evento en cualquier año
Intolerable
Probabilidad que toleramos de
10-3
10-4 Tolerable
10-5
10-6
Trivial Sobre $ 1 000 $10 000 $100 000 $1 $10 millo-
(sin costo) $ 100 millón nes y más
Costo de cualquier evento
Figure N° 14: Tolerabilidad de riesgos económicos.
Notar que estos niveles de tolerabilidad no son una receta y no

significan algún tipo de propuesta de estándares universales. Los riesgos
económicos que una organización está preparada a tolerar son
literalmente el negocio de esa organización.
Las Figuras que N° 2 y N° 14 advierten que podría ser posible producir

un programa de riesgos que combinen riesgos de seguridad y riesgos
económicos en uno solo.
En algunos casos, puede ser innecesario – por cierto a veces imposible -

realizar un riguroso análisis cuantitativo de la probabilidad de fallas
múltiples de la manera descrita anteriormente. En tales casos, puede ser
suficiente hacer una valoración de la disponibilidad requerida del
dispositivo protector basándose en una valoración cualitativa de la
confiabilidad de la función protegida y las posibles consecuencias de
una falla múltiple. Sin embargo, si la falla múltiple es particularmente
seria, entonces debe realizarse un riguroso análisis.

Lo siguiente los párrafos consideran en más detalle cómo es posible
influenciar:
La razón con las que fallan las funciones protegidas.

La disponibilidad de dispositivos protegidos.
8.4. El mantenimiento rutinario y las funciones ocultas
En un sistema que incorpora un dispositivo protector de falla no

evidente, la probabilidad de una falla múltiple puede ser reducida como
sigue:
Reducir la razón de falla de la función protegida:
Haciendo alguna clase de mantenimiento proactivo.

Cambiando la forma en que la función protegida es operada.
Cambiando el diseño de la función protegida.
Aumentando la disponibilidad del dispositivo protector:
Haciendo alguna clase de mantenimiento del proactivo.

Verificando periódicamente si el dispositivo protector ha fallado.
Modificando el dispositivo protector.
Prevenir la falla de la función protegida .-Hemos visto que la

probabilidad de una falla múltiple esta parcialmente basada en la razón
de falla de la función protegida. Esto podría reducirse aprovechando el
mantenimiento o la operación del dispositivo protegido o incluso (como
un última instancia) cambiando su diseño.
Específicamente, si las fallas de una función protegida se pueden
anticipar o prevenir, el tiempo promedio entre (imprevistas) fallas de
esta función podría incrementarse. Esto reduciría la probabilidad de una
falla múltiple.
Por ejemplo, una manera de prevenir la falla simultánea de las Bombas

“B” y “C” es intentar prevenir las fallas imprevistas de la Bomba “B”.
Reduciendo el número de estas fallas, podría incrementarse el MTBF de
la Bomba “B” y así la probabilidad de una falla múltiple se reduciría
correspondientemente, como se muestra en la Figura 6.12.
Sin embargo, tener presente que la razón para la instalación de un

dispositivo protector es que la función protegida es vulnerable a las
fallas imprevistas con serias consecuencias.
Secundariamente, si no se toma ninguna acción para prevenir la falla del
dispositivo protector, sería inevitablemente fallar en alguna etapa y
dejar de proporcionar cualquier protección. Después de este punto, la

probabilidad de la falla múltiple es igual a la probabilidad que la
función protegida falle sola.
Esta situación debe ser intolerable o no se hubiera instalado un

dispositivo protector para empezar. Esto sugiere que se debe intentar
encontrar una manera práctica de prevenir las fallas de los dispositivos
protectores que son de falla no evidente.
Prevenir las fallas ocultas .-Para prevenir una falla múltiple, se debe
asegurar que la función oculta no este en un estado fallido si y cuando la
función protegida falla. Si se encontró una tarea proactiva lo
suficientemente buena para asegurar un 100% de disponibilidad del
dispositivo protector, entonces una falla múltiple es teóricamente casi
imposible.
Por ejemplo, si se pudiera encontrar una tarea proactiva que asegure un

