norma española
UNE-EN 60812
Diciembre 2008 TÍTULO
Técnicas de análisis de la fiabilidad de sistemas Procedimiento de análisis de los modos de fallo y de sus efectos (AMFE)
Analysis techniques for system reliability. Procedure for failure mode and effects analysis (FMEA). Techniques d'analyse de la fiabilité du système. Procédure d'analyse des modes de défaillance et de leurs effets (AMDE).
CORRESPONDENCIA
Esta norma es la versión oficial, en español, de la Norma Europea EN 60812:2006, que a su vez adopta la Norma Internacional IEC 60812:2006.
OBSERVACIONES
Esta norma anulará y sustituirá a la Norma UNE 20812:1995 antes de 2009-03-01.
ANTECEDENTES
Esta norma ha sido elaborada por el comité técnico AEN/CTN 200 Normas básicas eléctricas cuya Secretaría desempeña AENOR.
Editada e impresa por AENOR Depósito legal: M 58127:2008
LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:
© AENOR 2008 Reproducción prohibida
49 Páginas Génova, 6 28004 MADRID-España
[email protected] www.aenor.es
Tel.: 902 102 201 Fax: 913 104 032
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Grupo 30
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
NORMA EUROPEA EUROPEAN STANDARD NORME EUROPÉENNE EUROPÄISCHE NORM
EN 60812 Mayo 2006
ICS 03.120.01; 03.120.30; 21.020
Sustituye al HD 485 S1:1987
Versión en español
Técnicas de análisis de la fiabilidad de sistemas Procedimiento de análisis de los modos de fallo y de sus efectos (AMFE) (IEC 60812:2006)
Analysis techniques for system reliability. Procedure for failure mode and effects analysis (FMEA). (IEC 60812:2006).
Techniques d'analyse de la fiabilité du système. Procédure d'analyse des modes de défaillance et de leurs effets (AMDE). (CEI 60812:2006).
Analysetechniken für die Funktionsfähigkeit von Systemen. Verfahren für die Fehlzustandsart- und auswirkungsanalyse (FMEA). (IEC 60812:2006).
Esta norma europea ha sido aprobada por CENELEC el 2006-03-01. Los miembros de CENELEC están sometidos al Reglamento Interior de CEN/CENELEC que define las condiciones dentro de las cuales debe adoptarse, sin modificación, la norma europea como norma nacional. Las correspondientes listas actualizadas y las referencias bibliográficas relativas a estas normas nacionales, pueden obtenerse en la Secretaría Central de CENELEC, o a través de sus miembros. Esta norma europea existe en tres versiones oficiales (alemán, francés e inglés). Una versión en otra lengua realizada bajo la responsabilidad de un miembro de CENELEC en su idioma nacional, y notificada a la Secretaría Central, tiene el mismo rango que aquéllas. Los miembros de CENELEC son los comités electrotécnicos nacionales de normalización de los países siguientes: Alemania, Austria, Bélgica, Chipre, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia, Italia, Letonia, Lituania, Luxemburgo, Malta, Noruega, Países Bajos, Polonia, Portugal, Reino Unido, República Checa, Rumanía, Suecia y Suiza.
CENELEC COMITÉ EUROPEO DE NORMALIZACIÓN ELECTROTÉCNICA European Committee for Electrotechnical Standardization Comité Européen de Normalisation Electrotechnique Europäisches Komitee für Elektrotechnische Normung SECRETARÍA CENTRAL: Rue de Stassart, 35 B-1050 Bruxelles © 2006 CENELEC. Derechos de reproducción reservados a los Miembros de CENELEC.
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EN 60812:2006
-4-
PRÓLOGO El texto del documento 56/1072/FDIS, futura edición 2 de la Norma IEC 60812, preparado por el Comité Técnico TC 56, Confiabilidad, de IEC, fue sometido a voto paralelo IEC-CENELEC y fue aprobado por CENELEC como Norma EN 60812 el 2006-03-01. Esta norma sustituye al Documento de Armonización HD 485 S1:1987. Los principales cambios con respecto al Documento de Armonización HD 485 S1:1987 son: − la introducción de los efectos de los modos de fallo y conceptos de criticidad; − la inclusión de los métodos utilizados masivamente en la industria automovilística; − la adición de referencias y relaciones con otros métodos de análisis de modos de fallos; − la adición de ejemplos; − la indicación de las ventajas e inconvenientes de los distintos métodos AMFE. Se fijaron las siguientes fechas: − Fecha límite en la que la norma europea debe adoptarse a nivel nacional por publicación de una norma nacional idéntica o por ratificación
(dop)
2006-12-01
− Fecha límite en la que deben retirarse las normas nacionales divergentes con esta norma
(dow)
2009-03-01
El anexo ZA ha sido añadido por CENELEC.
DECLARACIÓN El texto de la Norma IEC 60812:2006 fue aprobado por CENELEC como norma europea sin ninguna modificación. En la versión oficial, para la bibliografía, debe añadirse la siguiente nota para la norma indicada*: IEC 60300-1
NOTA Armonizada como Norma EN 60300-1:2003 (sin ninguna modificación)/(con modificaciones).
IEC 60300-2
NOTA Armonizada como Norma EN 60300-2:2004 (sin ninguna modificación)/(con modificaciones).
IEC 61160
NOTA Armonizada como Norma EN 61160:2005 (sin ninguna modificación)/(con modificaciones).
ISO 9000
NOTA Armonizada como Norma EN ISO 9000:2000 (sin ninguna modificación)/(con modificaciones).
*
Introducida en la norma indicándose con una línea vertical en el margen izquierdo del texto.
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
-5-
EN 60812:2006
ÍNDICE Página PRÓLOGO ........................................................................................................................................
7
1
OBJETO Y CAMPO DE APLICACIÓN ......................................................................
9
2
NORMAS PARA CONSULTA.......................................................................................
9
3
TÉRMINOS Y DEFINICIONES ....................................................................................
9
4 4.1 4.2
VISIÓN GENERAL......................................................................................................... Introducción ..................................................................................................................... Propósito y objetivos del análisis ....................................................................................
10 10 12
5 5.1 5.2 5.3 5.4
ANÁLISIS DE LOS MODOS DE FALLO Y SUS EFECTOS .................................... Consideraciones generales............................................................................................... Tareas preliminares ......................................................................................................... Análisis de los modos de fallo, de sus efectos y criticidad (AMFEC)........................... Informe del análisis ..........................................................................................................
12 12 13 23 30
6 6.1 6.2 6.3 6.4
OTRAS CONSIDERACIONES...................................................................................... Fallos de causa común ..................................................................................................... Factores humanos............................................................................................................. Errores software............................................................................................................... AMFE respecto a las consecuencias de fallo del sistema ..............................................
31 31 32 32 33
7 7.1 7.2 7.3 7.4
APLICACIONES ............................................................................................................. Uso del AMFE/AMFEC................................................................................................... Beneficios del AMFE........................................................................................................ Limitaciones y deficiencias del AMFE ........................................................................... Relaciones con otros métodos..........................................................................................
33 33 34 35 35
ANEXO A (Informativo) RESUMEN DE PROCEDIMIENTOS PARA EL AMFE Y AMFEC ................................................................................
37
ANEXO B (Informativo) EJEMPLOS DE ANÁLISIS................................................................
41
BIBLIOGRAFÍA...............................................................................................................................
48
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EN 60812:2006
-6-
Figura 1
Relación entre los modos de fallo y sus efectos en una jerarquía de sistema.........
15
Figura 2
Diagrama de flujo del Análisis ..................................................................................
22
Figura 3
Matriz de criticidad....................................................................................................
26
Figura A.1
Ejemplo del formato de una hoja de trabajo de AMFE..........................................
40
Figura B.1
AMFE para una parte de la electrónica del automóvil con cálculo del NPR ........
42
Figura B.2
Diagrama de subsistemas de un grupo generador ...................................................
43
Figura B.3
Diagrama del sistema de calefacción, ventilación y refrigeración..........................
44
Figura B.4
AMFE para el subsistema 20 .....................................................................................
45
Figura B.5
Parte de un AMFEC de proceso para la fundición mecanizada de aluminio........
47
Tabla 1
Ejemplo de un conjunto de modos de fallo generales..............................................
17
Tabla 2
Ejemplo ilustrativo de clasificación de severidad para efectos finales...................
20
Tabla 3
Matriz de Riesgo/Criticidad ......................................................................................
27
Tabla 4
Severidad del modo de fallo .......................................................................................
27
Tabla 5
Ocurrencia del modo de fallo relativa a la frecuencia y probabilidad de ocurrencia........................................................................................
28
Tabla 6
Criterios de evaluación de la detección de los modos de fallo.................................
29
Tabla 7
Ejemplo de un conjunto de efectos del fallo (para un motor de arranque del vehículo)................................................................
30
Tabla 8
Ejemplo de una probabilidad de efectos de los fallos ..............................................
31
Tabla B.1
Definición y clasificación de la severidad de los efectos de fallos en el sistema de G-M completo ..................................................................................
43
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
-7-
EN 60812:2006
COMISIÓN ELECTROTÉCNICA INTERNACIONAL Técnicas de análisis de la fiabilidad de sistemas Procedimiento de análisis de los modos de fallo y de sus efectos (AMFE) PRÓLOGO 1) IEC (Comisión Electrotécnica Internacional) es una organización mundial para la normalización, que comprende todos los comités electrotécnicos nacionales (Comités Nacionales de IEC). El objetivo de IEC es promover la cooperación internacional sobre todas las cuestiones relativas a la normalización en los campos eléctrico y electrónico. Para este fin y también para otras actividades, IEC publica Normas Internacionales, Especificaciones Técnicas, Informes Técnicos, Especificaciones Disponibles al Público (PAS) y Guías (de aquí en adelante “Publicaciones IEC”). Su elaboración se confía a los comités técnicos; cualquier Comité Nacional de IEC que esté interesado en el tema objeto de la norma puede participar en su elaboración. Organizaciones internacionales gubernamentales y no gubernamentales relacionadas con IEC también participan en la elaboración. IEC colabora estrechamente con la Organización Internacional de Normalización (ISO), de acuerdo con las condiciones determinadas por acuerdo entre ambas. 2) Las decisiones formales o acuerdos de IEC sobre materias técnicas, expresan en la medida de lo posible, un consenso internacional de opinión sobre los temas relativos a cada comité técnico en los que existe representación de todos los Comités Nacionales interesados. 3) Los documentos producidos tienen la forma de recomendaciones para uso internacional y se aceptan en este sentido por los Comités Nacionales mientras se hacen todos los esfuerzos razonables para asegurar que el contenido técnico de las publicaciones IEC es preciso, IEC no puede ser responsable de la manera en que se usan o de cualquier mal interpretación por parte del usuario. 4) Con el fin de promover la unificación internacional, los Comités Nacionales de IEC se comprometen a aplicar de forma transparente las Publicaciones IEC, en la medida de lo posible en sus publicaciones nacionales y regionales. Cualquier divergencia entre la Publicación IEC y la correspondiente publicación nacional o regional debe indicarse de forma clara en esta última. 5) IEC no establece ningún procedimiento de marcado para indicar su aprobación y no se le puede hacer responsable de cualquier equipo declarado conforme con una de sus publicaciones. 6) Todos los usuarios deberían asegurarse de que tienen la última edición de esta publicación. 7) No se debe adjudicar responsabilidad a IEC o sus directores, empleados, auxiliares o agentes, incluyendo expertos individuales y miembros de sus comités técnicos y comités nacionales de IEC por cualquier daño personal, daño a la propiedad u otro daño de cualquier naturaleza, directo o indirecto, o por costes (incluyendo costes legales) y gastos derivados de la publicación, uso o confianza de esta publicación IEC o cualquier otra publicación IEC. 8) Se debe prestar atención a las normas para consulta citadas en esta publicación. La utilización de las publicaciones referenciadas es indispensable para la correcta aplicación de esta publicación. 9) Se debe prestar atención a la posibilidad de que algunos de los elementos de esta Publicación IEC puedan ser objeto de derechos de patente. No se podrá hacer responsable a IEC de identificar alguno o todos esos derechos de patente.
La Norma IEC 60812 ha sido elaborada por el comité técnico 56 de IEC: Confiabilidad. Esta segunda edición anula y sustituye a la primera edición publicada en 1985 y constituye una revisión técnica. Los principales cambios con respecto a la edición anterior son: − la introducción de los efectos de los modos de fallo y conceptos de criticidad; − la inclusión de los métodos utilizados masivamente en la industria automovilística; − la adición de referencias y relaciones con otros métodos de análisis de modos de fallos;
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EN 60812:2006
-8-
− la adición de ejemplos; − la indicación de las ventajas e inconvenientes de los distintos métodos AMFE. El texto de esta norma se basa en los documentos siguientes:
FDIS
Informe de voto
56/1072/FDIS
56/1091/RVD
El informe de voto indicado en la tabla anterior ofrece toda la información sobre la votación para la aprobación de esta norma. Esta norma ha sido elaborada de acuerdo con las Directivas ISO/IEC, Parte 2. El comité ha decidido que el contenido de esta norma (la norma base y sus modificaciones) permanezca vigente hasta la fecha de mantenimiento indicada en la página web de IEC "http://webstore.iec.ch" en los datos relativos a la norma específica. En esa fecha, la norma será – confirmada; – anulada; – reemplazada por una edición revisada; o – modificada.
