Vista previa del material en texto
UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO PROGRAMA DE MAESTRÍA Y DOCTORADO EN INGENIERÍA Energía – Sistemas Energéticos Gestión del riesgo de las configuraciones de una central nuclear TESIS QUE PARA OPTAR POR EL GRADO DE: MAESTRO EN INGENIERÍA PRESENTA: ING. ORESTES CASTILLO HERNÁNDEZ TUTOR PRINCIPAL DRA. PAMELA FRAN NELSON EDELSTEIN, FACULTAD DE INGENIERÍA MÉXICO, CD.MX., Julio 2019 UNAM – Dirección General de Bibliotecas Tesis Digitales Restricciones de uso DERECHOS RESERVADOS © PROHIBIDA SU REPRODUCCIÓN TOTAL O PARCIAL Todo el material contenido en esta tesis esta protegido por la Ley Federal del Derecho de Autor (LFDA) de los Estados Unidos Mexicanos (México). El uso de imágenes, fragmentos de videos, y demás material que sea objeto de protección de los derechos de autor, será exclusivamente para fines educativos e informativos y deberá citar la fuente donde la obtuvo mencionando el autor o autores. Cualquier uso distinto como el lucro, reproducción, edición o modificación, será perseguido y sancionado por el respectivo titular de los Derechos de Autor. JURADO ASIGNADO: Presidente: DR. FRANCOIS LACOUTURE JUAN LUIS Secretario: DR. CHÁVEZ MERCADO CARLOS 1er Vocal: DRA. NELSON EDELSTEIN PAMELA FRAN 2do Vocal: M.C. SALAZAR SALAZAR EDGAR 3er Vocal: M.C. VIAIS JUÁREZ JORGE Lugar o lugares donde se realizó la tesis: POSGRADO DE INGENIERÍA, UNAM. TUTOR DE TESIS: DRA. PAMELA FRAN NELSON EDELSTEIN -------------------------------------------------- FIRMA Agradecimientos I Agradecimientos Agradezco a la UNAM, particularmente al Posgrado de Ingeniería por permitir continuar con mi formación académica, cursando la maestría en Sistemas Nucleoeléctricos. Agradezco al Consejo Nacional de Ciencia y Tecnología (CONACYT) por el apoyo económico otorgado durante los dos años que duró la maestría. Agradezco a mi tutora, la Dra. Pamela Fran Nelson Edelstein por su dedicación en el período que duró la investigación. Agradezco al Dr. Juan Luis Francois Lacouture por su apoyo en todo momento, y por darnos a los cubanos un sitio especial en este posgrado. Agradezco a todo el jurado del examen de grado por aceptar la invitación, siendo una carga más de trabajo para ellos. Agradezco a todo el claustro de profesores de Sistemas Nucleoeléctricos. Agradezco al Dr. Manuel Perdomo Ojeda por fomentar conocimientos en mí que hicieron posible el desarrollo de este trabajo investigativo. Agradezco a los estudiantes de posgrado David Quintanar Gago, Ronald Columbie Leyva, Yeney Martínez, Eric Falcón Cuba y Nestor López Fernández por su ayuda durante la realización del trabajo investigativo. Resumen y Abstract II Resumen El riesgo de accidentes en los reactores nucleares no es constante, cambia debido a las configuraciones presentes (combinaciones de equipos fuera de servicio por mantenimientos preventivos, pruebas o fallas). Existen varios métodos utilizados para el control y gestión de configuraciones, dentro de los que se destaca la Gestión del Riesgo de Configuración (CRM). En esta tesis se desarrollaron detalladamente las bases teóricas que propician el cálculo de la Frecuencia de Daño al Núcleo (CDF) para cada tipo de configuración y la forma de cálculo de las medidas utilizadas en CRM. Además, se implementó la metodología en dos sistemas de seguridad (SS) de un Reactor Energético de Agua-Agua VVER-1000, mostrando la eficacia de la metodología en el cálculo del riesgo de configuración. Esta metodología se usa para demostrar la posibilidad de realizar mantenimientos preventivos con la planta a plena potencia, sin que el riesgo llegue a ser significativo. Abstract The risk of accidents in nuclear reactors is not constant; it changes due to each plant configuration (combinations of equipment out of service due to preventive maintenance, tests or failures). There are several methods used for the control and management of configurations, among which the Configuration Risk Management (CRM) stands out. In this thesis the theoretical basis for the calculation of the Core Damage Frequency (CDF) for each type of configuration and the form of calculation of the measurements used in CRM were developed in detail. In addition, the methodology was implemented for two safety systems of a Water-Water Energy Reactor VVER- 1000, showing the effectiveness of the methodology in the calculation of configuration risk. This methodology is used to demonstrate the possibility of carrying out preventive maintenance with the plant at full power, without a significant increase in risk. Índice III Índice Abreviaturas ........................................................................................................................ IX Introducción ...........................................................................................................................1 1. Estudios sobre la gestión de configuraciones .................................................................7 1.1. Implementación de CRM con respecto a los modos de operación ..................................7 1.2. Umbrales de acción o límites de riesgo ..........................................................................8 1.3. Áreas involucradas en la utilización de CRM ............................................................... 11 1.4. Situación actual de la metodología ............................................................................... 12 1.5. Control de configuraciones por métodos cualitativos y semi-cuantitativos ................... 12 1.5.1. Control de configuraciones a través de matrices de dependencias ................................ 13 1.6. Monitores de riesgo ..................................................................................................... 14 1.6.1. Capacidad de los monitores de riesgo .......................................................................... 14 1.6.2. Fortalezas de los monitores de riesgo ........................................................................... 15 1.6.3. Limitaciones de los monitores de riesgo ...................................................................... 15 2. Materiales y Métodos para el cálculo de CDF .............................................................. 16 2.1. Introducción a las formas de fallas ............................................................................... 16 2.1.1. Estructura de fallas de componentes redundantes ......................................................... 18 2.1.2. Factor Beta .................................................................................................................. 19 2.1.3. Múltiples Letras Griegas .............................................................................................. 20 2.1.4. Factor Alfa No Escalonado .......................................................................................... 21 2.1.5. Factor Alfa Escalonado................................................................................................ 22 2.2. Análisis de configuraciones con cero mantenimientos.................................................. 23 2.3. Análisis de configuraciones para sistemas en reserva ................................................... 24 2.3.1. Análisis de configuraciones debido a pruebas y mantenimientos preventivos en sistemas en reserva .................................................................................................................... 24 Índice IV 2.3.2. Análisis de configuraciones debido a fallas en sistemas en reserva............................... 28 2.4. Análisis de configuraciones de sistemas con componentes en operación ...................... 34 2.5. Consideracionessobre incertidumbres ......................................................................... 35 3. Medidas de riesgo utilizadas en CRM .......................................................................... 36 3.1. Medidas de APS nivel 1(CDF) .................................................................................... 36 3.1.1. Probabilidad condicionada de daño al núcleo ............................................................... 36 3.1.2. Incremento en la probabilidad de daño al núcleo .......................................................... 36 3.1.3. Medidas de incremento en la frecuencia de daño al núcleo .......................................... 37 3.1.4. Incremento acumulado de probabilidad de daño al núcleo............................................ 38 3.1.5. Incremento acumulado en la probabilidad de daño al núcleo causado por una única configuración .............................................................................................................. 39 3.1.6. Probabilidad de daño al núcleo .................................................................................... 40 3.2. Medidas de APS nivel 2 (LERF).................................................................................. 41 3.2.1. Medidas de frecuencia de liberación grande y temprana............................................... 41 3.2.2. Probabilidad condicionada de liberación grande y temprana ........................................ 41 3.2.3. Incremento en la probabilidad de liberación grande y temprana ................................... 42 3.2.4. Incremento acumulado de probabilidad de liberación grande y temprana ..................... 42 3.2.5. Incremento acumulado en la probabilidad de liberación grande y temprana causado por una única configuración ............................................................................................... 43 3.2.6. Probabilidad de liberación grande y temprana .............................................................. 