Diagnóstico e Tratamento de Falhas Críticas em Sistemas Instrumentados de Segurança

REINALDO SQUILLANTE JNIOR
DIAGNSTICO E TRATAMENTO DE FALHAS CRTICAS EM

SISTEMAS INSTRUMENTADOS DE SEGURANA
Dissertao
apresentada
Escola
Politcnica da Universidade de So
Paulo para obteno do ttulo de Mestre
em Cincias
SO PAULO
2011
REINALDO SQUILLANTE JNIOR
DIAGNSTICO E TRATAMENTO DE FALHAS CRTICAS EM

SISTEMAS INSTRUMENTADOS DE SEGURANA
Dissertao
apresentada
Escola
Politcnica da Universidade de So
Paulo para obteno do ttulo de Mestre
em Cincias
Programa:
Engenharia Mecnica
rea de Concentrao:
Engenharia de Controle e Automao
Mecnica
Orientador:
Prof. Dr. Diolino Jos dos Santos Filho
SO PAULO
2011
Este exemplar foi revisado e alterado em relao verso original, sob

responsabilidade nica do autor e com a anuncia de seu orientador.
So Paulo,
de dezembro de 2011.
Assinatura do autor ____________________________
Assinatura do orientador _______________________
FICHA CATALOGRFICA
Squillante Jnior, Reinaldo

Diagnstico e tratamento de falhas crticas em sistemas instrumentados de segurana / R. Squillante Jnior. ed. rev. So
Paulo, 2011.
158 p.
Dissertao (Mestrado) - Escola Politcnica da Universidade
de So Paulo. Departamento de Engenharia Mecatrnica e de
Sistemas Mecnicos.
1. Indstrias (Processos) 2. Redes de Petri 3. Falha (Diagnstico, Tratamento) I. Universidade de So Paulo. Escola Politcnica. Departamento de Engenharia Mecatrnica e de Sistemas
Mecnicos II. t.
A minha esposa Sandra

e ao meu filho Stefano como
declarao do meu amor e carinho.
AGRADECIMENTOS
Aqui expresso um profundo sentimento de gratido, deixando registrado de
forma simples, minhas palavras a todos que de forma direta ou indireta, me
incentivaram a alcanar este grande passo na minha vida. Primeiramente agradeo
a Deus pela minha vida e sade, permitindo-me atingir este grande objetivo.
Agradeo tambm o meu orientador Prof. Dr. Diolino Jos dos Santos Filho, pelo
trabalho, esforo e dedicao aplicados e pela pessoa extraordinria que em todos
os sentidos, sempre me incentivando e me encorajando a superar os obstculos e
me mostrando que a vida um eterno aprendizado e que a humildade uma das
virtudes fundamentais para a obteno do conhecimento e respeito mtuo.
Sou eternamente grato a minha esposa e companheira Sandra, que me
incentivou e sempre me apoiou a atingir este objetivo, e pela imensurvel pacincia
em suportar minha ausncia em vrios momentos ao longo destes anos, cabendo a
ela, a responsabilidade e pacincia no cuidado do nosso filho Stefano, o maior
presente de Deus.
Agradeo ao Prof. Dr. Paulo Eigi Miyagi, Prof. Dr. Luis Alberto Martinez Riascos
e ao Prof. Dr. Fabricio Junqueira pela confiana, interesse, sugestes e apoio
fundamentais para o sucesso deste trabalho.
Agradeo tambm ao Prof. Dr. Newton Maruyama que contribuiu para que meu
trabalho pudesse ser publicado na revista IEEE Latino Americana.
Quero expressar tambm um agradecimento especial ao Eng Roberto Lazzari e
a todos meus colegas de trabalho da empresa Unicontrol International Ltda, pelo
apoio e incentivo ao desenvolvimento deste trabalho.
Finalizando, agradeo aos eternos amigos do grupo de pesquisas da
Mecatrnica; Prof. Dr. Jos Isidro Garcia Melo e doutorandos MSc Eng. Marcosiris
Pessoa, MSc Eng. Caio Fattori, MSc Eng. Andr Cavalheiros e MSc Eng. Osvaldo
Asato, que tanto me incentivaram e me ajudaram no desenvolvimento deste
trabalho.
RESUMO
Sistemas Instrumentados de Segurana (SIS) so projetados para prevenir e/ou
mitigar acidentes, evitando indesejveis cenrios com alto potencial de risco,
assegurando a proteo da sade das pessoas, proteo do meio ambiente e
economia de custos com equipamentos industriais. Desta forma, extremamente
recomendado neste projeto de SIS o uso de mtodos formais para garantir as
especificaes de segurana em conformidade com as normas regulamentadoras
vigentes, principalmente para atingir o nvel de integridade de segurana (SIL)
desejado. Adicionalmente, algumas das normas de segurana como ANSI / ISA
S.84.01; IEC 61508, IEC 61511, entre outras, recomendam uma srie de
procedimentos relacionados ao ciclo de vida de segurana de um projeto de SIS.
Desta forma, destacam-se as atividades que compreendem o desenvolvimento e a
validao dos algoritmos de controle em que se separam semanticamente os
aspectos voltados para o diagnstico de falhas crticas e o tratamento destas falhas
associado a um controle de coordenao para filtrar a ocorrncia de falhas esprias.
Portanto, a contribuio deste trabalho propor um mtodo formal para a
modelagem e anlise de SIS, incluindo o diagnstico e o tratamento de falhas
crticas, baseado em rede Bayesiana (BN) e rede de Petri (PN). Este trabalho
considera o diagnstico e o tratamento para cada funo instrumentada de
segurana (SIF) a partir do resultado do estudo de anlise de riscos, de acordo com
a metodologia de HAZOP (Hazard and Operability).
Palavras-chave: sistema instrumentado de segurana, diagnstico de falha crtica,
tratamento de falha crtica, rede Bayesiana, rede de Petri.
ABSTRACT
Safety Instrumented Systems (SIS) are design to prevent and/or mitigate accidents,
avoiding undesirable high potential risk scenarios, assuring protection of people
health, protecting the environment and saving costs of industrial equipment. It is
strongly recommended in this design formal method to assure the safety
specifications in accordance to standards regulations, mainly for reaching desired
safety integrity level (SIL). Additionally, some of the safety standards such as
ANSI/ISA S.84.01; IEC 61508, IEC 61511, among others, guide different activities
related to Safety Life Cycle (SLC) design of SIS. In special, there are design activities
that involves the development and validation of control algorithm that separate
semantically aspects oriented to diagnosis and treatment of critical faults associated
with a control coordination to filter spurious failures occurrence. In this context, the
contribution of this work is to propose a formal method for modeling and analysis of
SIS designed including diagnostic and treatment of critical faults based on Bayesian
networks (BN) and Petri nets (PN). This approach considers diagnostic and treatment
for each safety instrumented function (SIF) obtained according hazard and operability
(HAZOP) methodology.
Keywords: safety instrumented system, critical fault diagnosis, critical fault

treatment, Bayesian network, Petri net.
LISTA DE FIGURAS
Figura 1.1 - O SIS e o BPCS como sistemas independentes. .................................. 17
Figura 1.2 - Ciclo de vida para desenvolvimento da pesquisa (JENSEN, 1992). ...... 24
Figura 1.3 - Ciclo de desenvolvimento considerado nesta pesquisa. ........................ 24
Figura 2.1 - Reduo de riscos conceitos gerais (baseada na Figura A.1 IEC
61508-5;1998). .......................................................................................................... 29
Figura 2.2 - Camadas de reduo de riscos (adaptado da norma IEC 61511-1). ..... 30
Figura 2.3 - Componentes de hardware de um SIS a partir do uso de PES. ............ 31
Figura 2.4 - Arquitetura 1oo1D de um CP de segurana. ......................................... 36
Figura 2.7 - Arquitetura 2oo3 de um CP de segurana. ............................................ 39
Figura 2.8 - Normas de segurana vigentes para diferentes segmentos industriais. 40
Figura 2.9 - Ciclo de vida de segurana. Adaptado de (IEC 61508; 1998). .............. 41
Figura 2.10 - Ciclo de vida de segurana. Adaptado de (IEC 61511; 2003). ............ 42
Figura 2.11 - Relao entre as normas IEC 61508 e IEC 61511. Adaptado de (IEC
61511; 2003). ............................................................................................................ 44
Figura 2.12 - Tipos de softwares para SIS. Adaptado de (IEC 61511; 2003). ........... 45
Figura 2.13 - Tipos de linguagens de programao para SIS. Adaptado de (IEC
61511; 2003). ............................................................................................................ 45
Figura 3.1 - Representao grfica dos elementos de uma PN. ............................... 49
Figura 3.2 - Representao da dinmica da PN, em que (a) a PN antes do disparo
de e (b) a PN depois do disparo de. .................................................................. 50
Figura 3.3 - Exemplo de rede de Petri no limitada (ZURAWSKI; ZHOU, 1994). ..... 51
Figura 3.4 - Exemplo de rede de Petri segura (ZURAWSKI; ZHOU, 1994). ............. 51
Figura 3.5 - Exemplo de rede de Petri reinicializvel e viva (ZURAWSKI; ZHOU,
1994). ........................................................................................................................ 53
Figura 3.6 - Exemplo de PN com transies com diferentes nveis de vivacidade
(ZURAWSKI; ZHOU, 1994). ...................................................................................... 53
Figura 3.7 - Exemplo de rede de Petri no reinicializvel (ZURAWSKI; ZHOU, 1994).
.................................................................................................................................. 53
Figura 3.8 - (a) arco habilitador (b) arco inibidor. ..................................................... 54
Figura 3.9 - (a) PN antes do disparo de
(b) PN depois do disparo de . .............. 54
Figura 3.10 - (a) PN antes do disparo de ( b) PN depois do disparo de . ............. 55

Figura 3.11 - Estrutura de uma BN............................................................................ 57
Figura 4.1 - Sistemtica para o diagnstico e tratamento de falhas crticas em SIS. 62

Figura 5.1 - Estao de Compresso de Gs ECOMP. ......................................... 73
Figura 5.2 - P&ID da linha de suco 1 na entrada da ECOMP. ............................... 74
Figura 5.3 - P&ID da linha de suco 2 na entrada da ECOMP. ............................... 75
Figura 5.4 - P&ID da linha de descarga na sada da ECOMP. .................................. 75
Figura 5.5 - Arquitetura do Sistema de Controle da ECOMP. ................................... 77
Figura 5.6 - Estrutura inicial da BN construda a partir do algoritmo K2. ................... 81
Figura 5.7 - BN resultante. ........................................................................................ 82
Figura 5.8 - Modelo em PN interpretada estrutura efeito causa. ....................... 84
Figura 5.9 - Modelo em PN interpretada diagnstico da Falha crtica 1. ................ 85
Figura 5.10 - Modelo em PN interpretada diagnstico da Falha crtica 2. .............. 86
Figura 5.13 - Modelo em PN interpretada para simulao diagnstico da Falha
crtica 1. ..................................................................................................................... 90
crtica 2. ..................................................................................................................... 91
crtica 3. ..................................................................................................................... 92
crtica 4. ..................................................................................................................... 92
Figura 5.17 - Modelo em PN interpretada tratamento da Falha crtica 1. ............... 96
Figura 5.21 - Modelo em PN interpretada para simulao tratamento da Falha
crtica 1. ................................................................................................................... 101
crtica 2. ................................................................................................................... 101
crtica 3. ................................................................................................................... 102

crtica 4. ................................................................................................................... 102
Figura 5.25 - Modelos em PN interpretada: Coordenao das (a) Falha crtica 1 e (b)
Falha crtica 2. ......................................................................................................... 104
Falha crtica 4. ......................................................................................................... 105
Figura 5.27 - Modelos em PN interpretada para simulao: Coordenao das (a)
Falha crtica 1 e (b) Falha crtica 2. ......................................................................... 107
Falha crtica 3 e (b) Falha crtica 4. ......................................................................... 108
Figura 5.29 Modelo em PN interpretada SIF-01. ............................................... 111
Figura 5.33 Modelo em PN interpretada para simulao SIF-01....................... 116
Figura B.1 Fluxograma de execuo do programa de controle. ........................... 137
Figura B.2 - Modelo em PN. .................................................................................... 138
Figura B.3 - Lgica de habilitao das transies. .................................................. 138
Figura B.4 - Lgica de disparo das transies. ....................................................... 139
LISTA DE TABELAS
Tabela 1.1 - Especificao de requisitos para algoritmo de controle de um SIS. ...... 19
Tabela 1.2 - Projeto e desenvolvimento de Software SIS. ..................................... 20
Tabela 2.1 Nveis de integridade de segurana (SIL) (IEC 61508). .................... 33
Tabela 5.1 - Relao causa efeito. ....................................................................... 78
Tabela 5.2 - Descrio das colunas apresentadas na Tabela 5.1. ............................ 79
Tabela 5.3 - Sistema de votao 2oo3. .................................................................. 82
Tabela 5.4 Elementos do modelo em PN interpretada para Falha 1. ..................... 85
Tabela 5.8 Resumo das boas propriedades das PN interpretadas. ..................... 93
Tabela 5.9 Identificao das SIFs. ......................................................................... 95
Tabela 5.10 - Elementos do modelo em PN interpretada da Figura 5.19. ................. 96
Tabela 5.13 - Elementos do modelo em PN interpretada da Figura 5.22. ............... 100
Tabela 5.14 Resumo das boas propriedades das PN interpretadas. ................ 103
Tabela 5.15 - Elementos do modelo em PN interpretada da Figura 5.25(a). .......... 104
Tabela 5.16 - Elementos do modelo em PN interpretada da Figura 5.25(b). .......... 105
Tabela 5.17 - Elementos do modelo em PN interpretada da Figura 5.26(a). .......... 106
Tabela 5.18 - Elementos do modelo em PN interpretada da Figura 5.26(b). .......... 106
Tabela 5.19 Resumo das boas propriedades das PN interpretadas. ................. 109
Tabela 5.20 Resumo das boas propriedades dos modelos em PN. .................. 120
Tabela B.1 Lista de entradas e sadas Diagnstico da SIF-01 .......................... 140
Tabela B.2 Lista de entradas e sadas Coordenao da SIF-01 ....................... 141
Tabela B.3 Lista de entradas e sadas Tratamento da SIF-01 .......................... 141
LISTA DE ABREVIATURAS E SIGLAS

ANSI
American National Standards Institute
BN
Bayesian network
C/E
Condio / evento
C3I
Sistemas de Comando, Comunicao e Controle Inteligente
CP
Controlador Programvel
E/E/EP
Eltrico / eletrnico / eletrnico programvel
ECOMP
Estao de Compresso de Gs
FBD
Function Block Diagram
FRR
Fator de reduo de risco
HAZOP
Hazard and Operability
IEC
International Electrotechnical Commission
IHM
Interface Homem Mquina
ISA
The instrumentation, Systems and Automation Society
ISO
International Organization for Standardization
LD
Ladder Diagram
LPF
Linguagem de programao fixa
LVC
Linguagem com variabilidade completa
LVL
Linguagem com variabilidade limitada
PES
Programmable electronic system
PFD
Probabilidade de Falha em demanda
PN
Petri net
BPCS
Basic Process Control System
SED
Sistemas a Eventos Discretos
SFC
Sequential Function Chart
SIF
Safety Instrumented Function
SIL
Safety Integrated Level
SIS
Sistemas Instrumentados de Segurana
SVC
Sistemas a variveis contnuas
LISTA DE SMBOLOS
Rede de Petri
P
conjunto finito de lugares da rede de Petri.
conjunto finito de transies da rede de Petri.
conjunto finito de arcos orientados da rede de Petri.
M0
conjunto de marcas iniciais nos lugares da rede de Petri.
conjunto de marcas nos lugares da rede de Petri.
rede de Petri.
Rede Bayesiana
Xi
n da rede Bayesiana, representado por um crculo.
pa(Xi)
n pai de Xi da rede Bayesiana, representado por um crculo.
P(Xi | pa(Xi))
probabilidade de Xi ocorrer dado que pa(Xi) ocorreu.
PrC
probabilidade condicional.
conjunto finito de ns da rede Bayesiana.
conjunto finito de arcos orientados na rede Bayesiana.
estrutura que representa um grafo acclico orientado.
distribuio de probabilidade aplicada rede Bayesiana.
conjunto de dados aplicados construo da rede Bayesiana.
representao do conjunto de pais da i-sima varivel Xi.
wij
representao da j-sima configurao dos pais de Xi.
qi
nmero total de possveis configuraes dos pais i.
Nijk
quantidade total de observaes em D onde a varivel Xi est

no k-simo estado e seus pais apresentam a j-sima
configurao.
constante de probabilidade a priori, ou seja, P(G).
Nij
nmero total de observaes em D, onde se tem Xi com

qualquer um de seus possveis valores e i com a j-sima
configurao.
SUMRIO
1
INTRODUO ................................................................................................... 15
1.1 Motivao ..................................................................................................... 18
1.2 Justificativa ................................................................................................... 20
1.3 Objetivo ........................................................................................................ 20
1.4 Metodologia de Pesquisa ............................................................................. 21
1.4.1 Definio e descrio do problema ............................................. 21
1.4.2 Hipteses e pressupostos bsicos ............................................. 22
1.4.3 Definio do tipo de pesquisa ..................................................... 22
1.4.4 Mtodo de investigao .............................................................. 23
1.4.5 Ciclo de vida do projeto de pesquisa .......................................... 23
1.5 Estrutura do trabalho .................................................................................... 25
SISTEMA INSTRUMENTADO DE SEGURANA ............................................. 26

2.1 Conceito de Falha crtica.............................................................................. 27
2.2 Camadas de reduo de riscos .................................................................... 28
2.3 Caractersticas de um SIS............................................................................ 31
2.3.1 Funo instrumentada de segurana (SIF)................................. 32
2.3.2 Nvel de integridade de segurana (SIL) .................................... 33
2.3.3 Probabilidade de falha sob demanda (PFD) ............................... 33
2.3.4 Fator de reduo de risco (FRR) ................................................ 34
2.4 Controlador Programvel de Segurana ...................................................... 35
2.4.1 Arquiteturas do CP de segurana ............................................... 35
2.5 Normas aplicadas segurana funcional..................................................... 39
2.5.1 IEC 61508 ................................................................................... 40
2.5.2 IEC 61511 e ANSI / ISA SP 84.01 .............................................. 42
2.5.3 Requisitos para o programa de controle de um SIS ................... 44
3 TCNICAS UTILIZADAS PARA MODELAGEM E VALIDAO DE

ALGORTMOS DE CONTROLE ............................................................................... 47
3.1 REDE DE PETRI (pn) .................................................................................. 47
3.1.1 Formalizao .............................................................................. 48
3.1.2 Representao grfica ................................................................ 49
3.1.3 Propriedades .............................................................................. 50
3.2 Rede Bayesiana (BN)................................................................................... 55
3.2.1 Formalizao .............................................................................. 55
3.2.2 Construo da rede Bayesiana................................................... 57
3.2.3 Aprendizagem da estrutura da rede Bayesiana .......................... 58
SISTEMTICA PROPOSTA .............................................................................. 61

4.1 apresentao da sistemtica ........................................................................ 61
4.2 Etapa A1: Modelagem do diagnstico de falhas crticas .............................. 64
4.3 Etapa A2: Modelagem do tratamento e coordenao de falhas crticas ...... 67
4.4 Etapa B: INTEGRAO E Anlise doS modeloS em PN ............................ 69
4.5 Etapa C: Gerao dos programas baseados nos algoritmos de controle .... 70
4.6 Etapa D: Testes de aceitao ...................................................................... 71
APLICAO DA SISTEMTICA PROPOSTA ................................................. 73

5.1 Descrio do processo ................................................................................. 73
5.2 Arquitetura do sistema de controle ............................................................... 76
5.3 Aplicao da sistemtica proposta ............................................................... 77
5.3.1 Etapa A1: Modelagem do diagnstico de falhas crticas ............ 77
5.3.2 Etapa A2: Modelagem de tratamento e coordenao de falhas
crticas ................................................................................................... 93
5.3.3 Etapa B: Anlise dos modelos em PN integrados .................... 109
5.3.4 Etapa C: Gerao dos programas de controle baseados nos
algoritmos de controle ......................................................................... 120
5.3.5 Etapa D: Testes de aceitao ................................................... 121
CONCLUSES FINAIS ................................................................................... 122

6.1 Contribuies do trabalho .......................................................................... 123
6.2 Trabalhos futuros ....................................................................................... 124
REFERNCIAS BIBLIOGRFICAS ....................................................................... 125

ANEXO A ................................................................................................................ 134
ANEXO B ................................................................................................................ 136
B.1 Descrio do mtodo de converso.......................................................... 137
B.2 Gerao do programa de controle da SIF-01 ........................................... 140
15
1 INTRODUO
Nesta primeira dcada do sculo XXI j se preconizava que os processos de
automao vm sofrendo transformaes que tm sido fortemente influenciadas pelo
avano da tecnologia e dos recursos computacionais, tornando-se cada vez mais
complexos devidos sua dinmica e necessidade de atender aspectos como custos,
qualidade, tempos de entrega, flexibilidade na produo e tecnologia usada entre
outros fatores (CHEN; DAI, 2004; SANTOS FILHO, 2000; WU et al., 2008).
Uma caracterstica intrnseca a estes processos a exploso combinatria de
estados, em especial nos processos industriais e, quanto maior forem o nmero de
dispositivos independentes presentes no sistema, mais latente este problema j
que o nmero de estados globais resulta da produtria dos estados locais dos vrios
dispositivos (MIYAGI, 2007). Diversos trabalhos vm sendo desenvolvidos com o
objetivo de diagnosticar e tratar falhas que esto inseridos neste tipo de problema e
que dependem de restringir seu espao de estados para o controle e tratamento de
uma determinada classe de falhas (MORALES; GARCIA MELO; MIYAGI, 2007;
RIASCOS, 2002; RU; HADJICOSTIS, 2008; WANG et al., 2007; ZHANG; JIANG,
2008).
Paralelamente, as organizaes tm se preocupado em atender polticas de
segurana e sade ocupacional, controlando seus riscos de forma consistente com
seus objetivos segundo a norma de Administrao de Sade e Segurana
Ocupacional (OSHA1). Em caso de qualquer violao da norma, a organizao
responsvel deve ser penalizada por rgos competentes. Desta forma, a segurana
no ambiente de trabalho tem ganhado importncia em indstrias de manufatura e de
processos (KAMTEKAR, 2009). A norma ISO 140012 especifica os requisitos
relativos a um sistema de gesto ambiental, permitindo a uma organizao formular
uma poltica e objetivos que levam em conta os requisitos legais e as informaes
referentes aos impactos ambientais significativos. A norma se aplica aos aspectos
ambientais que possam ser controlados pela organizao e sobre os quais se
presume que ela tenha influncia.
1 OSHA - Norma de Administrao de Sade e Segurana Ocupacional

2 ISO 14001 - Norma que especifica os requisitos relativos a um sistema de gesto ambiental
16
Neste contexto, se considerar que qualquer processo industrial por mais robusto
que seja, mesmo com sistemas de controle reconfigurveis tolerantes a falhas, pode
representar um srio risco com relao integridade fsica das pessoas, do meio
ambiente e que podem acarretar em perdas econmicas com equipamentos
industriais, caso falhas ocorridas durante a dinmica do sistema no sejam
diagnosticadas e tratadas corretamente (SALLAK; SIMON; AUBRY, 2008). A
questo passa a ser o reconhecimento de que no existe risco zero nestes sistemas
porque os dispositivos fsicos no possuem risco de falha nulo, operadores humanos
no possuem risco de falha nulo e no h projeto de programas desenvolvidos que
possam prever todas as possibilidades.
Desta forma, surgiu o conceito de sistemas instrumentados de segurana (SIS).
Segundo especialistas uma soluo para este tipo de questo que envolve a
recomendao de uma camada dentro de um sistema hierrquico de controle para a
reduo de riscos com a finalidade de preveno de riscos ou para levar o processo
a um estado seguro. Um SIS projetado especificamente para desempenhar
funes que mantm um estado seguro de processo quando condies perigosas ou
no aceitveis3 so detectadas, garantindo assim a integridade das pessoas, da
planta e evitando impactos ambientais (SUMMERS; RANEY, 1999). As normas de
segurana, tais como, (ANSI/ISA SP 84.01, 1996; IEC 61508, 1998; IEC 61511,
2003), entre outras, orientam as diferentes atividades relacionadas ao SIS, tais
como;
projeto,
instalao,
operao,
manuteno,
testes,
entre
outros
(LUNDTEIGEN, 2009). Portanto, apesar de existirem normas como a IEC 61131 e

IEC 61499 para orientarem o projeto de sistemas de controle para sistemas
industriais, existem normas como a IEC 61508 e a IEC 61511 para orientar o projeto
de sistemas de segurana para sistemas industriais.
Segundo a IEC 61511-1, o Sistema de Controle de Processo Bsico (BPCS)
definido como um sistema que responde a sinais de entrada do processo, sinais dos
seus equipamentos associados, outros sistemas programveis e/ou um operador e
gera sinais de sadas fazendo com que o processo e seus equipamentos associados
operem de maneira desejvel, mas no realizam quaisquer funes instrumentadas
de segurana.
3 Entende-se por condio no aceitvel aquela que promove o sistema a uma situao de risco
incompatvel com o nvel de risco aceitvel inerente s normas de segurana que devem ser
observadas.
17
Idealmente, em projetos de sistemas de controle para processos industriais, o SIS

deve ser um sistema independente do BPCS (DEI-SVALDI; VAUTRIN, 1989),
conforme mostrado na Figura 1.1.
PES = sistemas eletrnicos

programveis
CLP = controlador lgico

programvel
Figura 1.1 - O SIS e o BPCS como sistemas independentes.

