Control de configuraciones peligrosas en instalaciones con riesgo asociado

Hazardous configurations control in risk related facilities

Antonio Torres - Valle
Dpto. Ingeniería Nuclear, Instituto Superior de Tecnologías y Ciencias Aplicadas. INSTEC
Ministerio de Ciencia, Tecnología y Medioambiente (CITMA)
Ave Salvador Allende y Luaces, Quinta de los Molinos, Plaza, Ciudad de la Habana, Cuba.
Teléfono: 878-9862
Email: atorres@instec.cu

El control de configuraciones peligrosas en instalaciones con riesgo asociado es una aplicación de los Análisis Probabilistas de Seguridad (APS) previos de las mismas. Una opción de mayor alcance es el uso de monitores de riesgo los que permiten la detección en tiempo real de tales configuraciones. Dada la complejidad de los APS y de los monitores de riesgo, esta tarea requiere de personal experto. El documento presenta un método cualitativo de control de configuraciones peligrosas basado en matrices de dependencias. El algoritmo, informatizado en el código CONFIGURACION, puede ser aplicado sin necesidad de APS previos ni uso de monitores de riesgo. La sencillez del método justifica su extensión a instalaciones donde tales herramientas no se han desarrollado, permitiendo así la detección de las configuraciones peligrosas durante su explotación y elevando la seguridad de las plantas. Un sistema similar al descrito se utiliza como ayuda en la operación de la central nuclear de Embalse. El artículo muestra el uso del método utilizando como base un sistema de seguridad simplificado.

Palabras claves: control de configuración, Análisis Probabilista de Seguridad (APS), matriz de dependencias, aplicaciones de APS, monitor de riesgo.

The hazardous configurations control in risk related facilities is an application of the previous Probabilistic Safety Analysis (PSA). A more complete option is the risk monitoring for the on-line detection of these configurations. The expert personnel are required for this task take into account the complexity of the PSA and risk monitor. The paper presents a method of configuration control, based on dependence matrixes. The algorithm is included in a computer code called CONFIGURACION, to determine these situations in a qualitative way, without previous PSA results or using a Risk Monitor. The simplicity of the method warrants its application to facilities where these tools have not been developed, allowing that way, the detection of hazardous configurations during the exploitation and increasing the safety of the plants. One similar configuration control system helps the operation of nuclear power plant Embalse. The paper presents the use of algorithm beginning from the analysis of the simplified safety system.

Key words: configuration control, Probabilistic Safety Analysis (PSA), dependences matrix, PSA applications, risk monitor.

INTRODUCCIÓN

Algunos de los mayores accidentes ocurridos en las industrias con riesgo asociado, se han debido al inadecuado control del estado durante explotación (operación, mantenimiento, fallo, etc.) de sus sistemas de seguridad y otros equipos asociados a las instalaciones.

Ejemplos de ello son, el accidente ocurrido en la plataforma petrolera de Piper Alfa donde se desactivaron los sistemas de seguridad contra incendio para garantizar la seguridad de los buzos durante los mantenimientos bajo la plataforma, lo que provocó que un incendio producido durante mantenimiento por escape de gas en una brida ciega mal ajustada, no pudiera ser extinguido y fuera destruida la instalación. De manera similar, en Chernobil para proseguir una prueba eléctrica no recomendada, se desconectaron los sistemas de parada del reactor, ocurriendo por ello una secuencia de sucesos que no pudo ser controlada y trajo consigo el accidente. También en los accidentes de la Isla de las Tres Millas y en la planta de pesticidas de Bophal, sistemas de seguridad desalineados, o desconectados, facilitaron las secuencias que culminaron en las catástrofes. Como se observa, en cada uno de estos casos ocurrieron combinaciones de equipos fuera de servicio, que iniciaron y/o facilitaron las secuencias accidentales [1, 2].

