boletín iie octubre-diciembre-2012 artículo de ... · 165 artículo de investigación...

164

Boletín IIEoctubre-diciembre-2012Artículo de investigación

Abstract

With the increasing emphasis that regulators and nuclear industry are giving to corrective and preventive actions, it is of great importance to have methods and tools to adequately perform Root Cause Analysis (RCA) of relevant events. In this context, it is often proposed in the literature the use of fault trees as a tool to carry out RCA for relevant events; however, it is not clearly shown how fault trees can be effectively applied to systematically identify root causes of a specific event. Broadly speaking, fault trees are developed, and are very helpful, while answering questions related to what happened? and how did it happen?, but the question why did it happen? requires some more detailed questioning for which the structure of the fault tree is not necessarily the best choice. Applying only fault trees, for RCA, not necessarily systematizes the process of identifying true root causes of a specific relevant event. This paper proposes and describes a methodology to use fault trees to effectively perform RCA; in particular, the methodology proposes to link Fault Trees, Root Cause Taxonomies and Level Diagrams. Thus, to analyze an event using the proposed methodology, the following tasks shall be performed: (a) Develop one or more fault trees to respond the questions “what happened?” and “how did it happen?”; (b) Analyze the fault tree basic events that mostly contribute to the occurrence of the relevant event by using a Root Cause Taxonomy in order to identify root causes (why the event occurred?) and (c) Use the levels diagram technique to refine the root causes obtained and identify the hierarchical levels of the organization that need to be involved to correct them. The methodology also establishes and clarifies the concept of causal factor, which allows the analyst to perform a very formal and systematic RCA. Finally, the use of the proposed methodology is illustrated by its application to a case study.

Integración de árboles de falla, taxonomías y diagramas de niveles para realizar Análisis de Causa Raíz

Juan Arellano Gómez, Rogelio Rea Soto y Roberto Calixto Rodríguez

Artículo presentado en la 34 Reunión Anual de la Sociedad Nuclear Española, Murcia, España, del 29 al 31 de octubre de 2008.

165

Artículo de investigaciónIntegración de árboles de falla, taxonomías y diagramas

de niveles para realizar Análisis de Causa Raíz

Resumen

En el contexto de los Análisis de Causa Raíz (ACR), frecuentemente se menciona y propone en la literatura el uso de los Árboles de Falla cómo una herramienta para realizar ACR de eventos relevantes, sin embargo, no se aclara ni muestra cómo esta técnica puede aplicarse para identificar de manera efectiva las causas raíz (CR) del evento. Generalmente, los Árboles de Falla se desarrollan, y son muy útiles, para responder a las preguntas ¿qué ocurrió? y ¿cómo ocurrió?; sin embargo, la pregunta ¿por qué ocurrió? requiere de un cuestionamiento de mayor profundidad para lo cual la estruc-tura del árbol no es necesariamente la mejor opción. Aplicar únicamente la técnica de Árboles de Falla para realizar el ACR de un evento no sistematiza verdaderamente la forma de identificar las CR. En este trabajo se propone y describe una meto-dología que permite utilizar los Árboles de Falla para efectivamente realizar ACR; en particular, la metodología plantea ligar los Árboles de Falla con Taxonomías de Causas Raíz y con la técnica de Diagrama de Niveles. De esta forma, para analizar un evento usando la metodología propuesta en este trabajo, se deben realizar las siguientes tareas: (a) Desarrollar uno o varios árboles de fallas para responder al ¿qué ocurrió? y ¿cómo ocurrió?, (b) Analizar los eventos básicos del árbol que mayormente contri-buyen a la ocurrencia del evento mediante una Taxonomía de Causa Raíz, para de esta forma identificar las CR (¿por qué ocurrió el evento?) y (c) Utilizar la técnica de Diagrama de Niveles para refinar las CR obtenidas e identificar los niveles jerárquicos de la orga-nización que deben corregirlas. La metodo-logía propuesta también establece y aclara el concepto de factor causal para permitir al analista realizar el ACR dentro de un

contexto formal y sistemático. Finalmente, se ilustra la utilidad de la metodología mediante su aplicación a un caso de estudio.

Introducción

Con el énfasis cada vez mayor que los organismos reguladores y empresas de la industria nuclear están dando a las acciones correctivas y preventivas, resulta de gran importancia contar con métodos y herra-mientas que permitan realizar adecuada-mente los Análisis de Causa Raíz (ACR) de eventos relevantes (Institute of Nuclear Power Operations, 1990). El ACR es un proceso diseñado para identificar y cate-gorizar las “causas raíz” de “eventos rele-vantes” que impactan la seguridad, salud, medio ambiente, calidad, confiabilidad y/o producción. El término “evento relevante” se utiliza de manera genérica para identificar las ocurrencias (eventos) que producen, o tienen el potencial de producir, los mencio-nados impactos (Rooney and Vanden-Heuvel, 2004). Cuando un evento relevante se presenta, el ACR ayuda a responder no únicamente las preguntas ¿qué ocurrió? y ¿cómo ocurrió?, sino también ¿por qué ocurrió? Solamente cuando se ha determinado ¿por qué? un evento ocurrió (a nivel de causas raíz), se podrán establecer acciones correc-tivas que prevengan la recurrencia de este evento y también de eventos similares.

