Gestion-del-riesgo-de-las-configuraciones-de-una-central-nuclear

Vista previa del material en texto

UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO 
PROGRAMA DE MAESTRÍA Y DOCTORADO EN INGENIERÍA 
 Energía – Sistemas Energéticos 
 
 
Gestión del riesgo de las configuraciones de una central nuclear 
 
 
 
TESIS 
QUE PARA OPTAR POR EL GRADO DE: 
MAESTRO EN INGENIERÍA 
 
 
 PRESENTA: 
ING. ORESTES CASTILLO HERNÁNDEZ 
 
 
TUTOR PRINCIPAL 
DRA. PAMELA FRAN NELSON EDELSTEIN, FACULTAD DE INGENIERÍA 
 
 
 
 
MÉXICO, CD.MX., Julio 2019 
 
UNAM – Dirección General de Bibliotecas 
Tesis Digitales 
Restricciones de uso 
 
DERECHOS RESERVADOS © 
PROHIBIDA SU REPRODUCCIÓN TOTAL O PARCIAL 
 
Todo el material contenido en esta tesis esta protegido por la Ley Federal 
del Derecho de Autor (LFDA) de los Estados Unidos Mexicanos (México). 
El uso de imágenes, fragmentos de videos, y demás material que sea 
objeto de protección de los derechos de autor, será exclusivamente para 
fines educativos e informativos y deberá citar la fuente donde la obtuvo 
mencionando el autor o autores. Cualquier uso distinto como el lucro, 
reproducción, edición o modificación, será perseguido y sancionado por el 
respectivo titular de los Derechos de Autor. 
 
 
 
 
JURADO ASIGNADO: 
 
 
 
 
Presidente: DR. FRANCOIS LACOUTURE JUAN LUIS 
 
Secretario: DR. CHÁVEZ MERCADO CARLOS 
 
1er Vocal: DRA. NELSON EDELSTEIN PAMELA FRAN 
 
2do Vocal: M.C. SALAZAR SALAZAR EDGAR 
 
3er Vocal: M.C. VIAIS JUÁREZ JORGE 
 
 
 
 
 
 
Lugar o lugares donde se realizó la tesis: POSGRADO DE INGENIERÍA, UNAM. 
 
 
 
 
 
 
TUTOR DE TESIS: 
 
DRA. PAMELA FRAN NELSON EDELSTEIN 
 
 
 
-------------------------------------------------- 
 FIRMA 
 
 
 
 
Agradecimientos 
I 
 
 
Agradecimientos 
Agradezco a la UNAM, particularmente al Posgrado de Ingeniería por permitir continuar con 
mi formación académica, cursando la maestría en Sistemas Nucleoeléctricos. 
Agradezco al Consejo Nacional de Ciencia y Tecnología (CONACYT) por el apoyo económico 
otorgado durante los dos años que duró la maestría. 
Agradezco a mi tutora, la Dra. Pamela Fran Nelson Edelstein por su dedicación en el período 
que duró la investigación. 
Agradezco al Dr. Juan Luis Francois Lacouture por su apoyo en todo momento, y por darnos a 
los cubanos un sitio especial en este posgrado. 
Agradezco a todo el jurado del examen de grado por aceptar la invitación, siendo una carga más 
de trabajo para ellos. 
Agradezco a todo el claustro de profesores de Sistemas Nucleoeléctricos. 
Agradezco al Dr. Manuel Perdomo Ojeda por fomentar conocimientos en mí que hicieron 
posible el desarrollo de este trabajo investigativo. 
Agradezco a los estudiantes de posgrado David Quintanar Gago, Ronald Columbie Leyva, 
Yeney Martínez, Eric Falcón Cuba y Nestor López Fernández por su ayuda durante la realización 
del trabajo investigativo. 
 
 
Resumen y Abstract 
II 
 
Resumen 
El riesgo de accidentes en los reactores nucleares no es constante, cambia debido a las 
configuraciones presentes (combinaciones de equipos fuera de servicio por mantenimientos 
preventivos, pruebas o fallas). Existen varios métodos utilizados para el control y gestión de 
configuraciones, dentro de los que se destaca la Gestión del Riesgo de Configuración (CRM). En 
esta tesis se desarrollaron detalladamente las bases teóricas que propician el cálculo de la 
Frecuencia de Daño al Núcleo (CDF) para cada tipo de configuración y la forma de cálculo de las 
medidas utilizadas en CRM. Además, se implementó la metodología en dos sistemas de seguridad 
(SS) de un Reactor Energético de Agua-Agua VVER-1000, mostrando la eficacia de la 
metodología en el cálculo del riesgo de configuración. Esta metodología se usa para demostrar la 
posibilidad de realizar mantenimientos preventivos con la planta a plena potencia, sin que el riesgo 
llegue a ser significativo. 
Abstract 
The risk of accidents in nuclear reactors is not constant; it changes due to each plant 
configuration (combinations of equipment out of service due to preventive maintenance, tests or 
failures). There are several methods used for the control and management of configurations, among 
which the Configuration Risk Management (CRM) stands out. In this thesis the theoretical basis 
for the calculation of the Core Damage Frequency (CDF) for each type of configuration and the 
form of calculation of the measurements used in CRM were developed in detail. In addition, the 
methodology was implemented for two safety systems of a Water-Water Energy Reactor VVER-
1000, showing the effectiveness of the methodology in the calculation of configuration risk. This 
methodology is used to demonstrate the possibility of carrying out preventive maintenance with 
the plant at full power, without a significant increase in risk. 
 
 
 
 
 
 
Índice 
III 
 
Índice 
Abreviaturas ........................................................................................................................ IX 
Introducción ...........................................................................................................................1 
1. Estudios sobre la gestión de configuraciones .................................................................7 
1.1. Implementación de CRM con respecto a los modos de operación ..................................7 
1.2. Umbrales de acción o límites de riesgo ..........................................................................8 
1.3. Áreas involucradas en la utilización de CRM ............................................................... 11 
1.4. Situación actual de la metodología ............................................................................... 12 
1.5. Control de configuraciones por métodos cualitativos y semi-cuantitativos ................... 12 
1.5.1. Control de configuraciones a través de matrices de dependencias ................................ 13 
1.6. Monitores de riesgo ..................................................................................................... 14 
1.6.1. Capacidad de los monitores de riesgo .......................................................................... 14 
1.6.2. Fortalezas de los monitores de riesgo ........................................................................... 15 
1.6.3. Limitaciones de los monitores de riesgo ...................................................................... 15 
2. Materiales y Métodos para el cálculo de CDF .............................................................. 16 
2.1. Introducción a las formas de fallas ............................................................................... 16 
2.1.1. Estructura de fallas de componentes redundantes ......................................................... 18 
2.1.2. Factor Beta .................................................................................................................. 19 
2.1.3. Múltiples Letras Griegas .............................................................................................. 20 
2.1.4. Factor Alfa No Escalonado .......................................................................................... 21 
2.1.5. Factor Alfa Escalonado................................................................................................ 22 
2.2. Análisis de configuraciones con cero mantenimientos.................................................. 23 
2.3. Análisis de configuraciones para sistemas en reserva ................................................... 24 
2.3.1. Análisis de configuraciones debido a pruebas y mantenimientos preventivos en sistemas 
en reserva .................................................................................................................... 24 
Índice 
IV 
 
2.3.2. Análisis de configuraciones debido a fallas en sistemas en reserva............................... 28 
2.4. Análisis de configuraciones de sistemas con componentes en operación ...................... 34 
2.5. Consideracionessobre incertidumbres ......................................................................... 35 
3. Medidas de riesgo utilizadas en CRM .......................................................................... 36 
3.1. Medidas de APS nivel 1(CDF) .................................................................................... 36 
3.1.1. Probabilidad condicionada de daño al núcleo ............................................................... 36 
3.1.2. Incremento en la probabilidad de daño al núcleo .......................................................... 36 
3.1.3. Medidas de incremento en la frecuencia de daño al núcleo .......................................... 37 
3.1.4. Incremento acumulado de probabilidad de daño al núcleo............................................ 38 
3.1.5. Incremento acumulado en la probabilidad de daño al núcleo causado por una única 
configuración .............................................................................................................. 39 
3.1.6. Probabilidad de daño al núcleo .................................................................................... 40 
3.2. Medidas de APS nivel 2 (LERF).................................................................................. 41 
3.2.1. Medidas de frecuencia de liberación grande y temprana............................................... 41 
3.2.2. Probabilidad condicionada de liberación grande y temprana ........................................ 41 
3.2.3. Incremento en la probabilidad de liberación grande y temprana ................................... 42 
3.2.4. Incremento acumulado de probabilidad de liberación grande y temprana ..................... 42 
3.2.5. Incremento acumulado en la probabilidad de liberación grande y temprana causado por 
una única configuración ............................................................................................... 43 
3.2.6. Probabilidad de liberación grande y temprana .............................................................. 43 
3.3. Tiempo de acción de gestión de riesgo y tiempo de finalización informados en riesgo
 ……………………………………………………………………………………..44 
3.4. Riesgo normalizado ..................................................................................................... 44 
4. Análisis de sistemas y resultados ................................................................................. 46 
4.1. Breve reseña de las principales características de los reactores VVER-1000 ................ 46 
4.2. Descripción de los SS del reactor VVER-1000 a aplicar CRM ..................................... 47 
Índice 
V 
 
4.2.1. Breve descripción del sistema de inyección de Boro ante emergencias......................... 47 
4.2.2. Breve descripción del sistema de Agua de Servicio...................................................... 50 
4.3. Resultados del cálculo ................................................................................................. 51 
4.3.1. Resultados del cálculo para una configuración que se caracteriza por tener un tren del 
sistema de inyección de boro ante emergencias en mantenimiento preventivo .............. 51 
4.3.2. Resultados del cálculo para una configuración que se caracteriza por tener una bomba de 
un tren del sistema de inyección de boro ante emergencias fallada y potencialmente 
compartida con el grupo de FCC.................................................................................. 52 
4.3.3. Resultados del cálculo para una configuración que se caracteriza por tener una bomba de 
un tren del sistema de inyección de boro ante emergencias fallada e independiente
 …………………………………………………………………………………..53 
4.3.4. Resultados del cálculo para una configuración que se caracteriza por tener una de las 
bombas del sistema de agua de servicio en mantenimiento preventivo ......................... 54 
4.3.5. Análisis de los cálculos realizados ............................................................................... 54 
4.4. Ejemplo de gestión de una semana de trabajo .............................................................. 55 
Conclusiones ........................................................................................................................ 58 
Referencias ........................................................................................................................... 59 
Anexos ................................................................................................................................. 59 
Anexo A. Características esenciales del software SAPHIRE 8 que influyen en el cálculo de 
CDF…..…………………………………………………………………………..63 
Anexo B. Imágenes de los árboles de fallas del tren TQ13 del sistema de inyección de boro ante 
emergencias, para el riesgo base, el resto de los trenes son semejantes .................. 65 
Anexo C. Imágenes del árbol de fallas del tren VF10 del sistema de agua de servicio, para el 
riesgo base ............................................................................................................ 66 
Anexo D. Imagen de los cambios realizados en el árbol de fallas del tren TQ13 para que el 
cálculo caracterice que este tren se encuentra en mantenimiento preventivo .......... 69 
Índice 
VI 
 
