Hay una categoría de problemas donde las herramientas como los 5 Porqués, el Ishikawa y el FMEA resultan insuficientes. Son los problemas de seguridad funcional: aquellos donde un solo evento puede desencadenar consecuencias catastróficas, donde múltiples causas pueden combinarse lógicamente para producir el fallo, y donde el sistema tiene (o debería tener) barreras de protección cuya efectividad hay que evaluar explícitamente.
Pensemos en un descarrilamiento ferroviario, una fuga en una planta petroquímica, una pérdida de contención en un reactor nuclear, o un fallo de frenos en un sistema de transporte. En estos casos no basta con preguntar «¿por qué ocurrió?» (mirada hacia atrás). También hay que preguntar «¿qué consecuencias puede desencadenar, y qué barreras las contienen?» (mirada hacia adelante). Tres herramientas responden estas preguntas: FTA, ETA y Bow-Tie.
Este artículo —el último de la guía de análisis causa raíz— te enseña las tres herramientas de análisis de seguridad funcional. Verás cómo el FTA analiza las causas, cómo el ETA analiza las consecuencias, cómo el Bow-Tie las integra con las barreras visibles, y un caso resuelto completo de un descarrilamiento ferroviario.
Lo que cubriremos:
- Cuándo el análisis de seguridad funcional es necesario (y cuándo no).
- FTA (Fault Tree Analysis): el análisis de causas con lógica booleana.
- ETA (Event Tree Analysis): el análisis de consecuencias y barreras.
- Bow-Tie: la integración visual de causas, evento crítico, barreras y consecuencias.
- Caso resuelto end-to-end: descarrilamiento en la Curva R-340.
- Las 5 trampas más comunes en análisis de seguridad funcional.
Cuándo el Análisis de Seguridad Funcional Es Necesario
Las tres herramientas de este artículo son más complejas y costosas de aplicar que las de los satélites anteriores. No se justifican para cualquier problema. Su dominio operativo específico:
| Usar FTA / ETA / Bow-Tie cuando… | NO es necesario cuando… |
| El evento puede tener consecuencias catastróficas (vidas, ambiente, activos mayores). | El problema es de calidad o productividad sin riesgo a seguridad. |
| Múltiples causas se combinan lógicamente (AND/OR) para producir el fallo. | La causalidad es lineal y simple (basta 5 Porqués). |
| El sistema tiene barreras de protección cuya efectividad hay que evaluar. | No hay barreras relevantes que analizar. |
| El contexto regulatorio lo exige (ferroviario, aviación, nuclear, petroquímica). | No hay exigencia normativa de análisis de seguridad. |
| Se necesita cuantificar probabilidad de eventos combinados. | Una priorización cualitativa es suficiente. |
En el sector ferroviario, estas herramientas forman parte del marco RAMS exigido por la norma EN 50126. Para entender cómo se integran en el ciclo de vida de un proyecto ferroviario, revisa: «La norma EN 50126: la columna vertebral de la ingeniería RAMS«
FTA (Fault Tree Analysis): El Análisis de Causas con Lógica Booleana
El Árbol de Fallos (FTA) es una herramienta de análisis deductivo: parte de un evento no deseado (el «evento tope», típicamente la consecuencia catastrófica) y desciende lógicamente hacia las combinaciones de causas que pueden producirlo. Su característica distintiva es el uso de compuertas lógicas booleanas que representan cómo se combinan las causas.
Las compuertas lógicas del FTA
| Compuerta | Significado | Implicación |
| Compuerta OR (O) | El evento superior ocurre si CUALQUIERA de las causas inferiores ocurre. | Aumenta la probabilidad del evento. Cada causa es suficiente por sí sola. |
| Compuerta AND (Y) | El evento superior ocurre solo si TODAS las causas inferiores ocurren simultáneamente. | Reduce la probabilidad. Representa redundancia o barreras múltiples. |
| Evento básico | Causa raíz que no se descompone más (círculo). | El punto donde el análisis se detiene y se asigna probabilidad. |
| Evento intermedio | Evento que resulta de causas inferiores (rectángulo). | Se descompone más hacia abajo en el árbol. |
La distinción AND/OR es la esencia del FTA y lo que lo diferencia de un Ishikawa. Un Ishikawa lista causas posibles sin especificar cómo se combinan. El FTA es explícito: una compuerta AND significa que el sistema tiene redundancia (ambas causas deben fallar para que ocurra el evento), mientras que una compuerta OR significa vulnerabilidad (cualquier causa basta). Identificar dónde el sistema depende de compuertas OR es identificar sus puntos únicos de fallo.
