164

Boletín IIE octubre-diciembre-2012 Artículo de investigación

Integración de árboles de falla, taxonomías y diagramas de niveles para realizar Análisis de Causa Raíz Juan Arellano Gómez, Rogelio Rea Soto y Roberto Calixto Rodríguez Artículo presentado en la 34 Reunión Anual de la Sociedad Nuclear Española, Murcia, España, del 29 al 31 de octubre de 2008.

Abstract With the increasing emphasis that regulators and nuclear industry are giving to corrective and preventive actions, it is of great importance to have methods and tools to adequately perform Root Cause Analysis (RCA) of relevant events. In this context, it is often proposed in the literature the use of fault trees as a tool to carry out RCA for relevant events; however, it is not clearly shown how fault trees can be effectively applied to systematically identify root causes of a specific event. Broadly speaking, fault trees are developed, and are very helpful, while answering questions related to what happened? and how did it happen?, but the question why did it happen? requires some more detailed questioning for which the structure of the fault tree is not necessarily the best choice. Applying only fault trees, for RCA, not necessarily systematizes the process of identifying true root causes of a specific relevant event. This paper proposes and describes a methodology to use fault trees to effectively perform RCA; in particular, the methodology proposes to link Fault Trees, Root Cause Taxonomies and Level Diagrams. Thus, to analyze an event using the proposed methodology, the following tasks shall be performed: (a) Develop one or more fault trees to respond the questions “what happened?” and “how did it happen?”; (b) Analyze the fault tree basic events that mostly contribute to the occurrence of the relevant event by using a Root Cause Taxonomy in order to identify root causes (why the event occurred?) and (c) Use the levels diagram technique to refine the root causes obtained and identify the hierarchical levels of the organization that need to be involved to correct them. The methodology also establishes and clarifies the concept of causal factor, which allows the analyst to perform a very formal and systematic RCA. Finally, the use of the proposed methodology is illustrated by its application to a case study.

Artículo de investigación Integración de árboles de falla, taxonomías y diagramas de niveles para realizar Análisis de Causa Raíz

Resumen En el contexto de los Análisis de Causa Raíz (ACR), frecuentemente se menciona y propone en la literatura el uso de los Árboles de Falla cómo una herramienta para realizar ACR de eventos relevantes, sin embargo, no se aclara ni muestra cómo esta técnica puede aplicarse para identificar de manera efectiva las causas raíz (CR) del evento. Generalmente, los Árboles de Falla se desarrollan, y son muy útiles, para responder a las preguntas ¿qué ocurrió? y ¿cómo ocurrió?; sin embargo, la pregunta ¿por qué ocurrió? requiere de un cuestionamiento de mayor profundidad para lo cual la estructura del árbol no es necesariamente la mejor opción. Aplicar únicamente la técnica de Árboles de Falla para realizar el ACR de un evento no sistematiza verdaderamente la forma de identificar las CR. En este trabajo se propone y describe una metodología que permite utilizar los Árboles de Falla para efectivamente realizar ACR; en particular, la metodología plantea ligar los Árboles de Falla con Taxonomías de Causas Raíz y con la técnica de Diagrama de Niveles. De esta forma, para analizar un evento usando la metodología propuesta en este trabajo, se deben realizar las siguientes tareas: (a) Desarrollar uno o varios árboles de fallas para responder al ¿qué ocurrió? y ¿cómo ocurrió?, (b) Analizar los eventos básicos del árbol que mayormente contribuyen a la ocurrencia del evento mediante una Taxonomía de Causa Raíz, para de esta forma identificar las CR (¿por qué ocurrió el evento?) y (c) Utilizar la técnica de Diagrama de Niveles para refinar las CR obtenidas e identificar los niveles jerárquicos de la organización que deben corregirlas. La metodología propuesta también establece y aclara el concepto de factor causal para permitir al analista realizar el ACR dentro de un

165

contexto formal y sistemático. Finalmente, se ilustra la utilidad de la metodología mediante su aplicación a un caso de estudio.

• Son causas de alto nivel que agrupan y etiquetan a ciertos “tipos de deficiencias”.

Introducción

• Son causas que el sistema de gestión en cuestión (seguridad, calidad, etc.) tiene el control para corregir.

Con el énfasis cada vez mayor que los organismos reguladores y empresas de la industria nuclear están dando a las acciones correctivas y preventivas, resulta de gran importancia contar con métodos y herramientas que permitan realizar adecuadamente los Análisis de Causa Raíz (ACR) de eventos relevantes (Institute of Nuclear Power Operations, 1990). El ACR es un proceso diseñado para identificar y categorizar las “causas raíz” de “eventos relevantes” que impactan la seguridad, salud, medio ambiente, calidad, confiabilidad y/o producción. El término “evento relevante” se utiliza de manera genérica para identificar las ocurrencias (eventos) que producen, o tienen el potencial de producir, los mencionados impactos (Rooney and VandenHeuvel, 2004). Cuando un evento relevante se presenta, el ACR ayuda a responder no únicamente las preguntas ¿qué ocurrió? y ¿cómo ocurrió?, sino también ¿por qué ocurrió? Solamente cuando se ha determinado ¿por qué? un evento ocurrió (a nivel de causas raíz), se podrán establecer acciones correctivas que prevengan la recurrencia de este evento y también de eventos similares. Aunque existe gran diversidad (y también cierta confusión) en torno a la definición de causa raíz, en general puede establecerse que las causas raíz tienen las siguientes características: • Son causas específicas fundamentales que, si se corrigen, prevendrán la ocurrencia del mismo evento y de eventos similares.

