(MIEEC) Relatorio Luisa Matos v1

Faculdade de Engenharia da Universidade do Porto
Anlise de Fiabilidade de um Sistema de

Alimentao de Emergncia para um Centro de
Informtica
Maria Lusa Soares de Azevedo Vaz Matos
VERSO PROVISRIA
Dissertao realizada no mbito do

Mestrado Integrado em Engenharia Electrotcnica e de Computadores
Major Automao
Orientador: Prof. Dr. Paulo Jos Lopes Machado Portugal

Co-orientador: Prof. Dr. Antnio Jos de Pina Martins
Junho de 2009
Maria Lusa Soares de Azevedo Vaz Matos, 2009
Resumo
Esta dissertao pretende analisar a fiabilidade do Sistema de Alimentao de Emergncia

de um Centro de Informtica.
A partir do conhecimento do funcionamento deste sistema e dos elementos que o
constituem, fez-se uma anlise de fiabilidade qualitativa recorrendo a uma Anlise dos Modos
e Efeitos de Avaria (FMEA). Este um mtodo indutivo que permite avaliar, a partir de um
determinado modo de avaria, as respectivas causas e efeitos. Com estes dados, possvel
fazer uma anlise da criticalidade dos modos de avaria e caracterizar o seu impacto no
funcionamento do sistema.
Como complemento do mtodo supracitado, fez-se tambm uma anlise por rvore de
Falhas. Ao contrrio da Anlise dos Modos e Efeitos de Avaria, este um processo dedutivo
que partindo de um evento indesejado, investiga as sucessivas combinaes de falhas dos
componentes at atingir as suas causas bsicas.
Com os resultados obtidos, foi possvel identificar os elementos mais crticos do sistema e
propor medidas de reduo de risco.
iii
Abstract
This dissertation aims the reliability analysis of a Data Center Emergency Power System.
From the knowledge of the systems functioning and the elements which constitute it, a
qualitative reliability analysis was made recurring to a Failure Mode and Effects Analysis
(FMEA). This is an inductive method which allows the evaluation, starting from a determined
failure mode, of its causes and effects. With this information its possible to perform a
criticality analysis of the failure modes and characterize its impact on the systems
functioning.
In addition to the above method, a Fault Tree Analysis was also developed. Unlike the
Failure Mode and Effects Analysis, this is a deductive process which starts with an unwanted
event and investigates the successive combinations of failures of a component until arriving
at its basic causes.
With the obtained results, it was possible to identify the most critical elements of the
system and propose measures to reduce the risk.
v
Agradecimentos
Aproveito para agradecer aos meus pais, irm e amigo por todo o apoio, compreenso
e carinho que me deram ao longo da vida.
Agradeo tambm a todas as pessoas que colaboraram neste trabalho, muito
especialmente ao meu orientador, o Prof. Dr. Paulo Jos Lopes Machado Portugal, e co-
orientador, Prof. Dr. Antnio Jos de Pina Martins.
vii
ndice
Resumo ............................................................................................ iii
Abstract ............................................................................................. v
Agradecimentos .................................................................................. vii
ndice............................................................................................... ix
Lista de figuras ................................................................................... xi
Lista de tabelas ................................................................................. xiii
Abreviaturas e Smbolos ........................................................................ xv
Captulo 1 .......................................................................................... 1
Introduo ......................................................................................................... 1
Captulo 2 .......................................................................................... 3
Sistema de Alimentao de Emergncia ..................................................................... 3
2.1 - Funcionamento geral ................................................................................ 3
2.2 Consituio do Sistema ............................................................................. 5
Captulo 3 .........................................................................................15
Abordagem Proposta .......................................................................................... 15
3.1 - FMEA - Failure Mode and Effects Analysis ...................................................... 15
3.2 rvores de Falhas (FTA Fault Tree Analysis) .................................................. 22
Captulo 4 .........................................................................................27
Anlise FMEA .................................................................................................... 27
4.1 Planeamento da FMEA .............................................................................. 27
4.2 Anlise de Risco ...................................................................................... 28
4.3 Apresentao de resultados ........................................................................ 30
4.4 Concluses ............................................................................................ 40
Captulo 5 .........................................................................................41
Anlise por rvore de Falhas................................................................................. 41
ix
Captulo 6 ......................................................................................... 51
Solues Propostas ............................................................................................ 51
Captulo 7 ......................................................................................... 55
Concluses ...................................................................................................... 55
Referncias ....................................................................................... 57
Anexo A ............................................................................................ 59
Esquema elctrico do Quadro Geral de Baixa Tenso ................................................... 59
Anexo B ............................................................................................ 61
Esquema elctrico do Quadro de Transferncia de Cargas ............................................. 61
Anexo C ............................................................................................ 63
Esquema elctrico do Quadro de Emergncia ............................................................ 63
Anexo D ............................................................................................ 65
Esquema elctrico do Quadro Geral das UPS ............................................................. 65
Anexo E ............................................................................................ 67
Tabelas da FMEA ............................................................................................... 67
Lista de figuras
Figura 2.1 Representao esquemtica do Sistema de Alimentao de Emergncia ............4
Figura 2.2 Transformadores 1 e 2 do Posto de Transformao ......................................6
Figura 2.3 - Quadro Geral de Baixa Tenso ...............................................................6
Figura 2.4 - Disjuntor de proteco do transformador (a) e Interbarras (b) ........................7
Figura 2.5 Grupo Gerador ..................................................................................7
Figura 2.6 Constituio do Grupo Gerador ..............................................................8
Figura 2.7 - Interior do Quadro de Transferncia de Cargas ...........................................9
Figura 2.8 - Quadro de Transferncia de Cargas e Transformador de Isolamento ............... 10
Figura 2.9 - Quadro de Emergncia ....................................................................... 10
Figura 2.10 Exemplo de uma UPS ....................................................................... 11
Figura 2.11 - Quadro das UPS .............................................................................. 12
Figura 2.12 - Exemplo de Quadro da Sala de Servidores .............................................. 13
Figura 3.1 - Fluxograma da anlise da FME(C)A ........................................................ 21
Figura 3.2 - Diagrama do processo de desenvolvimento da rvore de Falhas ..................... 22
Figura 4.1 - Hierarquia do Subsistema Posto de Transformao .................................... 31
Figura 4.2 - Hierarquia do Subsistema Grupo Gerador ................................................ 33
Figura 4.3 - Hierarquia do Subsistema Quadro de Transferncia de Cargas ....................... 34
Figura 4.4 - Hierarquia do Subsistema Quadro de Emergncia ...................................... 35
Figura 4.5 - Hierarquia do Subsistema UPS .............................................................. 37
Figura 4.6 - Hierarquia do Subsistema Quadro das UPS ............................................... 38
Figura 5.1 - rvore de Falhas das Salas de Servidores A, B e C ...................................... 42
Figura 5.2 - rvore de Falhas do Ar Condicionado ..................................................... 43
xi
Figura 5.3 - rvore de Falhas das UPS ................................................................... 44
Figura 5.4 - rvore de Falhas do Quadro de Transferncia de Cargas ............................. 45
Figura 5.5 - rvore de Falhas do Contactor do Gerador .............................................. 46
Figura 5.6 - rvore de Falhas do Contactor da Rede .................................................. 46
Figura 5.7 - rvore de Falhas do Grupo Gerador ....................................................... 47
Figura 5.8 - rvore de Falhas do Motor .................................................................. 48
Figura 5.9 - rvore de Falhas do Painel de Controlo .................................................. 48
Figura 5.10 - rvore de Falhas do Posto de Transformao .......................................... 49
Figura 5.11 - rvore de Falhas do Quadro Geral de Baixa Tenso .................................. 50
Figura 5.12 - rvore de Falhas do Transformador 1 ................................................... 50