De acordo com a norma IEC 61508, as falhas4 em um processo industrial so
identificadas a partir de metodologias classificadas como quantitativas e qualitativas.
Uma das metodologias mais utilizadas a anlise de Perigos e Operacionalidade
(HAZOP).
Ainda segundo a IEC 61508, as falhas so definidas a partir da
identificao das funes instrumentadas de segurana (SIF). Logo, uma SIF est
associada a uma falha que deve ser diagnosticada e tratada pelo SIS. Um SIS
implementa suas SIFs por meio de: (a) da coleta de sinais do processo por um ou
mais sensores de segurana, (b) do processamento de informaes por um ou mais
dispositivos de realizao de controle (ex.: equipamentos eltricos, eletrnicos ou
eletrnicos programveis (E/E/EP) onde o mais comum so os sistemas eletrnicos
programveis (PES) ou controladores programveis de segurana) e (c) do envio de
sinais para cada um dos atuadores de segurana. Adicionalmente, para cada SIF
definido um parmetro chamado de safety integrated level (SIL) ou nvel de
integridade de segurana (STRAVIANIDIS; BHIMAVARAPU, 1998). Este parmetro
a medida de segurana de componentes e/ou sistemas. O SIL reflete o que os
usurios finais esperam de um dispositivo e/ou sistema na sua funo de segurana
4 Este conceito est definido no tem 2.1 do captulo 2.
18
e, em caso de falha, que a mesma afete o processo de maneira segura (FALLER,

2001).
No contexto de diagnstico e tratamento de falhas em processos industriais, as
falhas no crticas5 devero ser diagnosticadas e tratadas pelo BPCS. As falhas
crticas6 devero ser diagnosticadas e tratadas pelo SIS, segundo recomendaes
das normas aplicveis (IEC 61508, 1998; IEC 61511, 2003).
1.1
MOTIVAO
Com relao ao diagnstico e tratamento de falhas aplicveis aos sistemas de

controle tolerantes a falha (FTSC), cuja funo regenerar o processo industrial de
um estado de falha para um estado normal de operao, Zhang e Jiang (2008)
apresentam uma reviso bibliogrfica de metodologias e aplicaes destes tipos de
sistemas de controle.
Por sua vez, vrios autores tm abordado as consideraes de SIS sob
diferentes pontos de vista, como por exemplo, do ponto de vista de hardware de
controle, projeto de SIS e metodologias para a determinao e avaliao do SIS e
SIL. Bobbio et al. (2001), apresentam uma abordagem utilizando rede de Petri
Colorida e rede Bayesiana para a definio do SIL. Em Seixas de Oliveira (2008),
apresentada uma anlise de custos baseada na definio do SIL. Adicionalmente,
em Dutuit et al. (2008a), apresentada uma abordagem hbrida envolvendo rede de
Petri e simulao e MonteCarlo para a quantificao da confiabilidade do SIS. CruzCampa e Cruz-Gomes (2009), apresentam uma metodologia simplificada para a
determinao do SIS e clculo do SIL atravs do estudo de HAZOP. Em Rouvroye e
Bliek (2002), apresentado um estudo de comparao das diferentes tcnicas de
anlise para determinao da segurana atingida a partir de funes especficas
para reduo de riscos e prope uma tcnica de anlise a partir de cadeias de
Markov para a quantificao da segurana atingida pelas funes de reduo de
riscos instaladas. Dutuit et al. (2008b), apresentam um estudo de avaliao de SIL
em SIS por meio de rede de Petri estocstica com predicados. Lundteigen e
Rausand (2009), discutem as regras de restrio de arquitetura usadas pelas

19
normas IEC 61508 e IEC 61511 para determinao da conFigurao de hardware do

SIS. Guo e Yang (2007) apresentam uma tcnica para avaliao da confiabilidade
de SIS, por meio da criao de modelos de Markov. Kannan (2007) prope o uso de
rede Bayesiana para criao de um modelo de probabilidade de riscos de uma
planta e/ou processo e usa este modelo na fase de desenvolvimento de projeto de
SIS. Em Lundteigen; Rausand e Utne (2009) abordado um modelo para
desenvolvimento de produtos considerando a confiabilidade, disponibilidade,
manuteno e segurana em projeto de SIS, e integrao deste modelo ao ciclo de
vida de segurana definido pela IEC 61508.
Portanto, projetos de SIS demandam
procedimentos e tcnicas para
assegurarem o atendimento s especificaes de segurana. No entanto, com

relao ao sistema responsvel pela degenerao de forma controlada do
processo industrial, no foi encontrada na literatura, uma sistemtica ou metodologia
para diagnstico e tratamento de falhas aplicadas a SIS a partir do uso de modelos
matemticos, conforme recomendao da norma IEC 61508. Assim, dentre os
trabalhos anteriormente citados, percebe-se uma lacuna com relao ao
desenvolvimento de algoritmos de controle para as funes de reduo de riscos
SIS, onde, segundo as consideraes das normas IEC 61508 e IEC 61511, uma
abordagem formal recomendada para o desenvolvimento do algoritmo de controle.
A Tabela 1.1 especifica a pertinncia de aplicarem-se mtodos matemticos
para o desenvolvimento do algoritmo de controle de um SIS. Adicionalmente, a
Tabela 1.2 especifica a pertinncia de aplicarem-se tcnicas de deteco e
diagnstico de falhas ao projeto de um SIS. As Tabelas 1.1 e 1.2 apresentam quatro
nveis de integridade de segurana (SIL 1 at SIL 4) propostos pela IEC 61508 e que
sero abordados no prximo captulo.
Tabela 1.1 - Especificao de requisitos para algoritmo de controle de um SIS.
Fonte: Tabela A.1 IEC 61508-3 (1998)
Tcnica
SIL 1
SIL 2
SIL 3
SIL 4
Mtodos matemticos
HR
HR
Legenda:
R
recomendado
HR altamente recomendado
20
Tabela 1.2 - Projeto e desenvolvimento de Software SIS.

Fonte: Tabela A.2 IEC 61508-3 (1998)
Tcnica
SIL 1
SIL 2
SIL 3
SIL 4
Deteco e diagnstico de Falhas
--
HR
HR
Legenda:
--
irrelevante
recomendado
HR altamente recomendado
1.2
JUSTIFICATIVA
Do exposto, considera-se caracterizada a necessidade de se estabelecer uma

sistemtica para o desenvolvimento do algoritmo de controle a ser inserido na
camada de reduo de riscos SIS, dentro da estrutura hierrquica de controle de
processos industriais. As funes nesta camada devem considerar controladores
programveis de segurana, a partir do desenvolvimento, anlise e validao de
modelos matemticos para diagnstico e tratamento de falhas, conforme
recomendao das normas de segurana aplicveis; justificando a proposta do
presente trabalho (IEC 61511, 2003).
1.3
OBJETIVO
Embora exista a especificao de SIL para hardware de sensores de segurana,

atuadores de segurana e sistemas eletrnicos programveis (PES), torna-se
fundamental estabelecer uma sistemtica baseada em modelos matemticos como a
rede Bayesiana e a rede de Petri para o desenvolvimento, anlise e validao de
algoritmos7 de controle inseridos na camada de reduo de riscos (SIS) baseada em
PES.
7 Sequncia finita e no ambgua de instrues computveis que, aplicadas a um conjunto de dados,

conduzem soluo de um problema ou permitem realizar certa tarefa.
21
Este trabalho visa desenvolver uma sistemtica para modelagem de diagnstico

e tratamento de uma classe de falhas em um processo industrial onde se considera
uma camada de reduo de riscos (SIS) baseada em sistemas eletrnicos
programveis (PES). Neste contexto, este trabalho contempla como ponto de
partida, a descrio criteriosa do conceito de falha que est sendo aplicada e como
as falhas so classificadas de acordo com o escopo deste trabalho. Na sequncia,
considera o problema de especificao das funes instrumentadas de segurana
(SIFs), com a finalidade de mitigar ou prevenir riscos com acidentes potencialmente
altos. Os modelos matemticos gerados, visam a anlise e validao das SIFs e do
SIS atravs de recursos computacionais garantindo uma especificao SIL 3 ou SIL
4 para o algoritmo de controle, de acordo com os requisitos das normas de
segurana IEC 61508 e IEC 61511.
1.4
METODOLOGIA DE PESQUISA
A metodologia de pesquisa aplicada neste trabalho foi baseada nas seguintes

questes:
Definio e descrio do problema,
Hipteses e pressupostos bsicos considerados,
Definio do tipo de pesquisa,
Definio do mtodo de investigao,
Ciclo de vida do projeto de pesquisa.
1.4.1 Definio e descrio do problema

Atualmente, os processos industriais vm sofrendo transformaes, tornando-se
cada vez mais complexos. Uma das solues para se reduzir riscos em processos
industriais a implementao de sistemas de controle de segurana, denominados
de SIS. Projetos de SIS demandam a aplicao de mtodos matemticos para
assegurar o atendimento s especificaes de controle necessrias para garantir os
nveis de segurana exigidos pelas normas vigentes como a IEC 61508 e a IEC
61511. Embora os fabricantes de equipamentos eletrnicos programveis, neste
22
contexto denominados de Controladores Programveis (CP) de segurana, tenham

desenvolvido tecnologias de hardware robustas com nveis de segurana (SIL)
aprovados por rgos certificadores baseados na norma IEC 61508, resta uma
questo a ser resolvida: como assegurar que o projeto de um SIS contemple, alm
do hardware, um algoritmo de controle que aborde de fato todas as fases de
validao, de acordo com a norma, baseando-se em anlise formal utilizando
modelos matemticos capazes de lidarem com assincronismos, paralelismos,
conflitos e volatilidade de eventos esprios?
1.4.2 Hipteses e pressupostos bsicos
A fim de assegurar a reduo de riscos de processos industriais para nveis
aceitveis definidos por regras corporativas, o projeto de SIS deve contemplar o
diagnstico e tratamento de falhas com o objetivo de preveno de riscos ou
mitigao das consequncias provocadas por estes riscos. Desta forma, o
desenvolvimento de uma sistemtica que utilize modelos matemticos para o
desenvolvimento de algoritmos de controle para diagnstico e tratamento de falhas,
implica na definio de algumas hipteses:
Do ponto de vista de segurana em um processo industrial, as falhas so
assumidas como binrias, isto , apresentam somente dois estados (ex.: 0 / 1;
Off / On) (MARCOS; LVAREZ; FERNNDEZ, 2001).
A abordagem deste trabalho baseada na caracterizao da dinmica do
sistema e orientada pela ocorrncia de eventos que podem ser tratados como
instantneos e, portanto, podem ser tratados como SED (Sistema a Eventos
Discretos) (MIYAGI, 2007).
Para o diagnstico de falhas, considera-se que est disponvel de
conhecimento prvio sobre o processo e/ou dados probabilsticos baseados
no histrico de ocorrncias passadas.
1.4.3 Definio do tipo de pesquisa
A pesquisa, quanto sua finalidade, foi desenvolvida como pesquisa aplicada,
pois o seu resultado fornece para os engenheiros de projetos de sistemas de
23
controle de segurana, uma sistemtica para o desenvolvimento de algoritmos de

controle para SIS, baseados em Controladores Programveis (CP) e que utiliza
mtodos matemticos previstos pelas normas IEC 61508 e IEC 61511.
A fonte de dados utilizada para esta pesquisa foi baseada em dados obtidos
atravs de livros, artigos cientficos e principalmente nas normas vigentes IEC 61508
e IEC 61511. Adicionalmente, a natureza dos dados obtidos foi qualitativa, onde o
objetivo foi identificar as relaes causa e efeito para o diagnstico de falhas e suas
consequncias a partir de relatrio de anlise de riscos (HAZOP) e especificaes
de segurana.
Finalmente, quanto aos objetivos pretendidos, a pesquisa foi descritiva, ou seja,
procurou-se definir o problema; descrever em detalhes as partes e suas relaes;
estudar e aplicar tcnicas para soluo do problema e produzir uma sistemtica e
aplic-la a um estudo de caso real.
1.4.4 Mtodo de investigao
O mtodo de investigao adotado nesta metodologia foi o dedutivo. Foram
pesquisadas tcnicas de modelagem de sistemas de controle de segurana, no
contexto de SED para tratamento de falhas onde foi adotada a rede de Petri. No
caso de diagnstico de falhas, a tcnica de modelagem pesquisada baseada em
probabilidades foi a rede Bayesiana.
Estas tcnicas foram ento aplicadas de forma sistemtica, para o diagnstico,
coordenao e tratamento de falhas em um estudo de caso real e os resultados
atingidos foram analisados e validados de acordo com as especificaes tcnicas.
1.4.5 Ciclo de vida do projeto de pesquisa
De acordo com Jensen (1992), detalham-se a seguir os aspectos associados s
teorias, ferramentas e aplicaes envolvidas no desenvolvimento do presente
trabalho (Figura 1.2).
24
FERRAMENTAS
TEORIA
APLICAES
Figura 1.2 - Ciclo de vida para desenvolvimento da pesquisa (JENSEN, 1992).

uma abordagem de engenharia que, no presente trabalho, considerou os
aspectos formais associados definio de modelos, os mtodos de anlise
aplicveis graas s ferramentas computacionais existentes e as aplicaes em
processos industriais como motor de desenvolvimento de novos paradigmas.
Os trs aspectos identificados por (JENSEN, 1992) evoluram simultaneamente,
condicionando-se mutuamente. Os desenvolvimentos nas trs reas identificadas se
beneficiaram das sinergias resultantes das atividades em cada uma das outras duas
reas.
A Figura 1.3 sintetiza as principais referncias do presente trabalho em termos
de trilogia apresentada.
FERRAMENTAS
ASPECTOS TERICOS
Rede de Petri
Rede Bayesiana
Sistema Instrumentado de
Segurana (IEC61508, IEC61511)
Classificao de falhas
Modelagem de SEDs
Controle de SEDs
Algoritmos de
aprendizagem
Simulao discreta
Programao de CPs
APLICAES
Diagnstico de falhas
Controle do diagnstico de
falhas
Tratamento de Falhas
Especificao de sistemas
de controle de segurana
Controle de SIS
Figura 1.3 - Ciclo de desenvolvimento considerado nesta pesquisa.
25
1.5
ESTRUTURA DO TRABALHO
No Captulo 1, apresenta-se inicialmente uma introduo, onde esto descritas

as motivaes, as justificativas, o objetivo e a metodologia de pesquisa utilizada para
a elaborao deste trabalho.
No Captulo 2, faz-se inicialmente uma discusso a respeito do conceito de falha
e prope-se uma classificao adequada para o contexto deste trabalho. Em
seguida apresenta-se uma reviso bibliogrfica sobre sistemas instrumentados de
segurana (SIS), sobre as normas aplicadas segurana funcional (ANSI / ISA SP
84.01; 1996; IEC 61508, 1998; IEC 61511, 2003) em indstrias de processo.
Finalmente, so apresentados os requisitos para o desenvolvimento de algoritmos
de controle de projetos de SIS.
No Captulo 3, so abordadas as tcnicas utilizadas para modelagem e
validao de algoritmos de controle para projetos de SIS.
No Captulo 4, proposta uma sistemtica para desenvolvimento e validao de
algoritmos de controle para projetos de SIS, e que aborda a utilizao de modelos
matemticos a partir da rede Bayesiana e rede de Petri. Os algoritmos de controle
sero implementados em sistemas eletrnicos programveis (PES) e abordam o
diagnstico, coordenao e tratamento de falhas crticas.
No Captulo 5, apresentado um exemplo de aplicao, de uma estao de
compresso de gs natural (ECOMP); onde a sistemtica proposta aplicada para o
desenvolvimento de algoritmos de controle de diagnstico, coordenao e
tratamento de falhas crticas.
No Captulo 6 so descritas as principais concluses e as sugestes que podem
contribuir para a evoluo deste trabalho. A referncia bibliogrfica encerra este
trabalho.
H tambm dois anexos com a seguinte finalidade:
Anexo A - apresenta o algoritmo K2 utilizado para o exemplo de aplicao da

ECOMP.
Anexo B - apresenta a estrutura de programao e os algoritmos de controle

para diagnstico, coordenao e tratamento da falha crtica SIF-01,
identificada no estudo de caso da ECOMP.
26
2 SISTEMA INSTRUMENTADO DE SEGURANA

Do ponto de vista de segurana em um processo industrial, as falhas so
usualmente binrias, isto , apresentam somente dois estados (ex.: 0 / 1; Off / On)
(MARCOS; LVAREZ; FERNNDEZ, 2001). A abordagem deste trabalho considera
que a dinmica do sistema, do ponto de vista de segurana, orientada pela
ocorrncia de eventos considerados crticos (falhas crticas) e, portanto, podem ser
tratados como sistema a eventos discretos (SEDs) permitindo sua modelagem e
anlise com ferramentas formais, como a rede de Petri (MIYAGI, 2007). A seguir fazse uma descrio sobre SED.
Ao longo da evoluo tecnolgica iniciada no final do sculo XIX, muitas
solues para os problemas de produo foram implementadas explorando a
capacidade humana de abstrair situaes e fazer com que sistemas se comportem
de forma automtica segundo uma lgica predefinida. Foram criados assim os
sistemas concebidos e feitos pelo homem e para o homem (ITO, 1991) envolvendo
sistemas como linhas de produo e montagem, redes computacionais e de
comunicao, sistemas de edifcios inteligentes, sistemas de transito, sistemas de
comando, comunicao e controle inteligente (C3I), etc. (HO, 1987). Neste sentido,
CASSANDRAS (1993) apresenta uma classificao de sistemas, que considera os
diferentes aspectos que os caracterizam.
A ocorrncia de eventos no SED em geral em intervalos de tempo irregulares e
desconhecidos (RAMADGE; WONHAM, 1989) o que caracteriza no sistema um
primeiro nvel de indeterminismo com relao ao tempo (SANTOS FILHO, 2000).
Estes eventos - como a chegada de material, incio ou trmino de uma tarefa ou
processo, etc. - determinam a mudana de um estado para outro, que por sua vez
mantido constante at a ocorrncia de um novo evento (CURY, 2001). Em
contraposio, existem os sistemas de variveis contnuas (SVC), cuja mudana de
estado ocorre de forma continua ao longo do tempo, e cuja dinmica descrita por
variveis contnuas.
Embora a histria do controle de SED seja to antiga quanto ao do controle de
SVC (MIYAGI, 2007), o estudo de SED relativamente recente em relao ao
conhecimento alcanado nos SVC. Nota-se que a modelagem matemtica do SED
ainda est longe de sua consolidao (HO, 1992), (CASSANDRAS; LaFORTUNE,
27
1999). O problema de controle em SED consiste em estabelecer um conjunto de

regras e restries que permitam ao sistema se comportar segundo uma lgica prestabelecida, atuando conforme uma sequncia de procedimentos que atendam o
objetivo da produo, no caso de sistemas produtivos industriais.
2.1
CONCEITO DE FALHA CRTICA
Segurana e confiabilidade so parmetros essenciais para projetos de sistemas

de controle (GOBLE, 1998). Os benefcios econmicos atingidos com projetos de
sistemas de controle seguros e confiveis incluem menor perda de produo,
produtos de alta qualidade e reduo de custos com riscos.
O parmetro confiabilidade a medida de sucesso. Confiabilidade geralmente
definida como a probabilidade que um dispositivo ou componente ir realizar sua
funo quando for exigido para operar, dentro de limites especficos projetados
(GOBLE, 1998).
O parmetro segurana a medida da capacidade de um sistema falhar de
modo seguro, promovendo um sistema livre de riscos no aceitveis (GOBLE, 1998;
IEC 61511, 2003).
O termo risco define uma mtrica para quantificao do prejuzo, danos
ambientais e perdas econmicas, de forma correlata, ou seja: probabilidade de
ocorrncia de uma falha e magnitude dos prejuzos ou perdas decorrentes desta
falha (BELL, 2005). Assim, risco medido em termos das consequncias para a vida
humana, danos ao meio-ambiente e perda de equipamentos. Ainda neste contexto,
devemos esclarecer o conceito de falha. O termo falha segundo a (IEC 61511,
2003) definido como uma condio anormal que pode causar uma reduo ou
perda da capacidade de uma unidade funcional. Neste trabalho, est sendo proposto
o termo falha crtica como um sinnimo de evento perigoso ou desvio de uma
varivel controlada de sua faixa de operao segura e que conduz o processo
industrial a um risco com magnitude no aceitvel 8.
8 Por risco no aceitvel entende-se por aquele que est em desacordo com os regulamentos
internos de uma corporao, e/ou das leis regulamentadoras de mbitos nacional e internacional e/ou
das normas contratuais das instituies securitrias.
28
Neste contexto, proposta neste trabalho uma classificao das falhas em dois
grandes grupos:
Falhas no crticas: so eventos associados a riscos de magnitude aceitvel,

ou seja, o comportamento especificado do sistema/processo pode ser
recuperado de forma automtica pelo sistema de controle de processo bsico
(BPCS), que pode envolver interveno de operadores humanos, para que o
processo industrial possa ser regenerado de forma controlada para um estado
normal de operao.
Falhas crticas: so eventos associados a riscos de magnitude no aceitvel e

que devem ser prevenidos ou mitigados, a fim de evitar um cenrio
catastrfico, podendo ocasionar fatalidades humanas e danos ao meio
ambiente. Neste contexto, o processo industrial dever ser degenerado de
forma controlada, por ao de um sistema de controle especfico, para um
estado seguro.
As falhas consideradas criticas, do ponto de vista de segurana em um processo

industrial, so usualmente binrias, isto , apresentam somente dois estados (ex.: 0 /
1; Off / On) (MARCOS; LVAREZ; FERNNDEZ, 2001). A abordagem deste
trabalho considera que a dinmica do sistema, do ponto de vista de segurana,
orientada pela ocorrncia de eventos considerados crticos (falhas crticas) e,
portanto, podem ser tratados como sistemas a eventos discretos (SEDs) permitindo
sua modelagem e anlise com ferramentas formais, como a rede de Petri (MIYAGI,
2007).
2.2
CAMADAS DE REDUO DE RISCOS
Existe sempre certo risco na operao de processos industriais. Algumas vezes

este risco inaceitvel devido sua magnitude. Desta forma, a reduo da magnitude
dos riscos poder ser exigida por regras corporativas, leis regulamentadoras e
companhias de seguro. Isto faz surgir um conceito de risco aceitvel. Quando um
risco inerente maior que o risco aceitvel, ento exigida a reduo deste risco
(GOBLE, 1998).
Com o objetivo de reduzir os riscos em processos industriais, camadas
individuais de reduo de riscos podem ser empregadas dentro de uma estrutura
29
hierrquica de controle. Estas camadas de reduo so dispositivos, sistemas ou

aes capazes de prevenir um cenrio de consequncias indesejveis. Elas so
independentes do evento inicial e ao ou falha de qualquer outra camada de
reduo associada a este cenrio (CRUZ-CAMPA et al.; 2009).
A Figura 2.1 mostra a reduo do risco inicial de um processo industrial ao nvel
de risco aceitvel. O objetivo de uma corporao ajustar os seus processos
industriais de tal forma que o risco inerente fique abaixo do risco aceitvel, restando
sempre um risco residual, uma vez que impossvel do ponto de vista prtico, a
situao de sistema infalvel e de risco zero. Portanto, outras camadas podem ser
empregadas para a reduo do risco, como por exemplo, atravs do uso de outras
tecnologias relacionadas segurana (exemplo: vlvulas de alvio, etc.) ou atravs
de facilidades externas (ex: barreiras ou diques de conteno, invlucros ou
compartimentos prova de exploso, etc.). O foco do presente trabalho concentrase na camada de reduo de riscos associada implantao de um sistema
instrumentado de segurana (SIS).
Figura 2.1 - Reduo de riscos conceitos gerais (baseada na Figura A.1 IEC
61508-5;1998).
A estratgia de preveno de acidentes comea no projeto da instalao que
deve ser inerentemente segura. Entretanto, alguns processos industriais se tornam
perigosos em determinadas situaes que saem de controle por algum motivo como:
elevadas temperaturas ou altas presses. Alm disso, quando se trata de
30
substncias inflamveis e/ou txicas, nem sempre uma instalao inerentemente

segura justifica os elevados custos associados. Para estes casos, outras medidas de
segurana foram desenvolvidas e as principais delas esto representadas na Figura
2.2.
Figura 2.2 - Camadas de reduo de riscos (adaptado da norma IEC 61511-1).

