TEORIA DE LA INVESTIGACIÓN DE

ACCIDENTES Y SEGURIDAD DE
SISTEMAS

Ing. Jorge Mangosio

 INDICE

1. Introducción

2. Definiciones de accidente

3. Análisis de accidentes

4. Sistemas ergonómicos.

5. Sistemas socio técnicos.

6. El error humano y las fallas humanas.

7. Riesgo, Percepción del riesgo y la Teoría de la Homeostasis del Riesgo

8. Metodologías de investigación de accidentes

9. Análisis de los datos mediante la ergonomía de sistemas

10. Análisis de datos mediante SST. Precursores

11. Seguridad de Sistemas

12. Confiabilidad

13. Análisis de Seguridad de Sistemas

1. Introducción

El estudio de los accidentes está tradicionalmente ligado al estudio del error humano.

En los años 70 hubo incluso autores que quitaron entidad científica a la seguridad,
basando todo en el error humano. En efecto Singleton (1) escribe "Por esto es
dificultoso considerar seguridad y accidentes como legítimos objetivos de un estudio
científico. Los problemas de seguridad tienen aspectos legales, económicos y éticos
así como importantes aspectos técnicos específicos Superficialmente al menos esto
deja un pequeño espacio para un especialista en factores humanos. No obstante,
detrás de cada problema de seguridad y cada accidente hay problema de gente que
hace errores. Así, si hay una ciencia general de apoyo para el trabajo de seguridad es
el estudio del error humano.”

Esta posición consistente en no considerar como legitimo objeto de estudio los

accidentes y la seguridad, deriva, del hecho de que el accidente, que es un hecho
concreto, visible, comprobable, es fundamentalmente, algo mal hecho. Es por lo tanto
un objeto científico indigno. Si se lee a de Bourdieu (2), este estudioso opina que “El
investigador participa siempre de la importancia y del valor que es comúnmente
atribuido a su objeto”.

Asimismo, esta tendencia al estudio del error humano, en detrimento de todo el

sistema y a evitar estudiar lo que son esenciales limitaciones de la persona humana,
continúa actualmente.

Existe la idea de que todo accidente debe rastrease hasta encontrar un error humano,
aunque sea en otro nivel como en la organización o en los aparatos o equipos
usados. Por ejemplo, si un accidente fue posible relacionarlo con la organización,
habrá algún culpable, y así no se responsabilizará a la organización misma, a sus
fines y sus objetivos. Por ejemplo. En una institución militar que utiliza el
reclutamiento, se culpara al recluta, al suboficial o al oficial y no a la institución, que
puede usar otra forma de organización: por ejemplo, utilizando personal profesional
más capacitado.
En una empresa, siempre se responsabilizará a las personas pero no al equipamiento
o la organización del trabajo.

El concepto de sistema socio técnico fue introducido primariamente por Trist (3) y
utilizado a posteriori por los estudiosos de la organización (4).

Corresponde a Leplat (5,7) y a Faverge (6) el mérito de utilizar el concepto de

sistema socio técnico y considerar el accidente como disfuncionamiento del sistema

Es decir, el accidente era una falencia de la empresa o la institución. Pero

fundamentalmente, en esos años el concepto de sistema era trabajado a nivel hombre
máquina.

Continuando en esta línea en 1982 Perrow presentó un libro en el que se describen

los accidentes como un producto o salida normal de la Organización (8) y como
reacción en 1989 surge la teoría de la Confiabilidad Total de la Organización(9),
encabezada por Marlene Roberts, que indica que una organización con adecuados
controles puede ser totalmente confiable. Ambas teorías son mutuamente
excluyentes.

En cuanto a los accidentes originados en el error humano, los autores más

importantes son Rassmussen en 1981 (10), que establece tres niveles de conducta:
las basadas en habilidades, las basadas en reglas y las basadas en el conocimiento,
y los nuevos aportes de Reason en 1990 (11) , en su libro Human Error, en el que
distingue entre deslices, lapsus y equivocaciones.

Referencias

1. Singleton, WT – Man Machine Systems – Penguin Books (1975).

2. Bourdieu, Pierre – Intelectuales, Política y Poder – Eudeba – ISBN 950-23-1043-8.

3. Trist, E. L y Emery, F.E. Socio-technical systems, en System thinking Penguin

Books (1969)

4. Emery, Jacques – Sistemas de Planeamiento y control – El Ateneo 1977 –

Argentina.

5. Leplat, Jacques et Cuny, Xavier – Les accidents du travail – PUF (1979) ISBN 2 13
035810 1.

6. Faverge, Jean Marie – Psycosociolgie des Accidents de Travail. PUF (1967).

7. Leplat, Jacques, Cuny, Xavier – Psicología del trabajo- Pablo del Rio editor –
(1977) ISBN 84-7430-029-0.

8) Perrow, C Normal Accidents- New York. Basic Books (1984)

9) Roberts, Marlene – Some Characteristics One Type of High Realiabilty

Organization - Organizational Science, Vol. 1, Nº 2 (1990)

10) Rasmussen, J. Human Error. A Taxonomy for describing Human Malfunction in

Industrial Installations – RISO M – 2304

11) Reason, J.- Human Error – Cambridge University Press (1990)

2. Definiciones de accidente
El concepto de accidente, así como el de seguridad, ha ido variando a medida de que
se producían cambios tecnológicos.

Heinrich (1930) (1) define al accidente como un "evento no planeado ni controlado en

el cual la acción, o reacción de un objeto, sustancia, persona o radiación, resulta en
lesión o probabilidad de lesión".

Lesión en el daño o alteración morbosa o funcional de los tejidos del organismo. Esta
definición pone énfasis en la prevención de lesiones. Sin embargo, actualmente el
concepto se va desplazando hacia la faz organizativa: así, Blake (1950) (2) define el
accidente como "una secuencia no planeada ni buscada que interfiere o interrumpe la
actividad laboral".

Aquí se separa el concepto de accidente del concepto de lesión.

Alrededor de 1970, la industria aeroespacial comenzó a estudiar en forma intensa la

prevención de accidentes. Asociado a un accidente, además de las lesiones o
pérdidas de vidas humanas, existen importantes pérdidas de capital y prestigio
empresarial.

Estos sistemas tecnológicos de alta complejidad necesitaban otros conceptos, no

basados sólo en la prevención de lesiónes sino en el resguardo del sistema.

Así se van asociando a la seguridad otras técnicas para lograr la confiabilidad de todo
el sistema, es decir, para asegurar su funcionamiento.

Johnson (3) (1973) define accidente como "una transferencia indeseada de energía,
debido a la falta de barreras o controles que producen lesiones, pérdidas de bienes o
interfieren en procesos, precedidas de secuencias de errores de planeamiento y
operación; los cuales:

a) no se adaptan a cambios en factores físicos o humanos, y

b) producen condiciones y/o actos inseguros, provenientes del riesgo de la actividad,

que interrumpen o degradan la misma."

Un incidente es similar a un accidente, pero no causa lesiones o daños a bienes o

procesos.

Peligro es el potencia] que en una actividad (o circunstancia) ocurra una transferencia

indeseada de energía debida a variaciones aleatorias de operaciones normales o
cambios en factores Físicos o humanos.

A su vez, Riesgo es la probabilidad de que en un período de actividad, un peligro

origine un accidente con consecuencias definidas.

Los eventos de interés pueden ordenarse en orden de interés crecientes y de

decreciente frecuencia.
 Cambios

Errores

Actos y condiciones inseguras.

Incidentes.

Accidentes

Daños a Personas Daños a Bienes

• Lesiones leves *. Daños leves

• Lesiones Graves *. Daños graves
• Muerte * Daños catastróficos
• N Muertes * Destrucción Total

2.1 Teorías sobre los Accidentes de Trabajo

Teoría secuencial o de Heinrich

De acuerdo con esta teoría un accidente se origina por una secuencia de hechos.
Esto se visualiza mejor imaginando las causas como fichas de dominó, colocadas
muy próximas unas de otras; al caer una de ellas origina la caída de las demás.

Heinrich postulaba una serie de factores:

A = Herencia y medio social B = Acto inseguro C = Falla humana D = Accidentes E =

Lesión

A -> B -> C --> D -> E

Obviamente pueden configurarse otros tipos de secuencias

Teoría Multifactorial
La presencia simultánea de todos los factores A, B, C, ..., implica el accidente E. Por
ejemplo. un accidente automovilístico puede producirse por la concurrencia de niebla,
deficiente estado de los neumáticos y agotamiento del conductor.

Teoría probabilística

Se ha comprobado que los accidentes en una industria de magnitud se distribuyen al

azar en el tiempo de acuerdo con la Ley de Poisson.
Sea X donde m es el valor medio absoluto.
P (t ) = m t e − m / t
p(t) Probabilidad de ocurrencia del accidente en el tiempo t

t = tiempo

Esto estaría en contradicción con lo expresado anteriormente, dado que todos los
accidentes tienen causas definidas. pero siempre seguirán produciéndose accidentes
en el hogar, en la industria, en el tránsito, etc.

Este enfoque es muy útil para la administración y para el estudio de eventos poco
probables.

Por ejemplo, se puede comprobar si hay desviaciones del valor medio X = m, que se
ha obtenido durante un período de tiempo dado.

Los valores con un 99% de confianza estarán entre:

m-2σ<X<m+2σ

De este modo pueden construirse gráficos y tener una idea acerca de las variaciones
en las condiciones de seguridad.

2.2 Relación inversa entre frecuencia y magnitud de accidentes

Si se grafican las frecuencias de accidentes de una magnitud dada (número de

muertes, valor de, las pérdidas de bienes, etc.) en un papel log-log, puede verse que
tiene la forma de una recta con pendiente negativa (ver figura Fig.1)
Se toma por ejemplo el número de accidentes de todo tipo en la ('omisión de Energía
Atómica de E. U. A. (USAEC) durante el período 1943/1070 (4)

Se puede observar que ocurrieron 295 accidentes mortales, de los cuales 247 fueron
con una muerte, 13 con dos muertes, 3 con tres muertes, 2 con cuatro muertes y 1
con cinco muertes.

La frecuencia de accidentes con un solo deceso será mucho mayor que aquellos con
varias muertes,
 También es congruente con este principio lo establecido por Heinrich: de cada 330
eventos (situaciones peligrosas o casi accidentes) 300 no involucran lesión,. 29

29
300

leves y una lesión grave.

2.3 Estadísticas de Accidentes de Trabajo

Registro de accidentes

La importancia de los datos estadísticos sobre accidentes es evidente,

Constituyen el registro de la experiencia pasada y son la guía de acciones futuras,
reflejando además el resultado y la efectividad de los programas de seguridad
desarrollados.

Los datos de casos aislados y obtenidos de una muestra pequeña, constituyen una
base pobre para la evaluación.

Las estadísticas masivas, en cambio, son una herramienta útil, porque representan la
experiencia colectiva de muchos individuos. Son indispensables para el manejo
adecuado de las empresas y deben consistir en una clasificación adecuada y
ordenada, una presentación comprensible, y un análisis inteligente de los hechos de
modo que permitan extraer informaciones útiles sobre un problema específico.

Las consecuencias de una lesión según normas ANSI pueden ser muerte,
incapacidad permanente total, permanente parcial o temporal total.

Muerte: es cualquier deceso resultante de una lesión de trabajo, sin tener en cuenta
el tiempo que transcurre entre la lesión y la muerte.
Incapacidad permanente total: es el fin de la vida útil de trabajo del individuo en
forma total y definitiva, como, por ejemplo, la pérdida completa del uso de: 1) ambos
ojo; 2) un ojo y una mano, o un brazo, o una pierna, o un pie; 3) dos miembros
cualquiera de los siguientes: mano, brazo, pie o pierna, siempre que no
correspondan a la misma extremidad.

Incapacidad permanente parcial: es la pérdida completa o la pérdida del uso de

cualquier miembro, o parte de un miembro del cuerpo, o cualquier daño permanente
de las funciones del cuerpo o de partes de éste.

Incapacidad temporal total: es aquella que impide que la persona lesionada pueda
desarrollar el trabajo regularmente establecido o habitual, sin que deje secuelas que
interfieran o limiten el trabajo futuro.

La nueva legislación argentina (Ley de Riesgos del Trabajo) ha añadido la Gran

Incapacidad:

Tasas de gravedad, frecuencia e incidencia

Con el objeto de medir el grado de seguridad en el funcionamiento de una industria

se usan tasas que ayuden a evaluar la magnitud del problema

La Ley Argentina Nº 19.587 Decreto 351/79 especificaba tres tipos de índices que
están basados en normas de la O.I.T.

Tasa de frecuencia = Nro. de accidentes durante el año x 1.000.000

Total de horas - hombre trabajadas en el año
Tasa de incidencia = Nro. de accidentes durante el año x 1.000.000
Promedio de trabajadores durante el año

Tasa de gravedad = Total de días de trabajo perdidos en el año x 1 -000

Nro. de horas - hombre trabajadas durante el año

El número de días perdidos de trabajo se calcula tomando el número de días

realmente perdidos más una carga de tiempo (llamada "baremo") de acuerdo con la
gravedad de la lesión.

Así, por ejemplo, a una muerte se deben cargar 6000 días, por una amputación de
una pierna (entre cadera y rodilla), 4500 días, etc.

2.4 Legislación nacional (ley de Riesgos del Trabajo)

La ley de riesgos del trabajo presenta algunas diferencias respecto a las normas
ANIS y las Normas OIT

Se considera accidente de trabajo a todo acontecimiento súbito y violento ocurrido

por el hecho o en ocasión del trabajo, o en el trayecto entre el domicilio del
trabajador y el lugar de trabajo, siempre y cuando el damnificado no hubiere
interrumpido o alterado dicho trayecto por causas ajenas al trabajo. El trabajador
podrá declarar por escrito ante el empleador, y éste dentro de las setenta y dos (72)
horas ante el asegurador, que el in-itínere se modifica por razones de estudio,
concurrencia a otro empleo o atención de familiar directo enfermo y no conviviente,
debiendo presentar el pertinente certificado a requerimiento del empleador dentro de
los tres (3) días hábiles de requerido.

Incapacidad Laboral Temporaria.

1. Existe situación de Incapacidad Laboral Temporaria (ILT) cuando el daño sufrido

por el trabajador le impida temporariamente la realización de sus tareas habituales.

2. La situación de Incapacidad Laboral Temporaria (ILT) cesa por:

a) Alta médica;

b) Declaración de Incapacidad Laboral Permanente (ILP);

c) Transcurso de un año desde la primera manifestación invalidante;

d) Muerte del damnificado.

Incapacidad Laboral Permanente.

Existe situación de Incapacidad Laboral Permanente (ILP) cuando el daño sufrido

por el trabajador le ocasione una disminución permanente de su capacidad
laborativa.

La Incapacidad Laboral Permanente (ILP) será total, cuando la disminución de la

capacidad laborativa permanente fuere igual o superior al 66%, y parcial, cuando
fuere inferior a este porcentaje.

El grado de incapacidad laboral permanente, será determinado por las comisiones

médicas de esta ley, en base a la tabla de evaluación de las incapacidades
laborales, que elaborará el poder ejecutivo nacional y, ponderará entre otros
factores, la edad del trabajador, el tipo de actividad y las posibilidades de
reubicación laboral.

La situación de Incapacidad Laboral Permanente (ILP) que diese derecho al

damnificado a percibir una prestación de pago mensual, tendrá carácter provisorio
durante los 36 meses siguientes a su declaración.

Este plazo podrá ser extendido por las comisiones médicas, por un máximo de 24
meses más, cuando no exista certeza acerca del carácter definitivo del porcentaje de
disminución de la capacidad laborativa.

En los casos de Incapacidad Laboral Permanente parcial el plazo de provisionalidad

podrá ser reducido si existiera certeza acerca del carácter definitivo del porcentaje
de disminución de la capacidad laborativa.

Vencidos los plazos anteriores, la Incapacidad Laboral Permanente tendrá carácter

definitivo.
Gran invalidez.

Existe situación de gran invalidez cuando el trabajador en situación de Incapacidad

Laboral Permanente total necesite la asistencia continua de otra persona para

realizar los actos elementales de su vida.”

Bibliografía

1) Heinrich, J.W.- Industrial Accident Prevention – Mc Graw Hill (1959)

2) Blake, R. P. – Seguridad Industrial – Ed. Diana, Mexico (1977)

3) Johnson, S:W: - The management overview and Risk Tree – MORT – SAND-821-
2

4) Operacional Accidents (1943-1970) WASH 1192

5) Normas ANSI Z 16.1 y Z 16.2

6) Recomendaciones Internacionales sobre estadísticas del trabajo- OIT

3. El Análisis de Accidentes
Se entiende por análisis “a la distinción o separación de las partes de un todo hasta
llegar a conocer sus principios o elementos” (Diccionario Manual de la Real
Academia). Dado un hecho, que es el accidente, se buscarán todas sus partes o
componentes.

3.1 Fuentes y Causas de Accidentes

Se toma por principio que los accidentes no suceden porque sí, sino que tienen
diferentes causas definidas.
Fuentes de accidentes es cualquier actividad humana. En ella se encontrarán tres
factores elementales de los accidentes: el hombre, el material y la máquina.
Por ejemplo, en el esmerilado de una pieza un hombre sufre una lesión en los ojos;
los tres factores elementales aquí presentes son: el hombre, la pieza y la amoladora.
Se estudiarán dos tipos de normas para el análisis de accidentes: la correspondiente
a la OIT, que es la norma adoptada por nuestro país, y la norma americana ANSI Z
16.2.

Normas de la Organización Internacional del Trabajo y Normas Americanas

Las normas de la OIT clasifican los accidentes de acuerdo con cuatro factores:

Forma del accidente

Agente material
Naturaleza de la lesión
Ubicación de la lesión

Estos cuatro factores permiten analizar a los accidentes y extraer conclusiones.

La forma del accidente se refiere a las características del acontecimiento que ha
tenido como resultado directo la lesión, es decir, la manera en que el objeto o
sustancia en cuestión ha entrado en contacto con la persona afectada.
El agente material clasifica los accidentes de trabajo ya sea según el agente material
relacionado con la lesión o según el agente material relacionado con el accidente.

Cuando esta clasificación se utiliza para designar un agente material relacionado

con la lesión, las rúbricas elegidas para los fines de clasificación deberán referirse al
agente material que ha ocasionado directamente la lesión, sin tener en cuenta la
influencia que este agente haya podido ejercer en la fase inicial del acontecimiento
ya clasificado según la forma del accidente.
Cuando esta clasificación se utiliza para designar al agente material relacionado con
el accidente, las rúbricas elegidas para los fines de clasificación deberán referirse al
agente material que por razón de su naturaleza peligrosa ha contribuido a precipitar
el acontecimiento ya clasificado según la forma del accidente. Esta es la forma
adoptada en el país.
La naturaleza de la lesión clasifica lesiones provocadas por accidentes de trabajo o
los accidentes en el trayecto, exceptuando la enfermedad profesional.
La ubicación de la lesión. Indicar la parte del cuerpo donde se encuentra la lesión.
Antes de clasificar como lesiones múltiples, debe tratarse de identificar la lesión más
grave.

La norma Americana ANSI Z 16.2 provee un método de computar hechos básicos

relacionados con lesiones experimentadas en el trabajo y con los accidentes que
producen esas lesiones; este procedimiento no intenta ser aplicado al análisis o
compilación de hechos relacionados con accidentes que no resultan en lesión.

Se define al accidente como un evento que resulta en daño físico a una persona.

El daño físico involucra lesión traumática y enfermedad, así como otros efectos
adversos, ya sean mentales, neurológicos o sistémicos resultantes de una
exposición o circunstancia.