Lista de tabelas
Tabela 3.1 - Exemplo de classificao do ndice de severidade (S) ................................ 18
Tabela 3.2 - Exemplo de classificao do ndice de ocorrncia (O) ................................ 19
Tabela 3.3 - Exemplo de uma matriz de risco .......................................................... 19
Tabela 3.4 - Exemplo de formulrio da FMEA .......................................................... 20
Tabela 3.5 Eventos bsicos de uma rvore de Falhas ............................................... 24
Tabela 3.6 Portas lgicas de uma rvore de Falhas ................................................. 25
Tabela 3.7 Smbolo de transferncia de uma rvore de Falhas ................................... 26
Tabela 4.1 - Classificao da Severidade (S) ............................................................ 29
Tabela 4.2 - Classificao da Ocorrncia (O) ........................................................... 29
Tabela 4.3 - Matriz de Risco ............................................................................... 30
Tabela 4.4 - Classificao do Nmero de Prioridade do Risco ....................................... 30
Tabela 4.5 - Extracto da FMEA do Transformador ..................................................... 31
Tabela 4.6 - Extracto da FMEA do Quadro Geral de Baixa Tenso .................................. 32
Tabela 4.7 - Extracto da FMEA do Grupo Gerador ..................................................... 33
Tabela 4.8 - Extracto da FMEA do Quadro de Transferncia de Cargas ............................ 34
Tabela 4.9 - Extracto da FMEA do Contactor de Rede do Quadro de Transferncia de

Cargas ................................................................................................... 35
Tabela 4.10 - Extracto da FMEA do Quadro de Emergncia .......................................... 36
Tabela 4.11 - FMEA do Ar Condicionado ................................................................. 37
Tabela 4.12 - FMEA do Subsistema UPS .................................................................. 38
Tabela 4.13 - Extracto da FMEA do Subsistema Quadro das UPS .................................... 39
xiii
Tabela 4.14 - Extracto da FMEA dos Subsistemas Quadro das Salas de Servidores ............... 39
Abreviaturas e Smbolos
ALARP As Low As Reasonably Practicable

IEC International Electrotechnical Commission
IEEE Institute of Electrical and Electronics Engineers
FMEA Failure Mode and Effects Analysis
FMECA Failure Mode, Effects and Criticality Analysis
FTA Fault Tree Analysis
MT Mdia Tenso
NASA National Aeronautics and Space Administration
PT Posto de Transformao
QGBT Quadro Geral de Baixa Tenso
QTC Quadro de Transferncia de Cargas
RPN Risk Priority Number
UPS Uninterruptable Power Supply
xv
Captulo 1
Introduo
A presente dissertao tem por tema: Anlise de Fiabilidade de um Sistema de

Alimentao de Emergncia para um Centro de Informtica. Trata-se de uma temtica
bastante actual, em virtude da crescente e justificada preocupao que todos os sectores e
organismos tm com a fiabilidade e disponibilidade dos sistemas informticos.
Neste contexto, a fiabilidade e disponibilidade assumem um papel extremamente
importante. A fiabilidade est associada continuidade de servio, isto , a capacidade de
um sistema ou equipamento cumprir a funo requerida, em condies de utilizao e
durante um determinado perodo de tempo. J a disponibilidade relaciona-se com a
capacidade de o sistema estar pronto a ser utilizado.
Um Centro de Informtica uma estrutura, composta por diversos equipamentos, que
oferece recursos de processamento e armazenamento de dados em larga escala. No conjunto
dos componentes de um Centro de Informtica, os servidores so os elementos mais crticos,
j que exigem no s uma elevada fiabilidade mas tambm uma elevada disponibilidade.
O processamento de dados pode ser afectado quando os servidores sofrem perturbaes
derivadas de falhas do sistema de alimentao. Assim, para que o Sistema de Alimentao de
Emergncia seja totalmente capaz de suportar estas cargas crticas do Centro de Informtica
e de assegurar a continuidade de servio, deve providenciar-se a garantia de que este fivel
e capaz de actuar rapidamente.
A situao abordada neste trabalho tem a ver com a importncia de garantir a
disponibilidade das trs Salas de Servidores - A, B e C, do Centro de Informtica em estudo,
no mbito do sistema de alimentao. O objectivo deste estudo centrava-se em encontrar os
pontos mais problemticos do Sistema de Alimentao de Emergncia de modo a que se
pudesse elaborar um plano de aces tendente a minimizar avarias com potenciais
consequncias crticas no funcionamento do Centro de Informtica.
Numa primeira fase, tomou-se conhecimento dos componentes existentes e procedeu-se
ao estudo do funcionamento global do Sistema de Alimentao de Emergncia. Nesta etapa,
pretendeu-se adquirir os conhecimentos necessrios para se poder investigar os modos de
avaria dos componentes do sistema, assim como, as suas causas e efeitos. Posteriormente,
com os dados entretanto obtidos, foi analisada a criticalidade do risco associado a cada modo
de avaria. Finalmente, numa terceira e ltima fase, propuseram-se solues que permitissem
2 Introduo
a diminuio ou eliminao da ocorrncia das avarias, bem como o aumento da

disponibilidade do sistema e melhoraria do seu desempenho.
Atendendo aos pressupostos da anlise, optou-se por uma abordagem de resoluo do
problema recorrendo ao uso combinado de duas metodologias qualitativas de anlise de
fiabilidade e disponibilidade: a Anlise dos Modos e Efeitos de Avaria (FMEA) e a anlise por
rvores de Falhas.
A Anlise dos Modos e Efeitos de Avaria foi utilizada por ser um mtodo que permite
reconhecer e avaliar os modos de avaria de um sistema, as suas causas e consequncias. Com
base no estudo dos parmetros da criticalidade, ou seja, a severidade e a ocorrncia, que vo
sendo associados a cada avaria e analisando os Nmeros de Prioridade do Risco obtidos pelo
produto destes dois ndices, possvel detectar quais os componentes do sistema que exigem
um plano de aces de mitigao do risco.
Como a Anlise dos Modos e Efeitos de Avaria considera as avarias dos componentes de
forma individual, no permite analisar avarias que tenham origem na combinao de eventos.
Por isso, como complemento desta metodologia, optou-se por fazer, tambm, uma Anlise
por rvore de Falhas, permitindo assim suprir esta lacuna.
O relatrio desta dissertao est dividido em 7 captulos.
No primeiro captulo apresenta-se uma introduo do assunto tratado, com a
apresentao do tema, objectivos e referncia das metodologias utilizadas no seu
desenvolvimento.
O segundo captulo apresenta a descrio do Sistema de Alimentao de Emergncia do
Centro de Informtica, abordando o seu funcionamento geral e sua constituio atravs da
descrio dos principais elementos que o constituem e as suas funes.
No Captulo 3 expe-se a abordagem proposta para o desenvolvimento deste trabalho. So
ainda apresentadas as duas metodologias usadas, a Anlise dos Modos e Efeitos de Avaria
(FMEA) e a anlise por rvores de Falhas, e feita uma fundamentao terica sobre os dois
mtodos.
No Captulo 4 apresentada a Anlise dos Modos e Efeitos de Avaria (FMEA) do Sistema de
Alimentao de Emergncia do Centro de Informtica. Aqui so descritas as etapas de
planeamento e os critrios usados para a anlise de risco. So ainda expostos alguns dos
resultados obtidos e retiradas as concluses inerentes.
No Captulo 5 feita a apresentao dos resultados obtidos pela anlise por rvore de
Falhas com as respectivas concluses.
No Captulo 6 abordam-se as solues propostas para diminuir o risco dos pontos mais
crticos do Sistema de Alimentao de Emergncia do Centro de Informtica.
No stimo e ltimo captulo, so apresentadas as concluses a que se chegou aps a
realizao deste trabalho.
Captulo 2
Sistema de Alimentao de Emergncia
Num Sistema de Alimentao, em especial sistemas com cargas crticas que exigem uma
elevada disponibilidade, a continuidade do fornecimento de energia elctrica deve ser
sempre assegurada. Os subsistemas e/ou componentes que o constituem so, por isso,
divididos em dois grupos cargas prioritrias e cargas no prioritrias. Esta diviso
determinada de acordo com a importncia inerente e pelo impacto crtico que a sua
indisponibilidade provoca no sistema global. Deste modo, o fornecimento de energia dos
grupos assegurado por barramentos diferentes e as cargas prioritrias, quando h uma falha
de tenso da rede, so alimentadas a partir de um Sistema de Alimentao de Emergncia.
A definio de Sistema de Alimentao de Emergncia pode ser dada da seguinte forma:
Uma fonte de energia elctrica de reserva e independente que, aps a falha ou

interrupo da fonte normal, fornece automaticamente energia elctrica fivel
dentro de um de tempo especfico para dispositivos e equipamentos crticos cujas
falhas de operao satisfatria poderiam comprometer a sade e segurana de
pessoas ou resultar em danos na propriedade. [1]
Neste captulo apresenta-se a constituio e funcionamento de um Sistema de