Anexo E. Imagen de los cambios realizados en el árbol de fallas del tren TQ13, para que el 
cálculo caracterice que la bomba D01 de este tren se encuentra fallada al arranque y 
potencialmente compartida con el grupo de FCC .................................................. 71 
Anexo F. Imagen de los cambios realizados en el árbol de fallas del tren TQ13, para que el 
cálculo caracterice que la bomba D01 de este tren, se encuentra fallada e 
independiente de cualquier falla del grupo de FCC ............................................... 76 
Anexo G. Imagen de los cambios realizados en el árbol de fallas del tren VF10 del sistema de 
agua de servicio, para que el cálculo caracterice que la bomba D01 de este tren se 
encuentra en mantenimiento preventivo ................................................................ 80 
 
 
 
Índice de tablas 
VII 
 
Índice de tablas 
Tabla 1. Modos de operación de un reactor PWR ........................................................................7 
Tabla 2. Modos de operación de un reactor BWR ........................................................................8 
Tabla 3. Umbrales para las medidas ICCDP e ICLERP para los modos de operación 1 y 2. .........9 
Tabla 4. Límites de riesgo para los modos 1 y 2, medidas relacionadas con CDF ........................9 
Tabla 5. Límites de riesgo para los modos 1 y 2, medidas relacionadas con LERF..................... 10 
Tabla 6. Límites de riesgo para los modos 3 y 4, medidas relacionadas con CDF ...................... 10 
Tabla 7. Límites de acción para todos los modos anual, relacionadas con CDF .......................... 10 
Tabla 8. Límites de acción para todos los modos anual, relacionadas con CDF .......................... 11 
Tabla 9. Ejemplo de cambios en la alineación de dos componentes redundantes, de un sistema en 
operación ..................................................................................................................... 34 
Tabla 10. Estados de los componentes del tren TQ13 ................................................................ 49 
Tabla 11. Estados de los componentes del tren VF10 ................................................................ 51 
Índice de figuras 
VIII 
 
Índice de figuras 
Figura 1. Método para evento tope de compuerta OR ................................................................ 26 
Figura 2. Método para evento tope de compuerta AND ............................................................. 27 
Figura 3. Cálculo de las combinaciones de FCC por la función de Causa Común (R) ............... 28 
Figura 4. Eventos a eliminar (con cruz de color rojo), en caso de que la bomba A falleal arranque, 
para fallas potencialmente compartidas por el grupo de FCC ..................................... 30 
Figura 5. Método para modelar en el SAPHIRE configuraciones por fallas ............................... 31 
Figura 6. Eventos a eliminar (con cruz roja), en caso de que la bomba A falla al arranque, para 
fallas independientes ................................................................................................. 34 
Figura 7. La CDF en función del tiempo para varias configuraciones ....................................... 38 
Figura 8. Repetición de una misma configuración ..................................................................... 40 
Figura 9. Perfil del riesgo normalizado. ..................................................................................... 45 
Figura 10. Componentes principales de un reactor VVER-1000. ............................................... 46 
Figura 11. El DTI del tren TQ13 del sistema de inyección de boro ante emergencias ................ 49 
Figura 12. El DTI del tren TQ13 del sistema de agua de servicio .............................................. 50 
Figura 13. Ejemplo de gestión de una semana de trabajo. .......................................................... 56 
Figura 14. CDP contra tiempo para una semana de tabajo. ........................................................ 57 
 
 
 
Abreviaturas 
IX 
 
Abreviaturas 
 APS: Análisis Probabilístico de Seguridad. 
 AOTs: tiempos permitidos fuera de servicio (por sus siglas en inglés, Allowed Outage 
Times). 
 BWR: reactor de agua en ebullición (por sus siglas en inglés, Boiling Water Reactor). 
 CRM: gestión del riesgo de configuración (por sus siglas en inglés, Configuration Risk 
Management). 
 CC: Causa Común 
 CMC: Conjuntos Mínimos de Corte. 
 CDF: frecuencia de daño al núcleo (por sus siglas en inglés, Core Damage Frequency). 
CDP: probabilidad de daño al núcleo (por sus siglas en inglés, Core Damage Probability). 
 CCDP: probabilidad condicionada de daño al núcleo (por sus siglas en inglés, Conditional 
Core Damage Probability). 
 CLERP: probabilidad condicionada de liberación grande y temprana (por sus siglas en 
inglés, Conditional Large Early Release Probability). 
 DTI: Diagrama de Tuberías e Instrumentación. 
 ETOs: Especificaciones Técnicas de Operación. 
 FCC: Fallas de Causa Común. 
 ICCDP: incremento acumulado de la probabilidad de daño al núcleo (por sus siglas en 
inglés, Incremental Cumulative Core Damage Probability). 
 ILERF: incremento en la frecuencia de liberación grande y temprana (por sus siglas en 
inglés, Incremental Large Early Release Frequency). 
 ILERP: incremento en la probabilidad de liberación grande y temprana (por sus siglas en 
inglés, Incremental Large Early Release Probability). 
 ICLERP: incremento acumulado de probabilidad de liberación grande y temprana (por 
sus siglas en inglés, Incremental Cumulative Large Early Release Probability). 
 LCOs: condiciones límites para la operación (por sus siglas en inglés, Limiting 
Conditions for Operation). 
 LERF: frecuencia de liberación grande y temprana (por sus siglas en inglés, Large Early 
Release Frequency). 
Abreviaturas 
X 
 
 LERP: probabilidad de liberación grande y temprana (por sus siglas en inglés, Large 
Early Release Probability). 
 MGL: la metodología múltiples letras griegas para el cálculo de FCC (por sus siglas en 
inglés, Multiple Greek Letters). 
 NRC: comisión reguladora nuclear de Estado Unidos (por sus siglas en inglés, Nuclear 
Regulatory Commission). 
 Pi: incremento acumulado en la probabilidad de liberación grande y temprana causado 
por la configuración. 
 PWR: reactor de agua a presión (por sus siglas en inglés, Pressurized Water Reactor). 
 RMAT: tiempo de acción de gestión de riesgos (por sus siglas en inglés, Risk 
Management Action Time). 
 RICT: tiempo de finalización informados en riesgos (por sus siglas en inglés, Risk-
Informed Completion Time). 
 RMA: acciones de gestión de riesgos (por sus siglas en inglés, Risk Management Action). 
SSCs: estructuras, sistemas y componentes (por sus siglas en inglés, Structures, Systems, 
and Components). 
 (Ri) incremento acumulado en la probabilidad de daño al núcleo causa por una 
configuración. 
 SAPHIRE: software de análisis de sistemas para evaluaciones prácticas de confiabilidad 
integradas (por sus siglas en inglés, Systems Analysis Programs for Hands-on Integrated 
Reliability Evaluations). 
 SS: Sistemas de Seguridad. 
 VVER: Reactor Energético de Agua-Agua (transcripción de sus siglas en ruso Водо-
водяной энергетический реактор). 
 ∆CDF: incremento en la frecuencia de daño al núcleo debido a la configuración. 
 ∆CDP: incremento en la probabilidad de daño al núcleo. 
. 
 
Introducción 
1 
 
Introducción 
En la actualidad existen varias formas de producir energía, algunas más económicas, otras 
menos contaminantes, la realidad es que la competencia existe (Blanca, 2015) y hay que hacer 
todo lo posible para mejorar la eficiencia y la rentabilidad de cada proceso productivo. Dentro de 
las tecnologías limpias, constantes y que a la vez logra grandes potencias se encuentra la energía 
nuclear (Ruiz, 2018). 
Las centrales nucleares actuales se caracterizan por producir grandes cantidades de energía, en 
el orden de un gigavatio eléctrico por reactor. Con un gran costo de construcción y operación 
constituyen una de las formas más complejas de producir energía, lo cual se debe en gran medida 
a la necesidad de implementar grandes márgenes de seguridad desde el diseño hasta su operación, 
propio de los riesgos asociados a accidentes de la tecnología (Bittán Moisés, 2011). 
En los reactores nucleares, además del precio del combustible y el costo de la tecnología existen 
otras formas de mejorar la economía de la planta, como es, mejorar la eficiencia del ciclo Rankine 
y el factor de planta (cociente entre la energía real generada durante un período de tiempo y la 
energía generada si hubiera trabajado a plena potencia durante ese mismo período (Agust & 
Onrubia, 2008). Una manera de incrementar el factor de planta es disminuir el tiempo de parada, 
independientemente de la recarga de combustible. Esto puede lograrse realizando un mayor 
número de mantenimientos en operación. Sin embargo, trasladar mantenimientos preventivos 
típicos de parada a operación no es una tarea trivial, pues puede aumentar significativamente el 
riesgo de accidentes en la planta. Por tanto, las intervenciones deben limitarse en tiempo (Torres 
Valle & Perdomo Ojeda, 2011). Existen ciertas configuraciones (combinaciones de equipos fuera 
de servicio por mantenimientos preventivos, pruebas o fallas) que incluso con la planta parada no 
pueden permitirse por el alto riesgo que generan, (ej. todos los sistemas de enfriamiento del núcleo 
fuera de servicio). 
En las centrales nucleares los mantenimientos en recarga son inevitables, pues existen grandes 
intervenciones que solo son posibles con la instalación fuera de servicio, por ejemplo, sistemas 
que se encuentran dentro de la contención primaria. Aun así, existen numerosas configuraciones 
con riesgos aceptados por el regulador, que propician un mantenimiento con la planta a plena 
potencia (P. K. Samanta, 1994; Torres - Valle, 2010; Torres Valle & Perdomo Ojeda, 2011). 
Además de la posibilidad de aumentar el factor de planta, el mantenimiento en operación tiene 
otras grandes ventajas como son: 
Introducción 
2 
 