Se reconoce que la ocurrencia de una lesión frecuentemente es la culminación de

una secuencia de eventos relacionados y que una variedad de condiciones o
circunstancias pueden contribuir a la ocurrencia de un simple accidente; pero la
inclusión de hechos subsidiarios o relacionados complicaría el procedimiento
estadístico hasta hacerlo impracticable.
El procedimiento registra un solo hecho pertinente acerca de cada accidente en
cada una de las categorías de análisis.
Como se ve, el análisis de accidentes desde este punto de vista es limitado, y la
misma norma especifica que no intenta idear un método óptimo de investigar
accidentes.
Por eso el procedimiento más completo se llamará investigación del accidente y se
verá más adelante.
Las categorías son las siguientes:

Naturaleza de la lesión
Parte del cuerpo afectado
Fuente de la lesión
Tipo de accidente
Condición insegura
Agente del accidente
Parte del agente
Acto inseguro

3.2 Categorías analíticas. Definiciones y reglas para la selección.

Naturaleza de la lesión

Identifica la lesión en términos de sus características físicas principales.

Como regla básica principal, nombrar la lesión básica antes de su secuela.
Cuando una lesión es obviamente más severa que otra, seleccionar a la misma; en
el caso de haber varias de igual importancia, clasificar como lesiones múltiples.

Parte del cuerpo afectado

Indica la parte del cuerpo afectada por la lesión previamente identificada.

Fuente de la lesión

Identifica el objeto, sustancia, exposición, movimiento corporal que directamente

produce o influye la lesión previamente identificada.

Tipo de accidente

Identifica el evento que directamente resultó en lesión.

Condición insegura

Identifica la condición física insegura o circunstancia que permite u ocasiona la

ocurrencia de este tipo de accidente.

Agente del accidente

Identifica el objeto, sustancia o lugar en el cual existía la condición peligrosa.

Parte del agente

Identifica la parte particular del agente del accidente alrededor de la cual existe la
condición peligrosa.

Acto inseguro

Identifica la violación de un procedimiento seguro que directamente permite u

ocasiona la ocurrencia del tipo de accidente ya mencionado.

Para un análisis de accidente, de acuerdo con la norma ANSI Z 16.2, es conveniente

usar una serie de preguntas.

Factor Preguntas

Naturaleza de la lesión ¿Cuál es la lesión?

Parte del cuerpo afectado ¿Qué parte del cuerpo fue afectada por la
lesión nombrada en a)?

Fuente de la lesión ¿Qué objeto o sustancia infligió la lesión

nombrada en a)?

Tipo de accidente ¿Cómo entró en contacto la persona

lesionada con el objeto o sustancia
nombrado en c)?

Condición insegura ¿Qué condición peligrosa (física o

ambiental) o circunstancia causó o permitió
la ocurrencia del evento nombrado en d)?
Agente del accidente ¿De qué objeto o sustancia es una
característica la condición insegura físico o
ambiental nombrada en d)?

Parte del agente ¿A qué parte específica del objeto o

sustancia nombrado en f) se aplicó la
condición insegura nombrada en e)?

Acto inseguro ¿Qué acto inseguro causó o permitió la

ocurrencia del evento nombrado en d)?

3.3 Bibliografía

1. Diccionario Manual de la Real Academia ISBN

2) Normas ANSI Z 16.1 y Z 16.2

3) Recomendaciones Internacionales sobre estadísticas del trabajo OI T

4. Sistemas ergonómicos – Accidentes
y eventos externos
4. 1 Acciones y Máquinas

Las acciones son procesos que causan efectos determinados. Fundamentalmente

interesan las acciones que afectan el mundo físico, las acciones físicas.

Estas Acciones Físicas pueden ser de dos clases:

a) Del medio exterior sobre el hombre

c) Del hombre sobre el medio exterior

Se entiende por Medio Exterior al todo lo exterior al ser humano y el ME puede

ejercer su efecto sobre el ser humano o viceversa.

Medio Externo

Acciones

Las acciones que realiza el hombre modifican el medio externo, incluyendo otros
seres humanos y el medio ambiente.
Si estas acciones son intencionales sus objetivos deben estar perfectamente
definidos.
A su vez, las acciones del medio externo sobre el hombre pueden ser naturales o
bien intencionales, si ellas son realizadas por otros hombres.

Una acción humana tiene las siguientes fases:

1. Preparación: que consiste en una reflexión sobre la acción y el

establecimiento de uno o varios programas de acción.

2. Decisión, que consiste en elegir un programa de acción.

3. Ejecución, que consisten en llevar a cabo el programa.

Todo esto es similar a una tarea programada por un departamento de ingeniería

para que la realice un operador.
El Comportamiento del Medio Exterior

La modificación del Medio Exterior por una acción se denomina la reacción del
Medio.

Hay tres tipo de reacciones del medio exterior:

a) Comportamiento Pasivo: La reacción del medio exterior es la que presume el

programa

b) Comportamiento Determinista. La reacción del medio exterior no es la que

presume el programa, pero está ligado a leyes científicas conocidas.

c) Comportamiento Aleatorio: La reacción del medio exterior no es la que presume

el programa y no se conocen las leyes que lo rigen.

Mecanismos y Máquinas

Se entiende por Mecanismo a un sistema físico que puede tomar estados sucesivos
Una maquina es un mecanismo físico artificial con el objeto de reemplazar al
hombre,
El hombre, con las máquinas, actúa sobre el medio exterior, y lo influye; a su vez el
medio influye en el hombre. El hombre se combina con la máquina para influenciar el
medio, o para producir objetos

Las máquinas actúan sobre el medio externo y se clasifican en:

a) Máquinas que consumen gran cantidad de energía y que actúan 1) sobre la
materia: maquinaria de proceso, máquinas herramientas, máquinas de
transporte, etc. y 2) transformando la energía, tales como generadores
eléctricos, motores, etc
b) Máquinas que consumen una pequeña cantidad de energía o Máquinas
Informáticas. Estas máquinas procesan información: conservan, transmiten,
transforman y combinan información. Son las máquinas informáticas
propiamente dichas o computadores. Asimismo existen las máquinas que
crean información: son los instrumentos o sensores.
 H

SENSORES E
E
INSTRUMENTOS COMPUTADORA SERVOMECANISMOS

c)

Hay máquinas informáticas que actúan sobre los órganos de las máquinas
energéticas y son los servomecanismos.

4.2 Los sistemas Hombre – Máquina

Se considera sistema a un conjunto de elementos que tienen por objeto cumplir una
función.
Sistema puede ser un conjunto de hombres (grupo humano), un conjunto de
máquinas y hombres (sistema sociotécnico), una maquinaria, etc.
Es de interés, en este caso, el estudio de los sistemas hombre – máquina.

Estos sistemas pueden ser representados

Respuestas

Hombre Máquina

Señales

La máquina suministra señales que indican su comportamiento y el hombre las

interpreta y da las respuestas.
Los sistemas Hombre – Máquina actuales intercambian básicamente información.
Montmollin (1) , introduce el concepto de sistemas Hombres – Máquinas,
constituidos por un conjunto de Hombres y Máquinas que interactúan.
Fundamentalmente, un sistema Hombres - Máquinas es un conjunto de puestos de
trabajo.
Es conveniente introducir un perfeccionamiento e esta concepción e introducir la
idea del Sistema Hombre(s) – Máquina(s) abiertos, es decir, que intercambian
materia, energía e información con el medio.
Esto permite considerar un sistema Hombre – Máquina, su vinculación con el medio
industrial interno y externo del establecimiento y los disfuncionamientos que aporta
dicho medio, fundamentalmente como:

Deficiencias en las condiciones de trabajo (ruido, calor, contaminantes, etc.)

Perturbaciones al funcionamiento de la maquinaria (hardware) como variaciones de
tensión eléctrica, humedad, contaminación, etc.

Funcionamiento de los sistemas Hombre(s) - Máquina(s)

Las funciones de un sistema dependen de una estructura causal. Parte de la

estructura causal de un sistema industrial está relacionado con el flujo de materia y
energía. Otra parte de las conexiones causales dependen del flujo de información
que interconecta el equipo físico y que quita grados de libertad de sistema de
acuerdo al propósito de la operación.

Las restricciones a los estados del sistema a ser introducidos por la red de control
dependen del propósito inmediato y del modo de operación y servirán para mantener
un estado del sistema, cambiarlo, o coordinar o sincronizar estados de varios
subsistemas y obtener nuevas reconfiguraciones del sistema.
El intercambio fundamental en los sistemas H-M es la información.

Análisis de Interfaces de Sistemas

Se ha dicho que entre las interfaces de un sistema hay intercambio de materia,

energía e información.
De acuerdo con la teoría de Leplat, un accidente es un síntoma de
disfuncionamiento de un sistema. En las interfaces entre sistemas o subsistemas es
donde se producen la mayor cantidad de accidentes, por lo tanto resulta
conveniente hacer un estudio de las distintas interfaces en el ámbito organizativo,
sea departamental, grupo de trabajo o individual.

Para realizar un trabajo es necesario, por lo menos, un trabajador y un determinado

equipo (útiles, materias primas, máquinas, etc.)

Individuo Equipo

Cuando comienza un trabajo se inicia la relación entre el individuo y los equipos.

Esta interrelación es la tarea; es la interface entre el trabajador y los equipos.
Esta tarea se desarrolla en etapas, relacionadas con el tiempo f (t).

I T E f(t)
A su vez, esta tarea se desarrolla en un medio ambiente M de determinadas
características. Este constituye el puesto de trabajo.

I T E f(t)

Esta tarea puede realizarse mediante dos o más trabajadores; se tendrá una
interfase de relación L.

M
f(t) T1
I

L E

I
T2

Pero un puesto de trabajo no es totalmente independiente, dado que puede ser

influenciado por otros puestos de trabajo. Es decir, hay una interfase entre puestos
de trabajo IPT.
M1
f(t) T1
I

L E

I
T2
IPT M2

I T E f(t)
Estos puestos de trabajo pueden estar influenciados por otros puestos de trabajo, no
necesariamente en la proximidad, sino mediante una interacción organizativa.
Un ejemplo podrían ser obreros que realizan trabajos de reparación en un
componente (lugar de trabajo LT1) y tienen una interacción de tipo organizativo IO
con la sala de control (lugar de trabajo LT2).

PLANTA
M1
f(t) T1
I

L E

I
T2 IPT
M2

I T E f(t)

IO

I T E

M3 SALA DE CONTROL

Concluyendo, un estudio de interfaces o interrelaciones del trabajo tendrá que

estudiar los siguientes puntos:

T: Tareas
M: Medio Ambiente
L: Relación entre los trabajadores en el puesto de trabajo
IPT: Interacciones por proximidad entre distintos puestos de trabajo
IO: Interacción organizativa entre puestos de trabajo
Finalmente, y de acuerdo a lo indicado anteriormente, es conveniente usar el
concepto de sistema abierto y estudiar las influencias del medio sobre los
trabajadores y el equipo.
El estudio de interfaces entre subsistemas de un sistema socio técnico, puede
hacerse en el ámbito organizativo; sea, por ejemplo, el caso de un departamento de
mantenimiento que interactúa a su vez con los departamentos de operaciones y
seguridad industrial.

Para una mejor ilustración del caso, se puede representar la situación mediante
diagramas de Venn. Sea, por ejemplo:

A = Departamento de Operaciones
B = Departamento Mantenimiento
C = Departamento Seguridad

INTERFASE INTERACCION

A∩B Pedido de Reparación

Planeamiento de la operación
Bloqueo de Equipos
Reparación
Desbloqueo
Puesta en marcha

A∩C Planeamiento
Supervisión

B∩C Planeamiento
Supervisión

A∩B∩C Interacción en el lugar de reparación

4.3 Accidentes y Eventos Externos

Todos los métodos de análisis sistémico de accidentes, se basado en ergonomía o

fallas de sistemas socio técnicos, estudian el accidente como un evento dentro del
sistema. Lo que esta dentro del sistema es lo que causa el accidente. La empresa
puede controlar el ambiente interno y corregirlo. La s grandes amenazas suelen ser
eventos iniciándoos en sistemas externos: perdida de energía, incendios vecinos,
accidentes in itínere, etc. etc., son eventos incontrolados y más difíciles de estudiar.
Esto cae dentro del campo de estudio de catástrofes.

Bibliografía

1) Mangosio, Jorge – Metodología de la Investigación de accidentes – ISBN -

523-262-4
2) Monteau, M. et Favaro M. – Bilan des méthodes d’analiyse a priori de
risques – 1. Des controles a l‘ergonomie de systemes. INRS NANCY CDU
614.8 –02
3) Couffignal, Louis – La Cibernétique – PUF (1972)
5. Sistemas socio técnicos.
5.1 Concepto de Sistema Socio Técnico

Desde el punto de vista teórico Ropohl (1) establece una definición de sistemas (y
por ende de sistemas socio técnico) mediante la enumeración de sus propiedades, a
saber:

1) Un sistema es más que la suma de sus elementos

2) La estructura determina la función
3) La función puede hacerse por diferentes estructuras
4) El sistema no puede describirse con un sólo nivel de jerarquía

Un sistema socio técnico esta constituid por la organización, las maquinarias y

equipos

Sistema socio técnico

ORGANIZACION

HOMBRE EQUIPOS

Se consideran eventos internos o propios aquellos que se originan dentro del

sistema y eventos externos a aquellos exteriores al sistema al Sistema Socio
Técnico (SST), tales como catástrofes, problemas sociales, etc.

Los componentes del de un SST son la organización, los equipos y el personal. De

acuerdo a lo establecido por Ropohl: “el sistema no puede describirse con un solo
nivel de jeraquía”, se evidencia que la organización es jerárquicamente superior al
hombre y los equipos,

Se entiende por estructura de un SST a las interacciones entre componentes para

llevar a cabo procesos
Las interacciones entre componentes de un SST son las siguientes:

H---M
H---O
H---H
M---M
M –O
Esto puede presentarse en la siguiente tabla
INTERACCIONES ENTRE COMPONENTES DE SISTEMAS

H M O
H H-H H-M H-O
M M-H M-M M-O
O O-H P-M O-O

En rojo figuran las interacciones de la organización con sí misma. Estas

interacciones sobre si misma se realizan mediante la acción y la energía que ponen
los hombres que la componen. También hay cambios que provienen del exterior
tales como los cambios de legislación, el gobierno, la competencia, etc.

La organización tiene Misiones y Funciones (para obtener los objetivos y resultados

esperados por terceros: los accionistas, el gobierno, una sociedad benéfica, una
iglesia)
Estas Misiones y Funciones se materializan en normas y procedimientos internos.

5.2 Objetivos, funciones y organización

Las empresas o instituciones, constituyen sistemas socio técnicos. Estas empresas

tienen una misión, o si se quiere una razón social, por la cual van a interactuar con el
medio ambiente de la empresa o institución.

El tener una misión implica fijarse objetivos, es decir lo que se pretende lograr en un
plazo de tiempo: un rendimiento en dinero, ganar un campeonato, etc.

Para lograr esto se deben cumplir funciones, es decir acciones en pos de esos
objetivos. Esto, en un mundo lógico y ético, determinará la organización, o sea la
estructura de esa empresa o institución, es decir el ensamblaje de sus componentes.
Los componentes tendrán interacciones entre ellos, a través de interfaces.
Las interfaces son las entradas y salidas entre componentes de sistemas o entre
sistemas.
 MEDIO
AMBIENTE
C1
SST

C2 C3
C4

C5

Interacciones

5.2 Eficacia y eficiencia

Quintanilla (2) sostiene que la estructura de un sistema esta dada

STT = [C, P, O, R]
donde:

C Componentes
P Procesos ( que son la sumatoria de interacciones)
O Objetivos
R Resultados
 0

La eficacia es
O⊂ R
Ef = O

y la eficiencia es
O⊂R
E=
O∩R

El accidente está contenido en los resultados

La eficiencia tiende a 1 cuanto más coincidan los objetivos con los resultados, sin
tener otros resultadazos no deseados, como los accidentes, las pérdidas, etc., que
no son los objetivos.

Si bien los accidentes no están entre los objetivos de la empresa, los precursores de
los accidentes están en los inmersos en los objetivos de la empresa, en los
componentes y en los procesos e interacciones.

Puede afirmarse, siguiendo a Leplat (1970) que el accidente es un

disfuncionamiento del sistema socio técnico y se puede añadir, que ello es
previsible.

5.2 Complejidad de los sistemas

A mayor complejidad, mayor probabilidad de fallas sistema o sea, mayor

probabilidad de ocurrencia de accidentes.

Diversos autores han encarado el tema de la Complejidad de Sistema C con

diversos enfoques

Abrahán Moles (4) introduce el concepto de complejidad estructural (número de

componentes y complejidad funcional (Numero de funciones)

Anderson (5), refiriéndose a la organización, define a la complejidad de la

organización, mediante dos categorías:
 a) Horizontal, referida al número de departamentos, y
b) Vertical, referida al número de niveles

Perrow (Nomal Accidents, New York Basic Books, (1984), estudiado por Karlene
Roberts (3) y Rijma(6) define como precursores de accidentes a la complejidad y al
alto grado de acoplamiento en la organización.
Por complejidad se entiende a secuencias no familiares, o no planeadas o
inesperadas, que no son visibles o inmediatamente compresibles, y por lo tanto esto
lleva a la ambigüedad de opciones. Esta ambigüedad lleva al error y este al
accidente.

Por otra parte el alto grado de acoplamiento (Tight coupling) no es el número de

conexiones entre dos unidades de una organización, sino que tiene que ver con los
siguientes ítems:
1. apremios de tiempo
2. secuencias invariables
3. diseños que permito sola una manera de llegar al objetivo
4. poca laxitud
Todos estos factores inciden en la generación de accidentes.

Bibliografía

1. Ropohl, Gunther – Phylosophy of Socio – Technical Systems – Techne, Vol 4, N°

3 (1999).

2) Quintanilla, Miguel – Technical systems and technical Progress: A conceptual

framework – Phil and Tech 4:1 Fall 1998.

3) Roberts, Karlene – Some characteristic of one type f high reliability organizations

– Organizational Science, Vol. 1 Nª 2 (1990)

4) Moles, Abraham. Teoría de la complejidad y civilización industrial. En: Los

Objetos, Editorial Tiempo Contemporáneo, (1974).

5) Anderson, Phillip – Complexity Theory and Organization Science – Organizational

Science, Vol 10, Nª 3.

6) Rijpma, Jos A.- Complexity, Tight-coupling and Reliability. Connecting Normal

Accident Theory and high Reliability Theory. Journal of Contingencias and Crisis
management, Vol 5, Number 1, march 1997
6. El error humano y las fallas
Humanas.
6.1 Introducción

El estudio del error humano es de fundamental importancia en accidentología. Se

dice que el error humano es la causa del 80 al 90 por ciento de los accidentes. Una
distinción fundamental debe hacerse entre el error humano y fallas humanas debido
a las limitaciones del ser humano. Las limitaciones humanas se refieran a todas las
ocasiones donde las capacidades mentales y físicas son inferiores a las requeridas
por una tarea.

La clasificación de los errores humanos que habitualmente se usa se usa en este

texto se ha tomado de Reason (1)

La idea fundamental es que las acciones planeadas pueden fallar en sus objetivos
por tres razones:

1) Las acciones no se realizan como fueron planeadas: el desliz (que está

relacionado con la atención) y el lapsus (que está relacionado con la memoria)

2) El plan en sí mismo era inadecuado (equivocación, en sus dos categorías,

relacionadas con el conocimiento y relacionadas con las reglas)

3) Desviaciones del plan original (violaciones)

A continuación se presenta una tabla aclaratoria de estos conceptos.