100% de disponibilidad de la bomba “C” mientras está en estado de
reserva, entonces se puede asegurar que “C” puede encargarse del
trabajo si “B” falló.
(En este caso una falla múltiple es sólo posible si los usuarios operan la
Bomba “C” mientras “B” está siendo reparada o reemplazada. Sin
embargo, aún cuando el riesgo de la falla múltiple es bajo, ya que “B”
debe ser reparado rápidamente y así la cantidad de tiempo que la
organización está en riesgo es bastante corta. Si la organización está
preparada o no lo está, para tomar el riesgo de hacer funcionar la Bomba
“C” mientras “B” no lo está depende de las consecuencias de la falla
múltiple y de si es posible disponer de otras formas de protección).
En la práctica, es muy improbable que cualquier tarea proactiva cause en
cualquier función, oculta o de otro tipo, el alcanzar una disponibilidad
de 100% indefinidamente. Lo que debe hacer, sin embargo, es entregar la
disponibilidad necesaria para reducir la probabilidad de la falla múltiple
a un nivel tolerable.
Por ejemplo, asumir que se encuentra una tarea proactiva que permite a
la bomba “C” alcanzar un nivel de disponibilidad de 99%. Si el MTBF de
la Bomba “B” es 10 años, entonces la probabilidad de una falla múltiple
podría ser 10-3 (1 en 1 000) en cualquier año, como se discutió antes.
Si pudiera incrementar la disponibilidad de la Bomba “C” a 99,9% la

probabilidad de la falla múltiple se reduciría a 10-4 (1 en 10 000) y así
sucesivamente.

Así para una falla oculta, una tarea proactiva merece la pena ponerse en
práctica si asegura la disponibilidad necesaria para reducir la
probabilidad de falla múltiple a un nivel tolerable.
Para fallas ocultas; una tarea proactiva merece la pena hacerse si

asegura la disponibilidad necesaria para reducir la probabilidad de
una falla múltiple a un nivel tolerable.
A menudo es imposible encontrar una tarea del proactiva que asegure la

disponibilidad requerida. Esto se aplica especialmente al tipo de equipo
que padece de fallas ocultas. Así, si no se puede encontrar una manera
de prevenir una falla oculta, se debe encontrar alguna otra manera de
mejorar la disponibilidad de la función oculta.
Detectar la falla oculta .-Si no es posible encontrar una forma

conveniente de prevención de fallas ocultas, todavía es posible reducir el
riesgo de una falla múltiple chequeando las funciones ocultas
periódicamente para averiguar si están todavía funcionando. Si este
chequeo (llamado "encontrando fallas") se lleva a cabo en los intervalos
convenientes y si la función es rectificada tan pronto como se encuentra
el defecto; todavía es posible asegurar un alto nivel de disponibilidad.
Modificar el equipo.- En un número muy pequeño de casos, hay dos

posibilidades, es imposible encontrar algún tipo de tarea rutinaria que
asegure el nivel deseado de disponibilidad o no es práctico hacerlo en la
frecuencia requerida. Sin embargo, algunas cosas pueden hacerse para
reducir el riesgo de una falla múltiple a un nivel tolerable, en estos
casos, es normalmente necesario regresar a la "tabla de dibujo y revisar
el diseño.
Si la falla múltiple afectara a la seguridad o el medioambiente, el

rediseño es obligatorio. Si la falla múltiple sólo tiene las consecuencias
económicas, la necesidad para rediseñar se evalúa en el campo
económico.
8.4.1. Las funciones ocultas: el proceso de decisión
Todos los puntos tratados hasta ahora sobre el desarrollo de una

estrategia de mantenimiento para funciones ocultas pueden
resumirse como se muestra en la Figura N° 15:

¿La pérdida de función causada por este modo de
falla por si misma llega a ser evidente al equipo
operacional bajo circunstancias normales?
SI
NO
El mantenimiento proactivo merece hacerse La falla es

si asegura la disponibilidad necesaria para evidente. Ver
reducir la probabilidad de una falla múltiple partes 3 a la 5
a un nivel tolerable. de esta unidad.
Si no se puede encontrar una tarea proactiva adecuada, verificar

periodicamente si las funciones ocultas estan trabajando (hacer un
programa de tareas "encontrando - falla")
Si no se puede encontrar una adecuada tarea "encontrando - fallas":
- El rediseño es obligatorio si la falla múltiple pudiera afectar la

seguridad o el medio ambiente.
- Si la falla múltiple no afecta la seguridad o el medio ambiente,

entonces el rediseño debe ser justificado en términos económicos.

mantenimiento para una falla oculta.
8.5. Puntos adicionales acerca de funciones ocultas
Seis puntos necesitan un especial cuidado cuando se hace la primera

pregunta en la Figura 6.15. Ellos son los siguientes:
La distinción entre las fallas funcionales y los modos de falla.