Alimentao de Emergncia, no mbito do Centro de Informtica em estudo.
Na primeira parte dada uma viso geral do Sistema de Alimentao, sendo a
segunda apresentao e breve descrio dos subsistemas que o constituem.
2.1 - Funcionamento geral

Neste Centro Informtico, as cargas prioritrias so trs conjuntos de servidores,
dispostos em trs salas distintas Sala de Servidores A, B e C - com requisitos de
disponibilidade respectivamente crescentes.
A Figura 2.1 apresenta um diagrama simplificado do Sistema de Alimentao de
Emergncia do Centro Informtico.
4 Sistema de Alimentao de Emergncia
Figura 2.1 Representao esquemtica do Sistema de Alimentao de Emergncia
Em funcionamento normal, quando existe tenso na rede de Mdia Tenso (MT), a

alimentao das trs salas proveniente do Posto de Transformao (PT), mais
concretamente do Transformador 1. Existe tambm um segundo transformador,
Transformador 2, que tem por funo a alimentao de outros edifcios. Normalmente, os
dois transformadores no esto em paralelo para que as correntes de curto-circuito no sejam
duplicadas. S quando existe uma avaria do Transformador 1 que os dois transformadores
so, ento, ligados em paralelo, de modo a garantir a continuidade da alimentao das
Sistema de Alimentao de Emergncia 5
cargas. A comutao dos transformadores feita de forma manual, atravs de um disjuntor

interbarras.
Em caso de avaria dos dois transformadores ou se existir ausncia de tenso da rede,
o Sistema de Alimentao de Emergncia activa automaticamente a sequncia de ligao a
um Grupo Gerador de Emergncia, na rede elctrica interna, por meio do inversor de rede do
Quadro de Transferncia de Cargas (QTC).
No Quadro de Transferncia de Cargas feita uma monitorizao contnua do estado
das tenses da rede e do Grupo Gerador. Quando detecta ausncia de tenso da rede, envia
um sinal para o Quadro de Comando do Grupo de forma que o gerador inicie a sua sequncia
de arranque.
Quando a tenso da rede voltar a ser detectada, o Quadro de Transferncia de Cargas
devolve as cargas para a rede elctrica externa. O gerador colocado fora do circuito e, aps
um ciclo de arrefecimento, automaticamente desligado e colocado novamente em posio
de emergncia.
Durante o perodo de inicializao do gerador, trs UPS (Uninterruptable Power Supply)
garantem a alimentao das cargas crticas.
Num caso extremo, correspondente a um corte de energia simultneo do Posto de
Transformao e do Grupo Gerador, a alimentao do Centro Informtico transferida para o
Quadro de Emergncia. As salas de servidores passam a receber tenso atravs das UPS,
dispostas numa configurao em redundncia 2+1. Isto , para que forneam tenso pelo
menos duas delas tm de estar operacionais. A comutao entre as UPS automtica: ao sair
uma UPS do circuito, uma outra, desde que operacional, substitui-a imediatamente.
O tempo de autonomia das UPS um aspecto que no deve ser descurado. No caso do
Centro de Informtica, as UPS garantem, no mximo, uma autonomia do sistema de 30
minutos. Caso no seja possvel efectuar a reparao da anomalia do Grupo Gerador e/ou do
Posto de Transformao durante esse perodo de tempo, as Salas de Servidores deixam de
receber tenso e o sistema fica indisponvel.
2.2 Consituio do Sistema

Nesta seco feita a apresentao dos principais elementos do Sistema de Alimentao
de Emergncia e a descrio sumria das suas funes.
2.2.1 Posto de Transformao

O Posto de Transformao uma instalao elctrica que tem como funo reduzir de
Mdia Tenso para Baixa Tenso (BT), o nvel de tenso usualmente utilizado pelo consumidor
final. Os principais elementos que o constituem so os transformadores, os rgos de corte e
proteco e o Quadro Geral de Baixa Tenso (QGBT).
Como foi referido anteriormente, o Posto de Transformao do Sistema de Alimentao
de Emergncia do Centro Informtico dispe de dois transformadores, apresentados na Figura
2.2. O transformador 1, localizado no lado esquerdo, o responsvel por fornecer tenso ao
Centro, enquanto o transformador 2, do lado direito, alimenta outros edifcios.
Figura 2.2 Transformadores 1 e 2 do Posto de Transformao
Os rgos de corte e proteco esto inseridos dentro do Quadro Geral de Baixa Tenso,
ilustrado no Figura 2.3. Dentro da aparelhagem de proteco, merecem especial destaque os
disjuntores de proteco dos transformadores 1 e 2 e o disjuntor do Quadro de Transferncia
de Cargas, referidos na Figura 2.1 como disjuntor T1, disjuntor T2, e disjuntor QTC,
respectivamente.
No anexo A, possvel a consulta dos esquemas elctricos do Quadro Geral de Baixa
Tenso.
tambm no interior do Quadro Geral de Baixa Tenso que se situa o Interbarras. Este
disjuntor, que funciona como um rgo de seccionamento, encontra-se aberto por defeito. Ao
ser fechado, coloca os dois transformadores em paralelo, permitindo assim a alimentao do
Centro de Informtica pelo transformador 2. Isto quando ocorre uma avaria no transformador
1. importante referir que no existe selectividade entre os disjuntores de proteco dos
transformadores e o Interbarras.
Figura 2.3 - Quadro Geral de Baixa Tenso

Na Figura 2.4 pode-se ver o disjuntor de proteco do transformador 1 e o disjuntor

interbarras, respectivamente.
Figura 2.4 - Disjuntor de proteco do transformador (a) e Interbarras (b)
2.2.2 Grupo Gerador

O Grupo Gerador, apresentado na Figura 2.5, corresponde ao conjunto do motor de
combusto a Diesel e do alternador que produz a energia elctrica.
A proteco do alternador, contra sobrecargas e curto-circuitos, assegurada por um
disjuntor de sada.
O motor responsvel pelo arranque do Grupo Gerador.
No interior do gerador, existe um sistema de refrigerao que tem como funo manter a
temperatura do motor, monitorizada a partir de um termstato, dentro dos limites
predefinidos.
O Grupo Gerador dispe de um Painel de Controlo corresponde ao sistema de superviso e
controlo do Quadro de Comando do Grupo. A so monitorizados vrios parmetros
fundamentais do gerador, nomeadamente a tenso no alternador, a frequncia de sada do
grupo, a presso do leo do motor e a tenso da bateria, entre outras. Se for detectada
alguma condio crtica durante o funcionamento do grupo, por exemplo, temperatura
elevada do motor ou baixa presso do leo do motor, este painel desliga automaticamente o
gerador.
Figura 2.5 Grupo Gerador

O Painel de Controlo um autmato que, consoante a informao que recebe do estado

da rede, d ordem de arranque ou paragem do grupo. Esta ordem pode ser efectuada de
modo manual ou automtico.
A alimentao do Painel de Controlo feita a partir de uma bateria. indispensvel que
esta bateria tenha sempre a tenso adequada. Caso contrrio no possvel activar a
sequncia de arranque do gerador, pois o painel no alimentado.
Uma representao da constituio interna do Grupo Gerador e alguns dos seus
componentes pode ser vista na Figura 2.6.
Figura 2.6 Constituio do Grupo Gerador [2]
2.2.3 Quadro de Transferncia de Cargas (QTC)

De uma forma geral, todas as instalaes que utilizem um grupo gerador como fonte
alternativa de energia necessitam, obrigatoriamente, de um Quadro de Transferncia de
Cargas. Este tem como finalidade comutar entre a alimentao normal da rede e a
alimentao via gerador de emergncia. Ao ser detectada um falha na alimentao da rede, o
autmato do Grupo Gerador retira-a do circuito e substitui o gerador de emergncia como
fonte de alimentao.
No interior do Quadro de Transferncia de Cargas existem dois contactores: o
contactor de rede e o contactor do gerador. O contactor de rede responsvel pela
comutao para a alimentao normal, enquanto o contactor do gerador acciona a
alimentao de emergncia por meio do Grupo Gerador.
Quando dada a ordem de arranque do grupo, uma resistncia de aquecimento do Quadro

de Transferncia de Cargas, ajusta a temperatura do motor para que o Grupo Gerador entre
em funcionamento mais rapidamente possvel.
Um encravamento mecnico entre os dois contactores impede que estes sejam
fechados em simultneo e que, assim, as duas redes fiquem em paralelo no momento da
permuta. A ausncia de encravamento pode resultar num curto-circuito entre a rede e o
gerador e, consequentemente, na actuao das respectivas proteces.
No interior do quadro existe ainda um interruptor geral. Este aparelho de corte actua
como medida de proteco na eventualidade de surgir uma tenso intempestiva, oriunda do
gerador.
A Figura 2.7 apresenta o interior do Quadro de Transferncia de Cargas, onde se
podem ver os dois contactores e o interruptor referidos.
Figura 2.7 - Interior do Quadro de Transferncia de Cargas
Seguidamente, na Figura 2.8 pode ver-se, na parte superior, o Quadro de Transferncia de