No caso do SIS, as camadas de reduo de riscos so projetadas para
preveno ou mitigao de riscos.
As camadas de preveno impedem a ocorrncia de falhas crticas, desde que o
projeto destas camadas permita o diagnostico e tratamento adequados destas
falhas. Estas camadas de preveno envolvem:
Concepo e projeto de procedimentos de controle para prevenir ou reduzir

falhas crticas;
Sistema de controle bsico de processo (BPCS) que capaz de atender a

determinados requisitos de segurana de um projeto adequado de controle;
Alarmes de alerta de situaes crticas ao operador;
Sistemas instrumentados de segurana (SIS); etc.
As camadas de mitigao so projetadas para reduzir as consequncias

geradas aps a ocorrncia de falhas crticas. Estas camadas envolvem:
Proteo ativa: sistemas de alvio (vlvulas de alvio, discos de ruptura, etc.);
31
2.3
Proteo passiva: sistemas de conteno (diques);
Planos de emergncia para minimizar o impacto planta e comunidade;
Alarmes de alerta de situaes crticas ao operador;
Sistemas instrumentados de segurana (SIS); etc.
CARACTERSTICAS DE UM SIS
Sistema instrumentado de segurana (SIS) constitui um sistema de controle de

segurana que tem como objetivo, reduzir os riscos em processos industriais,
quando identificado pela corporao, que existem riscos no aceitveis nestes
processos durante sua operao. De uma forma geral, o SIS pode atuar de duas
formas: (i) para prevenir a ocorrncia de falhas crticas ou (ii) para mitigar as
consequncias geradas pela ocorrncia de falhas crticas..
Portanto, a implantao de um SIS uma medida de segurana que constitui
uma das camadas de reduo de riscos independentes previstas na norma IEC
61508 para manter a operao de um processo industrial dentro de um nvel
aceitvel de risco. Esta condio s possvel de ser atingida se todas as medidas
de reduo de risco forem planejadas de forma adequada, pois medidas isoladas ou
mal gerenciadas no previnem contra a maioria dos acidentes.
O SIS pode ser implementado a partir do uso de sistemas mecnicos, eltricos,
eletrnicos e eletrnicos programveis (E/E/EPs). Este trabalho aborda o projeto de
SIS a partir do uso de sistemas eletrnicos programveis (PESs) ou controladores
programveis (CPs) de segurana. A Figura 2.3 ilustra atravs de um diagrama de
blocos, os componentes de hardware de um SIS a partir do uso de PES. O SIS
constitudo por um ou mais sensores de segurana, um ou mais controladores
programveis de segurana (PESs) e um ou mais atuadores de segurana
(LUNDTEIGEN; RAUSAND, 2009).
Figura 2.3 - Componentes de hardware de um SIS a partir do uso de PES.
32
De acordo com Lundteigen e Rausand (2009), um SIS instalado para detectar

eventos crticos (ex.: vazamento de gs, altas presses) para evitar ou mitigar suas
consequncias
aos
seres
humanos,
meio-ambiente
equipamentos.
Adicionalmente, segundo Rouvroyne e Bliek (2002), o SIS usado para trazer o

processo industrial a um estado seguro (ex.: desligamento de emergncia quando
pr-condies de variveis de controle so violadas).
Neste contexto, a funo de um SIS monitorar atravs de sensores de
segurana, eventos crticos no processo industrial e indicar alarmes ou executar
aes pr-programadas, atravs de atuadores de segurana, para a preveno de
acidentes ou mitigao das consequncias geradas pela ocorrncia desses eventos
(GOBLE, 1998). Adicionalmente, Goble (1998) define que um SIS:
No melhora o rendimento de um processo.
No aumenta a eficincia de um processo.
Reduz gastos com perdas.
Reduz custos de riscos.
Desta forma o SIS um sistema desenvolvido para causar a reduo de riscos e

responsvel pela degenerao do processo industrial de forma controlada para um
estado seguro, caso seja diagnosticada uma falha crtica.
2.3.1 Funo instrumentada de segurana (SIF)
O SIS implementa uma ou mais funes instrumentadas de segurana (safety
instrumented function ou SIF) (CRUZ-CAMPA et al., 2009). Cada SIF visa detectar
uma condio perigosa e automaticamente tomar aes apropriadas para mover o
processo para um estado seguro (CRUZ-CAMPA et al., 2009).
Do ponto de vista de hardware, um SIS implementa suas SIFs por meio de:
um ou mais sensores (ex.: temperatura, presso, nvel, fogo, fumaa,

concentrao de gs, etc.);
um ou mais dispositivos eltricos / eletrnicos / eletrnico programveis

(E/E/EPs) onde EP tambm denominado de PES um controlador
programvel de segurana;
um ou mais atuadores (ex.: vlvulas de segurana, chaves eltricas, etc.).
33
2.3.2 Nvel de integridade de segurana (SIL)

O nvel de integridade de segurana (safety integrated level ou SIL) a medida
da segurana que se espera do SIS na realizao de sua funo quando solicitado
(DUTUIT et al., 2008b), ou seja, o SIL reflete aquilo que os usurios finais podem
esperar de um dispositivo ou sistema na sua funo e, em caso de falha, que a falha
ocorra de maneira segura. Falha segura aquela que quando diagnosticada, faz
com que o SIS degenere de forma controlada o processo industrial, levando este
processo para um estado seguro (ex.: equipamento desligado). SILs so medidas
de segurana associadas a sistemas e seus componentes.
O SIL foi introduzido durante o desenvolvimento da norma IEC 61508. Esta
norma trata de sistemas instrumentados de segurana e segurana funcional. O
termo segurana funcional a segurana que sistemas relacionados segurana
fornecem para o processo todo ou planta.
Neste contexto, a norma IEC 61508, considera que existem quatro classes de
SIL. A Tabela 2.1 mostra cada classe de SIL de acordo com a IEC 61508.
Tabela 2.1 Nveis de integridade de segurana (SIL) (IEC 61508).

Nvel de
integridade de
segurana (SIL)
Probabilidade de falha sob demanda (PFD)
Fator de reduo de
risco
(FRR)
0,0001 0,00001
10000 - 100000
0,001 0,0001
1000 - 10000
0,01 0,001
100 - 1000
0,1 0,01
10 - 100
2.3.3 Probabilidade de falha sob demanda (PFD)

Considerando-se novamente a Tab. 2.1, observa-se que a probabilidade de falha
sob demanda (PFD) crucial para dimensionar o SIL, sendo um parmetro
importante para medir a capacidade de reduo de risco de um SIS.
34
Segundo Rouvroye et al. (2002), a PFD a probabilidade mdia de que uma

SIF no estar apta para executar sua funo sob demanda do processo que ela
protege. Seguem abaixo, dois exemplos elucidativos para entender melhor este
conceito:
Exemplo 1: no caso da SIF determinar a desenergizao das sadas em

caso de falha crtica, PFD a probabilidade do sistema falhar provocando
sadas energizadas.
Exemplo 2: no caso da SIF determinar a energizao das sadas em caso de

falha crtica, PFD a probabilidade do sistema falhar provocando sadas
desenergizadas.
A PFD de um sistema obtida a partir de um relatrio de anlise de riscos deste

sistema. Neste relatrio, so identificadas as SIFs que compem o sistema sob
anlise e para cada SIF so definidas as respectivas PFDs. Portanto, a PFD
resultante de um sistema obtida a partir da SIF mais crtica, ou seja, aquela que
requer maior nvel de segurana ou maior fator de reduo de risco (FRR). A sintaxe
para o clculo da PFD do sistema mostrada na equao (2.1).
PFDsist=MNIMO(PFD1 :PFD2 : . . . . :PFDn-1 :PFDn)
(2.1)
2.3.4 Fator de reduo de risco (FRR)

Outro parmetro fundamental para dimensionar o SIL o fator de reduo de
risco (FRR), conforme a Tab. 2.1. Goble (1998) define o fator de reduo de risco
(FRR) como sendo a relao entre o risco inerente e o risco aceitvel, de acordo
com a equao (2.2).
FRR=
risco inerente
(risco aceitvel)
(2.2)
O risco inerente o risco presente em um processo industrial quando em

operao normal. Algumas vezes o risco inerente maior que o risco admitido como
aceitvel. Neste caso, medidas de reduo de risco devem ser empregadas. Da a
necessidade de se calcular o fator de reduo de risco como mtrica para a
determinao do SIL de acordo com as PFDs associadas s SIFs presentes na
especificao de projetos de SIS.
35
Ainda segundo Goble (1998), o fator de reduo de risco o inverso da PFD, de

acordo com a equao (2.3).
FRR=
2.4
1
PFD
(2.3)
CONTROLADOR PROGRAMVEL DE SEGURANA
O sistema eletrnico programvel (PES) definido pela IEC 61508 (1998) como
um dos sistemas usados para a realizao das funes de segurana em aplicaes
crticas formado por um ou mais circuitos de entrada, um processador (CPU) e um
ou mais circuitos de sada.
No contexto deste trabalho, o PES baseado em um sistema microprocessado
ou microcontrolado denominado de controlador programvel (CP) de segurana. O
CP de segurana um controlador programvel designado para uso em aplicaes
relacionadas com a segurana funcional (LIU et al., 2008).
Segundo a IEC 61508 (1998), o que difere um CP de segurana de um CP
convencional :
a funo de diagnstico implementada em cada elemento do CP de
segurana,
arquiteturas de redundncias para tratamento de sistemas tolerantes a falhas
de hardware;
a garantia de falha-segura, isto , caso um elemento falhe, a falha no coloca
o processo em um estado no seguro;
a certificao diferenciada destes equipamentos. No caso dos CPs de
segurana, a certificao de acordo com a norma IEC 61508.
2.4.1 Arquiteturas do CP de segurana
As arquiteturas de CP de segurana aplicadas a SIS podem ser classificadas em
(i) sem redundncia ou (ii) com redundncia.
As arquiteturas com redundncia so utilizadas para aumentar a confiabilidade
destes sistemas com relao tolerncia de falhas de hardware.
36
2.4.1.1
Arquitetura 1oo1D
A Figura 2.4 mostra uma arquitetura 1oo1D (l-se 1 de 1 com diagnstico) de um

CP de segurana. Esta arquitetura adiciona chave acionada pelo circuito de sada,
uma chave em srie acionada pelo circuito de diagnstico. Se uma falha perigosa9
for detectada pelo circuito de diagnstico, esta chave pode desenergizar a sada
convertendo falhas perigosas em falhas seguras10.
Figura 2.4 - Arquitetura 1oo1D de um CP de segurana.

2.4.1.2
Arquitetura 1oo2D
Na arquitetura 1oo2D (l-se 1 de 2 com diagnstico), dois CPs de segurana

podem ser interligados para minimizar o efeito de falhas perigosas. Esta arquitetura
utiliza dois processadores independentes (CPU) com seus respectivos circuitos de
entrada, sada e circuitos de diagnstico. As quatro sadas desta arquitetura esto
interligadas em srie. Caso ocorra uma falha em um dos CPs, a sada
desenergizada (falha-segura). Esta arquitetura oferece baixa probabilidade de falha
sob demanda, porm aumenta a probabilidade de ocorrncia de falha segura. A
Figura 2.5 mostra uma arquitetura 1oo2D.
9 Por falha perigosa entende-se por uma falha no nvel de hardware do circuito eletrnico e que
impede o dispositivo de realizar sua funo de segurana; exigido pelas normas aplicveis e regras
de certificao.
10 Por falha segura entende-se por aquela cujo risco apresenta uma magnitude aceitvel, exigido
por regras corporativas e normas aplicveis.
37

2.4.1.3
Arquitetura 2oo2D
Outra arquitetura com dois CPs de segurana foi desenvolvida para situaes
onde falhas com sadas desenergizadas no so desejadas. Esta arquitetura
aplicada a sistemas de proteo do tipo energizao na falha. As sadas dos dois
CPs so interligadas em paralelo, conforme mostrado na Figura 2.6. Se um CP
falhar com suas sadas desenergizadas, o outro CP ainda ser capaz de manter a
carga energizada.
38

2.4.1.4
Arquitetura 2oo3
A arquitetura 2oo3 (l-se 2 de 3) utilizada para tolerar ambos os tipos de falhas

denominadas de segura (sada desenergizada) e perigosa (sada energizada).
Esta arquitetura fornece segurana e alta disponibilidade com a utilizao de trs
CPs.
Duas sadas de cada CP so necessrias para cada canal de sada. Estas duas
sadas so interligadas em um circuito de votao, que determina o estado da
sada, conforme mostrado na Figura 2.7. A sada atual igual ao da maioria, ou
seja, quando pelo menos duas sadas estiverem em on, a carga ser energizada.
Por outro lado, quando pelo menos duas sadas estiverem em off, a carga ser
desenergizada.
39
Figura 2.7 - Arquitetura 2oo3 de um CP de segurana.
2.5
NORMAS APLICADAS SEGURANA FUNCIONAL
As normas aplicadas segurana funcional e integridade de SIS na rea de

processos industriais, so as normas IEC 61508 , IEC 61511 e ANSI/ISA SP 84.01.
De acordo com a IEC 61508-4 a segurana funcional parte da segurana
global do equipamento ou processo sob controle e que depende do correto
funcionamento dos equipamentos E/E/EP relacionados segurana ou outras
tecnologias e facilidades externas de reduo de riscos. Nesta seo sero
discutidas as normas IEC 61508, IEC 61511 e ANSI/ISA SP 84.01.
40
2.5.1 IEC 61508

A IEC 61508 uma norma internacional desenvolvida pela International
Electrotechnical Commission (IEC) aplicvel segurana funcional de equipamentos
eltricos, eletrnicos e eletrnicos programveis (E/E/EP). Ela pode ser chamada de
documento padro, pois normas de segurana para diferentes segmentos industriais
e aplicaes derivam desta norma. Esta norma tem dois objetivos:
orientar indstrias no desenvolvimento de normas suplementares que

atendam os requisitos de segurana de suas aplicaes;
permitir o desenvolvimento de equipamentos E/E/EP relacionados

segurana, onde normas deste setor de aplicao no existem, sendo
aplicada tambm para a certificao de hardwares e softwares destes
equipamentos.
A Figura 2.8 mostra as principais normas de segurana vigentes para indstrias

de diversos segmentos, entretanto, todas elas usam a IEC 61508 como referncia.
Figura 2.8 - Normas de segurana vigentes para diferentes segmentos industriais.
A norma IEC 61508 baseada em dois conceitos fundamentais:
Ciclo de vida de segurana.
Nveis de integridade de segurana (SILs).
41
O ciclo de vida de segurana definido como um processo de engenharia que

inclui todos os passos necessrios para se atingir a segurana funcional exigida.
Segundo a IEC 61508, o ciclo de vida de segurana definido como um conjunto de
atividades necessrias envolvidas na implementao de SIFs, ocorrendo durante o
perodo de tempo que comea na fase de concepo e finaliza quando todas as
SIFs no so mais utilizadas. A Figura 2.9, mostra o diagrama de ciclo de vida de
segurana segundo a IEC 61508. Nesta Figura so mostradas as atividades do
projeto do SIS, comeando a partir da concepo do projeto e finalizando quando
todas as SIFs no so mais utilizadas, ou seja, quando o sistema no realiza mais
sua funo.
Figura 2.9 - Ciclo de vida de segurana. Adaptado de (IEC 61508; 1998).
interessante comentar que cada fase deste ciclo de vida, est relacionada com
uma ou vrias partes da norma IEC 61508. A norma IEC 61508 constituda por
sete partes: IEC 61508-1 a IEC 61508-7, abaixo descritas:
IEC 61508-1: requisitos gerais;
IEC 61508-2: requisitos para sistemas E/E/EP relacionados segurana;
IEC 61508-3: requisitos de software;
IEC 61508-4: definies e abreviaes;
IEC 61508-5: exemplos de mtodos de determinao dos SILs;
42
IEC 61508-6: orientaes na aplicao da IEC61508-2 e -3;
IEC 61508-7: visualizao geral de tcnicas e medidas.
2.5.2 IEC 61511 e ANSI / ISA SP 84.01

A IEC 61511 a norma internacional aplicvel integridade de SIS em
indstrias de processo (CRUZ-CAMP et al., 2009).
A IEC 61511 estabelece requisitos para o chamado ciclo de vida de segurana
do SIS. Este ciclo de vida de segurana inclui requisitos para a especificao,
projeto, implementao, operao, manuteno e modificao do SIS desde sua
concepo at o seu decomissionamento11 (CRUZ-CAMPA et al., 2009). A Figura
2.10 mostra esse ciclo de vida de segurana de acordo com a norma IEC 61511.
Pode-se observar que as atividades presentes no ciclo de vida de segurana
previsto na IEC 61511, assemelham-se s atividades indicadas na norma IEC
61508, entretanto, ela estabelece uma atividade de gerenciamento e planejamento
de todas as atividades do ciclo de vida de segurana, atravs de auditoria e
avaliao destas atividades.
Figura 2.10 - Ciclo de vida de segurana. Adaptado de (IEC 61511; 2003).

11 Decomissionamento considerado um processo formal para remover o sistema do seu estado
ativo e para desativar o processo industrial; no comprometendo a sade das pessoas, preservando
o meio-ambiente e o estado dos equipamentos associados.
43
interessante comentar que cada fase deste ciclo de vida, est relacionada com
uma ou vrias partes da norma IEC 61511. A norma IEC 61511 constituda por trs
partes: IEC 61511-1 a IEC 61511-3, abaixo descritas:
IEC 61511-1: estrutura, definies, sistema, requisitos de hardware e

software;
IEC 61511-2: orientaes na aplicao da IEC 61151-1;
IEC 61511-3: orientao para a determinao dos SILs exigidos.
No presente trabalho, consideram-se tambm as normas internacionais

aplicveis segurana funcional de sistemas relacionados com a segurana do
setor industrial de processos que so:
IEC 61508 (1998) - Segurana funcional de sistemas eltrico / eletrnico /

eletrnico programvel relacionvel segurana.
IEC 61511 (2003) - Segurana funcional SIS para o setor de indstria de

processos, tambm aceita pelo comit formado pela ANSI (American
National Standards Institute) juntamente com a ISA (Instrumentation,
Systems and Automation Society) no projeto ISA 84 como ANSI/ISA SP
84.01 (2004).
A principal diferena entre a IEC 61511 e a ANSI/ISA SP 84.01 que na norma

ANSI/ISA foi adicionada uma clusula aplicvel a sistemas j comissionados e em
operao antes da sua publicao. Esta clusula permite que as companhias
mantenham seus projetos de SISs existentes de acordo com as normas anteriores
(ANSI/ISA SP 84.01, 1996) desde que todas as fases de projeto, manuteno,
inspeo, testes e operao ocorram de maneira segura (CRUZ-CAMPA et al.,
2009), isto , executando procedimentos de validao e verificao previstos pela
norma IEC 61511, de acordo com a Figura 2.10.
A Figura 2.11 mostra como as normas IEC 61508 e IEC 61511 vm sendo
aplicadas no setor industrial. Ambas so aplicveis no setor de processos. A IEC
61508 dirigida para fabricantes e fornecedores de tecnologias aplicadas
segurana funcional, enquanto que, a IEC 61511 dirigida para empresas de
projetos de SISs, integradores de sistemas e usurios finais de SISs, ou seja, a
primeira suporta o desenvolvimento de dispositivos de hardware enquanto a
segunda orienta o desenvolvimento de SISs que utilizam este hardware.
44
Figura 2.11 - Relao entre as normas IEC 61508 e IEC 61511. Adaptado de (IEC
61511; 2003).
2.5.3 Requisitos para o programa de controle de um SIS

No contexto deste trabalho, o programa de controle contempla o cdigo usado
para o diagnstico e tratamento das falhas crticas de um processo industrial. Este
cdigo deve ser desenvolvimento e compilado12 atravs de um software utilitrio. O
cdigo compilado ento transferido para a memria de programa do PES ou
controlador programvel de segurana, a fim de executar o cdigo e as funes de
segurana especificadas no projeto do SISs. Nesta seo, ser discutido os
requisitos para o desenvolvimento do algoritmo de controle de um SIS, de acordo
com a norma IEC 61511.
A norma IEC 61511, parte 1, clusula 12, trata dos requisitos para o algoritmo de
controle ou software de aplicao para SIS. A norma reconhece trs tipos de
softwares (Fig. 2.12) e trs tipos de linguagens de programao (Fig. 2.13) utilizadas
para o desenvolvimento destes softwares.
12 Converso de um programa de linguagem de alto nvel em um programa em cdigo de mquina, o

qual pode ser executado diretamente por um microprocessador ou microcontrolador.
45
Figura 2.12 - Tipos de softwares para SIS. Adaptado de (IEC 61511; 2003).
O programa de controle um cdigo desenvolvido de acordo com a aplicao
do usurio. No contexto deste trabalho, o cdigo que executa o diagnstico e
tratamento das falhas crticas do SIS. Em geral, ele contm sequncias lgicas,
permissividades, limites e expresses que coletam os sinais de entradas e acionam
as sadas apropriadas, executam clculos e tomam decises necessrios para
atender aos requisitos funcionais do SIS.
O software utilitrio a ferramenta para o desenvolvimento, modificao e
documentao dos algoritmos de controle.
O software embarcado faz parte do pacote fornecido pelo fabricante do
equipamento / sistema e no acessvel para modificao. Este software tambm
referenciado como um firmware ou software do sistema (IEC 61511; 2003).
Figura 2.13 - Tipos de linguagens de programao para SIS. Adaptado de (IEC

61511; 2003).
46
O programa de controle desenvolvido por meio de uma linguagem de

programao que pode ser classificado de acordo com a estrutura na Figura 2.13.
A linguagem de programao fixa (LPF) uma linguagem usada para ajustar
parmetros na conFigurao de operao de dispositivos de controle como a faixa
de um transmissor de presso, nveis de alarmes, endereos de redes, etc. (IEC
61511). Como exemplos de dispositivos programados com LPF, pode-se citar os
sensores inteligentes, vlvulas inteligentes, rels eletrnicos, etc.
A linguagem com variabilidade limitada (LVL) uma linguagem de programao
que pode combinar funes pr-definidas em bibliotecas a fim de implementar as
especificaes dos requisitos de segurana (IEC 61511; 2003). Exemplos tpicos de
linguagens de programao do tipo LVL so as descritas pela norma IEC 61131-3
(1992) - diagrama ladder (LD), diagrama de blocos de funes (FBD) e grfico de
sequenciamento das funes (SFC) -. Estas linguagens so de uso comum em
controladores programveis (CPs) que so considerados como equipamentos
essenciais na implementao de sistemas de controle industriais.
A linguagem com variabilidade completa (LVC) uma linguagem de
programao com capacidade de implementar uma larga variedade de funes (IEC
61511; 2003). No setor industrial, este tipo de linguagem encontrado
frequentemente no desenvolvimento de softwares embarcados e raramente para a
programao de algoritmos de controle. Como exemplo de LVC pode-se citar as
linguagens Ada, C, Pascal, Instruction List, Java, etc.
De acordo com a norma IEC 61511 (2003), para aplicaes com nvel de
integridade de segurana at SIL 3, o desenvolvimento e modificao do algoritmo
de controle usando as linguagens LPF ou LVL permitido. Para aplicaes com SIL
4 e para aplicaes usando a linguagem LVL, o desenvolvimento e a modificao do
algoritmo de controle dever obedecer a IEC 61508.
47
TCNICAS UTILIZADAS PARA MODELAGEM E VALIDAO