43 3.3. Tiempo de acción de gestión de riesgo y tiempo de finalización informados en riesgo ……………………………………………………………………………………..44 3.4. Riesgo normalizado ..................................................................................................... 44 4. Análisis de sistemas y resultados ................................................................................. 46 4.1. Breve reseña de las principales características de los reactores VVER-1000 ................ 46 4.2. Descripción de los SS del reactor VVER-1000 a aplicar CRM ..................................... 47 Índice V 4.2.1. Breve descripción del sistema de inyección de Boro ante emergencias......................... 47 4.2.2. Breve descripción del sistema de Agua de Servicio...................................................... 50 4.3. Resultados del cálculo ................................................................................................. 51 4.3.1. Resultados del cálculo para una configuración que se caracteriza por tener un tren del sistema de inyección de boro ante emergencias en mantenimiento preventivo .............. 51 4.3.2. Resultados del cálculo para una configuración que se caracteriza por tener una bomba de un tren del sistema de inyección de boro ante emergencias fallada y potencialmente compartida con el grupo de FCC.................................................................................. 52 4.3.3. Resultados del cálculo para una configuración que se caracteriza por tener una bomba de un tren del sistema de inyección de boro ante emergencias fallada e independiente …………………………………………………………………………………..53 4.3.4. Resultados del cálculo para una configuración que se caracteriza por tener una de las bombas del sistema de agua de servicio en mantenimiento preventivo ......................... 54 4.3.5. Análisis de los cálculos realizados ............................................................................... 54 4.4. Ejemplo de gestión de una semana de trabajo .............................................................. 55 Conclusiones ........................................................................................................................ 58 Referencias ........................................................................................................................... 59 Anexos ................................................................................................................................. 59 Anexo A. Características esenciales del software SAPHIRE 8 que influyen en el cálculo de CDF…..…………………………………………………………………………..63 Anexo B. Imágenes de los árboles de fallas del tren TQ13 del sistema de inyección de boro ante emergencias, para el riesgo base, el resto de los trenes son semejantes .................. 65 Anexo C. Imágenes del árbol de fallas del tren VF10 del sistema de agua de servicio, para el riesgo base ............................................................................................................ 66 Anexo D. Imagen de los cambios realizados en el árbol de fallas del tren TQ13 para que el cálculo caracterice que este tren se encuentra en mantenimiento preventivo .......... 69 Índice VI Anexo E. Imagen de los cambios realizados en el árbol de fallas del tren TQ13, para que el cálculo caracterice que la bomba D01 de este tren se encuentra fallada al arranque y potencialmente compartida con el grupo de FCC .................................................. 71 Anexo F. Imagen de los cambios realizados en el árbol de fallas del tren TQ13, para que el cálculo caracterice que la bomba D01 de este tren, se encuentra fallada e independiente de cualquier falla del grupo de FCC ............................................... 76 Anexo G. Imagen de los cambios realizados en el árbol de fallas del tren VF10 del sistema de agua de servicio, para que el cálculo caracterice que la bomba D01 de este tren se encuentra en mantenimiento preventivo ................................................................ 80 Índice de tablas VII Índice de tablas Tabla 1. Modos de operación de un reactor PWR ........................................................................7 Tabla 2. Modos de operación de un reactor BWR ........................................................................8 Tabla 3. Umbrales para las medidas ICCDP e ICLERP para los modos de operación 1 y 2. .........9 Tabla 4. Límites de riesgo para los modos 1 y 2, medidas relacionadas con CDF ........................9 Tabla 5. Límites de riesgo para los modos 1 y 2, medidas relacionadas con LERF..................... 10 Tabla 6. Límites de riesgo para los modos 3 y 4, medidas relacionadas con CDF ...................... 10 Tabla 7. Límites de acción para todos los modos anual, relacionadas con CDF .......................... 10 Tabla 8. Límites de acción para todos los modos anual, relacionadas con CDF .......................... 11 Tabla 9. Ejemplo de cambios en la alineación de dos componentes redundantes, de un sistema en operación ..................................................................................................................... 34 Tabla 10. Estados de los componentes del tren TQ13 ................................................................ 49 Tabla 11. Estados de los componentes del tren VF10 ................................................................ 51 Índice de figuras VIII Índice de figuras Figura 1. Método para evento tope de compuerta OR ................................................................ 26 Figura 2. Método para evento tope de compuerta AND ............................................................. 27 Figura 3. Cálculo de las combinaciones de FCC por la función de Causa Común (R) ............... 28 Figura 4. Eventos a eliminar (con cruz de color rojo), en caso de que la bomba A falleal arranque, para fallas potencialmente compartidas por el grupo de FCC ..................................... 30 Figura 5. Método para modelar en el SAPHIRE configuraciones por fallas ............................... 31 Figura 6. Eventos a eliminar (con cruz roja), en caso de que la bomba A falla al arranque, para fallas independientes ................................................................................................. 34 Figura 7. La CDF en función del tiempo para varias configuraciones ....................................... 38 Figura 8. Repetición de una misma configuración ..................................................................... 40 Figura 9. Perfil del riesgo normalizado. ..................................................................................... 45 Figura 10. Componentes principales de un reactor VVER-1000. ............................................... 46 Figura 11. El DTI del tren TQ13 del sistema de inyección de boro ante emergencias ................ 49 Figura 12. El DTI del tren TQ13 del sistema de agua de servicio .............................................. 50 Figura 13. Ejemplo de gestión de una semana de trabajo. .......................................................... 56 Figura 14. CDP contra tiempo para una semana de tabajo. ........................................................ 57 Abreviaturas IX Abreviaturas APS: Análisis Probabilístico de Seguridad. AOTs: tiempos permitidos fuera de servicio (por sus siglas en inglés, Allowed Outage Times). BWR: reactor de agua en ebullición (por sus siglas en inglés, Boiling Water Reactor). CRM: gestión del riesgo de configuración (por sus siglas en inglés, Configuration Risk Management). CC: Causa Común CMC: Conjuntos Mínimos de Corte. CDF: frecuencia de daño al núcleo (por sus siglas en inglés, Core Damage Frequency). CDP: probabilidad de daño al núcleo (por sus siglas en inglés, Core Damage Probability). CCDP: probabilidad condicionada de daño al núcleo (por sus siglas en inglés, Conditional Core Damage Probability). CLERP: probabilidad condicionada de liberación grande y temprana (por sus siglas en inglés, Conditional Large Early Release Probability). DTI: Diagrama de Tuberías e Instrumentación. ETOs: Especificaciones Técnicas de Operación. FCC: Fallas de Causa Común. ICCDP: incremento acumulado de la probabilidad de daño al núcleo (por sus siglas en inglés, Incremental Cumulative Core Damage Probability). ILERF: incremento en la frecuencia de liberación grande y temprana (por sus siglas en inglés, Incremental Large Early Release Frequency). ILERP: incremento en la probabilidad de liberación grande y temprana (por sus siglas en inglés, Incremental Large Early Release Probability). ICLERP: incremento acumulado de probabilidad de liberación grande y temprana (por sus siglas en inglés, Incremental Cumulative Large Early Release Probability). LCOs: condiciones límites para la operación (por sus siglas en inglés, Limiting Conditions for Operation). LERF: frecuencia de liberación grande y temprana (por sus siglas en inglés, Large Early Release Frequency). Abreviaturas X LERP: probabilidad de liberación grande y temprana (por sus siglas en inglés, Large Early Release Probability). MGL: la metodología múltiples letras griegas para el cálculo de FCC (por sus siglas en inglés, Multiple Greek Letters). NRC: comisión reguladora nuclear de Estado Unidos (por sus siglas en inglés, Nuclear Regulatory Commission). Pi: incremento acumulado en la probabilidad de liberación grande y temprana causado por la configuración. PWR: reactor de agua a presión (por sus siglas en inglés, Pressurized Water Reactor). RMAT: tiempo de acción de gestión de riesgos (por sus siglas en inglés, Risk Management Action Time). RICT: tiempo de finalización