Categoría de Subcategoría Descripción Causa Condición predisponente
error
Desliz Ninguna Plan de acción satisfactorio Falla de atención: Condición psicológica:
pero acción desviada de la intromisión, omisión, Captura de la atención-distracción
intención de alguna manera inversión, órdenes mal o preocupación por cosas ajenas a
involuntaria impartidas, acción a la tarea inmediata y, por lo tanto,
destiempo falta de capacidad de atención para
controlar el progreso de las
acciones en curso.
Lapsus Falla de memoria: omisión Condición circunstancial:
/repetición de ítems (y) Cambio de naturaleza de la
planeados, pérdida de lugar, tarea
olvido de intenciones (ii) Cambio del entorno en el cual
se realiza la tarea
Equivocación Equivocaciones Mala aplicación de una Inadvertencia de señales que Situación relativamente
relativas a buena regla indican la necesidad de otro infrecuente, atípica pero no
las reglas enfoque necesariamente anormal
Aplicación de una mala Entrenamiento inadecuado
regla Procedimientos ambiguos o
imprecisos
Equivocaciones No hay solución preparada - Capacidad para idear la Situación nueva
relativas al nueva situación abordada solución segura
conocimiento elaborando la respuesta a comprometida por el Esta situación pone en evidencia
partir de una nueva base apremio del tiempo, fuerte limitaciones de la memoria
emoción e inminencia del reciente, atención y conocimiento
peligro del sistema
Violación Habitual Desviación habitual de una Natural tendencia humana a Ambiente de relativa indiferencia
práctica regulada seguir el camino del menor (es decir, raras veces hay castigo o
esfuerzo premio por buen comportamiento)

Excepcional Transgresiones no Causas surgidas de la gran No se consideran tareas o

habituales, aparentemente variedad de condiciones circunstancias particulares ni se
dictadas por circunstancias locales planifica en previsión de ellas
locales
-
Nota: Hay un tipo de violación, llamada “deliberada”, que puede asignarse a la categoría general de
sabotaje. Esta queda excluida en la mayoría de los escenarios de investigación de accidentes.

Tabla 6.1 Clasificación de los Errores Humanos

 Errores humanos

Acción deliberada Acción involuntaria

Violación Equivocación Lapsus Desliz

Tipos básicos de
errores

Equivocaciones
Violaciones habituales
relativas a las reglas
Violaciones
Equivocaciones Fallas de memoria Fallas de atención
excepcionales
relativas al
Actos de sabotaje
conocimiento

Determinación de las Precondiciones (CPE)

Figura 6.1. Taxonomía de los Errores Humanos

En ese texto se trabajará con el concepto de falla humana, que tienen por objeto
incluir a los errores en las fallas humanas, con la siguiente clasificación

FALLAS HUMANAS

ACCION VOLUNTARIA ACCION INVOLUNTARIA

A su vez las acciones involuntarias se dividen en a) cuando la persona es superada

por la circunstancia, por ejemplo, superada por la fuerza de un aparato y b) errores
propiamente dichos.
 ACCION
INVOLUNTARIA

SUPERERADA POR CIRCUNTANCIA ERRORES

Por otra parte las acciones voluntarias se clasifican en

ACCIONES VOLUNTARIAS

VIOLACIONES SABOTAJE EQUIVOCACIONES

6.2. Condiciones que provocan errores

Existen condiciones que favorecen el error (o las violaciones) que están en la base
de los actos inseguros
Las Condiciones que Provocan Errores (o Violaciones) (CPE) presentes desde antes
de la iniciación del acto inseguro dan en la tabla 6.2 La tabla 6.3 de una lista de
condiciones que originan violaciones (sin orden de calificación).

Tabla 6.1 Condiciones que Provocan Errores

(en orden decreciente de importancia)

Categoría Contexto
Desconocimiento Situación potencialmente peligrosa o
importante, que es nueva o infrecuente.
Condición en la cual una persona tiene que
pensar y tomar decisiones críticas por sí sola,
con escasa o nula experiencia previa
 Escasez de tiempo disponible para la detección
Escasez de tiempo o corrección de errores.
El apremio de tiempo es un generador de errores
sumamente poderoso, y deteriora la calidad de
la decisión.

Señales ruidosas Baja relación señal/ruido en las comunicaciones

(confusas) entre grupos que trabajan separadamente.

Deficiente interfaz El equipo no transmite al usuario información

sistema/personal vital-espacial o funcional- o tiene controles que
chocan con las expectativas de aquél.

Desinteligencia entre El sistema o equipo está en conflicto con la

diseñador y usuario visión del mundo que tiene el usuario y que
imaginó el diseñador.
Frecuentemente se ignoran las ideas del usuario
porque no concuerdan con las del diseñador.

Irreversibilidad Sistema o equipo intolerante, que no admite la

corrección de los errores detectados.

Sobrecarga de Situación en la cual el usuario recibe

información información importante simultáneamente, por
más de un conducto.

Desaprendizaje de la Necesidad de descartar una técnica y aplicar una

técnica nueva que requiere una filosofía opuesta o
acción inversa.

Transferencia de Necesidad de transferir

conocimientos conocimientos/entrenamiento de tarea a tarea
sin pérdida.

Mala percepción Discrepancia entre el riesgo real y su percepción

del riesgo

Retroalimentación Sistema, situación o equipo que da al usuario re

deficiente troalimentación incompleta, ambigua o tardía en
cuanto a los efectos de acciones previas.

Inexperiencia Entrenamiento o experiencia insuficiente,

inicialmente al menos para las exigencias del
trabajo.

Instrucciones o Insuficiente información sobre el trabajo

procedimientos suministrada por la interacción personal con el
deficientes supervisor o por procedimientos escritos.

Control inadecuado Escaso o nulo control o prueba independiente

del trabajo hecho.

Consumo vicioso Consumo de alcohol o drogas que afectan la

ejecución del trabajo.

Inadaptación Discrepancia entre el nivel de realización

educacional educacional del individuo y las exigencias del
trabajo.

Cultura Incentivos para usar otros procedimientos más

machista/incenti- peligrosos.
vos peligrosos

Capacidades físicas Ciertos aspectos del trabajo exceden las

excedidas capacidades físicas normales.

Ambiente hostil Un ambiente deficiente u hostil, por debajo del

75% de lo normal para la salud, o severidad
amenazante para la vida.

Desánimo Grupos de trabajo en los cuales el ánimo es bajo

y hay pérdida de confianza en la estructura de
supervisión y gerencia.

Monotonía y tedio Inactividad prolongada o ciclo muy repetitivo

de tareas de escasa exigencia mental.

Ciclos de sueño Trastorno de los ciclos de sueño normales.

alterados

Imposición externa del Imposición externa, inadvertida, del ritmo de

ritmo de tareas tareas, por ejemplo, por presión de un
supervisor.
Tabla 6. 3 Condiciones que Favorecen Violaciones

Cultura de seguridad deficiente

Conflicto entre el personal y la gerencia
Desánimo
Supervisión y control deficientes
Normas inadecuadas
Mala percepción del riesgo
Percepción de indiferencia de la gerencia
Falta de estima por el trabajo
Falsa sensación de seguridad
Baja autoestima
Sensación de desampara, de descuido por parte de la gerencia
Sensación de estar fuera del alcance de las reglas
Normas confusas
Cultura del “se puede”
Exceso de presión o de dedicación al trabajo

Tabla 6. 4 Condiciones que Favorecen el sabotaje

Personalidades perturbadas
Conflictos internos de la empresa
Conflictos sociales
Conflictos étnicos
Guerras

6.3 Recuperación de los errores

Tan importante como la recuperación del error en la empresa, es la recuperación de

los errores. Una manera de combatir los problemas de errores humanos en
tecnologías riesgosas, puede ser e a través de la detección y corrección del error.

El manejo del error constituirá un campo creciente en las modernas organizaciones

complejas.

Producido un error el operador tiene que detectarlo, luego explicárselo a sí mismo

(aquí puede surgir nuevamente el error) y finalmente proceder a la corrección del
error cometido.

Esta es una conducta diaria en todas las personas.

A recuperación del sistema puede hacerse mediante una recuperación hacia atrás,
volviendo a un estado anterior del sistema, una recuperación hacia adelante, yendo
hacia un estado posterior de los sistemas, o mediante una recuperación
compensatoria, usando mediadas de contingencias.
 EVENTO

err
ERROR
Bibliografía

EERROR
DETECCION
b) R
EXPLICACION

CORRECCION

RECUPERACION RECUPERACION RECUPERACION

HACIA ATRÁS HACIA DELANTE COMPENSATORIA

6.4 Bibliografía

1) Reason, J.- Human Error – Cambridge University Press (1990)

2) Kontogianis, T. – User strategies in recovering from errors in man machine
systems – Safety Science 32(1999) 49-68
7. Riesgo, Percepción del Riesgo y la
Teoría de la homeostasis del riesgo
7.1 El Riesgo

La mera consulta de un diccionario sobre el significado de los vocablos usados

comúnmente en seguridad, indica la ambigüedad de nuestro idioma sobre los
distintos términos usados.
Según el Diccionario Manual de la Real Academia Española.
Peligro es: “Riesgo o contingencia inminente de que suceda algún mal. // Paraje,
paso, obstáculo u ocasión que aumenta la inminencia de un daño”
Riesgo : “efecto de dañar”, definiendo a daño como “Causar deterioro, perjuicio,
menoscabo, dolor o molestia”
Detrimento es: “Destrucción leve o parcial. //Pérdida, quebranto de salud o
intereses”.
De esto se desprende que es necesario tener un léxico más preciso para usos en
Seguridad.
En general la palabra riesgo se usa en seguridad más frecuentemente que peligro.
Se puede decir que peligro es algo eminente, que sucederá indefectiblemente si se
hace o se deja de hacer tal o cual cosa.
Por ejemplo: Peligro - “No abrir la puerta con el tren en movimiento”
En cambio, Riesgo tiene un doble significado, como:
a) La probabilidad de que suceda algo: “Correr el riesgo de morir en la operación”
b) Consecuencia: riesgo de muerte.
Otro concepto más específico es el valor medio de la consecuencia, o sea la
esperanza matemática de la consecuencia que también suele definirse como riesgo

X = E (x) = Σ pi xi

y el daño es ese valor medio multiplicado por el número total de eventos N que nos
da la pérdida por la sociedad, organización o empresa.
Ejemplo :

D = E (x) . N

Consideramos el caso de la Comisión de Energía Atómica de Estados Unidos, que

entre 1943/1970 tuvo los siguientes casos de accidentes de todo tipo:

Cantidad de Número de Accidentes

Muertes (1943/1970)
1 247
2 13
3 3
4 2
5 1__
Total 266
El total de muertes es 295.
La esperanza matemática dará el valor medio de la consecuencia.

E (x) = Σ pi . xi = __fi__ xi
ft

= 247 x 1 + 13_ 2 + 3_ x 3 2_ x 4 + 1_ x5
266 266 266 266 266

= 1,1085 muertos__
accidentes

El daño que sufría la organización, es decir, el número total de muertes.

D = NT x E (x) = 266 x 1,1085 = 294,86

7.2. Clasificación de los riesgos

Los riesgos pueden ser clasificados de distintas maneras, una de las formas más
comunes es la siguiente: a) con respecto a las personas; b) con respecto a la
consecuencia; c) con respecto al origen.

a) Con respecto a las personas

Se pueden considerar dos tipos de riesgo: el riesgo individual y el riesgo social.

El riesgo individual es el que afecta a una persona considerada en forma aislada. A
su vez el riesgo individual puede ser clasificado como voluntario o involuntario,
aunque la línea divisoria no es siempre clara.
Riesgo voluntario es aquél que es posible aceptar o rechazar, como por ejemplo:
fumar, viajar en moto, etc.; e involuntario en cambio es aquél que no es posible de
evitar; por ejemplo: caídas accidentales, enfermedades. Desde el punto de vista
laboral, se presupone que el trabajador está aceptando un riesgo inherente a su
actividad, en cambio, no se supone lo mismo para el resto de la comunidad.
Por ejemplo: cuando se calculan riesgos individuales se considera que toda la
población está expuesta; sin embargo para algunas actividades es preferible
expresar el riesgo en función de la población realmente expuesta. Por ejemplo: los
accidentes laborales: para ello existen diversos índices de riesgo que son
considerados más adelante.
El riesgo social está relacionado con el número de individuos afectados por una
clase de eventos, enfermedad, etc.
El riesgo social es el detrimento que sufre la sociedad como consecuencia de una
enfermedad, tipo de accidente, etc. Expresado en número de distintos tipos de
consecuencia.

D = E (X) NT
b) Con respecto a las consecuencias

Los distintos tipos de consecuencias pueden ser:

a) muerte
b) lesiones
c) días de trabajo perdidos
d) daños materiales a bienes (costo en $)
e) reducción de la esperanza de vida

Generalmente los riesgos se expresan sobre la base de la consecuencia.

c) Con respecto al origen

Se puede distinguir entre riesgos naturales y riesgos inducidos por el hombre. Por
ejemplo: la electrocución por rayos versus los accidentes automovilísticos.

7.3.Tasas de Riesgo

Toda tasa es una proporción. Se establece una relación entre el número de

individuos afectados por muerte, lesión, días de trabajo perdidos o días de
esperanza de vida perdida y la población total, durante un período de tiempo. O sea
el número de individuos que padecieron el riesgo sobre el número total de individuos
expuestos. También se puede hablar de costo de una clase de eventos, divididos el
número total de eventos.
En las tasas de riesgo específicas se relaciona la consecuencia con un grupo
particular, por ejemplo: el IFAM (Índice de Frecuencia de Accidentes Mortales) que
da el número de muertes por 100 millones de horas-hombre, en una actividad
industrial; la tasa de gravedad de accidentes, etc.

En la Tabla 5.1 se dan distintos tipos de tasas de riesgo.

T A B L A 5.1

TASAS DE RIESGO OBSERVACIONES

Riesgo Es el riesgo de muerte de un individuo de una

individual = __Muerte___ población dado, en un período de tiempo, ge-
persona-año neralmente anual.
Por ejemplo: en la Argentina el riesgo individual
de muerte por accidente en general (1977)

es r i = 4,325 . 10-4 _ m __
p.a

IFAM = __muerte_ Da el número de muertes por 100 millones de

108 H-h horas-hombre en una actividad industrial, o sea,
Índice de frecuencia de el número de accidentes mortales de un grupo de
accidentes mortales 1000 personas durante toda su vida laboral.

Nº de jornadas de Tasa de Gravedad, de acuerdo con la Ley

Tasa de grave- trabajo perdido. 19587
dad (TG) = 103___________
Horas-Hombre

Nº total de Tasa de incidencia de acuerdo con la Ley

accidentes 19587
TI = _______________ 103
Nº promedio de
trabajo en el año

por ejemplo 7.4 Actitud comunitaria hacia el riesgo

Un factor muy importante a tener en cuenta es la magnitud del accidente, en
número de muertos.
Si se comparan dos tipos de riesgo:
El primero se produce con una frecuencia de una vez al año y con una magnitud de
1 muerto por accidente.

1 accidente x 1 muerto_ = 1 muerto

Año Accidente Año

Comparado con otro riesgo:

1 accidente x 10.000 muertos = 1 muerto

10.000 año Accidentes Año

El segundo caso tiene mayor impacto psicológico. En general el público acepta más
los pequeños accidentes, con gran efecto en la sociedad, que los grandes
accidentes que tienes menor efecto en la sociedad. Por ejemplo, los accidentes de
automóviles en comparación con los de aviación.
Estadísticas sobre este tema han sido presentadas por Rasmussen (1) y más
recientemente por R.F. Griffith y L.S. Fryer (2).
Se ha podido hacer una relación entre el riesgo y la actitud de la sociedad hacia el
mismo (ver Tabla 5.2).
La actitud comunitaria hacia el riesgo puede variar por muchos factores; a veces,
una película del tipo cine catástrofe hace que público reclame medidas de seguridad
que antes no exigía.
Como concepto importante debe comprenderse que en la actitud de aceptación o de
rechazo que tiene el público hacia un riesgo influyente en la decisión a tomar: por
ejemplo, emplazamiento de aeropuertos, instalaciones nucleares, fondos destinados
a prevención de incendios, etc.

Finalmente, se dará mayor importancia a aquellos riesgos cuyos efectos sean más
cercanos en el tiempo y en el espacio.
Así, un riesgo de contaminación que nos afecte en los próximos años implicará
mayor preocupación que uno que pueda afectar a las próximas generaciones (ver
Fig. 1)

TABLA 7.2

Actitudes hacia el riesgo

Riesgo de muerte por

persona y por año Actitud

Este tipo de riesgo no es común.

10-3 Es inaceptable para el público, y cuando aparece,
la sociedad reclama que se tomen medidas

Se está dispuesto a asignar recursos para reducir

-4
10 el riesgo; por ejemplo: controles de tránsito,
bomberos etc.

Todavía son reconocidos como riesgos; por

-5
10 ejemplo : riesgo de envenenamiento,
ahogamiento, fuego, etc.

No son prácticamente reconocidos como riesgos,

se es consciente del riesgo, pero no se siente
10-6 íntimamente que le pueda ocurrir a uno; por
ejemplo: electrocución por rayo
7.2 Riesgo y Estimación del Riesgo

En este texto se denomina estimación del riesgo a los que habitualmente se llama
en la literatura “percepción de riesgo” por parte de una muestra de una población.
Por otra parte, se denomina evaluación de riesgo a datos de tipo estadístico y con
datos recogidos científicamente en forma inobjetable, como el número de lesiones
por trabajador y por año.

En los estudios de riesgos suelen distinguirse entre lo que se llama riesgo objetivos
(en general establecido por especialistas) y el riesgo percibido o estimado por el
ciudadano común ( Thompsom, y Bird)

Se entiende que el riesgo objetivo es producto del estudio científico del tema.
Sin embargo largas disputas científicas y filosóficas han ido erosionando este
concepto.
Autores como Beck y Short introdujeron la duda sobre la objetividad del estudio del
riesgo por parte de los especialistas

Posteriormente Freudenber, evidenció la desconfianza que existe por parte del

ciudadano común frente a las instituciones gubernamentales y científico-técnicas (6)

Es evidente la pérdida de prestigio de los estudios sobre riesgo, en parte derivado

del menosprecio a la percepción del riesgo de los ciudadanos.

Si bien hay mediciones muy objetivas del riesgo, otras son derivadas, y su
confiabilidad no es necesariamente superior a la evaluación o percepción del
hombre común.
El conocimiento es importante en la percepción de los riesgos, de lo contrario el
humano no habría sobrevivido a todos los avatares a los que ha estado sujeto.

Johnson estudia el papel del conocimiento en la percepción del riesgo por parte del
hombre común.
Distingue tres aspectos en el proceso de formación del conocimiento
a) producción del conocimiento, b) diseminación del conocimiento c) procesamiento
de la información

Otro aspecto relevante en la formación de conocimiento es distinguir entre el

conocimiento directo o experiencia y el conocimiento indirecto (que deriva de las
experiencias de otros).

Así por ejemplo un especialista puede evaluar el riesgo mediante datos empíricos,
tomados de mundo real, y otro puede trabajar sobre el tema mediante un análisis de
la información.

Por ejemplo, dando un caso real

El polo Petroquímico BB ha tenido varios accidentes de importancia: emisión de

cloro, emisión de amoníaco, numerosas emisiones de contaminantes por chimenea
de emergencia durante paradas e incidentes, etc. Asimismo, se observan en las
inmediaciones manchas amarillas en las hojas de las plantas y el valor de las
propiedades ha caído notoriamente. Han ocurrido manifestaciones populares contra
esta situación.
La gente común tiene una evaluación del riesgo: lo considera nocivo para su salud y
que afecta negativamente su calidad de vida.

Supongamos que se desee realizar un análisis de riesgos, dentro de universo de

riesgos que existen un ingeniero especialista estudiaría la emisión de productos
químicos.
El experto tomaría una serie de escenarios de emisión de contaminantes Estos
escenarios están tipificados en programas de usos corriente de la EPA, por ejemplo
en TSCREEN. Para determinar los escenarios el experto tiene recurrir a los
operadores de la planta para estimar los más probables en función de su
experiencia..
Es decir, está recibiendo una información de segunda mano de técnicos y
profesionales de una empresa.
Con estos escenarios puede estimar consecuencias, a saber concentraciones de
contaminantes a nivel de suelo, etc.,

Dado que el riesgo es probabilidad por consecuencia, por lo tanto se necesita

conocer la probabilidad de que ocurran estos escenarios.