DE ALGORTMOS DE CONTROLE
O sistema instrumentado de segurana (SIS) pode ser visto como um sistema
dirigido por eventos e que apresenta funcionalmente caractersticas como

reinicializao, assincronismo, paralelismo, concorrncia entre eventos, etc., motivo
pelo qual, podem ser tratados como SED. Alm disso, tem-se a necessidade de
desenvolver os modelos de diagnstico e tratamento de falhas crticas associadas s
SIFs de um SIS. Neste contexto, utiliza-se a tcnica de redes de Petri interpretada
para a descrio dos algoritmos de coordenao e tratamentos de falhas crticas; e
uma combinao de rede Bayesiana e rede de Petri interpretada para modelagem
dos algoritmos de diagnsticos de falhas crticas em SIS.
3.1
REDE DE PETRI (PN)
Rede de Petri (PN), como uma ferramenta grfica e matemtica, prov uma
forma uniforme para modelagem, anlise e projeto de SEDs (ADAM; ATLURI;
HUANG, 1998; NASSAR et al., 2008; ZURAWSKI; ZHOU, 1994), sendo efetiva
como tcnica de descrio e especificao de processos (HAMADI; BENATALLAH,
2003; MORALES; MELO; MIYAGI, 2007; YOO; JEONG; CHO, 2010). Fornece uma
representao que pode ser usada tanto como modelo conceitual quanto modelo
funcional de um sistema em que se pode analisar e validar o funcionamento do
sistema em cada fase de seu ciclo de desenvolvimento. A PN pode tambm ser
utilizada como uma ferramenta de comunicao que garante o formalismo
necessrio para integrar equipes de projeto, permitindo uma fcil interpretao e
identificao dos processos, do comportamento dinmico dos processos e/ou dos
sistemas que esto sendo modelados (NASSAR et al., 2008). Os modelos baseados
em PN podem ser usados para avaliao qualitativa e quantitativa, envolvendo a
anlise das propriedades comportamentais e
a medida
de desempenho,
respectivamente. Alm disso, com o desenvolvimento de simuladores desde a

dcada de 90 (ZURAWSKI; ZHOU, 1994), tem-se disposio ferramentas para
edio e anlise destes modelos. Possibilita a representao da dinmica do
sistema e sua estrutura em diversos nveis de abstrao, de acordo com a
complexidade do sistema (NASSAR et al., 2008). capaz de modelar a
48
sincronizao de processos, a ocorrncia de eventos assncronos, de operaes

concorrentes e de conflitos, ou do compartilhamento de recursos (ADAM; ATLURI;
HUANG, 1998; NASSAR et al., 2008; ZURAWSKI; ZHOU, 1994).
Desde sua apresentao por Carl Adam Petri (BRAUER; REISIG, 2006), a PN
tem sido usada na modelagem e anlise de diferentes tipos de sistemas e
aplicaes tais como: protocolos distribudos (KANESHIRO et al., 2008), aplicaes
industriais (NASSAR et al., 2008; ZURAWSKI; ZHOU, 1994), diagnstico e
tratamento de falhas no crticas (MORALES; MELO; MIYAGI, 2007; RIASCOS;
SIMES;
MIYAGI,
2006;
RU;
HADJICOSTS,
2008),
fluxo
de
processos
(KIEPUSZEWSKI; HOFSTED; AALST, 2003), controle supervisrio (LEE; ZHOU;

HSU, 2005) entre outras. Este trabalho pretende estender sua aplicao para o
diagnstico e tratamento de falhas crticas em projeto de SIS.
3.1.1 Formalizao
A PN uma 4-tupla associada com uma descrio de estado
indicada por . Onde e so conjuntos finitos, no nulos e disjuntos. o
conjunto finito de lugares e o conjunto finito de transies. o conjunto finito

dos relacionamentos entre lugares e transies e tambm chamado de conjunto de
arcos orientados. um conjunto de nmeros naturais no nulos que representam
os pesos de cada arco orientado. um conjunto de nmeros naturais que
representa a quantidade de marcas nos lugares, que tambm conhecido como

marcao dos lugares.
indica assim uma marcao inicial, isto , uma
distribuio de marcas nos lugares que caracteriza o estado inicial da PN (HAN et

al., 2008; MURATA, 1989; LI; ZHOU, 2008; XU et al., 2007; YOO; JEONG; CHO,
2010; ZURAWSKI; ZHOU, 1994). indica o nmero de marcas no lugar e
muitas vezes tambm indicado simplesmente por
Uma PN pode ser dita ordinria se (LI; ZHOU, 2008).
Em uma rede PN o pr-conjunto definido como
. O ps-conjunto definido como
Os pr-conjuntos (ps-conjuntos) de um conjunto de elementos so definidos como

a unio dos pr-conjuntos (ps-conjuntos) desses elementos (MURATA, 1989).
49
Numa PN est habilitada em ( simbolicamente ) se, e somente se,
. Uma transio habilitada pode ser disparada. Como
resultado de um disparo da transio tem-se uma nova marcao , que

denotado por , com se ; se
; e nos demais casos, para todo ( ADAM; ATLURI;

HUANG, 1998; LI; ZHOU, 2004).
Uma PN limitada se, e somente se, , e , tal que
, em que o conjunto das marcaes na PN alcanveis a partir
de . A PN dita pura se, e somente se, no h loops, isto ,

, ( LI; ZHOU, 2008).
Outra representao de uma PN por meio de matriz de incidncia e equaes
de estados. A matriz de incidncia numa PN representada por indexada
por e tal que , e com o arco orientado
ligando o lugar transio ou a transio ao lugar , (MURATA,

1989).
No caso de uma PN pura, a matriz tal que se ,
se e c=0 nos demais casos (DAVID; ALLA, 1994; ZURAWSKI;
ZHOU, 1994).
A dinmica de uma PN indica a mudana de estados da mesma e as regras de

mudana de estados da PN so base do sucesso dessa ferramenta na modelagem
de sistemas dinmicos (MURATA, 1989).
3.1.2 Representao grfica
De acordo com a definio da PN, existe uma representao grfica de seus
elementos, de acordo com a Figura 3.1.
Figura 3.1 - Representao grfica dos elementos de uma PN.
50
Graficamente a evoluo da marcao para de uma PN, conforme descrito
na seo 3.1.1, pode ser vista na Figura 3.2.
Figura 3.2 - Representao da dinmica da PN, em que (a) a PN antes do disparo

de e (b) a PN depois do disparo de.
3.1.3 Propriedades
A PN possui propriedades que permitem ao desenvolvedor do modelo identificar

a presena ou ausncia de comportamentos e funcionalidades especficas do
domnio da aplicao do sistema em estudo. As propriedades podem ser
distinguidas em comportamentais e estruturais (ZURAWSKI; ZHOU, 1994).
De acordo com Zurawski e Zhou (1994), as propriedades estruturais no
dependem do conjunto de marcas iniciais da PN, mas sim de sua topologia e as
propriedades comportamentais dependem do estado inicial da PN, ou seja, da
marcao inicial M0 e do conjunto de marcaes acessveis a partir da marcao
inicial
M0.
Ainda
segundo
Cardoso
Valette
(1997),
as
propriedades
comportamentais so reagrupadas sob o nome genrico de boas propriedades. Os

mtodos de anlise destas propriedades
podem basear-se no grafo de
alcanabilidade. Neste contexto, as boas propriedades so: limitabilidade e

segurana, vivacidade e reiniciabilidade.
As propriedades de interesse nesse trabalho so as boas propriedades a

seguir descritas:
51
3.1.3.1
Limitabilidade e Segurana
Na rea de comunicao e sistemas de informao, os lugares da PN so

frequentemente usados para representar reas de armazenamento de informao e
em sistemas de manufatura so usados em geral para representar armazenamento
de produtos e ferramentas. preciso garantir que as reas de armazenamento no
excedam sua capacidade (ZURAWSKI; ZHOU, 1994).
Em PN, a propriedade que verifica a capacidade de um lugar a limitao. Uma
rede dita k-limitada se o nmero de marcas em qualquer lugar , em que ,
sempre menor ou igual (com ) para toda marcao alcanvel a partir do
estado inicial (ZURAWSKI; ZHOU, 1994). Ou ento, em uma PN com, , se

(com ) tal que e , ento limitado. Define-se
que o limite de uma PN , . A Figura 3.3 ilustra uma PN no
limitada, pois o lugar pode receber infinitas marcas.
Uma PN dita segura se ela 1-limitada, ou seja, para todos lugares da
PN (HAN et al., 2008) (ZURAWSKI; ZHOU, 1994). A Figura 3.4 ilustra uma rede
segura.
Figura 3.3 - Exemplo de rede de Petri no limitada (ZURAWSKI; ZHOU, 1994).
Figura 3.4 - Exemplo de rede de Petri segura (ZURAWSKI; ZHOU, 1994).
52
3.1.3.2
Vivacidade e Reiniciabilidade
O conceito de vivacidade fortemente relacionado situao de deadlock

(estado em que a PN no pode disparar nenhuma de suas transies).
Uma rede considerada viva se , , isto , ela pode progredir por meio
de alguma sequncia de disparo. A partir de uma , a rede pode no estar

imediatamente em deadlock, mas pode existir uma limitao quanto a sequncia de
disparos que pode levar a PN a um estado de deadlock (ZURAWSKI; ZHOU, 1994)

(HAN et al., 2008). Por isso existem diferentes nveis de vivacidade para uma
transio t e uma marcao , esses diferentes nveis podem ser analisados
segundo o conjunto de todas possveis sequncias de disparos a partir de
representada por . Uma transio em uma PN dita:
-viva (ou morta) se no houver sequncia de disparos em em que
possa disparar;
-viva (potencialmente disparvel) se pode ser disparada pelo menos uma
vez em alguma sequncia de disparos em ;
-viva se pode ser disparada pelo menos k vezes em alguma sequncia
de disparos em , dado qualquer inteiro positivo;
-viva se pode ser disparada infinitamente, em alguma sequncia de
disparos em ;
-viva (ou viva) se -viva em todas as marcaes em .
Um caso de rede de Petri viva pode ser visto na Figura 3.5 e todas suas
transies so -vivas. J na Figura 3.6 a transio -viva, para a marcao
inicial , a transio -viva, a transio -viva e a transio -viva.
53
Figura 3.5 - Exemplo de rede de Petri reinicializvel e viva (ZURAWSKI; ZHOU,

1994).
P3
t2
P2
t1
t0
t3
P1
Figura 3.6 - Exemplo de PN com transies com diferentes nveis de vivacidade
(ZURAWSKI; ZHOU, 1994).
Uma rede considerada reinicializvel se alcanvel de e
alcanvel de (ZURAWSKI; ZHOU, 1994). A Figura 3.5 ilustra uma rede
reinicializvel e a Figura 3.7 ilustra uma rede no reinicializvel.
Figura 3.7 - Exemplo de rede de Petri no reinicializvel (ZURAWSKI; ZHOU, 1994).
Neste trabalho, para atender aos requisitos das normas IEC 61508 e IEC 61511,
as boas propriedades sero analisadas para cada etapa de construo dos
modelos de diagnstico, coordenao e tratamento das falhas de um SIS. A
54
propriedade de reiniciabilidade ser analisada a partir da simulao dos modelos

construdos com o uso da ferramenta HPSim (ANSCHUETZ, 2010) e as
propriedades de vivacidade e segurana (1-limitada) sero analisadas com o uso da
ferramenta PIPE2 (BONET et al., 2007).
Para a modelagem do comportamento de um SIS, ser utilizada a rede de Petri
interpretada que segundo Peterson (1977) a rede qual se associa uma
interpretao, ou significado, aos seus lugares e transies, passando por isso a
corresponder a algo real que se pretende modelar. No caso da rede de Petri
interpretada, so associadas variveis s transies da rede representando
condies e aes existentes no sistema. Tais variveis podem indicar o estado dos
atuadores, sensores, etc., permitindo assim, modelar a interao com o ambiente
externo (CARDOSO; VALETTE, 1997).
Para a rede de Petri interpretada, definem-se dois novos tipos de elementos,
denominados de arco habilitador e arco inibidor, conforme mostra a Figura 3.8.
Figura 3.8 - (a) arco habilitador (b) arco inibidor.

Quando o lugar associado ao arco habilitador tem marca, a transio associada
ao arco habilitador habilitada para disparar, conforme mostra a Figura 3.9. Caso
contrrio, se o lugar associado ao arco habilitador no tem marca, a transio
associada ao arco habilitador desabilitada para disparar.
(a)
Figura 3.9 - (a) PN antes do disparo de
(b)
(b) PN depois do disparo de .
Por sua vez, quando o lugar associado ao arco inibidor no tem marca, a
transio associada ao arco inibidor habilitada para disparar, conforme mostra a
55
Figura 3.10. Caso contrrio, se o lugar associado ao arco inibidor tem marca, a
transio associada ao arco inibidor desabilitada para disparar.
(a)
(b)
Figura 3.10 - (a) PN antes do disparo de ( b) PN depois do disparo de .

3.2
REDE BAYESIANA (BN)
De acordo com Pearl (2000), o ser humano tem certa dificuldade em associar
nmeros (informaes estatsticas) sua crena em determinado fato. mais fcil
observar se um fato especfico depende de outro ou se um determinado fato, afeta
ou no afeta outro fato. Assim, a representao grfica, com seus relacionamentos
de dependncia mais explcitos, possibilita uma maior aproximao do raciocnio
humano.
A rede Bayesiana (BN) fornece um mtodo de raciocnio usado para representar
graficamente crenas parciais sob condies de incerteza (PEARL, 2000).
Adicionalmente, a BN uma estrutura que graficamente modela as relaes de
probabilidades de dependncia causa efeito para um grupo de variveis dentro
de um domnio. A BN tem sido extensivamente aplicada para diagnstico de falhas
(CHIEN; CHEN; LIN, 2002; COZMAN, 2001; LERNER et al., 2002; MURPHY, 2007).
A BN um grafo que permite representar a combinao de conhecimento
especialista humano de um processo e da teoria de probabilidade para a construo
da estrutura de diagnstico; sendo que ambas, so recomendadas para a
construo de uma boa rede Bayesiana (RIASCOS et al., 2007).
3.2.1 Formalizao
Uma rede Bayesiana (BN) um grafo acclico orientado onde os ns
representam
variveis
aleatrias
os
arcos
direcionados
representam
56
relacionamentos causais diretos entre os ns que conectam. Em uma BN, cada n

Xi, representado atravs de um crculo, condicionalmente dependente de qualquer
subconjunto de ns que so conhecidos como os ns pais de Xi (representados por
pa(Xi)). A associao entre as variveis e os seus pais feita atravs de arcos e
representa as relaes de causa efeito, descritas por P(Xi | pa(Xi). Normalmente,
tais relaes so fornecidas em formato de Tabela, as quais so chamadas de
Tabelas de probabilidade condicional (COOPER; HERSKOVITS, 1992).
probabilidade condicional ( PrC) numericamente quantifica a relao causa-efeito

(MURPHY, 2007).
Assim, considerando-se X1, X2,..., Xn como os ns de uma rede Bayesiana e
tomando-se da estrutura desta rede as situaes onde se tem dependncia
condicional, atravs da equao (3.1), permite-se determinar a probabilidade
conjunta de todos os ns (NILSSON, 1998; RUSSELL; NORVIG, 1995).
n
PX1 , X2 , , Xn = PXi pa(Xi ))
(3.1)
i=1
Uma BN uma tripla onde:
V = {X1,..., Xn} corresponde a um conjunto finito de ns da rede,

representados por crculos;
F corresponde a um conjunto finito de arcos orientados. Pode-se dizer que G
(V,F) uma estrutura que representa um grafo acclico orientado;
P a distribuio de probabilidade, determinada com o emprego da equao
(3.1).
57
E
Figura 3.11 - Estrutura de uma BN.
A Figura 3.11 mostra um exemplo de uma rede Bayesiana. Neste exemplo, a

estrutura da BN estabelece a influncia causal das variveis A, B e C sobre as
variveis D e E. O conjunto V = {A, B, C, D, E} o conjunto de variveis do sistema.
3.2.2 Construo da rede Bayesiana
No processo de construo da BN necessrio calcular as probabilidades
condicionais (parmetros numricos) e identificar a estrutura da rede, ou seja,
identificar variveis e as relaes de dependncia causa efeito, dadas pelos arcos
(HRUSCHKA, 2003).
O processo de construo dividido em duas partes: aprendizagem da estrutura
(relaes entre as variveis); e a aprendizagem dos parmetros numricos
(probabilidade condicional). Ambas as partes, estrutura e parmetros podem ser
aprendidas por meio de um especialista e indutivamente.
Por aprendizagem com especialista entende-se que o conhecimento ser
transmitido por meio de um especialista, que responsvel por definir e/ou
supervisionar a construo da rede baseando-se em seu conhecimento ou
conhecimento de outros. J a aprendizagem indutiva, utiliza-se de um banco de
dados obtido atravs de operaes passadas, e partindo deste a rede construda
automaticamente.
Em Darwiche (2010) citado que existem alguns mtodos para a construo da
rede Bayesiana a partir da aprendizagem da estrutura da rede e a partir da
aprendizagem numrica ou das probabilidades condicionais entre as variveis. Um
mtodo largamente subjetivo e que reflete o conhecimento humano usado para
58
capturar as relaes causais entre as varveis e represent-las graficamente atravs

da BN. Outro mtodo para a construo da BN baseada em aprendizagem a partir
de um banco de dados. (DARWICHE, 2010). No contexto deste trabalho, utiliza-se o
mtodo de aprendizagem da estrutura da BN, pois se est interessado nas relaes
causa efeito entre as variveis num determinado domnio de interesse.
3.2.3 Aprendizagem da estrutura da rede Bayesiana
Segundo Hruschka (2003), para a aprendizagem da estrutura existem vrias
metodologias na literatura, sendo que cada uma melhor em um tipo de aplicao.
Adicionalmente, Cheng et al. (1998) citam que nas ltimas dcadas, muitos
algoritmos de aprendizagem de estrutura de BN tm sido desenvolvidos. Estes
algoritmos geralmente so divididos em dois grupos: pesquisa e pontuao (search
& scoring) e anlises de dependncia. Um resumo destes algoritmos, assim como,
suas vantagens e desvantagens podem ser encontrados em (CHENG; BELL; LIU,
1998). Dentre o grupo de algoritmos de aprendizagem de estrutura baseados em
pesquisa e pontuao, destaca-se o algoritmo Bayesian-score (K2) desenvolvido por
Cooper e Herskovitz (1992).
3.2.3.1
K2
O algoritmo K2 requer uma ordenao das variveis e faz uso de um mtodo de

pontuao Bayesiana para alcanar seu objetivo, que encontrar a estrutura da
rede Bayesiana (G) mais provvel, dado um conjunto de dados D. Logo, o que este
algoritmo pesquisa o maior valor possvel de probabilidade condicional.
Admitindo que uma BN que tem uma estrutura grfica G e probabilidades
condicionais (associadas estrutura), Cooper e Herskovits (1992), determinaram
uma frmula para calcular a probabilidade P(G|D), supondo que nenhum conjunto de
probabilidades condicionais preferido para uma estrutura G antes de se analisar a
base de dados.
A idia do algoritmo representar um problema com n variveis atravs da
existncia de 2n(n-1)/2 possveis estruturas, podendo escolher aquela estrutura que
melhor representa o problema por meio da seguinte equao (3.2) (MURPHY, 2007).
59
qi
ri
ri-1!
PGD= c
Nijk !
Nij+ri-1!
i=1 j=1
(3.2)
k=1
Na equao (3.2), n o nmero de variveis, ri a quantidade total de possveis

valores que a varivel Xi (i = 1, ... , n) pode assumir, D uma base de dados com m
observaes (casos). O conjunto de pais da i-sima varivel Xi representado por
i. A j-sima conFigurao dos pais de Xi representada por wij e o nmero total de
possveis conFiguraes dos pais i representado por qi. O valor de Nijk representa
a quantidade total de observaes em D onde a varivel Xi est no k-simo estado e
os seus pais apresentam a j-sima conFigurao. A constante c chamada de
constante de probabilidade a priori isto , P(G), para cada G. J Nij o nmero total
de observaes em D onde se tem Xi com qualquer um de seus possveis valores e
i com a j-sima conFigurao; conforme equao (3.3):
n
Nij= Nijk
(3.3)
k=1
A melhor estrutura aquela que maximiza o valor da equao (3.2)

Segundo Hruschka (2003), o algoritmo K2 para construo da estrutura da BN,
deve ser iniciado admitindo que um n no possua pais, para ento serem
adicionados rede os pais que maximizam a probabilidade da estrutura como um
todo. A partir do momento em que a adio de qualquer n no aumentar mais a
probabilidade da rede, deve-se parar de inserir pais para o n atual. Para saber
quando tal probabilidade no est mais sofrendo aumento, deve-se utilizar a
seguinte equao (3.4):
qi
ri
(ri - 1)!
N ijk !
g (i, p i ) =
j =1 ( N ij + ri - 1)! k =1
(3.4)
De acordo com (CHENG; BELL; LIU, 1998), a grande repercusso deste

algoritmo, est relacionada aos resultados precisos obtidos quando ele foi aplicado
ao conjunto de dados da rede ALARM. Esta rede uma referncia amplamente
utilizada para testes de algoritmos de aprendizado de estrutura. Partindo de um
conjunto de 10.000 casos, o K2 gerou a estrutura da rede ALARM com apenas um
60
arco a mais e, um arco faltando em aproximadamente 17 minutos, utilizando-se um

computador Macintosh II.
O algoritmo K2 representa um mtodo exato de inferncia, sendo relativamente
simples de ser aplicado para a gerao automtica da BN; e tambm este algoritmo
j est implementado no software MatLab denominado de BNToolbox (MURPHY,
2007). Desta forma, optou-se por utiliz-lo no contexto deste trabalho, conforme
apresentado no Anexo A.
61
4 SISTEMTICA PROPOSTA
Apresenta-se
aqui
conjunto
de
procedimentos
sistematizados
para
desenvolvimento e validao de algoritmos de controle, a partir de modelagem e

anlise de diagnstico e tratamento de falhas crticas em um processo industrial, em
que se concebe uma camada de reduo de riscos (SIS) baseada em sistemas
eletrnicos programveis (PES). Esta sistemtica contempla a especificao das
funes instrumentadas de segurana (SIFs), que representam falhas crticas a
serem detectadas e diagnosticadas via sensores e tratadas pelo SIS via atuadores,
com a finalidade de mitigar ou prevenir riscos com acidentes potencialmente altos.
Inicialmente um modelo para diagnstico de falhas crticas construdo das causas
efeitos (ex.: tendo-se certeza sobre a causa de um problema, podem-se identificar
quais efeitos so produzidos por esta causa). Entretanto, no raciocnio de
diagnstico, as causas so diagnosticadas baseadas nos efeitos monitorados (ex.:
qual a causa mais provvel baseada nos efeitos observados).
Para a modelagem de diagnsticos de falhas, so utilizados modelos grficos,
baseados na abordagem de representao de conhecimento e de raciocnio
diagnstico (LUO et al., 2005). Existem vrios mtodos de modelagem para capturar
o comportamento do sistema sob condies de falha (ex.: rede de Petri (PN) e rede
Bayesiana (BN)) (LUO et al., 2005).
No contexto de diagnstico de falhas crticas a sistemtica utiliza duas tcnicas de
modelagem grficas: rede Bayesiana (BN) e rede de Petri (PN) interpretada.
Adicionalmente para a coordenao e tratamento de falhas crticas, utiliza-se
tambm a rede de Petri (PN) interpretada.
4.1
APRESENTAO DA SISTEMTICA
A sistemtica em questo apresentada na Figura 4.1, cujo conceito foi

apresentado inicialmente em (SQUILLANTE et al., 2010a).
62
Figura 4.1 - Sistemtica para o diagnstico e tratamento de falhas crticas em SIS.