• Son causas para las cuales pueden generarse recomendaciones con el fin de evitar su recurrencia. Aunque no necesariamente agrupadas como se muestra a continuación, típicamente se desarrollan las siguientes actividades para realizar el ACR de un evento relevante (Institute of Nuclear Power Operations, 1990; Rooney and VandenHeuvel, 2004; EQE International, 1999): Etapa 1. Recolección de datos. Etapa 2. Análisis de los datos (determinación y validación de las causas raíz). Etapa 3. Generación e implantación de recomendaciones. Etapa 4. Difusión de los resultados interna y externamente a interesados directos y potenciales. Etapa 5. Revisión de la efectividad de las acciones implantadas. Para realizar la Etapa 2, se han propuesto una gran variedad de metodologías (Institute of Nuclear Power Operations, 1990; U.S. Department of Energy, 1999), entre las que destacan: Diagrama/Análisis de Eventos y Factores Causales, Análisis de Barreras, Análisis de Cambios, Diagrama de Niveles, etc.

166

Boletín IIE octubre-diciembre-2012 Artículo de investigación

En este contexto, frecuentemente se menciona y propone en la literatura el uso de los Árboles de Falla (Vesely and Goldberg, 1981) como una herramienta para realizar ACR (Institute of Nuclear Power Operations, 1990; U.S. Department of Energy, 1999; Ericson, 2000); sin embargo, no se aclara ni muestra como esta técnica (típicamente usada como una herramienta proactiva para predecir las causas potenciales de eventos indeseados) puede aplicarse para identificar de manera efectiva las causas raíz de un evento. Generalmente, los árboles de falla se desarrollan, y son muy útiles, para responder a las preguntas ¿qué ocurrió? y ¿cómo ocurrió?; sin embargo, la pregunta ¿por qué ocurrió? requiere de un cuestionamiento de mayor profundidad para lo cual la estructura del árbol no es necesariamente la mejor opción. Aplicar únicamente la técnica de Árboles de Falla para realizar el ACR de un evento no sistematiza verdaderamente la forma de identificar las causas raíz. En este trabajo se propone y describe una metodología que permite utilizar la técnica de Árboles de Falla para efectivamente realizar ACR; en particular, la metodología plantea ligar los Árboles de Falla con Taxonomías de Causas Raíz (Institute of Nuclear Power Operations, 1990; EQE International, 1999) y con la técnica de Diagrama de Niveles (U.S. Department of Energy, 1999). De esta forma, para analizar un evento con la metodología propuesta en este trabajo se deben realizar las siguientes tareas:

se analizan los eventos básicos del árbol que mayormente contribuyen a la ocurrencia del evento, para de esta forma identificar las causas raíz (¿por qué ocurrió el evento?). • Finalmente, la técnica de Diagrama de Niveles (U.S. Department of Energy, 1999) se utiliza para refinar las causas raíz obtenidas e identificar los niveles jerárquicos en la organización responsables de corregirlas. La metodología propuesta también extiende y establece algunos conceptos (factores causales, causa directa, factores contribuyentes, etc.) para permitir al analista realizar el ACR dentro de un contexto más sistemático y formal. Finalmente, la utilidad de la metodología se ilustra mediante su aplicación a un caso de estudio.

Descripción de la metodología La Figura 1 muestra el proceso global para realizar ACR; la metodología que propone este trabajo se encuentra ubicada dentro de

• Desarrollar uno o varios árboles de fallas para responder a las preguntas ¿qué ocurrió? y ¿cómo ocurrió? • Mediante una Taxonomía de Causa Raíz (Institute of Nuclear Power Operations, 1990; EQE International, 1999)

Figura 1. El proceso de análisis de causa raíz.

la etapa de análisis de datos. La recolección de datos debe iniciarse tan pronto como sea posible después de ocurrir el evento relevante. Sin un adecuado proceso de recolección de datos que permita entender el evento, los factores causales difícilmente podrán ser identificados; los datos incluyen evidencia humana, física y documental. El análisis de datos consiste en determinar, a partir de la información recolectada, los factores causales del evento (ver sección “factores causales”). En esta etapa, el esfuerzo debe enfocarse a determinar y validar sistemáticamente los factores causales básicos (las causas raíz) del evento. La siguiente actividad es generar recomendaciones que eviten la recurrencia de las causas raíz del evento; al evitar que estas causas vuelvan a ocurrir, se estará también minimizando la posibilidad de recurrencia del evento relevante y de eventos similares. La difusión tanto interna como externa del evento, de los resultados del ACR y de las lecciones aprendidas es de fundamental importancia para el aprendizaje en las organizaciones; una adecuada difusión contribuye a que otras áreas y organiza-

Artículo de investigación Integración de árboles de falla, taxonomías y diagramas de niveles para realizar Análisis de Causa Raíz

ciones no cometan los mismos errores que provocaron el evento.

continuación se describe cada una de las etapas de la metodología en detalle.