La pregunta del tiempo.
Las funciones primarias y secundarias de los dispositivos
protectores.
¿Qué significa exactamente "equipo operacional"?
¿Qué son "circunstancias normales”?
¿Qué son "dispositivos de falla evidente”?

Estos aspectos son todos discutidos con más detalle en los siguientes
párrafos.
Fallas funcionales y modos de fallas

En esta fase del proceso de RCM, cada modo de falla, que sea lo bastante
probable cause cada falla funcional, será identificada en la Hoja
Información del RCM. Esto tiene dos implicancias importantes:
Primeramente, no se está preguntando qué falla pudiera ocurrir.

Todos están intentando establecer si cada modo de falla que ya ha
sido identificado como una posibilidad podría ser oculta o evidente
si ocurriera.
Secundariamente, no se está preguntando si el equipo operacional

puede diagnosticar el modo de falla por sí mismo. Se está
preguntando si la pérdida de función causada por el modo de falla
será evidente bajo circunstancias normales. (En otras palabras, se
está preguntando si el modo de falla tiene algún efecto o síntoma
bajo circunstancias normales, podría el observador pensar que el
elemento no es de suficiente capacidad para cumplir con su función
entendida - o por lo menos, que alguna cosa se salió del contexto de
lo que ordinariamente tenía que ocurrir).
Por ejemplo, considere un vehículo motorizado que padece del bloqueo

de la línea de combustible. El conductor promedio (en otras palabras, el
"operador" promedio) no sería capaz de diagnosticar este modo de falla
sin la ayuda de un especialista, así podría dar la tentación de llamar a
esto una falla oculta. Sin embargo, la pérdida de la función causada por
este modo de falla es evidente, porque el funcionamiento del automóvil
se detuvo.
La pregunta del tiempo

A menudo existe la tentación de describir una falla como "oculta" si
transcurre un considerable período de tiempo entre el momento en que
ocurre la falla y el momento en que se descubre. De hecho, éste no es el
caso. Si la pérdida de función eventualmente llega a ser obvia a los
operadores, como resultado directo e inevitable de esta falla, entonces la
falla es tratada como evidente, no importa cuánto tiempo transcurre
entre la falla en cuestión y su descubrimiento.
Por ejemplo, un tanque llenado al tope por la Bomba “A” en la Figura

6.4 puede tomar semanas en vaciarse, por lo tanto la falla de esta bomba
podría no ser obvia en cuanto ocurra. Esto puede tentar el describir la
falla como oculta. Sin embargo, esta no es la causa para que el tanque se
seque como consecuencia directa e inevitable de la falla de la Bomba
“A”. Por consiguiente el hecho que la Bomba “A” este en estado fallido
inevitablemente llegará a ser evidente al equipo operacional.

Recíprocamente, la falla de la Bomba “C” en Figura 6.7 sólo será
evidente si la Bomba “B” falló (a menos que alguien inspeccione cada
cierto tiempo a la Bomba “C”). Si la bomba B fue operado y mantenido
de tal forma que nunca fue necesario encender la Bomba “C”, es posible
que la falla de la Bomba “C” nunca sea descubierta.
Este ejemplo demuestra que el tiempo no es un problema al considerar

las fallas ocultas. La interrogante simplemente es, si todos
eventualmente serán conscientes que la falla ha ocurrido y no si ellos
serán conscientes cuando ocurre.
Las funciones primarias y secundarias