💡 FTA CUALITATIVO VS CUANTITATIVO: El FTA puede ser cualitativo (solo la estructura lógica, para entender combinaciones de causas) o cuantitativo (asignando probabilidades a cada evento básico y calculando la probabilidad del evento tope mediante álgebra booleana). El cuantitativo es más exigente en datos pero permite comparar el riesgo antes y después de implementar barreras. En análisis de seguridad ferroviaria o nuclear, el FTA cuantitativo es el estándar.
ETA (Event Tree Analysis): El Análisis de Consecuencias y Barreras
El Árbol de Eventos (ETA) es la herramienta espejo del FTA. Mientras el FTA mira hacia atrás (de la consecuencia a las causas), el ETA es inductivo y mira hacia adelante: parte de un evento iniciador y traza las distintas secuencias de consecuencias posibles según funcionen o fallen las barreras de protección que el sistema tiene dispuestas.
Ejemplo de un Diagrama ETA. Observa cómo el evento iniciador se ramifica según el éxito o fallo de cada barrera, trazando el camino desde una operación segura hasta un escenario crítico
En cada barrera, el árbol se ramifica en dos: la barrera funciona (camino superior) o la barrera falla (camino inferior). Cada combinación de éxitos y fallos de barreras conduce a una consecuencia distinta, desde el escenario seguro (todas las barreras funcionan) hasta el escenario catastrófico (todas fallan). Si a cada ramificación se le asigna una probabilidad, el ETA cuantifica la probabilidad de cada consecuencia.
El valor del ETA está en que hace visibles las barreras y su efectividad. Permite responder preguntas como: ¿cuántas barreras hay entre el evento iniciador y la consecuencia catastrófica? ¿Son independientes entre sí o comparten un modo de fallo común? ¿Cuál barrera, si se refuerza, reduce más la probabilidad de la consecuencia grave?
Bow-Tie: La Integración Visual de Causas, Barreras y Consecuencias
El diagrama Bow-Tie (corbata de moño, por su forma) es la integración del FTA y el ETA en una sola representación visual. En el centro está el evento crítico (la pérdida de control). A la izquierda, como un FTA simplificado, están las amenazas (causas) que pueden producirlo. A la derecha, como un ETA simplificado, están las consecuencias que pueden derivarse. Y lo más importante: entre las causas y el evento, y entre el evento y las consecuencias, se dibujan las barreras.
Las barreras del lado izquierdo son preventivas (evitan que las causas produzcan el evento crítico). Las del lado derecho son mitigadoras (reducen las consecuencias una vez que el evento ocurrió). Esta distinción es operativamente útil: la estrategia de prevención (reducir probabilidad) es distinta de la estrategia de mitigación (reducir impacto), y el Bow-Tie las separa visualmente.
💡 POR QUÉ EL BOW-TIE ES PODEROSO EN COMUNICACIÓN: El Bow-Tie es la herramienta de análisis de seguridad más usada para comunicación a dirección y a personal operativo, porque una sola imagen muestra simultáneamente: qué puede causar el evento, qué barreras lo previenen, qué consecuencias puede tener, y qué barreras las mitigan. Un operador puede ver de un vistazo qué barreras dependen de su trabajo. Un directivo puede ver dónde están los huecos de protección. Es FTA + ETA en un formato que no requiere formación técnica para leerse.
Caso Resuelto: Descarrilamiento en la Curva R-340
Contexto: Tramo ferroviario de carga pesada con riel continuo soldado (CWR). Curva R-340 (radio 340 metros) en zona de transición de pendiente. Tráfico: 18 trenes/día de mineral, carga por eje 30 toneladas. La curva tiene historial de desgaste acelerado en el riel exterior. Se ejecuta un análisis de seguridad funcional preventivo tras detectarse un patrón de desgaste fuera de tendencia.