Cargas e, na parte inferior, um Transformador de Isolamento. Este transformador foi
instalado para evitar que o autmato do Quadro de Comando do Grupo receba informaes
erradas do estado da rede, provocadas pela distoro harmnica que pode ser introduzida
pelo envio de telecomandos da rede de Mdia Tenso.
Figura 2.8 - Quadro de Transferncia de Cargas e Transformador de Isolamento
Apesar de, por defeito, a ligao ao gerador de emergncia ser automtica, existe a
possibilidade ligar o gerador manualmente.
O esquema elctrico do Quadro de Transferncia de Cargas est representado no anexo B.
2.2.4 Quadro de Emergncia

O Quadro de Emergncia, que se pode ver na Figura 2.9, alimentado a partir do
Quadro de Transferncia de Cargas. Este quadro fornece a tenso das trs UPS, que garantem
a autonomia das cargas prioritrias durante o arranque do gerador, e alimenta os sistemas de
ar condicionado das trs salas de servidores. O ar condicionado, por sua vez, tem a funo de
controlar a temperatura e humidade destas salas.
Figura 2.9 - Quadro de Emergncia

Os componentes de maior importncia no Quadro de Emergncia so, deste modo, os

disjuntores de proteco das trs UPS e do ar condicionado.
O esquema elctrico do Quadro de Emergncia apresentado no anexo C.
2.2.5 UPS
A funo das UPS (Uninterruptable Power Supply) assegurar a disponibilidade dos trs
conjuntos de servidores durante o perodo de arranque do gerador ou, no pior cenrio, em
caso de ausncia de tenso proveniente da rede e do gerador. A Figura 2.10 mostra um
exemplo de uma UPS utilizada no Centro de informtica.
Uma UPS constituda por um rectificador, um inversor e um sistema de armazenamento
de energia a baterias. Durante o funcionamento normal da UPS, a tenso alternada
convertida em tenso contnua atravs do rectificador e usada para carregar um sistema de
baterias. Aps este processo, o inversor converte a tenso contnua em tenso alternada
regulada. o nvel de carregamento da bateria que vai definir o tempo de autonomia da UPS.
Numa situao de emergncia, quando no existe tenso da rede, as UPS fornecem toda a
energia para as cargas prioritrias. Uma vez que as UPS esto numa configurao on-line, o
tempo de transferncia das cargas nulo.
As UPS esto dispostas numa configurao com redundncia 2+1. Para que a alimentao
das cargas seja garantida pelo menos duas UPS tm, obrigatoriamente, de estar operacionais.
Caso uma destas avarie, um interruptor de by-pass, localizado no Quadro das UPS, coloca a
terceira UPS, normalmente em standby, no circuito e retira a UPS com defeito. Desta
maneira, uma configurao das UPS redundante resulta num aumento da disponibilidade.
Figura 2.10 Exemplo de uma UPS

2.2.6 Quadro das UPS

O Quadro das UPS, que pode ser visto na Figura 2.11, alimentado a partir das UPS e
fornece a tenso de entrada dos Quadros das Salas de Servidores A, B e C.
Os componentes de maior relevncia deste quadro so, deste modo, os disjuntores de
proteco destes trs quadros.
O esquema elctrico do Quadro das UPS pode ser consultado no Anexo D.
Figura 2.11 - Quadro das UPS
2.2.7 Quadro das Salas de Servidores

Os Quadros da Salas de Servidores, fornecem a tenso de entrada das Salas de Servidores
e contm os disjuntores diferenciais de proteco dos vrios servidores.
A Figura 2.12 apresenta um exemplo de um Quadro da Sala de Servidores. Como se pode
observar no lado direito da figura, cada quadro dispe de um ampermetro por cada circuito
de alimentao, de modo optimizar e facilitar a distribuio das cargas. Tambm possui
sinalizao geral da corrente por fase, visvel no lado esquerdo da figura.
fundamental ter em considerao que, apesar do objectivo do Sistema de Alimentao
de Emergncia ser a garantia a alimentao das trs salas, estas tm requisitos de
disponibilidade diferentes.
Como o Centro de Informtica no ter especificou com exactido os valores a tomar como
referncia, este foram definidos de forma qualitativa:
A Sala de Servidores A o ponto crtico do sistema e pode suportar uma

indisponibilidade mxima de alguns minutos/ano, inferior a 10 minutos;
A Sala de Servidores B um ponto muito crtico do sistema e pode ter uma

indisponibilidade mxima de algumas horas/ano, inferior a 2 horas;
A Sala de Servidores C, com uma indisponibilidade mxima de alguns minutos/dia,
inferior a 10 minutos, constitui o ponto menos crtico do sistema.
Assim, o disparo intempestivo de um disjuntor na Sala de Servidores A ter um nvel de

criticalidade consideravelmente superior ao disparo de um disjuntor da Sala de Servidores C.
Figura 2.12 - Exemplo de Quadro da Sala de Servidores

Captulo 3
Abordagem Proposta
Como j se referiu, objectivo desta dissertao consiste em analisar os modos de avaria

do Sistema de Alimentao de Emergncia do Centro de Informtica que foi proposto para,
assim, determinar as suas causas e consequncia, de modo que possam ser tomadas medidas
no sentido de as erradicar e aumentar a da disponibilidade do sistema.
A primeira deciso a tomar foi a escolha das ferramentas adequadas para desenvolver
este estudo. Aps alguma pesquisa obteve-se os elementos necessrios para considerar que a
Anlise dos Modos e Efeitos de Avarias (FMEA) era um mtodo amplamente usado por diversos
sectores. Tambm, porque no existiam muitos dados quantitativos das taxas de avaria dos
componentes a ser analisados, exigidas noutros mtodos de anlise.
Apesar das vrias vantagens da FMEA, esta ferramenta possui algumas limitaes, a mais
notria a incapacidade de analisar modos de avaria combinados. Assim, para se obterem
resultados mais efectivos, optou-se por complementar a FMEA com uma anlise por rvores
de Falhas.
Neste captulo ser feita uma breve descrio dos seus fundamentos tericos.
3.1 - FMEA - Failure Mode and Effects Analysis

3.1.1 Introduo
A Anlise dos Modos e Efeitos de Avarias, mais conhecida como FMEA, um mtodo de
anlise de risco qualitativo que permite avaliar os possveis modos de avaria de um sistema,
as causas que lhes deram origem e os efeitos por elas gerados. Assim, este processo
sistemtico visa a reduo ou eliminao do risco associado a cada potencial modo de avaria,
atravs da identificao do impacto no funcionamento do sistema e da proposta de solues
que permitam melhorar o seu desempenho. O mtodo FMECA, Anlise dos Modos de Avaria,
Efeitos e Criticalidade, uma extenso da FMEA em que a criticalidade das avarias
analisada mais detalhadamente.
16 Abordagem Proposta
O aparecimento da FMEA, como ferramenta de anlise formal, data do final dos anos 40
com a introduo do standard MIL-P-1629A e actualmente designado MIL-STD-1629A.
Desenvolvido pelo Departamento de Defesa dos Estados Unidos com o nome Procedures for
Performing a Failure Mode, Effects and Criticality Analysis. Neste mtodo, os efeitos das
avarias nos sistemas e equipamentos eram identificados e classificados de acordo com o
impacto que tinham no sucesso de uma misso e na segurana de pessoas/equipamentos. [3]
O grande avano da preveno de falhas teve incio na dcada de 60, quando a FMEA
comeou a ser utilizada no mbito da pesquisa e desenvolvimento aeroespacial,
nomeadamente no projecto Apollo. No entanto, o apogeu surgiu j no final dos anos 70 com
introduo desta tcnica na indstria automvel pela Ford Motor Company, com os objectivos
de obter de melhores resultados ao nvel da produo/concepo e estabelecer critrios
regulamentares e de segurana. [4]
Nos anos 80, a indstria automvel americana comeou a incorporar a FMEA no
desenvolvimento dos seus novos produtos. Com o intuito de criar um padro dos seus sistemas
de qualidade, uma equipa formada por elementos da Chrysler Corporation, Ford Motor
Company e General Motors desenvolveu a norma QS-9000 [5], cujo princpio base era a
obrigatoriedade de utilizao da FMEA no processo de planeamento da qualidade. Em 1994,
este standard expandiu-se a todos os fabricantes da indstria com o aparecimento da SAE J-
1739 [6], desenvolvido pela Society of Automotive Engineers.
Actualmente, existe uma vasta gama de aplicao da FMEA que incluiu, alm das j
mencionadas indstrias automvel e aeroespacial, reas como a electrnica, a medicina,
engenharia civil, gesto, engenharia de qualidade e avaliao do impacto ambiental, entre
outras.
3.1.2 Normas associadas FMEA