Aunque existe gran diversidad (y también cierta confusión) en torno a la definición de causa raíz, en general puede estable-cerse que las causas raíz tienen las siguientes características:

• Son causas específicas fundamen-tales que, si se corrigen, prevendrán la ocurrencia del mismo evento y de eventos similares.

• Son causas de alto nivel que agrupan y etiquetan a ciertos “tipos de deficiencias”.

• Son causas que el sistema de gestión en cuestión (seguridad, calidad, etc.) tiene el control para corregir.

• Son causas para las cuales pueden gene-rarse recomendaciones con el fin de evitar su recurrencia.

Aunque no necesariamente agrupadas como se muestra a continuación, típica-mente se desarrollan las siguientes activi-dades para realizar el ACR de un evento relevante (Institute of Nuclear Power Operations, 1990; Rooney and Vanden-Heuvel, 2004; EQE International, 1999):

Etapa 1. Recolección de datos.

Etapa 2. Análisis de los datos (determina-ción y validación de las causas raíz).

Etapa 3. Generación e implantación de recomendaciones.

Etapa 4. Difusión de los resultados interna y externamente a interesados directos y potenciales.

Etapa 5. Revisión de la efectividad de las acciones implantadas.

Para realizar la Etapa 2, se han propuesto una gran variedad de metodologías (Insti-tute of Nuclear Power Operations, 1990; U.S. Department of Energy, 1999), entre las que destacan: Diagrama/Análisis de Eventos y Factores Causales, Análisis de Barreras, Análisis de Cambios, Diagrama de Niveles, etc.

166


En este contexto, frecuentemente se menciona y propone en la literatura el uso de los Árboles de Falla (Vesely and Goldberg, 1981) como una herramienta para realizar ACR (Institute of Nuclear Power Opera-tions, 1990; U.S. Department of Energy, 1999; Ericson, 2000); sin embargo, no se aclara ni muestra como esta técnica (típica-mente usada como una herramienta proac-tiva para predecir las causas potenciales de eventos indeseados) puede aplicarse para identificar de manera efectiva las causas raíz de un evento. Generalmente, los árboles de falla se desarrollan, y son muy útiles, para responder a las preguntas ¿qué ocurrió? y ¿cómo ocurrió?; sin embargo, la pregunta ¿por qué ocurrió? requiere de un cuestiona-miento de mayor profundidad para lo cual la estructura del árbol no es necesariamente la mejor opción. Aplicar únicamente la técnica de Árboles de Falla para realizar el ACR de un evento no sistematiza verdaderamente la forma de identificar las causas raíz.

En este trabajo se propone y describe una metodología que permite utilizar la técnica de Árboles de Falla para efectivamente realizar ACR; en particular, la metodología plantea ligar los Árboles de Falla con Taxonomías de Causas Raíz (Institute of Nuclear Power Operations, 1990; EQE International, 1999) y con la técnica de Diagrama de Niveles (U.S. Department of Energy, 1999). De esta forma, para analizar un evento con la meto-dología propuesta en este trabajo se deben realizar las siguientes tareas:

• Desarrollar uno o varios árboles de fallas para responder a las preguntas ¿qué ocurrió? y ¿cómo ocurrió?

• Mediante una Taxonomía de Causa Raíz (Institute of Nuclear Power Opera-tions, 1990; EQE International, 1999)

se analizan los eventos básicos del árbol que mayormente contribuyen a la ocurrencia del evento, para de esta forma identificar las causas raíz (¿por qué ocurrió el evento?).

• Finalmente, la técnica de Diagrama de Niveles (U.S. Department of Energy, 1999) se utiliza para refinar las causas raíz obtenidas e identificar los niveles jerárquicos en la organización responsa-bles de corregirlas.

La metodología propuesta también extiende y establece algunos conceptos (factores causales, causa directa, factores contribu-yentes, etc.) para permitir al analista realizar el ACR dentro de un contexto más sistemá-tico y formal.

Finalmente, la utilidad de la metodología se ilustra mediante su aplicación a un caso de estudio.

Descripción de la metodología

La Figura 1 muestra el proceso global para realizar ACR; la metodología que propone este trabajo se encuentra ubicada dentro de

la etapa de análisis de datos. La recolección de datos debe iniciarse tan pronto como sea posible después de ocurrir el evento relevante. Sin un adecuado proceso de recolección de datos que permita entender el evento, los factores causales difícilmente podrán ser identificados; los datos incluyen evidencia humana, física y documental.

El análisis de datos consiste en deter-minar, a partir de la información recolec-tada, los factores causales del evento (ver sección “factores causales”). En esta etapa, el esfuerzo debe enfocarse a determinar y validar sistemáticamente los factores causales básicos (las causas raíz) del evento.