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
-9-
EN 60812:2006
Técnicas de análisis de la fiabilidad de sistemas Procedimiento de análisis de los modos de fallo y de sus efectos (AMFE)
1 OBJETO Y CAMPO DE APLICACIÓN Esta norma internacional describe el Análisis de los Modos de Fallo y sus Efectos (AMFE) y al Análisis de los Modos de Fallo, de sus Efectos y Criticidad (AMFEC) y proporciona una guía sobre cómo aplicarlos para lograr diversos objetivos: − proporcionando los procedimientos necesarios para realizar un análisis; − identificando los términos apropiados, las hipótesis, las medidas de criticidad, los modos de fallo; − definiendo los principios básicos; − proporcionando ejemplos de las hojas de trabajo necesarias u otros formatos de tablas. Todas las consideraciones cualitativas generales presentadas para el AMFE se aplicarán al AMFEC, puesto que este último es una extensión del anterior. 2
NORMAS PARA CONSULTA
Las normas que a continuación se indican son indispensables para la aplicación de esta norma. Para las referencias con fecha, sólo se aplica la edición citada. Para las referencias sin fecha se aplica la última edición de la norma (incluyendo cualquier modificación de ésta). IEC 60300-3-1:2003 Gestión de la confiabilidad. Parte 3-1: Guía de aplicación. Técnicas de análisis de la confiabilidad. Guía metodológica. IEC 61025 Análisis de árbol de fallos (AAF). IEC 61078 Técnicas de análisis de la confiabilidad. Método del diagrama de bloques. 3 TÉRMINOS Y DEFINICIONES Para los fines de este documento, se aplican los términos y definiciones siguientes: 3.1 elemento: Cualquier parte, componente, dispositivo, subsistema, unidad funcional, equipo o sistema que pueda considerarse individualmente. NOTA 1 Un elemento puede estar formado por hardware, software o ambos y puede también, en ciertos casos, incluir personas. NOTA 2 Un número de elementos, por ejemplo, una población de elementos o una muestra, puede considerarse como un elemento en sí mismo.
[VEI 191-01-01] Un proceso también puede definirse como un elemento que realiza una función predeterminada y para el que se lleva a cabo un AMFE o un AMFEC (de proceso). Normalmente, un AMFE hardware no tiene en cuenta a las personas y sus interacciones con el hardware o software, mientras un AMFE de proceso normalmente incluye las acciones de las personas.
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EN 60812:2006
- 10 -
3.2 fallo: Finalización de la capacidad de un elemento para realizar una función requerida. [VEI 191-04-01] 3.3 avería: Estado de un elemento caracterizado por la incapacidad de realizar una función requerida, excluyendo la incapacidad durante el mantenimiento preventivo u otras acciones planificadas, o debido a la falta de recursos externos. NOTA 1 Una avería es a menudo el resultado de un fallo del elemento mismo, pero puede existir sin un fallo previo.
[VEI 191-05-01] NOTA 2 En este documento los términos “avería” y “fallo” se emplean indistintamente por razones históricas.
3.4 efecto de fallo: Consecuencia de un modo de fallo en términos de la operación, función o estado del elemento. 3.5 modo de fallo: Forma en la que falla un elemento. 3.6 criticidad del fallo: Combinación de la severidad de un efecto y la frecuencia de su ocurrencia u otros atributos de un fallo como una medida de la necesidad de tratarlo y atenuarlo. 3.7 sistema: Conjunto de elementos interrelacionados o que interactúan. NOTA 1 En el contexto de la confiabilidad, un sistema tendrá a) propósitos definidos expresados en términos de funciones requeridas; b) condiciones establecidas de operación o uso (véase 191-01-12); c) límites definidos. NOTA 2 La estructura de un sistema es jerárquica.
[ISO 9000: 2000] 3.8 severidad del fallo: Importancia o calificación del efecto de un modo de fallo sobre la operación del elemento, sobre el entorno del elemento o sobre el operador del elemento; la severidad del efecto del modo de fallo en relación a los límites definidos del sistema analizado. 4
VISIÓN GENERAL
4.1 Introducción El Análisis de los Modos de Fallo y sus Efectos (AMFE) es un procedimiento sistemático de análisis de un sistema para identificar los modos de fallo potenciales, sus causas y sus efectos en el funcionamiento del sistema (funcionamiento del bloque jerárquicamente superior y de todo el sistema o de un proceso). Aquí el término sistema se usa como una representación de hardware, software (con su interacción) o un proceso.
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 11 -
EN 60812:2006
El análisis se realizará de forma exitosa preferentemente en las primeras fases del ciclo de desarrollo para que la eliminación o atenuación del modo de fallo sea más rentable. Este análisis puede iniciarse en cuanto el sistema esté lo suficiente definido como para ser representado con un diagrama de bloques funcional dónde pueda definirse el funcionamiento de sus elementos. La coordinación del AMFE es esencial; si se realiza suficientemente pronto en el ciclo de desarrollo, puede ser rentable la incorporación de los cambios de diseño para solventar las deficiencias identificadas por el AMFE. Por lo tanto, es importante que las tareas de AMFE y sus resultados se incorporen al plan y al programa de desarrollo. Así pues, el AMFE es un proceso iterativo que coincide con el proceso de diseño. El AMFE es aplicable a varios niveles de subdivisión del sistema, desde el más alto nivel del diagrama de bloques hasta las funciones de componentes discretos o comandos de software. El AMFE es también un proceso iterativo que se actualiza a medida que se desarrolla el diseño. Los cambios de diseño requerirán que se revisen y actualicen las partes pertinentes del AMFE. Un AMFE minucioso es el resultado obtenido por un equipo compuesto de individuos cualificados para reconocer y evaluar la magnitud y las consecuencias de diversos tipos de deficiencias potenciales en el diseño del producto que podrían conducir a fallos. La ventaja del trabajo en equipo es que estimula el proceso de reflexión y asegura las habilidades necesarias. Se considera el AMFE como un método para identificar la severidad de modos de fallo potenciales y proporcionar información para tomar medidas que reduzcan el riesgo. Sin embargo, en algunas aplicaciones, el AMFE incluye también una estimación de la probabilidad de ocurrencia de los modos de fallo. Esto mejora el análisis proporcionando una medida de la probabilidad del modo de fallo. La aplicación del AMFE está precedida de una subdivisión jerárquica del sistema (hardware con software, o un proceso) en sus elementos más básicos. Es útil emplear diagramas de bloques sencillos para ilustrar esta subdivisión (IEC 61078). El análisis empieza entonces con los elementos de más bajo nivel. Un efecto de un modo de fallo en un nivel inferior puede convertirse en causa de fallo de un modo de fallo de un elemento del siguiente nivel superior. El análisis se realiza de abajo hacia arriba hasta identificar el efecto final del sistema. La figura 1 ilustra esta relación. El AMFEC (Análisis de los Modos de Fallo, Efectos y Criticidad) es una extensión del AMFE que incluye medios para categorizar la severidad de los modos de fallo y permitir establecer el orden de prioridad de las contramedidas. Para ello se combinan la medida de severidad y la frecuencia de ocurrencia para producir una métrica denominada criticidad. Los principios de un AMFE pueden aplicarse fuera del diseño de ingeniería. El procedimiento de AMFE puede aplicarse a un proceso de fabricación o a cualquier otro proceso de trabajo tales como en hospitales, laboratorios médicos, sistemas escolares, u otros. Cuando se aplica el AMFE a un proceso de fabricación, este procedimiento se conoce como AMFE de Proceso, o AMFEP. Para que un AMFE sea eficaz deben comprometerse los recursos adecuados para un trabajo en equipo. No es indispensable tener un entendimiento completo del sistema bajo análisis para realizar un AMFE preliminar. A medida que se desarrolla el diseño, un análisis detallado de los modos de fallo requiere un conocimiento más completo de las características del diseño y de sus especificaciones. Los diseños de ingeniería complejos normalmente requieren la implicación de múltiples áreas de especialización de diseño (por ejemplo, ingeniería mecánica, ingeniería eléctrica, ingeniería de sistemas, ingeniería software, soporte logístico, etc.). El AMFE generalmente trata de los modos de fallo individuales y el efecto de estos modos de fallo sobre el sistema. Cada modo de fallo se trata de forma independiente. El procedimiento no es por tanto adecuado para considerar fallos dependientes o fallos resultantes de una secuencia de sucesos. Para analizar estas situaciones pueden ser necesarios otros métodos y técnicas, como el análisis de Markov, (véase la Norma IEC 61165) o el análisis de árbol de fallos (véase la Norma IEC 61025). Para determinar el impacto de un fallo, deben considerarse el fallo inducido o resultante a nivel superior y posiblemente los fallos inducidos al mismo nivel. El análisis debería indicar, cuando sea posible, la combinación de modos de fallo o la secuencia de éstos, que sean causa de un efecto a nivel superior. En ese caso es necesario un modelado adicional para estimar la magnitud o la probabilidad de ocurrencia de dicho efecto.
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EN 60812:2006
- 12 -
El AMFE es una herramienta flexible que puede adaptarse para responder a necesidades específicas de la industria o del producto. Para ciertas aplicaciones pueden adaptarse hojas de datos especializadas que requieran entradas específicas. Si los niveles de severidad de los modos de fallo están definidos, pueden definirse de forma diferente para distintos sistemas o distintos niveles del sistema. 4.2 Propósito y objetivos del análisis Las razones para emprender un Análisis de los Modos de Fallo y sus Efectos (AMFE) o un Análisis de los Modos de Fallo, Efectos y Criticidad (AMFEC) pueden ser: a) identificar aquellos fallos que tienen efectos no deseados en el funcionamiento del sistema, por ejemplo impedir o degradar significativamente el funcionamiento o afectar a la seguridad del usuario; b) satisfacer requisitos contractuales de un cliente, cuando sea aplicable; c) permitir mejoras de la fiabilidad del sistema o de la seguridad (por ejemplo mediante modificaciones del diseño o acciones de garantía de calidad); d) permitir mejoras de la mantenibilidad del sistema (resaltando áreas de riesgo o no-conformidades para la mantenibilidad). A la vista de las razones anteriores para emprender un AMFE, los objetivos de éste (o de un AMFEC) pueden incluir: a) una identificación y evaluación completas de todos los efectos no deseados dentro de los límites definidos del sistema a analizar y la secuencia de sucesos ocasionados por cada uno de los modos de fallo del elemento en los distintos niveles de la jerarquía funcional del sistema, cualquiera que sea su causa; b) la determinación de la criticidad o la prioridad para considerar o atenuar (véase el capítulo 6) cada modo de fallo respecto al correcto funcionamiento del sistema y su impacto sobre el proceso afectado; c) una clasificación de los modos de fallo identificados según las características pertinentes, incluyendo su facilidad de detección, su capacidad para el diagnóstico, la capacidad de prueba, medidas de compensación y operación (reparación, mantenimiento, logística, etc.); d) la identificación de fallos funcionales del sistema y la estimación de medidas de su severidad y de probabilidad de fallo; e) el desarrollo de un plan de mejora del diseño para atenuar los modos de fallo; f) apoyar el desarrollo de un plan de mantenimiento eficaz para atenuar o reducir la probabilidad de fallo (véase la Norma IEC 60300-3-11). NOTA Cuando se trata de criticidad o probabilidad de ocurrencia, los comentarios se refieren a la metodología del AMFEC.
5
ANÁLISIS DE LOS MODOS DE FALLO Y SUS EFECTOS
5.1 Consideraciones generales Tradicionalmente ha habido muchas variaciones sobre la forma en la que se realiza y se presenta el AMFE. El análisis se realiza normalmente identificando los modos de fallo, sus respectivas causas y los efectos inmediatos y finales. Los resultados analíticos pueden presentarse en una hoja de trabajo que contenga un núcleo de información esencial para el sistema completo y los detalles desarrollados para ese sistema específico. Muestra las formas en las que el sistema podría fallar potencialmente, los componentes y sus modos de fallo, que podrían ser causa del fallo del sistema y las causas de ocurrencia de cada modo de fallo individual.
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 13 -
EN 60812:2006
El AMFE aplicado a productos complejos podría requerir un esfuerzo grande. Este esfuerzo en ocasiones puede reducirse teniendo en cuenta que el diseño de algún subconjunto o de sus elementos puede que no sea completamente nuevo e identificando partes del diseño del producto que son una repetición o una modificación de un diseño anterior del mismo. El nuevo AMFE debería usar la información de esos subconjuntos existentes en la mayor medida posible. También debe indicar la necesidad de pruebas finales o del análisis completo de las nuevas características y elementos. Una vez se crea un AMFE detallado para un diseño, puede actualizarse y mejorarse para las sucesivas generaciones de ese diseño, lo que constituye un esfuerzo significativamente menor que el de realizar un análisis completamente nuevo. Cuando se utiliza un AMFE existente de una versión anterior del producto, es esencial asegurarse de que el diseño repetido se utiliza realmente de la misma forma y bajo las mismas condiciones de esfuerzo que las del diseño anterior. Nuevos esfuerzos operativos o medioambientales pueden requerir la revisión del AMFE completado previamente. Diferentes condiciones medioambientales y operativas pueden requerir un AMFE completamente nuevo en vista de las nuevas condiciones. El procedimiento del AMFE consiste en las siguientes cuatro etapas principales: a) establecimiento de las reglas básicas para el AMFE y planificación y programación para asegurar que se dispone del tiempo y los conocimientos necesarios para hacer el análisis; b) realización del AMFE usando las hojas de trabajo apropiadas u otros medios como diagramas lógicos o árboles de fallos; c) resumen e información del análisis para incluir cualquier conclusión y las recomendaciones hechas; d) actualización del AMFE a medida que progresa la actividad de desarrollo. 5.2 Tareas preliminares 5.2.1 Planificación para el análisis Deberían integrarse en la planificación global las actividades del AMFE, las actividades de seguimiento, los procedimientos, la relación con otras actividades de fiabilidad, los procesos para la gestión de acciones correctoras y para su cierre y los hitos. El programa de fiabilidad debería describir el método de análisis AMFE a utilizar. Esta descripción puede ser un resumen o una referencia a un documento fuente que contenga la descripción del método. Este plan debería contener los siguientes puntos. − la definición clara del propósito específico del análisis y los resultados esperados; − el objeto y alcance del presente análisis en lo que se refiere a cómo debería enfocarse el AMFE sobre ciertos elementos del diseño. También debería reflejar la madurez del diseño, los elementos del diseño que pueden considerarse como riesgo, bien porque realizan una función crítica o por la inmadurez de la tecnología empleada; − la descripción de cómo el presente análisis apoya la confiabilidad del proyecto global; − las medidas identificadas utilizadas para el control de las revisiones del AMFE y la documentación pertinente. Deberían especificarse los métodos de control de la revisión de los documentos del análisis y de las hojas de trabajo así como los métodos de archivado; − la participación de expertos del diseño en el análisis para que estén disponibles cuando sean necesarios; − los hitos clave de la programación del proyecto claramente identificados para asegurar que el análisis se ejecuta en los momentos oportunos; − la forma en la que se cierra toda acción que es necesario emprender para atenuar el modo de fallo identificado.