informados en riesgos (por sus siglas en inglés, Risk- Informed Completion Time). RMA: acciones de gestión de riesgos (por sus siglas en inglés, Risk Management Action). SSCs: estructuras, sistemas y componentes (por sus siglas en inglés, Structures, Systems, and Components). (Ri) incremento acumulado en la probabilidad de daño al núcleo causa por una configuración. SAPHIRE: software de análisis de sistemas para evaluaciones prácticas de confiabilidad integradas (por sus siglas en inglés, Systems Analysis Programs for Hands-on Integrated Reliability Evaluations). SS: Sistemas de Seguridad. VVER: Reactor Energético de Agua-Agua (transcripción de sus siglas en ruso Водо- водяной энергетический реактор). ∆CDF: incremento en la frecuencia de daño al núcleo debido a la configuración. ∆CDP: incremento en la probabilidad de daño al núcleo. . Introducción 1 Introducción En la actualidad existen varias formas de producir energía, algunas más económicas, otras menos contaminantes, la realidad es que la competencia existe (Blanca, 2015) y hay que hacer todo lo posible para mejorar la eficiencia y la rentabilidad de cada proceso productivo. Dentro de las tecnologías limpias, constantes y que a la vez logra grandes potencias se encuentra la energía nuclear (Ruiz, 2018). Las centrales nucleares actuales se caracterizan por producir grandes cantidades de energía, en el orden de un gigavatio eléctrico por reactor. Con un gran costo de construcción y operación constituyen una de las formas más complejas de producir energía, lo cual se debe en gran medida a la necesidad de implementar grandes márgenes de seguridad desde el diseño hasta su operación, propio de los riesgos asociados a accidentes de la tecnología (Bittán Moisés, 2011). En los reactores nucleares, además del precio del combustible y el costo de la tecnología existen otras formas de mejorar la economía de la planta, como es, mejorar la eficiencia del ciclo Rankine y el factor de planta (cociente entre la energía real generada durante un período de tiempo y la energía generada si hubiera trabajado a plena potencia durante ese mismo período (Agust & Onrubia, 2008). Una manera de incrementar el factor de planta es disminuir el tiempo de parada, independientemente de la recarga de combustible. Esto puede lograrse realizando un mayor número de mantenimientos en operación. Sin embargo, trasladar mantenimientos preventivos típicos de parada a operación no es una tarea trivial, pues puede aumentar significativamente el riesgo de accidentes en la planta. Por tanto, las intervenciones deben limitarse en tiempo (Torres Valle & Perdomo Ojeda, 2011). Existen ciertas configuraciones (combinaciones de equipos fuera de servicio por mantenimientos preventivos, pruebas o fallas) que incluso con la planta parada no pueden permitirse por el alto riesgo que generan, (ej. todos los sistemas de enfriamiento del núcleo fuera de servicio). En las centrales nucleares los mantenimientos en recarga son inevitables, pues existen grandes intervenciones que solo son posibles con la instalación fuera de servicio, por ejemplo, sistemas que se encuentran dentro de la contención primaria. Aun así, existen numerosas configuraciones con riesgos aceptados por el regulador, que propician un mantenimiento con la planta a plena potencia (P. K. Samanta, 1994; Torres - Valle, 2010; Torres Valle & Perdomo Ojeda, 2011). Además de la posibilidad de aumentar el factor de planta, el mantenimiento en operación tiene otras grandes ventajas como son: Introducción 2 • menores riesgos de accidentes laborales, por tener una mayor preparación de los trabajadores. A diferencia del mantenimiento en operación, para mantenimientos durante la recarga, se contratan cientos de personas ajenas a la central para disminuir el tiempo de parada (Z. Raymundo, 2010), • mayor calidad del mantenimiento, por utilizar selectivamente los recursos humanos, • mejor programación y control de lostrabajos, • mayor coordinación operación – mantenimiento. En tales casos es indispensable realizar la pregunta: ¿Cuál es el riesgo asociado con la eliminación de un grupo de componentes del servicio? Los programas de mantenimiento en operación requieren de la capacidad de evaluar el cambio en el riesgo de las diferentes configuraciones por las que pudiera transcurrir la planta. Por lo tanto, es propicio realizar un análisis de los posibles desplazamientos en el riesgo y como resultado una mejor gestión de los mantenimientos en la planta. Dentro de las metodologías que se han implementado en centrales nucleares para tratar la planificación del mantenimiento en operación se encuentra CRM, caracterizada por la necesidad de un Análisis Probabilístico de Seguridad (APS) previo (P. K. Samanta, 1994). La metodología se basa en aplicar cambios al APS para llevarlo a un estado en el que el cálculo caracterice la configuración investigada. Después de realizar los cálculos, se archivan las corridas de todas las posibles configuraciones pre-planificadas que se producen en la realización del mantenimiento (Hess & John, 2006). Como resultado final, se calculan varias medidas de riesgos con el que se caracteriza el estado de la planta instantáneamente, posibilitando la gestión de futuros estados del reactor y el análisis de configuraciones pasadas. Realizar CRM para todos los componentes modelados en el APS provocaría que existan miles de configuraciones, que hacen ilógica su realización. Por tanto, la metodología se enfoca en la indisponibilidad de trenes y de ciertos componentes con importancia para el riesgo o, a componentes que se les requiera aumentar sus tiempos permitidos fuera de servicio (AOTs). Los AOTs, que forman parte de las condiciones límites para la operación (LCOs) de las especificaciones técnicas de operación (ETOs), se definen como el tiempo dentro del cual el equipo fuera de servicio debe restaurarse al estado disponible (P. K. Samanta, 1994). Si el componente no pudo ser restaurado en el tiempo permitido, la planta debe cambiar de modo de operación, ver modos de operación en las tablas 1 y 2. Introducción 3 Los AOTs fueron establecidos en el momento de asignar las licencias de operación a las plantas o en modificaciones posteriores a la licencia. Estos tiempos fueron estimados a través de análisis de ingeniería o con consideraciones cualitativas, sin estar fundamentadas en análisis de riesgo (Hess & John, 2006; Orlando, 2012). A lo largo de los años, la experiencia en la operación de las plantas indica que algunos AOTs son innecesariamente estrictos, mientras que otros pueden no ser propicios para la seguridad (P. K. Samanta, 1994). La mejora de estos requisitos implica muchas consideraciones y se ve facilitada por la utilización de CRM, empleando medidas que caracterizan el aumento en el riesgo provocado por las configuraciones y el tiempo que perduran estas en la planta. Como resumen es adecuado realizar la pregunta ¿Por qué es necesaria la gestión de riesgos de configuración si todas las plantas contienen un APS en el que se calcula un riesgo promedio? La respuesta se encuentra en que: • Los APS asumen fallas aleatorias de los equipos (incluido las interrupciones de los equipos para pruebas y mantenimientos preventivos). • Los APS no modelan el riesgo instantáneo asociado a las configuraciones de la planta. • Tratan los mantenimientos como si fueran independientes entre sí, por lo tanto, las configuraciones de alto riesgo son poco probables, algo que no es cierto. • Las configuraciones pueden aumentar el riesgo significativamente por encima del nivel de riesgo promedio de los APS. • La falta de administración de las configuraciones puede afectar los eventos iniciadores (ej. gran ocurrencia de configuraciones que elevan la probabilidad de incendios). Igualmente, puede afectar a los equipos diseñados para mitigar estos eventos iniciadores, lo que implica un aumento en el riesgo. Problema científico La inexistencia de una metodología totalmente desarrollada para implementar CRM a plantas nucleares, que necesiten trasladar mantenimientos de recarga para operación o para aumentar los AOTs de ciertos componentes. Introducción 4 Hipótesis Con el desarrollo de la metodología y acuerdos progresivos con el regulador se puede aumentar tanto la cantidad de mantenimientos en operación como los AOTs de ciertos componentes, sin que el riesgo pase a ser altamente significativo. Objetivo general Desarrollar detalladamente y ejemplificar la forma en que se aplica la metodología CRM, fundamentalmente dirigida a cambios en CDF debido a la existencia de configuraciones en plantas nucleares. Objetivos específicos A partir del objetivo general anterior se definen los siguientes objetivos específicos: - Investigar los principales umbrales de acción, por los cual poder comparar la significancia en el riesgo de cada configuración. - Investigar los métodos utilizados en el control y gestión de configuraciones. - Desarrollar el método de cálculo de CDF teniendo en consideración los aspectos teóricos que fundamentan las fallas de equipos. - Desarrollar el método de cálculo de CDF en trenes en reserva. - Desarrollar el método cálculo de CDF en trenes en operación. - Desarrollar medidas relacionadas con el incremento en la frecuencia de daño al núcleo (∆CDF), incremento en la probabilidad de daño al núcleo (∆CDP) y medidas acumulativas de probabilidad de daño al núcleo. - Desarrollar medidas relacionadas con el incremento en la frecuencia de liberación grande y temprana (ILERF), incremento en la probabilidad de liberación grande y temprana (ILERP) y medidas acumulativas de probabilidad de liberación grande y temprana. - Ejemplificar el cálculo de las medidas relacionadas con ∆CDF en sistemas de reactores nucleares. Tareas Como tareas más importantes de la investigación se encuentran: 1. Investigación de los principales estudios sobre la gestión de configuraciones. 