Finalmente, un adecuado seguimiento de la efectividad de las acciones correctivas es necesario para asegurar que las causas raíz identificadas no vuelvan a presentarse.

Factores causales

Metodología para determinar y validar causas raíz Como se ha mencionado, este trabajo propone una metodología para realizar de manera efectiva el análisis de datos (determinación y validación de las causas raíz) en estudios de ACR. En particular la metodología plantea ligar los Árboles de Falla (Vesely and Goldberg, 1981) con Taxonomías de Causas Raíz (Institute of Nuclear Power Operations, 1990; Rooney and Vanden-Heuvel, 2004; EQE International, 1999) y con la técnica de Diagrama de Niveles (U.S. Department of Energy, 1999). La figura 2 muestra el proceso propuesto para determinar y validar las causas raíz de un evento relevante. La idea de la metodología es utilizar el árbol de fallas para modelar cómo ocurrió el evento relevante y obtener así los factores causales contribuyentes (ver sección “factores causales”); estos últimos podrían alimentarse para obtener los factores causales básicos (causas raíz, ver sección “factores causales”) ya sea mediante una técnica basada en taxonomías o bien empleando la técnica de Diagrama de Niveles. Sin importar cual técnica se usó para determinar las causas raíz, el Diagrama de Niveles identificará los niveles jerárquicos en la organización que tienen la posibilidad de corregirlas. A

Al realizar el ACR de un evento relevante se buscan los eventos y condiciones que lo produjeron o contribuyeron a su ocurrencia; a estos eventos y condiciones se les denomina factores causales del evento relevante. Es muy importante tomar en cuenta que el análisis detallado de un evento relevante (por ejemplo un accidente), normalmente revelará tres niveles de factores causales: directos, contribuyentes (o indirectos) y raíz (básicos). Los factores causales directos (o causas directas, FCD) son los eventos o condiciones inmediatas que causaron el evento relevante; por ejemplo en el caso de un accidente la causa directa es la liberación

167

no planeada de energía y/o material peligroso que ha entrado en contacto con uno de los blancos potenciales (personas, instalaciones, medio ambiente, etc.). Normalmente los FCD pueden describirse mediante una oración, por ejemplo: “La causa directa del accidente fue la activación inadvertida de los circuitos eléctricos que iniciaron la liberación de CO2 en un espacio ocupado” Aunque importantes para entender el evento relevante, el análisis no debe detenerse cuando se han identificado únicamente los FCD, ya que estos no proporcionan suficiente información para proponer recomendaciones que eviten la recurrencia del evento. Los factores causales contribuyentes (FCC) son los eventos y condiciones que colecti-

Figura 2. Método propuesto para determinar y validar causas raíz.

168

Boletín IIE octubre-diciembre-2012 Artículo de investigación

vamente (conjuntamente) incrementaron la posibilidad de ocurrencia del accidente; individualmente no causaron el evento relevante, pero fueron necesarios para que ocurriera. Típicamente, los FCC están presentes desde tiempo antes de la ocurrencia del evento relevante y/o se han manifestado previamente. Los FCC pueden considerarse como los eventos o condiciones que conformaron “el escenario o ambiente propicio” para que ocurriera el evento relevante; si se permite que persistan o vuelvan a ocurrir es muy probable que el evento se repita. Al utilizar la metodología propuesta en este trabajo, los árboles de falla proporcionan una excelente herramienta para identificar los FCC del evento relevante (ver sección “desarrollo del árbol de fallas del evento relevante”). Los factores causales raíz (o causas raíz, CR), son aquellos que al corregirse prevendrán la recurrencia del evento relevante y de eventos similares. Las CR podrían derivarse de agrupar varios FCC. En general las CR son causas de alto nivel que agrupan y etiquetan a ciertos “tipos de deficiencias”; para las CR deben generarse recomendaciones con el fin de evitar su recurrencia. Los métodos de Taxonomías y el Diagrama de Niveles buscan identificar las CR a partir de los FCC (ver secciones “uso de taxonomías para obtener las causas raíz y “aplicación del diagrama de niveles”).