De lejos se ha enfocado la función primaria de los dispositivos
protectores, que no es otra cosa que la capacidad de completar la
función para la cual han sido diseñados cuando sean llamados a hacerlo.
Se ha visto, que esto es usual después que la función protegida ha
fallado. Sin embargo, una función secundaria importante de muchos de
estos dispositivos es que ellos no deben trabajar cuando nada está
dañado.
Por ejemplo, la función primaria de un interruptor de presión podría
listarse como sigue:
Ser capaz de transmitir una señal cuando la presión cae por debajo
de 250 psi.
La función secundaria implícita de este interruptor es:
Ser incapaz de transmitir una señal cuando la presión está por

encima de 250 psi.
La falla de la primera función está oculta, pero la falla de la segunda es

evidente, porque si ocurre, el interruptor transmite una falsa señal de
paralización y la máquina para. Si en la práctica es probable que esto
ocurra, debe listarse como un modo de falla de la función que se
interrumpe (normalmente la función primaria de la máquina). Como
resultado, normalmente no hay ninguna necesidad de listar
separadamente la segunda función implícita, pero el modo de falla se
puede listar bajo la función pertinente si es bastante probable que
ocurra.
El equipo operacional
Al preguntar si una falla es evidente, el término “equipo operacional” se
refiere a alguien quien tiene la ocasión de observar el equipo o que lo
está haciendo en algún momento en el curso de sus actividades diarias
normales y con quién puede contarse informará que el equipo ha
fallado.
Las fallas pueden ser observadas por personas con puntos de vista muy
diferentes.

Ellos incluyen a operadores, conductores, inspectores de calidad,
artesanos, supervisores, e incluso los arrendatarios de edificios. Sin
embargo, si cualquiera de estas personas puede considerarse que
detectará e informará una falla, depende de cuatro elementos críticos:
El observador debe estar en la condición de detectar acertadamente

el modo de falla o de detectar la pérdida de función causada por el
modo de falla. Esta puede ser una localización física o accediendo al
equipo o a la información (incluso la información que maneja la
gerencia) que llame su atención haciendo ver que algo está
equivocado.
El observador debe poder reconocer las condiciones previas a una
falla.
El observador debe entender y aceptar que reportar fallas es parte
de su trabajo.
El observador debe tener acceso al procedimiento de reporte de
fallas.
Las circunstancias normales

Un análisis cuidadoso revela que a menudo muchos de los deberes
ejecutados actualmente por los operadores son tareas de mantenimiento.
Al considerar estas tareas es preferible empezar desde cero, ya que de lo
contrario las tareas o sus frecuencias necesitan ser revisadas
radicalmente. En otros términos, al preguntar si una falla será evidente
al equipo operacional bajo circunstancias “normales”, la palabra normal
tiene el siguiente significado:
Que nada está haciéndose para prevenir la falla. Si una tarea

proactiva está previniendo satisfactoriamente la falla, podría decirse
que la falla está oculta ya que no ocurre. Sin embargo anteriormente
se señaló que los modos de falla y sus efectos deben listarse y el
resto del proceso RCM aplicarse como si ninguna tarea proactiva se
estuviera haciendo, ya que uno de los propósitos principales del
ejercicio es revisar si se debe hacer alguna tarea en primer lugar.
Que ninguna tarea específica está haciéndose para detectar la falla.
Un número sorpresivo de tareas que ya forman parte de los deberes
normales de los operadores son las rutinas diseñadas para verificar
si las funciones ocultas están trabajando.
Por ejemplo, presionando un botón en el tablero de control, todos los

días, se verifica si todas las luces de las alarmas en el tablero están
trabajando, por supuesto esta es una tarea del tipo encontrando – fallas.
Las tareas encontrando – fallas son cubiertas por el proceso de selección

de tareas del RCM, así una vez más debería asumirse en esta fase del
análisis que esta tarea no está haciéndose (aunque la tarea es
verdaderamente parte de los deberes normales del operador). Esta es la

razón por la que el proceso RCM podría revelar una tarea más efectiva o
la necesidad hacer la misma tarea a una frecuencia superior o más baja.
(Punto aparte del asunto de las tareas de mantenimiento, hay a menudo

considerables dudas sobre lo que actualmente son los "deberes
normales" del equipo operacional. Esto ocurre muy a menudo donde los
procedimientos de operación estándar o están pobremente
documentados o no existen. En estos casos, el proceso de revisión del
RCM hace mucho al ayudar a clarificar cuales deberían ser estos deberes
y puede hacer mucho para sentar las bases de un completo juego de
procedimientos de operación. Esto se aplica especialmente a las plantas
de alta tecnología).
Dispositivos de falla evidente