2. Investigación de los modelos de análisis de Fallas de Causa Común (FCC) con mayor uso en la actualidad y su influencia en el cálculo de CDF para las configuraciones. 3. Desarrollo metodológico del cálculo de CDF para configuraciones de sistemas en operación. Introducción 5 4. Desarrollo metodológico del cálculo de CDF para configuraciones de sistemas en reserva. 5. Desarrollo de la forma de cálculo de CDF para trenes de sistemas fuera de servicio por mantenimientos preventivo o pruebas. 6. Desarrollo de la forma de cálculo de CDF para trenes de sistemas fuera de servicio por fallas de componentes. 7. Desarrollo de las medidas de riesgo relacionadas con ∆CDF, ∆CDP y medidas acumulativas de probabilidad de daño al núcleo. 8. Desarrollo de las medidas de riesgo relacionadas con ILERF, ILERP y medidas acumulativas de probabilidad de liberación grande y temprana. 9. Estudio de las características técnicas de los sistemas a ejemplificar y de sus APS. 10. Desarrollo de la metodología para los sistemas propuestos. 11. Análisis de las configuraciones para una semana de trabajo. Alcance Se desarrollaron los cambios en los árboles de fallas para configuraciones ocasionadas por mantenimientos preventivos y pruebas, por fallas potencialmente compartidas por el grupo de FCC o por fallas independientes. Se desarrollaron las diferentes medidas de riesgo relacionadas con CDF y LERF, pero solo se aplicaron las relacionadas con CDF a dos SS de un reactor VVER-1000, debido a que no se contaba con el APS nivel 2 para este reactor. La metodología fue desarrollada solo para los modos de operación 1 y 2 (ver modos de operación en la sección 1.1), lo cual se debe a que parte de los objetivos de aplicar CRM es trasladar mantenimientos durante parada por recarga a operación a potencia. Además, el cálculo es semejante en cada modo de operaciónsi se tiene un APS modelado, solo varían los árboles de eventos que se analizan. Estructura de la tesis La tesis se encuentra dividida en 4 capítulos, en el primero de ellos se describen los principales estudios que propician la implementación de CRM y las principales metodologías utilizadas para caracterizar el riesgo asociado a las configuraciones. En el segundo capítulo se desarrollan las bases teóricas para el cálculo de CDF de las configuraciones y cómo puede ser implementado en el software de análisis de sistemas para evaluaciones prácticas de confiabilidad integradas (SAPHIRE). En el tercer capítulo se desarrollan una serie de medidas de riesgos con las que se Introducción 6 caracterizan las configuraciones, estas medidas se desarrollan tanto para cálculos basados en CDF como para basados en LERF. Por último, en el cuarto capítulo, se implementa la metodología a dos SS de un reactor VVER y se realiza un análisis de resultados. Capítulo 1 7 1. Estudios sobre la gestión de configuraciones En el presente capítulo se describen los principales estudios que propician el desarrollo de la metodología, las áreas involucradas con CRM en las centrales y su situación actual en el mundo. De igual manera se describen brevemente las características de otras metodologías que se utilizan para el estudio del riesgo de configuraciones. 1.1. Implementación de CRM con respecto a los modos de operación Cuando se enfoca la metodología CRM a la gestión del riesgo, es muy útil extenderla a otros modos de operación distintos a los modos 1 y 2 (tabla 1 y 2), que son los que admiten los APS en general. Para los reactores de agua a presión (PWR) puede extenderse según Steve Hess (Hess & John, 2006) hasta los modos de operación 3 y 4, mientras que para los reactores de agua en ebullición (BWR) puede extenderse al modo 3. Sin embargo, si se desea aplicar CRM en estos modos de operación, se debe tener una herramienta de APS, que calcule adecuadamente la CDF. Para el resto de los modos, típicamente se evalúan las configuraciones por métodos cualitativos o por análisis de ingeniería, que no necesitan del desarrollo de un APS previo. Aunque actualmente existe el estándar para llevar a cabo el APS a bajas potencias y en apagado que facilitaría la aplicación de CRM en estos modos. En las siguientes tablas se muestran todos los modos de operación para los reactores comerciales PWR y BWR. Tabla 1 Modos de operación de un reactor PWR Modo Nombre Temperatura media del refrigerante en Kelvin 1 Operación a potencia N/A 2 Puesta en marcha N/A 3 Espera caliente ≥450 4 Parada caliente 450≥T≥366 5 Parada fría 366≥T 6 Recarga N/A Nota. Datos obtenidos de (Engineer, 2014) Capítulo 1 8 Tabla 2 Modos de operación de un reactor BWR Modo Nombre Temperatura media del refrigerante en kelvin 1 Operación a potencia N/A 2 Puesta en marcha N/A 3 Parada caliente T≥366 4 Parada fría T≤366 5 Recarga N/A Nota. Datos obtenidos de (Engineer, 2014) 1.2. Umbrales de acción o límites de riesgo El proceso de gestionar el riesgo implica utilizar el resultado de las evaluaciones en la toma de decisiones en la planta. El objetivo de la gestión del riesgo es controlar sus aumentos temporales, derivados de las actividades de prueba y mantenimiento, de modo que el riesgo de referencia promedio se mantenga dentro de un rango mínimo. Como toda unidad de medida, se necesita un patrón de referencia por el cual poder comparar. En el caso de los aumentos de riesgo debido a estructuras, sistemas o componentes (SSCs) fuera de servicio, que definen la configuración, se utilizan los umbrales de acción o límites de riesgo. Estos valores definen los intervalos en el riesgo por las que puede o no operar una central nuclear. Se debe aclarar que la comisión reguladora nuclear de los Estados Unidos (NRC) no tiene criterios cuantitativos para cambios temporales en la planta, aunque puede ser justificado debido a que la mayoría de las plantas difieren entre sí de cualquier otra, en diseño, localización, etc. (“Module Q, Configuration Risk Management,” n.d.). Los umbrales para las acciones de gestión del riesgo pueden establecerse cuantitativamente y tienen gran importancia para este trabajo, pues se desarrollan considerando las mismas magnitudes que en CRM. En consecuencia, se puede comparar el riesgo de la configuración con los límites predefinidos y así conocer el grado de significancia en el riesgo por el cual se encuentra la planta. Para indisponibilidades temporales Steve Hess (Hess & John, 2006) propone un umbral para el estado de operación, de una CDF igual a 10-3 /año. Lo cual implica que, a la hora de programar los mantenimientos en operación, la CDF de la configuración no debe exceder este valor. En caso de Capítulo 1 9 que la CDF alcance valores cercanos a este, debe ser por períodos de tiempos muy cortos, y solo con una comprensión clara y detallada de qué eventos causan el nivel de riesgo tan elevado. Para configuraciones planificadas específicas, pueden considerarse los valores de la tabla 3 como umbrales para las medidas de incremento acumulado de la probabilidad de daño al núcleo (ICCDP) e incremento acumulado de probabilidad de liberación grande y temprana (ICLERP), ver secciones 3.1.4 y 3.2.4 respectivamente. Tabla 3 Umbrales para las medidas ICCDP e ICLERP para los modos de operación 1 y 2 Valoración del intervalo ICCDP semanal ICLERPsemanal - la configuración no debe entrar voluntariamente. ICCDPsem≥10 -5 ICLERPsem≥10 -6 - se deben evaluar factores no cuantificables - se deben establecer acciones de gestión de riesgo 10-6 ≤ ICCDP sem <10 -5 10-7≤ ICLERPsem <10 - 6 - controles de trabajo normales 10-6< ICCDP sem 10-7 <ICLERPsem Nota. Datos tomados de Steve Hess (Hess & John, 2006) Otros valores de límites de riesgos reportados se muestran en las tablas 4, 5, 6, 7 y 8. Para estos límites se utilizan las medidas de probabilidad de daño al núcleo (CDP), CDF, LERF y la probabilidad de liberación grande y temprana (LERP). Tabla 4 Límites de riesgo para los modos 1 y 2, medidas relacionadas con CDF Valoración del intervalo CDPsemanal CDF Riesgo no significativo CDPsem<5x10 -7 CDF<5x10-4 Riesgo potencialmente significativo 5x10-7≤ CDPsem<1x10 -6 5x10-4≤ CDF<1x10-3 Riesgo significativo 1x10-6≤ CDPsem<2x10 -6 1x10-3≤ CDF<2x10-3 Alto riesgo significativo 2x10-6≤CDPsem 2x10 -3≤CDF Nota. Datos tomados de J.K. Liming (Liming, 2001) Capítulo 1 10 Tabla 5 Límites de riesgo para los modos 1 y 2, medidas relacionadas con LERF Valoración del intervalo de riesgo LERPsemanal LERF Riesgo no significativo LERPsem <5x10 -8 LERF<5x10-5 Riesgo potencialmente significativo 5x10-8≤ LERPsem<1x10 -7 5x10-5≤ LERF<1x10-4 Riesgo significativo 1x10-7≤ LERPsem<2x10 -7 1x10-4≤ LERF<2x10-4 Alto riesgo significativo 2x10-7≤LERPsem 2x10 -4≤LERF Nota. Datos tomados de J.K. Liming (Liming, 2001) Tabla 6 Límites de riesgo para los modos 3 y 4, medidas relacionadas con CDF Valoración del intervalo de riesgo LERPsemanal LERF Riesgo no significativo LERPsem <5x10 -7 LERF<2x10-3 Riesgo potencialmente significativo 5x10-7≤ LERPsem<1x10 -6 2x10-3≤ LERF<5x10-3 Riesgo significativo 1x10-6≤ LERPsem<4x10 -6 5x10-3≤ LERF<1x10-2 Alto riesgo significativo 4x10-6≤LERPsem 1x10 -2≤LERF Nota. Datos tomados de J.K. Liming (Liming, 2001) Tabla 7 Límites de acción para todos los modos anual, relacionadas con CDF Valoración del intervalo de riesgo CDPanual Riesgo no significativo CDPanual<2x10 -5 Riesgo potencialmente significativo 2x10-5≤ CDPanual<5x10 -5 Riesgo significativo 5x10-5≤ CDPanual<1x10 -4 Alto riesgo significativo 1x10-4≤CDPanual Nota. Datos tomados de J.K. Liming (Liming, 2001) Capítulo 1 11 Tabla 8 Límites de acción para todos los modos anual , relacionadas con CDF Valoraciónde la región de riesgo LERPanual Riesgo no significativo LERPanual <2x10 -6 Riesgo potencialmente significativo 2x10-6≤ LERPanual<5x10 -6 Riesgo significativo 5x10-6≤ LERPanual<1x10 -5 Alto riesgo significativo 1x10-5≤LERPanual Nota. Datos tomados de J.K. Liming (Liming, 2001) Lo cierto es que existen diferencias en el diseño y en los riesgos asociados a eventos externos para cada planta, lo que causa una variabilidad reconocida en CDF y LERF, es decir, que cada central posee valores específicos de estos indicadores. Además, existe una variabilidad en el rendimiento de la contención, que puede afectar la relación entre la CDF y la LERF de referencia para una planta o clases de plantas, por lo que, la determinación de los correspondientes umbrales de acción de riesgos cuantitativos debe ser específica para cada planta. Se sugiere que sea determinado entre los operadores de la planta, dada su experiencia real y específica en la central y un personal especializado, que represente los intereses del órgano regulador del país. 1.3. Áreas involucradas en la utilización de CRM La evaluación de los riesgos asociados con la configuración de la planta y su gestión se consideran en las siguientes áreas: • Programación del mantenimiento preventivo: en muchos casos, el mantenimiento preventivo se realiza de manera rutinaria, durante la operación de la planta, donde varios componentes se sacan simultáneamente de servicio. La metodología CRM se puede usar para evaluar las implicaciones en el riesgo de los programas de mantenimiento preventivo y decidir sobre un programa aceptable, donde se eviten grandes picos en el riesgo. • Extensiones de los AOTs: cuando se consideran las extensiones a los AOTs, se debe tener en cuenta el aumento en la probabilidad de que varios componentes con gran importancia en el riesgo no estén disponibles simultáneamente. Pueden evaluarse las implicaciones en el riesgo de las combinaciones de componentes a los que se le extendieron los AOTs, para asegurar que la probabilidad de tener grandes picos de CDF sean bajos, debido a las configuraciones de la planta como resultado de estas extensiones. Capítulo 1 12 • Control de configuraciones significativas para el riesgo: en general CRM se puede usar para identificar configuraciones específicas de alto riesgo, para que las actividades de pruebas y mantenimientos se diseñen u organicen de manera que se eviten estas configuraciones. Este tipo de evaluación puede tener tres usos. Primero, se pueden identificar configuraciones específicas de la planta con elevadas implicaciones en el riesgo, no prohibidas en las ETOs y se pueden redefinir los requisitos de acción de las LCOs (ej. el apagado del reactor). En segundo lugar, se puede definir una jerarquía de configuraciones importantes para el personal involucrado en la realización de las actividades de prueba y mantenimiento. En tercer lugar, pueden aplicarse a aquellas configuraciones prohibidas en las ETOs pero que tienen un bajo impacto en el riesgo. (P. K. Samanta, 1994) 1.4. Situación actual de la metodología En una encuesta realizada por EPRI, en la que participa el 60% de las centrales en operación de EE.UU., reportan resultados favorables sobre la utilización de CRM en este país. Según D. Hance (Hance, 2011) para el 2011 muchas de las prácticas y procesos asociados con la evaluación de CRM en operación se han estandarizado. Se está prestando mucha atención a los estudios de truncamiento y validación del modelo. Sin embargo, la encuesta muestra una variabilidad significativa en los procesos para seleccionar los umbrales de acción (ver sección 1.2). Por otra parte, para el apagado, la evaluación del riesgo por métodos cualitativos sigue siendo el enfoque de análisis dominante. Según el informe, hay gran variación en términos de la fracción de tiempo empleado en cada zona de riesgo, es decir, algunas plantas pasan mayor tiempo en una zona de riesgo no significativo, mientras que otras se encuentran en un riesgo potencialmente significativo. El estado de utilización de la metodología en el resto del mundo no fue encontrada con claridad en la literatura investigada, solo se encontró que Ucrania tienen perspectivas al respecto (Mark, n.d.). 1.5. Control de configuraciones por métodos cualitativos y semi-cuantitativos Las configuraciones pueden calificarse cualitativamente o semi-cuantitativamente, considerando el desempeño de las funciones de seguridad o la capacidad de mitigación, dadas las SSCs fuera de servicio, que definen la configuración. Estos métodos generalmente son utilizados Capítulo 1 13 en los SSCs no modelados en el APS, para establecer las acciones de la gestión del mantenimiento. Este enfoque generalmente implica la consideración de los siguientes factores: • La duración de la configuración. Una larga duración resulta en un mayor tiempo de exposición a los eventos iniciadores. • El tipo y la frecuencia de los eventos iniciadores que son mitigados por los SSCs que se encuentran indisponibles, teniendo en consideración las secuencias para las cuales los SSCs normalmente cumplirían con su función de seguridad. • Si el impacto de las actividades de prueba y mantenimiento es significativo en la frecuencia de eventos iniciadores. • Las restantes secuencias de éxito disponibles para mitigar los eventos iniciadores y sus probabilidades (ej. sistemas o trenes redundantes, acciones del operador y acciones de recuperación). Estos factores generalmente son las bases para la confección de una matriz, en la que se puede asignar cierta escala numérica que caracterice cada factor (ej. del 1 al 5). Después se suma la puntuación para cada configuración y se compara con algún valor establecido. 1.5.1. Control de configuraciones a través de matrices de dependencias Existen algunos trabajos realizados para el control de configuraciones, a través de métodos cualitativos como las matrices de dependencia. Las matrices de dependencias son herramientas que habitualmente se utilizan en los APS como ayuda en el estudio de las interfaces entre sistemas y para documentar los puntos de enlaces entre estos. A grandes rasgos, esta metodología se basa en una matriz que relaciona los componentes con el sistema al que pertenece, número de redundancias, interfaces que pueden interferir en su funcionamiento (ej. interfaz con el sistema eléctrico) y el criterio de falla del sistema al que pertenece. Además, presenta la opción de poder cambiar el estado de disponibilidad del equipo, para lograr caracterizar la configuración. Como resultado final, se clasifican los sistemas de acuerdo con su estado, en un rango que puede ir desde sistema disponible hasta fallado. El estado intermedio degradado puede tener varios niveles de categorización, como pueden ser poco degradado, degradado y muy degradado, lo que corresponde a la magnitud de afectación de las redundancias. Capítulo 1 14 La metodología es muy útil en plantas que no cuentan con un APS desarrollado o con un método cuantitativo de análisis de configuraciones. Lo que implica que pueda ser utilizada en reactores de investigación o en la industria convencional, siendo menos probable ser utilizada en reactores comerciales debido a que actualmente todos cuentan con APS desarrollados (Torres - Valle, 2010; Torres Valle & Perdomo Ojeda, 2011). 1.6. Monitores de riesgo Los monitores de riesgos son herramientas informáticas que a través de métodos cuantitativos permiten conocer y gestionar de forma automática los riesgos asociados a la explotación segura de una central nuclear. Incluye, una interpretación booleana de los sistemas que componen la instalación y de sus interacciones. Permite la cuantificación del riesgo para cada configuración y modo de operación de la instalación, por consiguiente, la gestión del mantenimiento y verificación en servicio delos componentes y sistemas importantes para la seguridad (“monitor del riesgo,” 2010). 1.6.1. Capacidad de los monitores de riesgo Como herramienta para evaluar el riesgo basado en la configuración de la planta en tiempo real, es capaz de: • calcular el riesgo para configuraciones planificadas o en tiempo real, • mostrar el tiempo máximo que puede permanecer la configuración sin exceder el umbral de riesgo predefinido (ver sección 1.2), • proporcionar el estado de los sistemas afectados por diversas actividades de pruebas y mantenimientos, • ejecutar estudios rápidos de sensibilidad para evaluar los impactos en el riesgo de las modificaciones propuestas en la planta. Como herramienta para la programación de interrupciones, se destaca que: • muestra gráficamente el estado de los sistemas en la planta y sus funciones de seguridad de forma organizada en el tiempo, • genera el perfil del riesgo, ya que la configuración de la planta varía con el tiempo. • identifica qué componentes tienen mayor influencia sobre el riesgo. Capítulo 1 15 1.6.2. Fortalezas de los monitores de riesgo • Proporciona el riesgo de configuraciones en tiempo real. • Son modelos compactos que propician un tiempo de corrida rápido. • Muchos modelos actuales de APS se pueden convertir a formato de monitor de riesgo (ej. Risk Spectrum que modela APS es convertible en Risk Watcher que modela monitores de riesgo). • Pueden proporcionar información sobre la incertidumbre en los resultados. • Proporcionan orientación sobre la gestión del riesgo, indicando qué componentes deben restaurarse primero. 