Desarrollo del árbol de fallas del evento relevante El Análisis de Árboles de Falla surgió como una técnica proactiva para predecir las causas potenciales de eventos indeseados y en ese contexto ha sido señalada como una poderosa herramienta para realizar análisis de riesgos. Posteriormente, se propuso también

como una técnica reactiva para realizar ACR de eventos relevantes (accidentes, defectos de producción, etc.); sin embargo, el marco conceptual de esta última aplicación no se encuentra totalmente formalizado y típicamente no se aclara ni muestra cómo esta técnica puede usarse para identificar de manera efectiva las causas raíz de un evento. Generalmente, cuando se aplican para analizar eventos relevantes, los árboles de falla se desarrollan, y son muy útiles, para responder a las preguntas ¿qué ocurrió? y ¿cómo ocurrió?; sin embargo, la pregunta ¿por qué ocurrió? (i.e. las causas raíz), requiere de un cuestionamiento de mayor profundidad para lo cual la estructura del árbol no es necesariamente la mejor opción. Aplicar únicamente la técnica de Árboles de Falla para realizar el ACR de un evento no sistematiza verdaderamente la forma de identificar las causas raíz. En este trabajo se propone utilizar los Árboles de Falla para obtener los FCC del evento relevante (ver sección “factores causales”) y alimentar estos FCC a técnicas más adecuadas para identificar las causas raíz (figura 2). Aunque muy similares en concepto, existen importantes diferencias en alcance y procedimiento entre la forma de desarrollar árboles de fallas1 con aplicación proactiva (ej. análisis de riesgos) versus el desarrollo de árboles de falla reactivos (ej. para analizar un accidente). Algunas de las principales diferencias son: • Cuando se aplican al ACR, los árboles de falla se desarrollan con base en la

1 El lector no familiarizado con los elementos de construcción de árboles de falla encontrará en la referencia Vesely and Goldberg, 1981 un excelente soporte.

evidencia que se ha recopilado acerca del evento relevante (i.e. ramas que por la evidencia se sabe no pueden haber ocurrido, no requieren ser desarrolladas). En contraste, cuando se desarrollan para un análisis de riesgos, el analista debe asegurarse de desarrollar todas las ramas del árbol que tienen el potencial de ocurrir. • Dado que el evento relevante con toda certeza ha ocurrido, la evaluación cuantitativa de los árboles de falla no es de gran interés cuando se aplican al ACR; contrariamente, la evaluación cualitativa (obtención de los Conjuntos Mínimos de Corte, CMC) (Vesely and Goldberg, 1981) es de gran relevancia, porque el análisis de los CMC obtenidos a partir de las ramas soportadas con evidencia, permitirá identificar la secuencia de eventos que produjo el evento relevante. • La experiencia de los autores de este trabajo indica que, para árboles aplicados al ACR, el nivel de detalle al que se deben desarrollar las ramas para las que existe evidencia es generalmente mayor que el requerido en aplicaciones de análisis de riesgos. La Figura 3 muestra el proceso recursivo para desarrollar un árbol de fallas aplicado al ACR. El primer paso consiste en establecer al evento relevante a analizar como el evento tope (Vesely and Goldberg, 1981) del árbol; hecho esto, se deberá desarrollar el siguiente nivel del árbol determinando las combinaciones de eventos y condiciones que pueden ocasionar que el mencionado evento ocurra. Si dos o más eventos deben necesariamente ocurrir para ocasionarlo, se utilizará una compuerta AND (Y) para relacionar este nivel con el superior; por

Artículo de investigación Integración de árboles de falla, taxonomías y diagramas de niveles para realizar Análisis de Causa Raíz

INICIO Evento_en_Turno = Evento_Relevante PROCEDIMIENTO ÁRBOL (Evento_en_Turno) DESARROLLE las causas inmediatas (siguiente nivel) del Evento_en_Turno DO WHILE existan causas inmediatas del Evento_en_Turno por analizar IF (Causa_Inmediata_en_Turno) pudo haber ocurrido de acuerdo con la evidencia

THEN IF se desea desarrollar la causalidad de Causa_Inmediata_en_Turno



THEN



PROCEDIMIENTO ÁRBOL (Causa_Inmediata_en_Turno)



ELSE



FIN PROCEDIMIENTO ÁRBOL



END_IF ELSE no desarrolle la causalidad de Causa_Inmediata_en_Turno END_IF END_DO

FIN PROCEDIMIENTO ÁRBOL FIN

Figura 3. Proceso recursivo para desarrollar árboles de falla para ACR. ejemplo, las condiciones necesarias para que exista un incendio son una cantidad adecuada de combustible y oxígeno y una fuente de ignición. De otra forma, si existen varias formas en que un evento pueda ocurrir, se deberá utilizar una compuerta OR (O); por ejemplo, el combustible de un incendio podría ser gasolina o papel. Para cada nivel desarrollado del árbol, deberán generarse preguntas para discernir si cada rama en el nivel ha o no contribuido al evento relevante (i.e. ¿qué evidencia existiría si esta rama fuera verdadera?). La existencia o no de evidencia

para soportar la credibilidad de cada rama permitirá decidir entre continuar o no desarrollando más cada uno de ellas (i.e. ¿la evidencia encontrada soporta o refuta la ocurrencia de esta rama?). Cuando una rama esté completamente desarrollada (de acuerdo con el criterio del analista) se continuará con otra, y así sucesivamente hasta tener un modelo suficientemente detallado. Como criterio práctico, podría considerarse que una rama está suficientemente desarrollada cuando su detalle permite entender claramente cómo los eventos básicos en ella contribuyen al evento relevante.