El control de combinación de indisponibilidades de equipos durante explotación es una tarea preventiva recomendada por expertos en la explotación segura de plantas con riesgo asociado a su operación, fundamentalmente centrales nucleares [3, 4, 5, 6], aunque tal experiencia se ha extendido a procesos de naturaleza no nuclear. Una configuración peligrosa puede aparecer en su caso más grave cuando afecta a todas las redundancias de un sistema de seguridad, generalmente a la espera, por lo que puede pasar inadvertida. En el caso de la configuración crítica, la combinación de indisponibilidades de equipos corresponde con uno, o varios, de los conjuntos mínimos de corte [7] que determinan el fallo del sistema en cuestión. Otro aspecto que vale la pena controlar es la aparición de configuraciones de salida de servicios de equipos muy próximas a una configuración crítica, ya que un simple fallo u otra causa de indisponibilidad puede convertirlas al estado crítico. Para evitar tales riesgos, una de las prácticas más comunes es la limitación de los períodos de explotación de las instalaciones en función de los tiempos fuera de servicio de las redundancias de sus sistemas de seguridad [3, 4, 5, 6].

Como las causas de las indisponibilidades son varias (fallos propios, indisponibilidades por pruebas o mantenimientos y rotación de equipos) y la cantidad de equipos a controlar en una instalación compleja es elevada, es posible que algunas combinaciones peligrosas escapen a estos mecanismos de control. Por ello, en muchos casos es necesario contar con personal altamente calificado que contraste los resultados obtenidos en un Análisis Probabilista de Seguridad (APS) [8, 9, 10] previo con las combinaciones reales de equipos fuera de servicio que se van produciendo. Una forma más adecuada de realizar este control es contar con un monitor de riesgo [8] que puede reconocer en tiempo real millones de configuraciones. Como se observa, la solución de tales situaciones resulta compleja pues necesita de, un personal calificado competente en herramientas como el APS y conocedor de sus resultados, o de un monitor de riesgo, por demás costoso, que requiere igualmente de personal especializado.

Partiendo de los aspectos previamente descritos, constituye objeto de investigación de este trabajo las configuraciones peligrosas de equipos fuera de servicio que se producen durante la operación de instalaciones con riesgo asociado a su explotación. El problema científico que se deduce de los aspectos ya explicados es la carencia de un método más sencillo y comprensible para los operadores, así como económico en su concepción, que permita dar respuesta al control de las configuraciones peligrosas garantizando a la vez la rigurosidad de dicha tarea. La hipótesis que puede dar respuesta a este problema es que el uso de un algoritmo informatizado basado en las matrices de dependencia de los sistemas de la instalación resuelve satisfactoriamente la vigilancia con enfoque cualitativo de las configuraciones peligrosas. Es por ello objetivo de este trabajo, diseñar e informatizar un algoritmo de vigilancia cualitativa de configuraciones peligrosas partiendo de matrices de dependencias de los sistemas de la instalación.

MATERIALES Y MÉTODOS

A modo ilustrativo, en el documento se postula el análisis de un Sistema de Seguridad simplificado (identificado con las siglas SS), específicamente un sistema de enfriamiento de emergencia. El objetivo del sistema es alimentar un punto A del proceso ante determinadas condiciones de degradación del enfriamiento normal. El esquema tomado como ejemplo aparece en la figura 1. El mismo está compuesto por dos líneas redundantes a la espera (cada una con una bomba y su válvula neumática), las que se alimentan de un tanque de abastecimiento común.

A su vez, cada bomba (PM) requiere para su funcionamiento de la disponibilidad de interfaces de enfriamiento de aceite, control y alimentación eléctrica. Cada subsistema de aceite cuenta de una bomba (BA) y su intercambiador (IT). El sistema de alimentación de cada bomba cuenta con una traza de equipos eléctricos en los que se incluyen barras (BR), transformador (T) e interruptores (I). Por otra parte, el sistema de control de accionamiento del interruptor de la bomba cuenta con una bobina electromagnética (ER) que recibe alimentación desde una batería (BAT) y se energiza ante señales de un panel de alarma automático (PA) o de una botonera (BT) accionada por el operador.