Evento crítico (centro del Bow-Tie): Descarrilamiento en la Curva R-340.
Lado izquierdo del Bow-Tie: amenazas (causas) y barreras preventivas
| Amenaza (causa) | Barrera preventiva | Estado de la barrera |
| Rotura de riel por fatiga en CWR | Inspección ultrasónica de riel trimestral | Activa, pero intervalo largo para la carga real |
| Pérdida de geometría de vía (ancho/peralte) | Auscultación geométrica con coche de vía | Activa, semestral |
| Exceso de velocidad en la curva | Sistema de control de velocidad ATP | Activa y redundante |
| Falla de sujeción (clips/placas) | Inspección visual mensual de la curva | Activa, pero subjetiva (sin criterio cuantitativo) |
| Desgaste excesivo del riel exterior | Medición de perfil de riel + esmerilado preventivo | Intervalo de esmerilado mayor al óptimo para R-340 |
FTA del evento crítico (estructura lógica)
El FTA del descarrilamiento reveló una estructura mixta. El evento tope (descarrilamiento) se alimenta de una compuerta OR de cuatro ramas principales: rotura de riel, pérdida de geometría, exceso de velocidad, o falla combinada de desgaste + sujeción. La rama de exceso de velocidad estaba protegida por una compuerta AND (requería fallo del ATP Y error del maquinista simultáneos), lo que la hacía de baja probabilidad por la redundancia. Pero las ramas de desgaste y geometría dependían de compuertas OR sin redundancia: cualquiera de las dos, por sí sola, podía producir el descarrilamiento. Esos eran los puntos vulnerables.
Lado derecho del Bow-Tie: consecuencias y barreras mitigadoras
| Barrera mitigadora | Función | Consecuencia si falla |
| Detector de descarrilamiento en vía | Frena el tren automáticamente al detectar descarrilo | Descarrilamiento progresa a mayor distancia |
| Contención lateral (contrarriel en curva) | Limita el desplazamiento lateral del eje descarrilado | Vuelco del material rodante |
| Plan de respuesta a emergencias | Reduce tiempo de respuesta y propagación del incidente | Daño ambiental por derrame de mineral, lesiones |
| Distancia de seguridad a zona poblada | Reduce exposición de terceros | Afectación a terceros |
ETA: secuencias de consecuencias
El ETA partió del evento iniciador (descarrilamiento de un eje) y trazó las secuencias según funcionen las barreras mitigadoras. Si el detector de descarrilamiento funciona y el contrarriel contiene el eje: consecuencia menor (descarrilamiento contenido, sin vuelco, sin derrame). Si el detector funciona pero el contrarriel no contiene: consecuencia moderada (vuelco parcial sin derrame mayor). Si el detector falla: consecuencia grave (descarrilamiento propagado, vuelco, posible derrame de mineral y daño a vía en extensión).
Hallazgo del análisis y acciones
El Bow-Tie completo dejó visible el hallazgo central: las barreras preventivas más débiles eran las de desgaste y geometría (intervalos de inspección y esmerilado mayores que el óptimo para la carga real de la curva R-340), y precisamente esas ramas eran compuertas OR sin redundancia en el FTA. Es decir, los puntos de mayor vulnerabilidad coincidían con las barreras más débiles. Las acciones se concentraron ahí:
| Acción | Barrera que refuerza | Plazo |
| Reducir intervalo de esmerilado en R-340 según carga real | Preventiva: desgaste de riel | 30 días |
| Auscultación geométrica trimestral (no semestral) en la curva | Preventiva: geometría de vía | 60 días |
| Criterio cuantitativo de inspección de sujeción (galga) | Preventiva: falla de sujeción | 45 días |
| Reducir intervalo de inspección ultrasónica en CWR de la curva | Preventiva: rotura de riel | 90 días |
| Verificar funcionamiento del detector de descarrilamiento | Mitigadora: contención del incidente | 15 días |
💡 ANÁLISIS DEL CASO: Observa cómo las tres herramientas se complementan. El FTA reveló la estructura lógica de las causas e identificó las ramas OR sin redundancia (los puntos vulnerables). El ETA reveló las secuencias de consecuencias según las barreras mitigadoras. El Bow-Tie integró ambos y dejó visible que las barreras preventivas más débiles coincidían con los puntos vulnerables del FTA. Esa coincidencia —vulnerabilidad lógica + barrera débil— fue lo que orientó la priorización de las acciones. Ninguna herramienta sola habría entregado esa conclusión integrada.