Todo ingeniero que ha trabajado en planta, sabe que toda planta tiene sus
problemas de tipo general y también problemas específicos. Estos problemas
específicos ( problemas de determinadas válvulas, pérdidas, estado general de la
planta por su antigüedad, mantenimiento, forma de operar, etc.,) solo puede
conocerse empíricamente, y para ello hay que conocer la información de los
operadores. También sabe un ingeniero de planta, que al ser trasladado a una
nueva unidad, deberá confiar por un largo tiempo en la información que le transmiten
los operadores, hasta tener un cabal conocimiento de la unidad.

Pues bien, entonces la probabilidad que estime el especialista será un concepto

establecido en base a información de segunda mano, sea porque proviene de los
operadores o de la bibliografía.

Puede verse que, en este caso, el concepto de riesgo del hombre común tiene
bases empíricas de primera mano, y en el concepto de riesgo experto es parcial y
basado en información de segunda mano.
Al efectuarlo el experto y determinar las probabilidades de los escenarios elegidos,
resultarán con valores de riesgos muy bajos. Esto sucede en todos los estudios de
riesgos; sin embargo Three Miles Island y Chernobil han demostrado que aun siendo
poco probables pero que igual ocurren.

7.3 Teoría de la homeostasis del riesgo

La teoría sostiene que cada persona tiene su nivel de riesgo, que naturalmente es
una estimación del riesgo real, y que tiende a conservarlo constante. Si
incrementamos las medidas de seguridad en las rutas los automovilistas tienden a
aumentar la velocidad para mantener el nivel de riesgo al que están habituados.
Puede consultarse el excelente libro de Gerald White, denominado “Target Risk” (9).

Bibliografía

1. Thompson; Paul et al- “Competing conception of risk “– Texas A&M

University – Franklin Piercelaw Center – Risk: Health Safety and
Environment – Articles and comments by Title -
http://www.piercelaw.edu/risk/rskindx.htm

2. Thompson, Paul - Risk objectivism and Risk Subjectivism – When are risk
real? “– Texas A&M University – Franklin Piercelaw Center – Risk: Health
Safety and Environment – Articles and comments by Title -
http://www.piercelaw.edu/risk/rskindx.htm

3. Byrd, Theresa et al - Variation in Environmental Risk Perceptions and

Information Sources among Three Communities in El Paso Franklin
Piercelaw Center – Risk: Health Safety and Environment – Articles and
comments by Title - http://www.piercelaw.edu/risk/rskindx.htm

4. Beck, Ulrich – Risk Society: On the Ways to another modernity – Five

Thesis of modernization and Risk - http://www.consumercide.com
5. Beck, Ulrich – La sociedad del riesgo

6. Freudemberg, William – Risk and Recreancy: Weber, the Division of

Labor, and the Rationality of Risk Perceptions – Social Forces, Vol. 71,
Issue 1 (1993)

7. Short, James –The social Fabric at risk: toward the social transformation
of Risk Analysis. -American Sociological Review, Vol. 49, Issue 6

8. Johnson, Braden – Advancing understanding of knowledge Role in Lay

Risk Perception-Risk Communication Unit – NJ – USA- – Franklin
Piercelaw Center – Risk: Health Safety and Environment – Articles and
Comments by Title - http://www.piercelaw.edu/risk/rskindx.htm

9. Wilde, Gerard – Target Risk http://www.presst.qc.ca

8. Metodologías de Investigación de
Accidentes
8.1 Investigación de Accidentes
Se entiende por investigación de accidentes a la acción de indagar y buscar con el
propósito de descubrir relaciones causas-efecto.
Una investigación no está limitada a la aplicación de una norma de tipo estadístico
sino que trata de encontrar todos los factores del accidente con el objeto de prevenir
hechos similares, delimitar responsabilidades, evaluar la naturaleza y magnitud del
hecho, e informar a las autoridades y al público.
La labor del investigador o investigadores concluirá en un informe a ser elevado a
aquella autoridad que ordenó la investigación.
Los pasos a seguir en un proceso de investigación son los siguientes:
recolección de información
análisis de los datos
conclusiones
recomendaciones

Este proceso es obvio y cada uno de ellos puede constituir un capítulo del informe
de la investigación.

8.2 Etapas de la investigación

Recolección de información
El primer paso de un proceso de investigación es obtener información sobre lo
ocurrido.
Se debe llegar al lugar del hecho lo antes posible a fin de evaluar la magnitud de los
daños, asegurar el lugar y ubicar testigos circunstanciales.
Los pasos a realizar en esta etapa son los siguientes:
Asegurar el lugar mediante vigilancia, a fin de poder conservar las evidencias, e
impedir su desaparición, ya sea intencional o fortuita.
Buscar evidencias transitorias, tales como manchas de agua, huellas, derrames de
líquido, etc.
Tomar fotografías, hacer mapas y diagramas.
En lo posible las fotografías deberán ser tomadas por un fotógrafo profesional,
teniendo en cuenta la posibilidad de ubicar el lugar donde fueron tomadas. Esto se
logra mediante anotaciones sobre la fotografía o mejor aún, haciendo entrar en la
misma algún punto de referencia. Esto es de vital importancia en el caso de
evidencias transitorias; es común fotografiar indicaciones de instrumentos. La
señalización en mapas permite ubicar la zona del accidente y el uso de diagramas
sirve para indicar la zona afectada, localizar la posición de los lesionados, etc.
El objeto de estas técnicas es ayudar al investigador a formarse una imagen visual
de lo ocurrido.
Recolectar objetos físicos.
En el lugar donde ocurrió un accidente quedan por lo general, objetos tales como
trozos provenientes de roturas o proyectados. Además, en ciertos casos es
necesario tomar muestras de materiales para determinar características físicas y
químicas de los mismos (por ejemplo: material de estructuras para ser analizado,
muestras de aceite, de combustible, etc.)
Entrevistas con testigos.
La información recolectada a través de entrevistas con testigos constituye la parte
más importante de la etapa de recolección de información.
Primeramente se tomarán las referencias del individuo como nombre, edad, cargo,
etc.
Posteriormente se debe pedir al mismo una descripción de los hechos y recién
entonces hacer las preguntas pertinentes. Es importante no tratar de inducir
respuestas en concordancia con la idea del investigador.
Análisis de los datos
A partir de los primeros datos recolectados se formularán hipótesis que conducirán a
la búsqueda de datos para su conformación o rechazo. Este proceso de formulación
de hipótesis y búsqueda de datos es ayudado mediante técnicas analíticas.
La recolección indiscriminada de datos así como la formulación de hipótesis no
basadas en datos son de poca utilidad.
Análisis de los Datos
Se verán dos técnicas analíticas en particular: el análisis secuencial y el análisis por
cambios.
Dentro de las teorías causales sobre el origen de los accidentes se encuentran la
Teoría Secuencial y la Teoría Multifactorial.
La Teoría Secuencial, propuesta originalmente por Heinrich, sostiene que los
accidentes se originan debido a una encadenación de hechos, constituyendo lo que
se denomina una cadena causal. La Teoría Multifactorial sostiene que la
concurrencia simultánea de los factores origina el accidente. Esto es un caso de
causalidad conjuntiva.
Ambas teorías no son contradictorias sino que se complementan como se podrá ver
al hacer un análisis secuencial de un accidente.

8.2 El análisis secuencial

El uso de diagramas secuenciales es muy útil para organizar una investigación,

confirmando o negando la validez de los datos recogidos.
Esta técnica puede ser muy útil en la investigación de accidentes automovilísticos.
Los factores causales de un accidente pueden ser clasificados como: directos,
contribuyentes o sistémicos

Figura 1

Factores Directos

Factores
Contribuyentes
es

Factores
Sistémicos
Generalmente un accidente no es el resultado de una sola secuencia de eventos,
sino de varias secuencias en forma simultánea.
Existen dos formas de hacer un análisis secuencial:
a) Mediante secuencias de transferencia de energía.
Este tipo de estudio no sólo revela lo ocurrido, sino que también descubre que
barreras o controles fallaron o no fueron incluidos como medida de prevención.
b) Mediante secuencias de eventos y factores causales.
Consiste en graficar en forma secuencial eventos y factores causales directos,
contribuyentes y sistémicos.
Este tipo de análisis incluye a las secuencias de transferencias de energía.

Los criterios generalmente adoptados para graficar secuencias son los siguientes:
• Colocar los eventos en cadenas de izquierda a derecha.
• Colocar los eventos encadenas en serie o en cadenas en paralelo para
representar secuencias simples o secuencias simultáneas.
• La parte central del diagrama debe reservarse para los eventos que conducen
directamente al accidente.
• Los eventos supuestos por el investigador deben distinguirse de los demás por
algún tipo de notación.
• Los eventos que no tengan un orden secuencial deben dejarse en suspenso
hasta la finalización del diagrama.
Los criterios de descripción de eventos son los siguientes:
• Describir en forma simple el hecho ocurrido, no estados, condiciones o
circunstancias.
• Basarse solamente en hechos comprobados.
• Cuantificar los eventos en la medida de lo posible.
• La descripción debe hacerse de modo que provengan del evento precedente.
• En el caso que una condición combinada con un evento, produzca otro evento,
es preferible usar para la misma algún símbolo distinto como un óvalo.

Ejemplo de aplicación: se analiza un accidente descripto en la revista Seguridad

Industrial de la ex -YPF.
El accidente se produjo cuando el trabajador se disponía a realizar una soldadura en
un tambor de 200 litros.
Al comenzar la operación se produjo una explosión, desprendiéndose el fondo del
tambor que golpeó al operario en la cara y atravesó el techo de fibrocemento del
galpón.
El trabajador, que murió como consecuencia de las heridas, realizaba tareas de
soldadura desde hacía seis años. El tambor no había sido inertizado ni se le habían
retirado los tapones.
Construcción del diagrama secuencial: dado que el obrero tenía seis años de
experiencia en la función, se lo considera como causante directo del accidente,
aunque como causas contribuyentes se consideran la falta de inertización y el hecho
que no se destaparan los recipientes al llegar al taller.
Además, es probable, (por eso se incluye en un óvalo) que el sistema de supervisión
y control no funcionara en forma aceptable.
La secuencia se desarrolla hasta que se produce la lesión en el trabajador y se
continúa hasta que la tapa llega al techo para tener una secuencia meticulosa de las
transferencias de energía.
Esta técnica analítica, que ha sido utilizada con éxito en la investigación de
accidentes automovilísticos, puede ser utilizada provechosamente en la
investigación de accidentes de trabajo.
En el caso analizado permite identificar factores sistémicos (supuesto como: falta de
supervisión y control, factores indirectos como: falta de inertización y retiro de
tapones, y factores directos, trabajador descuidado).
De este modo, la gerencia puede determinar dónde debe dirigir sus esfuerzos para
prevenir hechos similares.

Falla de
Supervisión
y Control
Cadena
Eventos y Factores Causales

Llegada de Falta de
tambores Inertización y
al Taller retiro de
tapones

Figura 3 La La
Trabajador Operaci Explo Desprendimie tapa tapa
Descuidado ón de sión nto de la tapa lesion atravi
Soldad a al esa

8.3 El análisis por cambios

La experiencia indica que uno de los factores más importantes en la generación de

accidentes son los cambios que se generan en un sistema, en un proceso o en una
tarea.
Intuitivamente se dice, cuando ocurre un accidente: ¿qué pasó?, es decir, ¿qué
cambios ocurrieron?
En toda investigación de accidentes debe establecerse un marco de referencia de
condiciones en las que no ocurren accidentes y luego comparar con la situación
accidental.
El proceso de análisis por cambios se ha derivado de una metodología de análisis
de problemas ideado por Kepner y Tregoe.
Estos autores definen como problema a toda desviación de una norma o de algo
establecido. En este caso, un accidente es un hecho que no debiera ocurrir y que no
está planeado.
El proceso de análisis por cambio involucra seis pasos:
Considerar la situación accidental.
Establecer una situación similar pero sin accidentes.
Comparar las situaciones 1) y 2).
Establecer todas las diferencias, aunque parezcan irrelevantes.
Analizar las diferencias para encontrar relaciones entre ambas situaciones.
Integrar la información en el proceso investigado.
En la figura 3 se presentan en forma esquemática los seis pasos anteriores.

Figura 2
Situación
Accidental

Analizar las Integrar la

Establecer diferencias, información en el
Comparar diferencias buscando su proceso de
efecto sobre el investigación
accidente

Situación
Normal

Ejemplo: se analizará el mismo caso.

Para realizar este tipo de análisis es conveniente utilizar una planificación estándar
que se muestra en la figura 2.
Del examen de la misma surge que los principales cambios son: la falta de
cumplimiento de procedimientos correctos y la falta de controles de dirección,
referidos a una situación “normal”, es decir, la situación en que se deberán realizar
tareas.
Ambas técnicas analíticas son complementarias, ya que su aplicación simultánea
permite detectar distintos aspectos característicos de un accidente.
Así, por ejemplo, en el caso precedente analizado, el análisis secuencial determinó
como causante principal del accidente el error del trabajador, mientras que el
análisis por cambios producidos en la ejecución de la tarea descripta, demuestra
diferencias con respecto al procedimiento operativo habitual.
En síntesis, la aplicación de metodologías sistemáticas en el análisis de accidentes
de trabajo, permite evaluar ciertas causales de los mismos que de otra forma
podrían pasar inobservadas.
Planillas de análisis por cambios

FACTORES SITUACION SITUACION DIFERENCIA CAMBIOS

PRESENTE ANTERIOR S
COMPARABLE
¿Qué?
Objeto Falta de Inertizado Falta de No se cumple
Energía inertización inertización con
Defecto Con tapones Sin tapones procedimientos
Dispositivo puestos Con tapones correctos
Protector
¿Dónde?
En el objeto ----------- ---------- NO NO
En el proceso
Lugar
¿Cuándo?
En tiempo ----------- ----------- NO NO
En proceso
¿Quién?
Operador
Compañeros ----------- ------------ NO NO
Supervisor
Otros
Tarea
Objeto Procedimiento Procedimiento SI Cambios en
Procedimiento cambiado común Procedimiento
Cualidad
Condición de Trabajo
Medio Ambiente
Sobretiempo ----------- ------------ NO NO
En horario
Relaciones

Evento ------------ ------------- NO NO

Desencadenante
Controles de la Dirección
Cadena de controles NO SI Falta de control Falta de
Análisis de peligros NO SI Análisis de controles de la
Monitoreo NO SI peligros Dirección
Revisión de riesgos NO SI Vigilancia
Revisión de
riesgos
8.4 El Arbol de causas

El árbol de causas es un método secuencial de análisis de los datos, que usa

compuertas lógicas para describir eventos

En la cadenas causales pueden usarse dos tipos de compuertas lógicas, las

compuertas “y” y las compuertas “o”. Las compuertas “y” se representan de la
siguiente manera

ω R
B

Como puede verse, las causas A y B solo conducen a R cuando ambas están
presentes. Por lo tanto A y B son necesarios, pero no son condiciones suficientes.
No pueden, por si mismas, causar R.

Una segunda posibilidad de combinar las causas A y B, es mediante una compuerta

“O”.

A
R

Las causa A y B llevan a R, cuando al menos una de ellas esté presente. Ambas son
causas necesarias y suficientes. Este tipo de compuertas lógicas no se usa en
análisis retrospectivos, como son los análisis de accidentes de trabajo, sí se usan en
los análisis prospectivos (también llamados “árboles de eventos)

A
B R
C
Configuraciones

Hay tres tipos de eventos: los eventos iniciales, los eventos intermedios y los
A evento intermedio

B R

C
 A evento intermedio

B R

B o bien,

A evento intermedio

B R

eventos repetitivos.

Los árboles de causas tienen diferentes características: la longitud, la forma y la

complejidad difieren.

La complejidad C está relacionada con la cantidad de compuertas “y” que tiene un

árbol de eventos.

nº de compuertas y
C = .
total de eventos iniciantes o repetitivos

8.5 Conclusión o síntesis

La síntesis es la recomposición de lo separado por el análisis, es decir la integración

de los factores en un conjunto coherente.
La síntesis o conclusión es el resultado que engloba dentro de sí al cúmulo de
apreciaciones que se hicieron a lo largo del proceso de investigación.
Es evidente que no hay una sola causa del accidente, sino un conjunto de causas.
La incorporación de causas probables en una conclusión es legítima, y no debe
desdeñarse su uso.

8.6 Recomendaciones

Son todos aquellos cambios que deben realizarse para evitar la repetición del
accidente; deben ser medidas de orden práctico.
Si se llevan a cabo, el paso del tiempo constituirá la mejor prueba de su efectividad.
8.7 Bibliografía

1) Heinrich – Industrial Accident Prevention – Mc Graw Hill (1958)

2) Johnson, J.W. – The Management Overview and Risk Tree – Sand 821-2
3) Kepner& Tregoe – El Directivo racional – Mc Graw Hill (1982)
9. Análisis de Seguridad de las Tareas
mediante la ergonomía de sistemas
9.1 Introducción

Primeramente es necesario estudiar el sistema hombre máquina de acuerdo al lo

propuesto en la Norma ISO 12100: 2003(E) Safety of machinery, Part 1 y Part 2,
donde se estudia el sistema máquina, identificando sus partes de control y sus
partes operativas. Este sistema interactúa con el operador, y los disfuncionamientos
constituirán los accidentes y los incidentes,

SISTEMA MAQUINA
INTERFASES OPERATIVA Y DE CONTROL
S

S SEÑALES, CONTROLES MANUALES

T DISPLAYS, Y APARATOS DE
E ADVERTENCIAS CONTROL
M
A

D
E

ALMACENAMIENTO DE DATOS Y
PROCESAMIENTO LOGICO O ANALOGICO
C
O
N
T
R
O
SENSORES
L ELEMENTOS DE
APARATOS PROTECTORES
CONTROL DE POTENCIA
(CONTACTORES,
S VALVULAS,
I CONTROLADORES)
S
T RESGUARDOS
E
M ACTUADORES
A
(motores, cilindros)
O
P ELEMENTOS DE TRANSMISION DE
E POTENCIA – PUNTOS DE TRABAJO
R
A
T
I
V
O
 Un disfuncionamiento es un hecho no habitual o una modificación ocurrida en
una situación de trabajo.

Este disfuncionamiento perturba la actividad del Sistema Hombre-Máquina y

lo aparta temporaria o definitivamente de su objetivo pudiendo producirse incidentes
o accidentes.

Pueden darse los siguientes casos (Leplat)

Un disfuncionamiento origina un accidente

D A

Un disfuncionamiento origina accidentes e incidentes

D A
I

Un disfuncionamiento origina incidentes que a su vez causan accidentes

D I1 I2 ... A

Este tercer caso es el más común. Es importante relacionar estos conceptos con los
de Wanner basados en la experiencia de la industria aeronáutica.

Wanner establece que un accidente ocurre cuando el punto de

disfuncionamiento del sistema rebasa un límite de seguridad.

Un sistema tiene un número de parámetros, cada uno de los cuales debe estar
dentro de límites determinados. O sea, el estado del sistema puede ser descripto de
la siguiente manera:

qi = ψ (p1, p2 ... pn)

sea, por ejemplo, p1 velocidad de rotación, p2 temperatura, etc.

Para cada uno de esos parámetros pi, tendremos una zona 1 de funcionamiento normal, una
zona 2 de funcionamiento anormal y una zona 3 de funcionamiento peligroso.

q
3
2 I1
1 I2
I3

P
Esto ocurre para cada uno de los parámetros y se podría representar el
funcionamiento del sistema mediante un punto en un espacio de n dimensiones;
cuando el punto de funcionamiento sobrepasa uno de los límites, puede ocurrir un
accidente.