169

El modelo se considera suficientemente desarrollado cuando permite entender claramente cómo ocurrió el accidente; en este momento los eventos básicos del árbol se considerarán los FCC. Cuando el árbol muestre más de una manera en que el evento relevante pudiese haber ocurrido y no exista evidencia que permita discernir entre ellas, se deberá continuar el análisis considerando a todas ellas como las causas potenciales responsables del evento relevante (incluso generar recomendaciones tendientes a evitarlas).

Uso de taxonomías para obtener las causas raíz Una vez desarrollado el árbol de fallas, se reconocerá como FCC a los eventos básicos del árbol que la evidencia indica que ocurrieron. Normalmente, los FCC (eventos y condiciones) se presentan agrupados en uno o varios CMC. La metodología propuesta establece (figura 2) que los FCC se alimenten a alguna taxonomía de causa raíz para obtener las CR del evento relevante; otra posibilidad es utilizar directamente la técnica de Diagrama de Niveles para lograr este objetivo. Cuál método utilizar dependerá del criterio y recursos del analista. En la literatura se han propuesto muchas taxonomías de causa raíz (Institute of Nuclear Power Operations, 1990; Rooney and Vanden-Heuvel, 2004; EQE International, 1999; Dew, 2003); una taxonomía es un método para organizar y clasificar información acerca de por qué ocurren eventos relevantes. Un beneficio inmediato de contar con una taxonomía de causa raíz es que ayuda a identificar el punto final en el proceso de búsqueda y permite identificar los

170

Boletín IIE octubre-diciembre-2012 Artículo de investigación

diversos problemas que se agrupan en una determinada causa raíz. En general, las taxonomías surgen de la experiencia ganada al analizar eventos relevantes y de aprender cómo los humanos, materiales, equipos, instalaciones, factores ambientales, factores administrativos, etc. contribuyeron a su ocurrencia.

Tabla 1. Modelo ejemplo de diagrama de niveles. Nivel

FCC

Causa Raíz (Opcional)

Nivel 5: Alta Dirección Nivel 4: Mandos Gerenciales Nivel 3: Mandos Medios Nivel 2: Supervisión Nivel 1: Acciones de los Trabajadores Nivel 0: Causa Directa

Generalmente, la manera en que se aplican las taxonomías es mediante un diagrama genérico (del tipo diagrama de decisión) al que se alimenta cada FCC; el diagrama guía el proceso de razonamiento de los analistas proponiendo preguntas que, al responderse, explican el por qué un FCC ocurrió o existió; de esta forma los problemas alrededor de la ocurrencia de un FCC pueden ser tratados y corregidos. Una ventaja del uso de alguna taxonomía es que se cuenta con un grupo predeterminado de causas raíz; una desventaja es que este grupo predeterminado no necesariamente representa la estructura, prácticas y políticas de la organización.

Aplicación del diagrama de niveles El Diagrama de Niveles es una técnica que se utiliza para, a partir de los FCC, identificar las CR del evento relevante y también los niveles jerárquicos de la organización que tienen la responsabilidad y autoridad para corregirlas. Dentro del contexto de este trabajo la técnica de Diagrama de Niveles puede utilizarse de dos formas: • Modo 1: Alimentando directamente al Diagrama de Niveles los FCC obtenidos del árbol de fallas para identificar las CR y los niveles jerár-

quicos dentro de la organización que deben corregirlos, o • Modo 2: Alimentando al Diagrama de Niveles las CR obtenidas de una taxonomía para (si es posible) refinarlas y reconocer los niveles jerárquicos que deben corregirlas. En cualquier caso, el proceso de aplicación de esta técnica es el siguiente: P1- Desarrolle el diagrama de niveles: Utilizando el modelo de la tabla I, desarrolle un diagrama con los niveles jerárquicos representativos de la organización.

forma, ¿puede este factor causal ser atribuido a los trabajadores involucrados en el evento relevante? 2. P5- Evalúe el segundo nivel: Si el FCC o CR puede atribuirse al trabajador, pregúntese ahora si el FCC o CR es únicamente atribuible al nivel acciones del trabajador. ¿Tuvo el nivel supervisión responsabilidad en este FCC o CR? 2. Si la respuesta es “no”, deje el factor causal en el nivel 1; si la respuesta es “sí”, suba el FCC o CR al nivel 2.

P2- Identifique los FCC o CR: Asigne un identificador único (por ejemplo una letra) a cada FCC (Modo 1) o bien a las CR (Modo 2).

P6- Desarrolle los siguientes niveles: Utilizando el proceso descrito, continúe evaluando el FCC o CR en turno en los siguientes niveles superiores y súbalo hasta que quede colocado en el nivel más alto que satisfaga el cuestionamiento antes descrito. La figura 4 describe el proceso aplicado a un FCC hipotético denominado “A”.

P3- Desarrolle el Nivel 0: Establezca en el nivel 0 la causa directa del evento relevante. Coloque todos los FCC o CR en el Nivel 1 (acciones del trabajador).