1.6.3. Limitaciones de los monitores de riesgo • Para algunos APS se dificulta convertir los modelos en un diagrama de lógica maestra (por ejemplo, los modelos de grandes árboles de eventos). • Se requiere gran esfuerzo para configurar bases de datos que vinculen eventos del diagrama de lógica maestra con componentes de la planta y diagramas de tuberías e instrumentación (DTI) electrónico. • Problemas de análisis: - efectos en las frecuencias de eventos iniciadores, - dificultad en procesos de recuperación humana, - problemas en ajustes en las FCC, - problemas en los límites de truncamiento (“Module Q, Configuration Risk Management,” n.d.). Capítulo 2 16 2. Materiales y Métodos para el cálculo de CDF En esta etapa se abordan los pasos metodológicos para el cálculo de CDF de las configuraciones, según la causa que provoca la salida de servicio de los componentes. 2.1. Introducción a las formas de fallas Para demostrar las causas por el cual se rigen los cambios en el APS, se explicarán las bases teóricas que fundamentan las fallas de equipos, estas se dividen en dos conjuntos: fallas independientes y fallas dependientes. Estadísticamente dos fallas A y B son independientes si la ocurrencia de una no afecta la probabilidad de ocurrencia de la otra. Es decir, si se cumple la siguiente ecuación: 𝑃(𝐴 ∗ 𝐵) = 𝑃(𝐴) ∗ 𝑃(𝐵|𝐴) = 𝑃(𝐴) ∗ 𝑃(𝐵) (2-1) Si por el contrario, la ocurrencia de una afecta la probabilidad de ocurrencia de la otra, entonces las fallas son estadísticamente dependientes y se cumple que: 𝑃(𝐴 ∗ 𝐵) = 𝑃(𝐴) ∗ 𝑃(𝐵|𝐴) ≠ 𝑃(𝐴) ∗ 𝑃(𝐵) (2-2) Donde 𝑃(𝐵|𝐴) es la probabilidad condicionada de B dado que ocurra A. De la ecuación (2-2) se obtiene que la probabilidad condicionada de la falla B dado A es: 𝑃(𝐵|𝐴) = 𝑃(𝐴 ∗ 𝐵) 𝑃(𝐴) (2-3) Los efectos de las fallas dependientes en el modelado del APS son considerados a través de tres grupos. En el primer grupo se incluyen ciertos eventos iniciadores que tienen el potencial de poder afectar a varios componentes redundantes de un mismo sistema de seguridad (ej. sismos, incendios, inundaciones, pérdida de energía eléctrica externa, etc.). En el segundo grupo se encuentran las dependencias entre sistemas, que incluyen los cuatro subgrupos siguientes (Ojeda & Fernandez, 1999): • Dependencias funcionales: La función de un sistema depende directa o indirectamente del estado de otro. Incluye sistemas que actúan solo ante la falla de otro u otros, o sistemas que pueden funcionar solo si otros funcionan (ej. dependencias con el sistema eléctrico, que si falla afecta a sistemas con equipos eléctricos). • Equipos compartidos: ocurre cuando varios sistemas comparten determinados componentes o dependen de ciertos equipos comunes para ejecutar sus funciones (ej. HPCI y RCIC comparten la válvula de succión en reactores BWR). Capítulo 2 17 • Interacciones físicas: cuando se crean condiciones severas de operación que hacen que la probabilidad de falla de múltiples sistemas se incremente ante la presencia de un acoplamiento espacial (ej. falla de un sistema de ventilación que enfría locales donde se encuentran equipos que constituyen fuentes de calor, estos pueden sobrecalentarse y fallar). • Interacciones humanas: son errores humanos relacionados con las actividades de diseño, construcción y montaje, operación, pruebas y mantenimientos (ej. un operador de turbinas dispara la unidad por error durante la lectura de los registradores de parámetros en la sala de control. El error ocurre como consecuencia de características ergonómicas deficientes de la sala y el panel de control). En el tercer grupo se encuentran las dependencias entre componentes y se refieren a procesos o características que crean interdependencias entre componentes de modo que la probabilidad de falla simultánea de estos se incrementa. De manera análoga a las dependencias entre sistemas, este tipo de dependencias se subdivide en cuatro subgrupos: dependencias funcionales, equipos compartidos, interacciones físicas e interacciones humanas. La definición de estos es similar a las de dependencias entre sistemas, pero en este caso se sitúan a nivel de componentes. Todos los tipos de dependencias descritas anteriormente pueden ser modeladas de manera explícita, utilizando tanto árboles de fallas como árboles de eventos. Se pueden modelar explícitamente cuando existen datos para estimar los parámetros necesarios para la cuantificación, como la tasa de fallas. Las restantes dependencias deben modelarse de forma implícita o paramétricamente, debido a que no pueden cuantificarse la contribución particular de las diferentes causas de falla posibles, ya que la complejidad de la secuencia de sucesos que actúan no lo permite. En este caso se encuentran componentes redundantes con igual diseño, similares condiciones de operación y que sean operados o mantenidos bajo los mismos procedimientos y el mismo personal. Estas fallas dependientes se denominan dependencias residuales o FCC (Ojeda & Fernandez, 1999). Específicamente, un evento FCC consiste en fallas de componentes que cumplen los cuatro criterios siguientes: 1. Dos o más componentes individuales en un mismo sistema fallan o están degradados, incluyendo fallas durante la demanda, pruebas en servicio o deficiencias que habrían resultado en una falla si se hubiera emitido una señal de demanda del componente. Capítulo 2 18 2. Los componentes fallan dentro de un período de tiempo seleccionado (ej. entre dos pruebas continuas). 3. Las fallas de los componentes son el resultado de una sola causa compartida. Otros componentes del mismo tipo son susceptibles a la misma causa y al mismo modo de falla. 4. La falla ocurre dentro del límite del componente establecido. En caso contrario de las dependencias descritas anteriormente la falla se considera independiente, es decir la falla del componente ocurre independiente de cualquier falla de otro componente (NRC, 2015; Wierman, 2007). Una de las conclusiones más notables de los APS realizados en centrales nucleares comerciales es que las FCC contribuyen significativamente a la falta de disponibilidad de los SS, encontrándose generalmente dentro de los primeros conjuntos mínimos de corte (CMC) enel análisis (C.L. Smith, 2011). 2.1.1. Estructura de fallas de componentes redundantes Las estructuras de fallas de componentes se separan en sus modos de fallas debido a que tanto las causas como la cuantificación son diferentes para cada modo de falla. Para mostrar el comportamiento de las estructuras de fallas en componentes se seleccionó un ejemplo de 4 componentes redundantes, en el que cada uno presenta solo un modo de falla. Los posibles conjuntos de fallas de cada componente se denotan de la siguiente forma: I1, I2, I3, I4 –son los conjuntos de fallas independientes para cada componente, C12, C13, C14, C23, C24, C34 - indican los conjuntos del subgrupo de dos componentes de FCC, C123, C124, C134, C234 - indican los conjuntos del subgrupo de tres componentes de FCC, C1234 - indican el conjunto del subgrupo de cuatro componentes de FCC. El conjunto total de falla por todas las causas de cada componente 1T, 2T, 3T, y 4T viene expresado por: 1𝑇 = 𝐼1 ∪ 𝐶12 ∪ 𝐶13 ∪ 𝐶14 ∪ 𝐶123 ∪ 𝐶124 ∪ 𝐶134 ∪ 𝐶1234 (2-4) 2𝑇 = 𝐼2 ∪ 𝐶12 ∪ 𝐶23 ∪ 𝐶24 ∪ 𝐶123 ∪ 𝐶124 ∪ 𝐶234 ∪ 𝐶1234 (2-5) 3𝑇 = 𝐼3 ∪ 𝐶13 ∪ 𝐶23 ∪ 𝐶34 ∪ 𝐶123 ∪ 𝐶134 ∪ 𝐶234 ∪ 𝐶1234 (2-6) 4𝑇 = 𝐼4 ∪ 𝐶14 ∪ 𝐶24 ∪ 𝐶34 ∪ 𝐶124 ∪ 𝐶134 ∪ 𝐶234 ∪ 𝐶1234 (2-7) Capítulo 2 19 Si entre los componentes redundantes no existe diversidad (forma de eliminar las FCC colocando en la redundancia un tipo de componente diferente y que cumpla la misma función) es común que en los análisis de riesgo se asuma que la probabilidad de eventos similares que involucran componentes similares sea la misma (Mosleh, 1998), por tanto la probabilidad total de cada componente-modo de falla del ejemplo viene expresado por: QT=Q1+3Q2+3Q3+Q4 (2-8) Donde: Q1=P[I1]=P[I2]=P[I3]=P[I4] (2-9) Q2=P[C12]=P[C13]=P[C14]=P[C23]=P[C24]=P[C34] (2-10) Q3=P[C123]=P[C124]=P[C134]=P[C234] (2-11) Q4=P[C1234] (2-12) La probabilidad total QT depende de las características físicas y funcionales del componente- modo de falla (ej. régimen de trabajo en el que se encuentra el componente la mayor parte del tiempo) y de datos de fallas (ej. tasa de falla, tiempo medio de reparación, etc.). La probabilidad QT es la base en la que se cimientan las metodologías de cálculo de FCC, que en combinación con datos estadísticos referentes al historial de FCC que tiene el tipo de componente-modo de falla, realizan los cálculos de la probabilidad de cada subgrupo (Q1 Q2 Q3, Q4, etc). Las bibliotecas de datos necesarias para el cálculo de FCC pueden ser encontradas en la página web de la NRC (NRC, 2015). Esfuerzos en los últimos años para mejorar la comprensión de los eventos de FCC han producido varios modelos, procedimientos, códigos de computadora y gigantescas bases de datos. Dentro de los modelos más utilizados se encuentran el de Múltiples Letras Griegas (MGL), el Factor Alfa Escalonado o No Escalonado y el Factor Beta (Wierman, 2007), y se describen a continuación. 