Como j foi mencionado, ao longo do tempo vrias indstrias foram estabelecendo as suas
prprias normas FMEA em conformidade com os requisitos prprios da sua rea. Em seguida
ser feita uma breve apresentao das normas mais utilizadas na actualidade.
MIL-STD-1629A - Procedures for Performing a Failure Mode, Effects and Criticality

Analysis [6]
O MIL-STD-1629A estabelece os requisitos e procedimentos necessrios realizao de

uma FME(C)A que permitem avaliar e documentar, de modo sistemtico e por ordem de itens
correspondentes a cada modo de avaria de um componente, o potencial impacto de cada
falha funcional ou de hardware no sucesso de uma misso, na segurana de pessoas e
sistemas, no desempenho do sistema, na sua durabilidade e requisitos de manuteno. Cada
potencial modo de avaria classificado de acordo com a severidade dos seus efeitos, a fim de
que sejam tomadas medidas de correco adequadas para controlar ou eliminar o risco dos
itens de risco mais elevado.
Abordagem Proposta 17
SAE J1739 - Potential Failure Mode and Effects Analysis in Design (Design FMEA) and
Potential Failure Mode and Effects Analysis in Manufacturing and assembly Processes
(Process FMEA) Reference Manual [6]
Desenvolvida em conjunto pela Chrysler, Ford e General Motors, a SAE J1739 introduz o
tpico da FMEA e d uma orientao geral de como aplic-la. Nesta norma, a FMEA descrita
como um grupo de actividades sistemticas destinadas a reconhecer e avaliar o potencial
falha de um produto ou processo e seus efeitos, identificar as aces que possam eliminar ou
reduzir a hiptese da potencial falha ocorrer e documentao do processo.
IEC 60812 - Analysis techniques for system reliability - Procedure for failure mode
and effects analysis (FMEA) [6]
O IEC 60812, publicado pelo IEC (International Electro-technical Commission), descreve

no s a FMEA (Anlise dos Modos de Avaria e Efeitos) mas tambm a FMECA (Anlise dos
Modos de Avaria, Efeitos e Criticalidade) e d orientaes de como os objectivos da anlise
podem ser alcanados utilizando-as como ferramentas de anlise de risco. Inclui ainda os
passos necessrios ao desenvolvimento da anlise, a identificao dos termos apropriados,
pressupostos e medidas de criticalidade, um exemplo de formulrio de documentao da
FMEA/FMECA e uma matriz de criticalidade para avaliar os efeitos das avarias.
No desenvolvimento da FMEA do Sistema de Alimentao de Emergncia do Centro de
Informtica, esta norma foi usada como referncia.
3.1.3 Metodologia da FMEA

A FMEA deve ser iniciada com a hierarquizao do sistema, ou seja, a sua diviso em
sistemas mais simples. Este podem ser subsistemas e/ou componentes, dependendo dos nvel
de detalhe pretendido para a anlise e devem ser representados atravs de diagramas simples
mas que realcem as funes essenciais do sistema. [8]
A informao disponvel e a experincia de utilizao do sistema so alguns dos critrios a
ter em considerao na definio dos limites e do nvel de detalhe da anlise. Um subsistema
que se saiba ser fivel ou cujo histrico de utilizao no revele problemas maiores, poder
no justificar uma anlise muito detalhada. Do mesmo modo, devem ser analisados mais
minuciosamente os subsistemas mais recentes ou subsistemas que j tenham dado origem a
problemas, e ainda subsistemas cuja fiabilidade ainda no completamente conhecida.
Depois de um subsistema ser escolhido, a etapa seguinte a sua anlise funcional. Nesta
fase, deve ser feita uma lista das suas funes e do comportamento esperado em vrias
etapas de funcionamento como, por exemplo, durante a operao ou em manuteno.
Tendo conhecimento das funes desempenhadas, procede-se ao levantamento dos
potenciais modos de avaria. O modo de avaria caracteriza o processo ou mecanismo de avaria
que ocorre no subsistema/componente ao descrever o afastamento em relao sua funo.
O grau de especificao definido na hierarquizao e anlise funcional do sistema
fundamental para se conseguir identificar de forma transparente os modos de avaria.
Para cada potencial modo de avaria, devem listar-se os efeitos a que a sua ocorrncia
pode dar origem e as causas que podem ter estado na origem do seu aparecimento. Os efeitos
traduzem o modo como a avaria se manifesta e as consequncias que produz no sistema
global ou no prprio subsistema/componente dependendo se a anlise global ou local,

respectivamente. As causas correspondem s razes pelas quais a funo do
subsistema/componente no cumprida. Dado que um potencial modo de avaria pode ser
originado por causas diferentes e, tipicamente, independentes entre si estas devem ser todas
devidamente identificadas e descritas.
A ltima etapa da FMEA consiste na proposta de mtodos de deteco e preveno
das avarias, tendo em conta a forma e os meios atravs dos quais so detectadas as suas
ocorrncias. Estes mtodos devem garantir que a ocorrncia dos modos de avaria que ponham
em causa a segurana de pessoas ou equipamentos eliminada ou, pelo menos, mitigada.
Como j foi referido, a FMECA (Failure Mode, Effects and Criticality Analysis) uma
extenso da metodologia FMEA, pelo que o seu processo de desenvolvimento exige alguns
detalhes adicionais.
A grande diferena entre as duas anlises reside no grau de profundidade com que a
criticalidade estudada. Assim, s etapas descritas junta-se uma outra a anlise de risco.
Esta anlise engloba a avaliao da severidade e da frequncia de ocorrncia do modo de
avaria em estudo para determinao da criticalidade.
A severidade avalia o impacto dos efeitos do modo de avaria no sistema que est a ser
analisado e pode ter em conta inmeros factores, tais como o impacto no desempenho
funcional do sistema ou na segurana das pessoas e equipamentos. Para facilitar a avaliao,
atribuda uma classificao severidade, denominada ndice de severidade (S). A escala
deste ndice tem uma amplitude varivel, dependendo do nvel de detalhe estabelecido. No
entanto, a classificao 1 corresponde sempre ao nvel de severidade mais insignificante e a
classificao de fim de escala a um grau de severidade que pode ter consequncias
catastrficas. A Tabela 3.1 ilustra uma hipottica escala do ndice de severidade.
Tabela 1 - Exemplo de classificao do ndice de severidade (S) [8]
A ocorrncia avalia a frequncia ou probabilidade de um modo avaria ocorrer. Tal como

ocorre com a severidade, a classificao da frequncia de ocorrncia feita com recurso a
uma escala, na qual o patamar inferior corresponde um nvel de ocorrncia improvvel e o
patamar superior corresponde a ocorrncias muito frequentes. A tabela 3.2 fornece um
exemplo de classificao do nvel de ocorrncia.
Tabela 2 - Exemplo de classificao do ndice de ocorrncia (O) [8]
Para alm da severidade e da ocorrncia, a anlise de risco pode tambm recorrer a um

terceiro critrio, o ndice de deteco (D), que corresponde probabilidade do modo de
avaria ser ou no detectado.
A determinao quantitativa do risco pode ser obtida atravs do Nmero de Prioridade do
Risco, RPN. Este nmero corresponde ao produto dos ndices descritos anteriormente e
calculado para cada um dos potenciais modos de avaria:
RPN = S x O
Os valores de RPN permitem definir a prioridade dos modos de avaria e hierarquiz-los por
ordem de necessidade de tomada de aces correctivas. Deste modo, valores de RPN muito
elevados correspondem a um nvel de risco intolervel e implicam, de uma maneira geral, a
elaborao imperativa de um plano de resposta ao risco com vrias propostas de aces
correctivas que levem sua diminuio. Pelo contrrio, a valores de RPN muito pequenos
correspondem, habitualmente, modos de avarias cujos efeitos so negligenciveis ou que no
pem em risco o funcionamento normal do sistema.
Uma forma alternativa de representar o risco atravs de uma matriz de risco, como a da
tabela 3.3. Esta matriz d o risco associado a um potencial modo de avaria como funo do
nvel de severidade e da frequncia de ocorrncia da avaria.
Tabela 3 - Exemplo de uma matriz de risco [8]