• menores riesgos de accidentes laborales, por tener una mayor preparación de los 
trabajadores. A diferencia del mantenimiento en operación, para mantenimientos durante la 
recarga, se contratan cientos de personas ajenas a la central para disminuir el tiempo de 
parada (Z. Raymundo, 2010), 
• mayor calidad del mantenimiento, por utilizar selectivamente los recursos humanos, 
• mejor programación y control de lostrabajos, 
• mayor coordinación operación – mantenimiento. 
En tales casos es indispensable realizar la pregunta: 
¿Cuál es el riesgo asociado con la eliminación de un grupo de componentes del servicio? 
Los programas de mantenimiento en operación requieren de la capacidad de evaluar el cambio 
en el riesgo de las diferentes configuraciones por las que pudiera transcurrir la planta. Por lo tanto, 
es propicio realizar un análisis de los posibles desplazamientos en el riesgo y como resultado una 
mejor gestión de los mantenimientos en la planta. 
Dentro de las metodologías que se han implementado en centrales nucleares para tratar la 
planificación del mantenimiento en operación se encuentra CRM, caracterizada por la necesidad 
de un Análisis Probabilístico de Seguridad (APS) previo (P. K. Samanta, 1994). La metodología 
se basa en aplicar cambios al APS para llevarlo a un estado en el que el cálculo caracterice la 
configuración investigada. Después de realizar los cálculos, se archivan las corridas de todas las 
posibles configuraciones pre-planificadas que se producen en la realización del mantenimiento 
(Hess & John, 2006). Como resultado final, se calculan varias medidas de riesgos con el que se 
caracteriza el estado de la planta instantáneamente, posibilitando la gestión de futuros estados del 
reactor y el análisis de configuraciones pasadas. 
Realizar CRM para todos los componentes modelados en el APS provocaría que existan miles 
de configuraciones, que hacen ilógica su realización. Por tanto, la metodología se enfoca en la 
indisponibilidad de trenes y de ciertos componentes con importancia para el riesgo o, a 
componentes que se les requiera aumentar sus tiempos permitidos fuera de servicio (AOTs). 
Los AOTs, que forman parte de las condiciones límites para la operación (LCOs) de las 
especificaciones técnicas de operación (ETOs), se definen como el tiempo dentro del cual el equipo 
fuera de servicio debe restaurarse al estado disponible (P. K. Samanta, 1994). Si el componente no 
pudo ser restaurado en el tiempo permitido, la planta debe cambiar de modo de operación, ver 
modos de operación en las tablas 1 y 2. 
Introducción 
3 
 
Los AOTs fueron establecidos en el momento de asignar las licencias de operación a las plantas 
o en modificaciones posteriores a la licencia. Estos tiempos fueron estimados a través de análisis 
de ingeniería o con consideraciones cualitativas, sin estar fundamentadas en análisis de riesgo 
(Hess & John, 2006; Orlando, 2012). A lo largo de los años, la experiencia en la operación de las 
plantas indica que algunos AOTs son innecesariamente estrictos, mientras que otros pueden no ser 
propicios para la seguridad (P. K. Samanta, 1994). La mejora de estos requisitos implica muchas 
consideraciones y se ve facilitada por la utilización de CRM, empleando medidas que caracterizan 
el aumento en el riesgo provocado por las configuraciones y el tiempo que perduran estas en la 
planta. 
Como resumen es adecuado realizar la pregunta ¿Por qué es necesaria la gestión de riesgos de 
configuración si todas las plantas contienen un APS en el que se calcula un riesgo promedio? La 
respuesta se encuentra en que: 
• Los APS asumen fallas aleatorias de los equipos (incluido las interrupciones de los equipos 
para pruebas y mantenimientos preventivos). 
• Los APS no modelan el riesgo instantáneo asociado a las configuraciones de la planta. 
• Tratan los mantenimientos como si fueran independientes entre sí, por lo tanto, las 
configuraciones de alto riesgo son poco probables, algo que no es cierto. 
• Las configuraciones pueden aumentar el riesgo significativamente por encima del nivel de 
riesgo promedio de los APS. 
• La falta de administración de las configuraciones puede afectar los eventos iniciadores (ej. 
gran ocurrencia de configuraciones que elevan la probabilidad de incendios). Igualmente, 
puede afectar a los equipos diseñados para mitigar estos eventos iniciadores, lo que implica 
un aumento en el riesgo. 
Problema científico 
La inexistencia de una metodología totalmente desarrollada para implementar CRM a plantas 
nucleares, que necesiten trasladar mantenimientos de recarga para operación o para aumentar los 
AOTs de ciertos componentes. 
 
Introducción 
4 
 
Hipótesis 
Con el desarrollo de la metodología y acuerdos progresivos con el regulador se puede aumentar 
tanto la cantidad de mantenimientos en operación como los AOTs de ciertos componentes, sin que 
el riesgo pase a ser altamente significativo. 
Objetivo general 
Desarrollar detalladamente y ejemplificar la forma en que se aplica la metodología CRM, 
fundamentalmente dirigida a cambios en CDF debido a la existencia de configuraciones en plantas 
nucleares. 
Objetivos específicos 
A partir del objetivo general anterior se definen los siguientes objetivos específicos: 
- Investigar los principales umbrales de acción, por los cual poder comparar la significancia 
en el riesgo de cada configuración. 
- Investigar los métodos utilizados en el control y gestión de configuraciones. 
- Desarrollar el método de cálculo de CDF teniendo en consideración los aspectos teóricos 
que fundamentan las fallas de equipos. 
- Desarrollar el método de cálculo de CDF en trenes en reserva. 
- Desarrollar el método cálculo de CDF en trenes en operación. 
- Desarrollar medidas relacionadas con el incremento en la frecuencia de daño al núcleo 
(∆CDF), incremento en la probabilidad de daño al núcleo (∆CDP) y medidas acumulativas 
de probabilidad de daño al núcleo. 
- Desarrollar medidas relacionadas con el incremento en la frecuencia de liberación grande y 
temprana (ILERF), incremento en la probabilidad de liberación grande y temprana (ILERP) 
y medidas acumulativas de probabilidad de liberación grande y temprana. 
- Ejemplificar el cálculo de las medidas relacionadas con ∆CDF en sistemas de reactores 
nucleares. 
Tareas 
Como tareas más importantes de la investigación se encuentran: 
1. Investigación de los principales estudios sobre la gestión de configuraciones. 
2. Investigación de los modelos de análisis de Fallas de Causa Común (FCC) con mayor uso 
en la actualidad y su influencia en el cálculo de CDF para las configuraciones. 
3. Desarrollo metodológico del cálculo de CDF para configuraciones de sistemas en operación. 
Introducción 
5 
 
4. Desarrollo metodológico del cálculo de CDF para configuraciones de sistemas en reserva. 
5. Desarrollo de la forma de cálculo de CDF para trenes de sistemas fuera de servicio por 
mantenimientos preventivo o pruebas. 
6. Desarrollo de la forma de cálculo de CDF para trenes de sistemas fuera de servicio por fallas 
de componentes. 
7. Desarrollo de las medidas de riesgo relacionadas con ∆CDF, ∆CDP y medidas acumulativas 
de probabilidad de daño al núcleo. 
8. Desarrollo de las medidas de riesgo relacionadas con ILERF, ILERP y medidas acumulativas 
de probabilidad de liberación grande y temprana. 
9. Estudio de las características técnicas de los sistemas a ejemplificar y de sus APS. 
10. Desarrollo de la metodología para los sistemas propuestos. 
11. Análisis de las configuraciones para una semana de trabajo. 
Alcance 
Se desarrollaron los cambios en los árboles de fallas para configuraciones ocasionadas por 
mantenimientos preventivos y pruebas, por fallas potencialmente compartidas por el grupo de FCC 
o por fallas independientes. 
Se desarrollaron las diferentes medidas de riesgo relacionadas con CDF y LERF, pero solo se 
aplicaron las relacionadas con CDF a dos SS de un reactor VVER-1000, debido a que no se contaba 
con el APS nivel 2 para este reactor. 
La metodología fue desarrollada solo para los modos de operación 1 y 2 (ver modos de 
operación en la sección 1.1), lo cual se debe a que parte de los objetivos de aplicar CRM es trasladar 
mantenimientos durante parada por recarga a operación a potencia. Además, el cálculo es 
semejante en cada modo de operaciónsi se tiene un APS modelado, solo varían los árboles de 
eventos que se analizan. 
Estructura de la tesis 
La tesis se encuentra dividida en 4 capítulos, en el primero de ellos se describen los principales 
estudios que propician la implementación de CRM y las principales metodologías utilizadas para 
caracterizar el riesgo asociado a las configuraciones. En el segundo capítulo se desarrollan las 
bases teóricas para el cálculo de CDF de las configuraciones y cómo puede ser implementado en 
el software de análisis de sistemas para evaluaciones prácticas de confiabilidad integradas 
(SAPHIRE). En el tercer capítulo se desarrollan una serie de medidas de riesgos con las que se 
Introducción 
6 
 
caracterizan las configuraciones, estas medidas se desarrollan tanto para cálculos basados en CDF 
como para basados en LERF. Por último, en el cuarto capítulo, se implementa la metodología a 
dos SS de un reactor VVER y se realiza un análisis de resultados. 
 