Se puede hablar entonces de un dominio Q = Σ qi de estado de funcionamiento

normal, del cual se puede pasar a un dominio de funcionamiento anormal o a otro
dominio de funcionamiento peligroso.

Los incidentes que pueden desestabilizar el sistema pueden clasificarse en las

siguientes categorías.

I1 : Falla de operador
I2 : Perturbaciones del medio
I3 : Fallas de Componentes
I4 : Falla de operación de recuperación (Ver tareas secundarias)

2, La Tarea

Se ha visto que la interacción entre el hombre y la máquina constituye la tarea. Las

tareas son secuenciales y se componen de diversas operaciones i; al cabo de cada
una de ellas el sistema presenta un estado bien definida qi.

Cuando se termina una etapa y el sistema está en un estado qi, se debe emitir
una orden Si para cambiar del estado qi qi + 1.

Esquemáticamente una tarea puede describirse

Q = Q0 (estado inicial) Q1 Q2 Qf (fin de la tarea)

Quinot establece que para llevar a cabo una tarea son necesarios:

la acción de los mecanismos S de control del Sistema (regulación automática,

decisiones, etc.) y
los cambios de estado qi del sistema

Es decir, se tiene por un lado a la maquinaria vs el programa de producción.

Este programa incluye tomas de decisión, humanas u ordenes automáticas.

Ordenes (por decisión o programa)

S0 S1 Sf-1 Sf

q0 q1 qf-1 qf

Estados del sistema

Algunas transiciones

qi qi + 1 (o Si Si + 1) permiten introducir opciones al sistema para

llegar al objetivo.

Entonces el gráfico correspondiente no será lineal sino arborescente, y puede

poseer puntos de bifurcación como los esquemas siguientes, donde se han
considerado solamente dos opciones, para qi + 1 o Si + 1

Ejemplo

Descripción de la salida de un tren desde la estación E0, a la hora h1 para llegar a la

terminal T, parando 10 minutos en cada estación intermedia.

Q0 : Estacionamiento en E0
S0 : Orden de partida de E0, a la hora 10
q1 : Recorrido E0 – E1
S1 : Orden de detención cuando el tren llega a E1, (h1)
q2 : Estacionamiento en E1
S2 : Orden de partida de E1 a la hora h1 + 10 min
Sf : Detención cuando el tren llega a T
q1 : Estacionamiento en T
Sf : Otra operación

Tareas normales

Un sistema se concibe para concretar un objetivo definido; la tarea para llevarlo a

cabo es la tarea normal.

Esta tarea se compone de una secuencia de operaciones

T=Σ0=Σ Si, qi

Las tareas pueden estar perfectamente programadas, como ocurre en el trabajo en

serie, o dejar cierto margen de decisión al trabajador, como en el mantenimiento.

Una tarea normal puede representarse simbólicamente por una línea que une el
origen de la operación con el objetivo.

T=Σ0
origen 0 objetivo

Esta línea resume el conjunto de secuencias para llegar al objetivo.

Perturbación de la tarea normal:

Tareas substitutas

Los incidentes sobrevienen aún en las tareas más planificadas y en ese caso el
trabajador debe idear tareas apropiadas, es decir otra secuencia de operaciones.

Cuando la secuencia principal T de una operación técnica deja lugar a una

secuencia secundaria T1 no programada, el sistema no está controlado en un
sentido estricto y se está frente a una situación riesgosa.

Hay tres tipos de comportamiento en estos casos.

Tipo I:
Recuperación total del incidente. El trabajador interrumpe la tarea y busca resolver el
incidente con los mismos medios y útiles que los asignados originalmente.
X

X incidente

Tipo II:
En muchos casos, el trabajador reemplaza en el momento del incidente la tarea
programada por otra menos formalizada que debe idear para lograr el objetivo.

0 T1

Esta tarea nueva T, compuesto de una secuencia de operaciones Σ1 (Si, qi) que se
denomina tarea substituta o vicaria.

Esta tarea substituta puede a su vez ser interrumpida por un nuevo incidente
(incidente I4) que dé origen a otra tarea substituta T2, y así sucesivamente.

En procesos automatizados es de gran importancia preveer cuáles pueden ser esas

eventuales tareas substitutas.

Tipo III:
En los casos anteriores y a pesar de la perturbación de la tarea normal, ha podido
llegarse al objetivo; en cambio, hay situaciones en que se interrumpe la tarea sea
porque el trabajador no puede idear una tarea substituta o porque se altera la
integridad del Sistema Hombre-Máquina.

Esto constituye un accidente (daño o bienes a personas) y se designa con un

círculo.
Es necesario, antes de proceder a la recuperación y retorno a la tarea normal,
atender a los lesionados, reparar daños a las maquinarias y eventualmente revisar
globalmente la tarea normal.

Los accidentes pueden ocurrir en el curso de la tarea normal, pero se los encuentra
generalmente en las tareas substitutas.

T1
X
T2
9.2 El análisis de seguridad en el trabajo

Se denomina análisis de seguridad en el trabajo (Job Safety Analysis) a una

técnica que permite identificar las causas potenciales de los accidentes y estudiar
las medidas para eliminarlas en una tarea determinada.

En rigor, un análisis de seguridad en el trabajo es un análisis de la tarea.

Un análisis de seguridad en el trabajo tiene cuatro pasos:

Selección de la tarea
Debe analizarse prioritariamente aquellos trabajos en que haya mayor frecuencia y
severidad de accidentes.
Delimitar las operaciones de la misma
El trabajo debe descomponerse en sus pasos sucesivos u operaciones; esto puede
hacerse observando el desempeño de un empleado experimentando y registrando
cada etapa con un estudio de métodos.
Identificar los peligros asociados a cada etapa
Esto puede hacerse mediante observación pero también a través de la experiencia
obtenida de accidentes acaecidos previamente. Para cada etapa el analista debe
preguntarse:
Si el trabajador puede golpearse, o ser golpeado o ser golpeado por un objeto, si
puede ser apretado, raspado, etc.
Si corre el riesgo de caídas o esfuerzos excesivos.
Si está expuesto a gases, humos, ácidos, etc.
Recomendar controles y procedimientos
Las reglas y procedimientos se formularán para evitar los peligros previamente
identificados; a veces serán necesarios cambios en equipos y materiales mientras
que otras veces se requerirán cambios en procedimientos.

Los problemas se tratarán en forma específica evitando el “sea cuidadoso” o “tome

precauciones”. A continuación se da un ejemplo de análisis del trabajo

Hay planillas tipo de gran utilidad para sistematizar el Análisis de Seguridad en el

Trabajo.

9.3 Bibliografìa

(1) Quinot et Moyen – Technique risque et danger –INRS 33 (1980)

(2) Mangosio, Jorge – Medio Ambiente y Salud Ocupacional -.Editorial Nueva
Librería –ISBN 950 –9088 –87-0 (1997)
 Planilla Tipo de Análisis de Seguridad en el Trabajo

Denominación de Trabajo: Pulido de Piezas de Denominación de la Función: Operador de

Fundición Pulidora

Equipo de Protección Personal Requerido: Analista-.

Guantes de Cuero, Anteojos, Zapatos de Seguridad Lugar y Fecha:

1

Tareas Peligros y accidentes potenciales Procedimientos recomendados

1. La mano derecha se dirige a a) Puede golpear con la mano a) Colocarse guantes de cuero
canasto, recoge la pieza y la derecha con el borde del canasto
lleva a la pulidora o en la fundición y cortarse o
rasparse la mano

b) Levantar piezas de fundición b) Usar procedimientos

muy pesadas adecuados. Si la pieza es muy
pesada. pedir ayuda

c) La pieza de fundición puede c) Usar zapatos de seguridad

caer en un pie

2. La mano izquierda agarra el
lado izquierdo de la fundición y
con ambas manos lo !leva a la
amoladora
a) Cortarse o rasparse las manos a) Usar guantes para protegerse
golpear la mano contra la pieza de los bordes filosos de la piedra,
mantener las manos lejos de
partes rotativas, No llevar ropa
que se pueda enganchar

b) Chispas, polvo, ruptura de la b) Llevar protección para los

piedra ojos, asegurarse que los
resguardos estén en su lugar,
usar guantes de cuero

3. La mano izquierda deposita la a) Golpearse la mano contra la a) Manipular en forma adecuada

pieza terminada en caja al lado caja o la pieza
de la amoladora b) Usar procedimientos
b) Levantar piezas pesadas adecuados; si la pieza es muy
pesada, pedir ayuda

c) Caída de una pieza c) Llevar zapatos de seguridad

lado izquierdo de la fundición y golpear la mano contra la pieza de los bordes filosos de la piedra,
con ambas manos lo !leva a la mantener las manos lejos de
amoladora partes rotativas, No llevar ropa
que se pueda enganchar

b) Chispas@ polvo, ruptura de la b) Llevar protección para los

piedra ojos, asegurarse que los
resguardos estén en su lugar,
usar guantes de cuero

3. La mano izquierda deposita la a) Golpearse la mano contra la a) Manipular en forma adecuada

pieza terminada en caja al lado caja o la pieza b) Usar procedimientos
de la amoladora
b) Levantar piezas adecuados; si la pieza es muy
excesivamente pesadas Osada, pedir ayuda

c) Llevar zapatos de seguridad

c) Caerse una pieza en el pie
10. Análisis de datos mediante SST.
Precursores
10.1. Introducción

En este capítulo se estudiarán los factores adicionales en una investigación de

accidentes, es decir todos los elementos organizativos y de sistemas que influyen
sobre el accidente.

La investigación de accidentes es, en primer lugar, una investigación sobre hechos

ya acaecidos, y carece de parte experimental, salvo en lo relativo a equipos
(hardware) (por ejemplo en estudios de estructuras de automóviles, donde se prueba
la resistencia mediante choques, los ensayos de equipos de protección personal,
tales como resistencia a impactos en cascos, resistencia a la tracción de cinturones
de seguridad, etc.)

Por otra parte, es común que sus resultados de una investigación sean influenciados
por la organización; en efecto, sus resultados pueden afectar directa o
indirectamente tanto a la organización como a sus miembros, por lo que se ejercen
fuertes presiones para acomodar los resultados.
En este caso, como en los estudios de Elton Mayo, donde el investigador (u
observado) por su sola presencia, influía en los resultados, también se da en las
investigaciones de accidentes, pero de una manera distinta.

El observador es observado por los directivos y la organización, y estos influyen en

los resultados de la investigación (por ejemplo, en el caso del Transbordador
Espacial de la NASA), donde los resultados son influenciados por los grupos
directivos.

Los componentes sistémicos de los accidentes han sido estudiados por Jop
Groenenweg (1) y otros como Leplat (2) y Trist (3·)

Estos estudios se refieren a sistemas socios técnicos, más que a la organización en

si misma.

Un sistema socio técnico es un estudio de la organización, los equipos o máquinas

(hardware) y la gente, que están interactuando durante el proceso de producción.
También hay que incluir en esto al Medio Externo al Sistema. Esto difiere de los
sistemas hombre maquina, donde solo se consideran dos factores.

En los sistemas socio técnicos se incluye la empresa o institución, con todas sus
exigencias y metas, que hace interactuar muchos hombres y muchas máquinas en
un ámbito para la producción (entendiendo la producción el cumplimiento de los
objetivos de la empresa o institución, por lo cual también se puede considerar a la
enseñanza, por ejemplo, como un sistema socio técnico).
Para considerar ejemplos de distintos sistemas socio técnicos, considérese las
diferencias que hay en la organización, la gente y la maquinaria y equipos entre un
buque de guerra y un buque de transporte de pasajeros.

Estos sistemas, como todas las cosas, tienen fallas y problemas. Dichas fallas o
problemas se denominan Fallas de Tipo General (Groeneneg), Fallas Sistémicas, o
también, como se dice actualmente, Precursores.
Los precursores pueden ser fallas o problemas del SST, de la Organización, de la
Gente y de las Máquinas.
Los precursores son los siguientes:

En los Sistemas Socio-Técnicos en general: Los sistemas socio técnicos, es decir

la Empresa e Institución en forma total, pueden tener problemas con su entorno,
derivados de cambios en el medio externo, tales como competencia, cambios del
mercado, cambios tecnológicos Se entiende por medio exterior aquello que puede
ejercer efectos sobre el Sistema Socio Técnico o sobre el cual el Sistema socio
Técnico puede ejercer su acción

Son ellos: Cambios en el Medio Externo

Cambios Adaptativos

En los Sistemas Hombre Maquina:

Complejidad
Acoplamiento

En las máquinas:
Defensas
Diseño
Equipamiento
Mantenimiento

Las empresas efectivas se caracterizan por su auto evaluación permanente y las

correcciones Esto esta íntimamente vinculado con los temas de calidad

En el hombre: Las fallas de la gente son errores que cometen las personas durante
la interacción con la maquinaria y otras personas. Si bien son conocidos por todos
que hay muchos accidentes provocados por errores de las personas, debe
recalcarse que el error es parte de la fatiga, por lo tanto, la conocida excusa de la
falla humana, muchas veces es una falla de la organización.
La organización tiene una marcada preferencia en encontrar que las causas de los
accidentes están relacionadas en primer lugar con las personas, y en segundo
lugar con la maquinaria y equipo.-

Entrenamiento
Orden y Limpieza
Condiciones que refuerzan el Error
Falseamiento de la Información

En la Organización:
 Fallas Organizacionales
Procedimientos
Objetivos Incompatibles
Comunicación

10.2. Precursores
En los Sistemas Socio-Técnicos en general

1. Cambio en el Medio Externo

El sistema socio técnico se ve enfrentado con cambios en el medio externo,

especialmente en tiempos de cambios tecnológicos como los actuales. Todo ello
repercute en la empresa o institución que puede responder con cambios en el SST
o soportar los cambios externos, en busca de su supervivencia. Debe tenerse en
cuenta que la falta de respuesta del sistema, ya es una respuesta. Estos cambios
influyen dentro de la empresa derivando en falta de presupuesto, accidentes,
acciones legales, etc.
Para citar algunos de los cambios en el medio externo, se puede citar a: nueva
competencia, cambios del mercado, cambios tecnológicos, cambios legislativos,
nuevas normas paralegales (ISO 9000, ISO 14000, etc.), cambios financieros, etc.

2. Cambios Adaptativos

A estos cambios en el medio externo, el SST puede responder con cambios

adaptativos, tales como cambios en la organización de la empresa, cambios en la
forma en que desarrolla sus actividades, restricciones de presupuesto, reducciones
de personal, cambio de rubro, cambios en la cultura organizacional, todo lo cual
influye en la seguridad que tenga la empresa. Los cambios adaptativos, en general
son negativos para la seguridad. En el proceso de cambio la organización se
concentra en sus principales objetivos, que no es específicamente la seguridad.

En los Sistemas Hombre Maquina:

3. La complejidad

Se entiende por complejidad en los sistemas hombre máquina a secuencias no

familiares, o no planeadas o inesperadas, que no son visibles o inmediatamente
compresibles, y por lo tanto implica ambigüedad de opciones.
Los sistemas hombre máquina son cada día más complejos por la agregación de
funciones, o sea se incrementa el número de opciones que tiene el operador

4. Acoplamiento:
En los sistemas hombre Máquina se puede tener problemas por Alto acoplamiento
(tight coupling) o por bajo acoplamiento.
El Alto Acoplamiento en un sistema Hombre Máquina que tiene que ver con los
siguientes puntos:
 1. apremios de tiempo
2. secuencias invariables
3. diseños que permito sola una manera de llegar al objetivo
4. excesiva demanda al operador
El Alto Acoplamiento tiene que ver con la necesidad de control que tienen los
mandos superiores de la organización, que no quieren dejar nada al azahar (fool
proof).
En la cibernética de W Ross Ashby, se lee: ”Dos o más máquinas pueden acoplarse
para formar una sola”. Aquí el diseño sistemas de Alto Acoplamiento implica la idea
de unir dos máquinas, en este caso el hombre con la maquina.

Por otra parte el bajo acoplamiento implica defectos de diseño, que impiden al
hombre relacionarse con la máquina por falta indicadores, diales, alarmas, etc.

En las máquinas:

5. Defensas inadecuadas

Se entiende por defensa inadecuada una defensa que no cumple con alguna de las
cuatro funciones básicas: detección / advertencia, recuperación, protección /
contención y escape. Las fallas en una o más de esas funciones constituyen una
Falla de Tipo Sistémica

Los problemas pueden clasificarse en relación con las funciones defensivas arriba
enumeradas.

* Percepción del Peligro Inadvertencia de los peligros probables asociados con el

lugar de trabajo.

* Detección y Advertencia. Los problemas comunes son las fallas de detección,

falsas alarmas y fallas de información.

* Recuperación. Los sistemas de recuperación pueden ser humanos o mecánicos.

Los seres humanos son poco perspicaces para advertir sus errores de diagnóstico
(el índice de detección es de 40% aproximadamente), pero relativamente buenos
para descubrir deslices y lapsus (índice de detección de 75% aproximadamente).
Los sistemas de recuperación por medios de ingeniería pueden fallar por
infrecuencia de pruebas, o porque los problemas que se descubren no se corrigen
con suficiente rapidez.

* Protección y contención. Las violaciones que involucran la inhabilitación de

barreras físicas o el prescindir de elementos de protección personal se halla entre
los tipos más comunes de abandono de defensas.

* Escape y evacuación. Una de las lecciones importantes de los Accidentes mayores

es que los accidentes serios pueden tomar formas inesperadas. Los planes de
escape que no contemplan todas las posibilidades pueden ser letales (caso Piper
Alpha).Todo incidente o accidente revela cómo las defensas pueden ser vulneradas.
Defensas Inadecuadas

DESCRIPCIÓN TIPOS DE FALLAS GENERALES

PROBABLES

Defensas Inadecuadas

Equipos
Diseño
Mantenimiento
Procedimientos
Escape Orden y Limpieza
Comunicaciones
Entrenamiento

Equipos
Diseño
Mantenimiento
Protección/Contención
Procedimientos
Comunicaciones
Entrenamiento

Equipos
Recuperación Diseño
Mantenimiento

Presencia de condición Diseño

Detección peligrosa Mantenimiento
Equipos

Naturaleza de la condición
peligrosa Entrenamiento
Conciencia
Procedimientos

6. Diseño inadecuado
El diseño es una falla de tipo general cuando origina accidentes o conduce a
ejecución de actos inseguros evitables. Muchas fallas de diseño se deben a la
distancia física y profesional que media entre el diseñador y el usuario final, y al
hecho de que a menudo el diseñador tiene con respecto al elemento diseñado un
“modelo mental” diferente del de la persona que ha de usarlo.

Las fallas de diseño se originan en tres grupos de causas: a) falta de conocimiento

de los diseñadores, b) discrepancias entre los modelos mentales del diseñador y del
usuario y c) excesiva carga mental para el usuario durante la operación y falta de
consideración a los posibles errores humanos.

7. Equipamiento (Defectos de los equipos)

La categoría de equipos comprende la calidad y la disponibilidad de herramientas y

equipos. No incluye deficiencias del diseño.

Los problemas de los equipos pueden clasificarse en tres grandes grupos:

- Antigüedad del equipo, que está relacionada con el número de desperfectos y la

necesidad de mantenimiento correctivo.

- Standard de construcción. Puede haber problemas entre las especificaciones de

los equipos y las necesidades operacionales de sus usuarios, debido a diferencias
de opinión en cuanto a las especificaciones, compra de marcas baratas y errores en
la compra de los equipos. Son señales de problemas en esta área la repetición de
pedidos de un mismo equipo, los frecuentes reclamos a los fabricantes, la alta
incidencia de desperfectos, una necesidad de tiempo de mantenimiento mayor que
la esperada, el gran número de pedidos de repuestos y de equipos no usados o
abandonados.