La siguiente actividad es generar recomen-daciones que eviten la recurrencia de las causas raíz del evento; al evitar que estas causas vuelvan a ocurrir, se estará también minimizando la posibilidad de recurrencia del evento relevante y de eventos similares.

La difusión tanto interna como externa del evento, de los resultados del ACR y de las lecciones aprendidas es de funda-mental importancia para el aprendizaje en las organizaciones; una adecuada difusión contribuye a que otras áreas y organiza-

Figura 1. El proceso de análisis de causa raíz.

167



ciones no cometan los mismos errores que provocaron el evento.

Finalmente, un adecuado seguimiento de la efectividad de las acciones correctivas es necesario para asegurar que las causas raíz identificadas no vuelvan a presentarse.

Metodología para determinar y validar causas raíz

Como se ha mencionado, este trabajo propone una metodología para realizar de manera efectiva el análisis de datos (determinación y validación de las causas raíz) en estudios de ACR. En particular la metodología plantea ligar los Árboles de Falla (Vesely and Goldberg, 1981) con Taxonomías de Causas Raíz (Insti-tute of Nuclear Power Operations, 1990; Rooney and Vanden-Heuvel, 2004; EQE International, 1999) y con la técnica de Diagrama de Niveles (U.S. Department of Energy, 1999). La figura 2 muestra el proceso propuesto para determinar y validar las causas raíz de un evento relevante.

La idea de la metodología es utilizar el árbol de fallas para modelar cómo ocurrió el evento relevante y obtener así los factores causales contribuyentes (ver sección “factores causales”); estos últimos podrían alimentarse para obtener los factores causales básicos (causas raíz, ver sección “factores causales”) ya sea mediante una técnica basada en taxo-nomías o bien empleando la técnica de Diagrama de Niveles. Sin importar cual técnica se usó para determinar las causas raíz, el Diagrama de Niveles identificará los niveles jerárquicos en la organización que tienen la posibilidad de corregirlas. A

continuación se describe cada una de las etapas de la metodología en detalle.

Factores causales

Al realizar el ACR de un evento rele-vante se buscan los eventos y condiciones que lo produjeron o contribuyeron a su ocurrencia; a estos eventos y condi-ciones se les denomina factores causales del evento relevante. Es muy importante tomar en cuenta que el análisis detallado de un evento relevante (por ejemplo un acci-dente), normalmente revelará tres niveles de factores causales: directos, contribu-yentes (o indirectos) y raíz (básicos).

Los factores causales directos (o causas directas, FCD) son los eventos o condi-ciones inmediatas que causaron el evento relevante; por ejemplo en el caso de un accidente la causa directa es la liberación

no planeada de energía y/o material peli-groso que ha entrado en contacto con uno de los blancos potenciales (personas, instalaciones, medio ambiente, etc.). Normalmente los FCD pueden descri-birse mediante una oración, por ejemplo:

“La causa directa del accidente fue la activación inadvertida de los circuitos

eléctricos que iniciaron la liberación de CO2 en un espacio ocupado”

Aunque importantes para entender el evento relevante, el análisis no debe dete-nerse cuando se han identificado única-mente los FCD, ya que estos no propor-cionan suficiente información para proponer recomendaciones que eviten la recurrencia del evento.

Los factores causales contribuyentes (FCC) son los eventos y condiciones que colecti-

Figura 2. Método propuesto para determinar y validar causas raíz.

168


evidencia que se ha recopilado acerca del evento relevante (i.e. ramas que por la evidencia se sabe no pueden haber ocurrido, no requieren ser desarro-lladas). En contraste, cuando se desa-rrollan para un análisis de riesgos, el analista debe asegurarse de desarrollar todas las ramas del árbol que tienen el potencial de ocurrir.

• Dado que el evento relevante con toda certeza ha ocurrido, la evaluación cuan-titativa de los árboles de falla no es de gran interés cuando se aplican al ACR; contrariamente, la evaluación cualitativa (obtención de los Conjuntos Mínimos de Corte, CMC) (Vesely and Goldberg, 1981) es de gran relevancia, porque el análisis de los CMC obtenidos a partir de las ramas soportadas con evidencia, permitirá identificar la secuencia de eventos que produjo el evento relevante.

• La experiencia de los autores de este trabajo indica que, para árboles apli-cados al ACR, el nivel de detalle al que se deben desarrollar las ramas para las que existe evidencia es generalmente mayor que el requerido en aplicaciones de análisis de riesgos.

La Figura 3 muestra el proceso recursivo para desarrollar un árbol de fallas aplicado al ACR. El primer paso consiste en esta-blecer al evento relevante a analizar como el evento tope (Vesely and Goldberg, 1981) del árbol; hecho esto, se deberá desarrollar el siguiente nivel del árbol determinando las combinaciones de eventos y condiciones que pueden ocasionar que el mencionado evento ocurra. Si dos o más eventos deben necesariamente ocurrir para ocasionarlo, se utilizará una compuerta AND (Y) para relacionar este nivel con el superior; por

vamente (conjuntamente) incrementaron la posibilidad de ocurrencia del accidente; individualmente no causaron el evento relevante, pero fueron necesarios para que ocurriera. Típicamente, los FCC están pre-sentes desde tiempo antes de la ocurrencia del evento relevante y/o se han manifestado previamente. Los FCC pueden considerarse como los eventos o condiciones que con-formaron “el escenario o ambiente propi-cio” para que ocurriera el evento relevante; si se permite que persistan o vuelvan a ocu-rrir es muy probable que el evento se repita. Al utilizar la metodología propuesta en este trabajo, los árboles de falla proporcionan una excelente herramienta para identificar los FCC del evento relevante (ver sección “desarrollo del árbol de fallas del evento relevante”).