A abordagem caracteriza-se pela construo e anlise de modelos de
diagnstico, coordenao e tratamento de falhas crticas considerando quatro
etapas:
Etapa (A) modelagem.
Etapa (B) anlise.
Etapa (C) - gerao dos programas de controle baseados nos algoritmos de controle
para diagnstico, coordenao e tratamento de falhas crticas.
Etapa (D) - testes finais de aceitao.
A etapa de modelagem (A) subdividida em dois estgios complementares: (A1)
modelagem do diagnstico de falhas crticas e (A2) modelagem do tratamento e
coordenao de falhas crticas.
A sistemtica proposta utiliza como fonte de dados de entrada: (i) relatrio de
anlise de riscos (HAZOP), (ii) conhecimento das relaes causa efeito por um
especialista ou equipe de especialistas e/ou banco de dados, conforme mostrado na
Figura 4.1.
Para atender aos critrios de validao de requisitos de cada etapa durante todo
o ciclo de desenvolvimento de um SIS, de acordo com a norma IEC 61511, a cada
63
passo de modelagem deve ser realizada uma anlise das boas propriedades do
modelo gerado. Caso seja necessrio, volta-se para o passo anterior para que os
devidos ajustes sejam realizados, otimizando-se assim o retrabalho durante o ciclo
de desenvolvimento. A atividade de anlise das propriedades e validao dos
modelos para cada etapa compreende as seguintes atividades:
Edio do modelo em PN interpretada a partir de ferramenta computacional

HPSim (ANSCHUETZ, 2010). Simulao do modelo a fim de validar se o
mesmo atende aos requisitos tcnicos especificados e a anlise da
propriedade de reiniciabilidade. Para a simulao do modelo, so
considerados os modelos dos dispositivos de sensoriamento e dispositivos
de atuao para fechar a malha de controle.
Edio do modelo em PN interpretada a partir de ferramenta computacional

PIPE2 (BONET et al., 2007), a fim de analisar as propriedades de vivacidade
e segurana (1-limitada).
A etapa de anlise (B) investiga a interao entre os modelos de diagnstico,

coordenao e tratamento de falhas crticas. Novamente utilizam-se as ferramentas
computacionais citadas anteriormente para anlise do modelo integrado.
Na etapa (C), tem-se a gerao dos programas de controle baseados nos
algoritmos de controle a partir dos modelos integrados de diagnstico, coordenao
e tratamento para cada SIF, gerados na etapa (B), de acordo com a norma IEC
61131-3.
Finalmente, na etapa (D), tm-se os testes finais de aceitao que so
executados a fim de validar se as SIFs e SIS atendem s especificaes tcnicas de
acordo com a norma IEC 61511.
As etapas para a modelagem e anlise do algoritmo de controle para sistemas
eletrnicos programveis (PES) de sistemas instrumentados de segurana (SIS);
que considera o diagnstico, a coordenao e o tratamento de falhas crticas
utilizando a sistemtica proposta, so descritas a seguir.
64
ETAPA
4.2
A1:
MODELAGEM
DO
DIAGNSTICO
DE
FALHAS
CRTICAS
Passo 1: Elaborao de Tabela de relao causa efeito.
Neste passo, constri-se uma Tabela que relaciona as causas (falhas crticas)
definidas para cada SIF; e os efeitos (sinais de sensores) observados quando estas
causas ocorrem. O critrio para construo desta Tabela pode ser:
baseado em conhecimento extrado do sistema, onde as relaes entre as

variveis so estabelecidas por um especialista ou grupo de pessoas
especialistas;
baseado em especificaes tcnicas do projeto de SIS, como por exemplo:

memorial descritivo, diagrama de processo e instrumentao (P&ID),
relatrio de anlise de riscos e matriz de causa x efeito ou;
baseado em um banco de dados com registros de falhas obtidos a partir de

um histrico de operaes ou experimentos em campo.
A Tabela de relao causa efeito construda da seguinte forma: (i) a

primeira coluna representa o nmero do caso do relacionamento causa efeito, (ii)
as colunas a seguir representam as causas ou falhas crticas ( considerar uma
coluna para cada falha crtica); (iii) as demais colunas representam os estados
binrios dos sinais dos sensores e que representam os efeitos que foram
observados quando da ocorrncia das falhas crticas (considerar uma coluna para
cada efeito). Os valores binrios associados aos sensores so baseados nos
limiares mximos e mnimos permitidos dentro de uma faixa de operao segura: o
valor 0 significa operao segura e o valor 1 significa desvios de processo que
colocam o mesmo em um estado de operao no seguro.
Passo 2: Construo de modelos de relacionamento causa -> efeito baseados em

BN.
Neste passo, utiliza-se a Tabela causa efeito obtida no passo 1, para a
construo da estrutura inicial do modelo de relacionamento (causa efeito) em
rede Bayesiana (BN).
65
A construo deste modelo de relacionamento (causa efeito) realizada

atravs do conhecimento ou da aplicao de algoritmos de aprendizagem de
estrutura da BN.
Uma vez obtida a estrutura inicial da BN por meio de um algoritmo de
aprendizagem, so consideradas restries baseadas no conhecimento de
relacionamento entre as variveis. As restries que devem ser consideradas so:
Eliminao de arcos de relacionamento entre as causas. Considerando que o

sistema que o objeto de controle deve ser degenerado imediatamente
mediante a ocorrncia de qualquer uma das falhas criticas previstas, ento
no pertinente haver o relacionamento entre estas falhas na BN, pois uma
vez degenerado, o comportamento dinmico do sistema que foi considerado
para a gerao da BN deixa de ser vlido;
Eliminao e insero de novos arcos de relacionamento, caso as relaes na

BN no
estejam de
acordo
com
as especificaes tcnicas
e/ou
conhecimento sobre estas relaes.
Passo 3: Converso dos modelos em BN para PN interpretada.

Embora os modelos em BN representem uma estrutura que relaciona as causas
como sendo as falhas crticas, com os efeitos monitorados atravs dos sinais de
sensores, as causas devem ser diagnosticadas baseadas nos efeitos monitorados,
ou seja, uma relao (efeito causa) deve ser estabelecida (exemplo: qual a causa
mais provvel baseada nos efeitos observados). Por outro lado, a fim de
implementar o algoritmo de controle de diagnstico das falhas crticas em um PES
de um SIS, os modelos em BN devem ser convertidos para modelos grficos com
formalismo das rede de Petri (PN). Neste contexto, esta sistemtica adota a
execuo da seguinte atividade:
Converso dos modelos de diagnsticos em rede Bayesiana (BN) para
modelos de descrio do diagnstico em rede de Petri (PN) interpretada.
O objetivo desta atividade converter um modelo de diagnstico em BN para um
modelo de descrio do diagnstico que tenha o formalismo da rede de Petri e que
possa ser implementado em um algoritmo de controle para diagnstico, afim de:
66
fornecer uma interpretao aos lugares e transies da PN com relao

s variveis internas e variveis externas (sinais de sensores); facilitando
a converso desta rede para um algoritmo de controle.
fornecer uma relao lgica entre as variveis externas (sinais de

sensores) por meio de transies da rede de Petri
analisar as boas propriedades da PN a partir de simulao por meio de

ferramenta computacional;
validar o modelo com base na especificao tcnica, a partir de

simulao por meio de ferramenta computacional.
Esta atividade executada, observando-se as seguintes situaes:

a) obteno das relaes causais de dependncia a partir da rede Bayesiana
derivada para cada SIF.
b) obteno das relaes lgicas entre as variveis externas (sinais de
sensores) a partir da relao causal.
c) construo do modelo em PN interpretada obtendo-se uma estrutura efeito
causa, a fim de representar um modelo de diagnstico a partir do raciocnio
abductivo.
d) durante a construo da PN interpretada, considerar que o modelo deve
permitir sua reinicializao a fim de atender a propriedade de reiniciabilidade
exigida para esta rede e considerar tambm a possibilidade da falha ser
espria, ou seja, a possibilidade de o diagnstico no ser efetivado.
e) representao no modelo, dos eventos associados s transies, indicando
em particular, os eventos que exigem uma interao com o ambiente externo
(ex.: sinais de sensores e atuadores).
No final desta sub etapa A1; tm-se modelos de diagnsticos construdos em PN
interpretada, que podem ser editados e simulados usando, por exemplo, a
ferramenta computacional HPSim (ANSCHUETZ, 2010), com o propsito de
validao se os mesmos atendem aos requisitos tcnicos especificados e a anlise
da propriedade de reiniciabilidade de cada modelo. Para a simulao do modelo de
diagnstico, so considerados os modelos dos dispositivos de sensoriamento para
representar o controle de malha fechada que deve ser executado. Finalmente, a fim
67
de se analisar as propriedades de vivacidade e segurana, pode-se utilizar, por

exemplo, a ferramenta computacional PIPE2 (BONET et al., 2007).
4.3
ETAPA A2: MODELAGEM DO TRATAMENTO E COORDENAO

DE FALHAS CRTICAS
Passo 1: Identificao das SIFs.

A partir de um estudo de anlise de riscos (ex.: HAZOP), previsto no incio do ciclo
de vida de segurana (IEC 61508, 1998; IEC 61511, 2003), um relatrio gerado.
Neste relatrio, encontram-se os seguintes dados:
Identificao da SIF;
Descrio da SIF;
Consequncias devidas falha;
SIL;
eventos inicializadores (sinais de sensores);
aes a serem executadas pelo SIS (sinais para os atuadores), a fim de
prevenir ou mitigar riscos.
Neste passo, elaborada uma Tabela baseada nos dados obtidos do relatrio. A
Tabela dever conter os seguintes campos: identificao das SIFs, descrio das
falhas crticas, consequncias devidas falha, SIL, eventos inicializadores e ao a
ser executada pelo SIS. A partir desta Tabela, identificam-se informaes
importantes para a construo dos modelos de tratamento:
as falhas crticas que esto associadas a cada SIF;
as aes a serem executadas pelo SIS para cada SIF que so definidas a
partir das regras de tratamento de cada SIF e consequentemente de cada
falha crtica.
Passo 2: Construo do modelo de tratamento para cada SIF em PN interpretada.

Neste passo, trs atividades so executadas:
68
construo dos modelos de tratamento, em rede de Petri interpretada, para

cada falha crtica, conforme as regras de tratamento obtidas no passo
anterior.
Edio e simulao do modelo de tratamento, usando, por exemplo, a
ferramenta computacional HPSim, com o propsito de validao e anlise da
propriedade de reiniciabilidade. Para a simulao do modelo de tratamento,
so considerados os modelos dos dispositivos de sensoriamento e dos
dispositivos de atuao.
Edio do modelo de tratamento, usando, por exemplo a ferramenta
computacional PIPE2, a fim de analisar as propriedades de vivacidade e
segurana (1-limitada).
Passo 3: Construo do modelo de coordenao em PN interpretada para cada SIF.

A funo do modelo de coordenao determinar qual algoritmo de tratamento
de falha crtica deve ser executado em funo do diagnstico inferido. Neste
contexto, no h prioridade para o tratamento das falhas e o processamento ocorre
de forma independente de acordo com o resultado do algoritmo de diagnstico.
Este modelo construdo de tal forma que sua implementao seja robusta
quanto ocorrncia de falhas esprias. As falhas esprias, neste contexto, esto
relacionadas com possveis informaes falsas provenientes de sensores mal
calibrados. (ex.: um sensor indica que uma varivel est fora da faixa de operao
segura por um intervalo de tempo pequeno e retorna para uma faixa segura de
operao). Se o modelo de coordenao no for robusto ocorrncia de falhas
esprias, o modelo de tratamento ser executado indevidamente, ocasionando uma
degenerao indevida do processo industrial e consequentemente uma parada de
produo. Uma das solues empregadas para a implementao de um modelo
robusto ocorrncia de falhas esprias e que aplicada neste trabalho, por meio
de transies temporizadas da PN.
As atividades a seguir so executadas:
Construo de um modelo de coordenao para cada SIF usando a tcnica
de rede de Petri interpretada. Uma vez que uma causa de um problema
69
diagnosticada pelo modelo de diagnstico, o modelo de coordenao

responsvel pela chamada do modelo de tratamento respectivo, a fim de
prevenir ou mitigar um acidente.
Edio e simulao de cada modelo de coordenao, usando, por exemplo, a
ferramenta computacional HPSim (ANSCHUETZ, 2010) a fim de validar se o
modelo atende aos requisitos tcnicos especificados, e a anlise da
propriedade de reiniciabilidade atendida.
Edio de cada modelo de coordenao, usando, por exemplo, a ferramenta
computacional PIPE2 (BONET et al., 2007) e anlise das propriedades de
vivacidade e segurana.
4.4
ETAPA B: INTEGRAO E ANLISE DOS MODELOS EM PN
Neste passo, os modelos em PN interpretada para diagnstico, coordenao e

tratamento de falhas crticas so integrados para compor o modelo geral de uma
SIF. A integrao entre os modelos de diagnstico, coordenao e tratamento feita
a partir de conexes lgicas, uma vez que no deve haver fluxo de marcas da PN
entre os modelos.
Uma vez que os modelos so integrados executam-se as seguintes atividades:
Edio e simulao de cada modelo de SIF obtido, usando, por exemplo, a
ferramenta computacional HPSim (ANSCHUETZ, 2010) a fim de validar se o
modelo atende aos requisitos tcnicos especificados, e se a propriedade de
reiniciabilidade atendida. Para a simulao dos modelos, so considerados
os modelos dos dispositivos de sensoriamento e dos dispositivos de atuao
para fechar a malha de controle.
Edio de cada modelo de SIF obtido, usando, por exemplo, a ferramenta
computacional PIPE2 (BONET et al., 2007) e anlise das propriedades de
vivacidade e segurana.
70
4.5
ETAPA C: GERAO DOS PROGRAMAS BASEADOS NOS

ALGORITMOS DE CONTROLE
O controlador programvel (CP) um equipamento essencial na implementao

de sistemas de controle industriais e normas tm sido estabelecidas (IEC 61131,
2003) para uso deste equipamento. Estas normas representam um passo relevante
para o desenvolvimento do sistema de controle, entretanto, elas so insuficientes
para a anlise e validao das estratgias de controle (FREY; LITZ, 2000). Esta
observao pode ser expandida para sistemas de controle de segurana, pois, a
norma IEC 61508 identifica o CP tambm como sistema eletrnico programvel
(PES) (SQUILLANTE et al., 2010b). Neste contexto, em Frey e Litz (2000), so
apresentadas vrias razes para a aplicao de mtodos adequados para o
desenvolvimento de algoritmos de controle de CPs, tais como:
a crescente complexidade do problema de controle;
a demanda pela reduo do tempo de desenvolvimento;
a demanda pela possibilidade de reutilizao de mdulos de software

existentes;
a demanda por solues de alta qualidade, especialmente para condies de

segurana que necessitam de procedimentos de anlise e validao.
Assim, nesta etapa, tem-se a converso dos modelos integrados de diagnstico,

coordenao e tratamento de falhas criticas para cada SIF, gerados na etapa
anterior, para programas de controle que implementam os algoritmos de controle em
linguagens de programao definidas na IEC 61131-3 (2003) destacando-se:
diagrama ladder (LD), diagrama de blocos de funo (FBD) e grfico de
sequenciamento das funes (SFC).
A converso feita de forma sistemtica e isomrfica. Muitos trabalhos de
pesquisa tm sido publicados sobre metodologias para a converso de modelos em
PN para programas em linguagens de programao definidas na IEC 61131-3 (LEE
et al., 2004; MUSIC et al., 2005; THAPA et al., 2005; WIGHTKIN et al., 2010).
No faz parte do escopo deste trabalho, comparar as metodologias existentes,
porm destaca-se que para a execuo desta etapa, de maneira formal, deve-se
71
seguir uma determinada metodologia para a gerao dos programas de controle

baseados nos algoritmos de controle.
4.6
ETAPA D: TESTES DE ACEITAO
De acordo com as normas IEC 61508 (1998) e IEC 61511 (2003), uma das
atividades do ciclo de vida de segurana de projeto de SIS, est relacionada com os
testes finais de aceitao executados via comissionamento e start-up. As seguintes
condies devem ser verificadas a priori para que esta etapa seja executada:
O sistema eletrnico programvel (PES), suas interfaces de entradas e sadas
e demais componentes e acessrios devem estar devidamente instalados na
sala de controle;
Os sensores de segurana devem estar conectados s interfaces de entrada
do PES;
Os atuadores de segurana devem estar conectados s interfaces de sada
do PES;
Os programas de controle baseados nos algoritmos de controle para
diagnstico, coordenao e tratamento de falhas crticas, gerados na etapa
anterior, devem ser transferidos para a memria de programa do PES;
A atividade de comissionamento deve ser executada com o objetivo de:
testar o estado de funcionamento dos sensores de segurana;
testar o estado de funcionamento dos atuadores de segurana;
testar a instalao destes sensores e atuadores nas interfaces de entradas e
sadas do PES;
testar o estado de funcionamento das interfaces de entradas e sadas;
testar o estado de funcionamento do PES;
analisar se o programa de controle baseado no algoritmo de controle atende a
especificao tcnica para diagnstico e tratamento das SIFs. Esta anlise
72
feita para cada SIF, a partir de simulaes das entradas (sensores), por
combinaes conhecidas, e observao dos respectivos atuadores.
A atividade de start-up deve ser executada com o objetivo de:
colocar o BPCS e o sistema instrumentado de segurana (SIS) do processo
industrial em operao;
acompanhar a partida inicial de cada equipamento e/ou sistema; conforme
planejamento pr-definido por equipe de engenharia e operao.
Na abordagem deste trabalho, esta etapa realizada de acordo com a
recomendao das normas IEC 61508 (1998) e IEC 61511 (2003), embora se
observe que no existe um mtodo formal para a execuo da mesma.
73
5 APLICAO DA SISTEMTICA PROPOSTA

Neste captulo apresentado um exemplo de aplicao que considera SIFs
provenientes de um relatrio de anlise de riscos (HAZOP) de um projeto de uma
estao de compresso (ECOMP) de gs natural - Figura 5.1. Este caso foi utilizado
para a avaliao da sistemtica proposta neste trabalho. O gs natural uma
mistura de hidrocarbonetos leves e altamente inflamveis. Neste contexto, este
processo envolve diversos riscos com magnitude inaceitvel. Da a necessidade de
se projetar uma camada de reduo destes riscos (SIS).
Figura 5.1 - Estao de Compresso de Gs ECOMP.

Fonte: http://www.bonatti.it/Projects/Mellitah-Gas-Compression-Station, acessada em
15/02/2011.
5.1
DESCRIO DO PROCESSO
A ECOMP possui vrias linhas de alimentao de gs, denominadas de linhas

de suco, provenientes de um gasoduto de transporte deste gs. O gs na entrada
da estao de compresso passa por filtros, antes de ser comprimido por meio de
equipamentos denominados de turbos compressores. Uma parte deste gs
74
desviada para uma unidade denominada utilidades. A unidade utilidades

responsvel pelo controle de temperatura e presso do gs a ser utilizado por outros
equipamentos essenciais operao deste processo, tais como: gs de partida e
gs combustvel para os turbos compressores e aquecedores e, adicionalmente, gs
combustvel para a gerao de energia eltrica no processo. Aps o gs ser
comprimido pelos turbos compressores, ele retornado para o gasoduto por meio de
uma linha de descarga. A Figura 5.2 mostra um Diagrama de Processo e
Instrumentao (P& ID)13 da linha de entrada de gs na ECOMP (linha de suco 1),
a Figura 5.3 mostra o P&ID de outra linha de entrada de gs na ECOMP (linha de
suco 2) e a Figura 5.4 mostra o P&ID da linha de descarga na sada da ECOMP.
Figura 5.2 - P&ID da linha de suco 1 na entrada da ECOMP.

13 A simbologia dos instrumentos de processo das Figuras 5.2, 5.3 e 5.4, esto de acordo com a
norma ANSI/ISA-S5.1-1984 (R1992) Instrumentation Symbols and Identification. Esta norma foi
concebida para ser uma padronizao de simbologia e identificao de instrumentos e equipamentos
de processo; sendo atualmente sua abrangncia a nvel mundial. Esta norma utilizada na
elaborao dos seguintes documentos: (i) Fluxogramas de Processo e Mecnico, (ii) Diagramas de
Processo e Instrumentao, (iii) Especificaes e Listas de instrumentos e (iv) Identificao de
Instrumentao e Funes de controle.
75
Figura 5.3 - P&ID da linha de suco 2 na entrada da ECOMP.
Figura 5.4 - P&ID da linha de descarga na sada da ECOMP.
76
5.2
ARQUITETURA DO SISTEMA DE CONTROLE
A arquitetura do sistema de controle da ECOMP mostrada via diagrama de blocos

na Figura 5.5. O CP ESC corresponde ao BPCS, que o sistema de controle bsico
do processo, e que faz parte da unidade utilidade descrita anteriormente. Todos os
sensores, atuadores e equipamentos relacionados com a unidade utilidade do
processo, esto integrados com o BPCS. Adicionalmente, cada turbo compressor
tem um controlador programvel (CP) local. Como existem na ECOMP quatro turbos
compressores, os CPs so denominados :
CP-TC_A : Controlador Programvel do turbo compressor A
CP-TC_B : Controlador Programvel do turbo compressor B
CP-TC_C : Controlador Programvel do turbo compressor C
CP-TC_D : Controlador Programvel do turbo compressor D
Finalmente, um controlador programvel de segurana (CP segurana), compe o

sistema de controle responsvel pela camada de reduo de riscos (SIS) da
ECOMP. Os sensores e atuadores de segurana da ECOMP esto integrados com
o SIS, cuja funo garantir a segurana funcional neste processo. Para
monitorao das variveis de processo e indicao de alarmes, foram definidas
duas Interfaces Homem Mquina (IHM). Adicionalmente, foi instalada uma Estao
de Engenharia com ferramentas de modificao e implementao de telas grficas
nas IHMs.
77
Figura 5.5 - Arquitetura do Sistema de Controle da ECOMP.
5.3
APLICAO DA SISTEMTICA PROPOSTA
5.3.1 Etapa A1: Modelagem do diagnstico de falhas crticas

5.3.1.1
Passo 1: Elaborao de Tabela de relao causa efeito
O passo 1 foi executado com base em conhecimento extrado do sistema; onde

as relaes entre as variveis foram estabelecidas por grupos de pessoas
especialistas; formados pelas equipes de operao, engenharia e manuteno. A
Tabela 5.1 mostra a relao causa efeito e a Tabela 5.2 mostra a descrio dos
eventos associados s colunas apresentadas na Tabela 5.1.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
1
1
1
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
1
1
1
1
1
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
0
1
1
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
0
1
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
1
0
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
1
0
0
1
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
0
1
0
1
0
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
1
1
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
1
0
0
1
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
0
1
0
1
0
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
1
1
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
1
1
1
1
1
1
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
1
1
1
0
0
0
0
1
1
1
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
1
0
0
1
1
0
0
1
1
0
0
1
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
0
1
0
1
0
1
0
1
0
1
0
1
0
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
1
1
1
1
1
1
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
1
1
1
0
0
0
0
1
1
1
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
1
0
0
1
1
0
0
1
1
0
0
1
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
0
1
0
1
0
1
0
1
0
1
0
1
0
1
Causa Falha 1 Falha 2 Falha 3 Falha 4 PSHH-006A PSHH-006B PSHH-006C LSHH-006 LSHH-007 PDSHH-005 LSHH-013 LSHH-014 PDSHH-025 PSHH-207A PSHH-207B PSHH-207C PSHH-207D TSHH-209A TSHH-209B TSHH-209C TSHH-209D
Tabela 5.1 - Relao causa efeito.
78
79
Tabela 5.2 - Descrio das colunas apresentadas na Tabela 5.1.

Coluna
Descrio
Falha 1
Presso muito alta na descarga da ECOMP
Falha 2
Nvel de condensado muito alto nos filtros da ECOMP
Falha 3
Presso muito alta na descarga dos turbos compressores A / B / C e D
Falha 4
Temperatura muito alta na descarga dos turbos compressores A / B / C e D
PSHH-006A
Desvio de presso muito alta proveniente do sensor PIT-006A
PSHH-006B
Desvio de presso muito alta proveniente do sensor PIT-006B
PSHH-006C
Desvio de presso muito alta proveniente do sensor PIT-006C
LSHH-006
Desvio de nvel muito alto de condensado no filtro A, proveniente do sensor

LIT-006
LSHH-007
Desvio de nvel muito alto de condensado no filtro A, proveniente do sensor

LIT-007
PDSHH-005
Desvio de presso diferencial muito alta no filtro A, proveniente do sensor

PDIT-005
LSHH-013
Desvio de nvel muito alto de condensado no filtro B, proveniente do sensor

LIT-013
LSHH-014
Desvio de nvel muito alto de condensado no filtro B, proveniente do sensor

LIT-014
PDSHH-025
Desvio de presso diferencial muito alta no filtro B, proveniente do sensor

PDIT-025
PSHH-207A
Desvio de presso muito alta na descarga do turbo compressor A,

proveniente do sensor PIT-207A
PSHH-207B
Desvio de presso muito alta na descarga do turbo compressor B,

proveniente do sensor PIT-207B
PSHH-207C
Desvio de presso muito alta na descarga do turbo compressor C,

proveniente do sensor PIT-207C
PSHH-207D
Desvio de presso muito alta na descarga do turbo compressor D,

proveniente do sensor PIT-207D
TSHH-209A
Desvio de temperatura muito alta na descarga do turbo compressor A,

proveniente do sensor TIT-209A
TSHH-209B
Desvio de temperatura muito alta na descarga do turbo compressor B,

proveniente do sensor TIT-209B
TSHH-209C
Desvio de temperatura muito alta na descarga do turbo compressor C,

proveniente do sensor TIT-209C
TSHH-209D
Desvio de temperatura muito alta na descarga do turbo compressor D,

proveniente do sensor TIT-209D
Na Tabela 5.1, as colunas denominadas de Falha 1, Falha 2, Falha 3 e Falha 4,

so consideradas as causas e as demais colunas representam os estados binrios
de sensores, que foram observados na ocorrncia das referidas falhas,
representando, portanto, os efeitos. Na Tabela 5.1, todos os valores so binrios (ex:
80
0 = Off, 1 = On), com exceo da primeira coluna, onde os nmeros representam o

nmero de casos obtidos para as falhas crticas que esto sendo consideradas. As
colunas 2, 3, 4 e 5 definem as falhas crticas denominadas de Falha 1, Falha 2,
Falha 3 e Falha 4 a serem diagnosticadas. As colunas restantes, representam os
valores binrios dos estados dos sensores quando uma falha crtica ocorre.
Para a elaborao da Tabela 5.1, foram considerados os seguintes documentos
que fazem parte da especificao tcnica do sistema de controle e da camada de
reduo de risco:
Diagrama do processo e instrumentao (P&ID);
Memorial descritivo do processo;
Relatrio final de anlise de riscos (HAZOP);
Matriz Causa x Efeito.
5.3.1.2
Passo 2: Construo de modelos de relacionamento causa efeito
baseados em rede Bayesiana (BN)

O passo 2 foi executado baseado na utilizao de um algoritmo de
aprendizagem de rede Bayesiana (BN) e a partir da Tabela 5.1 de relacionamento
causa efeito obtida no passo 1. O algoritmo utilizado para a aprendizagem da BN
foi o K2 (busca e pontuao), citado na seo 3.2.3. O programa computacional
baseado no algoritmo K2 utilizado para a construo da BN apresentado no Anexo
A e a Figura 5.6 mostra a estrutura inicial da BN construda a partir do algoritmo K2.
81
Figura 5.6 - Estrutura inicial da BN construda a partir do algoritmo K2.