Capítulo 1 
7 
 
1. Estudios sobre la gestión de configuraciones 
En el presente capítulo se describen los principales estudios que propician el desarrollo de la 
metodología, las áreas involucradas con CRM en las centrales y su situación actual en el mundo. 
De igual manera se describen brevemente las características de otras metodologías que se utilizan 
para el estudio del riesgo de configuraciones. 
1.1. Implementación de CRM con respecto a los modos de operación 
Cuando se enfoca la metodología CRM a la gestión del riesgo, es muy útil extenderla a otros 
modos de operación distintos a los modos 1 y 2 (tabla 1 y 2), que son los que admiten los APS en 
general. Para los reactores de agua a presión (PWR) puede extenderse según Steve Hess (Hess & 
John, 2006) hasta los modos de operación 3 y 4, mientras que para los reactores de agua en 
ebullición (BWR) puede extenderse al modo 3. Sin embargo, si se desea aplicar CRM en estos 
modos de operación, se debe tener una herramienta de APS, que calcule adecuadamente la CDF. 
Para el resto de los modos, típicamente se evalúan las configuraciones por métodos cualitativos 
o por análisis de ingeniería, que no necesitan del desarrollo de un APS previo. Aunque actualmente 
existe el estándar para llevar a cabo el APS a bajas potencias y en apagado que facilitaría la 
aplicación de CRM en estos modos. 
En las siguientes tablas se muestran todos los modos de operación para los reactores 
comerciales PWR y BWR. 
Tabla 1 
Modos de operación de un reactor PWR 
Modo Nombre 
Temperatura media del refrigerante en 
Kelvin 
1 Operación a potencia N/A 
2 Puesta en marcha N/A 
3 Espera caliente ≥450 
4 Parada caliente 450≥T≥366 
5 Parada fría 366≥T 
6 Recarga N/A 
Nota. Datos obtenidos de (Engineer, 2014) 
 
Capítulo 1 
8 
 
Tabla 2 
Modos de operación de un reactor BWR 
Modo Nombre 
Temperatura media del refrigerante en 
kelvin 
1 Operación a potencia N/A 
2 Puesta en marcha N/A 
3 Parada caliente T≥366 
4 Parada fría T≤366 
5 Recarga N/A 
Nota. Datos obtenidos de (Engineer, 2014) 
1.2. Umbrales de acción o límites de riesgo 
El proceso de gestionar el riesgo implica utilizar el resultado de las evaluaciones en la toma de 
decisiones en la planta. El objetivo de la gestión del riesgo es controlar sus aumentos temporales, 
derivados de las actividades de prueba y mantenimiento, de modo que el riesgo de referencia 
promedio se mantenga dentro de un rango mínimo. 
Como toda unidad de medida, se necesita un patrón de referencia por el cual poder comparar. 
En el caso de los aumentos de riesgo debido a estructuras, sistemas o componentes (SSCs) fuera 
de servicio, que definen la configuración, se utilizan los umbrales de acción o límites de riesgo. 
Estos valores definen los intervalos en el riesgo por las que puede o no operar una central nuclear. 
Se debe aclarar que la comisión reguladora nuclear de los Estados Unidos (NRC) no tiene criterios 
cuantitativos para cambios temporales en la planta, aunque puede ser justificado debido a que la 
mayoría de las plantas difieren entre sí de cualquier otra, en diseño, localización, etc. (“Module Q, 
Configuration Risk Management,” n.d.). 
Los umbrales para las acciones de gestión del riesgo pueden establecerse cuantitativamente y 
tienen gran importancia para este trabajo, pues se desarrollan considerando las mismas magnitudes 
que en CRM. En consecuencia, se puede comparar el riesgo de la configuración con los límites 
predefinidos y así conocer el grado de significancia en el riesgo por el cual se encuentra la planta. 
Para indisponibilidades temporales Steve Hess (Hess & John, 2006) propone un umbral para el 
estado de operación, de una CDF igual a 10-3 /año. Lo cual implica que, a la hora de programar los 
mantenimientos en operación, la CDF de la configuración no debe exceder este valor. En caso de 
Capítulo 1 
9 
 
que la CDF alcance valores cercanos a este, debe ser por períodos de tiempos muy cortos, y solo 
con una comprensión clara y detallada de qué eventos causan el nivel de riesgo tan elevado. 
Para configuraciones planificadas específicas, pueden considerarse los valores de la tabla 3 
como umbrales para las medidas de incremento acumulado de la probabilidad de daño al núcleo 
(ICCDP) e incremento acumulado de probabilidad de liberación grande y temprana (ICLERP), ver 
secciones 3.1.4 y 3.2.4 respectivamente. 
Tabla 3 
Umbrales para las medidas ICCDP e ICLERP para los modos de operación 1 y 2 
Valoración del intervalo ICCDP semanal ICLERPsemanal 
- la configuración no debe entrar 
voluntariamente. 
ICCDPsem≥10
-5 ICLERPsem≥10
-6 
- se deben evaluar factores no 
cuantificables 
- se deben establecer acciones de 
gestión de riesgo 
10-6 ≤ ICCDP sem <10
-5 
10-7≤ ICLERPsem <10
-
6 
- controles de trabajo normales 10-6< ICCDP sem 10-7 <ICLERPsem 
Nota. Datos tomados de Steve Hess (Hess & John, 2006) 
Otros valores de límites de riesgos reportados se muestran en las tablas 4, 5, 6, 7 y 8. Para estos 
límites se utilizan las medidas de probabilidad de daño al núcleo (CDP), CDF, LERF y la 
probabilidad de liberación grande y temprana (LERP). 
Tabla 4 
Límites de riesgo para los modos 1 y 2, medidas relacionadas con CDF 
Valoración del intervalo CDPsemanal CDF 
Riesgo no significativo CDPsem<5x10
-7 CDF<5x10-4 
Riesgo potencialmente significativo 5x10-7≤ CDPsem<1x10
-6 5x10-4≤ CDF<1x10-3 
Riesgo significativo 1x10-6≤ CDPsem<2x10
-6 1x10-3≤ CDF<2x10-3 
Alto riesgo significativo 2x10-6≤CDPsem 2x10
-3≤CDF 
Nota. Datos tomados de J.K. Liming (Liming, 2001) 
 
Capítulo 1 
10 
 
Tabla 5 
Límites de riesgo para los modos 1 y 2, medidas relacionadas con LERF 
Valoración del intervalo de riesgo LERPsemanal LERF 
Riesgo no significativo LERPsem <5x10
-8 LERF<5x10-5 
Riesgo potencialmente significativo 5x10-8≤ LERPsem<1x10
-7 5x10-5≤ LERF<1x10-4 
Riesgo significativo 1x10-7≤ LERPsem<2x10
-7 1x10-4≤ LERF<2x10-4 
Alto riesgo significativo 2x10-7≤LERPsem 2x10
-4≤LERF 
Nota. Datos tomados de J.K. Liming (Liming, 2001) 
Tabla 6 
Límites de riesgo para los modos 3 y 4, medidas relacionadas con CDF 
Valoración del intervalo de riesgo LERPsemanal LERF 
Riesgo no significativo LERPsem <5x10
-7 LERF<2x10-3 
Riesgo potencialmente significativo 5x10-7≤ LERPsem<1x10
-6 2x10-3≤ LERF<5x10-3 
Riesgo significativo 1x10-6≤ LERPsem<4x10
-6 5x10-3≤ LERF<1x10-2 
Alto riesgo significativo 4x10-6≤LERPsem 1x10
-2≤LERF 
Nota. Datos tomados de J.K. Liming (Liming, 2001) 
Tabla 7 
Límites de acción para todos los modos 
anual, relacionadas con CDF 
Valoración del intervalo de riesgo CDPanual 
Riesgo no significativo CDPanual<2x10
-5 
Riesgo potencialmente significativo 2x10-5≤ CDPanual<5x10
-5 
Riesgo significativo 5x10-5≤ CDPanual<1x10
-4 
Alto riesgo significativo 1x10-4≤CDPanual 
Nota. Datos tomados de J.K. Liming (Liming, 2001) 
 
Capítulo 1 
11 
 
Tabla 8 
Límites de acción para todos los modos anual , 
relacionadas con CDF 
Valoraciónde la región de riesgo LERPanual 
Riesgo no significativo LERPanual <2x10
-6 
Riesgo potencialmente significativo 2x10-6≤ LERPanual<5x10
-6 
Riesgo significativo 5x10-6≤ LERPanual<1x10
-5 
Alto riesgo significativo 1x10-5≤LERPanual 
Nota. Datos tomados de J.K. Liming (Liming, 2001) 
Lo cierto es que existen diferencias en el diseño y en los riesgos asociados a eventos externos 
para cada planta, lo que causa una variabilidad reconocida en CDF y LERF, es decir, que cada 
central posee valores específicos de estos indicadores. Además, existe una variabilidad en el 
rendimiento de la contención, que puede afectar la relación entre la CDF y la LERF de referencia 
para una planta o clases de plantas, por lo que, la determinación de los correspondientes umbrales 
de acción de riesgos cuantitativos debe ser específica para cada planta. Se sugiere que sea 
determinado entre los operadores de la planta, dada su experiencia real y específica en la central y 
un personal especializado, que represente los intereses del órgano regulador del país. 
1.3. Áreas involucradas en la utilización de CRM 
La evaluación de los riesgos asociados con la configuración de la planta y su gestión se 
consideran en las siguientes áreas: 
• Programación del mantenimiento preventivo: en muchos casos, el mantenimiento preventivo 
se realiza de manera rutinaria, durante la operación de la planta, donde varios componentes 
se sacan simultáneamente de servicio. La metodología CRM se puede usar para evaluar las 
implicaciones en el riesgo de los programas de mantenimiento preventivo y decidir sobre un 
programa aceptable, donde se eviten grandes picos en el riesgo. 
• Extensiones de los AOTs: cuando se consideran las extensiones a los AOTs, se debe tener 
en cuenta el aumento en la probabilidad de que varios componentes con gran importancia en 
el riesgo no estén disponibles simultáneamente. Pueden evaluarse las implicaciones en el 
riesgo de las combinaciones de componentes a los que se le extendieron los AOTs, para 
asegurar que la probabilidad de tener grandes picos de CDF sean bajos, debido a las 
configuraciones de la planta como resultado de estas extensiones. 
Capítulo 1 
12 
 