2.1.2. Factor Beta Este modelo asume que la tasa de falla del componente-modo de falla tiene dos contribuciones, una independiente y otra de FCC. Es decir, que existe una fracción constante β de la tasa de falla que está asociada a sucesos de FCC. Igualmente, se asume que cuando ocurre un suceso de causa común (CC) todos los componentes pertenecientes a ese grupo fallan (Mosleh, 1998; S.T. Wood, 2008). De forma general se puede expresar matemáticamente como: Capítulo 2 20 𝑄𝑘 (𝑚) = (1 − 𝛽)𝑄𝑇 si k=1 (2-13) 𝑄𝑘 (𝑚) = 0 si m>k>1 (2-14) 𝑄𝑘 (𝑚) = 𝛽𝑄𝑇 si k=m (2-15) Donde: β: constante obtenida de bibliotecas de datos, m: grado de la redundancia (número de componentes redundantes), k: indica el subgrupo de FCC, QT: es la probabilidad total del componente-modo de falla. Para el ejemplo de cuatro componentes-modos de falla redundantes en el que QT=0.01 y β=0.01 queda: 𝑄1 (4) = (1 − 𝛽)𝑄𝑇 = (1 − 0.01)0.01 = 9.9𝐸 − 3 𝑄2 (4) = 0 𝑄3 (4) = 0 𝑄2 (4) = 𝛽𝑄𝑇 = 0.01 ∗ 0.01 = 1𝐸 − 4 Dentro de las características principales de este modelo se encuentra el cálculo de solo un subgrupo de FCC y la falla independiente por componente-modo de falla. Aunque los datos históricos recopilados de la operación de las centrales nucleares indican que no siempre fallan en todos los componentes del grupo de FCC, la experiencia de usar este modelo simple revela que en algunos casos proporcionan resultados razonables. Sin embargo, a medida que aumenta el grado de la redundancia, este modelo generalmente produce resultados menos reales. Además, es necesario corregir el valor del Factor Beta en dependencia del grado de la redundancia (Ojeda & Fernandez, 1999). Cuando el interés se centra en grados de redundancia de tercer orden o superiores se recomienda utilizar modelos paramétricos más generales como el MGL o el Factor Alfa (Mosleh, 1998). 2.1.3. Múltiples Letras Griegas El modelo MGL es el más general y utilizado de una serie de extensiones del modelo Factor Beta. En este modelo se introducen otros parámetros semejantes al Factor Beta, para explicar más explícitamente grados de las redundancias mayores a dos y así permitir diferentes probabilidades Capítulo 2 21 de fallas de subgrupos de FCC (S.T. Wood, 2008; Wierman, 2007). A continuación, se describe matemáticamente el modelo. 𝑄𝑘 (𝑚) = 1 (𝑚−1 𝑘−1 ) ∏ 𝑝𝑖(1 − 𝑝𝑘+1)𝑄𝑇 𝑘 𝑖=1 (𝑘 = 1, … . . 𝑝𝑚+1 = 0) (2-16) ( 𝑚 − 1 𝑘 − 1 ) = (𝑚 − 1)! (𝑘 − 1)! (𝑚 − 𝑘)! (2-17) Donde: pi: son constantes obtenidas de bibliotecas de datos; m: es el grado de la redundancia; k: indica el subgrupo de FCC, QT: es la probabilidad total del componente-modo de falla. Para el ejemplo de cuatro componentes-modos de falla redundantes en el que 𝑝1 = 1, 𝑝2 = 𝛽 = 0.01, 𝑝3 = 𝛾 = 0.4, 𝑝4 = 𝛿 = 0.4 queda: 𝑄1 (4) = (1 − 𝛽)𝑄𝑇 = (1 − 0.1) ∗ 0.01 = 9.9𝐸 − 3 𝑄2 (4) = 1 3 𝛽(1 − 𝛾)𝑄𝑇 = 0.01 ∗ (1 − 0.4) ∗ 0.01 3 = 2𝐸 − 5 𝑄3 (4) = 1 3 𝛽𝛾(1 − 𝛿)𝑄𝑇 = 0.01 ∗ 0.4 ∗ (1 − 0.4) ∗ 0.01 3 = 8𝐸 − 5 𝑄4 (4) = 𝛽𝛾𝛿𝑄𝑇 = 0.1 ∗ 0.4 ∗ 0.4 = 1.6𝐸 − 5 2.1.4. Factor Alfa No Escalonado El escalonado se refiere a la secuencia de las pruebas, una prueba no escalonada significa que se prueban simultáneamente todos los componentes del grupo de la redundancia. La probabilidad de un evento básico de CC para un esquema no escalonado es mayor que la de un esquema escalonado en el que las pruebas se realizan de forma secuencial, y por tanto cambia la formulación matemática del cálculo para cada una (K. B. Marsh, 2017). A continuación, se describe la generalización del modelo Factor Alfa No Escalonado: 𝑄𝑘 𝑚 = 𝑘 (𝑚−1 𝑘−1 ) ( 𝛼𝑘 (𝑚) 𝛼𝑡 𝑄𝑇) (2-18) ( 𝑚 − 1 𝑘 − 1 ) = (𝑚 − 1)! (𝑘 − 1)! (𝑚 − 𝑘)! Capítulo 2 22 𝛼𝑡 = ∑ 𝑘𝛼𝑘 (𝑚) 𝑚 𝑘=1 (2-19) Donde: αk es obtenida de bibliotecas de datos, m: es el grado de la redundancia, k: indica el subgrupo de FCC, QT: es la probabilidad total del componente-modo de falla. Para el ejemplo de cuatro componentes-modos de falla redundantes, en el que las alfas no escalonadas equivalentes a los datos del modelo MGL, descritos en la sección anterior, son 𝛼1 = 0.9958, 𝛼2 = 0.003, 𝛼3 = 0.0008, 𝛼4 = 0.0004, 𝛼𝑇 = 1.0058, queda: 𝑄1 (4) = 𝛼1 (4) 𝛼𝑡 𝑄𝑇 = 0.9958 1.0058 0.01 = 9.9𝐸 − 3 𝑄2 (4) = 2𝛼2 (4) 3𝛼𝑡 𝑄𝑇 = 2 ∗ 0.003 3 ∗ 1.0058 0.01 = 1.99𝐸 − 5 𝑄3 (4) = 𝛼3 (4) 𝛼𝑡 𝑄𝑇 = 0.0008 1.0058 0.01 = 7.95𝐸 − 6 𝑄4 (4) = 4 𝛼4 (4) 𝛼𝑡 𝑄𝑇 = 4 ∗ 0.0004 1.0058 0.01 = 1.59𝐸 − 5 2.1.5. Factor Alfa Escalonado A continuación, se describe la generalización del modelo Factor Alfa Escalonado (C.L. Smith, 2011; Wierman, 2007). 𝑄𝑘 𝑚 = 1 (𝑚−1 𝑘−1 ) (𝛼𝑘 (𝑚) 𝑄𝑇) (2-20) Donde: αk es obtenida de bibliotecas de datos y tiene valores diferentes que en el modelo de Factor Alfa No Escalonado, m: es el grado dela redundancia, k: indica el subgrupo de FCC, QT: es la probabilidad total del componente-modo de falla. Capítulo 2 23 Para el ejemplo de cuatro componentes-modos de falla redundantes, en el que las alfas escalonadas equivalentes a los datos del modelo MGL descritos en la sección 2.1.3, son 𝛼1 = 0.99, 𝛼2 = 0.006, 𝛼3 = 0.0024, 𝛼4 = 0.0016, queda: 𝑄1 (4) = 𝛼1 (4) 𝑄𝑇 = 0.99 ∗ 0.01 = 9.9𝐸 − 3 𝑄2 (4) = 1 3 𝛼2 (4) 𝑄𝑇 = 0.006 ∗ 0.01 3 = 2𝐸 − 5 𝑄2 (4) = 1 3 𝛼3 (4) 𝑄𝑇 = 0.0024 ∗ 0.01 3 = 8𝐸 − 6 𝑄4 (4) = 𝛼4 (4) 𝑄𝑇 = 0.0016 ∗ 0.01 = 1.6𝐸 − 5 Como puede observarse para datos equivalentes las metodologías MGL, Factor Alfa Escalonados y No Escalonado brindan resultados semejantes, mientras que el método Factor Beta se aleja un poco del resto de los modelos, lo cual se debe a que el ejemplo propuesto consta de una redundancia de cuarto grado y el modelo Factor Beta está diseñado fundamentalmente para las FCC de solo dos componentes redundantes. 2.2. Análisis de configuraciones con cero mantenimientos El riesgo base, o cero mantenimientos, ocurre cuando en la planta no se consideran componentes fuera de servicio, lo cual implica que sea el mínimo riesgo calculado para el reactor. Para su desarrollo solo es necesario correr el APS de tal manera que no se tenga en cuenta eventos básicos relacionados con la indisponibilidad por mantenimientos o pruebas. Estos eventos básicos representan la probabilidad de que el componente se encuentre fuera de servicio por mantenimientos o pruebas en el momento que tiene lugar una demanda. Si se corre teniendo en cuenta estos eventos básicos el resultado es una CDF promedio, el cual es la medida que se calcula en el APS tradicional y, por lo tanto, es una medida errónea para caracterizar el riesgo base. Existen varias formas de llevar el APS al riesgo base, la primera de ellas es cambiar la probabilidad de todos los eventos básicos relacionados con indisponibilidad por mantenimientos y pruebas a cero. La segunda vía es muy parecida a la anterior, pero en lugar de cambiar la probabilidad a cero se eliminan los eventos básicos como tal. Estas dos vías son invasivas en el modelado pues regresar al estado original en el que se calcula la CDF promedio es complicado, aunque se pueden separar los datos de CRM y el APS tradicional. La tercera forma es acoplar un evento casa falso (evento básico con probabilidad cero) con cada evento básico que se desea eliminar mediante una compuerta AND. El resultado de la compuerta Capítulo 2 24 AND es cero, eliminando así la contribución del evento básico. El evento casa debe ser el mismo para cada componente, se sugiere que sea copiado y pegado dentro del software. En este caso para llevar el APS al estado original solo es necesario cambiar el evento casa a verdadero (evento básico con probabilidad uno), como resultado para cada compuerta AND se mantendría la probabilidad de indisponibilidad por mantenimientos y pruebas, siendo mucho más fácil revertir el modelado a el cálculo de la CDF promedio. También en lugar de utilizarse un evento casa falso puede ser utilizado una transferencia externa a un árbol de fallas con probabilidad cero, el resultado sería equivalente. Finalmente, independiente de la forma en que se elimine la contribución de pruebas y mantenimientos, es necesario realizar el cálculo de CDF. Los pasos para realizar el cálculo en SAPHIRE se encuentran detalladamente en el apéndice A. Llevar el APS al estado de cero mantenimientos constituye el cimiento para el cálculo de cualquier otra configuración, pues en ninguna se debe considerar los eventos básicos relacionados con mantenimientos y pruebas. Igualmente, es importante señalar que no se debe truncar el riesgo en los cálculo de CRM, pues se podrían estar eliminando las diferencias entre el estado base y una determinada configuración (P. K. Samanta, 1994). 2.3. Análisis de configuraciones para sistemas en reserva Los sistemas en reserva se caracterizan por estar inactivos, esperando a que se necesiten su utilización. Los equipos en reserva presentan un estado de indisponibilidad entre 0 y 1 pues no se sabe si están indisponibles a menos que se les realice una prueba. La mayoría de los sistemas relacionados con la seguridad constituyen sistemas en reserva. 2.3.1. Análisis de configuraciones debido a pruebas y mantenimientos preventivos en sistemas en reserva En la mayoría de los casos el mantenimiento preventivo y las pruebas sobre trenes de SS seguridad generan indisponibilidad. En el mantenimiento preventivo se debe a que suelen realizarse diferentes actividades sobre los componentes, dentro de las que se destacan la limpieza, lubricación y en algunos casos cambio de piezas por encontrarse en mal estado. Estas acciones implican que tenga que ser desarticulado el equipo, dejándolo indisponible. En pruebas, lo que suele dañar la fiabilidad del sistema es el cambio en el circuito, de tal manera que realizando Capítulo 2 25 recirculaciones se logre comprobar que funcionan los componentes e impidiendo que el fluido pueda llegar a donde se requiere en caso de demanda. El impacto de estas configuraciones en el riesgo de la planta se caracteriza por la no utilización de la probabilidad condicionada entre los trenes disponibles y el tren fuera de servicio (ver sección 2.1). Esto se debe a que el tren se encuentra indisponible por mantenimientos preventivos o pruebas y no por fallas (en casos de fallas el mantenimiento es correctivo). El modelo de APS se lleva a un estado en el que el cálculo se realice como si el tren fuera de servicio no existiera, es decir, que las fallas independientes de sus componentes no pueden ocurrir, pero las FCC de cada grupo en otros trenes del sistema aún pueden ocurrir. Lo cual implica que la probabilidad de falla no cambia para el resto de los trenes que se encuentran disponibles, es decir, que