P7- Repita el proceso para cada FCC o CR: Repita el proceso de P4 a P6 para todos los FCC o las CR (previamente colocados en el nivel 1).

P4- Evalúe el primer nivel: Considerando únicamente el primer FCC o la primera CR, pregúntese si el nivel 1 (acciones de los trabajadores) es el nivel responsable del FCC o de la CR; o dicho de otra

2 Para responder a esta pregunta es necesario que el analista conozca las responsabilidades de cada nivel jerárquico, en relación con el sistema de gestión en cuestión (ej. seguridad, calidad, etc.).

Artículo de investigación Integración de árboles de falla, taxonomías y diagramas de niveles para realizar Análisis de Causa Raíz

171

P8- Identifique ligas: Una vez que todos los FCC o CR han sido colocados en el nivel que les corresponde, los analistas deben examinarlos para identificar si existe liga entre dos o más de ellos. Por ejemplo, ¿existen dos, tres o más FCC lo suficientemente similares para determinar que la gestión del entrenamiento es deficiente? Si existe alguna liga, agrupe los FCC involucrados en el nivel más alto de todos los FCC (figura 5). A continuación, si el enunciado de alguno de los FCC o CR incluidos en el grupo representa adecuadamente la liga entre ellos, este enunciado podría representarlos; si no, escriba un nuevo enunciado que capture el tema común entre ellos; el enunciado resultante se convierte en una potencial CR (figura 5) o un refinamiento (cuando se alimentan CR). Por ejemplo, si existen varios factores causales relacionados a deficiencias en destreza, habilidades o conocimiento, esto podría indicar que “la alta dirección ha fallado a asegurar que la competencia del trabajador corresponde a sus responsabilidades”; este último enunciado podría entonces postularse como la CR que agrupa a los diversos FCC. P9- Refine las CR: Una vez que se han agrupado los FCC en CR, los analistas deberán revisar la correspondencia entre cada FCC y la CR a la que han sido asignados. También, se deberá verificar que el enunciado asignado a cada CR sea adecuado para representar la deficiencia que se desea corregir.

Figura 4. Proceso de análisis de un FCC o CR.

Figura 5. Agrupamiento de los FCC en CR.

Ejemplo de aplicación de la metodología

“Con el objeto de controlar la temperatura del proceso, se solicitó a un miembro de la cuadrilla de operación de un cierto sistema presentarse al área donde se encuentra ubicada la válvula manual A y cerrarla; desafortunadamente, en vez de cerrar la válvula A, la mencionada persona cerró la válvula manual B (la cual se encuentra ubicada muy cerca de la otra), causando con esto un transitorio de presión en el sistema”.

Como ejemplo de aplicación de la metodología, suponga que el siguiente evento relevante ha ocurrido:

La figura 6 muestra el árbol de fallas desarrollado de acuerdo con la evidencia que se logró recolectar; obviamente el evento rele-

vante es transitorio de alta presión en el sistema. En el árbol se desarrolla la causalidad por la que pudo haber ocurrido el evento relevante; los eventos marcados con el símbolo “no hay evidencia de que haya ocurrido” no fueron desarrollados más; obviamente porque pudo demostrarse que estos eventos no contribuyeron a la ocurrencia del evento tope. Los eventos básicos del árbol (FCC) que se encontró contribuyeron a la ocurrencia del transitorio de alta presión son: Señalización en

172

Boletín IIE octubre-diciembre-2012 Artículo de investigación

mal estado y Focos fundidos en el área de la válvula. Es muy importante reconocer que cada uno de estos eventos representa por sí solo un conjunto mínimo de corte del árbol (Vesely and Goldberg, 1981), y que hay evidencia de que ambos eventos han ocurrido y contribuyeron a que el operador cerrara la válvula equivocada. Siguiendo la metodología propuesta, estos FCC se alimentaron a una taxonomía de causa raíz, específicamente a la que se presenta en las referencias Rooney and Vanden-Heuvel, 2004; EQE International, 1999. La tabla II muestra el proceso de categorización de los mencionados FCC de acuerdo con esta taxonomía. Figura 6. Árbol de fallas del caso ejemplo. Tabla 2. Aplicación de la taxonomía de las referencias Rooney, 2004 y EQE, 1999 al caso ejemplo. Descripción del evento: Transitorio de alta presión FCC No. 1 Trayectorias a través del Mapa de Causa Recomendaciones Raíz (Rooney, 2004 y EQE, 1999) Dificultad con el equipo Descripción: Determinar el nivel apropiado de mantenimiento requerido por Señalización en mal Problemas con el programa de todos los equipos de la instalación estado (lo cual contri- confiabilidad del equipo. importantes para la seguridad. buyó a que el operador Diseño del programa de confiabino identificara adecuaIncluir las señalizaciones de lidad del equipo LTA. damente la válvula a equipos, rutas, etc. en el programa actuar). Equipo no incluido en el de confiabilidad. programa de confiabilidad. FCC No. 2 Descripción: Focos fundidos en al área de la válvula (lo cual contribuyó a que el operador no identificara adecuadamente la válvula a actuar).