-Disponibilidad. No se encuentran los equipos necesarios

Los problemas de los equipos se cuentan entre los más fácilmente identificables y
remediables de las Fallas Sistémicas En su mayoría las acciones correctivas surgen
directamente de una identificación precisa del problema subyacente. Por ejemplo,
los problemas del ciclo de vida pueden solucionarse mediante el reemplazo, la
reparación o el mantenimiento; los problemas de construcción pueden abordarse
mejorando las especificaciones o comprando elementos de alta calidad; los
problemas de disponibilidad pueden minimizarse mejorando los sistemas de pedido
y registro y reforzando la vigilancia.

8. Mantenimiento deficiente

Este Tipo general de Falla está más relacionado con la administración del
mantenimiento que con la ejecución de tareas de mantenimiento (ésta corresponde
a otros tipos de fallas). Muchos estudios revelan que las fallas de la administración
del mantenimiento contribuyen a provocar accidentes en forma significativa. La
administración del mantenimiento está relacionada con los costos operativos y una
de las fallas que la gerencia trata de ocultar
La administración del mantenimiento puede fallar por falta de un programa
adecuado, exclusión de equipos del programa y existencia de sistemas,
planeamiento y ordenamiento cronológico deficiente.

Muchos problemas de mantenimiento surgen del conflicto entre los costos y la

seguridad. En una situación ideal, los recursos de mantenimiento deberían estar
determinados por los objetivos del mantenimiento. En la realidad, a menudo están
limitados por factores de costo. Pero también hay otros factores no intencionales,
por ejemplo, falta de coordinación de las actividades (particularmente con
operaciones), falta de planeamiento, falta de supervisión y
comunicación.

MANTENIMIENTO
DEFICIENTE

Estrategia de la
Estructura de Estructura Planeamiento y Confiabilidad y
carga
Recursos Administrativa Control del Trabajo Control de Plantas
de trabajo

Inspección independiente y
Identificación incompleta de
funciones de auditoría inadecuadas Falta de datos para desarrollar
fallas e ítems críticos
Definición deficiente de la medidas significativas en cuanto a
Selección deficiente de las
autoridad, responsabilidad y líneas la seguridad de plantas
tareas y frecuencias de
de comunicación Discrepancia entre los programas y
mantenimiento
Coordinación deficiente de las las necesidades de los equipos
Mala definición de límites
actividades de mantenimiento entre Insuficiente control de inspeción y
operacionales, criterios de
turnos y con otros grupos auditoría
parada y guías para el
funcionales, por ejemplo, Registros deficientes
mantenimiento correctivo
operaciones, ingeniería Deficiente retroalimentación a la
Jerarquía de la gerencia de línea no gerencia
relacionada con la jerarquía objetiva
de seguridad

Niveles de dotación de
personal inadecuados
Uso inadecuado de
personal bajo contrato
Planeamiento inadecuado
Deficiente asignación de prioridades a
los trabajos críticos
Inadecuado sistema de permisos de
trabajo
manejo deficiente de los cúmulos de
trabajos críticos atrasados
Control inadecuado de la ejecución de
trabajos críticos para la seguridad
En el hombre:

9. Entrenamiento Inadecuado

Esta falla sistémica implica que el personal operativo no tiene conocimientos ni

habilidades adecuadas a la tarea.
El entrenamiento es una responsabilidad de la organización, dado que la gente que
carece de entrenamiento rara vez es consciente de ello. Debería pedir más
entrenamiento o negarse a trabajar sin entrenamiento adecuado, pero ello es
sumamente raro. Muchas veces la gerencia obstruye el entrenamiento del personal

10. Orden y limpieza deficientes

La deficiencia del orden y la limpieza constituyen un Tipo General de Falla cuando

ha estado presente durante largo tiempo. Constituyen un síntoma de
disfuncionamiento del sistema

La deficiencia en el orden y la limpieza no pueden quedar sin corrección durante

largos períodos, a menos que sean fallas de la gerencia.

11. Condiciones que provocan errores

Se entiende por condiciones que provocan errores a condiciones relacionadas con el

individuo o el lugar de trabajo, que pueden llevar a la ejecución de actos inseguros.
Los actos inseguros son de dos tipos distintos: errores y violaciones. Los errores
surgen de problemas de información y se dividen en tres categorías: a) deslices y
lapsus, basados en las habilidades, b) equivocaciones relacionadas con las reglas, y
c) equivocaciones basadas en la actividad cognitiva. Las violaciones se deben a
problemas de motivación y, a su vez, se dividen en cuatro categorías: violaciones
habituales (atajos, es decir, omisión de ciertas precauciones para ganar tiempo y
evitar esfuerzos), violaciones por optimización (readaptación de procedimientos
sobre la marcha), violaciones intencionales de los procedimientos y actos de
sabotaje (ver el error humano)

12. Falseamiento de la Información

El hombre es un animal mentiroso. No es extraño que en una organización fabule a

nivel individual como colectivamente. Esto puede hacerse.

a) Para proteger intereses empresarios e institucionales respecto al medio

externo, por ejemplo, haciendo estudiios de riesgos adaptados a los intereses
de la industria (Ver Tierney, K sobre la industrial nuclear) (Ref . 8).
b) Dentro de la empresa, ya sea ocultando información a la Gerencia Superior,
Casas Matrices, etc, (Irigoyen´s Newspaper), o bien exagerando los riesgos
para obtener algún beneficio (por ejemplo, en negociaciones sindicales.
En la Organización:

13. Fallas de organización FO

Las fallas de organización son deficiencias de la estructura de la compañía o de la

forma en que desarrolla sus actividades, deficiencias que hacen confusas las
responsabilidades en materia de seguridad y dan lugar a la omisión, mas
comúnmente al ocultamiento sistemático de la señales de advertencia.

FALLAS DE ORGANIZACIÓN

Estructura de la Responsabilidades de Gestión de Seguridad

Organización la Organización de Contratistas

Falta de compromiso Insuficiencia del pla-

Falta de desarrollo de
con las metas de neamiento temprano
políticas de seguridad
seguridad de los proyectos

Mala definición de res-

ponsabilidades de la Planes de seguridad
Falta de competencia
estructura de mal definidos
seguridad

Aspectos de seguridad Falta de conocimiento Deficiente observación

oscurecidos por la de los problemas del desempeño de
racionalización y la reales seguridad
reorganización

Falta de previsiones
Seguridad desatendida
contractuales para lo-
por presión de otros
grar un buen desem-
factores
peño de seguridad

Desatención de Mala selección de

señales de advertencia contratistas

Deficiente
Deficiente definición
definición
dedelas
lasinterfaces
interfases Shell/
contratista
comitente/contratista
14. Procedimientos Inadecuados (PR)

Los procedimientos comunican el conocimiento y la pericia necesaria para las

tareas. Un procedimiento es deficiente cuando sus instrucciones son confusas o
incorrectas, o por otras causas no son utilizables. Muchos actos inseguros tienen
sus raíces en procedimientos deficientes.

Los procedimientos son necesarios porque muchas tareas son demasiado

complicadas para que los empleados intuyan sus pasos individuales se hagan
evidentes por sí solos; porque la información es mucha o porque hay rotación de
personal.

Rara vez se tiene en cuanta que la existencia de procedimientos muchas veces es

ignorada por el personal

15. Objetivos Incompatibles (Conflicto de Objetivos)

Este tipo general de Falla obedece al hecho de que las organizaciones y las
personas actúan habitualmente en procura de varias metas a la vez, y que
probablemente algunas de ellas son contradictorias. Un autor, Trist, indica que el
precio de la factibilidad es la suboptimización de los objetivos. Por lo tanto siempre
hay conflictos en una organización. Los conflictos de metas pueden generar fallas
latentes y éstas, a su vez, combinarse con factores locales desencadenantes para
causar más tarde un accidente.

Los conflictos de objetivos pueden darse en tres niveles.

- Conflictos de objetivos individuales: La preocupación por problemas

domésticos o de otra índole es causa errores

- Conflictos de objetivos dentro del grupo de trabajo: Los grupos de trabajo

operan con dos conjuntos de normas: uno impuesto por la compañía y el otro
generado informalmente por el grupo. Puede haber conflictos peligrosos entre las
prácticas de seguridad formales e informales.

- Conflictos de metas organizacionales: Aunque a la larga las metas de

seguridad y de productividad son compatibles, puede haber conflictos en el corto y
mediano plazo. Los conflictos de metas en los más altos niveles de la organización
son una de las principales causas de accidentes.
.
 METAS INCOMPATIBLES

Nivel de la
Nivel individual Nivel de grupo
organización

Conflicto de metas:
Seguridad
Conflicto entre la
Producción
atención del trabajo y Conflicto entre las
Finanzas
las preocupaciones reglas formales e
Planeamiento
personales/ informales del grupo
Políticas
distracciones
Sociales
Personales

16. Falla de comunicación (CO)

Las fallas de comunicación son un tipo de comprenden un Tipo General De Falla; se

da éste cuando la información necesaria para el funcionamiento seguro y eficaz de
la organización como un todo, o de alguna parte de ella, no llega a sus verdaderos
destinatarios de manera clara, inequívoca o inteligible.

Aspectos principales

Las fallas de la comunicación organizacional se agrupan en tres categorías:

- Fallas del sistema, en las cuales los necesarios canales de comunicación no

existen, no están en funciones o no se usan regularmente.

- Fallas de mensaje, en las cuales los canales existen pero no se transmite la

información necesaria.

- Fallas de recepción, en las cuales lo canales existen y se transmite el

mensaje preciso, pero el destinatario no lo interpreta bien o lo recibe demasiado
tarde.

12. BIBLIOGRAFIA

(1) J. Groeneweg, Leiden University – Controlling the Controllable – DSWO

PRESS(1992).
(2) Leplat, Jacques et Cuny, Xavier – Les accidents du travail – PUF (1979) ISBN 2
13 035810 1.

(3) Trist, E: L y Emery, F.E. Socio-technical systems (1060) en System Thinking

Penguin Books (1969)

(4) J. Groeneweg, Leiden University - Organizing Fact Finding in incident

investigation and analisis using Tripod TRACVK SPE 88488, (2004).

(5) Emery, Jacques –Sistemas de Planeamiento y control – El Ateneo 1977 –

Argentina

(6) Faverge, Jean Marie – Psycosociolgie des Accidents de Travail. PUF (1967).

(7) Lepat, jacques, Cuny, Xavier – Psicología del Trabajo – Pablo del Rio Editor –
(1977) ISBN 84-7430-029-0.

(8) Tierney, K – Toward a critical sociology of risk -Sociological Forum, Vol 14, Nº 2
(1999)
CAPITULO 11

Seguridad de Sistemas

11.1 Concepto de Sistema

Sistema es un conjunto ordenado de cosas que deben cumplir una función; por lo
tanto puede considerarse como sistema a una organización industrial (sistema
sociotécnico), un equipo industrial, un edificio, etc. Se considerarán en primer
término las máquinas y equipos industriales que estarán relacionados con sus
operadores, es decir, sistemas hombre-máquina.
La seguridad industrial involucra dos factores: uno son los trabajadores y otro las
maquinarias y equipos. Los accidentes serios en los cuales hay gran número de
muertos y grandes pérdidas son aquellos provenientes de fallas de equipos.
Cuando se diseña una planta o un equipo debe hacerse un análisis de seguridad
para determinar sus posibles fallas y las consecuencias que pueden traer sobre
los trabajadores y la comunidad.
En realidad, el análisis de seguridad debe ser continuo, puesto que todos los
sistemas sufren modificaciones de sus componentes en el transcurso del tiempo
por desgaste, cambios, etc.
El análisis de seguridad de sistemas comenzó en la industria aerospacial
alrededor de 1960, y se fue extendiendo a la industria nuclear y a la industria
química.
Sin embargo, estas técnicas han probado ser útiles en otras áreas como en
control de procesos, mantenimiento, etc.; pero estos aspectos no serán
considerados.

11.2 Métodos de Análisis de Seguridad

El primer paso en un análisis de seguridad es definir el sistema.
Por ejemplo, si se estudia un torno accionado manualmente debe estudiarse el
sistema hombre-máquina, porque no tendría objeto estudiar solamente la
maquinaria y descuidar al hombre.
En cambio, si tenemos un equipo totalmente automático, por ejemplo, un
compresor, puede ser estudiado en forma aislada, aunque también puede ser
afectado por acciones humanas como por ejemplo: durante el mantenimiento.
Este compresor sería un subsistema dentro de la totalidad de la planta.
El objeto de un análisis de seguridad de sistemas tiene dos aspectos:
1) Conocer si el mismo cumple la función de seguridad que se le ha asignado, sea
por ejemplo: un sistema antiincendio, el sistema de protección de un reactor
nuclear, el sistema de frenos de un coche, etc. Se trata del estudio de
sistemas que tienen una función de seguridad o relacionada con la seguridad.
La estimación del grado de confianza que se puede atribuir a un sistema se
realiza mediante un análisis de confiabilidad.
2) Buscar aquellas condiciones, acciones o eventos que pueden originar
accidentes y de ser posible cuantificar la probabilidad de ocurrencia de los
mismos. Debe considerarse también la influencia de los errores humanos que,
si bien son difíciles de cuantificar, producen muchos accidentes.
Una vez detectadas estas condiciones pueden admitirse o rechazarse.

En el primer caso asumimos un riesgo; en el segundo caso pueden emprenderse

dos tipos de acciones:
a) Acción correctiva: se basa en el cambio de diseño de equipos, instalaciones
o estructuras, o en la modificación de procedimientos.
b) Acción contingente: se basa en la incorporación de sistemas protectores o
en entrenamiento de personal.

ARBOL DE DESICIÓN

Acción Correctiva
Corregir
Riesgos

Acción contingente
Riesgos
Identificados

Aceptar Riesgos
Análisis de
Riesgos

Riesgos No
Identificados
 ETAPAS DE UN ESTUDIO DE SEGURIDAD

A) IDENTIFICACION DE C) CUANTIFICACION DE LAS

EVENTOS INDESEADOS PROBABILDADES DE OCURRENCIA E) EVALUACION DEL RIESGO
DE EVENTOS INDESEADOSA

ANALISIS DE
SEGURIDAD DE LISTADO DE
PROCESOS RIESGOS COMPARACION
DEL RIESGO
PERCEPCION
ARBOLES
DE FALLAS DATIOS DE DEL RIESGO
CONFIABILIDAD
ARBOLES DE
ESTUDIO DE EVENTOS
RIESGOS Y
OPRACIÓN (HAZOP)

ACTIVIDAD
RIESGOS SEGURA
ACTIVIDAD

ORGANIZACION
MEDIDAS DE SEGURIDAD
ANALISIS DE EFECTOS ANALISIS DE ESTIMACION
DAÑOS PREVENCION TECNICAS
DE REISGOS
DE RIESGOS

F) MEDIDAS DE REDUCCIÓN
B) CUANTIFICACION DE LAS DEL RIESGO
CONSECUENCIAS DE EVENTOS D) CUANTIFICACION DEL
INDESEADOS RIESGO DE LA ACTIVIADAD
CAPITULO 12

Confiabilidad

12.1. Nociones de probabilidad

Se denomina número de fallas Nf al número de fallas de un sistema o
equipo. El número de fallas Nf es importante porque determina el número de
veces que el sistema a aparato estará fuera de servicio o en reparación. Es un
dato importante para determinar el plantel de mantenimiento, el número de piezas
de repuesto, etc. Sin embargo, también es importante conocer en qué tiempo
ocurren las fallas. No es lo mismo que ocurran en un año que en diez años.
Las fallas pueden estar ligadas a dominios de espacio o de tiempo.
Si No es el número total de eventos :

No - Nf = Ns, donde Ns es el número de sucesos

Podemos definir a la probabilidad de fallas como :

Pf = Nf_
No

y la probabilidad de suceso :

Ps = Ns_
No

También podemos definir :

Pf = lim Nf_
No
No → ∞

y Ps = lim
Ns
No
No → ∞

Las fallas se pueden presentar mediante histogramas de frecuencia en

función de una variable x que puede ser tiempo de funcionamiento, número de
accionamientos, etc.

La curva limitante del histograma de frecuencia se denomina función de

densidad de probabilidad f (x)

f (x) dx es la probabilidad de x - ½ dx ≤ x ≤ x + ½ dx
 b
∫a
f ( x)dx

es la probabilidad b ≤ x ≤ a

−∞
Obviamente ∫ +∞
f ( x)dx = 1

Se denomina función de distribución F (x) a la siguiente expresión:

x
F ( x) = ∫ f ( x)dx siendo F(x) la probabilidad que x ≤ x
0

0 ≤ F(x) ≤ 1

dF__ (x) = f (x)

dx

Propiedades de las probabilidades

1) Si A y B son dos sucesos independientes con las probabilidades p(A) y p(B) la

probabilidad de que ambos sucesos ocurran a la vez es :

p (A ∩ B) = p(A) . p(B)

Se dice que A y B son sucesos independientes, si la ocurrencia de A no incluye

en la de B y viceversa.

2) Si A y B son dos sucesos independientes cualesquiera, la probabilidad de que

se produzca A o B o bien A y B juntos es :

p (A ∪ B) = p(A) + p(B) - p(A ∩ B)

= p(A) + p(B) - p(A) . p(B)

3) Si dos sucesos A y B son incompatibles, es decir, mutuamente exclusivos, la

ecuación anterior se simplifica dado que (A ∩ B) = O.

4) Si los dos sucesos son complementarios e incompatibles :

p(A) + p(B) = 1

Generalizado, para eventos independientes y no incompatibles :

p (A ∪ B ∪ C) = 1 - p(-A ∩ B ∩ C)

y si son mutuamente exclusivos :

p (A ∪ B ∪ C) = p(A) + p(B) + p(C)

Probabilidad condicional

La probabilidad que ocurra el evento A, dado que ha ocurrido B se denomina

la probabilidad condicional de A, dado B, y se escribe p(A/B).
Inversamente, p(B/A) es la probabilidad de B, dado A.
Si A y B son mutuamente exclusivos p(A/B) y p(B/A) son cero.
En el caso de dos sucesos independientes y que no son mutuamente
exclusivos :

p(A ∩ B) = p(A) . p(B/A) = p(B) p(A/B)

Esta es la ley de multiplicaciones de las probabilidades.

12..2 Definición de confiabilidad

Confiabilidad de un sistema. Definición

La confiabilidad es la probabilidad de que un equipo desarrolla una función

determinada en condiciones especificadas, durante un período de tiempo dado.
Deben tenerse en cuenta las siguientes características de la confiabilidad :
a) Es una probabilidad
b) Se expresa en relación con una tara específica
c) No es una propiedad fija, sino que depende de las condiciones de servicio
d) Se especifica para un período de tiempo llamado “duración de la misión”.

Confiabilidad de los componentes de un sistema

La confiabilidad de un sistema es función de las confiabilidades de sus

componentes. Por lo tanto se debe comenzar por estudiar la confiabilidad de los
componentes, antes de analizar la del sistema.
La probabilidad de que un componente falle varía a lo largo del tiempo. Sea
f(t) la función que expresa la distribución de densidad de probabilidad de falla, la
expresión :

t
D (t ) = ∫ f (t )dt (1)
0

es la probabilidad de que el componente falle en el tiempo t. Es la

“desconfiabilidad” del componente. Por el contrario su “confiabilidad” es la
probabilidad de que no falle en el tiempo t ; se designa por C(t).
La falla del componente ocurre o no ocurre, es decir, que confiabilidad y
desconfiabilidad son eventos incompatibles complementarios :

C(t) + D(t) = 1 (2)

t
C(t) = 1 - D (t ) = 1 − ∫ f (t )dt (3)
0

Expresión matemática de la confiabilidad

Consideramos un número inicial No de componentes idénticos. Sea la

función del tiempo Nf el número de componentes, de los No iniciales que han
fallado al cabo del tiempo t y la función del tiempo Ns el número de componentes
que subsisten.