Uma vez obtida a estrutura inicial da BN atravs do algoritmo de aprendizagem
K2, foram consideradas as restries baseadas no conhecimento de relacionamento
entre as variveis. As restries consideradas neste exemplo foram:
Eliminao de arcos de relacionamento entre as causas, uma vez que as

causas constituem um conjunto de ns pais da rede Bayesiana, tal que, a
independncia condicional entre os ns pais deve ser satisfeita.
Eliminao e insero de novos arcos de relacionamento, na estrutura de

relacionamento entre a varivel (Falha 1) e seus descendentes: (PSHH-006A,
PSHH-006B e PSHH-006C). Esta modificao deve-se ao fato de que est
sendo adotado um sistema de votao 2oo3 entre os sensores PIT-006A,
PIT-006B e PIT-006C para a confirmao da Falha 1, de acordo com os
requisitos especificados a partir do estudo de HAZOP.
Portanto, a estrutura de relacionamento baseada em um sistema de votao 2oo3

entre os sensores relacionados com a Falha 1 mostrada na Tabela 5.3.
82
Tabela 5.3 - Sistema de votao 2oo3.

Falha 1
PSHH-006A
PSHH-006B
PSHH-006C
Desta forma, aplicadas as regras acima, a BN resultante mostrada na Figura 5.7.
Figura 5.7 - BN resultante.
5.3.1.3
Passo 3: Converso dos modelos em BN para PN interpretada
Os modelos resultantes de diagnsticos em BN, obtidos no passo anterior foram

convertidos para modelos de diagnstico em PN interpretada. Desta forma:
83
a) obteve-se as relaes causais de dependncia a partir da BN.

b) obteve-se as relaes lgicas entre as variveis externas (sensores) a partir
da relao causal.
c) cada modelo em PN interpretada foi construdo obtendo-se uma estrutura
efeito causa, a fim de representar um modelo de diagnstico baseado em
raciocnio abductivo.
d) durante a construo da PN interpretada, considerou-se que o modelo deve
permitir sua reinicializao a fim de atender a propriedade de reiniciabilidade
exigida para esta rede.
e) os eventos associados s transies da PN, em particular os eventos que
exigem uma interao com o ambiente externo (ex.: sinais de sensores e
atuadores), foram representados em cada modelo.
O modelo de diagnstico da Falha crtica 1 em PN interpretada foi desenvolvido de
acordo com o seguinte procedimento:
a) A partir da rede Bayesiana (BN) para a Falha 1 (Figura 5.7), obteve-se as
seguintes relaes causais de dependncia:
Falha 1- PSHH-006A
Falha 1- PSHH-006B
(5.1)
(5.2)
PSHH-006A - PSHH-006C
(5.3)
PSHH-006A- PSHH-006B
(5.4)
PSHH-006B- PSHH-006C
(5.5)
b) A partir das relaes causais de 5.1 a 5.5, obtiveram-se as relaes lgicas

entre as variveis externas (sinais de sensores)
Falha 1- (PSHH-006A ^ PSHH-006B) (PSHH-006A ^ PSHH-006C)(5.6)
Falha 1- (PSHH-006B ^ PSHH-006C) (5.7)
De (5.6) e (5.7) obtm-se:
Falha 1- (PSHH-006A ^ PSHH-006B) (PSHH-006A ^ PSHH-006C)
(PSHH-006B ^ PSHH-006C)(5.8)
84
c) As relaes lgicas foram representadas graficamente atravs de rede de

Petri (PN), construindo-se uma estrutura efeito causa.
A Figura 5.8 abaixo mostra a PN interpretada resultante.
Figura 5.8 - Modelo em PN interpretada estrutura efeito causa.
d) Por fim, o modelo da Fig. 5.9 construdo incluindo a representao dos

elementos adicionais necessrios para reinicializar o modelo aps no haver
mais deteco de falhas e considera tambm a possibilidade da falha ser
espria, ou seja, a possibilidade de o diagnstico no ser efetivado. Os
lugares FAB, FAC e FBC representam estados transitrios que podem
corresponder s falhas esprias. Se as transies t4 ou t5 ou t6 so habilitadas
para o disparo, significa que o sinal do(s) sensor(es) deixou(aram) de ser
ativo(s) e portanto, o diagnstico de falha deve ser abortado; voltando o
sistema para o estado inicial (PRONTO_D1 com marca). Adicionalmente a
Tabela 5.4 descreve as interpretaes dadas aos elementos do modelo.
85
Figura 5.9 - Modelo em PN interpretada diagnstico da Falha crtica 1.

Tabela 5.4 Elementos do modelo em PN interpretada para Falha 1.
ELEMENTO
DESCRIO
Arco habilitador associado

PSHH-006A"
Desvio de presso muito alta na descarga da ECOMP,

detectado a partir do sensor PIT-006A

PSHH-006B

detectado a partir do sensor PIT-006B

PSHH-006C

detectado a partir do sensor PIT-006C
Lugar FAB
Memria auxiliar que sinaliza que a transio t1 foi disparada
Lugar FAC
Lugar FBC
Lugar PRONTO_D1
Modelo pronto para reinicializar em caso de desvio de presso

na descarga da ECOMP
Lugar Falha 1
Diagnstico de Falha devido Presso muito alta na descarga

da ECOMP.
Da mesma forma, os demais modelos para diagnstico das falhas crticas em PN

interpretada, so mostrados nas Figuras 5.10, 5.11 e 5.12. Adicionalmente, as
86
Tabelas 5.5 a 5.7 descrevem as interpretaes dadas aos elementos dos modelos
gerados.

ELEMENTO
DESCRIO

LSHH-006
Desvio de nvel de condensado muito alto no Filtro A na

entrada da ECOMP, detectado a partir do sensor LIT-006

LSHH-013
Desvio de nvel de condensado muito alto no Filtro B na


LSHH-007
Desvio de nvel de condensado muito alto no Filtro A na


LSHH-014
Desvio de nvel de condensado muito alto no Filtro B na

87
ELEMENTO
DESCRIO

PDSHH-005
Desvio de presso diferencial muito alta no Filtro A na entrada

da ECOMP, detectado a partir do sensor PDIT-005

PDSHH-025
Desvio de presso diferencial muito alta no Filtro B na entrada

Lugar
P1
Memria auxiliar que sinaliza que a transio t121 foi

disparada
Lugar
P2

disparada
Lugar
P3

disparada
Lugar
PRONTO_D2

diferencial nos Filtros A ou B na entrada da ECOMP
Lugar
Falha 2
Diagnstico de Falha devido Presso diferencial muito alta

nos Filtros A ou B na entrada da ECOMP.
88

ELEMENTO
DESCRIO

PSHH-207A"
Desvio de presso muito alta na descarga do turbo compressor A,


PSHH-207B
Desvio de presso muito alta na descarga do turbo compressor B,


PSHH-207C
Desvio de presso muito alta na descarga do turbo compressor C,


PSHH-207D
Desvio de presso muito alta na descarga do turbo compressor D,

detectado a partir do sensor PIT-207D
Lugar
PRONTO_D3

muito alta na descarga dos turbos compressores A, B, C ou D
Lugar
Falha 3
Diagnstico de Falha devido Presso muito alta em um dos turbo

compressores A, B, C ou D.
89

ELEMENTO
DESCRIO

TSHH-209A"
Desvio de temperatura muito alta na descarga do turbo

compressor A, detectado a partir do sensor TIT-209A

TSHH-209B

compressor B, detectado a partir do sensor TIT-209B

TSHH-209C

compressor C, detectado a partir do sensor TIT-209C

TSHH-209D

compressor D, detectado a partir do sensor TIT-209D
Lugar
PRONTO_D4
Modelo pronto para reinicializar em caso de desvio de

temperatura muito alta na descarga dos turbos compressores A,
B, C ou D
Lugar
Falha 4
Diagnstico de Falha devido temperatura muito alta em um dos

turbo compressores A, B, C ou D.
Construdos os modelos de diagnstico das falhas crticas em PN interpretada;

procedeu-se a sua anlise e validao de requisitos por meio de simulao com a
ferramenta HPSim (ANSCHUETZ, 2010).
Para anlise dos modelos de diagnsticos de falhas crticas, deve-se considerar
o comportamento dos dispositivos de sensoriamento e dos dispositivos de atuao.
As Figuras 5.13 a 5.16 mostram os modelos resultantes que foram assim
construdos a fim de se fazer a simulao dos mesmos.
90

crtica 1.
91

crtica 2.
92

crtica 3.

crtica 4.
Finalmente, a fim de concluir a etapa A1, as boas propriedades foram

analisadas para os modelos de diagnsticos de falhas crticas construdos. A
93
propriedade de reiniciabilidade foi analisada por meio de simulao dos modelos

com o uso da ferramenta HPSim (ANSCHUETZ, 2010) e as propriedades de
vivacidade e segurana foram analisadas com o uso da ferramenta PIPE2 (BONET
et al., 2007). Um resumo da anlise das boas propriedades para os modelos
construdos indicado na Tabela 5.8.
Tabela 5.8 Resumo das boas propriedades das PN interpretadas.
Modelo em PN
interpretada
Diagnstico da
falha crtica 1
Diagnstico da
falha crtica 2
Diagnstico da
falha crtica 3
Diagnstico da
falha crtica 4
Propriedade
dinmica
Resultado
Vivacidade
Verificado com sucesso
Segurana
Reiniciabilidade
Vivacidade
Segurana
Reiniciabilidade
Vivacidade
Segurana
Reiniciabilidade
Vivacidade
Segurana
Reiniciabilidade
5.3.2 Etapa A2: Modelagem de tratamento e coordenao de falhas crticas

5.3.2.1
Passo 1: Identificao das SIFs
O passo 1 foi executado, construindo-se uma Tabela que mostra a identificao das
SIFs, as falhas crticas associadas a cada SIF, os nveis de segurana SIL
definidos para cada SIF, os eventos inicializadores e por fim as aes a serem
executadas pelo SIS; com base no relatrio gerado a partir de um estudo de anlise
de riscos (HAZOP) no processo. Este estudo de caso considerou apenas quatro
SIFs, embora o relatrio de anlise de riscos completo para a ECOMP, seja
constitudo por oito SIFs. A Tabela 5.9 mostra a identificao das SIFs baseadas
neste relatrio. A partir desta Tabela, identificaram-se informaes importantes para
a construo dos modelos de tratamento:
as falhas crticas que esto associadas a cada SIF;
94
as aes a serem executadas pelo SIS e que caberia a cada SIF para o
tratamento das correspondentes falhas crticas.
5.3.2.2
Passo 2: Construo do modelo de tratamento para cada SIF em PN
interpretada
O passo 2 foi executado conforme o procedimento proposto:
A. Construo dos modelos de tratamento em rede de Petri interpretada para
cada falha crtica. As regras para tratamento foram obtidas da Tabela 5.9
construda no passo 1.
B. Edio e simulao do modelo de tratamento em ferramenta computacional
HPSim, com o propsito de validao e anlise da propriedade de
reiniciabilidade. Para a simulao do modelo de tratamento, foram integrados
os modelos dos dispositivos de sensoriamento e dos dispositivos de atuao.
C. Edio do modelo de tratamento em ferramenta computacional PIPE2, a fim
de analisar as propriedades de vivacidade e segurana (1-limitada).
Desta forma, os modelos para tratamento das falhas crticas em PN

interpretada, so mostrados nas Figuras 5.17, 5.18, 5.19 e 5.20. Adicionalmente,
as Tabelas 5.10 a 5.13 descrevem as interpretaes dadas aos elementos dos
modelos gerados.
Descrio
Presso muito alta na

descarga da ECOMP
(Falha 1)
Nvel de condensado
muito alto nos Filtros A e
B na entrada da ECOMP
(Falha 2)
Presso muito alta na

descarga dos turbos
compressores A, B, C e D
(Falha 3)
Temperatura muito alta na

descarga dos turbos
compressores A, B, C e D
(Falha 4)
SIF-ID
Possveis danos na linha de

descarga.
Danificao dos turbos

compressores.
Possvel fluxo reverso;

descarga;
Arraste de condensado para os

turbos compressores A, B, C e D
com possibilidade de dano aos
mesmos.
Vibrao excessiva e rudo alto.
Vazamento incontrolado de gs
podendo ocasionar exploso;

descarga;
Consequncias de falha na demanda
SIL
Tabela 5.9 Identificao das SIFs.
TIT-209A
TIT-209B
TIT-209C
TIT-209D
PDSHH-025
PIT207D
PDSHH-005
LIT-014
PIT207C
LIT-013
LIT-007
PIT-207B
LIT-006
PIT-006C
votao 2oo3
PIT-207A
PIT-006B
PIT-006A
Eventos
inicializadores
Fechar vlvulas:
XV-001 / XV-017;
XV-019 / XV-020;
XV-003 / XV-018.
XV-005 / XV-022
Parada de
emergncia dos
turbos compressores
TC-12001A/B/C/D.
Parada de emergncia dos

turbos compressores:
TC-12001A/B/C/D.
Parada de emergncia dos

turbos compressores:
TC-12001A/B/C/D.
Parada de
emergncia dos
turbos compressores
TC-12001A/B/C/D.
Fechar vlvulas:
XV-001 / XV-017;
XV-019 / XV-020;
XV-003 / XV-018.
Ao
95
96
Figura 5.17 - Modelo em PN interpretada tratamento da Falha crtica 1.

Tabela 5.10 - Elementos do modelo em PN interpretada da Figura 5.19.
ELEMENTO
Falha 1 Confirmada
DESCRIO
Confirmao do diagnstico de falha crtica 1, proveniente do
modelo de coordenao da falha crtica 1
Lugar
XV-001-F
Comando Fecha no atuador da vlvula XV-001 na linha de suco

1 da ECOMP
Lugar
XV-017-F
Comando Fecha no atuador da vlvula XV-017 no by-pass da

linha de suco 1 da ECOMP
Lugar
XV-019-F

2 da ECOMP
Lugar
XV-020-F

Lugar
XV-003-F
Comando Fecha no atuador da vlvula XV-003 na linha de

descarga da ECOMP
Lugar
XV-018-F

linha de descarga da ECOMP
Lugar
XS-160A-D
Comando de Parada de Emergncia do turbo compressor A
Lugar
XS-160B-D
Comando de Parada de Emergncia do turbo compressor B
Lugar
XS-160C-D
Comando de Parada de Emergncia do turbo compressor C
Lugar
XS-160D-D
Comando de Parada de Emergncia do turbo compressor D
97
ELEMENTO
ENABLE_EXT
Lugar
PRONTO_T1
DESCRIO
Sinal de controle externo utilizado para reiniciar o modelo de
tratamento.
Modelo pronto para reinicializar em caso de nova confirmao de
diagnstico de falha crtica 1

ELEMENTO
Falha 2 Confirmada
DESCRIO
Lugar
XV-001-F

1 da ECOMP
Lugar
XV-017-F

Lugar
XV-019-F

2 da ECOMP
Lugar
XV-020-F

Lugar
XV-003-F
Comando Fecha no atuador da vlvula XV-003 na linha de

descarga da ECOMP
Lugar
XV-018-F

linha de descarga da ECOMP
98
ELEMENTO
DESCRIO
Lugar
XV-005-F
Comando Fecha no atuador da vlvula XV-005 na sada do filtro A
Lugar
XV-022-F
Comando Fecha no atuador da vlvula XV-022 na sada do filtro B
Lugar
XS-160A-D
Lugar
XS-160B-D
Lugar
XS-160C-D
Lugar
XS-160D-D

ENABLE_EXT

tratamento.
Lugar
PRONTO_T2

99

ELEMENTO
DESCRIO

Falha 3 Confirmada

Lugar
XS-160A-D
Lugar
XS-160B-D
Lugar
XS-160C-D
Lugar
XS-160D-D

ENABLE_EXT

tratamento.
Lugar
PRONTO_T3

100

ELEMENTO
DESCRIO

Falha 4 Confirmada

Lugar
XS-160A-D
Lugar
XS-160B-D
Lugar
XS-160C-D
Lugar
XS-160D-D

ENABLE_EXT

tratamento.
Lugar
PRONTO_T3

Construdos os modelos de tratamento das falhas crticas em PN interpretada;

procedeu-se sua anlise e validao de requisitos atravs de simulao com o uso
da ferramenta computacional HPSim (ANSCHUETZ, 2010).
Os modelos de tratamento de falhas crticas construdos para simulao contm
os modelos dos dispositivos de sensoriamento e modelos dos dispositivos de
atuao. As Figuras 5.21 a 5.24 mostram os modelos resultantes a fim de se fazer a
simulao dos mesmos.
101

crtica 1.

crtica 2.
102

crtica 3.

crtica 4.
103
A fim de concluir este passo, as boas propriedades foram analisadas para os

modelos de tratamento de falhas crticas construdos. A propriedade de
reiniciabilidade foi analisada por meio da simulao dos modelos com o uso da
ferramenta HPSim (ANSCHUETZ, 2010) e as propriedades de vivacidade e
segurana foram analisadas com o uso da ferramenta PIPE2 (BONET et al., 2007).
Um resumo da anlise das boas propriedades para os modelos construdos
indicado na Tabela 5.14.

Modelo em PN
interpretada
Tratamento da
falha crtica 1
Tratamento da
falha crtica 2
Tratamento da
falha crtica 2
Tratamento da
falha crtica 4
5.3.2.3
Propriedade
comportamental
Resultado
Vivacidade
Segurana
Reiniciabilidade
Vivacidade
Segurana
Reiniciabilidade
Vivacidade
Segurana
Reiniciabilidade
Vivacidade
Segurana
Reiniciabilidade
Passo 3: Construo do modelo de coordenao em PN interpretada
para cada SIF.

O passo 3 foi executado de acordo com o procedimento proposto:
A. Construo dos modelos de coordenao em rede de Petri interpretada para
cada falha crtica. Os modelos foram construdos de forma robusta com
relao ocorrncia de falhas esprias. Neste trabalho a soluo empregada
para a implementao desta robustez foi via transies temporizadas.
B. Edio e simulao de cada modelo de coordenao, usando a ferramenta
computacional HPSim, a fim de validar se o modelo atende aos requisitos
104
tcnicos especificados e adicionalmente foi feita a anlise da propriedade de

reiniciabilidade.
C. Edio de cada modelo de coordenao usando a ferramenta computacional
PIPE2, a fim de analisar as propriedades de vivacidade e segurana (1limitada).
Desta forma, os modelos para coordenao das falhas crticas em PN
interpretada, so mostrados nas Figuras 5.25 e 5.26. Adicionalmente, as Tabelas
5.15 a 5.18, respectivamente descrevem as interpretaes dadas aos elementos
dos modelos gerados.
(a)
(b)
Falha crtica 2.
Tabela 5.15 - Elementos do modelo em PN interpretada da Figura 5.25(a).
ELEMENTO
DESCRIO
Arcos habilitador / inibidor

associado
FALHA 1
Sinal de FALHA proveniente do modelo de diagnstico da falha

crtica 1.
Arco inibidor associado

PSHH-006A"


PSHH-006B


PSHH-006C

Lugar
PRONTO_C1
Modelo de coordenao da falha crtica 1 pronto para ser

reiniciado
Lugar
FALHA 1 CONFIRMADA
Caso a FALHA 1 permanea ativada por um intervalo de

tempo t >= PRESET, a mesma confirmada e habilita a
chamada do modelo de tratamento correspondente.
105
Tabela 5.16 - Elementos do modelo em PN interpretada da Figura 5.25(b).

ELEMENTO
DESCRIO
Arcos habilitador/inibidor
associado
FALHA 2

crtica 2.

LSHH-006
Desvio de nvel de condensado muito alto no Filtro A na entrada

da ECOMP, detectado a partir do sensor LIT-006

LSHH-013
Desvio de nvel de condensado muito alto no Filtro B na entrada


LSHH-007
Desvio de nvel de condensado muito alto no Filtro A na entrada


LSHH-014
Desvio de nvel de condensado muito alto no Filtro B na entrada


PDSHH-005
Desvio de presso diferencial muito alta no Filtro A na entrada


PDSHH-025
Desvio de presso diferencial muito alta no Filtro B na entrada

Lugar
PRONTO_C2

reiniciado
Lugar
FALHA 2 CONFIRMADA

(a)
(b)
Falha crtica 4.
106
Tabela 5.17 - Elementos do modelo em PN interpretada da Figura 5.26(a).

ELEMENTO
DESCRIO
associado
FALHA 3

crtica 3.

PSHH-207A"
Desvio de presso muito alta na descarga do turbo compressor

A, detectado a partir do sensor PIT-207A

PSHH-207B

B, detectado a partir do sensor PIT-207B

PSHH-207C

C, detectado a partir do sensor PIT-207C

PSHH-207D

D, detectado a partir do sensor PIT-207D
Lugar
PRONTO_C3

reiniciado
Lugar
FALHA 3 CONFIRMADA

Tabela 5.18 - Elementos do modelo em PN interpretada da Figura 5.26(b).

ELEMENTO
DESCRIO
associado
FALHA 4

crtica 4.