Las válvulas neumáticas (VA) están diseñadas en base al principio de fallo seguro por lo que los fallos de su solenoide de disparo (VS) y/o de su tanque de aire (TA) no implican fallo para el cumplimiento de la función de seguridad del sistema. Aunque no aparecen explícitamente en este fragmento de esquema, participan en el funcionamiento del sistema otros equipos como compresores (SX-CR), válvulas motorizadas (SY-VM) y neumáticas (SZ-VA).

Figura 1. Sistema de Seguridad (SS)

En este esquema se pueden localizar fácilmente varios casos de configuraciones críticas (CC) que originan la indisponibilidad al sistema. Tal es el caso de los fallos cruzados de las bombas (SS-PM) y las válvulas neumáticas (SS-VA) principales, lo que en ambos casos deja fuera de servicio ambas redundancias del sistema. Un poco más complejo de apreciar resultan las CC cuyo origen está en las interfaces de los equipos, por ejemplo, el fallo de un intercambiador de aceite de la bomba SS-PM1 (SS-IT1-1) y el transformador de la segunda (SS-T1-2), o también las fallas en el interruptor de la segunda bomba (SS-I2-2) y del sistema de control de la primera (SS-ER1-1).

Dado que las indisponibilidades de equipos pueden estar dadas por muchos factores como: fallos de equipos, indisponibilidades por pruebas o mantenimientos, rotaciones de equipos y errores humanos, y pueden ser de naturaleza aleatoria o planificada en el tiempo, su control se hace más difícil.

Las combinaciones mínimas de equipos fuera de servicio que indisponen el sistema no son más que los conjuntos mínimos de corte (CMC) que caracterizan al fallo del mismo. Como se observa en el ejemplo, la identificación de los CMC se va haciendo más compleja cuando la referencia del elemento frontal es más lejana. Esta tarea resulta prácticamente imposible en instalaciones complejas.

En condiciones habituales para industrias complejas, el control de configuraciones requiere de un Análisis Probabilista de Seguridad (APS) [9, 10] previo por lo que, en la mayoría de los casos, se necesita de la disponibilidad de expertos capaces de interpretar y dar un seguimiento off-line a los resultados del APS. De contar con herramientas de avanzada como los monitores de riesgo, es posible la vigilancia en tiempo real del sistema. De esta forma, lo más efectivo es disponer de un APS vivo, que garantice la actualización del modelo de APS de la instalación, y de un monitor de riesgo [8], basado en el análisis precedente [11, 12].

Por otra parte, ya sea como recurso adicional de análisis o como requerimiento de los análisis de riesgo, es común el uso de las matrices de dependencias de sistemas. La tabla 1 muestra la matriz de dependencias del sistema de seguridad de la figura 1, donde se aprecian las interfaces entre los equipos integrantes del esquema. La estructura tabular de las matrices es simple y consta de una columna para identificar los equipos frontales del sistema objeto de análisis y otras para colocar las diferentes interfaces, según correspondan a diferentes tipos de soporte (eléctrico, enfriamiento, control, etc.) u otros tipos de enlaces.

Tabla 1. Matriz de dependencias del sistema SS

El llenado con calidad de estos tipos de tablas es un paso esencial en el seguimiento de las interfaces. Para el completamiento de las tablas se utilizan, de manera general, los códigos alfanuméricos de identificación de equipos y sistemas, así como otros códigos familiares a los operadores.

El seguimiento de los códigos alfanuméricos de identificación de los equipos mediante sistemas computarizados es un método común utilizado en las tareas de gestión de la explotación (operación, vías libres, mantenimiento, garantía de calidad, almacenes, etc.) en las instalaciones [7].

Considerando las complejidades asociadas al desarrollo de los análisis de riesgo (elevado volumen y exigencias de calidad de las tareas, tiempos prolongados para ejecución del estudio, dependencias de herramientas informáticas de alto nivel y necesidad de personal especializado, entre otras [8, 9] y, partiendo de la información más simple disponible en las matrices de dependencias, se ha implementado un código de computación bautizado como "CONFIGURACION", que realiza el seguimiento de configuraciones de equipos fuera de servicio con un enfoque cualitativo, práctico y de fácil acceso a los operadores, sin necesidad de realizar un APS previo, ni disponer de herramientas complejas como un monitor de riesgo.