A menudo sucede que un circuito protector es llamado de falla evidente,
cuando es no lo es. Esto normalmente ocurre cuando sólo una parte del
circuito es considerada en vez del circuito como un todo.
Un ejemplo relacionado a un interruptor de presión, esta vez conectado

a un rodamiento hidrostático. El interruptor fue el medio para paralizar
la máquina si la presión de aceite en el rodamiento cayera por debajo de
un cierto nivel. Surgió durante la discusión que si la señal eléctrica
desde el interruptor al panel de control fuera interrumpida, la máquina
podría paralizar, así la falla del interruptor fue juzgada como evidente.
Sin embargo, la extensa discusión reveló que un diafragma dentro del

interruptor podría deteriorarse con el tiempo, así el interruptor podría
ser incapaz de sensar los cambios en la presión. Esta falla estaba oculta y
el programa mantenimiento para el interruptor se desarrolló
acordemente.
Para evitar este problema, tenga cuidado de incluir sensores y

actuadores en el análisis de cualquier lazo de control, así como el propio
circuito eléctrico.

9. CONCLUSIÓN
¿Podría este modo de falla ¿Este modo de falla tiene

¿La perdida de función causada un efecto directo
SI causar una pérdida de función NO NO
por este modo de falla llega a adverso en la capacidad
o daño secundario que pueda
ser por si misma evidente al operacional
herir o matar a alguien o
equipo operacional bajo
incumplir alguna conocida
circunstancias normales? SI
norma medioambiental?
NO SI El mantenimiento El mantenimiento
proactivo merece proactivo merece
hacerse si sobre un hacerse si sobre un
periodo de tiempo sus periodo de tiempo sus
El mantenimiento proactivo El mantenimiento proactivo costos son menores que costos son menores que
merece hacerse si reduce la merece hacerse si reduce la el costo de las el costo de reparar la
probabilidad de una falla probabilidad de la falla a un consecuencias falla
múltiple a un nivel tolerable nivel tolerable operacionales más el
costo de reparar la falla
Si no .. Si no .. Si no .. Si no ..
Realizar una tarea

El rediseño puede ser No programar No programar
"encontrando fallas"
obligatorio mantenimiento mantenimiento
programada
El rediseño puede ser El rediseño puede ser El rediseño puede ser

obligatorio deseable deseable
Figura N° 16: La evaluación de las consecuencias de las fallas.
Esta unidad ha demostrado cómo el proceso RCM provee un comprensivo

marco estratégico para gerenciar fallas. Como se resume en la Figura 6.16, este
marco:
Clasifica todas las fallas en base a sus consecuencias. Separando las fallas
ocultas de las evidentes y luego ordenando las consecuencias de las fallas
evidentes en orden descendente a su importancia.
Proveer una base para decidir si el mantenimiento proactivo merece

hacerse en función del caso.
Sugerir que acciones deberían tomarse si no se puede encontrar una tarea

proactiva adecuada.

10. RESUMEN
Las acciones correctivas y preventivas motivadas por una falla tienen su

fundamento en que las consecuencias de las fallas son más importantes que
sus características técnicas. De aquí la idea de que el mantenimiento proactivo
no sólo debe prevenir los fallas sino también evitar o reducir sus
consecuencias.
Los equipos tienen funciones evidentes y son aquellas cuya falla llega a ser
inevitablemente evidente bajo circunstancias normales, pero también se tienen
funciones ocultas y estas se caracterizan por que sus fallas no son evidentes a
los ojos de os operadores en circunstancias normales. Como cuando la válvula
de alivio de un caldero pirotubular tiene su parte móvil pegada al asiento por
falta de un continuo accionamiento de mantenimiento.
En los modos de falla que tienen consecuencias en la seguridad o
medioambientales, una tarea proactiva merece la pena realizarce si logra
reducir la probabilidad de falla a un nivel tolerablemente bajo. Como las
tareas proactivas que se dan en los aviones, según las estadísticas viajar por
avión es más seguro que hacerlo por vía terrestre ya que la tasa de mortandad
es mucho menor.
Así mismo en esta unidad se sugiere que en los modos de falla con
consecuencias operacionales, merecen realizarce tareas proactivas si, durante
un período de tiempo, cuestan menos que el costo de las consecuencias
operacionales más el costo de reparar las fallas. Además de lo anterior se verá
la relación entre las funciones protegidas y los dispositivos protectores, así
como la probabilidad de una falla múltiple.