TSHH-209A"

compressor A, detectado a partir do sensor TIT-209A

TSHH-209B

compressor B, detectado a partir do sensor TIT-209B

TSHH-209C

compressor C, detectado a partir do sensor TIT-209C

TSHH-209D

compressor D, detectado a partir do sensor TIT-209D
Lugar
PRONTO_C4

reiniciado
Lugar
FALHA 4 CONFIRMADA

Construdos os modelos de coordenao das falhas crticas em PN interpretada;

procedeu-se sua anlise e validao de requisitos por meio de simulao com o uso
da ferramenta HPSim (ANSCHUETZ, 2010).
107
Os modelos de coordenao de falhas crticas construdos para simulao

contm os modelos dos dispositivos de sensoriamento e modelos dos dispositivos
de atuao. As Figuras 5.27 a 5.28 mostram os modelos resultantes que foram
construdos a fim de se fazer a simulao dos mesmos.
(a)
(b)
Falha crtica 1 e (b) Falha crtica 2.
108
(a)
(b)
Falha crtica 3 e (b) Falha crtica 4.
109
A fim de concluir este passo, as boas propriedades foram analisadas para os

modelos de coordenao de falhas crticas construdos. A propriedade de
reiniciabilidade foi analisada por meio de simulao dos modelos com o uso da
ferramenta HPSim (ANSCHUETZ, 2010) e as propriedades de vivacidade e
segurana foram analisadas com o uso da ferramenta PIPE2 (BONET et al., 2007).
Um resumo da anlise das boas propriedades para os modelos construdos
indicado na Tabela 5.19.
Modelo em PN
interpretada
Coordenao da
falha crtica 1
Coordenao da
falha crtica 2
Coordenao da
falha crtica 3
Coordenao da
falha crtica 4
Propriedade
comportamental
Resultado
Vivacidade
Segurana
Reiniciabilidade
Vivacidade
Segurana
Reiniciabilidade
Vivacidade
Segurana
Reiniciabilidade
Vivacidade
Segurana
Reiniciabilidade
5.3.3 Etapa B: Anlise dos modelos em PN integrados

Esta etapa B foi executada, integrando os modelos em PN para diagnstico,
coordenao e tratamento para cada falha crtica, de tal forma a compor as SIFs do
SIS.
Uma vez que os modelos foram integrados executaram-se as seguintes atividades:
Edio e simulao de cada modelo de SIF usando a ferramenta
computacional HPSim, a fim de validao do mesmo. Adicionalmente,
analisou-se a propriedade de reiniciabilidade. Para a simulao dos modelos,
110
foram introduzidos os modelos dos dispositivos de sensoriamento e

dispositivos de atuao.
Edio de cada modelo de SIF usando a ferramenta computacional PIPE2, a
fim de analisar as propriedades de vivacidade e segurana (1-limitada).
As Figuras 5.29 a 5.32 mostram os modelos em PN, aps a integrao dos modelos
de diagnstico, coordenao e tratamento para cada SIF considerada neste estudo
de caso.
111
Figura 5.29 Modelo em PN interpretada SIF-01.
112
113
114
115
Construdos os modelos integrados das SIF-01, SIF-02, SIF-03 e SIF-04 em PN

interpretada; procedeu-se suas anlises e validao de requisitos por meio de
simulao com o uso da ferramenta HPSim (ANSCHUETZ, 2010).
Os modelos em PN interpretada das SIFs construdos para simulao contm os
modelos dos dispositivos de sensoriamento e modelos dos dispositivos de atuao.
As Figuras 5.33 a 5.36 mostram os modelos resultantes a fim de se fazer a
simulao dos mesmos.
116
Figura 5.33 Modelo em PN interpretada para simulao SIF-01.
117
118
119
120
A fim de concluir esta etapa, as boas propriedades foram analisadas para os

modelos das SIF-01, SIF-02, SIF-03 e SIF-04. A propriedade de reiniciabilidade foi
analisada por meio de simulao dos modelos com o uso da ferramenta HPSim
(ANSCHUETZ, 2010) e as propriedades de vivacidade e segurana foram
analisadas com o uso da ferramenta PIPE2 (BONET et al., 2007). Um resumo da
anlise das boas propriedades para os modelos construdos indicado na Tabela
5.20.
Tabela 5.20 Resumo das boas propriedades dos modelos em PN.
Modelo em PN
interpretada
SIF-01
SIF-02
SIF-03
SIF-04
Propriedade
comportamental
Resultado
Vivacidade
Segurana
Reiniciabilidade
Vivacidade
Segurana
Reiniciabilidade
Vivacidade
Segurana
Reiniciabilidade
Vivacidade
Segurana
Reiniciabilidade
Os modelos foram editados e simulados para validar o comportamento dinmico dos

mesmos de acordo com os requisitos tcnicos especificados para cada SIF e SIS.
Para este estudo de caso especfico, os modelos atenderam s especificaes
tcnicas.
5.3.4 Etapa C: Gerao dos programas de controle baseados nos algoritmos
de controle
A etapa C foi executada, convertendo-se de forma sistemtica e isomrfica os
modelos integrados e validados das SIFs obtidos na etapa B, para programas de
controle baseados em algoritmos de controle desenvolvidos em uma ou mais
linguagens de programao prescritas pela IEC 61131-3 (2003). Para este estudo de
121
caso, a linguagem adotada foi o diagrama ladder (LD), pois uma das linguagens
mais comuns e amplamente utilizadas na programao de CPs.
Desta forma, no Anexo B deste trabalho, encontram-se os programas de controle
baseados nos algoritmos de controle para diagnstico, coordenao e tratamento da
SIF-01.
5.3.5 Etapa D: Testes de aceitao
Conforme citado na seo 4.7 da sistemtica proposta, na abordagem deste
trabalho, esta etapa est de acordo com a recomendao das normas IEC 61508
(1998) e IEC 61511 (2003). Para esta aplicao, os programas dos algoritmos de
controle foram editados, transferidos para a memria do CP e simulados, a partir de
uma ferramenta de simulao baseada em um CP de segurana da Siemens (S7300F, onde F significa Falha segura). Os programas dos algoritmos foram
validados mediante simulao dos sinais dos sensores a partir de combinaes
conhecidas e definidas na especificao e os sinais de atuaes para cada SIF
foram verificados.
122
6 CONCLUSES FINAIS
Neste trabalho, foi proposta uma sistemtica para desenvolvimento de
programas de algoritmos de controle aplicados a sistemas eletrnicos programveis
(PES) no contexto de projetos de sistemas instrumentados de segurana (SIS). A
abordagem deste trabalho foi dirigida para o desenvolvimento e validao de
modelos de diagnstico, coordenao e tratamento de falhas crticas; baseada em
tcnicas formais como a rede Bayesiana (BN) e rede de Petri interpretada (PN).
Como aspecto inicial, destaca-se a apresentao e discusso das normas
vigentes relacionadas com a segurana funcional (ANSI/ISA 84.01, 1996; IEC
61508, 1998; IEC 61511, 2003); para definio dos requisitos necessrios para o
projeto de um SIS. Por sua vez, foi explorado o conceito de sistemas instrumentados
de segurana (SIS) e sua classificao como um sistema a eventos discretos (SED),
sendo apresentadas as tcnicas para modelagem e validao de algoritmos de
controle para SIS, abordando aspectos sobre o diagnstico e tratamento de falhas
crticas. Neste sentido, foram estudadas as tcnicas de rede de Petri e variantes
como a rede de Petri interpretada para a descrio de algoritmos de controle
adequando necessidade de modelar o processo de diagnstico considerando as
deteces esprias. Foi estudada tambm, uma tcnica de modelagem de
diagnstico que abrange a teoria de probabilidade condicional e incondicional, como
a rede Bayesiana (BN) para definirem-se formalmente modelos causa-efeito.
Quanto sistemtica proposta neste trabalho, procurou-se assegurar que o
desenvolvimento dos programas dos algoritmos de controle para sistemas
eletrnicos programveis (PES) em projetos de sistemas instrumentados de
segurana (SIS); atende o ciclo de vida de segurana de projetos de SIS previsto
nas normas IEC 61508 e IEC 61511.
Aplicou-se a sistemtica proposta a um exemplo de aplicao baseado num
processo industrial. O processo industrial considerado foi de uma estao de
compresso de gs natural (ECOMP). Para a avaliao da sistemtica proposta,
foram considerados os seguintes documentos: um relatrio proveniente de uma
anlise de riscos utilizando-se a metodologia de HAZOP, memorial descritivo do
sistema de segurana (SIS), diagrama de processo e instrumentao (P&ID) e as
123
relaes (causa efeito) entre as variveis que foram obtidas a partir destes
documentos e do conhecimento dos especialistas, atravs de reunies entre a
equipe de projeto, equipe de operao e a equipe de manuteno. A sistemtica
mostrou-se eficiente para o desenvolvimento dos programas dos algoritmos de
controle de diagnstico e tratamento de falhas. importante destacar que as
verificaes das boas propriedades e validaes dos modelos de diagnstico,
coordenao e tratamento foram feitos a partir de ferramentas de simulao discreta,
utilizando recursos computacionais. Com relao etapa de testes finais de
aceitao, os programas dos algoritmos de controle gerados, foram descarregados
em um simulador de controlador programvel (CP) de segurana, e as falhas crticas
foram simuladas por meio da combinao de entradas a partir da especificao
dada, e observadas as atuaes do CP; com base em uma estao de simulao,
comprovando que o comportamento do sistema de controle estava de acordo com
os requisitos de segurana especificados.
6.1
O
CONTRIBUIES DO TRABALHO
resultado
do
desenvolvimento
deste
trabalho
traduz-se
nas
seguintes
contribuies fundamentais:
Proposta de uma sistemtica que explora mtodos formais para a

modelagem e validao de algoritmos de controle aplicados a PES, no
contexto de SIS; incluindo o diagnstico, a coordenao e o tratamento de
falhas crticas a partir de tcnicas baseadas em rede de Petri (PN)
interpretada e rede Bayesiana (BN). Este trabalho considera o diagnstico
e o tratamento para cada funo instrumentada de segurana (SIF) a
partir do resultado do estudo de anlise de riscos baseado na
metodologia de HAZOP.
Proposta de uma nova abordagem para o desenvolvimento de projetos de

sistemas de controle para sistemas instrumentados de segurana (SIS),
atendendo a recomendao das normas aplicadas segurana funcional
da indstria de processos (IEC 61508, 1998) e (IEC 61511, 2003).
124
Proposta de uma tcnica, que auxilia na construo do relatrio de

HAZOP, a partir da identificao das SIFs e das suas relaes causas
efeitos, obtidas atravs das estruturas das redes Bayesianas, construdas
a partir de um banco de dados.
Planejamento e validao de programas de controle baseados no

algoritmo de controle, em conformidade com o ciclo de vida de segurana
de software para projetos de SIS conforme prescrito na norma IEC 61511.
6.2
TRABALHOS FUTUROS
A seguir listam-se alguns trabalhos futuros que contribuem com o desenvolvimento

de projetos de sistemas instrumentados de segurana (SIS):
Pesquisa na rea de comissionamento virtual no contexto de sistemas

instrumentados de segurana (SIS); para o desenvolvimento de um mtodo
formal para o atendimento da fase Testes de Aceitao das SIFs e SIS
instalados, conforme ciclo de vida de segurana (IEC 61511, 2003).
Desenvolvimento de um sistema de comissionamento dinmico capaz de

testar os dispositivos de segurana de acordo com a norma IEC 61508;
Desenvolvimento de um sistema de controle para mitigao de falhas crticas;
Desenvolvimento de procedimentos para validao e verificao do sistema

de controle para diagnstico e tratamento de falhas crticas para a mitigao.
125
REFERNCIAS BIBLIOGRFICAS
ADAM, N.R.; ATLURI, V.; HUANG, W.-K. Modeling and analysis of workflows using
Petri nets. Journal of Intelligent Information System, Kluwer Academic Publisher,
Boston, vol 10, n. 2, pp. 131158, 1998.
ANSCHUETZ, H. HPSim . Disponvel em http://www.winpesim.de/3.html, acessado
em 31/03/2011.
BELL, R, Introduction to IEC 61508. In Proceedings of ACS Workshop on Tools
and Standards, Sydney, Australia, 2005.
BOBBIO, A et al. Comparison of methodologies for the safety and dependability
assessment of an industrial programmable logic controller. In: N. Piccinini and E. Zio,
eds., European Safety Dependability Conference (ESREL), pp. 411-418, 2001.
BONET, P. et al. PIPE2. Disponvel em http://pipe2.sourceforge.net/, acessado em
11/06/2011.
BRAUER, W.; REISIG, W. Carl Adam Petri and Petri nets. Informatik-Spektrum,
Springer Berlin / Heidelberg, vol 29, n. 5, pp. 369-381, 2006.
CALVEZ, J.P. Embedded Real-Time Systems. New York, USA: John Wiley & Sons,
1993. ISBN 0 471 93563 8
CARDOSO, J.; VALETTE, R. Redes de Petri. Florianpolis, SC: Editora da UFSC, 1997, CDU: 681.31:519.1
CASSANDRAS, C.G. Discrete Event Systems: Modeling and Performance Analysis.
Burr Ridge: Richard D. Irwin Inc., 1993.
CASSANDRAS, C.G.; LaFORTUNE, S. Introduction to Discrete Event System.
Springer, 1999.
CHEN, C.; DAI, J. Design and high-level synthesis of hybrid controller. In Proceeding
of IEEE Internationa Conference of Networking, Sensing & Control, Taipei, Taiwan.
2004.
126
CHENG, J.; BELL, D.; LIU, W. Learning Bayesian networks from data: An efficient
approach based on information theory. Technical report, Department of Computing
Science, University of Alberta, Canada, 1998.
CHIEN, C.F.; CHEN, S.L.; LIN, Y.S. Using Bayesian network for fault location on
distribution feeder, IEEE Transaction in Power Delivery, vol 17, n. 3, pp. 785793,
2002.
COOPER, G.F.; HERSKOVITS, E. A Bayesian method for the induction of
probabilistic networks from data, Machine Learning, vol 9, pp. 309-347, 1992.
COZMAN, F.G. JavaBayes: Bayesian Networks in Java, 2001. Disponvel em
http://www-2.cs.cmu.edu/~javabayes/ , acessado em 13/04/2011.
CRUZ-CAMPA, H.J.; CRUZ-GOMEZ, M.J. Determine SIS and SIL using HAZOPS,
Published
on-line
in
Wiley
InterScience
(www.interscience.wiley.com),
DOI
10.1002/prs. 10293, 2009.

CURY, J.E.R. Teoria de controle supervisrio de sistemas a eventos discretos. Anais
do V Simpsio Brasileiro de Automao Inteligente, Canela, RS, Brasil, pp. 68-75,
2001.
DAVID, R.; ALLA, H. Petri nets for modeling of dynamic systems - a survey.
Automatica, vol 30, n. 2, pp. 175202, 1994.
DARWICHE, A. What are Bayesian networks and why are their applications growing
across all fields ?. Communications of the ACM, vol 53, pp. 80-90, 2010.
DEI-SVALDI, D; VAUTRIN, J.P. Les automates programmables. Nouvelles
Technologies, nouveaux risques, prncipes de scurit appliquer. Cahiers de notes
documentaires, n. 117, pp. 467-473, 1989.
DUTUIT, Y.; RAUZY, A.; SIGNORE, J. A snapshot of methods and tools to assess
safety integrity levels of high-integrity protection systems, In: Proceedings of IMechE,
vol 222, 2008a.
127
DUTUIT, Y.; INNAL, F.; RAUZY, A.; SIGNORE, J.P. Probabilistic assessments in
relationship with safety integrity Levels by using fault trees. Reliability Engineering
and System Safety, Elsevier Science Publisher Ltd., 2008b.
FALLER, R. Project experience with IEC 61508 and its consequences, Springer
Berlin / Heidelberg, vol 2187, pp. 200-210, 2001.
FREY, G.; LITZ, L. Formal methods in PLC programming. In Proceedings of IEEE International Conference on Systems, Man and Cybernetics (SMC. Nashville, pp.
2431-2436, 2000.
GOBLE, W.M Control Systems Safety Evaluation & Reliability. ISA The
instrumentation, Systems and Automation Society, 2nd edition, ISBN 1-55617-636-8,
1998.
GUO, H.; YANG, X. Automatic creation of Markov models for reliability assessment of
safety instrumented system. Reliability Engineering and System Safety, pp. 807
815, Elsevier Science Publisher Ltd., 2007.
HAN, R et al. A Petri net theory-based method for modeling web service-based
systems. In: Proc. of 4th Intern. Conf. on Wireless Communications, Networking and
Mobile Computing (WiCOM), pp. 17, Dalian, China, 2008.
HAMADI, R.; BENATALLAH, B.A. A Petri net-based model for web service
composition. In Proceedings of the 14th Australasian Database Conference (ADC03).
Adelaide, Austrlia: Australian Computer Society, pp. 191-200, 2003.
HO, Y.-C. Performance evalution and perturbation analysis of discrete event dynamic
systems. IEEE Transaction on Automatic control, vol 32, issue 7, pp. 563-572, 1987.
HO, Y.-C. Discrete event dynamics systems analysing complexity and performance
in the Modern World. IEEE Press, New York, 1992.
HRUSCHKA JR, E.R. Imputao Bayesiana no contexto da Minerao dos Dados.
Tese (Doutorado) Universidade Federal do Rio de Janeiro, Rio de Janeiro, Brasil,
2003. Disponvel em
http://wwwp.coc.ufrj.br/teses/doutorado/inter/2003/teses/HRUSCHKA%20JUNIOR_E
R_03_t_D_int.pdf , acessado em 13/04/2011
128
IEC, International Electrotechnical Commission. Functional Safety of Electrical /

Electronic
International
Programmable Electronic
Electrotechnical
Safety-related
Commission,
Systems
Geneva,
(IEC
61508),
Switzerland,
1998.
Disponvel em http://www.iec.ch; acessado em 02/04/2011.

IEC, International
Electrotechnical
Commission.
Functional safety - Safety
instrumented systems for the process industry sector - (IEC 61511), International
Electrotechnical
Commission, Geneva,
Switzerland,
2003.
Disponvel em
http://www.iec.ch; acessado em 02/04/2011

ISA, Application of Safety Instrumented Systems for the Process Industries,
ANSI/ISA-SP 84.01-1996, ISA, Research Triangle Park, NC,1996.
IEC, International Electrotechnical Comission, Programmable Controllers (IEC
61131: Part 3) Programming Languages, 2003.
ITO, Y. A desirable production structure looking toward the 21 st century
Anthropocentric Intelligence-based Manufacturing. In: Anais do XI Congresso
Brasileiro de Engenharia Mecnica (COBEM), Brasil, So Paulo, pp. 23-32, 1991.
JENSEN, K. Coloured Petri nets: Basic Concepts, Analysis Methods and Practical
Use. Berlin: Springer Verlag, 1992.
KAMTEKAR, D.M. Implementation of Functional Safety in a robotic manufacturing
cell using IEC 61508 Standard and Siemens Technology. Master Thesis, Kate
Gleason College of Engineering, Rochester Institute of Technology, New York, 2009.
KANESHIRO, P.J. et al. Modeling of collision resolution algorithm in Lonworks
networks. In: Proceedings of ASME International Mechanical Engineering Congress
and Exposition. Seattle: vol 9, pp. 743-749, 2008. ISBN 0791843033
KANNAN, P.R. Bayesian networks: application in safety instrumentation and risk
reduction. ISA Transactions, pp. 255-259, 2007.
KIEPUSZEWSKI, B.; HOFSTED, A.; AALST, W. Fundamentals of control flow in
workflows. Acta Informatica, vol 39, n. 3, pp. 143-209, 2003, ISSN 0001-5903.
129
LEE, J.-S.; ZHOU, M.-C.; HSU, P.-L. An application of Petri nets to supervisory
control for human-computer interactive systems. IEEE Transactions on Industrial
Electronics, vol 52, n. 5, pp. 1220-1226, 2005, ISSN 0278-0046.
LEE, G.-B.; ZANDONG, H.; LEE, J.-S. Automatic generation of ladder diagram with
control Petri net. Journal of Intelligent Manufacturing, vol 15, pp. 245-252, 2004.
LERNER, U. et al. Monitoring a complex physical system using a hybrid dynamic
Bayes net. In: Proceeding 18th Conf. on Uncertainty in AI (UAI), Edmonton, Canada,
pp. 301310, 2002.
LI, Z.; ZHOU, M. Elementary siphons of Petri nets and their application to deadlock
prevention in flexible manufacturing systems. IEEE Transactions on Systems, Man
and Cybernetics, Part A: Systems and Humans, vol 34, n. 1, pp. 3851, 2004, ISSN
1083-4427.
LI, Z.; ZHOU, M. Control of elementary and dependent siphons in Petri nets and their
application, IEEE Transactions on Systems, Man and Cybernetics, Part A: Systems
and Humans, vol 38, n. 1, pp. 133148, 2008, ISSN 1083.4427.
LIU, J.; YUAN, C.; GU, F.; BILLER, S. Functional Safety Certification: Practice and
Issues. 4th IEEE Conference on Automation Science and Engineering, pp. 412-417,
2008.
LUNDTEIGEN, M.-A.; RAUSAND, M. Architectural constraints in IEC 61508: Do they
have the intended effect ?. Reliability Engineering and System Safety, pp. 520 525,
Elsevier Science Publisher Ltd., 2009.
LUNDTEIGEN, M.-A; RAUSAND, M; UTNE, I.-B. Integrating RAMS engineering and
management with the safety life cycle of IEC 61508. Reliability Engineering and
System Safety, pp. 1894 -1903, Elsevier Science Publisher Ltd., 2009.
LUO, J; TU, H; PATTIPATI, K; QIAO, L; CHIGUSA, S. Graphical models for
diagnosis knowledge representation and inference, Autotestcon 2005, IEEE, pp. 483489, 2005. ISBN: 0-7803-9101-2, DOI 10.119/AUTEST.2005.1609185
130
MARCOS, J.; LVAREZ, J.; FERNNDEZ, S. Design of safety systems with

Programmable Logic. Disponvel em
http://www.dte.uvigo.es/home/jacobo_alvarez/documentos/Curriculum/sprts05.pdf,
acessado em 13/04/2011.
MIYAGI, P.E Controle Programvel Fundamentos do Controle de Sistemas a
Eventos Discretos. So Paulo, SP: Editora Edgard Blucher Ltda, 3 reimpresso2007, ISBN 85-212-0079-X.
MORALES, R.A.-G.; GARCIA MELO, J.- I.; MIYAGI, P.E. Diagnosis and treatment of
faults in productive systems based on Bayesian networks and Petri net. In:
Proceeding of IEEE International Conference on Automation Science and
Engineering (CASE 2007), pp. 357 - 362, 2007.
MURATA, T. Petri nets: properties, analysis and applications, Proceedings of IEEE,
vol 77, pp. 541580, 1989.
MURPHY,
K.
Bayes
Net
Toolbox
for
Matlab,
2007.
Disponvel
em
http://code.google.com/p/bnt/, acessado em 01/04/2011.

MUSIC, G.; GRADISAR, D.; MATKO, D. IEC 61131-3 compliant control code
generation from discrete event models. pp. 346-351, 2005.
NASSAR, M.G.V. et al. Modeling and analyzing of the material entry flow system in a
pickling line process using Petri nets. In: ABCM Symposium Series in Mechatronics,
vol 3, pp. 444-453, 2008.
NILSSON, N. J. Artificial Intelligence: A new synthesis. San Francisco: Morgan
Kaufmann, 1998.
PEARL, J. Causality: Models Reasoning and Inference, Cambridge University Press,
2000.
PETERSON, J.L. Petri nets. ACM Computing Surveys, ACM, New York, USA, vol 9,
n. 3, pp. 223-252, 1977, ISSN 0360-0300.
RAMADGE, P.J.; WONHAM, W.M. The control of discrete event systems. In:
Proceedings of the IEEE, vol 77, n. 1, 1989.
131
RIASCOS, L.A.M. Metodologia para deteco e tratamento de falhas em sistemas de

manufatura atravs de rede de Petri, Tese de doutorado, Escola Politcnica da
Universidade de So Paulo, 2002.
RIASCOS, L.A.M.; MIYAGI, P.E. Modeling and analysis of fault-tolerant systems for
machining operations based on Petri nets, Control Engineering Practice, vol 14, pp.
397-408, 2006.
RIASCOS, L.A.M.; SIMES, M.G.; MIYAGI, P.E. A Bayesian network fault diagnostic
system for proton exchange membrane fuel cells, Journal of Power Sources, vol 165,
n. 1, pp. 267-278, 2007.
ROUVROYNE, J.L.; BLIEK, E.G. Comparing safety analysis techniques, Reliability
Engineering and System Safety, Elsevier Science Publisher Ltd, pp. 289 294,
2002.
RU, Y.; HADJICOSTS, C. Fault diagnosis in discrete event systems modeled by Petri
nets with outputs, In: Proceeding of the 9th International Workshop on Discrete Event
Systems, Gteborg, Sweden, 2008.
RUSSELL, S.; NORVIG, P. Artificial Intelligence: A modern approach. New Jersey:
Prentice-Hall, pp. 932, 1995.
SALLAK, M.; SIMON, C.; AUBRY, J., A fuzzy probabilistic approach for determining
safety integrity level, IEEE Transaction on Fuzzy Systems, vol 16, n.1, pp. 239-248,
2008
SANTOS FILHO, D.J. Aspectos do Projeto de Sistemas Produtivos, Tese de Livre
Docncia, Escola Politcnica da Universidade de So Paulo, 2000.
SEIXAS DE OLIVEIRA, L. Lifecycle cost analysis of alternatives for complying with
required safety integrity level (SIL) at a petrochemical plant. In: Proceeding of CCPS
Health and Safety Conference, Buenos Aires, Argentina, 2008.
STAVRIANIDIS, P.; BHIMAVARAPU, K. Safety instrumented functions and safety
integrity levels (SIL), ISA Transactions, vol 37, pp. 337-351, 1998.
132
SQUILLANTE JR, R.; SANTOS FILHO, D.J.; JUNQUEIRA, F.; MIYAGI, P.E.
Desenvolvimento de sistemas de controle para sistemas instrumentados de
segurana. In: Anais do 9th IEEE/IAS International Conference on Industry
Applications (INDUSCON), So Paulo, 2010a, ISBN 978-85-99916-02-5.
SQUILLANTE JR, R.; SANTOS FILHO, D.J.; GARCIA MELO, J.I.; JUNQUEIRA, F.;
FATTORI, C.; MIYAGI, P.E. Safety instrumented system designed based on
Bayesian network and Petri net, In: Proceedings of 8th International Conference on
Mathematical problems in Engineering, Aerospace and Sciences (ICNPAA), So
Jose dos Campos, Brazil, 2010b.
SQUILLANTE JR, R.; SANTOS FILHO, D.J.; RIASCOS, L.A.M.; JUNQUEIRA, F.;
MIYAGI, P.E. Mathematical method for modeling and validating of safety
instrumented system designed according to IEC 61508 and IEC 61511, In: Anais do
21st International Congress of Mechanical Engineering (COBEM), Natal RN, Brazil,
2011a.
SQUILLANTE JR, R.; SANTOS FILHO, D.J.; JUNQUEIRA, F.; MIYAGI, P.E.
Development of Control Systems for Safety Instrumented Systems, In: revista IEEE
Amrica Latina, vol. 9, Issue 4, pp. 451-457, 2011b, ISSN: 1548-0992.
SUMMERS, A.; RANEY, G. Common cause and common sense, designing failure
out of your safety instrumented systems (SIS). In: ISA Transactions, vol 38, pp. 291299, 1999.
THAPA, D.; DANGOL, S.; WANG, G. Transformation from Petri net model to
Programmable Logic Controller using one-to-one mapping technique. vol 2, pp. 229233, 2005.
WANG, X.; CHEN, G.; XIE, Y.;GUO, Z. Fault detection and diagnosis based on time
Petri net. In: Proceedings of Eighth International Conference on Electronic
Measurement and Instruments, Beijing, China, 2007.
WIGHTKIN, N.; BUY, U.; DARABI, H. Formal modeling of sequential function charts
with time petri nets. IEEE Transactions on Control Systems, vol 99, pp. 1-10, 2010.
133
WU, B; XI, L.-F; ZHUO, B.-H. Service-oriented communication architecture for

automated manufacturing system integration. International Journal of Computer
Integrated Manufacturing, vol 21, n. 5, pp. 599615, 2008.
XU, X et al. A novel modeling design method for automated storage and retrieval
system based on Petri nets. In: Proceedings of the IEEE International Conference on
Automation and Logistics, Jinan, China, pp. 20462051, 2007.
ZHANG, Y; JIANG, J. Bibliographical review on reconFigurable fault-tolerant control
systems, Annual Reviews in Control, vol 32, pp. 229-252, 2008.
ZHOU, M; DiCesare, F. Petri Net Synthesis for Discrete Event Control of
Manufacturing Systems, Boston, USA, Kluwer Ac. Publisher, 1993.
ZURAWSKI, R.; ZHOU, M. Petri nets and industrial applications: A tutorial. IEEE
Transactions on Industrial Electronics, vol 41, n. 6, pp. 567-583, 1994.
YOO, T; JEONG, B; CHO, H., A Petri nets based functional validation for services
composition, Expert Systems with Applications, vol 37, pp. 37683776, 2010.
134
ANEXO A
Segue abaixo, o programa computacional baseado no algoritmo K2 que foi
aplicado para o exemplo de aplicao da estao de compresso de gs (ECOMP).
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%
Gerao da estrutura da rede Bayesiana (BN)
%
%
aplicando o algoritmo K2 (busca e pontuao)
%
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
clear;
%variveis
%N = 21;
Falha1=1; Falha2=2; Falha3=3; Falha4=4;
%nmero de ns
%causas
Pshh006A=5; Pshh006B=6; Pshh006C=7; Lshh006=8; Lshh007=9; Pdshh005=10;