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EN 60812:2006
- 14 -
El plan debería reflejar el acuerdo general de todos los participantes y debería aprobarlo la dirección del proyecto. La revisión final del AMFE completado en la fase final del diseño de un producto o de su proceso de fabricación (AMFE de proceso) identifica todas las acciones registradas para la mitigación de los modos de fallo de interés y la forma en la que se cierran dichas acciones. 5.2.2 Estructura del sistema 5.2.2.1 Información sobre la estructura del sistema Es necesario incluir los siguientes elementos en la información sobre la estructura del sistema: a) los diferentes elementos del sistema con sus características, prestaciones y funciones; b) las conexiones lógicas entre los elementos; c) el nivel de redundancia y la naturaleza de las mismas; d) la posición e importancia del sistema dentro de la instalación global (si es posible); e) las entradas y salidas del sistema; f) los cambios en la estructura del sistema para los distintos modos operativos. Es necesaria la información correspondiente a funciones, características y prestaciones para todos los niveles del sistema considerados hasta el más alto nivel para que el AMFE pueda tratar adecuadamente los modos de fallo que impidan cualquiera de esas funciones. 5.2.2.2 Definición de los límites del sistema para el análisis El límite del sistema constituye la interfaz física y funcional entre el sistema y su entorno, incluyendo otros sistemas con los que interactúa. La definición del límite del sistema para el análisis debería corresponder con el límite definido para el diseño y el mantenimiento. Esto debería aplicarse a cualquier nivel en un sistema. Deberían definirse explícitamente los sistemas o los componentes que están fuera de los límites para su exclusión. La definición del límite del sistema estará, probablemente, más influenciada por el diseño, el uso previsto, el origen del suministro, o criterios comerciales que por los requisitos óptimos del AMFE. Sin embargo, cuando sea posible, es preferible definir los límites para facilitar el AMFE del sistema y su integración con otros estudios relacionados en el programa. Especialmente si el sistema es funcionalmente complejo con múltiples interconexiones entre elementos dentro de los límites y múltiples salidas que atraviesan el límite. En estos casos podría resultar ventajoso definir un límite de estudio desde el punto de vista funcional en lugar de hacerlo desde el punto de vista del hardware y del software para limitar el número de conexiones de entrada y salida con otros sistemas. Esto tendería a reducir el número de efectos de fallo del sistema. Debería tenerse cuidado para asegurar que no se olvidan otros sistemas o componentes fuera de los límites del sistema objeto de estudio, declarando explícitamente que éstos se excluyen del estudio particular. 5.2.2.3 Niveles de análisis Es importante determinar el nivel de subdivisión del sistema que se usará para el análisis. Por ejemplo, los sistemas pueden descomponerse por funciones o en subsistemas, unidades reemplazables, o componentes individuales (véase figura 1). Las reglas básicas para seleccionar niveles de subdivisión del sistema para el análisis dependen de los resultados deseados y de la disponibilidad de información de diseño. Las siguientes pautas son útiles. a) Se selecciona el nivel más alto dentro del sistema a partir de la concepción del diseño y de los requisitos de salida especificados.
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 15 -
EN 60812:2006
b) El nivel más bajo dentro del sistema en el que el análisis es eficaz, es aquel para el que se dispone de información para establecer la definición y la descripción de funciones. La selección del nivel del sistema apropiado está influenciada por la experiencia anterior. Puede justificarse un análisis menos detallado para un sistema basado en un diseño maduro, con una buena fiabilidad y con registros de mantenibilidad y de seguridad. En cambio, son necesarios mayores detalles y por lo tanto un más bajo nivel del sistema para cualquier nuevo diseño del mismo o para un sistema con un historial de fiabilidad desconocido. c) El mantenimiento especificado o previsto y el nivel de reparación pueden ser una valiosa guía para determinar los niveles más bajos del sistema.
Figura 1 − Relación entre los modos de fallo y sus efectos en una jerarquía de sistema
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EN 60812:2006
- 16 -
En el AMFE, las definiciones de modos de fallo, causas de fallo y los efectos de los fallos dependen del nivel de análisis y de los criterios de fallo del sistema. A medida que avanza el análisis, los efectos de los fallos identificados en un nivel inferior pueden convertirse en modos de fallo de un nivel superior. Los modos de fallo de un nivel inferior pueden convertirse en las causas de fallo de un nivel superior y así sucesivamente. Cuando un sistema se descompone en sus elementos, los efectos de una o más de las causas de los modos de fallo constituyen un modo de fallo que a su vez es una causa del efecto a nivel superior, (un fallo de componente). El fallo de un componente es entonces la causa de un fallo del módulo (efecto), que en sí mismo es una causa de un fallo del subsistema. El efecto de una causa a un nivel del sistema se convierte en una causa de otro efecto a un nivel superior. El razonamiento anterior se muestra en la figura 1. 5.2.2.4 Representación de la estructura del sistema Las representaciones simbólicas de la estructura y funcionamiento del sistema, sobre todo los diagramas, son muy útiles para ayudar al análisis. Deberían crearse diagramas simples, resaltando todas las funciones esenciales del sistema. En el diagrama, los bloques se unen mediante líneas que representan las entradas y salidas de cada función. Normalmente, es necesario describir con precisión la naturaleza de cada función y de cada entrada. Puede haber varios diagramas para cubrir las diferentes fases de operación del sistema. A medida que progresa el diseño del sistema, puede crearse un diagrama de bloques de componentes con bloques que representan los componentes o partes reales. Con este conocimiento adicional es posible una identificación más precisa de los modos y causas de fallo potenciales. Los diagramas deberían mostrar cualquier relación serie y redundante entre los elementos y las interdependencias funcionales entre ellos. Esto permite que se pueda seguir la pista a los fallos funcionales a través del sistema. Puede ser necesario más de un diagrama para mostrar los modos alternativos de funcionamiento del sistema. Pueden requerirse diagramas distintos para cada modo operativo. Como mínimo, el diagrama de bloques debería contener lo siguiente: a) descomposición del sistema en subsistemas principales incluyendo relaciones funcionales; b) todas las entradas y salidas debidamente etiquetadas y números de identificación para que cada uno de los subsistemas esté referenciado de forma consistente; c) todas las redundancias, las rutas alternativas de señal y otras características de ingeniería que proporcionen protección contra fallos del sistema. 5.2.2.5 Puesta en marcha inicial del sistema, operación, control y mantenimiento Deberían especificarse los estados de las diferentes condiciones de funcionamiento del sistema, así como los cambios en la configuración o en la posición del mismo y sus componentes durante las diferentes fases operativas. Deberían definirse las funciones mínimas exigidas al sistema de forma que se comprendan claramente los criterios de éxito o de fallo. Deberían considerarse requisitos específicos tales como disponibilidad o seguridad en términos de niveles mínimos especificados de funcionamiento a alcanzar y niveles máximos de daño aceptables. Es necesario tener un conocimiento preciso de: a) la duración de cada función que se pueda exigir que el sistema realice; b) el intervalo de tiempo entre pruebas periódicas; c) el tiempo disponible para la acción correctora antes de que se produzcan consecuencias serias en el sistema; d) todas las instalaciones, el ambiente y el personal, incluyendo las interfaces y las interacciones con operadores; e) los procedimientos de operación durante el arranque, la caída y otras transiciones operativas del sistema;
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 17 -
EN 60812:2006
f) el control durante las fases operativas; g) el mantenimiento preventivo o corrector; h) los procedimientos para comprobaciones de rutina, si se emplean. Se ha constatado que uno de los usos de AMFE es ayudar en el desarrollo de la estrategia de mantenimiento. Sin embargo, si la estrategia de mantenimiento ya se ha determinado previamente, debería conocerse la información sobre instalaciones, equipo y repuestos de mantenimiento tanto para el mantenimiento preventivo como para el corrector. 5.2.2.6 Entorno del sistema Deberían especificarse las condiciones del entorno ambientales del sistema, incluyendo las condiciones ambientales y aquéllas creadas por otros sistemas vecinos. Debería esbozarse el sistema con respeto a sus relaciones, dependencias, o interconexiones con sistemas auxiliares u otros sistemas y con las interfaces humanas. En la fase de diseño estos hechos normalmente no son del todo conocidos y por lo tanto se necesitarán aproximaciones e hipótesis. A medida que avanza el proyecto, los datos tendrán que incrementarse y tendrá que modificarse el AMFE para tener en cuenta la nueva información o los cambios en las hipótesis o aproximaciones. A menudo el AMFE será útil para definir las condiciones requeridas. 5.2.3 Determinación del modo de fallo El funcionamiento correcto de un sistema dado depende del funcionamiento de ciertos elementos críticos del sistema. La clave para la evaluación del funcionamiento del sistema es la identificación de esos elementos críticos. Los procedimientos para identificar los modos de fallo, sus causas y efectos pueden mejorarse eficazmente preparando una lista de modos de fallo anticipados teniendo en cuenta: a) el uso del sistema; b) el elemento concreto del sistema involucrado; c) el modo de funcionamiento; d) las especificaciones operativas pertinentes; e) las restricciones temporales; f) los esfuerzos ambientales; g) los esfuerzos operativos. En la tabla 1 se da una lista como ejemplo, de modos de fallo generales. Tabla 1 − Ejemplo de un conjunto de modos de fallo generales 1
Fallo durante el funcionamiento
2
Fallo de funcionamiento en un momento determinado
3
Fallo al no dejar de funcionar en un momento requerido
4
Funcionamiento prematuro
NOTA Esta lista sólo es un ejemplo. Se requerirían diferentes listas para diferentes tipos de sistemas.
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EN 60812:2006
- 18 -
Virtualmente cada tipo de modo de fallo puede clasificarse en una o más de estas categorías. Sin embargo, estas categorías generales de modo de fallo son demasiado amplias para el análisis definitivo; por consiguiente, es necesario ampliar la lista para hacer las categorías más específicas. Cuando se usan junto con las especificaciones de funcionamiento que rigen las entradas y salidas en el diagrama de bloques de fiabilidad, pueden identificarse y describirse todos los modos de fallo potenciales. Debería tenerse en cuenta que un modo de fallo dado puede tener varias causas. Es importante que se aborde la evaluación de todos los elementos dentro de los límites del sistema al nivel más bajo proporcionalmente con los objetivos del análisis, para identificar todos los modos de fallo potenciales. Puede emprenderse entonces un estudio para determinar las posibles causas de fallo y también sus efectos en la función del subsistema y sistema. Los proveedores de elementos deberían identificar los modos de fallo potenciales de sus productos. Para ayudar a esta función pueden buscarse datos de modos de fallo típicos en las siguientes áreas: a) para nuevos elementos, puede hacerse referencia a otros elementos con función y estructura similar y a los resultados de pruebas realizadas bajo niveles de esfuerzo adecuados; b) para nuevos elementos, el análisis del propósito del diseño y el análisis funcional detallado dan como resultado los modos de fallo potenciales y sus causas. Es preferible este método al dado en a), pues los esfuerzos y el propio funcionamiento podrían ser diferentes de los de elementos similares. Un ejemplo de esta situación puede ser el uso de un procesador de señal diferente al empleado en un diseño similar; c) para los elementos en uso, pueden consultarse registros de servicio y datos de fallo; d) pueden deducirse los modos de fallo potenciales a partir de los parámetros funcionales y físicos típicos de funcionamiento del elemento. Es importante que no se omitan modos de fallo del elemento por la falta de datos y que se perfeccionen las estimaciones iniciales mediante los resultados de las pruebas y la progresión del diseño. El AMFE debería recoger el estado de dichas estimaciones. Es primordial identificar los modos de fallo y, cuando sea necesario, determinar las acciones correctoras de diseño, las acciones preventivas de garantía de calidad o las acciones de mantenimiento preventivo. Es más importante identificar y, si es posible, atenuar los efectos de los modos de fallo mediante medidas de diseño, que conocer su probabilidad de ocurrencia. Puede ser necesario un análisis de criticidad cuando sea difícil asignar prioridades. 5.2.4 Causas de fallo Deberían identificarse y describirse las causas más probables de fallo para cada modo de fallo potencial. Puesto que un modo de fallo puede tener más de una causa, es necesario identificar y describir las potenciales causas independientes más probables para cada modo de fallo. No es siempre necesario identificar y describir las causas de fallo para todos los modos de fallo identificados en el análisis. La identificación y descripción de las causas de fallo, así como las sugerencias para su mitigación deberían basarse en los efectos de los fallos y en su severidad. Cuanto más severo es el efecto de los modos de fallo, con más precisión deberían identificarse y describirse las causas del fallo. De lo contrario, el analista puede dedicar esfuerzos innecesarios en la identificación de causas de fallo de dichos modos de fallo que tienen muy poco o ningún efecto en la funcionalidad del sistema. Pueden determinarse las causas de fallo a partir del análisis de los fallos en la explotación o los fallos en las unidades de prueba. Cuando el diseño es nuevo y sin precedentes, pueden establecerse las causas de fallo solicitando la opinión a expertos. Cuando se identifican las causas de cada modo de fallo se evaluará la acción recomendada basándose en su probabilidad estimada de ocurrencia y en la severidad de sus efectos.
