Principio general de falla-seguridad 2 Principio de falla-seguridad de redundancia.

3. Principio del peor escenario.

1_{Dos pasarelas elevadas colapsaron en el abarrotado lobby de varios pisos del Hotel Hyatt Regency en la ciudad}

El método de ingeniería 59 En este capítulo se considerará cada uno de estos principios y sus aplicaciones aparecerán una y otra vez en los capítulos siguientes, cuando se trate de riesgos específicos.

Principio general de falla-seguridad

El estado resultante de un sistema, en caso de falla de uno de sus componentes, debe ser un modo seguro.

Por lo general, los sistemas o subsistemas tienen dos modos: el activo y el inerte. En la mayoría de las máquinas, el modo inerte es el más seguro de los dos. Por tanto, la ingeniería de seguridad del producto es por lo general muy sencilla: si “se desconecta” la máquina, ya no puede causar daños. Sin embargo, no siempre el modo inerte es el más seguro. Suponga que el sistema es complicado, con subsistemas integrados para proteger al operador y a otros en el área en caso de falla dentro del sistema. En este caso, tirar del cable para desconectar la máquina podría desactivar los subsistemas de seguridad, fundamentales para proteger al operador y a los demás presentes en el área. En el caso de dicho sistema, desconectar la energía podría volver más inseguro al sistema que si estuviera encendido. Los ingenieros de diseño necesitan conside- rar el principio de falla-seguridad para asegurar que una falla del sistema producirá un modo seguro. Por tanto, es posible que sea necesario proveer energía de respaldo para el fun- cionamiento apropiado de los subsistemas de seguridad. Los estudios de casos 3.5 y 3.6 ilustran este concepto.

ESTUDIO DE CASO 3.5

Un taladro eléctrico tiene un interruptor de gatillo que podría oprimirse de forma continua para accionar el taladro. El interruptor de gatillo cuenta con un resorte, de manera que si algo falla (por parte del operador, en este caso) el gatillo se libera, la máquina regresa a un modo seguro (apagada, en este caso). Con frecuencia, a dicho interruptor se le denomina control de hombre muerto. Este ejemplo ilustra la situación común en la que el estado inerte del sistema es el más seguro.

ESTUDIO DE CASO 3.6

Este ejemplo ilustra la situación menos común en la que el estado inerte del sistema es el más peligroso. Considere un automóvil con dirección y frenos de potencia. Si el motor se apaga, es muy difícil accionar la dirección y los frenos, por lo que, cuando menos por lo que se refiere a estos subsistemas, el estado inerte es más peligroso que el estado activo.

Como veremos en capítulos posteriores, los sistemas industriales tienen características semejantes a las descritas en los ejemplos anteriores. En algunas ocasiones las normas de seguri- dad especifican que las fallas de los sistemas deben ordenarse de manera tal que los subsistemas de seguridad continúen en operación.

El principio general de falla-seguridad es el que representa el significado literal del tér- mino falla-seguridad. Sin embargo, la industria y la tecnología con frecuencia asocian otro con- cepto con el término falla-seguridad; éste es el concepto de la redundancia.

Principio de falla-seguridad de redundancia

Una función con importancia crítica de un sistema, subsistema, o componentes, se puede preservar mediante unidades alternas paralelas o de reserva.

El principio de redundancia del diseño se ha utilizado ampliamente en la industria aeroes- pacial. Cuando los sistemas son tan complicados y de importancia tan crítica como en las aero- naves o en los vehículos espaciales, la función es demasiado importante como para permitir que la falla de un minúsculo componente desactive todo el sistema. Por lo tanto, los ingenieros respaldan los subsistemas primarios con unidades de reserva. Algunas veces, se pueden especi- ficar unidades duales hasta el nivel de componentes. Para funciones extremadamente críticas, se pueden especificar tres o cuatro sistemas de respaldo. En el campo de la seguridad y la salud laboral, algunos sistemas se consideran tan vitales que requieren redundancia en el diseño. Un ejemplo son las prensas mecánicas.

Otro principio de diseño de falla-seguridad es el principio del peor escenario.

Principio del peor escenario

El diseño de un sistema debe considerar la peor situación a la que pueda estar sujeto durante el uso.

En realidad, este principio es un reconocimiento de la ley de Murphy, que establece que “si algo puede fallar, fallará”. La ley de Murphy no es una broma, es una sencilla observación del resultado de la ocurrencia de probabilidades durante un largo periodo. A los eventos aleatorios que tienen un riesgo constante de ocurrencia se les llama procesos Poisson. El diseño de un sis- tema debe considerar la posibilidad de ocurrencia de algún evento posible que pueda tener un efecto adverso en la seguridad y la salud.

Una aplicación del principio del peor escenario se ve en la especificación de los motores a prueba de explosión en los sistemas de ventilación de los cuartos en los que se manejan líquidos inflamables. Los motores a prueba de explosión son mucho más costosos que los motores ordi- narios y es posible que las industrias se resistan al requisito de instalarlos, en particular en aque- llos procesos en los que los niveles de vapor de las sustancias mezcladas nunca se acercan siquiera al nivel de explosión. Sin embargo, considere el escenario que se presenta un caluroso día de verano en el que ocurre un derrame. El clima caliente eleva el nivel de vapor del líquido inflamable que se está manejando. Un derrame en un momento tan infortunado como éste aumenta dramáticamente la exposición de la superficie del líquido, lo que muchas veces empeora la situación. En ningún otro momento el sistema de ventilación sería tan importante. Sin embargo, si el motor no es a prueba de explosión y se expone a la concentración crítica de los vapores, podría ocurrir una explosión en cuanto se encendiera el sistema de ventilación.

Todos los conductores de automóviles conocen bien el concepto de conducción a la defen- siva, que sirve para explicar el principio del peor escenario. Los conductores a la defensiva con- trolan sus vehículos hasta el punto en que están preparados para el peor evento aleatorio que puedan razonablemente imaginar.

El método de ingeniería 61 Principios de diseño

Actualmente, los ingenieros confían en una variedad de métodos, o “principios de diseño de la ingeniería” para reducir o eliminar riesgos. A continuación, se enumeran algunos riesgos para estimular ideas sobre las diversas rutas que se pueden tomar para tratar con los riesgos.