%sensores
Lshh013=11; Lshh014=12; Pdshh025=13;Pshh207A=14; Pshh207B=15; Pshh207C=16;
%sensores
Pshh207D=17; Tshh209A=18; Tshh209B=19; Tshh209C=20; Tshh209D=21;
%sensores
% Carregando o arquivo texto (Tabela causa --> efeito)
dat = load('Ftable_Ecomp_rev3.txt');
[Ncases N]=size(dat);
for j=1:N-1
for i=1:Ncases
date(j,i)=dat(i,j+1);
end;
end;
%eliminando a 1 coluna da Tabela (LOAD)
N=N-1;
k=0;
for j=1:Ncases
k=k+1;
c=0;
for i=1:N
c=c+date(i,j);
dato(i,k)=date(i,j);
end;
end;
%eliminando casos sem efeitos
Ncases=k;
for i=1:N
for j=1:Ncases
data(i,j)=dato(i,j)+1;
end;
end;
node_size = 2*ones(1,N);
%falso=1
verdadeiro=2
135
% Aprendizagem da estrutura da BN
order = [Falha1 Falha2 Falha3 Falha4 Pshh006A Pshh006B Pshh006C Lshh006
Lshh007 Pdshh005 Lshh013 Lshh014 Pdshh025 Pshh207A Pshh207B
Pshh207C Pshh207D Tshh209A Tshh209B Tshh209C Tshh209D];
%nmero mximo de pais
max_fan_in = 3;
dagK2 = learn_struct_K2(data, node_size, order,'max_fan_in', max_fan_in);
% NetStructure in Matrix form
dagK2
arcs=0;
for i=1:N
for j=1:N
arcs=arcs+dagK2(i,j);
end;
end;
arcs
%nmero de arcos
%pdag = learn_struct_pdag_pc('dsep', N, max_fan_in, dagK2);

%pdag
% Visualizing The net
figure(1);
draw_graph(dagK2);
%figure (2);
%draw_graph(pdag);
136
ANEXO B
Os programas de controle baseados nos algoritmos de controle para
diagnstico, coordenao e tratamento das falhas crticas, foram gerados a partir
dos modelos integrados em PN mostrados nas Figuras 5.29, 5.30, 5.31 e 5.32 para a
linguagem ladder (LD). A ferramenta utilizada para edio dos programas de
controle foi o STEP 7 da empresa Siemens, e os programas de controle foram
organizados de forma estruturada, de acordo com o fluxograma apresentado na
Figura B.1 onde se destacam os seguintes elementos:
OB100
Rotina de inicializao: a rotina executada pelo CP de segurana

somente no 1 scan. Esta rotina contm o algoritmo necessrio para
definio das marcas iniciais da PN dos modelos de diagnstico,
coordenao e tratamento da SIF-01.
OB1
Rotina principal: a rotina executada pelo CP de segurana a cada

ciclo de scan. Esta rotina contm os algoritmos de chamada das
rotinas FC1, FC2 e FC3 de forma sequencial.
FC1
Rotina de diagnsticos: contm o algoritmo de diagnstico da falha

crtica SIF-01.
FC2
Rotina de coordenao: contm o algoritmo de coordenao da falha

crtica SIF-01.
FC3
Rotina de tratamento: contm o algoritmo de tratamento da falha crtica

SIF-01.
137
Figura B.1 Fluxograma de execuo do programa de controle.
B.1 DESCRIO DO MTODO DE CONVERSO

Os modelos em PN foram convertidos para os programas dos algoritmos de controle
de forma sistemtica e isomrfica obedecendo-se o seguinte mtodo:
a) Etapa 1: Habilitao das transies
Nesta etapa 1, constri-se cada linha de programa contendo a lgica de
habilitao de cada transio do modelo em PN interpretada;
b) Etapa 2: Disparo das transies
Nesta etapa 2, constri-se cada linha de programa contendo a lgica de disparo
das transies do modelo em PN interpretada, atualizando a marcao dos
lugares por meio de comandos do tipo set e reset associados s variveis
internas e externas.
138
Um exemplo de aplicao deste mtodo mostrado a seguir. A Figura B.2 mostra

um modelo em PN interpretada.
Figura B.2 - Modelo em PN.
A Figura B.3 mostra a Etapa 1: Habilitao das transies
Figura B.3 - Lgica de habilitao das transies.
139
A Figura B.4 mostra a Etapa 2: Disparo das transies
Figura B.4 - Lgica de disparo das transies.
140
B.2 GERAO DO PROGRAMA DE CONTROLE DA SIF-01

A Tabela B.1 mostra a lista de entradas e sadas usada na programao do
algoritmo de diagnstico da SIF-01.
Tabela B.1 Lista de entradas e sadas Diagnstico da SIF-01
ELEMENTO
ENDEREO
Tipo de dado

PSHH-006A"
M100.0
BOOLEANO

PSHH-006B
M100.1
BOOLEANO

PSHH-006C
M100.2
BOOLEANO
Lugar
FAB
M1.3
BOOLEANO
Lugar
FAC
M1.4
BOOLEANO
Lugar
FBC
M1.5
BOOLEANO
Lugar
PRONTO_D1
M1.0
BOOLEANO
Lugar
Falha 1
M1.1
BOOLEANO
Transio t1
M80.0
BOOLEANO
Transio t2
M80.1
BOOLEANO
Transio t3
M80.2
BOOLEANO
Transio t4
M80.3
BOOLEANO
Transio t5
M80.4
BOOLEANO
Transio t6
M80.5
BOOLEANO
Transio t7
M80.6
BOOLEANO
Transio t8
M80.7
BOOLEANO
Transio t9
M83.0
BOOLEANO

algoritmo de coordenao da SIF-01.
141
Tabela B.2 Lista de entradas e sadas Coordenao da SIF-01

ELEMENTO
ENDEREO
Tipo de dado

PSHH-006A"
M100.0
BOOLEANO

PSHH-006B
M100.1
BOOLEANO

PSHH-006C
M100.2
BOOLEANO
Lugar
PRONTO_C1
M2.0
BOOLEANO
Lugar
P2
M2.1
BOOLEANO
Lugar
FALHA 1 CONFIRMADA
M2.2
BOOLEANO
Transio t12
M81.0
BOOLEANO
Transio t13
M81.1
BOOLEANO
Transio t14
M81.2
BOOLEANO
Transio t16
M80.3
BOOLEANO

algoritmo de tratamento da SIF-01.
Tabela B.3 Lista de entradas e sadas Tratamento da SIF-01
ELEMENTO
ENDEREO
Tipo de dado

PSHH-006A"
M100.0
BOOLEANO

PSHH-006B
M100.1
BOOLEANO

PSHH-006C
M100.2
BOOLEANO
Lugar
PRONTO_T1
M3.0
BOOLEANO
Lugar
ENABLE-EXT
M110.0
BOOLEANO
Lugar
XY-001
Q32.0
BOOLEANO
Lugar
XY-017
Q32.1
BOOLEANO
Lugar
XY-019
Q32.2
BOOLEANO
142
ELEMENTO
ENDEREO
Tipo de dado
Lugar
XY-020
Q32.3
BOOLEANO
Lugar
XY-003
Q32.4
BOOLEANO
Lugar
XY-018
Q32.5
BOOLEANO
Lugar
XY-160A
Q33.0
BOOLEANO
Lugar
XY-160B
Q33.1
BOOLEANO
Lugar
XY-160C
Q33.2
BOOLEANO
Lugar
XY-160D
Q33.3
BOOLEANO
Transio t17
M82.0
BOOLEANO
Transio t18
M82.1
BOOLEANO
Assim sendo, nas prximas pginas seguem os programas de controle dos

algoritmos de controle de diagnstico, coordenao e tratamento gerados para a
SIF-01.
SIMATIC
ALGORITMO_SIS_revB\
SIS\CPU 315F-2 DP\...\OB100 - <offline>
8/31/2011 10:19:58 AM
OB100 - <offline>
"ESTADOS INICIAIS"
Name:
Author:
Complete Restart
Family:
Version: 0.1
Block version: 2
8/30/2011 12:17:13 PMPM
Time stamp Code:
2/15/1996 4:51:10 PMPM
Interface:
Lengths (block/logic/data): 00128 00012 00020
Name
Data Type
TEMP
Address
Comment
0.0
OB100_EV_CLASS
Byte
0.0
16#13, Event class 1, Entering event state, Event logged in

diagnostic buffer
OB100_STRTUP
Byte
1.0
16#81/82/83/84 Method of startup
OB100_PRIORITY
Byte
2.0
Priority of OB Execution
OB100_OB_NUMBR
Byte
3.0
100 (Organization block 100, OB100)
OB100_RESERVED_1
Byte
4.0
Reserved for system
OB100_RESERVED_2
Byte
5.0
Reserved for system
OB100_STOP
Word
6.0
Event that caused CPU to stop (16#4xxx)
OB100_STRT_INFO
DWord
8.0
Information on how system started
OB100_DATE_TIME
Date_And_Time 12.0
Block: OB100
Date and time OB100 started
"Complete Restart"
DEFINIO DOS ESTADOS INICIAIS DOS MODELOS DE DIAGNSTICO, COORDENAO E

TRATAMENTO DA SIF-01
ESTES ESTADOS SO ATUALIZADOS NO 1o SCAN DO CP DE SEGURANA
======================================================================
ESTUDO DE CASO: ESTAO DE COMPRESSO DE GS (ECOMP)
======================================================================
AUTOR: REINALDO SQUILLANTE JNIOR
DATA: 30/08/2011
Network: 1
DEFINE OS ESTADOS INICIAIS DOS MODELOS SIF-01
M1000.0
M1.0
"PRONTO_D1"
M2.0
"PRONTO_C1"
M3.0
"PRONTO_T1"
Page 1 of 1
SIMATIC
ALGORITMO_SIS_revB\
8/31/2011 10:18:04 AM
OB1 - <offline>
"PRINCIPAL"
Name:
Author:
Family:
Version: 0.1
Block version: 2
8/31/2011 10:14:27 AMAM
Time stamp Code:
2/15/1996 4:51:12 PMPM
Interface:
Name
Data Type
TEMP
Address
Comment
0.0
OB1_EV_CLASS
Byte
0.0
Bits 0-3 = 1 (Coming event), Bits 4-7 = 1 (Event class 1)
OB1_SCAN_1
Byte
1.0
1 (Cold restart scan 1 of OB 1), 3 (Scan 2-n of OB 1)
OB1_PRIORITY
Byte
2.0
Priority of OB Execution
OB1_OB_NUMBR
Byte
3.0
1 (Organization block 1, OB1)
OB1_RESERVED_1
Byte
4.0
Reserved for system
OB1_RESERVED_2
Byte
5.0
Reserved for system
OB1_PREV_CYCLE
Int
6.0
Cycle time of previous OB1 scan (milliseconds)
OB1_MIN_CYCLE
Int
8.0
Minimum cycle time of OB1 (milliseconds)
OB1_MAX_CYCLE
Int
10.0
Maximum cycle time of OB1 (milliseconds)
OB1_DATE_TIME
Date_And_Time 12.0
Block: OB1
Date and time OB1 started
BLOCO DE FUNO "PRINCIPAL" (SCAN TIME)
ESTE BLOCO EXECUTA A CHAMADA DOS MODELOS DE DIAGNSTICO, COORDENAO E

TRATAMENTO DA SIF-01
======================================================================
======================================================================
DATA: 30/08/2011
Network: 1
CHAMADA DO MODELO DE DIAGNSTICO DA SIF-01
FC1
"DIAGNOSTICO"
EN
ENO
Network: 2
CHAMADA DO MODELO DE COORDENAO DA SIF-01
FC2
"COORDENAO"
EN
ENO
Page 1 of 2
SIMATIC
ALGORITMO_SIS_revB\
8/31/2011 10:18:04 AM
Network: 3
CHAMADA DO MODELO DE TRATAMENTO DA SIF-01
FC3
"TRATAMENTO"
EN
ENO
Page 2 of 2
SIMATIC
ALGORITMO_SIS_revB\
SIS\CPU 315F-2 DP\...\FC1 - <offline>
8/31/2011 10:20:31 AM
FC1 - <offline>
"DIAGNOSTICO"
Name:
Author:
Family:
Version: 0.1
Block version: 2
8/30/2011 8:52:16 PMPM
Time stamp Code:
2/12/2011 12:35:28 PMPM
Interface:
Name
Data Type
Address
IN
0.0
OUT
0.0
IN_OUT
0.0
TEMP
0.0
RETURN
RET_VAL
Comment
0.0
0.0
Block: FC1
======================================================================
ALGORITMO DE DIAGNSTICO DA SIF-01
======================================================================
======================================================================
DATA: 30/08/2011
Network: 1
PRESSO MUITO ALTA NA DESCARGA DA ECOMP
========================================
HABILITAO DA TRANSIO "T1"
M1.0
"PRONTO_D1"
M100.0
"PSHH-006A"
M100.1
"PSHH-006B"
M80.0
"T1"
M100.2
"PSHH-006C"
M80.0
"T1"
Network: 2
M1.0
"PRONTO_D1"
M100.0
"PSHH-006A"
M80.1
"T2"
Page 1 of 5
SIMATIC
ALGORITMO_SIS_revB\
8/31/2011 10:20:31 AM
Network: 3
M1.0
"PRONTO_D1"
M100.1
"PSHH-006B"
M100.2
"PSHH-006C"
M80.0
"T1"
M80.1
"T2"
M80.2
"T3"
Network: 4
M1.1
"Falha_1"
M100.0
"PSHH-006A"
M1.5
"FBC"
M80.3
"T4"
M100.1
"PSHH-006B"
M1.4
"FAC"
M80.4
"T5"
M100.2
"PSHH-006C"
M1.3
"FAB"
M80.5
"T6"
M1.0
"PRONTO_D1"
M80.6
"T7"
Network: 5
M1.1
"Falha_1"
Network: 6
M1.1
"Falha_1"
Network: 7
M1.3
"FAB"
Page 2 of 5
SIMATIC
ALGORITMO_SIS_revB\
8/31/2011 10:20:31 AM
Network: 8
M1.4
"FAC"
M1.0
"PRONTO_D1"
M80.7
"T8"
M1.0
"PRONTO_D1"
M83.0
"T9"
Network: 9
M1.5
"FBC"
Network: 10
DISPARO DA TRANSIO "T1"
M80.0
"T1"
M1.0
"PRONTO_D1"
R
M1.1
"Falha_1"
S
M1.3
"FAB"
S
Network: 11
M80.1
"T2"
M1.0
"PRONTO_D1"
R
M1.1
"Falha_1"
S
M1.4
"FAC"
S
Page 3 of 5
SIMATIC
ALGORITMO_SIS_revB\
8/31/2011 10:20:31 AM
Network: 12
M80.2
"T3"
M1.0
"PRONTO_D1"
R
M1.1
"Falha_1"
S
M1.5
"FBC"
S
Network: 13
M80.3
"T4"
M1.1
"Falha_1"
R
M1.0
"PRONTO_D1"
S
Network: 14
M80.4
"T5"
M1.1
"Falha_1"
R
M1.0
"PRONTO_D1"
S
Network: 15
M80.5
"T6"
M1.1
"Falha_1"
R
M1.0
"PRONTO_D1"
S
Page 4 of 5
SIMATIC
ALGORITMO_SIS_revB\
8/31/2011 10:20:31 AM
Network: 16
M80.6
"T7"
M1.3
"FAB"
R
Network: 17
M80.7
"T8"
M1.4
"FAC"
R
Network: 18
M83.0
"T9"
M1.5
"FBC"
R
Page 5 of 5
SIMATIC
ALGORITMO_SIS_revB\
8/31/2011 10:20:58 AM
FC2 - <offline>
"COORDENAO"
Name:
Author:
Family:
Version: 0.1
Block version: 2
8/30/2011 4:58:47 PMPM
Time stamp Code:
2/12/2011 12:35:45 PMPM
Interface:
Name
Data Type
Address
IN
0.0
OUT
0.0
IN_OUT
0.0
TEMP
0.0
RETURN
Comment
0.0
RET_VAL
0.0
Block: FC2
======================================================================
ALGORITMO DE COORDENAO DA SIF-01
======================================================================
======================================================================
DATA: 30/08/2011
Network: 1
=======================================
M2.0
"PRONTO_C1"
M1.1
"Falha_1"
M81.0
"T12"
Network: 2
M2.1
"P2"
S
S5T#10S
TV
R
T0
S_ODT
M81.1
"T13"
Q
BI
BCD
Page 1 of 3
SIMATIC
ALGORITMO_SIS_revB\
8/31/2011 10:20:58 AM
Network: 3
M2.1
"P2"
M1.1
"Falha_1"
M81.2
"T14"
Network: 4
M2.2
"Falha_1_
Confirmada"
M3.0
"PRONTO_T1"
M100.0
"PSHH-006A"
M100.1
"PSHH-006B"
M100.2
"PSHH-006C"
M81.3
"T16"
Network: 5
M81.0
"T12"
M2.0
"PRONTO_C1"
R
M2.1
"P2"
S
Network: 6
M81.1
"T13"
M2.1
"P2"
R
M2.2
"Falha_1_
Confirmada"
S
Page 2 of 3
SIMATIC
ALGORITMO_SIS_revB\
8/31/2011 10:20:58 AM
Network: 7
M81.2
"T14"
M2.1
"P2"
R
M2.0
"PRONTO_C1"
S
Network: 8
M81.3
"T16"
M2.2
"Falha_1_
Confirmada"
R
M2.0
"PRONTO_C1"
S
Page 3 of 3
SIMATIC
ALGORITMO_SIS_revB\
8/31/2011 10:21:18 AM
FC3 - <offline>
"TRATAMENTO"
Name:
Author:
Family:
Version: 0.1
Block version: 2
8/30/2011 12:11:01 PMPM
Time stamp Code:
2/12/2011 12:35:57 PMPM
Interface:
Name
Data Type
Address
IN
0.0
OUT
0.0
IN_OUT
0.0
TEMP
0.0
RETURN
RET_VAL
Comment
0.0
0.0
Block: FC3
======================================================================
ALGORITMO DE TRATAMENTO DA SIF-01
======================================================================
======================================================================
DATA: 30/08/2011
Network: 1
=======================================
M3.0
"PRONTO_T1"
M2.2
"Falha_1_
Confirmada"
M82.0
"T17"
Page 1 of 4
SIMATIC
ALGORITMO_SIS_revB\
8/31/2011 10:21:18 AM
Network: 2
Q32.0
"XY-001"
2.A
2.B
2.C
Q32.1
"XY-017"
Q32.2
"XY-019"
Q32.3
"XY-020"
Q32.4
"XY-003"
Q32.5
"XY-018"
Q33.0
"XS-160A"
Q33.1
"XS-160B"
Q33.2
"XS-160C"
Q33.3
"XS-160D"
M100.0
"PSHH-006A"
M100.1
"PSHH-006B"
M100.2
"PSHH-006C"
M110.0
"ENABLE_EXT"
M82.1
"T18"
2.A
2.B
2.C
Page 2 of 4
SIMATIC
ALGORITMO_SIS_revB\
8/31/2011 10:21:18 AM
Network: 3
M82.0
"T17"
M3.0
"PRONTO_T1"
R
Q32.0
"XY-001"
S
Q32.1
"XY-017"
S
Q32.2
"XY-019"
S
Q32.3
"XY-020"
S
Q32.4
"XY-003"
S
Q32.5
"XY-018"
S
Q33.0
"XS-160A"
S
Q33.1
"XS-160B"
S
Q33.2
"XS-160C"
S
Q33.3
"XS-160D"
S
Page 3 of 4
SIMATIC
ALGORITMO_SIS_revB\
8/31/2011 10:21:18 AM
Network: 4
M82.1
"T18"
Q32.0
"XY-001"
R
Q32.1
"XY-017"
R
Q32.2
"XY-019"
R
Q32.3
"XY-020"
R
Q32.4
"XY-003"
R
Q32.5
"XY-018"
R
Q33.0
"XS-160A"
R
Q33.1
"XS-160B"
R
Q33.2
"XS-160C"
R
Q33.3
"XS-160D"
R
M3.0
"PRONTO_T1"
S
Page 4 of 4

Diagnóstico e Tratamento de Falhas Críticas em Sistemas Instrumentados de Segurança

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Diagnóstico e Tratamento de Falhas Críticas em Sistemas Instrumentados de Segurança

Enviado por

Direitos autorais:

Formatos disponíveis

REINALDO SQUILLANTE JNIOR

DIAGNSTICO E TRATAMENTO DE FALHAS CRTICAS EM

REINALDO SQUILLANTE JNIOR

DIAGNSTICO E TRATAMENTO DE FALHAS CRTICAS EM

Este exemplar foi revisado e alterado em relao verso original, sob

Assinatura do autor ____________________________

Assinatura do orientador _______________________

Squillante Jnior, Reinaldo

A minha esposa Sandra

Keywords: safety instrumented system, critical fault diagnosis, critical fault

(b) PN depois do disparo de . .............. 54

Figura 3.10 - (a) PN antes do disparo de ( b) PN depois do disparo de . ............. 55

Figura 4.1 - Sistemtica para o diagnstico e tratamento de falhas crticas em SIS. 62

Figura 5.24 - Modelo em PN interpretada para simulao tratamento da Falha

LISTA DE ABREVIATURAS E SIGLAS

American National Standards Institute

Sistemas de Comando, Comunicao e Controle Inteligente

Eltrico / eletrnico / eletrnico programvel

Function Block Diagram

Fator de reduo de risco

Hazard and Operability

International Electrotechnical Commission

Interface Homem Mquina

The instrumentation, Systems and Automation Society

International Organization for Standardization

Linguagem de programao fixa

Linguagem com variabilidade completa

Linguagem com variabilidade limitada

Programmable electronic system

Probabilidade de Falha em demanda

Basic Process Control System

Sistemas a Eventos Discretos

Sequential Function Chart

Safety Instrumented Function

Safety Integrated Level

Sistemas Instrumentados de Segurana

Sistemas a variveis contnuas

conjunto finito de lugares da rede de Petri.

conjunto finito de transies da rede de Petri.

conjunto finito de arcos orientados da rede de Petri.

conjunto de marcas iniciais nos lugares da rede de Petri.

conjunto de marcas nos lugares da rede de Petri.

n da rede Bayesiana, representado por um crculo.

n pai de Xi da rede Bayesiana, representado por um crculo.

probabilidade de Xi ocorrer dado que pa(Xi) ocorreu.

conjunto finito de ns da rede Bayesiana.

conjunto finito de arcos orientados na rede Bayesiana.

estrutura que representa um grafo acclico orientado.

distribuio de probabilidade aplicada rede Bayesiana.

conjunto de dados aplicados construo da rede Bayesiana.

representao do conjunto de pais da i-sima varivel Xi.

representao da j-sima configurao dos pais de Xi.

nmero total de possveis configuraes dos pais i.

quantidade total de observaes em D onde a varivel Xi est

constante de probabilidade a priori, ou seja, P(G).

nmero total de observaes em D, onde se tem Xi com

SISTEMA INSTRUMENTADO DE SEGURANA ............................................. 26

3 TCNICAS UTILIZADAS PARA MODELAGEM E VALIDAO DE

SISTEMTICA PROPOSTA .............................................................................. 61

APLICAO DA SISTEMTICA PROPOSTA ................................................. 73

CONCLUSES FINAIS ................................................................................... 122

REFERNCIAS BIBLIOGRFICAS ....................................................................... 125

1 OSHA - Norma de Administrao de Sade e Segurana Ocupacional