• Control de configuraciones significativas para el riesgo: en general CRM se puede usar para 
identificar configuraciones específicas de alto riesgo, para que las actividades de pruebas y 
mantenimientos se diseñen u organicen de manera que se eviten estas configuraciones. Este 
tipo de evaluación puede tener tres usos. Primero, se pueden identificar configuraciones 
específicas de la planta con elevadas implicaciones en el riesgo, no prohibidas en las ETOs 
y se pueden redefinir los requisitos de acción de las LCOs (ej. el apagado del reactor). En 
segundo lugar, se puede definir una jerarquía de configuraciones importantes para el 
personal involucrado en la realización de las actividades de prueba y mantenimiento. En 
tercer lugar, pueden aplicarse a aquellas configuraciones prohibidas en las ETOs pero que 
tienen un bajo impacto en el riesgo. (P. K. Samanta, 1994) 
1.4. Situación actual de la metodología 
En una encuesta realizada por EPRI, en la que participa el 60% de las centrales en operación de 
EE.UU., reportan resultados favorables sobre la utilización de CRM en este país. Según D. Hance 
(Hance, 2011) para el 2011 muchas de las prácticas y procesos asociados con la evaluación de 
CRM en operación se han estandarizado. Se está prestando mucha atención a los estudios de 
truncamiento y validación del modelo. Sin embargo, la encuesta muestra una variabilidad 
significativa en los procesos para seleccionar los umbrales de acción (ver sección 1.2). 
Por otra parte, para el apagado, la evaluación del riesgo por métodos cualitativos sigue siendo 
el enfoque de análisis dominante. Según el informe, hay gran variación en términos de la fracción 
de tiempo empleado en cada zona de riesgo, es decir, algunas plantas pasan mayor tiempo en una 
zona de riesgo no significativo, mientras que otras se encuentran en un riesgo potencialmente 
significativo. 
El estado de utilización de la metodología en el resto del mundo no fue encontrada con claridad 
en la literatura investigada, solo se encontró que Ucrania tienen perspectivas al respecto (Mark, 
n.d.). 
1.5. Control de configuraciones por métodos cualitativos y semi-cuantitativos 
Las configuraciones pueden calificarse cualitativamente o semi-cuantitativamente, 
considerando el desempeño de las funciones de seguridad o la capacidad de mitigación, dadas las 
SSCs fuera de servicio, que definen la configuración. Estos métodos generalmente son utilizados 
Capítulo 1 
13 
 
en los SSCs no modelados en el APS, para establecer las acciones de la gestión del mantenimiento. 
Este enfoque generalmente implica la consideración de los siguientes factores: 
• La duración de la configuración. Una larga duración resulta en un mayor tiempo de 
exposición a los eventos iniciadores. 
• El tipo y la frecuencia de los eventos iniciadores que son mitigados por los SSCs que se 
encuentran indisponibles, teniendo en consideración las secuencias para las cuales los SSCs 
normalmente cumplirían con su función de seguridad. 
• Si el impacto de las actividades de prueba y mantenimiento es significativo en la frecuencia 
de eventos iniciadores. 
• Las restantes secuencias de éxito disponibles para mitigar los eventos iniciadores y sus 
probabilidades (ej. sistemas o trenes redundantes, acciones del operador y acciones de 
recuperación). 
Estos factores generalmente son las bases para la confección de una matriz, en la que se puede 
asignar cierta escala numérica que caracterice cada factor (ej. del 1 al 5). Después se suma la 
puntuación para cada configuración y se compara con algún valor establecido. 
1.5.1. Control de configuraciones a través de matrices de dependencias 
Existen algunos trabajos realizados para el control de configuraciones, a través de métodos 
cualitativos como las matrices de dependencia. Las matrices de dependencias son herramientas 
que habitualmente se utilizan en los APS como ayuda en el estudio de las interfaces entre sistemas 
y para documentar los puntos de enlaces entre estos. 
A grandes rasgos, esta metodología se basa en una matriz que relaciona los componentes con 
el sistema al que pertenece, número de redundancias, interfaces que pueden interferir en su 
funcionamiento (ej. interfaz con el sistema eléctrico) y el criterio de falla del sistema al que 
pertenece. Además, presenta la opción de poder cambiar el estado de disponibilidad del equipo, 
para lograr caracterizar la configuración. 
Como resultado final, se clasifican los sistemas de acuerdo con su estado, en un rango que puede 
ir desde sistema disponible hasta fallado. El estado intermedio degradado puede tener varios 
niveles de categorización, como pueden ser poco degradado, degradado y muy degradado, lo que 
corresponde a la magnitud de afectación de las redundancias. 
Capítulo 1 
14 
 
La metodología es muy útil en plantas que no cuentan con un APS desarrollado o con un método 
cuantitativo de análisis de configuraciones. Lo que implica que pueda ser utilizada en reactores de 
investigación o en la industria convencional, siendo menos probable ser utilizada en reactores 
comerciales debido a que actualmente todos cuentan con APS desarrollados (Torres - Valle, 2010; 
Torres Valle & Perdomo Ojeda, 2011). 
1.6. Monitores de riesgo 
Los monitores de riesgos son herramientas informáticas que a través de métodos cuantitativos 
permiten conocer y gestionar de forma automática los riesgos asociados a la explotación segura de 
una central nuclear. Incluye, una interpretación booleana de los sistemas que componen la 
instalación y de sus interacciones. Permite la cuantificación del riesgo para cada configuración y 
modo de operación de la instalación, por consiguiente, la gestión del mantenimiento y verificación 
en servicio delos componentes y sistemas importantes para la seguridad (“monitor del riesgo,” 
2010). 
1.6.1. Capacidad de los monitores de riesgo 
Como herramienta para evaluar el riesgo basado en la configuración de la planta en tiempo real, 
es capaz de: 
• calcular el riesgo para configuraciones planificadas o en tiempo real, 
• mostrar el tiempo máximo que puede permanecer la configuración sin exceder el umbral de 
riesgo predefinido (ver sección 1.2), 
• proporcionar el estado de los sistemas afectados por diversas actividades de pruebas y 
mantenimientos, 
• ejecutar estudios rápidos de sensibilidad para evaluar los impactos en el riesgo de las 
modificaciones propuestas en la planta. 
Como herramienta para la programación de interrupciones, se destaca que: 
• muestra gráficamente el estado de los sistemas en la planta y sus funciones de seguridad de 
forma organizada en el tiempo, 
• genera el perfil del riesgo, ya que la configuración de la planta varía con el tiempo. 
• identifica qué componentes tienen mayor influencia sobre el riesgo. 
Capítulo 1 
15 
 
1.6.2. Fortalezas de los monitores de riesgo 
• Proporciona el riesgo de configuraciones en tiempo real. 
• Son modelos compactos que propician un tiempo de corrida rápido. 
• Muchos modelos actuales de APS se pueden convertir a formato de monitor de riesgo (ej. 
Risk Spectrum que modela APS es convertible en Risk Watcher que modela monitores de 
riesgo). 
• Pueden proporcionar información sobre la incertidumbre en los resultados. 
• Proporcionan orientación sobre la gestión del riesgo, indicando qué componentes deben 
restaurarse primero. 
1.6.3. Limitaciones de los monitores de riesgo 
• Para algunos APS se dificulta convertir los modelos en un diagrama de lógica maestra (por 
ejemplo, los modelos de grandes árboles de eventos). 
• Se requiere gran esfuerzo para configurar bases de datos que vinculen eventos del diagrama 
de lógica maestra con componentes de la planta y diagramas de tuberías e instrumentación 
(DTI) electrónico. 
• Problemas de análisis: 
- efectos en las frecuencias de eventos iniciadores, 
- dificultad en procesos de recuperación humana, 
- problemas en ajustes en las FCC, 
- problemas en los límites de truncamiento (“Module Q, Configuration Risk Management,” 
n.d.). 
 
Capítulo 2 
16 
 
2. Materiales y Métodos para el cálculo de CDF 
En esta etapa se abordan los pasos metodológicos para el cálculo de CDF de las 
configuraciones, según la causa que provoca la salida de servicio de los componentes. 
2.1. Introducción a las formas de fallas 
Para demostrar las causas por el cual se rigen los cambios en el APS, se explicarán las bases 
teóricas que fundamentan las fallas de equipos, estas se dividen en dos conjuntos: fallas 
independientes y fallas dependientes. 
Estadísticamente dos fallas A y B son independientes si la ocurrencia de una no afecta la 
probabilidad de ocurrencia de la otra. Es decir, si se cumple la siguiente ecuación: 
𝑃(𝐴 ∗ 𝐵) = 𝑃(𝐴) ∗ 𝑃(𝐵|𝐴) = 𝑃(𝐴) ∗ 𝑃(𝐵) (2-1) 
Si por el contrario, la ocurrencia de una afecta la probabilidad de ocurrencia de la otra, entonces 
las fallas son estadísticamente dependientes y se cumple que: 
𝑃(𝐴 ∗ 𝐵) = 𝑃(𝐴) ∗ 𝑃(𝐵|𝐴) ≠ 𝑃(𝐴) ∗ 𝑃(𝐵) (2-2) 
Donde 𝑃(𝐵|𝐴) es la probabilidad condicionada de B dado que ocurra A. 
De la ecuación (2-2) se obtiene que la probabilidad condicionada de la falla B dado A es: 
𝑃(𝐵|𝐴) =
𝑃(𝐴 ∗ 𝐵)
𝑃(𝐴)
 (2-3) 
Los efectos de las fallas dependientes en el modelado del APS son considerados a través de tres 
grupos. En el primer grupo se incluyen ciertos eventos iniciadores que tienen el potencial de poder 
afectar a varios componentes redundantes de un mismo sistema de seguridad (ej. sismos, 
incendios, inundaciones, pérdida de energía eléctrica externa, etc.). 
En el segundo grupo se encuentran las dependencias entre sistemas, que incluyen los cuatro 
subgrupos siguientes (Ojeda & Fernandez, 1999): 
• Dependencias funcionales: La función de un sistema depende directa o indirectamente del 
estado de otro. Incluye sistemas que actúan solo ante la falla de otro u otros, o sistemas que 
pueden funcionar solo si otros funcionan (ej. dependencias con el sistema eléctrico, que si 
falla afecta a sistemas con equipos eléctricos). 
• Equipos compartidos: ocurre cuando varios sistemas comparten determinados componentes 
o dependen de ciertos equipos comunes para ejecutar sus funciones (ej. HPCI y RCIC 
comparten la válvula de succión en reactores BWR). 
Capítulo 2 
17 
 