LTA = Less Than Adequate

Trayectorias a través del Mapa de Recomendaciones Causa Raíz [2], [3] Asegurar que los recorridos de Dificultad con el equipo. revisión de equipos se realizan de Problemas con el programa de acuerdo con lo requerido. confiabilidad del equipo. Asegurar que todos los equipos Implantación del programa de importantes se incluyen en el confiabilidad del equipo. programa de recorridos. Rondas rutinarias de chequeo LTA. Implantar un mecanismo efectivo Realización de las rondas LTA. para corregir los problemas detectados en los recorridos.

En esta tabla se observa que el recorrido “arriba-abajo” a través del Mapa de Causa Raíz lleva de categorías muy amplias y de poco detalle (ej. Dificultad con el Equipo) a categorías de mayor detalle (ej. Equipo no incluido en el programa de confiabilidad); en el nivel más bajo de este esquema se encuentran las CR (resaltadas y sombreadas en la tabla). Por ejemplo, para el caso de la Señalización en mal estado, se encontró al nivel más general, que se trata de una dificultad con el equipo; al siguiente nivel de detalle se determinó que se trata de un problema con el programa de confiabilidad del equipo; el siguiente nivel se refiere a que el diseño del programa de confiabilidad del equipo no es adecuado ya que, se observa que este equipo (la señalización) no se encuentra incluido en los programas de confiabilidad; esta última descripción se refiere como la CR identificada. Las recomendaciones propuestas para evitar la recurrencia de la CR se muestran en la última columna de la tabla.

Artículo de investigación Integración de árboles de falla, taxonomías y diagramas de niveles para realizar Análisis de Causa Raíz

La aplicación del Diagrama de Niveles a partir de los FCC se muestra en la figura 7. Como se observa, se identificó que el nivel de mandos gerenciales es el responsable de ambos FCC; también, al referirse al mismo tema, los FCC fueron agrupados en una CR que se describió como “No se asegura que todos los equipos importantes reciben el mantenimiento adecuado”. Es importante notar que si se aplica el Diagrama de Niveles a las CR obtenidas usando la taxonomía, también éstas podrían ser agrupadas y descritas con la misma frase; adicionalmente, también se habría identificado a los mandos gerenciales como el nivel responsable de corregir la CR.

Conclusiones Realizar estudios de ACR es un proceso que tiene todavía mucho de artesanal; por esta razón, se requiere desarrollar esquemas conceptuales y metodológicos que permitan sistematizar aún más esta tarea. En este trabajo se ha presentado una metodología para realizar ACR que plantea combinar árboles de falla, taxonomías de CR y el Diagrama de Niveles; todo esto dentro de un contexto que formaliza el concepto de factores causales del evento relevante. La metodología explota las principales bondades de cada una de las técnicas que integra. Los árboles de falla resultan ser una excelente herramienta para describir cómo ocurrió el evento relevante y determinar los factores causales contribuyentes. Desarrollar el árbol de fallas con el enfoque “basado en la evidencia” es especialmente conveniente para ahorrar tiempo y poder concentrar el análisis en las ramas que efectivamente han contribuido a la ocurrencia del evento relevante. Los FCC obtenidos

173

Figura 7. Diagrama de Nivel para los FCC del caso ejemplo. del árbol pueden posteriormente ser analizados mediante una taxonomía de causa raíz, para conocer por qué éstos han ocurrido (y por tanto por qué el evento relevante ha ocurrido). Si no se cuenta con una taxonomía de causa raíz, otra excelente opción es alimentar los FCC al Diagrama de Niveles de la organización para identificar las causas raíz y los niveles jerárquicos responsables de corregirlos. También, cuando se ha utilizado una taxonomía, resulta beneficioso utilizar el Diagrama de Niveles para refinar las causas raíz e identificar los niveles responsables de corregirlas. La ventaja de utilizar taxonomías es que ayudan a identificar el punto final en el proceso de cuestionamiento, además de que se puede saber el número de veces que los FCC caen en la misma causa raíz. Por otro lado presentan la desventaja de que la estructura podría no engranar con la cultura organizacional y los sistemas de gestión de la organización. También, al usar una taxonomía, el número de las potenciales CR a identificar se reduce únicamente a las en ella incluidas. Es muy importante

aclarar que, aunque parezca lo contrario, el uso de taxonomías requiere de experiencia, habilidad y conocimiento por parte del analista. Los Diagramas de Nivel son una herramienta flexible y poderosa para identificar CR, sin embargo su uso, al igual que las taxonomías, requiere también de conocimiento y destreza por parte de los analistas. Estos diagramas tienen la gran ventaja de que la definición de las CR va incrementalmente reflejando el comportamiento de la organización, la cual eventualmente podría generar su propia taxonomía. Es importante recalcar que el ACR es un proceso esencial para cualquier organización que desea continuar mejorando y que quiere entrar seriamente en un análisis introspectivo. Al realizar el ACR debe profundizarse lo suficiente para poder descubrir y considerar las creencias y comportamientos que moldean los sistemas de gestión de la organización; la metodología presentada en este trabajo tiene esto como fin principal.