6 Análisis de Modos y Efectos de Falla (FMEA)

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

6 Análisis de Modos y Efectos de Falla (FMEA)

Uploaded by

Copyright:

Available Formats

UNIDAD VI

“CONSECUENCIAS DE LAS FALLAS”

1. ¿Cuáles son las funciones y las normas de actuación (rendimiento)

Se discutieron las respuestas a las primeras cuatro preguntas a lo largo de las

¿De qué manera ocurre cada falla?

Es importante conocer el contexto operativo en que se desarrolla una falla y

Definición de funciones ocultas y fallas evidentes.

Gestión del Mantenimiento Basado en la Confiabilidad 129

Si cualquiera de estas fallas no se previniera; el tiempo y esfuerzo que necesita

La naturaleza y severidad de estos efectos gobiernan la manera cómo la

El mantenimiento Proactivo tiene mucho más que hacer

Si esto se acepta, entonces es razonable pensar que cualquier tarea proactiva

130 Gestión del Mantenimiento Basado en la Confiabilidad

Si no es posible encontrar una tarea proactiva conveniente, la naturaleza de las

Para modos de falla que tienen consecuencias en la seguridad o

4. FUNCIONES OCULTAS Y EVIDENTES

Por ejemplo, algunas fallas causan que la luz de advertencia se encienda o

Gestión del Mantenimiento Basado en la Confiabilidad 131

Figura N° 1: Diferentes contextos de operación.

En otras palabras, la falla de la Bomba C por sí sola no tiene impacto directo a

La bomba C exhibe una de las características más importantes de una función

El primer paso en el proceso RCM separará las funciones ocultas de las

132 Gestión del Mantenimiento Basado en la Confiabilidad

4.1. Categorías de fallas evidentes

Las fallas evidentes son clasificadas, en tres categorías en orden

Consecuencias medioambientales y de seguridad.- Una falla tiene

Consecuencias operacionales.- Una falla tiene consecuencias

Consecuencias no operacionales.- Las fallas evidentes en esta

Ordenando las fallas evidentes, el RCM asegura que se consideren la

Este enfoque también significa que se evalúan las consecuencias

5. SEGURIDAD Y LAS CONSECUENCIAS MEDIOAMBIENTALES

5.1. La seguridad primero

Como hemos visto, el primer paso en el proceso de evaluación de las

Un creencia sostenida cada vez más firmemente entre los

Gestión del Mantenimiento Basado en la Confiabilidad 133

En la práctica las probabilidades que se toleran en los incidentes

En cierto nivel, la seguridad se refiere a la seguridad de individuos en el

Un modo de falla tiene consecuencias de seguridad si causa una

En otro nivel, “seguridad” se refiere a la seguridad del bien de la

Anteriormente se explicó cómo las expectativas de la sociedad toman la

Un modo de falla tiene consecuencias medioambientales si causa la

Note que al considerar que si un modo de falla tiene consecuencias

134 Gestión del Mantenimiento Basado en la Confiabilidad

A la mayoría de las personas le gustaría vivir en un ambiente dónde no

Para contestar esta pregunta, necesitamos primero considerar la

La valoración de riesgo consta de tres elementos. El primero, lo que

Por ejemplo, considere un modo de falla que podría producir la muerte

10 x (1 en 1000) = 1 accidente cada 100 años

Ahora considere un segundo modo de falla que podría causar 1000

1 000 x (1 en 100 000) = 1 accidente cada 100 años.

En estos ejemplos, el riesgo es el mismo aunque las figuras en que esta

Notar que, el término “probabilidad” (1 en 10 oportunidades de una

Los párrafos siguientes consideran cada uno de los tres elementos de

Gestión del Mantenimiento Basado en la Confiabilidad 135

Se necesita considerar dos problemas al examinar lo que podría pasar si

El hecho que estos efectos pudieran herir o matar a alguien no

Por ejemplo, si en una grúa puente fallara el gancho que transporta

Este ejemplo demuestra el hecho que el proceso RCM evalúa las

Una situación más compleja se presenta cuando se trata con riesgos de

Los dispositivos de protección que se diseñan para trabajar con los

136 Gestión del Mantenimiento Basado en la Confiabilidad

Su habilidad para proporcionar la protección requerida. Definiendo

5.4. ¿Cuán probable es que ocurra la falla?

La parte 4 de la unidad 5 menciona que deben listarse en la hoja de