" Este método de control exige el llenado de dos tipos de tablas:

" Sistemas - Criterios (ver Figura 2)

" Matrices de dependencias de sistemas (ver Figura 3)

En la Figura 2 se muestra una imagen de la tabla de sistemas, obtenida desde el código CONFIGURACION, donde se diferencian las columnas de Sistema, Código (preferiblemente simple requerido para su informatización), y Criterio, que es una combinación de caracteres utilizada para describir las razones que caracterizan al fallo del sistema. Como se aprecia en la figura 2, el ejemplo ha incluido varios sistemas interconectados para mostrar las potencialidades desarrolladas con el código de control de configuración. La fila correspondiente al sistema SS tiene como Criterio que será necesaria la indisponibilidad de las 2 líneas (LIN) del sistema para que se produzca el fallo del mismo.

Figura 2. Imagen de la tabla Sistemas - Criterios informatizada en el código CONFIGURACION

La matriz de dependencias tiene el formato desarrollado en la figura 3 que es, de manera similar a la figura 2, una imagen de la tabla de dependencias obtenida desde el código CONFIGURACION. En cada fila se representan los datos de un componente, el que aparecerá en la columna Equipo, mientras que las restantes columnas a la derecha corresponden a las interfaces necesarias para el funcionamiento de dicho Equipo. Obsérvese que se han identificado necesidades de Enfriamiento, Alimentación Eléctrica (Clase IV, III, II y I), Aire de Instrumentos, Instrumentación y control (I&C) y otras. En la matriz de dependencias, como ayuda al usuario, se destacan las celdas en las que se introducen redundancias o fallos seguros. Adicionalmente, se han identificado tres columnas previas:

- Sistema: se utiliza para identificar el Sistema al que pertenece el componente (ver columna Código de la figura 2).

- Redundancia: es el criterio de éxito de la redundancia (se introduce si en la fila aparecen interfaces redundantes y su valor es diferente de 1).

- IDE-Criterio: es el identificador (IDE) del Criterio de fallo que corresponde al sistema para el componente en cuestión
(ver Criterio establecido en la figura 2).

El método propuesto se basa en el algoritmo mostrado en la figura 4. El algoritmo se inicia con el LLENADO DE LAS MATRICES y una revisión cruzada independiente (COMPROBACION CRUZADA) de los datos. Ello garantiza la calidad de la información disponible en las tablas con la que se tomarán decisiones respecto a la seguridad.

Una vez establecida la combinación de códigos de equipos indisponibles a chequear (ESTABLECIMIENTO DE CODIGO DE EQUIPO O COMBINACION DE CODIGOS A ESTUDIAR) se determina si se realizará el RASTREO SIMPLE o RASTREO COMPLEJO de dichos códigos en la matriz.

Figura 3. Imagen de fragmento de la Matriz de Dependencias de Sistemas

Un RASTREO SIMPLE culmina con la determinación (LOCALIZACION DE CODIGOS) a nivel de la fila, o filas (donde está ubicado el componente) de la influencia de su indisponibilidad sobre el nivel correspondiente del sistema, por ejemplo, una redundancia. La importancia de la indisponibilidad queda codificada con un código de colores que se distingue en la columna Sistema de la figura 3, apareciendo rojo (CELDA SISTEMA ROJO), si indispone el componente, amarillo (CELDA SISTEMA AMARILLO), si degrada la redundancia (Rn) o verde (CELDA SISTEMA VERDE), si lo conduce a fallo seguro (FS). Dada la posibilidad de existencia de componentes en estado disparado, durante el arrastre pueden aparecer también fallos seguros de redundancias o viceversa (CELDA SISTEMA AQUA).

" Por otra parte, el RASTREO COMPLEJO realiza un arrastre de la situación inicialmente descrita en el rastreo simple hacia el resto de los componentes que, como consecuencia de la situación de indisponibilidad inicial, cambian su estado por dependencias funcionales o directas, extrapolándose encadenadamente (con NUEVO CODIGO) a los restantes equipos relacionados en la matriz.