• Interacciones físicas: cuando se crean condiciones severas de operación que hacen que la 
probabilidad de falla de múltiples sistemas se incremente ante la presencia de un 
acoplamiento espacial (ej. falla de un sistema de ventilación que enfría locales donde se 
encuentran equipos que constituyen fuentes de calor, estos pueden sobrecalentarse y fallar). 
• Interacciones humanas: son errores humanos relacionados con las actividades de diseño, 
construcción y montaje, operación, pruebas y mantenimientos (ej. un operador de turbinas 
dispara la unidad por error durante la lectura de los registradores de parámetros en la sala de 
control. El error ocurre como consecuencia de características ergonómicas deficientes de la 
sala y el panel de control). 
En el tercer grupo se encuentran las dependencias entre componentes y se refieren a procesos o 
características que crean interdependencias entre componentes de modo que la probabilidad de 
falla simultánea de estos se incrementa. De manera análoga a las dependencias entre sistemas, este 
tipo de dependencias se subdivide en cuatro subgrupos: dependencias funcionales, equipos 
compartidos, interacciones físicas e interacciones humanas. La definición de estos es similar a las 
de dependencias entre sistemas, pero en este caso se sitúan a nivel de componentes. 
Todos los tipos de dependencias descritas anteriormente pueden ser modeladas de manera 
explícita, utilizando tanto árboles de fallas como árboles de eventos. Se pueden modelar 
explícitamente cuando existen datos para estimar los parámetros necesarios para la cuantificación, 
como la tasa de fallas. Las restantes dependencias deben modelarse de forma implícita o 
paramétricamente, debido a que no pueden cuantificarse la contribución particular de las diferentes 
causas de falla posibles, ya que la complejidad de la secuencia de sucesos que actúan no lo permite. 
En este caso se encuentran componentes redundantes con igual diseño, similares condiciones de 
operación y que sean operados o mantenidos bajo los mismos procedimientos y el mismo personal. 
Estas fallas dependientes se denominan dependencias residuales o FCC (Ojeda & Fernandez, 
1999). 
Específicamente, un evento FCC consiste en fallas de componentes que cumplen los cuatro 
criterios siguientes: 
1. Dos o más componentes individuales en un mismo sistema fallan o están degradados, 
incluyendo fallas durante la demanda, pruebas en servicio o deficiencias que habrían 
resultado en una falla si se hubiera emitido una señal de demanda del componente. 
Capítulo 2 
18 
 
2. Los componentes fallan dentro de un período de tiempo seleccionado (ej. entre dos pruebas 
continuas). 
3. Las fallas de los componentes son el resultado de una sola causa compartida. Otros 
componentes del mismo tipo son susceptibles a la misma causa y al mismo modo de falla. 
4. La falla ocurre dentro del límite del componente establecido. 
En caso contrario de las dependencias descritas anteriormente la falla se considera 
independiente, es decir la falla del componente ocurre independiente de cualquier falla de otro 
componente (NRC, 2015; Wierman, 2007). 
Una de las conclusiones más notables de los APS realizados en centrales nucleares comerciales 
es que las FCC contribuyen significativamente a la falta de disponibilidad de los SS, encontrándose 
generalmente dentro de los primeros conjuntos mínimos de corte (CMC) enel análisis (C.L. Smith, 
2011). 
2.1.1. Estructura de fallas de componentes redundantes 
Las estructuras de fallas de componentes se separan en sus modos de fallas debido a que tanto 
las causas como la cuantificación son diferentes para cada modo de falla. Para mostrar el 
comportamiento de las estructuras de fallas en componentes se seleccionó un ejemplo de 4 
componentes redundantes, en el que cada uno presenta solo un modo de falla. 
Los posibles conjuntos de fallas de cada componente se denotan de la siguiente forma: 
I1, I2, I3, I4 –son los conjuntos de fallas independientes para cada componente, 
C12, C13, C14, 
C23, C24, C34 - indican los conjuntos del subgrupo de dos componentes de FCC, 
C123, C124, 
C134, C234 - indican los conjuntos del subgrupo de tres componentes de FCC, 
C1234 - indican el conjunto del subgrupo de cuatro componentes de FCC. 
El conjunto total de falla por todas las causas de cada componente 1T, 2T, 3T, y 4T viene expresado 
por: 
1𝑇 = 𝐼1 ∪ 𝐶12 ∪ 𝐶13 ∪ 𝐶14 ∪ 𝐶123 ∪ 𝐶124 ∪ 𝐶134 ∪ 𝐶1234 (2-4) 
 2𝑇 = 𝐼2 ∪ 𝐶12 ∪ 𝐶23 ∪ 𝐶24 ∪ 𝐶123 ∪ 𝐶124 ∪ 𝐶234 ∪ 𝐶1234 (2-5) 
 3𝑇 = 𝐼3 ∪ 𝐶13 ∪ 𝐶23 ∪ 𝐶34 ∪ 𝐶123 ∪ 𝐶134 ∪ 𝐶234 ∪ 𝐶1234 (2-6) 
 4𝑇 = 𝐼4 ∪ 𝐶14 ∪ 𝐶24 ∪ 𝐶34 ∪ 𝐶124 ∪ 𝐶134 ∪ 𝐶234 ∪ 𝐶1234 (2-7) 
Capítulo 2 
19 
 
Si entre los componentes redundantes no existe diversidad (forma de eliminar las FCC 
colocando en la redundancia un tipo de componente diferente y que cumpla la misma función) es 
común que en los análisis de riesgo se asuma que la probabilidad de eventos similares que 
involucran componentes similares sea la misma (Mosleh, 1998), por tanto la probabilidad total de 
cada componente-modo de falla del ejemplo viene expresado por: 
QT=Q1+3Q2+3Q3+Q4 (2-8) 
Donde: 
Q1=P[I1]=P[I2]=P[I3]=P[I4] (2-9) 
Q2=P[C12]=P[C13]=P[C14]=P[C23]=P[C24]=P[C34] (2-10) 
Q3=P[C123]=P[C124]=P[C134]=P[C234] (2-11) 
Q4=P[C1234] (2-12) 
La probabilidad total QT depende de las características físicas y funcionales del componente- 
modo de falla (ej. régimen de trabajo en el que se encuentra el componente la mayor parte del 
tiempo) y de datos de fallas (ej. tasa de falla, tiempo medio de reparación, etc.). La probabilidad 
QT es la base en la que se cimientan las metodologías de cálculo de FCC, que en combinación con 
datos estadísticos referentes al historial de FCC que tiene el tipo de componente-modo de falla, 
realizan los cálculos de la probabilidad de cada subgrupo (Q1 Q2 Q3, Q4, etc). Las bibliotecas de 
datos necesarias para el cálculo de FCC pueden ser encontradas en la página web de la NRC (NRC, 
2015). 
Esfuerzos en los últimos años para mejorar la comprensión de los eventos de FCC han 
producido varios modelos, procedimientos, códigos de computadora y gigantescas bases de datos. 
Dentro de los modelos más utilizados se encuentran el de Múltiples Letras Griegas (MGL), el 
Factor Alfa Escalonado o No Escalonado y el Factor Beta (Wierman, 2007), y se describen a 
continuación. 
2.1.2. Factor Beta 
Este modelo asume que la tasa de falla del componente-modo de falla tiene dos contribuciones, 
una independiente y otra de FCC. Es decir, que existe una fracción constante β de la tasa de falla 
que está asociada a sucesos de FCC. Igualmente, se asume que cuando ocurre un suceso de causa 
común (CC) todos los componentes pertenecientes a ese grupo fallan (Mosleh, 1998; S.T. Wood, 
2008). 
De forma general se puede expresar matemáticamente como: 
Capítulo 2 
20 
 
𝑄𝑘
(𝑚)
= (1 − 𝛽)𝑄𝑇 si k=1 (2-13) 
𝑄𝑘
(𝑚)
= 0 si m>k>1 (2-14) 
𝑄𝑘
(𝑚)
= 𝛽𝑄𝑇 si k=m (2-15) 
Donde: 
β: constante obtenida de bibliotecas de datos, 
m: grado de la redundancia (número de componentes redundantes), 
k: indica el subgrupo de FCC, 
QT: es la probabilidad total del componente-modo de falla. 
Para el ejemplo de cuatro componentes-modos de falla redundantes en el que QT=0.01 y β=0.01 
queda: 
 𝑄1
(4)
= (1 − 𝛽)𝑄𝑇 = (1 − 0.01)0.01 = 9.9𝐸 − 3 
𝑄2
(4)
= 0 
𝑄3
(4) = 0 
𝑄2
(4)
= 𝛽𝑄𝑇 = 0.01 ∗ 0.01 = 1𝐸 − 4 
Dentro de las características principales de este modelo se encuentra el cálculo de solo un 
subgrupo de FCC y la falla independiente por componente-modo de falla. Aunque los datos 
históricos recopilados de la operación de las centrales nucleares indican que no siempre fallan en 
todos los componentes del grupo de FCC, la experiencia de usar este modelo simple revela que en 
algunos casos proporcionan resultados razonables. Sin embargo, a medida que aumenta el grado 
de la redundancia, este modelo generalmente produce resultados menos reales. Además, es 
necesario corregir el valor del Factor Beta en dependencia del grado de la redundancia (Ojeda & 
Fernandez, 1999). Cuando el interés se centra en grados de redundancia de tercer orden o 
superiores se recomienda utilizar modelos paramétricos más generales como el MGL o el Factor 
Alfa (Mosleh, 1998). 
2.1.3. Múltiples Letras Griegas 
El modelo MGL es el más general y utilizado de una serie de extensiones del modelo Factor 
Beta. En este modelo se introducen otros parámetros semejantes al Factor Beta, para explicar más 
explícitamente grados de las redundancias mayores a dos y así permitir diferentes probabilidades 
Capítulo 2 
21 
 
de fallas de subgrupos de FCC (S.T. Wood, 2008; Wierman, 2007). A continuación, se describe 
matemáticamente el modelo. 
𝑄𝑘
(𝑚)
=
1
(𝑚−1
𝑘−1
)
∏ 𝑝𝑖(1 − 𝑝𝑘+1)𝑄𝑇
𝑘
𝑖=1
 (𝑘 = 1, … . . 𝑝𝑚+1 = 0) (2-16) 
(
𝑚 − 1
𝑘 − 1
) =
(𝑚 − 1)!
(𝑘 − 1)! (𝑚 − 𝑘)!
 (2-17) 
Donde: 
pi: son constantes obtenidas de bibliotecas de datos; 
m: es el grado de la redundancia; 
k: indica el subgrupo de FCC, 
QT: es la probabilidad total del componente-modo de falla. 
Para el ejemplo de cuatro componentes-modos de falla redundantes en el que 𝑝1 = 1, 𝑝2 =
𝛽 = 0.01, 𝑝3 = 𝛾 = 0.4, 𝑝4 = 𝛿 = 0.4 queda: 
𝑄1
(4)
= (1 − 𝛽)𝑄𝑇 = (1 − 0.1) ∗ 0.01 = 9.9𝐸 − 3 
𝑄2
(4)
=
1
3
𝛽(1 − 𝛾)𝑄𝑇 =
0.01 ∗ (1 − 0.4) ∗ 0.01
3
= 2𝐸 − 5 
𝑄3
(4)
=
1
3
𝛽𝛾(1 − 𝛿)𝑄𝑇 =
0.01 ∗ 0.4 ∗ (1 − 0.4) ∗ 0.01
3
= 8𝐸 − 5 
𝑄4
(4)
= 𝛽𝛾𝛿𝑄𝑇 = 0.1 ∗ 0.4 ∗ 0.4 = 1.6𝐸 − 5 
2.1.4. Factor Alfa No Escalonado 
El escalonado se refiere a la secuencia de las pruebas, una prueba no escalonada significa que 
se prueban simultáneamente todos los componentes del grupo de la redundancia. La probabilidad 
de un evento básico de CC para un esquema no escalonado es mayor que la de un esquema 
escalonado en el que las pruebas se realizan de forma secuencial, y por tanto cambia la formulación 
matemática del cálculo para cada una (K. B. Marsh, 2017). A continuación, se describe la 
generalización del modelo Factor Alfa No Escalonado: 
𝑄𝑘
𝑚 =
𝑘
(𝑚−1
𝑘−1
)
(
𝛼𝑘
(𝑚)
𝛼𝑡
𝑄𝑇) (2-18) 
(
𝑚 − 1
𝑘 − 1
) =
(𝑚 − 1)!
(𝑘 − 1)! (𝑚 − 𝑘)!
 