Los factores causales raíz (o causas raíz, CR), son aquellos que al corregirse preven-drán la recurrencia del evento relevante y de eventos similares. Las CR podrían deri-varse de agrupar varios FCC. En general las CR son causas de alto nivel que agrupan y etiquetan a ciertos “tipos de deficiencias”; para las CR deben generarse recomenda-ciones con el fin de evitar su recurrencia. Los métodos de Taxonomías y el Diagrama de Niveles buscan identificar las CR a partir de los FCC (ver secciones “uso de taxono-mías para obtener las causas raíz y “aplica-ción del diagrama de niveles”).

Desarrollo del árbol de fallas del evento relevante

El Análisis de Árboles de Falla surgió como una técnica proactiva para predecir las causas potenciales de eventos indeseados y en ese contexto ha sido señalada como una pode-rosa herramienta para realizar análisis de riesgos. Posteriormente, se propuso también

como una técnica reactiva para realizar ACR de eventos relevantes (accidentes, defectos de producción, etc.); sin embargo, el marco conceptual de esta última aplica-ción no se encuentra totalmente formali-zado y típicamente no se aclara ni muestra cómo esta técnica puede usarse para iden-tificar de manera efectiva las causas raíz de un evento. Generalmente, cuando se aplican para analizar eventos relevantes, los árboles de falla se desarrollan, y son muy útiles, para responder a las preguntas ¿qué ocurrió? y ¿cómo ocurrió?; sin embargo, la pregunta ¿por qué ocurrió? (i.e. las causas raíz), requiere de un cuestionamiento de mayor profundidad para lo cual la estructura del árbol no es necesariamente la mejor opción. Aplicar únicamente la técnica de Árboles de Falla para realizar el ACR de un evento no sistematiza verdaderamente la forma de identificar las causas raíz. En este trabajo se propone utilizar los Árboles de Falla para obtener los FCC del evento relevante (ver sección “factores causales”) y alimentar estos FCC a técnicas más adecuadas para identificar las causas raíz (figura 2).

Aunque muy similares en concepto, existen importantes diferencias en alcance y proce-dimiento entre la forma de desarrollar árboles de fallas1 con aplicación proactiva (ej. análisis de riesgos) versus el desarrollo de árboles de falla reactivos (ej. para analizar un accidente). Algunas de las principales dife-rencias son:

• Cuando se aplican al ACR, los árboles de falla se desarrollan con base en la

1 El lector no familiarizado con los elementos de construcción de árboles de falla encontrará en la referencia Vesely and Goldberg, 1981 un excelente soporte.

169



ejemplo, las condiciones necesarias para que exista un incendio son una cantidad adecuada de combustible y oxígeno y una fuente de ignición. De otra forma, si existen varias formas en que un evento pueda ocurrir, se deberá utilizar una compuerta OR (O); por ejemplo, el combustible de un incendio podría ser gasolina o papel.

Para cada nivel desarrollado del árbol, deberán generarse preguntas para discernir si cada rama en el nivel ha o no contribuido al evento relevante (i.e. ¿qué evidencia existiría si esta rama fuera verda-dera?). La existencia o no de evidencia

INICIO

Evento_en_Turno = Evento_Relevante

PROCEDIMIENTO ÁRBOL (Evento_en_Turno) DESARROLLE las causas inmediatas (siguiente nivel) del Evento_en_Turno

DO WHILE existan causas inmediatas del Evento_en_Turno por analizar

IF (Causa_Inmediata_en_Turno) pudo haber ocurrido de acuerdo con la evidencia

THEN

IF se desea desarrollar la causalidad de Causa_Inmediata_en_Turno

THEN

PROCEDIMIENTO ÁRBOL (Causa_Inmediata_en_Turno)

ELSE

FIN PROCEDIMIENTO ÁRBOL

END_IF

ELSE no desarrolle la causalidad de Causa_Inmediata_en_Turno

END_IF

END_DO

FIN PROCEDIMIENTO ÁRBOL

FIN

Figura 3. Proceso recursivo para desarrollar árboles de falla para ACR.

para soportar la credibilidad de cada rama permitirá decidir entre continuar o no desarrollando más cada uno de ellas (i.e. ¿la evidencia encontrada soporta o refuta la ocurrencia de esta rama?). Cuando una rama esté completamente desarrollada (de acuerdo con el criterio del analista) se continuará con otra, y así sucesivamente hasta tener un modelo suficientemente detallado. Como criterio práctico, podría considerarse que una rama está suficien-temente desarrollada cuando su detalle permite entender claramente cómo los eventos básicos en ella contribuyen al evento relevante.