A FMEA deve ter como apoio um formulrio, com a forma de uma tabela como a que est
representada Figura 3.1. Este formulrio deve ser preenchido de maneira sistemtica e
respeitando a ordem as vrias etapas de desenvolvimento, de modo a agrupar a toda a
informao que vai sendo reunida.
As fases de desenvolvimento da FME(C)A, de acordo com a norma IEC 60812, esto
resumidas e no fluxograma da Tabela 3.4.
Tabela 4 - Exemplo de formulrio da FMEA [8]
Este formulrio deve identificar o subsistema/componente que est em anlise e incluir

informaes como o seu nome, a funo que desempenha, os modos de avarias, as possveis
causas e efeitos que provocam no sistema, valores numricos dos ndices de severidade,
ocorrncia e deteco e algumas consideraes e/ou comentrios relevantes.
O aspecto grfico do formulrio da FME(C)A no est completamente padronizado,
sofrendo algumas variaes dependendo da aplicao. Apesar disso, as colunas devem ser
sempre preenchidas de forma clara e concisa para que a informao a presente no suscite
qualquer tipo de dvida.
Figura 3.1 - Fluxograma da anlise da FME(C)A [8]

3.2 rvores de Falhas (FTA Fault Tree Analysis)

3.2.1 Introduo
O conceito fundamental das FTA (Fault Tree Analysis), rvores de Falhas, consiste em
estudar, detalhadamente, o modo como as falhas de um sistema podem ser alcanadas
atravs da combinao lgicas de eventos primrios. Assim, a anlise consiste na construo
de um diagrama lgico, a rvore de falhas, atravs de um processo dedutivo que parte de um
evento indesejado predefinido, denominado evento de topo, e procura as possveis causas
desse evento. O processo vai sendo consecutivamente desenvolvido at se atingiram os
eventos independentes bsicos ou eventos sobre os quais no se possui mais informao, que
constituem o limite de resoluo da anlise. As rvores de Falhas tambm permitem
identificar combinaes de falhas que levam ao evento de topo, ao contrrio da FMEA.
Esta tcnica foi desenvolvida incio dos anos 60 por H. A.Watson, nos laboratrios Bell, a
pedido da Fora Area dos Estados Unidos, para avaliar a fiabilidade do sistema de controlo
do mssil Minuteman. Em 1963, foi reconhecida e aperfeioada pela Boeing como uma
importante ferramenta de anlise de segurana passando a ser usada frequentemente por
esta companhia.
Em Junho de 1965, a Boeing e a Universidade de Washington organizaram um simpsio de
anlise de segurana e de sistemas de segurana em Seattle, onde as primeiras publicaes
tcnicas sobre rvores de Falhas foram apresentadas.
A partir dos anos 70, com o desenvolvimento de novos algoritmos de avaliao, o uso das
rvores de Falhas foi abrangendo cada vez mais reas de aplicao, nomeadamente sistemas
de alimentao, robtica e aviao. [9]
3.2.1 Metodologia das rvores de Falhas

A anlise de rvore de Falhas uma boa prtica quando se pretende estudar os factores
que podem causar um evento indesejvel, normalmente uma avaria do sistema. Este mtodo
pode ser desenvolvido atravs das seguintes etapas que esto representadas
esquematicamente na Figura 3.2 [10]:
Figura 3.2 - Diagrama do processo de desenvolvimento da rvore de Falhas

1. Identificar o objectivo da rvore de Falhas
O objectivo da rvore de Falhas consiste em fazer a formulao do problema do sistema

que vai ser estudado.
2. Definir o evento de topo
O evento de topo corresponde raiz da rvore de Falhas. Este evento define o modo de
avaria do sistema que vai ser analisado, isto , o acontecimento indesejvel. Caso existam
vrios modos de avaria do sistema em estudo, conveniente definir um evento de topo para
cada um.
3. Definir o mbito da rvore de Falhas
Nesta etapa, deve indicar-se quais as falhas e componentes que vo ser includos na
anlise e quais vo ser desprezados. Devem tambm ser definidas as condies fronteira que
incluem os estados iniciais dos componentes e o levantamento das entradas do sistema.
4. Definir a resoluo da rvore de Falhas
A resoluo da rvore de Falhas corresponde ao nvel de detalhe com que se vo

desenvolver as causas das falhas do evento de topo. O nvel de detalhe depende do
conhecimento do analista e da informao disponvel sobre o sistema.
5. Definir as regras base da rvore de Falhas
Para que a rvore de Falhas seja coerente, a nomenclatura e o modo como os eventos e
as portas lgicas so identificados deve estar bem definida. Por este motivo, antes de se
iniciar a construo da rvore, devem ser estabelecidas as regras base.
6. Construir a rvore de Falhas
A atravs de diagramas sequenciais que envolvem os eventos ou falhas, de modo

sistemtico, mostrando o relacionamento entre os mesmos e o acontecimento indesejvel em
anlise.
O processo tem incio com a identificao dos eventos que directamente relacionados
ao evento de topo e, assim, vai-se avanando, sucessivamente at atingir os eventos ou falhas
bsicas. A relao entre eventos feita atravs de portas lgicas.
7. Avaliar a rvore de Falhas
Aps a construo da rvore de Falhas a etapa seguinte sua avaliao, que pode ter
duas abordagens: qualitativa e quantitativa.
A avaliao qualitativa tem como finalidade representar a ocorrncia da avaria atravs de

uma forma lgica equivalente, mostrando atravs do diagrama as combinaes de eventos
bsicos, erros operacionais ou outros defeitos que podem dar origem ao evento de topo.
A avaliao quantitativa tem como objectivo analisar a probabilidade de ocorrncia do
evento de topo em funo das probabilidades de ocorrncia dos eventos bsicos. Nem sempre
se procede a esta avaliao, uma vez que podem no estar disponveis informaes relativas
s probabilidades de ocorrncia dos eventos.
8. Interpretar os resultados
A anlise de uma rvore de Falhas termina com a interpretao dos resultados obtidos
pela avaliao qualitativa e/ou quantitativa e a deciso das aces a tomar para melhorar o
desempenho do sistema e eliminar o(s) evento(s) indesejvel(eis).
3.2.3 Simbologia utilizada nas rvores de Falhas

Nesta seco ser feita uma breve descrio dos smbolos mais utilizados na construo da
rvore de Falhas.
3.2.3.1 Eventos bsicos

Os eventos bsicos de uma rvore de Falhas correspondem aos acontecimentos que no
foram mais desenvolvidos, por uma razo ou por outra.
Existem quatro tipos de eventos bsicos:
Tabela 5 Eventos bsicos de uma rvore de Falhas [11]

3.2.3.2 Portas lgicas

Os dois tipos bsicos de portas lgicas so as portas AND e as portas OR.
As portas AND devem ser utilizadas quando o evento de sada s ocorre quando todos os
eventos de entrada ocorrem. As portas OR associam-se a eventos de sada que ocorrem se um
ou mais eventos de entrada ocorrem.
Tabela 6 Portas lgicas de uma rvore de Falhas [11]

Existem tambm alguns casos particulares, por exemplo a porta OR Exclusivo onde o
evento de sada ocorre somente se exactamente um dos eventos de entrada ocorrer ou a por
AND Prioridade cujo evento de sada ocorre somente se todos os eventos de entrada ocorrem
de acordo com uma sequncia especfica.
3.2.3.3 Transferncia
Um smbolo de transferncia utilizado para indicar que a anlise do evento em questo
vai ser continuada noutra parte da rvore. Estes smbolos tm como principal objectivo
indicar a continuidade da anlise e, de uma maneira geral, so utilizados quando se atinge o
final de uma pgina. Caso a rvore de Falhas ocupe mltiplas pginas, deve ser indicado no
smbolo o nmero da pgina para onde o diagrama foi transferido (Transfer In), de modo a
facilitar o acompanhamento da sua evoluo. Do mesmo modo, no destino, deve ser includa
a informao da pgina inicial (Transfer Out).
Tabela 7 Smbolo de transferncia de uma rvore de Falhas [11]