Capítulo 2 
22 
 
𝛼𝑡 = ∑ 𝑘𝛼𝑘
(𝑚)
𝑚
𝑘=1
 (2-19) 
Donde: 
αk es obtenida de bibliotecas de datos, 
m: es el grado de la redundancia, 
k: indica el subgrupo de FCC, 
QT: es la probabilidad total del componente-modo de falla. 
Para el ejemplo de cuatro componentes-modos de falla redundantes, en el que las alfas no 
escalonadas equivalentes a los datos del modelo MGL, descritos en la sección anterior, son 𝛼1 =
 0.9958, 𝛼2 = 0.003, 𝛼3 = 0.0008, 𝛼4 = 0.0004, 𝛼𝑇 = 1.0058, queda: 
𝑄1
(4)
=
𝛼1
(4)
𝛼𝑡
𝑄𝑇 =
0.9958
1.0058
0.01 = 9.9𝐸 − 3 
𝑄2
(4)
=
2𝛼2
(4)
3𝛼𝑡
𝑄𝑇 =
2 ∗ 0.003
3 ∗ 1.0058
0.01 = 1.99𝐸 − 5 
𝑄3
(4)
=
𝛼3
(4)
𝛼𝑡
𝑄𝑇 =
0.0008
1.0058
0.01 = 7.95𝐸 − 6 
𝑄4
(4)
= 4
𝛼4
(4)
𝛼𝑡
𝑄𝑇 =
4 ∗ 0.0004
1.0058
0.01 = 1.59𝐸 − 5 
2.1.5. Factor Alfa Escalonado 
A continuación, se describe la generalización del modelo Factor Alfa Escalonado (C.L. Smith, 
2011; Wierman, 2007). 
𝑄𝑘
𝑚 =
1
(𝑚−1
𝑘−1
)
(𝛼𝑘
(𝑚)
𝑄𝑇) (2-20) 
Donde: 
αk es obtenida de bibliotecas de datos y tiene valores diferentes que en el modelo de Factor Alfa 
No Escalonado, 
m: es el grado dela redundancia, 
k: indica el subgrupo de FCC, 
QT: es la probabilidad total del componente-modo de falla. 
Capítulo 2 
23 
 
Para el ejemplo de cuatro componentes-modos de falla redundantes, en el que las alfas 
escalonadas equivalentes a los datos del modelo MGL descritos en la sección 2.1.3, son 𝛼1 =
 0.99, 𝛼2 = 0.006, 𝛼3 = 0.0024, 𝛼4 = 0.0016, queda: 
𝑄1
(4)
= 𝛼1
(4)
𝑄𝑇 = 0.99 ∗ 0.01 = 9.9𝐸 − 3 
𝑄2
(4)
=
1
3
𝛼2
(4)
𝑄𝑇 =
0.006 ∗ 0.01
3
= 2𝐸 − 5 
𝑄2
(4)
=
1
3
𝛼3
(4)
𝑄𝑇 =
0.0024 ∗ 0.01
3
= 8𝐸 − 6 
𝑄4
(4)
= 𝛼4
(4)
𝑄𝑇 = 0.0016 ∗ 0.01 = 1.6𝐸 − 5 
Como puede observarse para datos equivalentes las metodologías MGL, Factor Alfa 
Escalonados y No Escalonado brindan resultados semejantes, mientras que el método Factor Beta 
se aleja un poco del resto de los modelos, lo cual se debe a que el ejemplo propuesto consta de una 
redundancia de cuarto grado y el modelo Factor Beta está diseñado fundamentalmente para las 
FCC de solo dos componentes redundantes. 
2.2. Análisis de configuraciones con cero mantenimientos 
El riesgo base, o cero mantenimientos, ocurre cuando en la planta no se consideran 
componentes fuera de servicio, lo cual implica que sea el mínimo riesgo calculado para el reactor. 
Para su desarrollo solo es necesario correr el APS de tal manera que no se tenga en cuenta eventos 
básicos relacionados con la indisponibilidad por mantenimientos o pruebas. Estos eventos básicos 
representan la probabilidad de que el componente se encuentre fuera de servicio por 
mantenimientos o pruebas en el momento que tiene lugar una demanda. Si se corre teniendo en 
cuenta estos eventos básicos el resultado es una CDF promedio, el cual es la medida que se calcula 
en el APS tradicional y, por lo tanto, es una medida errónea para caracterizar el riesgo base. 
Existen varias formas de llevar el APS al riesgo base, la primera de ellas es cambiar la 
probabilidad de todos los eventos básicos relacionados con indisponibilidad por mantenimientos 
y pruebas a cero. La segunda vía es muy parecida a la anterior, pero en lugar de cambiar la 
probabilidad a cero se eliminan los eventos básicos como tal. Estas dos vías son invasivas en el 
modelado pues regresar al estado original en el que se calcula la CDF promedio es complicado, 
aunque se pueden separar los datos de CRM y el APS tradicional. 
La tercera forma es acoplar un evento casa falso (evento básico con probabilidad cero) con cada 
evento básico que se desea eliminar mediante una compuerta AND. El resultado de la compuerta 
Capítulo 2 
24 
 
AND es cero, eliminando así la contribución del evento básico. El evento casa debe ser el mismo 
para cada componente, se sugiere que sea copiado y pegado dentro del software. En este caso para 
llevar el APS al estado original solo es necesario cambiar el evento casa a verdadero (evento básico 
con probabilidad uno), como resultado para cada compuerta AND se mantendría la probabilidad 
de indisponibilidad por mantenimientos y pruebas, siendo mucho más fácil revertir el modelado a 
el cálculo de la CDF promedio. También en lugar de utilizarse un evento casa falso puede ser 
utilizado una transferencia externa a un árbol de fallas con probabilidad cero, el resultado sería 
equivalente. 
Finalmente, independiente de la forma en que se elimine la contribución de pruebas y 
mantenimientos, es necesario realizar el cálculo de CDF. Los pasos para realizar el cálculo en 
SAPHIRE se encuentran detalladamente en el apéndice A. 
Llevar el APS al estado de cero mantenimientos constituye el cimiento para el cálculo de 
cualquier otra configuración, pues en ninguna se debe considerar los eventos básicos relacionados 
con mantenimientos y pruebas. Igualmente, es importante señalar que no se debe truncar el riesgo 
en los cálculo de CRM, pues se podrían estar eliminando las diferencias entre el estado base y una 
determinada configuración (P. K. Samanta, 1994). 
2.3. Análisis de configuraciones para sistemas en reserva 
Los sistemas en reserva se caracterizan por estar inactivos, esperando a que se necesiten su 
utilización. Los equipos en reserva presentan un estado de indisponibilidad entre 0 y 1 pues no se 
sabe si están indisponibles a menos que se les realice una prueba. La mayoría de los sistemas 
relacionados con la seguridad constituyen sistemas en reserva. 
2.3.1. Análisis de configuraciones debido a pruebas y mantenimientos preventivos 
en sistemas en reserva 
En la mayoría de los casos el mantenimiento preventivo y las pruebas sobre trenes de SS 
seguridad generan indisponibilidad. En el mantenimiento preventivo se debe a que suelen 
realizarse diferentes actividades sobre los componentes, dentro de las que se destacan la limpieza, 
lubricación y en algunos casos cambio de piezas por encontrarse en mal estado. Estas acciones 
implican que tenga que ser desarticulado el equipo, dejándolo indisponible. En pruebas, lo que 
suele dañar la fiabilidad del sistema es el cambio en el circuito, de tal manera que realizando 
Capítulo 2 
25 
 
recirculaciones se logre comprobar que funcionan los componentes e impidiendo que el fluido 
pueda llegar a donde se requiere en caso de demanda. 
El impacto de estas configuraciones en el riesgo de la planta se caracteriza por la no utilización 
de la probabilidad condicionada entre los trenes disponibles y el tren fuera de servicio (ver sección 
2.1). Esto se debe a que el tren se encuentra indisponible por mantenimientos preventivos o pruebas 
y no por fallas (en casos de fallas el mantenimiento es correctivo). El modelo de APS se lleva a un 
estado en el que el cálculo se realice como si el tren fuera de servicio no existiera, es decir, que las 
fallas independientes de sus componentes no pueden ocurrir, pero las FCC de cada grupo en otros 
trenes del sistema aún pueden ocurrir. Lo cual implica que la probabilidad de falla no cambia para 
el resto de los trenes que se encuentran disponibles, es decir, que la probabilidad de falla de estos 
trenes es independiente de la salida de servicio del tren en mantenimiento o prueba. 
Un análisis sencillo se realiza a partir del ejemplo de cuatro componentes redundantes (ver 
sección 2.1.1). Incluso cuando la metodología se enfoca principalmente en la indisponibilidad de 
trenes (en algunos casos solo es posible realizar mantenimientos en algunos componentes del tren, 
debido a que el sistema cumple funciones en la operación normal a potencia, ver sección 2.4), el 
ejemplo de cuatro componentes puede ser válido, debido a que cuatro componentes redundantes 
son semejantes a un sistema de cuatro trenes redundantes en los que cada tren solo dispone de un 
componente. 
La clave para entender el tratamiento de configuraciones debido a mantenimientos y pruebas es 
trabajar con los CMC. Para el ejemplo de cuatro componentes redundantes los posibles 15 CMC 
son: 
[I1, I2, I3, I4][I1, I2, C34][I1, I3, C24][I1, I4, C23][I2, I3, C14][I2, I4, C13] 
[I3, I4, C12][C12, C34][C13, C24][C14, C23][I1, C234][I2, C134][I3, C124] 
[I4, C123][C1234] 
Se modifican los conjuntos de corte debido a que la falla independiente I1 no puede ocurrir por 
encontrarse el componente 1 en mantenimiento o prueba: 
[I2, I3, I4][I2, C34][I3, C24][I4, C23][I2, I3, C14][I2, I4, C13] 
[I3, I4, C12][C12, C34][C13, C24][C14, C23][C234][I2, C134][I3, C124] 
[I4, C123][C1234] 
Desarrollando la probabilidad del sistema para la configuración según las ecuaciones (2-9) a 
(2-12) queda: 
Capítulo 2 
26 
 