El modelo se considera suficientemente desarrollado cuando permite entender claramente cómo ocurrió el accidente; en este momento los eventos básicos del árbol se considerarán los FCC. Cuando el árbol muestre más de una manera en que el evento relevante pudiese haber ocurrido y no exista evidencia que permita discernir entre ellas, se deberá continuar el análisis considerando a todas ellas como las causas potenciales responsables del evento rele-vante (incluso generar recomendaciones tendientes a evitarlas).

Uso de taxonomías para obtener las causas raíz

Una vez desarrollado el árbol de fallas, se reconocerá como FCC a los eventos básicos del árbol que la evidencia indica que ocurrieron. Normalmente, los FCC (eventos y condiciones) se presentan agrupados en uno o varios CMC. La metodología propuesta establece (figura 2) que los FCC se alimenten a alguna taxonomía de causa raíz para obtener las CR del evento relevante; otra posibi-lidad es utilizar directamente la técnica de Diagrama de Niveles para lograr este objetivo. Cuál método utilizar dependerá del criterio y recursos del analista.

En la literatura se han propuesto muchas taxonomías de causa raíz (Institute of Nuclear Power Operations, 1990; Rooney and Vanden-Heuvel, 2004; EQE International, 1999; Dew, 2003); una taxonomía es un método para orga-nizar y clasificar información acerca de por qué ocurren eventos relevantes. Un beneficio inmediato de contar con una taxonomía de causa raíz es que ayuda a identificar el punto final en el proceso de búsqueda y permite identificar los

170


diversos problemas que se agrupan en una determinada causa raíz. En general, las taxonomías surgen de la experiencia ganada al analizar eventos relevantes y de aprender cómo los humanos, materiales, equipos, instalaciones, factores ambien-tales, factores administrativos, etc. contri-buyeron a su ocurrencia.

Generalmente, la manera en que se aplican las taxonomías es mediante un diagrama genérico (del tipo diagrama de decisión) al que se alimenta cada FCC; el diagrama guía el proceso de razona-miento de los analistas proponiendo preguntas que, al responderse, explican el por qué un FCC ocurrió o existió; de esta forma los problemas alrededor de la ocurrencia de un FCC pueden ser tratados y corregidos. Una ventaja del uso de alguna taxonomía es que se cuenta con un grupo predeterminado de causas raíz; una desventaja es que este grupo predeterminado no necesariamente representa la estructura, prácticas y polí-ticas de la organización.

Aplicación del diagrama de niveles

El Diagrama de Niveles es una técnica que se utiliza para, a partir de los FCC, identificar las CR del evento relevante y también los niveles jerárquicos de la organización que tienen la responsabi-lidad y autoridad para corregirlas. Dentro del contexto de este trabajo la técnica de Diagrama de Niveles puede utilizarse de dos formas:

• Modo 1: Alimentando directamente al Diagrama de Niveles los FCC obtenidos del árbol de fallas para identificar las CR y los niveles jerár-

forma, ¿puede este factor causal ser atri-buido a los trabajadores involucrados en el evento relevante? 2.

P5- Evalúe el segundo nivel: Si el FCC o CR puede atribuirse al trabajador, pregúntese ahora si el FCC o CR es únicamente atribuible al nivel acciones del trabajador. ¿Tuvo el nivel supervisión responsabilidad en este FCC o CR? 2. Si la respuesta es “no”, deje el factor causal en el nivel 1; si la respuesta es “sí”, suba el FCC o CR al nivel 2.

P6- Desarrolle los siguientes niveles: Utilizando el proceso descrito, continúe evaluando el FCC o CR en turno en los siguientes niveles superiores y súbalo hasta que quede colocado en el nivel más alto que satisfaga el cuestionamiento antes descrito. La figura 4 describe el proceso aplicado a un FCC hipotético denominado “A”.

P7- Repita el proceso para cada FCC o CR: Repita el proceso de P4 a P6 para todos los FCC o las CR (previamente colocados en el nivel 1).

2 Para responder a esta pregunta es necesario que el analista conozca las responsabilidades de cada nivel jerárquico, en relación con el sistema de gestión en cuestión (ej. seguridad, calidad, etc.).

quicos dentro de la organización que deben corregirlos, o

• Modo 2: Alimentando al Diagrama de Niveles las CR obtenidas de una taxonomía para (si es posible) refi-narlas y reconocer los niveles jerár-quicos que deben corregirlas.

En cualquier caso, el proceso de aplica-ción de esta técnica es el siguiente:

P1- Desarrolle el diagrama de niveles: Utilizando el modelo de la tabla I, desarrolle un diagrama con los niveles jerárquicos representativos de la organización.

P2- Identifique los FCC o CR: Asigne un identificador único (por ejemplo una letra) a cada FCC (Modo 1) o bien a las CR (Modo 2).

P3- Desarrolle el Nivel 0: Establezca en el nivel 0 la causa directa del evento rele-vante. Coloque todos los FCC o CR en el Nivel 1 (acciones del trabajador).