Captulo 4
Anlise FMEA
A ferramenta Anlise dos Modos e Efeitos de Avarias (FMEA: Failure Mode and Effects
Analysis)1 tem como objectivo a identificao dos modos de avaria, as suas causas e as suas
consequncias. A sua aplicao permite obter uma viso geral do sistema e o estabelecer um
plano de aces de preveno e/ou mitigao do risco.
Esta anlise permite reconhecer o potencial da avaria de um subsistema, ou componente,
e avaliar sua repercusso no sistema. Este processo encarado de maneira global e
sistemtica. As avarias so hierarquizadas, atravs determinao do Nmero de Prioridade do
Risco (RPN) que atribudo a cada uma, e as que apresentarem maior ndice de risco devero
ser objecto de planos de aco especficos.
Neste captulo apresenta-se a FMEA do Sistema de Alimentao de Emergncia do Centro
de Informtica.
Na primeira parte so descritas, sinteticamente, as etapas do planeamento da FMEA e so
expostos os critrios utilizados na anlise de risco. A segunda parte feita a apresentao de
algumas tabelas com resultados obtidos e, com base nestes, so retiradas algumas concluses
preliminares acerca dos elementos mais crticos do Sistema de Alimentao de Emergncia.
4.1 Planeamento da FMEA

Em sistemas complexos, como o sistema em estudo, a FMEA tipicamente executada por
uma equipa multidisciplinar, de modo a garantir que a anlise o mais exaustiva possvel.
Com esse intuito, foi constituda uma equipa responsvel pela FMEA do Sistema de
Alimentao do Centro Informtico. Esta equipa era formada por seis elementos, alguns das
reas envolvidas no processo, nomeadamente um coordenador do Centro de Informtica e um
responsvel pelos Servios Tcnicos e de Manuteno, para melhor apoiar o desenvolvimento
deste estudo com a contribuio da sua experincia e conhecimento do sistema.
A equipa reunia-se semanalmente e em cada reunio era discutido um subsistema. O

planeamento da FMEA abrangeu os seguintes passos:
1
A Anlise dos Modos e Efeitos de Avarias passar a ser referida atravs da sigla em ingls, FMEA, dado
ser mais perceptvel para o leitor.
28 Anlise FMEA
1. Descrio dos objectivos e abrangncia da anlise, isto , a identificao dos processo

a serem analisados;
2. Diviso e hierarquizao do Sistema de Alimentao de Emergncia em subsistemas;
3. Listagem dos potenciais modos de avaria dos subsistemas considerados;
4. Discusso das causas dos modos de avaria;
5. Estudo das consequncias dos modos de avaria;
6. Anlise do risco associado a cada avaria;
7. Recomendao de medidas que permitam mitigar o risco da avaria e/ou diminuir a sua
ocorrncia, tendo em conta os modos de avaria mais crticos.
4.2 Anlise de Risco

A Anlise de Risco deve ser iniciada aps a equipa possuir o conhecimento dos modos de
avarias, dos seus efeitos e das suas causas. Nesta etapa devem ser definidos os ndices de
severidade (S), ocorrncia (O).
A Severidade (S) o ndice que reflecte a gravidade do efeito da avaria sobre o sistema
global. Alis, a severidade sempre aplicada ao efeito do modo de avaria e existe uma
relao directa entre os dois: por exemplo, se o efeito crtico, a severidade alta. Por
outro lado, se o efeito no crtico, a severidade baixa. Deste modo, quanto maior for o
grau na escala do ndice de severidade mais grave o impacto do efeito da avaria. Na
avaliao da severidade dos modos de avaria do Sistema de Alimentao de Emergncia do
Centro Informtico, a classificao foi feita com base na escala de 1 (um) a 5 (cinco)
apresentada na Tabela 4.1. Na escala proposta, o nmero 5 (nvel de severidade catastrfico)
o caso mais grave e corresponde a uma avaria que afecte a Sala de Servidores C, a carga
mais crtica do sistema e que exige uma disponibilidade muito elevada.
A Ocorrncia (O) representa a frequncia ou probabilidade de aparecimento de cada
modo de avaria e tem como base o histrico de utilizao do sistema ou o estudo de casos
semelhantes. Quando as taxas de avaria so conhecidas, o ndice de ocorrncia dos modos de
avaria , usualmente, representado pela probabilidade da sua ocorrncia. Uma vez que no
existiam dados suficientes acerca dos componentes do sistema para proceder a este tipo de
avaliao, optou-se por classificar o ndice de acordo com a frequncia, hipottica, das
avarias. A escala de classificao proposta para qualificar o ndice de ocorrncia , como no
caso da Severidade, de 1 (um) a 5 (cinco). O nvel de ocorrncia mais baixo corresponde a
uma avaria com frequncia improvvel, enquanto o mais elevado representa um evento
frequente, como se pode observar na Tabela 4.2.
Anlise FMEA 29
Tabela 8 - Classificao da Severidade (S)
Tabela 9 - Classificao da Ocorrncia (O)
A partir dos ndices de severidade e ocorrncia possvel avaliar a criticalidade do

risco de cada modo de avaria atravs de uma matriz de risco. Como se pode ver na tabela
4.3, a Matriz de Risco proposta categoriza o risco em quatro regies distintas. Estas quatro
regies podem ser definidas como: regio negligencivel (a verde), duas regies ALARP (As
Low As Reasonably Practicable) - risco to baixo quanto razoavelmente praticvel (a
amarelo, em casos de pouca gravidade, e a laranja, para situaes graves) e regio de risco
intolervel (a vermelho).
Quando o risco negligencivel, o processo de reduo de risco no necessrio,
uma vez que este considerado aceitvel. Nos casos em que o risco est num patamar acima
do negligencivel, a regio ALARP, mas em que ainda possvel a convivncia com o mesmo
devido aos benefcios associados ou inviabilidade de reduzi-lo, pode-se consider-lo como
risco tolervel ou indesejvel. A distino entre risco tolervel e risco indesejvel baseia-se
no facto de que o primeiro aceitvel mas com potencial de melhoria enquanto no segundo o
risco j inaceitvel mas as medidas adicionais ainda no obrigatrias, somente
recomendadas.
Se um modo de avaria adquire uma classificao de severidade e ocorrncia que o
coloque no patamar superior da Matriz de Risco, correspondente zona de risco intolervel,
obrigatrio tomar medidas de segurana adicionais, sob pena de por em causa a
disponibilidade do sistema.
O produto entre os ndices de severidade e ocorrncia permite obter, como j foi
referido, o Nmero de Prioridade do Risco (RPN). De acordo com esta classificao, o risco
dos vrios modos de avaria deve ser hierarquizado. A Tabela 4.4 apresenta a classificao
utilizada para a prioritizao do risco.
30 Anlise FMEA
Tabela 10 - Matriz de Risco
Tabela 11 - Classificao do Nmero de Prioridade do Risco
4.3 Apresentao de resultados

Nesta seco so apresentadas as tabelas da FMEA desenvolvida para os vrios
subsistemas. Dado que o contedo das tabelas bastante extenso, para cada subsistema
sero apresentados somente os modos de avaria com maior ndice de severidade ou com um
maior nmero de prioridade do risco, RPN.
As tabelas da FMEA do Sistema de Alimentao do Centro Informtico podem ser
consultadas na ntegra no anexo E.
4.3.1 Subsistema Posto de Transformao