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 19 -
EN 60812:2006
5.2.5 Efectos de los fallos 5.2.5.1 Definición de los efectos de los fallos Un efecto de fallo es la consecuencia de un modo de fallo en lo que se refiere al funcionamiento, función o estado de un sistema (véase la definición 3.4). Uno o más modos de fallo de uno o más elementos pueden causar un efecto de fallo. Es necesario identificar, evaluar y registrar las consecuencias de cada modo de fallo en el funcionamiento, función, o estado del elemento del sistema. Siempre que sea pertinente deberían considerarse también las actividades de mantenimiento y los objetivos del sistema. Un efecto de fallo puede también influir en el siguiente nivel superior y finalmente en el más alto nivel analizado. Por consiguiente, en cada nivel debería evaluarse el efecto de los fallos en el nivel superior. 5.2.5.2 Efectos locales de los fallos La expresión "efecto local" se refiere a los efectos del modo de fallo sobre el elemento del sistema bajo consideración. Deberían describirse las consecuencias de cada posible fallo en la salida del elemento. El propósito de identificar los efectos locales es proporcionar una base de conocimiento cuando se evalúa la provisión de alternativas existentes o se conciben acciones correctivas recomendadas. En ciertos casos, puede no haber un efecto local más allá del modo de fallo en sí mismo. 5.2.5.3 Efectos de los fallos a nivel del sistema Cuando se identifican los efectos finales, se define y evalúa el impacto de un posible fallo en el nivel más alto del sistema mediante el análisis de todos los niveles intermedios. El efecto final descrito puede ser consecuencia de múltiples fallos. (Por ejemplo, el fallo de un dispositivo de seguridad resulta en un efecto final catastrófico sólo en el caso en el que el dispositivo de seguridad falle y la función principal para la que se diseña el dispositivo de seguridad exceda los límites de funcionamiento permitidos). Deberían indicarse estos efectos finales resultantes de múltiples fallos en las hojas de trabajo. 5.2.6 Métodos de detección El analista debería determinar, para cada modo de fallo, la forma en la que se detecta el fallo y los medios por los que el usuario o el técnico de mantenimiento son conscientes del mismo. La detección del fallo puede llevarse a cabo mediante una característica automática de diseño (auto-diagnóstico), estableciendo un procedimiento de verificación especial antes del funcionamiento del sistema o mediante la inspección durante las actividades de mantenimiento. Pueden llevarse a cabo durante la puesta en marcha del sistema o de forma continua o a intervalos prescritos durante el funcionamiento. En cualquier caso la detección del fallo y su notificación deberían evitar condiciones de funcionamiento peligrosas. Deberían analizarse y listarse los modos de fallo distintos al considerado que dan lugar a una manifestación idéntica. Debería considerarse la necesidad de separar la detección del fallo de los elementos redundantes durante el funcionamiento. En un AMFE de diseño la detección considera cómo es de probable, cuándo y dónde se identificará una deficiencia de diseño (mediante revisión, análisis, simulación, prueba, etc.). En un AMFE de proceso la detección considera cómo es de probable y dónde puede identificarse una deficiencia en el proceso y con qué probabilidad, por ejemplo por el operador, por el control estadístico del proceso, por procedimientos de verificación de la calidad o por los últimos pasos del proceso. 5.2.7 Medidas para compensar los fallos Es extremadamente importante identificar cualquier característica de diseño a un determinado nivel del sistema u otras medidas que tengan la capacidad de prevenir o reducir el efecto del modo de fallo. Así el AMFE debería mostrar claramente el verdadero comportamiento de dicha característica en presencia de ese modo de fallo. Otras medidas contra fallos que necesitan registrarse en el AMFE son las siguientes: a) elementos redundantes que permitan la continuidad del funcionamiento si uno o más elementos fallan;
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EN 60812:2006
- 20 -
b) medios alternativos de funcionamiento; c) dispositivos de supervisión o alarma; d) cualquier otro medio que permita el funcionamiento eficaz o limite el daño. Durante el desarrollo del diseño, los elementos funcionales (hardware y software) de un elemento pueden reestructurarse o reconfigurarse repetidamente o puede cambiarse su capacidad. En cada fase, la relevancia de los modos de fallo identificados y el AMFE deberían actualizarse o incluso repetirse. 5.2.8 Clasificación de la severidad La severidad es una valoración de la importancia del efecto del modo de fallo en el funcionamiento del elemento. La clasificación de los efectos de severidad depende en gran medida de la aplicación del AMFE y se desarrolla considerando diversos factores: − la naturaleza del sistema respecto a los posibles efectos sobre usuarios o sobre el ambiente como resultado del fallo; − la funcionalidad del sistema o proceso; − cualquier requisito contractual impuesto por el cliente; − requisitos de seguridad gubernamentales o industriales; − requisitos involucrados por una garantía. La tabla 2 ilustra un ejemplo de clasificación cualitativa de severidad para un producto para uno de los tipos de AMFE. Tabla 2 − Ejemplo ilustrativo de clasificación de severidad para efectos finales Clase
Nivel de Severidad
Consecuencias a personas o ambiente
IV
Catastrófico
Modo de fallo que potencialmente podría producir el fallo de las funciones principales del sistema y por consiguiente causar serios daños al mismo y su ambiente o dañar al personal.
III
Crítico
Modo de fallo que potencialmente podría producir el fallo de las funciones principales del sistema y por consiguiente causar considerables daños al mismo y su ambiente, pero que no constituye una amenaza seria de daño o para la vida del personal.
II
Marginal
Modo de fallo que potencialmente podría degradar la funcionalidad del sistema sin dañarlo de forma apreciable o sin amenazar la integridad y la vida del personal
I
Insignificante
Modo de fallo que potencialmente podría degradar las funciones del sistema pero que no causaría daño al mismo y no constituye una amenaza para la integridad y la vida del personal
5.2.9 Frecuencia o probabilidad de ocurrencia Deberían determinarse la frecuencia o probabilidad de ocurrencia de cada modo de fallo para evaluar adecuadamente el efecto o la criticidad del mismo.
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 21 -
EN 60812:2006
Para determinar la probabilidad de ocurrencia del modo de fallo, además de la información publicada relativa a la tasa de fallos, es muy importante considerar el perfil operativo (esfuerzo ambiental, mecánico o eléctrico aplicado) de cada componente que contribuye a su probabilidad de ocurrencia. Esto se debe a que, en la mayoría de los casos, la tasa de fallos del componente y la consiguiente tasa de fallo del modo de fallo considerado, aumenta proporcionalmente a medida que aumenta el esfuerzo aplicado, según la ley de potencia, o exponencialmente. La probabilidad de ocurrencia de los modos de fallo en el diseño puede estimarse a partir de: − datos de los ensayos de vida del componente; − bancos de datos de tasas de fallo disponibles; − datos de fallo de campo; − datos de fallo para elementos similares o de la misma clase que el componente. Cuando se estima la probabilidad de ocurrencia, el AMFE debe considerar el periodo de tiempo para el que se han hecho las estimaciones. Normalmente es el periodo de garantía o el periodo de vida predeterminado de ese elemento o producto. La aplicación de la frecuencia y probabilidad de ocurrencia se explicarán más adelante en la descripción del análisis de criticidad. 5.2.10
Procedimiento de análisis
El diagrama de flujo dado en la figura 2 muestras cómo se lleva a cabo el análisis.
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EN 60812:2006
- 22 -
Figura 2 – Diagrama de flujo del análisis
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 23 -
EN 60812:2006
5.3 Análisis de los modos de fallo, de sus efectos y criticidad (AMFEC) 5.3.1 Objetivo del análisis El símbolo C añadido a AMFE indica que el análisis de modo de fallo también incluye el análisis de criticidad. La determinación de la criticidad implica añadir una medida cualitativa de la magnitud de un efecto del modo de fallo. La criticidad tiene multitud de definiciones y medidas, la mayoría con un significado similar: el impacto o importancia de un modo de fallo que es necesario considerar o atenuar. Algunas de esas medidas se explican en los apartados 5.3.2 y 5.3.4. El propósito de un análisis de criticidad es cuantificar la magnitud relativa de cada efecto del fallo como ayuda a la toma de decisión, de forma que con una combinación de criticidad y severidad, puedan establecerse prioridades para las acciones que permitan atenuar o minimizar el efecto de ciertos fallos. 5.3.2 Riesgo, R y número de prioridad del riesgo (NPR) Uno de los métodos de determinación cuantitativa de la criticidad es el Número de Prioridad del Riesgo, NPR. El riesgo se evalúa mediante una medida subjetiva de la severidad del efecto y una estimación de la probabilidad esperada de su ocurrencia durante un periodo predeterminado de tiempo supuesto para el análisis. En algunos casos, cuándo no se dispone de estas medidas, puede ser necesario referirse a una forma más sencilla de un AMFE no numérico. Una relación general con respecto a una medida de un riesgo potencial, R, en un AMFEC se expresa en algunos tipos de análisis de la siguiente forma: R=S×P donde S
un número no dimensional que simboliza la severidad, es decir una estimación de la incidencia de los efectos del fallo sobre sistema o el usuario;
P
también es un número no dimensional que indica la probabilidad de ocurrencia. Cuando es menos que 0,2 puede sustituirse por el número de criticidad que se usa en algún método de AMFE cuantitativo, C, tal y como se describe en el apartado 5.3.4, es decir, es una estimación de la probabilidad de que el efecto de fallo ocurra.
Algunas aplicaciones de AMFE o de AMFEC distinguen además el nivel de detección del fallo a nivel del sistema. En estas aplicaciones se emplea una categoría adicional para la detección del fallo, D (también es un número no dimensional), para formar un número de prioridad de riesgo, NPR: NPR = S × O × D donde O
la probabilidad de ocurrencia de un modo de fallo durante un periodo tiempo predeterminado o establecido aunque también puede definirse como un rango numérico más que como la probabilidad de ocurrencia real;
D
indica detección, es decir, es una estimación de la posibilidad de identificar y eliminar el fallo antes de que afecte al sistema o al cliente. Este número normalmente se ordena en orden inverso a la severidad u ocurrencia: a mayor número de detección, menor probabilidad de detección. La menor probabilidad de detección conduce, por tanto, a un NPR más alto y a una prioridad más alta para la resolución del modo de fallo.
El número de prioridad de riesgo puede usarse para priorizar el tratamiento de la mitigación de los modos de fallo. Además de la magnitud del número de prioridad de riesgo, la decisión para la mitigación está influenciada principalmente por la severidad del modo de fallo, lo que significa que si hay modos de fallo con NPR similares o idénticos, los modos de fallo que se considerarán en primer lugar serán los que tengan valor alto de severidad. Estas relaciones pueden evaluarse numéricamente o en una escala continua o discreta (un número finito de valores definidos).
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EN 60812:2006
- 24 -
Los modos de fallo se ordenan entonces con respecto a su NPR asignando la prioridad alta al NPR alto. En algunas aplicaciones no son aceptables los efectos con un NPR que exceda un umbral definido, mientras que en otras, se da más importancia a los valores altos de severidad, sin tener en cuenta el valor del NPR. Diferentes tipos de AMFEC asignan diferentes escalas para los valores de S, O y D. Algunos van de 1 a 4 ó 5, otros, como el AMFEC más usado en la industria automovilística para el análisis del diseño y del proceso de producción, conocido como AMFED y AMFEP, utilizan escalas de 1 a 10 para los tres atributos. 5.3.3 Relación entre AMFEC y análisis de riesgo La criticidad combinada con la severidad es una medida de riesgo que difiere de las medidas de riesgo normalmente aceptadas sólo en que su evaluación es menos rigurosa y, por tanto, menos costosa. La diferencia se ve no sólo en la forma de predecir la severidad de un efecto de fallo sino también por el hecho de que puede modelarse una interacción mucho menos compleja entre los factores en el típico procedimiento abajo - arriba aplicado en un AMFEC. Normalmente el AMFEC da como resultado una categorización relativa de las contribuciones al riesgo global, mientras que un análisis de riesgo para sistemas de alto riesgo generalmente se enfoca en la aceptabilidad del riesgo. Sin embargo, para sistemas de bajo riesgo y baja complejidad, el AMFEC puede ser un método muy rentable y apropiado. Siempre que se identifique la probabilidad de efectos de alto riesgo durante el AMFEC se aconseja utilizar un análisis de riesgo probabilístico (ARP) en lugar de un AMFEC. Por lo tanto, un AMFEC no debería usarse de forma única para juzgar si el riesgo de un efecto particular de un sistema de alto riesgo o de alta complejidad es o no es aceptablemente pequeño, incluso aunque la frecuencia y la severidad estimadas se basen en datos fidedignos. Ésta sería tarea para un análisis de riesgo probabilístico, dónde también pueden tenerse en cuenta los parámetros más influyentes (y sus interacciones), por ejemplo, el tiempo de exposición, la probabilidad de evitarlo, la latencia de los fallos, los mecanismos de detección de averías. Usando los efectos de fallo identificados por el AMFE se asigna cada efecto a una clase de severidad apropiada. Se calcula una frecuencia para el suceso a partir de datos o estimaciones de fallo para el componente de que se trate. Se multiplica la frecuencia por el tiempo de misión de interés lo que da como resultado un número de criticidad que puede aplicarse a una escala según su propio valor o, si la escala representa probabilidad de ocurrencia de un suceso, entonces esta probabilidad de ocurrencia se mide sobre la escala. La categoría de severidad y la categoría de criticidad (o probabilidad de ocurrencia) consideradas conjuntamente para cada efecto constituyen la magnitud del efecto. Pueden distinguirse dos aproximaciones principales para la valoración de la criticidad: la de matriz de criticidad y el concepto de números de prioridad de riesgo (NPR). 5.3.4 Determinación de la tasa de fallo, probabilidad y número de criticidad del modo de fallo Si se dispone de tasas de fallo para los modos de fallo de elementos similares y éstas se determinaron bajo condiciones ambientales y operativas similares a las supuestas para el sistema bajo análisis, pueden agregarse directamente al AMFEC las frecuencias de los sucesos para los efectos. Si, como es más habitual, se dispone de tasas de fallo para elementos en lugar de para los modos de fallo y tienen que calcularse las tasas de fallo de los modos de fallo para diferentes condiciones ambientales u operativas. En general se cumple la siguiente relación: λi = λj × αi × βi donde λi
la estimación de la tasa de fallo para un modo de fallo i considerado constante;
λj
la tasa de fallo del componente j;
αi
la razón del modo de fallo i, es decir la probabilidad de que el elemento tenga el modo de fallo i;
βi
la probabilidad condicional del efecto de fallo cuando se produce el modo de fallo i.