P4- Evalúe el primer nivel: Considerando únicamente el primer FCC o la primera CR, pregúntese si el nivel 1 (acciones de los trabajadores) es el nivel responsable del FCC o de la CR; o dicho de otra

Nivel FCC Causa Raíz (Opcional)

Nivel 5: Alta Dirección

Nivel 4: Mandos Gerenciales

Nivel 3: Mandos Medios

Nivel 2: Supervisión

Nivel 1: Acciones de los Trabajadores

Nivel 0: Causa Directa

Tabla 1. Modelo ejemplo de diagrama de niveles.

171



P8- Identifique ligas: Una vez que todos los FCC o CR han sido colocados en el nivel que les corresponde, los analistas deben exami-narlos para identificar si existe liga entre dos o más de ellos. Por ejemplo, ¿existen dos, tres o más FCC lo suficientemente similares para determinar que la gestión del entrenamiento es deficiente? Si existe alguna liga, agrupe los FCC involucrados en el nivel más alto de todos los FCC (figura 5).

A continuación, si el enunciado de alguno de los FCC o CR incluidos en el grupo representa adecuadamente la liga entre ellos, este enunciado podría represen-tarlos; si no, escriba un nuevo enunciado que capture el tema común entre ellos; el enunciado resultante se convierte en una potencial CR (figura 5) o un refina-miento (cuando se alimentan CR). Por ejemplo, si existen varios factores causales relacionados a deficiencias en destreza, habilidades o conocimiento, esto podría indicar que “la alta dirección ha fallado a asegurar que la competencia del trabajador corresponde a sus responsabilidades”; este último enunciado podría entonces postularse como la CR que agrupa a los diversos FCC.

P9- Refine las CR: Una vez que se han agru-pado los FCC en CR, los analistas deberán revisar la correspondencia entre cada FCC y la CR a la que han sido asignados. También, se deberá verificar que el enunciado asignado a cada CR sea adecuado para representar la deficiencia que se desea corregir.

Ejemplo de aplicación de la metodología

Como ejemplo de aplicación de la meto-dología, suponga que el siguiente evento relevante ha ocurrido:

Figura 4. Proceso de análisis de un FCC o CR.

Figura 5. Agrupamiento de los FCC en CR.

“Con el objeto de controlar la temperatura del proceso, se solicitó a un miembro de la cuadrilla de operación de un cierto sistema presentarse al área donde se encuentra ubicada la válvula manual A y cerrarla; desafortunadamente, en vez de cerrar la válvula A, la mencionada persona cerró la válvula manual B (la cual se encuentra ubicada muy cerca de la otra), causando con esto un transitorio de presión en el sistema”.

La figura 6 muestra el árbol de fallas desa-rrollado de acuerdo con la evidencia que se logró recolectar; obviamente el evento rele-

vante es transitorio de alta presión en el sistema.

En el árbol se desarrolla la causalidad por la que pudo haber ocurrido el evento relevante; los eventos marcados con el símbolo “no hay evidencia de que haya ocurrido” no fueron desarrollados más; obviamente porque pudo demostrarse que estos eventos no contribuyeron a la ocurrencia del evento tope. Los eventos básicos del árbol (FCC) que se encontró contribuyeron a la ocurrencia del transi-torio de alta presión son: Señalización en

172


mal estado y Focos fundidos en el área de la válvula. Es muy importante reconocer que cada uno de estos eventos representa por sí solo un conjunto mínimo de corte del árbol (Vesely and Goldberg, 1981), y que hay evidencia de que ambos eventos han ocurrido y contribuyeron a que el operador cerrara la válvula equivocada.

Siguiendo la metodología propuesta, estos FCC se alimentaron a una taxonomía de causa raíz, específicamente a la que se presenta en las referencias Rooney and Vanden-Heuvel, 2004; EQE International, 1999. La tabla II muestra el proceso de categorización de los mencionados FCC de acuerdo con esta taxonomía.

En esta tabla se observa que el recorrido “arriba-abajo” a través del Mapa de Causa Raíz lleva de categorías muy amplias y de poco detalle (ej. Dificultad con el Equipo) a categorías de mayor detalle (ej. Equipo no incluido en el programa de confiabilidad); en el nivel más bajo de este esquema se encuentran las CR (resaltadas y sombreadas en la tabla). Por ejemplo, para el caso de la Señalización en mal estado, se encontró al nivel más general, que se trata de una dificultad con el equipo; al siguiente nivel de detalle se determinó que se trata de un problema con el programa de confiabilidad del equipo; el siguiente nivel se refiere a que el diseño del programa de confiabilidad del equipo no es adecuado ya que, se observa que este equipo (la señalización) no se encuentra incluido en los programas de confiabilidad; esta última descripción se refiere como la CR identificada. Las recomendaciones propuestas para evitar la recurrencia de la CR se muestran en la última columna de la tabla.