" El establecimiento de la prioridad de estado (véase PRIORIDAD DE ESTADO…) tiene en cuenta la influencia del estado (fallado o degradado) del componente antecesor en la cadena y el influjo del mismo en el nuevo nivel objeto de análisis (influencia directa, a través de redundancia o fallo seguro). También se considera la influencia sobre el fallo de otros componentes ubicados al mismo nivel, priorizándose el estado fallado sobre el degradado y este último sobre el disponible. Esta potencialidad es la que garantiza un análisis de la influencia de las dependencias afectadas. Esta influencia será directa, si parte de la combinación inicial de indisponibilidades, o indirecta, si se produce por el arrastre de las dependencias, sobre todos los sistemas de la planta incluidos en la matriz. Este lazo aparece encerrado en un cuadro de líneas discontinuas en la figura 4 y se ha identificado como MODULO DE ARRASTRE DE DEPENDENCIAS.

" Finalmente, si tras el RASTREO COMPLEJO se selecciona la opción sistema (ver SISTEMA), una vez concluido el paso anterior (APLICACIÓN DE MODULO DE ARRASTRE), se realiza un chequeo en toda la matriz de los criterios de fallos postulados para los sistemas (CUMPLIMIENTO DE CRITERIOS DE FALLO), de acuerdo a la figura 2. Si se cumple algunos de los criterios de fallo para los sistemas incluidos, estos son clasificados de acuerdo a su estado en un rango que va desde disponible hasta fallado, pasando por varias categorías generales (SISTEMA FALLADO, DEGRADADO, DISPONIBLE, ALERTA DE ESPUREO O DISPARADO). El estado degradado puede tener varios niveles de categorización (POCO DEGRADADO, DEGRADADO, MUY DEGRADADO) lo que corresponde a la magnitud de afectación de las redundancias.

Figura 4. Algoritmo de control de configuraciones peligrosas

RESULTADOS Y DISCUSIÓN

Para ejemplificar el uso del código de control de configuraciones se ha postulado una situación compleja como la indisponibilidad simultánea de varios equipos (SS-ER3-1, SS-T1-1, SS-VA2, SS-VS1-1), pertenecientes a los sistemas incluidos en el ejemplo. Esta situación se ve en la figura 5. La relación de indisponibilidades de equipos objeto de análisis se muestra en la Lista de Componentes indisponibles que aparece al pie de la figura 5. Como se aprecia en la figura, con un sencillo sistema de codificación de colores (en versión impresa en blanco y negro véase la correspondencia entre formato de letra en la columna Sistema y el algoritmo en figura 4 el operador recibe una información cualitativa del estado de los diferentes sistemas de planta, al ocurrir la indisponibilidad inicial de alguna configuración de equipos. De esta forma, el sistema de control propuesto es capaz de detectar y encadenar a través de las diferentes interfaces los enlaces o dependencias entre equipos de sistemas frontales y soportes, resultando una aplicación de gran ayuda en la operación segura de la instalación.

Al pie de la figura 5 se muestra, como información muy útil al operador, el estado final de los sistemas como consecuencia de la indisponibilidad simultánea de equipos. En este ejemplo se pueden apreciar casos de sistemas fallados (ver sistema SS), así como configuraciones degradadas (ver sistemas SX y SZ). El nivel de degradación se ha establecido en base a la cantidad y magnitud de la afectación de las redundancias.

A modo de comprobación, los resultados del rastreo anterior han sido comparados con los conjuntos mínimos de corte obtenidos durante el Análisis de Confiabilidad, utilizando el código MOSEG Win Ver. 1.0 [14], para el sistema SS tomado como ejemplo. En la tabla 2 se muestran sólo las combinaciones detectadas por el código CONFIGURACION para la corrida de referencia, mientras que, en aras de simplificar la demostración sólo se exponen unos pocos conjuntos mínimos resultantes de la aplicación de MOSEG al sistema SS (se subraya en la columna 1 el que sirve de base a la comparación). La coincidencia entre conjuntos mínimos y combinaciones en las columnas de la tabla 2 permite comprender la validez del método.