Es No = Ns + Nf para todo t (4)

La confiabilidad de los componentes

C(t) = Ns_
No (5)

y la desconfiabilidad

D(t) = Nf_
No (6)

Derivando con respecto al tiempo

d C(t _ = d Nf__
dt dt (7)

d C(t _ = d Ns__ (8)

dt dt

Teniendo en cuenta (4)

 d Ns _ = - d Nf__
dt dt (9)

La expresión siguiente es la tasa de falla λ o función de riesgo :

λ = d Nf_ x 1_
dt Ns

Además, considerando (9) y (8)

λ = - d C(t)_ x No_ = - d C(t) x 1__ (10)

dt Ns dt C(t)

Teniendo en cuenta (3) y (5) se obtiene la relación entre la tasa de falla y la

confiabilidad :

λ = f(t)__
C(t)

A partir de (10)

- ⌠t λ dt
C(t) = e ⌡0

Si λ es constante, la confiabilidad sigue la ley exponencial

C(t) = e - λ t y D(t) = 1 e - λ t

Si λ<< 1
D(f) ≅ λ t

Frecuencia media de fallas

W (t) = Δ Nf__
No Δ t

En este caso N, que es el número de elementos en operación se mantiene

numéricamente igual al No (población inicial) mediante el reemplazo de los
elementos que fallan.
Puede demostrarse que, durante el período de vida útil, la frecuencia media
de fallas es igual a la tasa de fallas, es decir, λ = W
La utilidad de W (o) reside entonces en el hecho de que para aquellos
componentes en los que puede suponerse una tasa de falla constante, éste
puede ser determinada en sistemas reales en operación.

Disponibilidad

El concepto de disponibilidad es importante, puesto que la falla está

asociada a un tiempo de reparación o de reemplazo del componente fallado. Se
puede considerar que cuando un componente falla está fuera de servicio un
tiempo τr, llamado tiempo de reparación.
Si ocurre Nf fallas en el tiempo total t, el tiempo fuera de servicio es :
tfs = Nf τ r

Siendo tiempo de funcionamiento tf

tf = t - tfs = t - Nf τ r

Se define como no disponible al cociente entre el tiempo fuera de servicio y

el tiempo total :

ND = tiempo fuera de servicio

tiempo total

ND = Nf τr
t

La disponibilidad será :

D= 1-ND

D = tf__ = t - Nf_ τδr

t t

Obviamente : ND + D = 1

Nf_ + t - Nf_ τr = 1
t t

Si λ es constante y está referida al tiempo de funcionamiento

Nf = λ tf

y considerando que tf = t - Nf τr

Nf=λ (t-Nfτr)

Despejando Nf resulta:

Nf=λt/ 1 + λτr

Dado que ND = Nf τr_

t

ND = λ τr
1 + λ δr
y siendo ND + D = 1
D = 1 - ND

D = 1- λ τr__
1 + λ τr
D = 1
1 + λ τr

Ejemplo

Una fuente de electricidad causa graves problemas cada vez que falla.
El tiempo medio entre esas fallas es de 398 horas y el tiempo medio en
reparar la falla y reconectar la fuente es de 2 horas.
¿Cuál es la disponibilidad?

λ = 1/398 f/h
τr = 2h D = tf/t D = 1___ = 1 = 0,995
D = 398/400 = 0,995 1 + λτr 1 + 2_
398

Ejemplo
Un establecimiento situado en el partido de San martín, provincia de Buenos
Aires , sufre cortes periódicos de energía eléctrica. Para suprimir el problema se
cuenta con un equipo auxiliar.
Se tienen los siguientes datos históricos :

Año Cortes Duración Falla grupo auxiliar

A 27 21 h 48 m 2
B 8 6 h 31 m 0
C 17 18 h 59 m 2__
Total 52 47 h 57 m 4

¿Cuál es la disponibilidad del sistema?

A) Sin tener en cuenta el grupo auxiliar
b) Con el grupo auxiliar
c) ¿cuál es la confiabilidad del sistema en ambos casos para un período de seis
meses?

λ Segba = 52_____ = 1,9710-3 t/h

8760 x 3

τr = 48__ = 0,9230 h
52

Falla grupo auxiliar

a) Disponibilidad sin tener en cuenta el grupo auxiliar
D = 1___ = 1 _____ = 0,99818
1 + λ τr 1 + 1,9710-3

y también

D = __tf__ = 8760 x 3 - 48 h_ = 0,99817

t 8760 x 3

b) Teniendo en cuenta el grupo auxiliar

El promedio de cortes por año 52_ = 17,33

3

La tasa de fallas λ = 4_____ = 1,5222 10-4

8760 x 3

D = 1___ = 1 ___________ = 0,9985

1+λτr 1 + 1,522 . 10-4 0,9230

D = __tf__ = 8760 x 3 - 4 δr_ =

t 8760 x 3

= 26280 - 4 . 0,9230
26280

= 0,99985

c) La confiabilidad total del sistema

Primer caso
a) C (4320) = e- 1,9710-3 . 4320 = 2,0136 10-4

Segundo caso
b) C (4320) = e- 1,522 10-4 . 4320
= 5,18143 10-1

Como se ve ha aumentado notablemente la confiabilidad total; no obstante

hay una probabilidad aproximada de 1 en 2 de quedar sin energía eléctrica en un
período de seis meses.

Vida útil, tiempo medio entre fallas y vida media

Las fallas accidentales, llamadas a veces catastróficas, se caracterizan por
una retención repentina del funcionamiento de un componente que no es
precedida por ningún signo de deterioro. El mecanismo de dichas fallas es una
tensión excesiva y súbita que actúa sobre el componente.
Si las sobre tensiones se producen al azar, las fallas también se producen al
azar. Si se mantiene la población constante, por reemplazo de componentes, se
producirá aproximadamente el mismo número de fallas durante períodos iguales,
mientras que si no se reemplazan los componentes, averiados la población
decrecerá exponencialmente y el número de fallas en períodos iguales disminuirá
también siguiendo una Ley exponencial.
En la figura se representa la tasa de fallas en función de la edad t para una
muestra grande de una población homogénea de componentes.

En el período de ajuste o inicial, los componentes fallan con una tasa

elevada, después ésta se estabiliza en un valor aproximadamente constante a
partir del tiempo tb donde todos los componentes mediocres han desaparecido.
El período de tb hasta tu donde λ es constante se llama vida útil; en él es
aplicable la ley exponencial. A partir de tu el desgaste de los componentes
aumenta la tasa de fallas λ.
Vida media M

Es la edad media de la duración de una muestra de N componentes

idénticos

M = __∑ Ti__
N Ti = duración del componente i
N = número de componentes de la muestra durante
su uso

Tiempo medio entre fallas m

Es el tiempo medio transcurrido para la primera falla (Mean time to Failure,

MTTF).
Estrictamente hablando el MTTF debe usarse para componentes simples
que no son reparados cuando fallan sino que son reemplazados; para elementos
reparables debe usarse la denominación Tiempo medio entre fallas (Mean time
between failures, MTBF)
Es costumbre usar la denominación Tiempo medio entre fallas, MTBF, para
componentes reparables y no reparables.
t
m = ∫ f (t )dt
0

Si λ = cte., f (t) = λ e-λ t

t 1
m = ∫ tλ ..e −λt dt =
0 λ
Debe tenerse en cuenta que el tiempo medio entre fallas m es
generalmente más grande que M.
Si la tasa de fallas es pequeña durante la vida útil puede tenerse un m de
millones de horas. Si, por ejemplo, un componente tiene un m = 1.000.000 horas,
eso no quiere decir que se lo pueda usar 1.000.000 de horas.

Ejemplo de aplicación

El siguiente ejemplo permite una aplicación práctica de conceptos

antedichos.
Sea un conjunto de cien ítem que entran en servicio al tiempo t = 0 y van
fallando con el tiempo.
Se denomina Ns (t) al número de componentes que sobreviven al tiempo t.
Ns (0) = 100
La variación Ns (t) entre dos intervalos de tiempo t - 1 y t es :

Ns (t) = N (t-1) - N (t)

La confiabilidad

C (t) = Ns (t)__
No

y la densidad de probabilidad,

f (t) = N (t - 1) - N (t) = N (t - 1) - N(t) = C (t - 1) - C (t)

No No No

La tasa de fallas :

λ (t) = N (t - Δt) - N (t) / No = C (t - Δt) - C (t)

N (t - Δt) / No C (t - Δt)
 Tiempo N (t) N (t) C (t) f (t) (t)

0 100 0 1 0 0
1 75 25 .75 .25 .25
2 67 8 .67 .008 .1066
3 61 6 .61 .006 .089
4 55 6 .55 .006 .0983
5 49 6 .49 .006 .109
6 44 5 .44 .05 .1113
7 39 5 .39 .05 .1136
8 19 20 .19 .20 .51
9 9 10 .09 .10 .5
10 0 10 0 0 0

12. 3. Distribución de fallas

Distribución normal

Hay componentes cuya densidad de probabilidad de fallas se puede

representar con la distribución normal :

1 ⎡ 1 ⎛ t − M ⎞2 ⎤
f (t ) = exp .⎢− ⎜ ⎟ ⎥
2πσ ⎢⎣ 2 ⎝ σ ⎠ ⎥⎦

La forma de la función de densidad de probabilidad implica que los componentes

fallan en su mayoría al tiempo M y que la probabilidad de falla disminuye
simétricamente si t - M aumenta. El 95.72% de las fallas tiene lugar en el intervalo

M - 2 σ ≥ t ≥ M + 2σ

La confiabilidad está dada por :

1 t ⎡ 1 ⎛ x − M ⎞2 ⎤
C (t ) = ∫ ⎢⎢− 2 ⎜⎝ σ ⎟⎠ ⎥⎥dx
2πσ 0
exp .
⎣ ⎦

Debe hacerse notar que para obtener una confiabilidad alta, el tiempo de
operación debe ser considerablemente menor que M.

Distribución exponencial

Si la tasa de fallas es constante la confiabilidad es exponencial.

La densidad de probabilidad de falla es :
λt
f(t) = λ e-
 La confiabilidad es :
λt
C(t) = e-

y la desconfiabilidad :
λt
D(t) = 1 - e-

Distribución de Weisbull

En el caso más general la tasa de fallas varía proporcionalmente a una cierta

potencia del tiempo :

λ (t) = α β tβ-1

donde α , β son parámetros

Si β = 1 resulta λ (t) = α lo que conduce a la distribución exponencial.

La distribución de probabilidad de falla es

f (t ) = αβt β −1e −αtβ

La confiabilidad es :
 −αt β
C (t ) = e
12.4 Confiabilidad de sistemas

Introducción

Para calcular la confiabilidad de sistemas se utilizarán las propiedades de las

probabilidades ya vistas anteriormente.
Dado que la subsistencia o falla de un componente son dos sucesos
complementarios e incompatibles se debe cumplir que

C (t) + D (t) = 1

Se estudiarán las configuraciones en serie, paralelo y en reserva

Configuración de elementos en serie

Se entiende por sistema en serie aquél en que sus componentes están vinculados
funcionalmente en serie, en este sistema de falla de un componente originará la
falla del sistema.

C1 C2 Cn

Si un elemento tiene una confiabilidad CL y otro una confiabilidad C2, la

probabilidad que ambos subsistentan en el instante t es :

Cs (t) = C1l (t) . C2 (t)

pues se trata de sucesos independientes que ocurren simultáneamente.

La probabilidad de que uno de los elementos o los dos fallen es :

Ds (t) = D1 (t) + D2 (t) - D1 (t) D2 (t)

= (1 – C1 (t)) + (1 - C2 (t)) - (1 - C1 (t)) (1 - C2 (t))
= 1 - C1 (t) . C2 (t)
= 1 - Cs (t)

Generalizando para n componentes :

n
Cs (t) = C1 . C2 ... Cn = ∏ Ci
1

n
Ds (t) = 1 - Cs (t) = 1 - ∏ Ci
1

Y como
 Ci (t ) = e − λit
n
− ∑ λit
resulta Cs (t ) = e 1

n
− ∑ λit
y Ds (t ) = 1 − e 1

Configuración de elementos en paralelo

Se entiende por sistemas en paralelos a aquél cuyos elementos se

encuentran vinculados funcionalmente en paralelo, o si para que se produzca una
falla del sistema es necesario que fallen todos sus componentes.

C1

C2

Si un elemento tiene una confiabilidad C1 (t) y otro una confiabilidad C2 (t),

la probabilidad que al menos uno de los dos elementos subsistan es :

Cs (t) = C1 (t) + C2 (t) - C1 (t) . C2 (t)

dado que se trata de sucesos independientes.

En cambio, la probabilidad de que ambos fallen es :

Ds (t) = D1 (t) . D2 (t) = (1 - C1 (t)) . (1 - C2 (t)) = 1 - Cs (t)

generalizando para n componentes

n
Ds (t) = D1 (t) . D2(t) . D3 (t). . Dn (t) = ∏ Di(t )
1

Cs (t) = 1 - Ds (t) =
dado que Cs (t) = 1 - Ds (t)

n
Cs (t ) = 1 − Ds(t ) = 1 − ∏ Di(t )
1

n
Cs (t ) = 1 − Ds(t ) = 1 − ∏ (1 − Ci (t ))
1

y puesto que Ci (t ) = e − λit

N
Cs (t ) = 1 − ∏ (1 − e −λt )
1

N
Ds(t ) = ∏ (1 − e −λt )
1

Es conveniente aclarar que aun cuando los elementos se comportan

exponencialmente, la canfiabilidad de un sistema paralelo no lo hace del mismo
modo, sino que la cueva de confiabilidad tiende a parecerse a una curva por
desgaste.
Un sistema de componentes en serie de comportamiento exponencial
presenta un λ constante, igual a la suma de las tasas de fallas individuales y m =
1/λ.
Esto no sucede en sistemas en paralelo donde la tasa de fallas varía en
función del tiempo, aun cuando el tiempo medio entre fallas sea una constante y
se pueda calcular de Cs (t).

Configuración de elementos en paralelo con reserva

Se entiende por sistema de elementos en reserva a aquél en que un

componente entra a funcionar si el o los otros componentes fallan.

C1

C2

Cn
 Lo que distingue a este tipo de redundancia en paralelo es que no hay
funcionamiento simultáneo.
Un montaje de este tipo necesita un dispositivo de detección de fallas y otro
de conmutación, para hacer funcional el elemento en reserva.
Si se tiene n elementos y n - 1 es la cantidad de elementos en reserva, se
tendría que el sistema quedaría fuera de servicio cuando fallen n elementos en el
intervalo de tiempo t.
La fórmula de Poisson,

a n .e − a
P (n) =
n!
donde
P (n) = probabilidad de n fallas al tiempo t
a = valor promedio de fallas esperado en ese tiempo t, teniendo todos los
componentes el mismo λ
n
E (t) = ∑ pi (t) ti = p1 t1 + p2 t2 + ... + pn tn = λt
i=1

P (n) = e- λ t (λ t)n_
n!

donde

P (0) = e- λ t probabilidad de ninguna falla durante la misión

P (1) = λt e- λ t probabilidad de una falla

P (2) = (λt)2 e- λ t probabilidad de dos fallas

2
.................... .....................

P (n) = (λt)n e- λ t_ probabilidad de n fallas durante la misión (Ds (t))

nl

Sumando miembro a miembro

n
∑ P (i) = 1 = Ds (t) + Cs (t)
i=1

= (λt)n e- λ t_ + e- λ t (1 + λt + λt2_ ... )

n! 2!
 Cs (t) = e- λ t (1 + λ t + (λ t)2 + .... +
λ tn-1__ )
2! (n - 1) !

n-1
Cs (t) = e- λ t ∑ ( λ t )i
i=0 i!

Métodos de cálculo de la confiabilidad de sistemas

El cálculo de la confiabilidad de un sistema puede ser realizado mediante el

uso de diagramas de bloques que permiten estudiar el funcionamiento del mismo.
Debido a las simplificaciones que se hacen es un método adecuado para
analizar sistemas complejos, mediante el mismo se tiene una visión global del
sistema y se pueden identificar los puntos débiles.
El procedimiento es el siguiente :
a) Construir un diagrama del bloque que muestre las relaciones funcionales.
b) Asignar una tasa de falla a cada bloque.
c) Calcular la confiabilidad global.
Las simplificaciones adoptadas son :
a) Cada componente atiene dos estados, funciona o falla. Los efectos
acumulativos de varios componentes dañados no se tiene en cuenta.
b) Los componentes fallan independientemente. Las fallas desencadenadas por
otros componentes no son tenidas en cuenta.
c) La falla de cualquier componente causa la falla del sistema, a menos que haya
componentes en paralelo o de reserva.

Construcción del diagrama de bloques

Se puede usar un formato de tres columnas (ver ejemplo) colocando el

diagrama de bloques a la izquierda, la identificación de componentes en el medio
y el diagrama de flujo a la derecha.
Se hace un bloque para cada componente y se lo conecta de acuerdo con
su efecto en la confiabilidad, lo cual puede diferir el diagrama físico (por ejemplo :
dos componentes en paralelo totalmente necesarios, se conectan en serie en el
diagrama de bloques).
Las tasas de falla se escriben en cada bloque, sólo deben considerarse
aquellos modos de falla que pueden influir en el sistema

Cálculo de la confiabilidad total de sistema

Se realiza en las siguientes etapas :

1) Establecer el tiempo de funcionamiento para el cual se calculó la confiabilidad.
2) Calcular la confiabilidad de cada grupo en paralelo.
3) Adicionar las tasas de falla de todos los grupos en serie.
4. Calcular la confiabilidad total del sistema.
5. Comparar con los valores deseados; en caso de ser deficiente estudiar las
medidas a adoptar para aumentarla.
Ejemplos y Ejercicios
Problema Nº 1
Consideremos un sistema automático de detección extinción de incendios
consistentes en
un depósito de agua, una red de sprinklers y un sistema de detección que
acciona una válvula solenoide para permitir el paso de agua desde el depósito
hasta la red de sprinklers.
¿Cuál será la disposición más confiable?
a) una válvula sola
b) dos válvulas en serie.
c) dos válvulas en paralelo
¿Cuál será la confiabilidad en un período de 1.000 horas?

Caso a

Se considera que la tasa de fallas de la válvula solenoide es

λ = 10-4/h

C (t) = e- λ t

C (1.000) = e-10-4/h . 103 h = 0,9048

Caso b

Fs (t) = F1 (t) x F2 (t)

= e-2 λ t

= e-2 10-4 103

= 0,8187

Caso c

Fp (t) = e- λ1 t + e- λ2 t - e- ( λ1 + λ ) t
2

= 2 e- λ1 t + e- 2λt

= 0,9909

Evidentemente la confiabilidad de este sistema aumenta agregándole

elementos en paralelo y disminuye agregándole elementos en serie.

Bibliografía

1, Amstadter, Bertram – Matemáticas de la Fiabilidad – Editorial Reverté – ISBN

84-291-5007-2

2. Creus Solé, Antonio – Fiabilidad y seguridad de Procesos Industriales- Ed.

Marcombo – ISBN 84-267-0815-3

3. Ibarra, Emir – Nociones de Fiabilidad - Editorial Marimar (1976)

4. The George Washington University – Application of Reliability and Risk Analysis

– Course Nª 30º - (1979)
13. Análisis de Seguridad de Sistemas

13.1. Métodos Cualitativos

Son aquellos métodos que permiten la valoración de la seguridad de un

sistema sin dar un valor de la probabilidad de falla del mismo. Existen dos
métodos que son aplicados más frecuentemente: el análisis preliminar de riesgos
y el modo de fallas y análisis de efectos.