¿Trabajas en un sector donde un solo evento puede ser catastrófico?
El Kit ACR — De la Desviación a la Causa Raíz incluye las plantillas de FTA, ETA y Bow-Tie con simbología normalizada, guía de compuertas lógicas y casos resueltos sectoriales (incluido el ferroviario). Acceso inmediato por USD 27 →kit-acr
Las 5 Trampas Más Comunes en Análisis de Seguridad Funcional
Trampa 1: Confundir análisis de causas con análisis de consecuencias
FTA mira hacia atrás (causas del evento). ETA mira hacia adelante (consecuencias del evento). Mezclarlos en un solo diagrama produce confusión. El Bow-Tie los integra pero mantiene la separación visual: causas a la izquierda, consecuencias a la derecha, evento crítico al centro. La disciplina de mantener esa separación es lo que hace el análisis legible.
Trampa 2: Compuertas lógicas mal asignadas (AND vs OR)
Asignar una compuerta OR donde debería ir AND (o viceversa) cambia radicalmente la probabilidad del evento tope. Un AND mal puesto como OR sobreestima el riesgo; un OR mal puesto como AND lo subestima peligrosamente. La regla: AND solo cuando TODAS las causas inferiores son necesarias simultáneamente. Si una sola causa basta, es OR.
Trampa 3: No representar las barreras (o representarlas sin evaluar su efectividad)
Un Bow-Tie sin barreras es solo un diagrama de causas y consecuencias. El valor está en las barreras y su estado. Una barrera «activa pero con intervalo subóptimo» no es lo mismo que una barrera «activa y efectiva». Evaluar el estado real de cada barrera —no solo su existencia nominal— es donde aparecen los hallazgos accionables.
Trampa 4: Asumir independencia de barreras que comparten modo de fallo común
Si dos barreras dependen del mismo recurso (mismo sensor, misma fuente de energía, mismo operador), no son independientes: un solo fallo las anula a ambas. Tratarlas como independientes en el cálculo de probabilidad subestima el riesgo. La identificación de modos de fallo de causa común (CCF) es uno de los análisis más importantes y más olvidados en seguridad funcional.
Trampa 5: Aplicar FTA/ETA/Bow-Tie a problemas que no los requieren
Estas herramientas son costosas en tiempo y exigen formación. Aplicarlas a un problema de calidad o productividad sin riesgo de seguridad es sobre-ingeniería: un 5 Porqués o un Ishikawa habrían bastado. La señal de que SÍ se justifican: consecuencias potencialmente catastróficas, combinación lógica de causas, y existencia de barreras cuya efectividad importa.
Cómo Se Integran con el Resto de Las herramientas del Cluster
Las herramientas de seguridad funcional no reemplazan a las demás; se integran con ellas en análisis complejos:
- FMEA → FTA: los modos de fallo de mayor severidad identificados en un FMEA se descomponen con FTA para entender las combinaciones lógicas de eventos básicos que los producen.
- Pareto → Bow-Tie: la priorización identifica el evento crítico de mayor impacto; el Bow-Tie lo analiza en profundidad con causas, barreras y consecuencias.
- FTA → 5 Porqués: los eventos básicos del FTA (las hojas del árbol) pueden profundizarse con 5 Porqués para encontrar su causa raíz organizacional.
- Bow-Tie → Lean A3: el diagrama Bow-Tie se condensa en la sección 4 de un A3 para comunicación ejecutiva, con las acciones sobre barreras en la sección 5.