Las potencialidades del sistema de control expuesto se confirman con su aplicación a casos reales de alta complejidad como el monitoreo de 21 sistemas tecnológicos (integrados por más de 1600 equipos) de la central nuclear de Embalse (CNE), donde se utiliza como apoyo a la operación segura de la planta.

Para dar una idea de la magnitud del análisis que soporta a una aplicación de control de configuración por los métodos tradicionales, se muestra como ejemplo al APS de CNE que requirió del trabajo interactivo continuo de 10 especialistas (como promedio) en diferentes disciplinas, durante más de 5 años. Sin embargo, el llenado y verificación de la matriz de dependencias de sistemas en el código CONFIGURACION necesita de la revisión de la documentación de planta, lo que puede limitarse a un período de semanas o meses. El sistema queda listo para su utilización una vez concluida la matriz de dependencias de sistemas. El ejemplo de CNE es un caso claro de que la conclusión de un APS no implica necesariamente su disponibilidad para realizar aplicaciones. La combinación de factores como la necesidad de cumplimiento de exigencias regulatorias y la carencia de expertos que interpretaran los resultados del APS, según la dinámica de explotación de la instalación, favorecieron el uso de la herramienta propuesta.

Tabla 2. Comparación de resultados del análisis de confiabilidad de sistemas utilizando el código MOSEG y el código CONFIGURACION

CONCLUSIONES

El desarrollo del artículo corrobora la hipótesis planteada sobre la posibilidad de resolver la vigilancia cualitativa de configuraciones peligrosas en base a un algoritmo informatizado asentado en las matrices de dependencia de los sistemas de la instalación. Así mismo, demuestra con el diseño y aplicación del sistema CONFIGURACION el cumplimiento del objetivo general propuesto.

El uso del sistema descrito en el documento permite detectar, de manera conservadora, combinaciones peligrosas de equipos fuera de servicio, y alertar con carácter preventivo antes de su consecución, por lo que resulta de gran ayuda en la operación segura de instalaciones con riesgo asociado a su explotación. Sus capacidades han sido probadas en instalaciones de alta complejidad tecnológica. Este algoritmo se caracteriza por muy bajos requerimientos de especialización (para su comprensión y utilización) y de información de partida, más limitada y accesible que la comúnmente utilizada para realizar análisis de riesgo.

El sistema propuesto puede ser considerado también como un paso intermedio, antes de contar con las potencialidades de los resultados de un APS o de un monitor de riesgo a plena capacidad. Ello constituye además, la solución de un importante problema económico, dado el costo de los análisis y/o herramientas enunciados. De esta forma, su utilización es una oportunidad práctica para incrementar la seguridad de aquellas instalaciones con riesgo asociado a su explotación, que implementen su uso. Finalmente, es importante resaltar que las ventajas atribuidas al sistema propuesto no descartan su uso paralelo, con un monitor de riesgo o con las consultas off-line de listados de CMC por expertos de análisis de riesgo, cuando tales posibilidades se encuentran disponibles. Estos métodos resultan más potentes por su carácter global y cuantitativo.

REFERENCIAS

1. TORRES, A. y PERDOMO, M. Seguridad Ambiental, Salud Ocupacional y Garantía de Calidad. Retos de la Industria Moderna, Universidad Nacional de Córdoba, Córdoba, Argentina, 2008 [Consultado el: 25 de mayo del 2010] Disponible en: http://www.efn.uncor.edu/investigacion/reactor

2. COX S y TAIT, R. Safety, Reliability and Risk Management: an integrated approach. Second Edition. Oxford: Butterworth - Heinemann. 1998.
325 p. ISBN 0-7506-4016-2. p. 290-315.