174

Boletín IIE octubre-diciembre-2012 Artículo de investigación

Referencias Institute of Nuclear Power Operations, Root Cause Analysis, INPO 90-004, Good Practice OE-907, 1990.

EQE International, Inc. Root Cause Analysis Handbook: A Guide to Effective Incident Investigation, EQE International Inc. an ABS Group Company, Rockville, Maryland, USA, 1999.

Rooney J. J. y Vanden-Heuvel L. N. Root Cause Analysis for Beginners, Quality Progress, Vol. 37, No. 7, p. 45-53, 2004.

U.S. Department of Energy. Conducting Accident Investigations, DOE Workbook Rev. 2, USDOE, Washington, D.C., 1999.

Vesely W. E., Goldberg F. F. Fault Tree Handbook, USNRC NUREG-0492, Washington DC 1981. Ericson C. A. II. Accident Investigation Using EEFTA, Proceedings of the 18th International System Safety Conference, Fort Worth, Texas, USA, September 11-16, 2000. Dew J. The Seven Deadly Sins of Quality Management, Quality Progress, Vol. 36, No. 9, p. 59-65 2003.

De izquierda a derecha Roberto Calixto Rodríguez, Juan Arellano Gómez y Rogelio Rea Soto. JUAN ARELLANO GÓMEZ

ROGELIO REA SOTO

ROBERTO CALIXTO RODRÍGUEZ

[[email protected]]

[[email protected]]

[[email protected]]

Maestro en Ciencias Computacionales por el Instituto Tecnológico y de Estudios Superiores de Monterrey. Ingeniero en Energía con Especialidad en Energía Nuclear por la Universidad Autónoma Metropolitana. Desde hace 34 años colabora en el área de Energía Nuclear del IIE, donde ha sido coordinador de la especialidad de Análisis Probabilístico de Riesgo (APR) e iniciador y coordinador de la especialidad de Métodos Avanzados de Computación aplicados a la industria nuclear. Ha realizado investigación tecnológica en APR, inteligencia artificial, elementos combustibles de reactores nucleares y simulación de sistemas continuos. Es autor de un buen número de publicaciones nacionales e internacionales en estas disciplinas. Se ha desempeñado como asesor en métodos de APR en Atomic Energy of Canada Limited en Canadá y ha colaborado en desarrollo de metodología de APR en Unión Iberoamericana de Tecnología Eléctrica en España (UITESA). En Science Applicantions International Corporation (SAIC) en Estados Unidos, participó en la definición de la metodología utilizada en el APR Nivel II de la Central Nuclear Laguna Verde. Ha sido Investigador Nacional Nivel III del Sistema Nacional de Investigadores (SNI) y es Académico Titular de la Academia de Ingeniería. Desde 1998 es Gerente de Energía Nuclear del IIE.

Maestro en Ciencias en Ingeniería de Confiabilidad y Análisis de Riesgos por la Heriot-Watt University, Edimburgo, Escocia. Ingeniero Eléctrico por el Instituto Tecnológico de Tepic. Ingresó al Grupo de Análisis Probabilístico de Seguridad de la Gerencia de Energía Nuclear (GEN) del IIE en 1993. Ha desarrollado trabajos para la industria nuclear, hidroeléctrica y transmisión de energía eléctrica de la Comisión Federal de Electricidad (CFE), así como producción, transporte y distribución de hidrocarburos de Petróleos Mexicanos (PEMEX). Cuenta con veinte años de experiencia materia de análisis de riesgos, análisis de vulnerabilidades de sistemas y mantenimiento basado en confiabilidad (RCM). Desde 1999 forma parte del grupo de instructores que imparte capacitación en técnicas de análisis de riesgos e investigación de accidentes en Pemex Exploración y Producción y la CFE. Actualmente es Jefe de Proyecto del Grupo de Análisis de Riesgos de la GEN.

Maestro en Ciencias en Ingeniería Mecánica por el Centro Nacional de Investigación y Desarrollo Tecnológico (CENIDET) en 1998. Ingeniero Químico por la Universidad Autónoma de Zacatecas en 1989. En 1990 ingresó a la Gerencia de Energía Nuclear (GEN) del IIE. Ha colaborado en trabajos relacionados con tecnología de la seguridad, análisis de seguridad en la industria nuclear y análisis de riesgos en instalaciones convencionales. En la industria petrolera ha participado como analista de riesgos en diferentes proyectos de análisis de riesgos de instalaciones petroleras, tanto en tierra como costa fuera. También ha participado como Jefe de Proyecto y analista de estudios de mantenimiento basado en confiabilidad (RCM) en instalaciones petroleras, y de generación y transmisión de energía eléctrica. Desde 1999 participa como instructor y Jefe de Proyecto en los programas de capacitación en análisis de riesgos, análisis causa raíz y RCM que ofrece el IIE tanto a la Comisión Federal de Electricidad (CFE), como a Petróleos Mexicanos (PEMEX).