Descripción del evento: Transitorio de alta presiónFCC No. 1 Trayectorias a través del Mapa de Causa

Raíz (Rooney, 2004 y EQE, 1999)Recomendaciones

Descripción:

Señalización en mal estado (lo cual contri-buyó a que el operador no identificara adecua-damente la válvula a actuar).

Dificultad con el equipo

Problemas con el programa de confiabilidad del equipo.

Diseño del programa de confiabi-lidad del equipo LTA.

Equipo no incluido en el programa de confiabilidad.

Determinar el nivel apropiado de mantenimiento requerido por todos los equipos de la instalación importantes para la seguridad.

Incluir las señalizaciones de equipos, rutas, etc. en el programa de confiabilidad.

FCC No. 2 Trayectorias a través del Mapa de Causa Raíz [2], [3]

Recomendaciones

Descripción:

Focos fundidos en al área de la válvula (lo cual contribuyó a que el operador no identifi-cara adecuadamente la válvula a actuar).

Dificultad con el equipo.

Problemas con el programa de confiabilidad del equipo.

Implantación del programa de confiabilidad del equipo.

Rondas rutinarias de chequeo LTA.

Realización de las rondas LTA.

Asegurar que los recorridos de revisión de equipos se realizan de acuerdo con lo requerido.

Asegurar que todos los equipos importantes se incluyen en el programa de recorridos.

Implantar un mecanismo efectivo para corregir los problemas detec-tados en los recorridos.

LTA = Less Than Adequate

Tabla 2. Aplicación de la taxonomía de las referencias Rooney, 2004 y EQE, 1999 al caso ejemplo.

Figura 6. Árbol de fallas del caso ejemplo.

173



La aplicación del Diagrama de Niveles a partir de los FCC se muestra en la figura 7. Como se observa, se identificó que el nivel de mandos gerenciales es el responsable de ambos FCC; también, al referirse al mismo tema, los FCC fueron agrupados en una CR que se describió como “No se asegura que todos los equipos importantes reciben el mantenimiento adecuado”. Es impor-tante notar que si se aplica el Diagrama de Niveles a las CR obtenidas usando la taxo-nomía, también éstas podrían ser agrupadas y descritas con la misma frase; adicional-mente, también se habría identificado a los mandos gerenciales como el nivel respon-sable de corregir la CR.

Conclusiones

Realizar estudios de ACR es un proceso que tiene todavía mucho de artesanal; por esta razón, se requiere desarrollar esquemas conceptuales y metodológicos que permitan sistematizar aún más esta tarea. En este trabajo se ha presentado una metodología para realizar ACR que plantea combinar árboles de falla, taxono-mías de CR y el Diagrama de Niveles; todo esto dentro de un contexto que forma-liza el concepto de factores causales del evento relevante. La metodología explota las principales bondades de cada una de las técnicas que integra.

Los árboles de falla resultan ser una exce-lente herramienta para describir cómo ocurrió el evento relevante y determinar los factores causales contribuyentes. Desa-rrollar el árbol de fallas con el enfoque “basado en la evidencia” es especialmente conveniente para ahorrar tiempo y poder concentrar el análisis en las ramas que efec-tivamente han contribuido a la ocurrencia del evento relevante. Los FCC obtenidos

del árbol pueden posteriormente ser anali-zados mediante una taxonomía de causa raíz, para conocer por qué éstos han ocurrido (y por tanto por qué el evento relevante ha ocurrido). Si no se cuenta con una taxonomía de causa raíz, otra excelente opción es alimentar los FCC al Diagrama de Niveles de la organización para identi-ficar las causas raíz y los niveles jerárquicos responsables de corregirlos. También, cuando se ha utilizado una taxonomía, resulta beneficioso utilizar el Diagrama de Niveles para refinar las causas raíz e identi-ficar los niveles responsables de corregirlas.

La ventaja de utilizar taxonomías es que ayudan a identificar el punto final en el proceso de cuestionamiento, además de que se puede saber el número de veces que los FCC caen en la misma causa raíz. Por otro lado presentan la desventaja de que la estructura podría no engranar con la cultura organizacional y los sistemas de gestión de la organización. También, al usar una taxonomía, el número de las poten-ciales CR a identificar se reduce únicamente a las en ella incluidas. Es muy importante

aclarar que, aunque parezca lo contrario, el uso de taxonomías requiere de experiencia, habilidad y conocimiento por parte del analista.

Los Diagramas de Nivel son una herra-mienta flexible y poderosa para identificar CR, sin embargo su uso, al igual que las taxonomías, requiere también de conoci-miento y destreza por parte de los analistas. Estos diagramas tienen la gran ventaja de que la definición de las CR va incremental-mente reflejando el comportamiento de la organización, la cual eventualmente podría generar su propia taxonomía.

Es importante recalcar que el ACR es un proceso esencial para cualquier organi-zación que desea continuar mejorando y que quiere entrar seriamente en un análisis introspectivo. Al realizar el ACR debe profundizarse lo suficiente para poder descubrir y considerar las creen-cias y comportamientos que moldean los sistemas de gestión de la organización; la metodología presentada en este trabajo tiene esto como fin principal.