3. US-NRC, Information Digest 2009-2010, U.S. Nuclear Regulatory Commission, Washington DC 20555-001. 2009. NUREG 1350. vol. 21.
[Consultado el: 25 de mayo del 2010]. Disponible en: http://www.nrc.gov/reading-rm/doc-collections/nuregs/staff/sr1350/v21/sr1350v21.pdf

4. HESS, S.M. "Risk managed technical specifications".Progress in nuclear energy. 2009. vol. 51, nº 3, p. 393-400.
[Consultado el: 25 de mayo del 2010]. Disponible en: http://www.sciencedirect.com/science?_ob=ArticleURL&_udi=B6V3X-4V64YNW-4&_user=10 &_coverDate=04%2F30%2F2009&_rdoc=1&_fmt=high&_orig=search&_sort=d&_docanchor=&view=c&_searchStrId=1399440860& rerunOrigin=scholar.google&_acct=C000050221&_version=1&_urlVersion=0&_userid=10&md5=3c29d58d0c84be283b42890544e32d8b4

5. LEEUWEN, C. y VERMEIRE, T. Risk Assessment of Chemical-an introduction. Second Edition. Dordrecht: Springer. 2007. 686 p. ISBN 978-1-4020-6103-8 [Consultado el: 25 de mayo del 2010]. Disponible en: http://books.google.com.ar/books?id=-ltZ0K1TcqAC&source=gbs_navlinks_s

6. KADAK, A. y MATSUO, T. "The nuclear industry's transition to risk-informed regulation and operation in the United States", Reliability Engineering and System Safety. 2007. vol. 92, no 5, p.609-618. [Consultado el: 25 de mayo del 2010]. Disponible en: http://www.sciencedirect.com/science?_ob=ArticleURL&_udi=B6V4T-4JRVB57-&_user=10&_coverDate=05%2F31%2F2007&_rdoc=1 &_fmt=high&_orig=search&_sort=d&_docanchor=&view=c&_searchStrId=1399436758&_rerunOrigin=scholar.google&_acct=C000050221 &_version=1&_urlVersion=0&_userid=10&md5=24946c8df6f69ca2ad692d211bd25554

7. TORRES VALLE, A. Mantenimiento Orientado a la Seguridad, Primera Edición. Ciudad Habana: CUBAENERGIA. 2000. 442 p. ISBN 959-7136-10-4.
p. 282 - 303.

8. KAFKA, P. "Probabilistic Risk Assessment for Nuclear Power Plant". En Handbook of Performability Engineering, London: Springer. 2008.
ISBN 978-1-84800-130-5. p. 1179-1192.

9. FULLWOOD, R. R. Probabilistic Safety Assessment in the Chemical and Nuclear Industries. Second Edition. Oxford: Butterworth - Heinemann. 2000. 514 p. ISBN 0-7506-7208-0. p. 97-122.

10. IAEA. Procedures for Conducting PSA in NPP. Safety Series No. 50-P-4. 1992.

11. US-NRC. Probabilistic Safety Analysis Procedures Guide. NUREG/CR-2815. 1985.

12. SMITH. D. J. Reliability, Maintainability and Risk. Practical Methods for engineers. Second Edition. Oxford: Butterworth - Heinemann. 2001. 335 p. ISBN 0-7506-5168-7. p. 128-144,

13. ZIO, E. "Reliability engineering. Old problems and new challenges", Reliability Engineering and System Safety. 2009. vol. 94, nº 2, p.125-141. [Consultado el: 25 de mayo del 2010]. Disponible en: http://www.sciencedirect.com/science?_ob=ArticleURL&_udi=B6V4T-4SRW129 -1&_user=10&_coverDate=02%2F28%2F2009&_rdoc=1&_fmt=high&_orig=search&_sort=d&_docanchor=&view=c&_searchStrId=1399422527 &_rerunOrigin=scholar.google&_acct=C000050221&_version=1&_urlVersion=0&_userid=10&md5=5d4fce05ba099924d3f0b9a4197bd699

14. TORRES VALLE, A. y RIVERO OLIVA, J. "Gestión de Mantenimiento Orientado a la Seguridad", Revista Ingeniería Mecánica. 2004, vol. 7, nº. 2,
p.7-15. ISSN 1815-5944.
Disponible en: http://www.cujae.edu.cu/ediciones/Revistas/Mecanica/Vol-7/2-2004/01_7-15_Gestión_de_mantenimiento.pdf

Recibido el 7 de mayo de 2010
Aceptado el 13 de julio de 2010