Con esto cerramos el conjunto completo de herramientas del cluster de análisis causa raíz. Para ver el panorama integrado de las 11 herramientas y cuándo usar cada una, vuelve al artículo pilar: “Análisis Causa Raíz Industrial: Herramientas y Normativa (IEC 62740 + Lean A3 + ISO 14224)”
Preguntas Frecuentes sobre FTA, ETA y Bow-Tie
¿Cuál es la diferencia esencial entre FTA y ETA?
La dirección del análisis. FTA es deductivo y mira hacia atrás: parte del evento no deseado y desciende a las combinaciones de causas (¿por qué ocurriría?). ETA es inductivo y mira hacia adelante: parte de un evento iniciador y traza las consecuencias según funcionen las barreras (¿qué pasaría después?). Son herramientas espejo: FTA analiza el «antes», ETA el «después». El Bow-Tie las une.
¿Necesito software especializado para estas herramientas?
Para análisis cualitativos (estructura lógica) basta con herramientas de diagramación (Visio, Lucidchart, draw.io) o incluso las plantillas del Kit ACR. Para análisis cuantitativos con cálculo de probabilidades en árboles grandes, existe software dedicado (como herramientas de RAMS o de seguridad funcional). Para la mayoría de los análisis industriales, el cualitativo bien hecho ya entrega el grueso del valor.
¿Qué es un modo de fallo de causa común (CCF)?
Es un único fallo que anula múltiples barreras o componentes que se asumían independientes. Por ejemplo, dos sistemas de seguridad alimentados por la misma fuente de energía: un corte de energía los desactiva ambos. Identificar los CCF es crítico porque son la razón principal por la que sistemas con redundancia aparente fallan catastróficamente. El análisis de seguridad funcional debe buscar activamente los CCF.
¿El Bow-Tie reemplaza al FTA y al ETA?
No exactamente. El Bow-Tie es una versión integrada y simplificada, excelente para comunicación y para visión global. Pero cuando se necesita análisis cuantitativo detallado de las combinaciones de causas, el FTA completo es más potente; y para secuencias de consecuencias complejas, el ETA completo es más detallado. En la práctica: Bow-Tie para comunicación y visión integral, FTA/ETA completos cuando se necesita profundidad cuantitativa.
¿Estas herramientas sirven fuera de la seguridad?
El FTA se usa también en análisis de confiabilidad (no solo seguridad): para entender cómo combinaciones de fallos de componentes producen un fallo de sistema. El Bow-Tie se ha extendido a gestión de riesgos en general (financieros, de proyecto, de ciberseguridad). El ETA es más específico de seguridad y confiabilidad. Pero su origen y mayor valor está en contextos donde las consecuencias pueden ser graves.
¿Cómo se relacionan con la norma de seguridad funcional?
En procesos industriales, la norma IEC 61511 (seguridad funcional de sistemas instrumentados) usa FTA y análisis de capas de protección (LOPA, emparentado con el ETA/Bow-Tie). En ferroviario, EN 50126 las integra en el análisis RAMS. En todos los casos, son las herramientas técnicas que sustentan la demostración de que el riesgo se ha reducido a un nivel aceptable (principio ALARP).
Cierre del Cluster: De las 11 Herramientas a tu Práctica
Con este artículo cerramos el recorrido completo por las herramientas del análisis causa raíz industrial: desde los 5 Porqués hasta el Bow-Tie, pasando por Ishikawa, FMEA, Lean A3, el marco normativo IEC 62740 y las herramientas de priorización. Cada herramienta tiene su dominio. La maestría no está en conocerlas todas, sino en seleccionar la correcta para cada problema y aplicarla con disciplina metodológica.
Para llevar todo esto a tu práctica diaria, el Kit ACR — De la Desviación a la Causa Raíz reúne las 11 herramientas en plantillas profesionales listas para usar: guía de 69 páginas + plantillas Word, Excel y PowerPoint + Excel Maestro de Priorización + casos resueltos en 6 sectores industriales.
→ Accede al Kit ACR — USD 27
Garantía de 7 días: devolución completa si el kit no corresponde a lo indicado.