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 25 -
EN 60812:2006
Las mayores deficiencias de esta aproximación son la suposición implícita de una tasa de fallo constante y que muchos de los factores son sólo predicciones o las mejores hipótesis. Éste es sobre todo el caso en el que los componentes del sistema no pueden tener una tasa de fallo asociada, sólo la probabilidad de fallo calculada para la aplicación específica, su duración y el esfuerzo asociado, tales como componentes y sistemas mecánicos. Cuando las condiciones ambientales, de carga y de mantenimiento difieren de las relativas a la tasa de fallo se considera un factor de modificación. Puede encontrarse una orientación sobre valores apropiados para esta modificación en publicaciones que traten con datos de fiabilidad. Tiene que tenerse especial cuidado para asegurar que los factores de corrección escogidos son correctos y aplicables para el sistema específico y sus condiciones operativas. En algunas aplicaciones, como la aproximación cuantitativa al análisis de criticidad, se usa un valor de criticidad del modo de fallo Ci (no relacionado con el término general "criticidad" que puede adoptar diferentes significados) en lugar de una tasa de fallo del modo fallo λi. El valor de criticidad establece una conexión entre la frecuencia de fallo condicional y el tiempo de funcionamiento, que puede ayudar a conseguir una evaluación más realista del riesgo de un modo de fallo durante el periodo predeterminado de uso del producto. Ci = λi × tj Ci = λj × αi × βi × tj donde tj es el tiempo de funcionamiento del componente durante el tiempo total predeterminado usado para el AMFEC para el que se evalúa la probabilidad tiempo de funcionamiento del componente activo. El valor de criticidad para el componente que tiene m modos de fallo es entonces: m
Cj =
∑ λ j × αi × βi × t j i =1
Debe tenerse en cuenta que el valor de criticidad no se relaciona con el propio término de criticidad. Simplemente es un valor calculado para algunos tipos de AMFEC teniendo en cuenta que es una medida relativa de la consecuencia de un modo de fallo y de su probabilidad de ocurrencia. Aquí el valor de criticidad es una medida del riesgo y no la medida de la probabilidad de ocurrencia. La probabilidad de ocurrencia del modo de fallo para un tiempo tj, Pi se determina a partir de la criticidad calculada:
Pi = 1 − e−Ci Cuando las tasas de fallo de los modos de fallo y los valores de criticidad resultantes son pequeños, puede decirse, de forma aproximada, que para las probabilidades de ocurrencia menores de 0,2 (donde la criticidad debería ser igual a 0,223), los valores de criticidad y probabilidad de fallo son muy similares. En caso de tasas de fallo o frecuencias de fallo variables, se calcula la probabilidad de ocurrencia en lugar de la criticidad que se basa en la suposición de una tasa de fallo constante (frecuencia). 5.3.4.1 Matriz de criticidad
La criticidad puede presentarse en una matriz de criticidad, como se muestra en la figura 3. Debería tenerse en cuenta que no hay una definición universal de criticidad sino que es necesario que el analista la defina y se acepte por parte de la dirección del proyecto o programa. Las definiciones difieren ampliamente entre diferentes sectores de aplicación.
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EN 60812:2006
- 26 -
Figura 3 − Matriz de criticidad
En la figura 3 se observa que la severidad aumenta en el sentido de los números, correspondiendo el número IV a la severidad más alta (la pérdida de vida humana o de la misión u operación, lesiones). La probabilidad de ocurrencia se representa en el eje Y también en orden ascendente. Si la categoría de probabilidad de ocurrencia más alta no excede de un valor de 0,2, los valores de probabilidad de ocurrencia y de criticidad son aproximadamente iguales. Una de las matrices que se ven a menudo tiene la siguiente escala: − valor de criticidad 1 o E, Improbable, probabilidad de ocurrencia: 0 ≤ Pi < 0,001; − valor de criticidad 2 o D, Remoto, probabilidad de ocurrencia: 0,001 ≤ Pi < 0,01; − valor de criticidad 3 o C, Ocasional, probabilidad de ocurrencia: 0,01 ≤ Pi < 0,1; − valor de criticidad 4 o B, Probable, probabilidad de ocurrencia: 0,1 ≤ Pi < 0,2; − valor de criticidad 5 o A, Frecuente, probabilidad de ocurrencia: Pi ≥ 0,2. La figura 3 se presenta sólo como ejemplo. Otros métodos pueden presentar criticidad o severidad con diferentes denominaciones y definiciones. En el ejemplo dado por la figura 3, el modo de fallo 1 tiene una probabilidad de ocurrencia más alta que el modo de fallo 2 que a su vez tiene una severidad más alta. La decisión sobre qué modo de fallo hay que considerar con mayor prioridad se toma dependiendo de la escala de severidad y de las categorías de frecuencia y los principios de clasificación. Mientras que en una escala lineal el modo de fallo 1 (como normalmente se sugiere por la matriz) tendría una criticidad más alta (o probabilidad de ocurrencia) que el modo de fallo 2, puede haber aplicaciones dónde la severidad tenga prioridad absoluta sobre la frecuencia, lo que hace que el modo de fallo 2 sea el más crítico. Otra observación evidente es que sólo pueden compararse adecuadamente en la matriz de criticidad los modos de fallo relacionados al mismo nivel de subdivisión del sistema, porque para modos de fallo de sistemas de baja complejidad, normalmente a menor nivel tienden a tener menor frecuencia. La matriz de criticidad (como la mostrada en la figura 3) puede aplicarse cualitativa y cuantitativamente como se ha explicado anteriormente.
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 27 -
EN 60812:2006
5.3.5 Evaluación de la aceptabilidad del riesgo
Cuando el producto final requerido del análisis es una matriz de criticidad, ésta puede representarse a partir de las severidades asignadas y de las frecuencias de los sucesos. La aceptabilidad del riesgo se define subjetivamente o se trata según decisiones profesionales y financieras y varía en diferentes tipos de industria. La tabla 3 da algunos ejemplos de categorías de aceptabilidad de riesgo y una matriz de criticidad modificada. Tabla 3 − Matriz de Riesgo/Criticidad Frecuencia de ocurrencia del efecto de fallo
Niveles de Severidad 1 Insignificante
2 Marginal
3 Crítico
4 Catastrófico
5: Frecuente
No deseable
Intolerable
Intolerable
Intolerable
4: Probable
Tolerable
No deseable
Intolerable
Intolerable
3: Ocasional
Tolerable
No deseable
No deseable
Intolerable
2: Remoto
Insignificante
Tolerable
No deseable
No deseable
1: Improbable
Insignificante
Insignificante
Tolerable
Tolerable
5.3.6 Tipos de AMFEC con escalas de clasificación
Los tipos de AMFEC descritos en el apartado 5.3.2 se usan comúnmente en la industria automovilística para el análisis de diseño del producto así como para el análisis del proceso de producción para ese producto. La metodología de análisis es la misma que la descrita de forma general para el AMFE o AMFEC excepto en que las definiciones están predeterminadas en tres tablas preparadas para Severidad, S, Ocurrencia, O y para Detección, D. 5.3.6.1 Determinación alternativa de la severidad
La tabla 4 muestra un ejemplo de valoraciones de severidad que se usan principalmente en la industria automovilística. Tabla 4 − Severidad del modo de fallo Severidad
Criterios
Clasificación
Ninguna
No hay efecto apreciable
1
Muy pequeña
Ajuste y acabado del elemento con chirrido o ruido no conforme. Defecto percibido por clientes exigentes (menos del 25%)
2
Menor
Ajuste y acabado del elemento con chirrido o ruido no conforme. Defecto percibido por el 50% de los clientes
3
Muy baja
Ajuste y acabado del elemento con chirrido o ruido no conforme. Defecto percibido por la mayoría de los clientes (más del 75%)
4
Baja
Vehículo o elemento operativo pero reducción en la operatividad de los elementos de confort y comodidad. Cliente de algún modo insatisfecho
5
Moderada
Vehículo o elemento operativo pero elementos de confort y comodidad no operativos. Cliente insatisfecho
6
Alta
Vehículo o elemento operativo pero con nivel de prestaciones reducido. Cliente muy insatisfecho
7
Muy alta
Vehículo o elemento no operativo. (Pérdida de función principal)
8
Peligroso con aviso
Muy alto rango de severidad cuando un modo de fallo potencial afecta a la operación segura del vehículo o supone el incumplimiento de leyes gubernamentales con aviso
9
Peligroso sin aviso
Muy alto rango de severidad cuando un modo de fallo potencial afecta a la operación segura del vehículo o supone el incumplimiento de leyes gubernamentales sin aviso
10
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EN 60812:2006
- 28 -
NOTA De SAE J1739.
Se asigna una categoría de severidad al efecto de cada modo de fallo basada en la severidad de las consecuencias del efecto en el funcionamiento y en la seguridad del sistema global, teniendo en cuenta los requisitos, objetivos y restricciones del sistema, considerando el vehículo como tal. Esto se realiza más fácilmente en la hoja del AMFEC. La determinación de la severidad según la tabla 4 es muy sencilla para valores de severidad 6 o superior. La determinación de la severidad de 3 a 5 puede ser subjetiva. 5.3.6.2 Determinación alternativa de la ocurrencia
La tabla 5 (también tomada de la industria automovilística) da ejemplos de medidas cualitativas de ocurrencia que pueden usarse en el concepto del NPR. Tabla 5 − Ocurrencia del modo de fallo relativa a la frecuencia y probabilidad de ocurrencia Ocurrencia del modo de fallo Remoto:
Categoría, O
Frecuencia
Probabilidad
1
≤ 0,010 por millar de vehículos o elementos
≤ 1 × 10-5
Bajo:
2
0,1 por millar de vehículos o elementos
1 × 10-4
Relativamente pocos fallos
3
0,5 por millar de vehículos o elementos
5 × 10-4
Moderado:
4
1 por millar de vehículos o elementos
1 × 10-3
Fallos ocasionales
5
2 por millar de vehículos o elementos
2 × 10-3
6
5 por millar de vehículos o elementos
5 × 10-3
Alto:
7
10 por millar de vehículos o elementos
1 × 10-2
Fallos repetidos
8
20 por millar de vehículos o elementos
2 × 10-2
Muy alto:
9
50 por millar de vehículos o elementos
5 × 10-2
Fallo casi inevitable
10
≥ 100 en millar de vehículos o elementos
≥ 1 × 10-1
Fallo improbable
NOTA Fuente: AIAG: Análisis de los Modos de Fallo Potenciales y sus Efectos, AMFE, Tercera Edición.
Debería tenerse en cuenta que en la tabla 5 el término "frecuencia" se emplea como una tasa de ocurrencia en número de oportunidades durante una misión o tiempo de vida designado, que puede compararse con una "fracción fallida" o probabilidad de ocurrencia y las correspondientes probabilidades reflejan simplemente esta fracción. Por ejemplo, un modo de fallo al que se asigna un valor de 0 de 9 causaría el fallo de uno de tres sistemas durante un periodo predeterminado de misión. Aquí la determinación de esta probabilidad de ocurrencia debe relacionarse con el periodo de tiempo de interés. Es aconsejable declarar este periodo de tiempo en el encabezado del análisis. Lo mejor es aplicar la probabilidad de ocurrencia calculada para los componentes y sus modos de fallo basándose en sus propias tasas de fallo cuando se aplican las condiciones de esfuerzo esperadas (ambiental y operativa). Cuando no se dispone de esta información, puede asignarse una estimación, pero haciendo esto, el equipo de análisis debe tener presente el significado de los valores de ocurrencia - el número de ocurrencias por mil vehículos en el periodo de tiempo predeterminado usado para el análisis (garantía, vida del vehículo, u otro); es la probabilidad calculada o estimada, de ocurrencia, de ese modo de fallo en un periodo de tiempo de interés. También se debe tener en cuenta que, a diferencia de la escala de severidad, la escala de ocurrencia no es lineal y tampoco logarítmica. Por consiguiente, debería tenerse en cuenta que cuando se calcula y evalúa el NPR el número resultante tampoco es lineal y debe tratarse con especial cuidado.