la probabilidad de falla de estos trenes es independiente de la salida de servicio del tren en mantenimiento o prueba. Un análisis sencillo se realiza a partir del ejemplo de cuatro componentes redundantes (ver sección 2.1.1). Incluso cuando la metodología se enfoca principalmente en la indisponibilidad de trenes (en algunos casos solo es posible realizar mantenimientos en algunos componentes del tren, debido a que el sistema cumple funciones en la operación normal a potencia, ver sección 2.4), el ejemplo de cuatro componentes puede ser válido, debido a que cuatro componentes redundantes son semejantes a un sistema de cuatro trenes redundantes en los que cada tren solo dispone de un componente. La clave para entender el tratamiento de configuraciones debido a mantenimientos y pruebas es trabajar con los CMC. Para el ejemplo de cuatro componentes redundantes los posibles 15 CMC son: [I1, I2, I3, I4][I1, I2, C34][I1, I3, C24][I1, I4, C23][I2, I3, C14][I2, I4, C13] [I3, I4, C12][C12, C34][C13, C24][C14, C23][I1, C234][I2, C134][I3, C124] [I4, C123][C1234] Se modifican los conjuntos de corte debido a que la falla independiente I1 no puede ocurrir por encontrarse el componente 1 en mantenimiento o prueba: [I2, I3, I4][I2, C34][I3, C24][I4, C23][I2, I3, C14][I2, I4, C13] [I3, I4, C12][C12, C34][C13, C24][C14, C23][C234][I2, C134][I3, C124] [I4, C123][C1234] Desarrollando la probabilidad del sistema para la configuración según las ecuaciones (2-9) a (2-12) queda: Capítulo 2 26 𝑃[𝑆|1𝑀] = 𝑄1 3 + 3𝑄1𝑄2 + 3𝑄1 2𝑄2 + 3𝑄2 2+𝑄3 + 3𝑄1𝑄3 + 𝑄4 Donde: 𝑃[𝑆|1𝑀]: es la probabilidad del sistema dado que el componente 1 se encuentra en mantenimiento preventivo. Para el ejemplo desarrollado por el Factor Alfa Escalado en el que Q1=9.9E-3, Q2=2E-5, Q3=8E-6, Q4=1.6E-5, (ver sección 2.1.5) queda: 𝑃[𝑆|1𝑀] = 2.58𝐸 − 5 La forma de realizar el cálculo en SAPHIRE parte del tipo de compuerta que representa alevento tope del tren indisponible, si es una compuerta OR, se modela colocando en esta un evento casa verdadero, como resultado la probabilidad de falla del tren será uno, es decir, que se encuentra indisponible y también permanecen las FCC en el resto de los trenes disponibles. En la Fig. 1 puede observarse lo anteriormente expuesto. Figura 1. Método para evento tope de compuerta OR Si por el contrario, el evento tope es una compuerta AND es necesario cambiar esta compuerta a OR, manteniendo el mismo nombre de la compuerta AND original. Además, para mantener la lógica del sub-árbol de fallas se debe agregar una nueva compuerta AND dentro de la OR, en la que se coloca todo el modelo del subsistema. Al igual que en el caso anterior es necesario agregar un evento casa verdadero dentro de la compuerta OR para lograr que la probabilidad del subsistema sea uno. Si se quiere revertir el proceso solo es necesario cambiar el evento casa de verdadero a falso con probabilidad cero. En la Fig. 2 puede observarse lo anteriormente expuesto. Capítulo 2 27 Figura 2. Método para evento tope de compuerta AND Si las FCC se modelan a través de las funciones Fallas de Causa Común (R) o Eventos Compuesto (C) es necesario expresar por cada combinación de FCC un evento básico, pues si se utilizan estas funciones todas las combinaciones se encuentran dentro de un mismo evento básico, ver apéndice A y el cálculo de la CDF de la configuración es errónea, ello se demuestra a través de prueba y error. Se pueden sustituir estas funciones a varios eventos básicos, extrayendo de la función de Causa Común (R) las probabilidades de todas las combinaciones de FCC, ver Fig. 3, y representar las probabilidades de las combinaciones en eventos básicos con probabilidad fija. Si se realiza por la función Eventos Compuestos (C) se puede trasladar el cálculo a la función de Causa Común (R) y realizar lo anteriormente expuesto. Esto se logra sustituyendo el evento básico de función Eventos Compuestos (C) a un nuevo evento básico de función Causa Común (R), en el que se agregan los mismos datos estadísticos y de fallas presentes en el Eventos Compuestos (C). Si el cálculo de FCC en Eventos Compuestos (C) se realiza por el modelo de Factor Beta no es posible realizar lo anteriormente expuesto pues en la a la función de Causa Común (R) no existe el modelo de Factor Beta. En este caso por la sencillez del modelo del Factor Beta se puede realizar el cálculo separado del software e introducirlo en eventos básicos con probabilidad fija. Por último, es necesario realizar el cálculo de la CDF para la configuración, para ello ver anexo A. Capítulo 2 28 Figura 3. Cálculo de las combinaciones de FCC por la función de Causa Común (R) 2.3.2. Análisis de configuraciones debido a fallas en sistemas en reserva En las centrales nucleares se minimizan las fallas de los componentes a través del mantenimiento preventivo o del control de las causas de fallas como la corrosión y el desgaste. Sin embargo, aun cuando la calidad de los equipos es de excelencia, estos fallan, propio del envejecimiento y de la inevitable aleatoriedad de las fallas. De aquí la importancia del análisis de configuraciones ocurridas por la presencia de fallas. Al existir dependencias entre componentes redundantes, la ocurrencia de la falla de un componente afecta la probabilidad de falla de los restantes disponibles del grupo (ver sección 2.1). Por lo tanto, la forma del cálculo varía con respecto a trenes indisponibles por mantenimientos o pruebas, dado que estos estados no se consideran fallados. El cálculo se basa en el trabajo de (Rasmuson & Kelly, 2008), y estadísticamente de la definición de probabilidad condicionada. 2.3.2.1 Fallas potencialmente compartidas por el grupo de FCC La probabilidad de falla condicionada del grupo de FCC se estima dado que existe un componente fallado y esta falla tiene el potencial de ser compartido con el resto de los componentes de la redundancia. Si se realiza un análisis de la probabilidad de falla de un sistema, esta es igual a la suma de las probabilidades de todos sus CMC y la probabilidad de cada CMC caracteriza la falla simultánea Capítulo 2 29 de todos los equipos relacionados con los eventos básicos que conforman el CMC. En el caso de que un componente de los que conforman el CMC fallara, la probabilidad del CMC de los elementos que quedan disponibles se encuentra condicionada por la probabilidad del equipo fallado. En consecuencia, de la ecuación (2-3), la probabilidad condicionada del CMC de los componentes que quedan disponibles es igual a la división entre la probabilidad del CMC original y la probabilidad total del modo de falla ocurrido, por ejemplo: 𝑃([ 𝐼2, 𝐶34]|1𝑇) = 𝑃([𝐼1, 𝐼2, 𝐶34]) 𝑃(1𝑇) Donde: 𝑃([ 𝐼2, 𝐶34]|1𝑇): es la probabilidad condicionada de falla del CMC de los componentes-modos de fallas 2, 3 y 4, dado que el componente 1 se encuentra fallado, 𝑃([𝐼1, 𝐼2, 𝐶34 ]): es la probabilidad del CMC original, 𝑃(1𝑇): es la probabilidad total del componente-modo de falla 1. Por tanto, la probabilidad del sistema es la suma de las probabilidades que se obtienen al dividir la probabilidad de cada conjunto de corte en el que participa el componente fallado entre la probabilidad total del modo de falla, más las probabilidades de los CMC en el que no participa el componente fallado. Además, es necesario modificar los CMC del sistema (ej. si se tiene una bomba con los modos de fallas al arranque y a operar, en caso de que falle al arranque, en los conjuntos de corte pierde sentido el evento de falla a operar). Esto se logra eliminando todos los eventos básicos del componente indisponible, relacionados con los modos de fallas por los que no se originó la falla, pero manteniendo todas las FCC en el resto de los componentes disponibles, pues estas forman parte de su falla total, ver Fig. 4. Siempre que se requiera eliminar la contribución de FCC de un componente es necesario, de ser utilizadas, separar las funciones de Causa Común (R) y Eventos Compuestos (C) en un evento básico por cada combinación de FCC, pues de lo contrario no existirían explícitamente los eventos a eliminar, ver anexo A. Capítulo 2 30 Figura 4. Eventos a eliminar (con cruz de color rojo), en caso de que la bomba A falle al arranque, para fallas potencialmente compartidas por el grupo de FCC Para realizar el análisis en el ejemplo de la sección 2.1.1 de un sistema con cuatro componentes redundantes, y el componente 1 presenta una falla potencialmente compartida con el resto de los componentes del grupo, es necesario desarrollar los CMC. Si el sistema presenta todos los componentes disponibles, los CMC son: [I1, I2, I3, I4][I1, I2, C34][I1, I3, C24][I1, I4, C23][I2, I3, C14][I2, I4, C13] [I3, I4, C12][C12, C34][C13, C24][C14, C23][I1, C234][I2, C134][I3, C124] [I4, C123][C1234] En este caso, no es necesario modificar los CMC debido a que el componente indisponible solo presenta un modo de falla. Además, al estar presente el componente fuera de servicio en todos los CMC, es necesario dividir la probabilidad de todos los CMC por la probabilidad total del modo de falla ocurrido o simplemente dividir la probabilidad del sistema por la del modo de falla ocurrido (es una suma de fracciones con igual denominador que es igual a la suma de los numeradores entre el denominador). Desarrollando la probabilidad del sistema según las ecuaciones (2-8) a (2-12) queda: 𝑃[𝑆|1𝑇] = 𝑄1 4 + 6𝑄1 2𝑄2 + 3𝑄2 2 + 4𝑄1𝑄3 + 𝑄4 𝑄𝑇 Capítulo 2 31 Donde: 𝑃[𝑆|1𝑇]: es la probabilidad condicionada del sistema dado que el componente 1 presenta una falla potencialmente compartida por el resto de los componentes del grupo de FCC, 𝑄𝑇: es la probabilidad de falla total del componente-modo de falla 1, viene expresado por la ecuación