Análisis preliminar

En todo programa de seguridad se debe comenzar por hacer un análisis

preliminar de riesgos para determinar las condiciones riesgosas del sistema y
prever los accidentes potenciales.
El informe resultante puede presentarse de tres maneras :
. como árbol de fallas en su nivel superior
. como formulario
. como descripción
Este tipo de análisis debe encararse en las primeras etapas del desarrollo de
un proyecto.
Los pasos a realizar son :
a) Dilucidar a qué sistema o función pertenece el elemento riesgoso.
Esto se hace con la ayuda de listados de fuentes de riesgos y mediante la
experiencia y la intuición.
b) Identificar los eventos que pueden desencadenar el accidente
c) Evaluar los efectos del posible accidente.
Por ejemplo, en la industria aeronáutica se clasifican los efectos del siguiente
modo :
Clase I : efectos sin importancia
Clase II : efectos marginales
Clase III: efectos críticos
Clase IV: efectos catastróficos
d) Decidir las medidas de prevención de accidentes que se deben tomar :
acción correctiva o acción contingente.

Modo de fallas y análisis de efectos

El propósito de esta investigación es identificar componentes de un sistema,

en la fase de diseño, que requiere mejoramiento para asegurar la confiabilidad y
la seguridad.
Los cuatro modos básicos de fallas de los componentes son :
a) Operación prematura
b) Falla por no operar en el momento prescripto.
c) Falla por no cesar la operación en el momento prescripto.
d) Falla durante la operación.
 Después de determinar los principales modos de falla de cada componente
del sistema se analizan los efectos de cada modo de falla en los otros
componentes y en el comportamiento total del sistema. Se clasifican de la misma
manera que en el análisis preliminar.
Puede verse adjunto un formulario tipo para la realización de este análisis, y
además su aplicación en el análisis de seguridad de una caldera domiciliaria.

Estudios de riesgos y operación.

(Hazard and Operability Studies. Hazop)
Este método, permite identificar, en las etapas de diseño de detalle, riesgos
potenciales y problemas de operación.
El objetivo, es identificar situaciones en donde puedan ocurrir desviaciones de los
paramentos de diseño.
En el caso de plantas de procesos continuos, el método considera en serie, cada
caneria o recipiente, usando una serie de palabras clave, para identificar las
desviaciones del proceso.
El proceso, puede sintetizarse de la siguiente forma:
1. Búsqueda de problemas potenciales.
• Causa: aquello que conduce a una desviación.
• Desviación: apartamiento de los parámetros de diseño. El estudio de las
desviaciones se hace mediante palabras clave.
Son ellas:
• NO (NO)
• MAS (MORE OF)
• MENOS (LESS OF)
• PARTE DE ( PART OF)
• MAS QUE (MORE THAN)
• OTROS (OTHER)
• Consecuencias: efectos de las desviaciones sobre el sistema.
2. Corrección.
Las correcciones, son los cambios a introducir en el sistema, para evitar esas
desviaciones. La parte creativa del procedimiento es el reconocimiento de las
causas posibles y de las consecuencias de las desviaciones generadas a través
de palabras clave.
Generalmente, se usa un formulario similar al presentado en el Anexo.
7.2. Métodos cuatitativos

Los análisis de seguridad cuantitativos pueden ser usados para estimar la

probabilidad de que ocurra un accidente.
Los métodos que se estudiarán son el inductivo (árbol de eventos) y el
deductivo (árbol de fallas)

Métodos inductivos: Árbol de Eventos

Este método consiste en proponer un evento (o perturbación) que influye

sobre el sistema y ver qué efectos ejerce sobre las distintas barreras o controles
del mismo.
Esta metodología de estudio de los riesgos ha sido tomada del análisis de
decisiones económicas.
Para construir un árbol de eventos se debe definir primeramente el evento
iniciante y conocer las barreras, controles y sistemas de seguridad que protegen
el sistema.
Diferentes eventos iniciantes determinarán distintos árboles de fallas.
Los estados posibles de las barreras o controles son dos: falla o suceso, por
lo tanto, después de n barreras los posibles estados finales serán 2n.
La forma de realización de un árbol de fallas es mediante un diagrama del
tipo de la figura 1.
 FIGURA 1

Barreras Secuencia
Evento iniciante o del
controles accidente
Sistema Nº 1 Sistema Nº 2
ps2 pi.ps1.ps2
Suceso psl

pi.ps1.pf2
Evento Inicial pi pf2

ps2
pi.pf1.pf2

Falla
pf1 = 1 - ps pf2 pi.pf1.pf2

Cada rama del árbol de eventos de una secuencia del accidente.

Puede verse entonces que hay secuencias sin sentido o sin consecuencias,
como se puede observar en el ejemplo de aplicación.

Ejemplo

Se estudiará el caso de una caldera domiciliaria. Se propone como evento

iniciante que el quemador de gas queda trabajo y en funcionamiento (es una
pérdida de regulación.
Las barreras o controles de que se dispone son dos: 1) una válvula de
seguridad; 2) un disco de ruptura.
En el diagrama se puede ver las posibles secuencias y sus respectivas
consecuencias.
 FIGURA 2

Evento iniciante Barreras o controles Secuencia Consecuencia

del evento
Válvula de Disco de
seguridad ruptura

ps2 p.ps1 ps2 Ninguna

psl
p. ps1 ps2
pf2 Ninguna
Válvula de gas ps2 p.pf1 ps2 Ninguna
trabada p
pfl
p. pf1 pf2 Explosión
pf2

Puede verse que las dos primeras secuencias no tienen sentido, puesto que
si actúa la válvula de seguridad, el disco de ruptura normalmente no actúa. Por lo
tanto es posible simplificar el árbol de eventos de la siguiente manera :

ps1 p.ps1 Ninguna

p
ps2 p.pf1.ps2 Ninguna

pf1

pf2 p.pf1.pf2 Explosión

Método deductivo: Arbol de Fallas

Definición

El árbol de fallas es un diagrama lógico, construido por procesos analíticos

que identifican las deficiencias del sistema.
El análisis del árbol de fallas identifica las condiciones que pueden llevar a
un evento no deseado, es decir, una falla catastrófica de todo el sistema.
Dado dicho evento se lo coloca en la parte superior y a partir del mismo se
desarrollan distintas ramas que representan todas las posibles causas o eventos
precursores.

Nociones de álgebra de Boole

El álgebra de Boole fue desarrollada originalmente para su uso en álgebra

simbólica, pero actualmente se usa en otras áreas como en computación, teoría
de toma de decisiones, seguridad de sistemas, etc.
Es de mucha utilidad cuando las variables no pueden ser expresadas nada
más que a través de dos estados: 0 o 1, sí o no, verdadero o falso, etc.
Se denomina conjunto a un grupo de elementos que tiene por lo menos una
característica en común.
Estos elementos pueden ser objetos, condiciones, eventos, relaciones
matemáticas, etc.
El conjunto universal es aquél que reúne a todos los elementos de un
universo y se representa con el símbolo 1 y el conjunto vacío es aquél que no
contiene a ninguno y se puede representar con el símbolo 0. Los símbolos 1 y 0
no son valores, sino simplemente símbolos; así 1 + 1 no es 2 sino 1 + 1 = 1.
No existen valores intermedios como en el cálculo de probabilidades.
Las relaciones entre conjuntos pueden ilustrarse mediante diagramas de
Venn (ver fig. 3)
El rectángulo representa un conjunto de eventos que tienen una
características en común a. El subconjunto A, tiene una características b además
de a.
Todos los elementos del conjunto que no tienen una característica b, y son
considerados como no A se simbolizan como A
A es el complemento de A y viceversa.
Puede comprenderse entonces que A + A = 1, cuyo significado es la unión
de A y A.
Esto se puede simbolizar mediante el signo +, la conjunción “o” o él símbolo
de unión U. (A + B; A o B; A U B).
El segundo diagrama ilustra el concepto de conjunto disjunto o mutuamente
exclusivo.
Los elementos de un conjunto no están incluidos en el otro por lo tanto no
están interrelacionados. En este caso como A, B y C tienen todos los elementos
del conjunto universal, se dice que son mutuamente exclusivos y exhaustivos y
que A + B + C = 1.
El tercer diagrama indica que algunos de los elementos de A tienen
características de B y viceversa.
Esto se puede simbolizar mediante el signo x, la conjunción “y” por el
símbolo de intersección ∩ (A x B; A y B; A ∩ B)
La intersección contiene todos los elementos con las características de A y
B.
Con la Tabla 1 se desarrollan las principales relaciones que se establecen
mediante el uso del álgebra de Boole.
 FIGURA 3

-
A
A B A B
A

Se establece que se A = 1 A = 0

A = 0 A = 1

y se trabaja solamente con los conjuntos 1 y 0 que corresponden a sucesos o

falla.
El álgebra de Boole aplicado a circuitos electrónicos desarrolló el concepto
de compuertas, que se explica en el punto propiedades lógicas aplicables a los
árboles de fallas.
 TABLA 1
Relaciones en el álgebra de Boole

Relación Ley Explicación

Conjunto universal
y conjunto vacío

A.1 =A La única porción dentro del

conjunto Universal (1) que es
a la vez 1 y A es aquélla que
está dentro de A.

A.0 = 0 Es una condición imposible. Si es-

tá dentro de A no puede estar fue-
ra de él

A+0 =A Un elemento de un conjunto más

algo fuera del conjunto, tendrá so-
lamente características del conjun-
to. El conjunto universal expresado
por 1, no puede ser excedido.

Ley de involución

A = A El complemento del conjunto

A es A.

Relaciones complementarias

A.A = 0 Es una imposibilidad. Un con-

junto de no puede ser A y A al
mismo tiempo.
Aquellos elementos con una ca
A+A=1 racterísticas constituyen el con-
junto universal.

Ley de Idem potencialidad

A.A=A Es una identidad.

A+A=A También es una identidad
 Ley conmutativa

AB = BA Los subconjuntos que tienen

características de A y de B
las siguen teniendo, cualquiera
sea el orden en que se expresen.

A+B=B+A El total de aquellos elementos

que tienen las características A
y B será siempre el mismo,
cualquiera sea el orden en que
se expresen .

Ley asociativa

A . (B . C) = (A . B) C El subconjunto que tiene las ca-

racterísticas de A, B y C la se-
guirá teniendo, cualquiera sea
el orden enque se expresen.

A + (B + C) = (A + B) + C El total de todos los elementos

en cualquier conjunto será el
mismo, cualquiera sea el orden
en que se expresen.

Ley distributiva

A (B + C) = La unión de un conjunto con

AB + AC otros dos pueden expresarse
como la unión de sus intersec-
ciones.

A + (BC) = La unión de un conjunto con

(A + B) (B + C) la intersección de otros dos
puede expresarse como la in-
tersección del conjunto con los
otros dos.
 Ley de absorción

A (A + B) = A A (A + B) = AA + AB
= A + AB = A (1 + B)
=A.1=A
A + AB A + (AB) = A (1 + B) = A

Ley de Morgan

__ _ _
AB = A + B El complemento de la in-
tercección es la unión de
los complementos indivi-
duales.
_____ _ _
A+B=AB El complemento de la unión
es la intesección de los com-
plementos.
Construcción de un árbol de fallas

Lo primero a definir es el evento final indeseado; luego se desarrollan hacia abajo

las combinaciones causales que llevan al mismo mediante compuertas lógicas
(ver propiedades lógicas.
Este árbol de fallas crecerá indefinidamente y deberá limitarse al nivel de
información aceptable para el requerimiento del estudio.
Así, la combinación de eventos crece indefinidamente hacia abajo y debe limitarse
al nivel de información aceptable para el estudio.
De esta manera, la combinación de eventos que conducen al evento final puede
continuar hasta llegar a causas básicas; pero siempre éstas admiten un posterior
desarrollo.
Muchas veces se llega a causas genéricas sin desarrollar. Si es de interés
pueden darse valores probabilísticos a los eventos causales para poder llegar a
determinar la probabilidad del evento final.
En la representación esquemática de un árbol de fallas , se tiene en la parte
superior al Evento Final; luego las compuertas lógicas que conducen al mismo y
finalmente las fallas resultantes (provenientes de combinaciones lógicas de
causas básicas o sin desarrollar) y las causas básicas o sin desarrollar.
En el Apéndice III se ha desarrollado el proceso de construcción de un árbol de
fallas para una caldera domiciliaria.

REPRESENTACIÓN ESQUEMÁTICA DE UN ÁRBOL DE FALLAS

Evento Final Indeseado Falla total del sistema

Compuertas lógicas Procesos conjuntivos
Procesos disyuntivos
Fallas resultantes Combinaciones de causas que pueden llevar a
falla del sistema
Causas básicas Causas Primarias: error o falla de hadware
Causas Secundarias: causas de menor
importancia
Evento no desarrollado

Propiedades lógicas aplicables al árbol de fallas

En los árboles de fallas no hay términos medios: las fallas ocurren o no.
La aparición de una falla pueden requerir que ocurran previamente varios eventos
complementarios, o bien que baste la producción de uno solo de varios eventos previos
posibles.
En el primer caso se dice que se está en presencia de un proceso conjuntivo o
compuerta, y en el segundo se trata de un proceso disyuntivo o compuerta.
El proceso conjuntivo se representa por la conjunción “y”
y el proceso disyuntivo por la conjunción “o”

.
Se adopta además la siguiente convención:
1 significa que un evento ocurre.
0 significa que no ocurre.

Proceso disyuntivo

a) Sea en el caso de dos eventos de entrada:

La concurrencia o no del evento final (la falla) puede representar se por la siguiente tabla:

A B AB
0 0 0
0 1 1
1 0 1
1 1 1
___________________________________ A B

Esta tabla, a su vez puede resumirse con la expresión:

__ ___
E = AB + AB + AB __ __
donde A y B significan la ocurrencia de los eventos respectivos y A y B significan
la no ocurrencia de los mismos.
La probabilidad de ocurrencia de E es:

p(E) = [1 - p(A)] p(B) + p(A) [1 - p(B)] + p(A) p(B)

p(E) = p(A) + p(B) - p(A) p(B)
b) Para el caso de tres eventos de eventos de entrada, resulta en igual forma:

___ _ _ __ _ _ _
E = ABC + ABC + ABC + ABC + ABC + ABC + ABC
que conduce a

p(E) = p(A) + p(C) - p(A) p(B) - p(A) p(C) - p(B) p(C) +

p(A) p(B) p(C)

Cuando todas las probabilidades de ocurrencia de los eventos de

entrada son muy pequeñas, es decir:

p(i) << 1

puede escribirse

p(E) ≅ p(A) + p(B) + p(C)

y en general, para culquier número de eventos de entrada:

n
p(E) ≅ ∑ p(i)
i=1

Proceso conjuntivo

Sea el caso de tres eventos de entrada. Se obtiene la siguiente tabla :

E

A B C ABC
0 0 0 0
1 0 0 0
0 1 0 0
0 0 1 0
1 1 0 0
1 0 1 0
0 1 1 0
1 1 1 1
A B C
___________________________________

Si los eventos de entrada son independientes :

p(E) = p(A) p(B) p(C)

En general :
n
p(E) = πp(i)
i=1
Falla resultante

El rectángulo simboliza un evento que es el resultado de

De la operación lógica de dos o más entradas.

Evento básico de entrada

El evento E es una falla específica a la que se puede

asignar una probabilidad de ocurrencia.

Evento no desarrollado

Sustituye al evento básico de entrada cuando la falla no

es rastreada hasta la fuente específica.
Este símbolo puede representar otro árbol de fallas.

Transferencia

Indica que se transfiere a un árbol de fallas separado.

Conjunto mínimo de corte

Es la combinación mínima de causas básicas que si ocurren causarán la
ocurrencia del evento final; es pues, una combinación (intersección) de eventos
primarios para el evento final.
Esta combinación es la misma combinación en la cual todas las fallas se
necesitan para que el evento final ocurra. Si una de las fallas de conjunto mínimo
de corte no ocurre, el evento final no ocurrirá (por esta combinación).
Un árbol de fallas consiste en un número finito de conjunto de corte, que son
los únicos para ese evento final.
Los conjuntos mínimos de corte de un componente consisten en aquellas
fallas que si ocurren causas el evento final.
En el caso de un conjunto mínimo de corte de n componentes, n fallas son
requeridos para el evento final.
La expresión general puede escribirse :
T = M1 + M2 + M3
Donde T es el evento final y Mi son los conjuntos mínimos de corte.
Dado que cada conjunto mínimo de corte consiste en una combinación de
fallas de componentes especiales, el conjunto mínimo de corte genérico puede
expresarse como :
Mi = X1 . X2 ..., X3
Donde X1, X2 y X3 son fallas básicas de los componentes del árbol de
fallas.
Un ejemplo de expresión de un evento es
T = A + BC
donde A, B y C son fallas de componentes.
Este evento final tiene un conjunto de cortes de un componente A y un
conjunto de corte mínimo de dos componentes B y C
Los conjuntos mínimos de corte son únicos para el evento final y son
independientes de las formas equivalentes que pueda tomar el árbol de fallas.

Determinación de conjuntos mínimos de corte

Para la determinación de conjuntos mínimos de corte en árboles de fallas el
árbol debe ser primero trasladado a una ecuación Booleana y luego se usan los
métodos de sustitución : de arriba a abajo o de abajo a arriba.
Los métodos son directos e involucran sustitución y expresión de las
expresiones del álgebra de Boole.
Dos leyes del álgebra de Boole son usadas : la distributiva y la ley de
absorción.
Considerado un árbol de fallas.
 Primero se hará una sustitución de arriba a abajo.
Se parte de la ecuación del evento final ; se sustituye y se expande hasta
que se obtiene la expresión del conjunto mínimo de corte.
Sustituyendo E1 y E2 y expandiendo :
T = (A + E3) (C + E4)
= AC + E3C + E4A + E3E4

Sustituyendo E3
T = AC + (B + C) C + E4A (B + C) E4
= AC + BC + CC + E4A + E4B + E4C

Por la ley de indempotencialidad : CC = C

T = AC + BC + C E4A + E4B + E4C
Por la ley de absorción:
T = C + E4A + E4B
T = C + (A . B) A + AB . B = C + AB
Por lo tanto el árbol de fallas puede representarse como se lo hace en la
figura y es equivalente al mostrado anteriormente.

El método de abajo hacia arriba usa las mismas técnicas de expansión y

sustitución excepto que la operación comienza en la parte inferior del árbol y
crece hacia arriba.
 La ecuación de fallas básicas es sustituida sucesivamente en ecuaciones de
fallas complejas.
El método puede ser más laborioso ; no obstante, los conjuntos mínimos se
obtienen no sólo para el evento finalisimo también para los eventos intermedios.
T = E . E2
El = A + E3
E3 = B + C
E2 = B + E4
E4 = A B
Dado que :
E2 = C + AB
T = (A + B + C) . (C + AB)
T = AC + AAB + BC + BAN + C . C + CAB
T = AC + AB + AB + BC + AB + C + ABC
T = C + AB
 ANEXO - EJEMPLOS

ANALISIS PRELIMINAR DE RIESGOS

ELEMENTO PRIMER CONDICION SEGUNDO ACCIDENTE EFECTO MEDIDAS

RIESGOSO EVENTO RIESGOSA EVENTO POTENCIAL CORRECTIVAS
DESENCADENANTE DESENCADENANTE
OXIDANTE CONTAMINACION POSIBLIDAD PRESENCIA DE EXPLOSION LESIONES SEPERAR
FUERTE DE PERCLORATO DE FUENTE DE O DAÑOS CLORATOS DE
CON ACEITE REACION ENERGIA QUE CONTAMINANTES
LUBRICANTE DE OXIDO- INICIA LA COMO ACEITES
REDUCCION REACCION
º
 ESTUDIO DE RIESGOS Y OPERACION
(HAZOP)

PALABRA CLAVE DESVIACION CAUSAS POSIBLES CONSECUENCIAS CORRECCION

NINGUNA CAUDAL

MAS PRESIÓN

MENOS QUE TEMPERATURA

PARTE DE CONCENTRACIÓN

MAS QUE

OTROS

ARBOL DE FALLAS PARA UNA CALDERA.

 Bibliografía

1. Application of Reliability and Risk Analysis –Course 300 (1979)

The George Washington University.

2.Wolfe, W.A. – Fault Tree Analysis –AECL 6172