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 29 -
EN 60812:2006
5.3.6.3 Valoración de la probabilidad de detección de fallo En el concepto de NPR, tiene que estimarse la probabilidad de detectar un fallo; es decir, la probabilidad de que las características o ayudas del diseño o procedimientos de verificación detecten los modos de fallo potenciales a tiempo para prevenir un fallo a nivel de sistema. Para su aplicación en un proceso (el AMFE de proceso, o AMFEP), se hace referencia a la probabilidad de que un conjunto de procesos de control que están actualmente en su lugar estará en situación de descubrir y aislar un fallo antes de que se transmita a procesos posteriores o al producto final resultante. En particular, para productos genéricos que pueden usarse en varios sistemas y aplicaciones diferentes, puede resultar difícil estimar la probabilidad de detección. La tabla 6 da uno de los métodos relativos a criterios de detección, usado en la industria automovilística. Tabla 6 − Criterios de evaluación de la detección de los modos de fallo Detección
Criterio: Posibilidad de detección mediante Control de Diseño
Categoría
Casi segura
El Control de Diseño detectará casi con seguridad una causa o mecanismo potencial y el subsiguiente modo de fallo
1
Muy alta
Muy alta posibilidad de que el Control de Diseño detecte una causa o mecanismo potencial y el subsiguiente modo de fallo
2
Alta
Alta posibilidad de que el Control de Diseño detecte una causa o mecanismo potencial y el subsiguiente modo de fallo
3
Moderadamente alta
Moderadamente alta posibilidad de que el Control de Diseño detecte una causa o mecanismo potencial y el subsiguiente modo de fallo
4
Moderada
Posibilidad moderada de que el Control de Diseño detecte una causa o mecanismo potencial y el subsiguiente modo de fallo
5
Baja
Baja posibilidad de que el Control de Diseño detecte una causa o mecanismo potencial y el subsiguiente modo de fallo
6
Muy baja
Muy baja posibilidad de que el Control de Diseño detecte una causa o mecanismo potencial y el subsiguiente modo de fallo
7
Remota
Posibilidad remota de que el Control de Diseño detecte una causa o mecanismo potencial y el subsiguiente modo de fallo
8
Muy remota
Posibilidad muy remota de que el Control de Diseño detecte una causa o mecanismo potencial y el subsiguiente modo de fallo
9
Absolutamente incierto
El Control de Diseño no detectará una causa o mecanismo potencial ni el subsiguiente modo de fallo; o no hay Control de Diseño
10
NOTA Fuente: AIAG: Análisis de los Modos de Fallo Potenciales y sus Efectos, AMFE, Tercera Edición.
5.3.6.4 Evaluación de riesgo La aproximación descrita anteriormente es muy intuitiva y deberá continuarse con una clasificación de la prioridad de las acciones a realizar para asegurar el mayor nivel de seguridad al cliente. Por ejemplo, un modo de fallo con alta severidad, baja tasa de ocurrencia y muy alto índice de detección (por ejemplo 10, 3 y 2 respectivamente) puede tener un NPR mucho menor (en este caso 60) que uno que tenga todos los parámetros de un valor medio (por ejemplo 5 en cada caso, lo que resulta en un NPR de 125). Así a menudo se definen procedimientos adicionales para asegurar que se da prioridad y se mitigan primero los modos de fallo con categoría de severidad alta (por ejemplo 9 ó 10). En ese caso, la decisión debería guiarse por la magnitud de la severidad, en lugar de hacerlo exclusivamente por el NPR. En todos los casos, una buena práctica es ver el rango de severidad de un modo de fallo junto con el NPR para un mejor proceso de toma de decisión.
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EN 60812:2006
- 30 -
Los valores de prioridad de riesgo también se determinan en otros métodos de AMFE, sobre todo aquéllos que son, principalmente cualitativos. Con las tablas anteriores, se calculan los NPR y se usan a menudo como guía para atenuar el modo de fallo. Deben recordarse las precauciones indicadas en el apartado 5.3.2 y deben de tenerse presente las deficiencias del RPN. Algunas de las deficiencias del NPR son: − lagunas en los intervalos: el 88% del intervalo está vacío, se generan sólo 120 de 1 000 números; − NPR duplicados: para varias combinaciones de diferentes factores que llevan al mismo NPR; − sensibilidad a pequeños cambios: un pequeño cambio en un factor tiene un efecto mucho mayor cuando los otros factores son más grandes que cuando son pequeños (ejemplo: 9 × 9 × 3 = 243 y 9 × 9 × 4 = 324 contra 3 × 4 × 3 = 36 y 3 × 4 × 4 = 48); − escalado inadecuado: las proporciones en la tabla de ocurrencia no son proporcionales o lineales; por ejemplo la proporción entre dos valoraciones consecutivas, puede ser 2,5 ó 2; − escala inadecuada del NPR. Las diferencias en el valor de NPR podrían parecer despreciables aunque (no lo sean). Un ejemplo sería: los valores: S = 6, O = 4, D = 2, producirán un NPR = 48, mientras S = 6, O = 5 y D = 2 producirían un NPR = 60. El segundo NPR no es el doble del primero, aunque de hecho O = 5 es el doble de la probabilidad de ocurrencia que con O = 4. Por lo tanto los valores de NPR no deberían compararse linealmente; − conclusiones engañosas de la comparación de RPN pues los valores de la escala son ordinales y no racionales. La revisión de un NPR requiere cautela y buen juicio. Una buena práctica requeriría de una revisión completa de los valores de Severidad, Ocurrencia y Detección, antes de formar una opinión y emprender las medidas correctoras. 5.4 Informe del análisis 5.4.1 Contenido y alcance de un informe El informe de AMFE puede ser parte de un estudio más extenso o puede realizarse de forma independiente. En uno u otro caso, el informe debería incluir un resumen y un registro detallado del análisis y los diagramas de bloque o funcionales que definen la estructura del sistema. El informe debería contener también una lista de los diagramas (incluyendo la edición) en los que se basa el AMFE. 5.4.2 Resumen de los efectos Debería prepararse un listado de los efectos de los fallos en un sistema específico resaltados por el AMFE. La tabla 7 proporciona un conjunto típico de efectos de fallo para un motor de arranque de un vehículo y su circuitería. Tabla 7 − Ejemplo de un conjunto de efectos del fallo (para un motor de arranque del vehículo) 1
El motor de arranque falla al operar
2
Velocidad del motor de arranque menor que la especificada
3
El motor de arranque falla al engranar con el anillo del cambio
4
El motor de arranque funciona prematuramente
NOTA 1 Esta lista es sólo un ejemplo. Cada sistema o subsistema que se analiza tendrá su propio conjunto de efectos de fallo.
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 31 -
EN 60812:2006
Puede requerirse un resumen de efectos de los fallos para determinar la probabilidad de fallo del sistema resultante a partir de los efectos listados y para establecer las prioridades para las acciones preventivas o correctoras. El resumen de los efectos de los fallos debería basarse en la lista de efectos finales de fallo y debería contener detalles de los modos de fallo de los elementos que contribuyen a cada efecto de fallo. La probabilidad de ocurrencia para cada uno de los modos de fallo se calcula para el periodo predeterminado de tiempo de uso del elemento así como para el perfil de uso y las condiciones de esfuerzo esperadas. La tabla 8 ilustra un ejemplo de resumen de efectos de los fallos. Tabla 8 − Ejemplo de una probabilidad de efectos de los fallos Referencia de la contribución del modo de fallo
Probabilidad de ocurrencia del efecto de fallo
Número
Efecto
1
El motor de arranque falla al operar
1, 3, 7, 8, 9, 16, 21, 22
8 × 10-3
2
Velocidad del motor de arranque menor que la especificada
6, 11, 12, 19, 20
6 × 10-4
3
El motor de arranque falla al engranar con el anillo del cambio
2, 4, 5, 10, 13
1,1 × 10-5
4
El motor de arranque funciona prematuramente
14, 15, 17, 18
3,6 × 10-7
NOTA 2 Esta tabla puede construirse para otras clasificaciones cualitativas y cuantitativas de un elemento o un sistema.
El resumen también debería contener una breve descripción del método de análisis y del nivel al qué fue realizado, las hipótesis y las reglas básicas. Además debería incluir listados de lo siguiente: a) modos de fallo que producen efectos importantes; b) recomendaciones que deben tener en cuenta los diseñadores, el personal de mantenimiento, los planificadores y los usuarios; c) cambios de diseño que ya se han incorporado como resultado del AMFE; d) efectos que se mitigan por los cambios de diseño incorporados. 6
OTRAS CONSIDERACIONES
6.1 Fallos de causa común En un análisis de fiabilidad, no es suficiente considerar sólo los fallos independientes y aleatorios. Pueden ocurrir algunos fallos "de causa común" (FCC), que provoquen la degradación del funcionamiento del sistema o el fallo a través de deficiencias simultáneas en varios componentes del sistema, debido a una sola fuente, tales como errores de diseño (inadecuada reducción de esfuerzo de los componentes), esfuerzos medioambientales (rayo), o errores humanos. Los fallos de causa común (FCC) son aquellos fallos que desechan la hipótesis fundamental de que los modos de fallo considerados en el AMFE son independientes. El FCC provocará el fallo simultáneo o dentro de un periodo de tiempo suficientemente corto, de más de un elemento, con lo que tiene el efecto de fallos simultáneos. Típicamente, las fuentes de FCC incluyen − diseño: software, características nominales; − fabricación: defectos asociados a lotes de componentes;
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EN 60812:2006
- 32 -
− ambiente: interferencia eléctrica, ciclos de temperatura, vibración; − factores humanos: acciones de operación o mantenimiento incorrectas. El AMFE por consiguiente debe considerar posibles fuentes de FCC al analizar un sistema que utiliza redundancia para mantener la función o múltiples elementos para atenuar las consecuencias en caso de producirse un fallo. Un FCC es el resultado de un suceso que, debido a las dependencias lógicas, causa una coincidencia de estados de fallo en dos o más componentes (excluyendo fallos secundarios causados por los efectos de un fallo primario). Los fallos de causa común pueden estar en componentes idénticos con los mismos modos de fallo y debilidades utilizados en varias partes de un sistema - posiblemente redundante, donde la redundancia se anula. Los FCC pueden analizarse cualitativamente utilizando el AMFE, pero la capacidad del AMFE de analizar totalmente los FCC es bastante limitada. Sin embargo, el AMFE es un procedimiento para examinar sucesivamente cada modo de fallo y las causas asociadas, así como para identificar todas las pruebas periódicas, las medidas de mantenimiento preventivo, etc. que hace posible el estudio de todas las causas que pueden inducir un FCC potencial. Es útil combinar diversos métodos para prevenir o atenuar el FCC (el modelado del sistema, el análisis físico de los componentes): la diversidad funcional (donde las ramas redundantes o las partes del sistema que realizan la misma función no son idénticas y tienen diferentes modos de fallo), la separación física para eliminar la influencia de los esfuerzos ambientales o EMI (interferencias electromagnéticas) que causan un FCC, las pruebas, etc. Normalmente el AMFE no considera el examen de medidas preventivas contra los FCC. Sin embargo, estas medidas tienen que incluirse en la columna de comentarios, para ayudar a entender el AMFE completo. 6.2 Factores humanos Algunos sistemas tienen que diseñarse para prevenir o atenuar algunos errores humanos. Ejemplos de estas medidas son proporcionar bloqueos mecánicos en las señales de vía férrea y contraseñas para el uso de ordenadores o recuperación de datos. En un sistema donde existan tales medidas, el efecto del fallo de las medidas dependerá del tipo de error. Por otra parte, para un sistema libre de fallos, también deberían considerarse algunos modos de error humano para así verificar la efectividad de las medidas. Un listado parcial de estos modos, aunque sea incompleto, es beneficioso para la identificación de deficiencias de procedimiento y de diseño; la identificación de todas las posibles formas de error humano probablemente sea imposible. Muchos FCC implican errores humanos. Por ejemplo, el mantenimiento incorrecto de elementos similares puede anular la redundancia. Para evitar esto, a menudo se introducen materiales diferentes en los elementos redundantes. 6.3 Errores software Un AMFE realizado sobre el hardware de un sistema complejo puede tener repercusiones en el software del sistema. Así, las decisiones sobre los efectos, criticidad y probabilidades condicionales que resulten del AMFE pueden depender de los elementos software y su naturaleza y secuencia. Cuando sea éste el caso, tienen que identificarse claramente las interrelaciones entre el hardware y el software porque cualquier alteración posterior o mejora del software puede modificar el AMFE y las estimaciones derivadas de él. La aprobación del desarrollo y cambio del software puede estar condicionada por una revisión del AMFE y de las estimaciones relacionadas, por ejemplo la lógica del software puede alterarse para mejorar la seguridad a costa de la fiabilidad operativa. Los fallos de funcionamiento debidos a errores o insuficiencias del software tendrán efectos cuya importancia se determinará por el diseño del hardware y del software. El postulado de dichos errores o insuficiencias y el análisis de sus efectos sólo son posibles hasta cierto punto. Pueden estimarse los efectos de posibles errores de software en el hardware asociado y dicho análisis sugiere a menudo la provisión de planes alternativos en el software o en el hardware.