Figura 7. Diagrama de Nivel para los FCC del caso ejemplo.

174


Referencias

Institute of Nuclear Power Operations, Root Cause Analysis, INPO 90-004, Good Practice OE-907, 1990.

Rooney J. J. y Vanden-Heuvel L. N. Root Cause Analysis for Beginners, Quality Progress, Vol. 37, No. 7, p. 45-53, 2004.

JUAN ARELLANO GÓMEZ

[[email protected]]

Maestro en Ciencias Computacionales por el Instituto Tecnológico y de Estudios Superiores de Monterrey. Ingeniero en Energía con Especialidad en Energía Nuclear por la Universidad Autónoma Metropo-litana. Desde hace 34 años colabora en el área de Energía Nuclear del IIE, donde ha sido coordinador de la especialidad de Análisis Probabilístico de Riesgo (APR) e iniciador y coordinador de la especialidad de Métodos Avanzados de Computación aplicados a la industria nuclear. Ha realizado investigación tecnoló-gica en APR, inteligencia artificial, elementos combus-tibles de reactores nucleares y simulación de sistemas continuos. Es autor de un buen número de publica-ciones nacionales e internacionales en estas disciplinas. Se ha desempeñado como asesor en métodos de APR en Atomic Energy of Canada Limited en Canadá y ha colaborado en desarrollo de metodología de APR en Unión Iberoamericana de Tecnología Eléctrica en España (UITESA). En Science Applicantions Interna-tional Corporation (SAIC) en Estados Unidos, participó en la definición de la metodología utilizada en el APR Nivel II de la Central Nuclear Laguna Verde. Ha sido Investigador Nacional Nivel III del Sistema Nacional de Investigadores (SNI) y es Académico Titular de la Academia de Ingeniería. Desde 1998 es Gerente de Energía Nuclear del IIE.

ROBERTO CALIXTO RODRÍGUEZ

[[email protected]]

Maestro en Ciencias en Ingeniería Mecánica por el Centro Nacional de Investigación y Desarrollo Tecnológico (CENIDET) en 1998. Ingeniero Químico por la Universidad Autónoma de Zacatecas en 1989. En 1990 ingresó a la Gerencia de Energía Nuclear (GEN) del IIE. Ha colaborado en trabajos relacionados con tecnología de la seguridad, análisis de seguridad en la industria nuclear y análisis de riesgos en instalaciones convencionales. En la indus-tria petrolera ha participado como analista de riesgos en diferentes proyectos de análisis de riesgos de instalaciones petroleras, tanto en tierra como costa fuera. También ha participado como Jefe de Proyecto y analista de estudios de mantenimiento basado en confiabilidad (RCM) en instalaciones petroleras, y de generación y transmisión de energía eléctrica. Desde 1999 participa como instructor y Jefe de Proyecto en los programas de capacitación en análisis de riesgos, análisis causa raíz y RCM que ofrece el IIE tanto a la Comisión Federal de Electricidad (CFE), como a Petróleos Mexicanos (PEMEX).

ROGELIO REA SOTO

[[email protected]]

Maestro en Ciencias en Ingeniería de Confiabilidad y Análisis de Riesgos por la Heriot-Watt University, Edimburgo, Escocia. Ingeniero Eléctrico por el Instituto Tecnológico de Tepic. Ingresó al Grupo de Análisis Probabilístico de Seguridad de la Gerencia de Energía Nuclear (GEN) del IIE en 1993. Ha desarrollado trabajos para la industria nuclear, hidro-eléctrica y transmisión de energía eléctrica de la Comisión Federal de Electricidad (CFE), así como producción, transporte y distribución de hidrocar-buros de Petróleos Mexicanos (PEMEX). Cuenta con veinte años de experiencia materia de análisis de riesgos, análisis de vulnerabilidades de sistemas y mantenimiento basado en confiabilidad (RCM). Desde 1999 forma parte del grupo de instructores que imparte capacitación en técnicas de análisis de riesgos e investigación de accidentes en Pemex Exploración y Producción y la CFE. Actualmente es Jefe de Proyecto del Grupo de Análisis de Riesgos de la GEN.

EQE International, Inc. Root Cause Analysis Hand-book: A Guide to Effective Incident Investigation, EQE International Inc. an ABS Group Company, Rock-ville, Maryland, USA, 1999.

U.S. Department of Energy. Conducting Accident Investigations, DOE Workbook Rev. 2, USDOE, Washington, D.C., 1999.

Vesely W. E., Goldberg F. F. Fault Tree Handbook, USNRC NUREG-0492, Washington DC 1981.

Ericson C. A. II. Accident Investigation Using EEFTA, Proceedings of the 18th International System Safety Conference, Fort Worth, Texas, USA, September 11-16, 2000.

Dew J. The Seven Deadly Sins of Quality Management, Quality Progress, Vol. 36, No. 9, p. 59-65 2003.

De izquierda a derecha Roberto Calixto Rodríguez, Juan Arellano Gómez y Rogelio Rea Soto.

boletín iie octubre-diciembre-2012 artículo de ... · 165 artículo de investigación...

Documents