𝑃[𝑆|1𝑀] = 𝑄1
3 + 3𝑄1𝑄2 + 3𝑄1
2𝑄2 + 3𝑄2
2+𝑄3 + 3𝑄1𝑄3 + 𝑄4 
Donde: 
𝑃[𝑆|1𝑀]: es la probabilidad del sistema dado que el componente 1 se encuentra en 
mantenimiento preventivo. 
Para el ejemplo desarrollado por el Factor Alfa Escalado en el que Q1=9.9E-3, Q2=2E-5, 
Q3=8E-6, Q4=1.6E-5, (ver sección 2.1.5) queda: 
𝑃[𝑆|1𝑀] = 2.58𝐸 − 5 
La forma de realizar el cálculo en SAPHIRE parte del tipo de compuerta que representa alevento tope del tren indisponible, si es una compuerta OR, se modela colocando en esta un evento 
casa verdadero, como resultado la probabilidad de falla del tren será uno, es decir, que se encuentra 
indisponible y también permanecen las FCC en el resto de los trenes disponibles. En la Fig. 1 
puede observarse lo anteriormente expuesto. 
 
Figura 1. Método para evento tope de compuerta OR 
Si por el contrario, el evento tope es una compuerta AND es necesario cambiar esta compuerta 
a OR, manteniendo el mismo nombre de la compuerta AND original. Además, para mantener la 
lógica del sub-árbol de fallas se debe agregar una nueva compuerta AND dentro de la OR, en la 
que se coloca todo el modelo del subsistema. Al igual que en el caso anterior es necesario agregar 
un evento casa verdadero dentro de la compuerta OR para lograr que la probabilidad del subsistema 
sea uno. Si se quiere revertir el proceso solo es necesario cambiar el evento casa de verdadero a 
falso con probabilidad cero. En la Fig. 2 puede observarse lo anteriormente expuesto. 
Capítulo 2 
27 
 
 
Figura 2. Método para evento tope de compuerta AND 
Si las FCC se modelan a través de las funciones Fallas de Causa Común (R) o Eventos 
Compuesto (C) es necesario expresar por cada combinación de FCC un evento básico, pues si se 
utilizan estas funciones todas las combinaciones se encuentran dentro de un mismo evento básico, 
ver apéndice A y el cálculo de la CDF de la configuración es errónea, ello se demuestra a través 
de prueba y error. Se pueden sustituir estas funciones a varios eventos básicos, extrayendo de la 
función de Causa Común (R) las probabilidades de todas las combinaciones de FCC, ver Fig. 3, y 
representar las probabilidades de las combinaciones en eventos básicos con probabilidad fija. 
Si se realiza por la función Eventos Compuestos (C) se puede trasladar el cálculo a la función 
de Causa Común (R) y realizar lo anteriormente expuesto. Esto se logra sustituyendo el evento 
básico de función Eventos Compuestos (C) a un nuevo evento básico de función Causa Común 
(R), en el que se agregan los mismos datos estadísticos y de fallas presentes en el Eventos 
Compuestos (C). Si el cálculo de FCC en Eventos Compuestos (C) se realiza por el modelo de 
Factor Beta no es posible realizar lo anteriormente expuesto pues en la a la función de Causa 
Común (R) no existe el modelo de Factor Beta. En este caso por la sencillez del modelo del Factor 
Beta se puede realizar el cálculo separado del software e introducirlo en eventos básicos con 
probabilidad fija. Por último, es necesario realizar el cálculo de la CDF para la configuración, para 
ello ver anexo A. 
Capítulo 2 
28 
 
 
Figura 3. Cálculo de las combinaciones de FCC por la función de Causa Común (R) 
2.3.2. Análisis de configuraciones debido a fallas en sistemas en reserva 
En las centrales nucleares se minimizan las fallas de los componentes a través del 
mantenimiento preventivo o del control de las causas de fallas como la corrosión y el desgaste. Sin 
embargo, aun cuando la calidad de los equipos es de excelencia, estos fallan, propio del 
envejecimiento y de la inevitable aleatoriedad de las fallas. De aquí la importancia del análisis de 
configuraciones ocurridas por la presencia de fallas. 
Al existir dependencias entre componentes redundantes, la ocurrencia de la falla de un 
componente afecta la probabilidad de falla de los restantes disponibles del grupo (ver sección 2.1). 
Por lo tanto, la forma del cálculo varía con respecto a trenes indisponibles por mantenimientos o 
pruebas, dado que estos estados no se consideran fallados. El cálculo se basa en el trabajo de 
(Rasmuson & Kelly, 2008), y estadísticamente de la definición de probabilidad condicionada. 
2.3.2.1 Fallas potencialmente compartidas por el grupo de FCC 
La probabilidad de falla condicionada del grupo de FCC se estima dado que existe un 
componente fallado y esta falla tiene el potencial de ser compartido con el resto de los componentes 
de la redundancia. 
Si se realiza un análisis de la probabilidad de falla de un sistema, esta es igual a la suma de las 
probabilidades de todos sus CMC y la probabilidad de cada CMC caracteriza la falla simultánea 
Capítulo 2 
29 
 
de todos los equipos relacionados con los eventos básicos que conforman el CMC. En el caso de 
que un componente de los que conforman el CMC fallara, la probabilidad del CMC de los 
elementos que quedan disponibles se encuentra condicionada por la probabilidad del equipo 
fallado. 
En consecuencia, de la ecuación (2-3), la probabilidad condicionada del CMC de los 
componentes que quedan disponibles es igual a la división entre la probabilidad del CMC original 
y la probabilidad total del modo de falla ocurrido, por ejemplo: 
𝑃([ 𝐼2, 𝐶34]|1𝑇) =
𝑃([𝐼1, 𝐼2, 𝐶34])
𝑃(1𝑇)
 
Donde: 
𝑃([ 𝐼2, 𝐶34]|1𝑇): es la probabilidad condicionada de falla del CMC de los componentes-modos 
de fallas 2, 3 y 4, dado que el componente 1 se encuentra fallado, 
𝑃([𝐼1, 𝐼2, 𝐶34 ]): es la probabilidad del CMC original, 
𝑃(1𝑇): es la probabilidad total del componente-modo de falla 1. 
Por tanto, la probabilidad del sistema es la suma de las probabilidades que se obtienen al dividir 
la probabilidad de cada conjunto de corte en el que participa el componente fallado entre la 
probabilidad total del modo de falla, más las probabilidades de los CMC en el que no participa el 
componente fallado. 
Además, es necesario modificar los CMC del sistema (ej. si se tiene una bomba con los modos 
de fallas al arranque y a operar, en caso de que falle al arranque, en los conjuntos de corte pierde 
sentido el evento de falla a operar). Esto se logra eliminando todos los eventos básicos del 
componente indisponible, relacionados con los modos de fallas por los que no se originó la falla, 
pero manteniendo todas las FCC en el resto de los componentes disponibles, pues estas forman 
parte de su falla total, ver Fig. 4. 
Siempre que se requiera eliminar la contribución de FCC de un componente es necesario, de 
ser utilizadas, separar las funciones de Causa Común (R) y Eventos Compuestos (C) en un evento 
básico por cada combinación de FCC, pues de lo contrario no existirían explícitamente los eventos 
a eliminar, ver anexo A. 
Capítulo 2 
30 
 
 
Figura 4. Eventos a eliminar (con cruz de color rojo), en caso de que la bomba A falle al arranque, 
para fallas potencialmente compartidas por el grupo de FCC 
Para realizar el análisis en el ejemplo de la sección 2.1.1 de un sistema con cuatro componentes 
redundantes, y el componente 1 presenta una falla potencialmente compartida con el resto de los 
componentes del grupo, es necesario desarrollar los CMC. Si el sistema presenta todos los 
componentes disponibles, los CMC son: 
[I1, I2, I3, I4][I1, I2, C34][I1, I3, C24][I1, I4, C23][I2, I3, C14][I2, I4, C13] 
[I3, I4, C12][C12, C34][C13, C24][C14, C23][I1, C234][I2, C134][I3, C124] 
[I4, C123][C1234] 
En este caso, no es necesario modificar los CMC debido a que el componente indisponible solo 
presenta un modo de falla. Además, al estar presente el componente fuera de servicio en todos los 
CMC, es necesario dividir la probabilidad de todos los CMC por la probabilidad total del modo de 
falla ocurrido o simplemente dividir la probabilidad del sistema por la del modo de falla ocurrido 
(es una suma de fracciones con igual denominador que es igual a la suma de los numeradores entre 
el denominador). 
Desarrollando la probabilidad del sistema según las ecuaciones (2-8) a (2-12) queda: 
𝑃[𝑆|1𝑇] =
𝑄1
4 + 6𝑄1
2𝑄2 + 3𝑄2
2 + 4𝑄1𝑄3 + 𝑄4
𝑄𝑇
 
Capítulo 2 
31 
 
Donde: 
𝑃[𝑆|1𝑇]: es la probabilidad condicionada del sistema dado que el componente 1 presenta una 
falla potencialmente compartida por el resto de los componentes del grupo de FCC, 
𝑄𝑇: es la probabilidad de falla total del componente-modo de falla 1, viene expresado por la 
ecuación