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 33 -
EN 60812:2006
6.4 AMFE respecto a las consecuencias de fallo del sistema Puede realizarse un AMFE de sistema sin referencia a ninguna aplicación particular y podría adaptarse posteriormente para el uso del proyecto. Esto se aplica a conjuntos relativamente pequeños que pueden considerarse en sí mismos como componentes genéricos (por ejemplo un amplificador electrónico, un motor eléctrico, una válvula mecánica). Sin embargo, es más habitual desarrollar un AMFE para un proyecto específico y tener que considerar las consecuencias particulares del fallo del sistema. Podría ser necesario clasificar los efectos de los fallos en el sistema según sus consecuencias, por ejemplo, fallo seguro, fallo reparable, fallo no reparable, misión degradada, misión fallida, efectos sobre los individuos, grupos o sociedad en general. La necesidad de relacionar un AMFE con la consecuencia última de fallo del sistema dependerá del proyecto y la relación entre el AMFE y otras formas de análisis, como el árbol de fallo, los diagramas de Markov, las redes de Petri, etc. 7
APLICACIONES
7.1 Uso del AMFE/AMFEC El AMFE es un método que se adapta principalmente al estudio de fallos de materiales y equipos y que puede aplicarse a categorías de sistemas basadas en diferentes tecnologías (eléctrica, mecánica, hidráulica, etc.) y combinaciones de las mismas o puede ser específico para piezas particulares del equipo, para sistemas o para proyectos en conjunto. El AMFE también debería incluir consideraciones del software y de las actuaciones humanas cuando sean relevantes para la confiabilidad del sistema. Un AMFE puede ser un estudio de aplicación general para estudiar varios procesos (médico, laboratorio, fabricación, desarrollo, educacional, etc.) que normalmente toma el nombre de AMFE de Proceso o AMFEP. Cuando se realiza un AMFE de proceso, siempre se hace atendiendo a la meta final o al objetivo de un proceso y entonces considera cada paso dentro de ese proceso como un elemento potencial que puede producir un resultado desfavorable para los otros pasos en el proceso o para el objetivo final del mismo. 7.1.1 Aplicación dentro de un proyecto El usuario debería determinar cómo y para qué se utiliza el AMFE dentro de su propia disciplina técnica. Puede usarse de forma exclusiva o para complementar y apoyar otros métodos de análisis de fiabilidad. Los requisitos para el AMFE se originan en la necesidad de entender el comportamiento del hardware y sus implicaciones para la operación del sistema o equipo. La necesidad del AMFE puede variar ampliamente de un proyecto a otro. El AMFE da soporte a la revisión de diseño y debería iniciarse lo más pronto posible en el periodo de diseño del sistema y del subsistema. El AMFE es aplicable a todos los niveles de diseño del sistema pero es más apropiado para niveles más bajos dónde está implicado un mayor número de elementos o la funcionalidad es compleja. Es esencial la formación especial del personal que realiza AMFE y debe haber una colaboración estrecha con los ingenieros y diseñadores del sistema. El AMFE debería actualizarse a medida que progresa el proyecto y se modifican los diseños. Al final del proyecto, el AMFE se utiliza para verificar el diseño y puede ser esencial para la demostración de conformidad de un sistema diseñado conforme a las normas, reglamentos y requisitos de usuario requeridos. La información proporcionada por el AMFE identifica las prioridades para el control estadístico del proceso, muestreo y pruebas de inspección durante la fabricación e instalación y para las pruebas de calificación, aprobación, aceptación y puesta en marcha. Proporciona información esencial para los procedimientos de diagnóstico y mantenimiento que se incluyen en los manuales. Para tomar una decisión de la magnitud y la forma en la que debería aplicarse el AMFE a un elemento o diseño, es importante considerar los objetivos específicos para los que se necesitan sus resultados, la sincronización con otras actividades y la importancia de establecer un grado predeterminado de sensibilidad y control sobre los modos de fallo y efectos no deseados. Esto lleva a la planificación del AMFE en términos cualitativos a niveles especificados (sistema, subsistema, componente, elemento) en relación con el proceso iterativo de diseño y desarrollo.
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EN 60812:2006
- 34 -
Para asegurar que es eficaz, debería establecerse claramente el lugar del AMFE en el programa de confiabilidad, junto con el tiempo, la mano de obra y otros recursos necesarios para hacerlo eficaz. Es vital que el AMFE no se abrevie para ahorrar tiempo y dinero. Si el tiempo y el dinero se recortan el AMFE debería concentrarse en las partes del diseño que son nuevas o se usan de forma novedosa. El AMFE puede dirigirse de forma rentable a áreas identificadas como cruciales por otros métodos de análisis. 7.1.2 Aplicación a un proceso Cuando se prepara para un proceso, la realización del AMFEP requiere lo siguiente: a) una definición clara de los objetivos del proceso. Cuando un proceso es complejo, su objetivo puede redefinirse como el objetivo global o el producto del proceso, objetivo o producto de un conjunto de secuencias o pasos del proceso y producto de un paso individual del proceso; b) entender los pasos individuales en el proceso; c) entender los defectos potenciales en cada paso del proceso; d) entender el efecto que cada defecto individual (fallo potencial) puede tener en el producto del proceso; e) entender las causas potenciales de cada uno de los defectos o potenciales fallos o averías del proceso. Si un proceso tiene más de un producto, puede entonces analizarse teniendo en mente el producto específico; esto es, se realiza un AMFEP para productos individuales. El proceso también puede analizarse en términos de sus pasos y los resultados potenciales desfavorables, lo que resultaría en un AMFEP generalizado para el proceso independientemente de los tipos de productos individuales. 7.2 Beneficios del AMFE Algunas de las aplicaciones y beneficios detallados del AMFE son: a) evitar modificaciones costosas mediante la temprana identificación de deficiencias de diseño; b) identificar fallos que, cuando ocurren solos o en combinación, tengan efectos inaceptables o significativos y para determinar los modos de fallo que pueden afectar seriamente al funcionamiento esperado o requerido; NOTA 1 Tales efectos pueden incluir fallos secundarios.
c) determinar la necesidad de métodos de diseño para la mejora de la fiabilidad (redundancia, esfuerzos operativos, fallo seguro (sin daño), selección del componente y atenuación de esfuerzos, etc.); d) proporcionar el modelo lógico requerido para evaluar la probabilidad o tasa de ocurrencia de condiciones anómalas de operación del sistema en la preparación del análisis de criticidad; e) revelar áreas con problemas de seguridad y responsabilidad del producto o el incumplimiento de requisitos reglamentarios; NOTA 2 Con frecuencia, se requerirán estudios individuales para la seguridad, pero el solapamiento es inevitable y por lo tanto es muy aconsejable la cooperación.
f) asegurar que el programa de pruebas de desarrollo puede detectar modos de fallo potenciales; g) enfocar las áreas importantes en las que concentrar el control de calidad, inspección y los controles del proceso de fabricación; h) ayudar definiendo diferentes aspectos de la programación y de la estrategia general de mantenimiento preventivo;
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 35 -
EN 60812:2006
i) facilitar o apoyar la determinación de criterios de ensayo, planes de ensayo y procedimientos de diagnóstico, por ejemplo: pruebas de funcionamiento, pruebas de fiabilidad; j) apoyar el diseño de secuencias de aislamiento de avería y apoyar la planificación de modos alternativos de funcionamiento y reconfiguración; k) proporcionar a los diseñadores una comprensión de los factores que influyen en la fiabilidad del sistema; l) proporcionar un documento final que demuestre que (y en qué grado) se ha tenido cuidado para asegurar que el diseño cumplirá su especificación en servicio. (Esto es especialmente importante en el caso de la responsabilidad del producto) . 7.3 Limitaciones y deficiencias del AMFE El AMFE es sumamente eficaz cuando se aplica al análisis de elementos que causan el fallo de todo el sistema o de una función importante del mismo. Sin embargo, el AMFE puede ser difícil y tedioso en el caso de sistemas complejos que tienen múltiples funciones que implican a conjuntos diferentes de componentes del sistema. Esto es debido a la cantidad de información detallada del sistema que hay que considerar. Esta dificultad puede aumentar por la existencia de varios posibles modos de operación, así como al considerar las políticas de reparación y mantenimiento. El AMFE puede ser un proceso laborioso e ineficaz a menos que se aplique de forma razonable. Deberían definirse los usos a los qué se aplicarán posteriormente los resultados y el AMFE no debería incluirse en las especificaciones de requisitos de forma indiscriminada. Cuando el AMFE trata de abarcar varios niveles en una estructura jerárquica puede haber complicaciones, equivocaciones y errores si se aplica redundancia en el diseño del sistema. No puede representarse eficazmente en el AMFE, cualquier relación entre modos de fallo o causas de modos de fallo individuales o colectivos, puesto que la suposición principal de dicho análisis es la independencia de los modos de fallo. Esta deficiencia se hace más pronunciada a la vista de las interacciones entre el software y el hardware dónde no se puede aplicar el supuesto de independencia. Puede encontrarse la misma dificultad al agregar las interacciones humanas con el hardware y el modelado de sus interdependencias. La suposición de independencia puede ocultar un modo de fallo que puede tener consecuencias drásticas como resultado de otro modo de fallo, aunque cada uno de ellos de forma independiente podría tener una baja probabilidad de ocurrencia. Los escenarios de interrelación se modelan mucho mejor cuando se emplea la aproximación al análisis de modo de fallo con la herramienta de AAF (IEC 60300-3-1, Edición 2). Es por tanto preferible que un AMFE se limite a relacionar sólo dos niveles en la estructura jerárquica. Por ejemplo, es una tarea relativamente sencilla identificar los modos de fallo de elementos y determinar sus efectos en el conjunto. Estos efectos entonces se convierten en los modos de fallo del siguiente nivel superior, por ejemplo, el módulo y así sucesivamente. Sin embargo, a menudo se llevan a cabo AMFE a múltiples niveles de forma acertada. Una deficiencia adicional del AMFE se halla en su incapacidad para proporcionar una medida de la fiabilidad del sistema global y por la misma razón no es capaz de proporcionar ninguna medida de las mejoras o de los compromisos de diseño. 7.4 Relaciones con otros métodos El AMFE (o AMFEC) puede usarse solo. Como método inductivo sistemático de análisis, el AMFE es el usado más a menudo para complementar otras aproximaciones, especialmente las deductivas, como el AAF. En la fase de diseño, es a menudo difícil decidir cuál es el enfoque dominante, el inductivo o el deductivo, pues ambos se combinan en los procesos de reflexión y análisis. Cuando se identifican los niveles de riesgo en las instalaciones y sistemas industriales, es preferible el enfoque deductivo pero el AMFE sigue siendo una herramienta útil de diseño. Sin embargo, debería complementarse con otros métodos. Particularmente en el caso en el que necesitan identificarse problemas y encontrarse soluciones en situaciones dónde hay que estudiar fallos múltiples y efectos secuenciales. El método usado depende primero del programa del proyecto.
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EN 60812:2006
- 36 -
Durante las primeras fases del diseño, cuando sólo se han definido las funciones, la estructura general del sistema y los subsistemas, puede representarse el funcionamiento correcto del sistema mediante un diagrama de bloques de fiabilidad o mediante una ruta de fallo de un árbol de fallos. Sin embargo, para ayudar a la representación de estos diagramas del sistema, debería aplicarse un proceso inductivo de AMFE a los subsistemas antes de diseñarlos. En estas circunstancias, la aproximación del AMFE no puede ser un procedimiento exhaustivo pero sí un procedimiento reflexivo no expresado fácilmente en un formato rígido de tabla. En general, al analizar un sistema complejo que implica varias funciones, numerosos elementos e interrelaciones entre estos elementos, el AMFE demuestra ser esencial pero no suficiente. El Análisis por Árbol de Fallo (AAF) es un método deductivo complementario para el análisis de los modos de fallo y sus respectivas causas. Traza las causas de bajo nivel de un supuesto fallo de alto nivel. Aunque puede usarse el análisis lógico y a veces se usa, para el análisis puramente cualitativo de las secuencias de fallo, normalmente es un precursor para estimar la frecuencia del fallo supuesto de alto nivel. El AAF es capaz de modelar la interdependencia de varios modos de fallo cuando dicha interacción podría producir un suceso de importantes proporciones y quizás de alta severidad. Esto es especialmente importante cuando la ocurrencia de un primer modo de fallo provocara la ocurrencia de otro con alta probabilidad y alta severidad. Este escenario no podría modelarse con éxito mediante un AMFE, donde cada modo de fallo se considera independiente e individualmente. Una de las deficiencias de un AMFE es su incapacidad para ver la interacción y la dinámica de ocurrencias de los modos de fallo en un sistema. El AAF se concentra en la lógica de sucesos coincidentes (o secuenciales) y alternativos que causan consecuencias no deseables. Puede producir un modelo correcto del sistema bajo análisis así como una estimación de su fiabilidad (o probabilidad de fallo) y también puede evaluar la influencia de las mejoras de diseño y la atenuación del modo de fallo en la fiabilidad del sistema global, lo que puede ser ventajoso. El formato de AMFE puede ser más descriptivo. Ambos métodos tienen usos en un análisis completo de seguridad y de confiabilidad en un sistema complejo. Sin embargo, si el sistema se basa principalmente en series lógicas, con pocas redundancias y pocas funciones, entonces el AAF es una forma innecesariamente complicada de presentar la lógica y de identificar los modos de fallo. En estos casos son adecuados el AMFE y los diagramas de bloques de fiabilidad. En otros casos dónde se prefiere el AAF, todavía es necesario mejorarlo con las descripciones de los modos de fallo y los efectos. La principal consideración en la selección del método de análisis debería depender de los requisitos particulares del proyecto, no sólo respecto a los requisitos técnicos sino también el plazo de ejecución, el coste, la eficacia y uso de los resultados. Las pautas generales son las siguientes: a) el AMFE es apropiado cuando se requiere un conocimiento completo de las características del fallo de un elemento; b) el AMFE es más adecuado para sistemas, módulos o conjuntos más pequeños; c) el AMFE es una herramienta esencial en la fase de investigación y desarrollo o fase de diseño cuando se tienen que identificar los efectos inaceptables de los fallos y encontrar soluciones; d) puede ser necesario un AMFE para elementos de diseño innovador y cuyas características de fallo no se puedan conocer de una experiencia operativa previa; e) el AMFE normalmente es más aplicable a sistemas que tienen un gran número de componentes a considerar que están relacionados predominantemente por una lógica de fallos serie; f) el AAF generalmente es más adecuado para el análisis de los modos de fallo múltiples y dependencias que implican lógicas de fallo y redundancias complejas. El AAF puede usarse a niveles más altos en la estructura del sistema en las primeras fases de diseño y puede ayudar a identificar la necesidad de realizar un AMFE detallado a niveles más bajos durante el diseño detallado.
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 37 -
EN 60812:2006
ANEXO A (Informativo) RESUMEN DE PROCEDIMIENTOS PARA EL AMFE Y AMFEC
A.1 Pasos para la realización del análisis Los pasos del procedimiento necesarios para realizar un análisis son los siguientes: a) Decidir si se requiere AMFE o AMFEC. b) Definir los límites del sistema para el análisis. c) Entender los requisitos y la función del sistema. d) Definir los criterios de éxito-fallo. e) Determinar los modos de fallo de cada elemento y sus efectos y registrarlos. f) Recopilar cada efecto de fallo. g) Recoger en un informe los resultados. Los pasos adicionales a realizar para el AMFEC son los siguientes: h) Determinar las categorías de severidad de fallo del sistema. i) Establecer la severidad de los modos de fallo de los elementos. j) Determinar las frecuencias de los modos de fallo de los elementos y de sus efectos. k) Determinar las frecuencias de los modos de fallo. l) Esbozar una matriz de criticidad para los modos de fallo del elemento. m) Recopilar la criticidad de los efectos de los fallos a partir de la matriz de criticidad. n) Esbozar una matriz de criticidad para los efectos de fallo del sistema. o) Recoger en un Informe los resultados a todos los niveles del análisis. NOTA En un AMFE puede acometerse la cuantificación de las frecuencias de los modos de fallo y del efecto realizando los pasos h), i) y j) al final del mismo.
A.2 Hoja de trabajo del AMFE A.2.1 Alcance de una hoja de trabajo La hoja de trabajo del AMFE recoge los detalles del análisis en una tabla. Aunque el procedimiento general de AMFE está normalizado, puede diseñarse una hoja de trabajo específica adaptada a los requisitos de la aplicación y del proyecto. La figura A.1 es un ejemplo de formato para una hoja de trabajo de AMFE.
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EN 60812:2006
- 38 -
A.2.2 Cabecera de la hoja de trabajo La cabecera del formulario recoge la siguiente información: − sistema, como un elemento final, identifica el elemento para el cual se identifican los efectos finales. Este identificador debería ser consecuente con la terminología usada en los diagramas de bloque, esquemáticos u otros dibujos; − modo de operación supuesto para el análisis; − elemento, se refiere al elemento (módulo, componente o parte) que se analiza en este hoja de trabajo; − nivel de revisión, fecha y nombre del analista que coordina el trabajo del AMFE así como los nombres de los miembros del equipo que proporciona información adicional, a efectos de control del documento. A.2.3 Entradas de la hoja de trabajo Las entradas para "Referencia del elemento" y "Descripción y función del elemento" son para identificar el objeto del análisis. La referencia debería ser la del diagrama de bloques u otros documentos de apoyo. Se da una breve descripción del elemento y su función. La forma en la que el elemento podría fallar se introduce en "Modo de fallo". El apartado 5.2.3 proporciona una guía para identificar los modos de fallo potenciales. Introducir un único identificador ("Código de modo de fallo”) para cada modo de fallo del elemento facilitará la recogida de resultados del análisis. Las causas más probables de los modos de fallo se listan en "Posibles causas de fallo". En "Efecto local" se da una descripción concisa de los efectos del modo de fallo en el elemento analizado. Una información similar se pone en la columna "Efecto final" para indicar los efectos del modo de fallo en el elemento final. En algunos análisis de AMFE es deseable evaluar el efecto del fallo a un nivel intermedio. En este caso se introduce el efecto en una columna adicional "Nivel superior siguiente". La identificación de los efectos de los modos de fallo se trata con mayor detalle en el apartado 5.2.5. En "Método de detección", se indica, una breve descripción de cómo se detecta el modo de fallo. El método de detección puede ser automático mediante el diseño de una característica de auto diagnóstico o puede requerir procedimientos de diagnóstico por parte del personal de operación o mantenimiento. Es importante identificar el método de detección para que el analista pueda asegurar que se realizará la acción correctora. Las características del diseño que atenúan el modo de fallo específico, tales como la redundancia, tiene que anotarse en "Medida de compensación contra el fallo". También debería anotarse aquí la compensación proporcionada por un mantenimiento específico o por acciones del operador. La "Categoría de severidad" identifica el nivel de severidad determinado por los analistas del AMFE. "Frecuencia o probabilidad de ocurrencia" identifica la tasa de ocurrencia del modo de fallo específico. La escala de frecuencia se ajusta para adaptarse a la aplicación (por ejemplo fallos por millón horas, fallos por distancia recorrida, es decir 1 000 km, etc.). La entrada "Comentarios" recoge las observaciones y recomendaciones de los analistas tal y como se describe en el apartado 5.3.4. A.2.4 Comentarios de la hoja de trabajo La última entrada de la hoja de trabajo debería recoger cualquier comentario pertinente para aclarar otras entradas. Pueden registrarse posibles acciones futuras tales como recomendaciones para mejoras del diseño y luego pueden ampliarse en el informe. Esta columna puede también incluir lo siguiente:
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 39 -
a) cualquier condición inusual; b) efectos de los fallos de elementos redundantes; c) reconocimiento de características del diseño especialmente críticas; d) cualquier comentario que amplíe la entrada; e) referencias a otras entradas para el análisis secuencial de fallo; f) requisitos de mantenimiento significativos; g) causas dominantes de fallo; h) efectos dominantes de fallo; i) decisiones tomadas, por ejemplo en la revisión del diseño.
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EN 60812:2006
Modo de fallo
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Efecto local
Efecto final
Método de detección Categoría de severidad
Figura A.1 − Ejemplo del formato de una hoja de trabajo de AMFE
Posibles causas de fallo Medidas de compensación contra el fallo
Descripción y función del elemento
Código del modo de fallo
Ref. Elemento
Fecha:
Revisión:
Periodo de operación:
Preparado por:
Elemento:
Elemento final:
AMFE
Frecuencia o probabilidad de ocurrencia
Comentarios
EN 60812:2006 - 40 -
- 41 -
EN 60812:2006
ANEXO B (Informativo) EJEMPLOS DE ANÁLISIS
B.1 Ejemplo 1 − AMFEC de una parte de la electrónica de un automóvil con cálculo del NPR En la figura B.1, se presenta una pequeña parte de un AMFEC extenso realizada para un producto automovilístico. El conjunto analizado es la fuente de alimentación y sólo sus conexiones a la batería. La línea de la batería tiene un diodo D1 y un condensador C9 que conectan el borne positivo de la batería a masa. El diodo está inversamente polarizado de forma que si el borne negativo de la batería se conecta al elemento, esta tensión negativa se cortocircuitaría a masa, protegiendo de daños al elemento. El condensador es un filtro EMI. Si cualquiera de estos componentes se cortocircuitara a masa, la batería también se cortocircuitaría a masa lo qué podría llevar a agotar la batería del vehículo. Dicho fallo seguramente no tenga una advertencia y un fallo de "regreso andando a casa" se considera arriesgado en la industria automovilística. Por lo tanto, para los modos de fallo de ambos componentes en "corto", la categoría de S es 10. Las ocurrencias se calculan a partir de las tasas de fallo de componentes bajo sus respectivos niveles de esfuerzo durante la vida del vehículo y luego se emparejan a la escala de O del AMFE del automóvil. La detección es muy baja, pues poner en cortocircuito cualquiera de los componentes se notaría inmediatamente en la prueba − elemento no operativo. El circuito abierto de cualquiera de los componentes anteriores no causaría daño al elemento, excepto si el diodo se abre, pues entonces no habría ninguna protección de polaridad inversa de la batería, mientras que si se abre el condensador, no habría ningún filtro EMI − posible ruido para otro equipo en el vehículo. Hay una bobina, L1, entre la batería y la circuitería del elemento, principalmente como filtro. Si la bobina se abre, el elemento no estaría operativo pues la batería estaría desconectada y el indicador de aviso no se iluminaría. Las bobinas tienen una tasa de fallo muy baja, por lo que la ocurrencia es 2. La resistencia R91 lleva la tensión de la batería a los transistores de conmutación; si falla en abierto, inutilizaría el elemento, lo qué también sería severidad 9. Puesto que las resistencias tienen una tasa de fallo muy baja, la ocurrencia es 2. La detección es 1, puesto que el elemento no estaría operativo.
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Conjunto
Subsistema
Alimentación V1
Corto
Abierto
Abierto
Abierto
C9
L1
R91
Componente
C9 10
Elemento inoperativo. No hay visualización de aviso
Elemento inoperativo. No hay visualización de aviso 9
9
Operación del 2 elemento fuera de especificación
Batería agotada (Regreso andando a casa)
No apreciable 2
CLASE
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR Defecto inherente al componente
Defecto inherente al componente
Defecto inherente al componente
Defecto inherente al componente
Defecto inherente al componente
Defecto inherente al componente
3
Soldadura o grieta en el material
Ruptura del material
Dieléctrico abierto, fuga, vacío o grieta
Ruptura del dieléctrico o grieta
2
2
2
3
Soldadura o 3 semiconducto ro grieta
Ruptura del material
Detalle de la causa o mecanismo potencial del fallo
Selección de mayor nivel de calidad o valor nominal Selección de mayor nivel de calidad o valor nominal Selección de mayor nivel de calidad o valor nominal Selección de mayor nivel de calidad o valor nominal Selección de mayor nivel de calidad o valor nominal Selección de mayor nivel de calidad o valor nominal
Controles de previsión actuales en el diseño
Pruebas de 1 evaluación y validación de la fiabilidad
Pruebas de 1 evaluación y validación de la fiabilidad
Pruebas de 1 evaluación y validación de la fiabilidad
Pruebas de 1 evaluación y validación de la fiabilidad
Pruebas de 2 evaluación y validación de la fiabilidad
Pruebas de 1 evaluación y validación de la fiabilidad
Controles de detección actuales en el diseño
18
18
4
30
12
30
Acción recomendada
Figura B.1 − AMFE para una parte de la electrónica del automóvil con cálculo del NPR
No hay tensión para el conmutador
Sin V1-
Sin filtro EMI
Tensión + de la batería en corto con masa -
Sin protección de tensión inversa
10
SEVERIDAD
Abierto
Batería agotada (Regreso andando a casa)
Efecto final
Causa o mecanismo potencial del fallo OCURRENCIA
D1
Tensión + de la batería en corto con masa -
Efecto local
Efecto potencial del fallo DETECCIÓN
Corto
Modo de fallo potencial NPR
D1
Función del elemento
Responsabilidad y fecha de finalización fijada Acción tomada
Resultados de la acción
EN 60812:2006 - 42 -
NPR
Ocurrencia Detección
Severidad
- 43 -
EN 60812:2006
B.2 Ejemplo 2 − AMFE para un grupo generador Este ejemplo ilustra la aplicación de la técnica del AMFE a un grupo generador (G-M). El objetivo del estudio se reduce sólo a ese sistema y no se preocupa de los efectos de fallo en cualquier carga alimentada eléctricamente por el grupo GM o cualquiera otro efecto externo de los fallos. Por lo tanto, esto define los límites del análisis. El ejemplo, mostrado sólo en parte, ilustra cómo se representa el sistema en forma de un diagrama de bloques jerárquico. La subdivisión inicial identifica cinco subsistemas (véase la figura B.2) y uno de éstos, el sistema de calefacción, ventilación y refrigeración, se desarrolla en niveles más bajos de la estructura jerárquica hasta el nivel de componente en el que se decide empezar el AMFE (véase la figura B.3). Los diagramas de bloques también muestran el sistema de numeración adoptado que se usa como una referencia cruzada con las hojas de trabajo del AMFE. Se muestra un ejemplo de una hoja de trabajo para uno de los subsistemas del grupo G-M (véase la figura B.4), qué generalmente se ajusta al formato recomendado en ésta norma. Un requisito previo esencial para un AMFE así es la definición y clasificación de la severidad de los efectos de fallos en el sistema G-M completo. Para la aplicación específica del sistema del ejemplo, se definen en la tabla B.1. Tabla B.1 − Definición y clasificación de la severidad de los efectos de fallos en el sistema de G-M completo Nivel
Severidad
Descripción
5
Catastrófica
Fallo para generar potencia durante el resto de la misión
4
Crítica
Degradación del sistema durante el resto de la misión
3
Mayor
Pérdida de generación de potencia debido a un apagón forzado hasta la reparación
2
Menor
Degradación temporal del sistema hasta su conveniente reparación
1
Insignificante
Sin pérdida o degradación significativa de la capacidad de generación
Figura B.2 − Diagrama de subsistemas de un grupo generador
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 44 -
Figura B.3 − Diagrama del sistema de calefacción, ventilación y refrigeración
EN 60812:2006
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Función
Calefactores
Caja terminal del calefactor, terminales y cables
20.1.2
(sólo está en uso cuando la máquina no está operando)
Conectar alimentación a los calefactores
Calentar recinto
Todas Sistema de calefactores (12 apagado – 6 apagado en cada final)
Componente
20.1.1
20.1
Referencia
Este documento ha sido adquirido por SGS TECNOS, S.A. el 6 de Julio de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
insignificante Supervisar alimentación
Pérdida de todo el calentamiento – condensación
b) terminales en corto circuito
Figura B.4 − AMFE para el subsistema 20
2,0
0,5
Temperatura