O subsistema do Posto de Transformao decompe-se em trs nveis hierrquicos,
como se pode observar na figura 4.1. No topo, encontra-se o Posto de Transformao; no
nvel intermdio esto os dois transformadores e o Quadro Geral de Baixa Tenso. No interior
deste quadro, encontram-se os componentes que foram considerados relevantes neste
subsistema: os disjuntores de proteco dos transformadores, o disjuntor interbarras que
permite a comutao dos transformadores e o disjuntor associado ao Quadro de Transferncia
de Cargas.
Anlise FMEA 31
Figura 4.1 - Hierarquia do Subsistema Posto de Transformao
A Tabela 4.5 expe o extracto da FMEA do Posto de Transformao relativo aos modos
de avaria do Transformador 1. Como se pode observar, os trs modos de avaria apresentados
para este componente Sobretenso, Subtenso e Sem Tenso encontram-se na regio de
risco tolervel (cor amarela) e tm o mesmo Nmero de Prioridade do Risco. Apesar de este
nmero corresponder ao limite superior da gama de valores de risco tolervel, pode afirmar-
se, partida, que o Transformador 1 no um componente crtico do sistema. Isto porque,
apesar do ndice de Severidade (S) de qualquer uma das avarias ser significativo, o ndice de
Ocorrncia (O) indica que sua a frequncia remota, isto , espera-se que ocorram uma vez
em cada cinco anos.
Os modos de avaria do Transformador 2, que podem ser consultados no anexo E, so
muito semelhantes aos do Transformador 1. A nica diferena reside no RPN, que
ligeiramente inferior para o Transformador 2. O motivo desta diferena que, uma vez que o
Transformador 2 no a alimentao principal das Salas de Servidores, apesar do ndice de
Ocorrncia das avarias ser o mesmo, o ndice de Severidade ligeiramente inferior.
Tabela 12 - Extracto da FMEA do Transformador

32 Anlise FMEA
A tabela 4.2 apresenta os modos de avaria mais crticos de dois componentes do Quadro
Geral de Baixa Tenso: o disjuntor de proteco do transformador 1 (Disjuntor T1) e o
Interbarras. No caso do Disjuntor T1 o pior caso corresponde sua abertura intempestiva e
consequente corte, desnecessrio, da tenso proveniente do Transformador 1. J para o
Interbarras, as avarias mais crticas esto directamente associadas a um cenrio de avaria do
Transformador 1 e a incapacidade de comutao das cargas por ele alimentadas para o
Transformador 2.
Pode observar-se que, assim como no caso do Transformador 1, todos os modos de avaria
destes componentes esto na regio de risco tolervel (cor amarela). Contudo, os valores de
RPN correspondem ao nvel inferior da gama de valores da regio tolervel. Apesar de o nvel
de Severidade ser o mesmo, os disjuntores so componentes muito fiveis, o que baixa a
expectativa de uma potencial avaria de um perodo de cinco anos para um perodo de dez
anos.
Tabela 13 - Extracto da FMEA do Quadro Geral de Baixa Tenso
Os restantes modos de avaria destes componentes, assim como os modos de avaria

dos disjuntores de proteco do transformador 2 e quadro de transferncia de cargas podem
ser consultados nas tabelas do anexo E.
4.3.2 Subsistema Grupo Gerador

Os componentes considerados no subsistema do Grupo Gerador foram: o alternador, o
motor, o disjuntor de sada de proteco do alternador, o sistema de refrigerao do motor, a
bateria e o quadro de controlo ou comando do grupo. O Quadro de Controlo foi, ainda,
decomposto em trs elementos de nvel inferior: o painel de controlo e monitorizao do
Anlise FMEA 33
grupo, o transformador de isolamento e o seu disjuntor de proteco. A hierarquia destes

componentes pode ser vista na Figura 4.2.
Figura 4.2 - Hierarquia do Subsistema Grupo Gerador
Na Tabela 4.7. esto expostos os modos de avaria dos componentes mais crticos do
subsistema do Grupo Gerador. De facto, analisando os Nmeros de Prioridade do Risco dos
modos de avaria do Motor e da Bateria de alimentao do Painel de Controlo possvel
concluir que estes se encontram na regio de risco indesejvel (cor laranja). Os ndices de
Severidade e Ocorrncia indicam que no s estas avarias so significativas como podem ter
uma frequncia anual.
Tabela 14 - Extracto da FMEA do Grupo Gerador

34 Anlise FMEA
Deste modo, ao contrrio do subsistema do Posto de Transformao, cujas avarias tinham

um nvel de risco aceitvel, no subsistema do Grupo Gerador j aconselhada a
implementao de medidas de segurana adicionais.
Os modos de avaria dos restantes componentes do subsistema Grupo Gerador no so aqui
apresentados, por terem nveis de RPN consideravelmente inferiores aos modos de avaria do
motor e da bateria, mas podem ser consultados nas tabelas do anexo E.
4.3.3 Subsistema Quadro de Transferncia de Cargas

A hierarquia do subsistema do Quadro de Transferncia de Cargas est ilustrada na Figura
4.3. Os componentes considerados neste subsistema foram os dois contactores - rede e
gerador, o encravamento mecnico, a resistncia de aquecimento e o interruptor. Os
contactores e a resistncia de aquecimento incluem um nvel de detalhe adicional. Os
contactores foram subdivididos em contactos, bobina e fusvel de proteco, enquanto o
subnvel da resistncia de aquecimento inclui a resistncia e o fusvel de proteco.
Figura 4.3 - Hierarquia do Subsistema Quadro de Transferncia de Cargas
As tabelas 4.8 e 4.9 apresentam um extracto da FMEA do Quadro Transferncia de Cargas.

Na primeira tabela encontra-se o modo de avaria do encravamento mecnico e na segunda os
modos de avaria dos componentes constituintes do contactor de rede.
Como se pode observar, o modo de avaria do encravamento mecnico apresenta um nvel
de Severidade muito elevado. Este valor reflecte o facto de uma avaria deste componente
resultar na impossibilidade de alimentar as Salas de Servidores atravs do Posto de
Transformao e do Grupo Gerador. Contudo, como j ocorreu noutros componentes, um
baixo nvel do ndice de Ocorrncia permite situar este modo de avaria na regio de risco
tolervel (cor amarela).
Tabela 15 - Extracto da FMEA do Quadro de Transferncia de Cargas

Anlise FMEA 35
Tabela 16 - Extracto da FMEA do Contactor de Rede do Quadro de Transferncia de Cargas
Os modos de avaria dos componentes do contactor de rede inserem-se na regio de risco

tolervel da Matriz de Risco (cor amarela). Apesar do nvel de Severidade ser significativo,
como j ocorreu anteriormente, uma frequncia de ocorrncia remota torna o impacto destas
avarias no sistema global aceitvel. O elevado valor do ndice de Severidade justificado pelo
facto de uma avaria do contactor de rede ter implicaes na comutao entre a rede e o
grupo gerador. O mesmo acontece com o contactor do gerador, cuja FMEA muito
semelhante do contactor de rede
As tabelas com os modos de avaria dos restantes componentes do Quadro de
Transferncia de Cargas podem ser consultadas no anexo E.
4.3.4 Subsistema Quadro de Emergncia

No subsistema do Quadro de Emergncia os componentes em anlise so os disjuntores de
proteco das trs UPS e do sistema de Ar Condicionado, como se pode constatar a partir da
Figura 4.4.
Uma vez que os disjuntores das UPS so equivalentes entre si, no extracto da FMEA do
Quadro de Emergncia apresentada na Tabela 4.10 s so apresentados os disjuntores de
proteco da UPS 1 e do sistema de Ar Condicionado. A FMEA completa do Quadro de
Emergncia est presente no anexo E.
Figura 4.4 - Hierarquia do Subsistema Quadro de Emergncia

36 Anlise FMEA
Tabela 17 - Extracto da FMEA do Quadro de Emergncia
A anlise de criticalidade dos modos de avaria destes dois disjuntores permite concluir
que o Quadro de Emergncia no possui componentes crticos do sistema. Apesar do ndice de
Severidade classificar o modo de avaria de abertura indevida como uma avaria crtica, a
elevada fiabilidade dos disjuntores leva a um factor de Ocorrncia improvvel. Deste modo,
todos os componentes do Quadro de Emergncia pertencem regio de risco tolervel da
Matriz de Risco.
4.3.5 Subsistema Ar Condicionado

A FMEA do subsistema Ar Condicionado pode ser vista na Tabela 4.11. Dos dois modos de
avaria considerados temperatura no regulada e humidade excessiva ambos apresentam
o valor mximo de ndice de Ocorrncia. Isto indica-nos que estas avarias tm uma frequncia
de ocorrncia mensal.
No que diz respeito Severidade, o modo de avaria associado temperatura
classificado como sendo pouco significativo. Deste modo, o risco que lhe est associado ainda
se insere na regio indesejvel (cor laranja) da Matriz de Risco. J o modo de avaria de
humidade excessiva, que tem um ndice de Severidade considerado significativo, pertence
regio intolervel (cor vermelha) da Matriz de Risco.
Os resultados obtidos na anlise da criticalidade do subsistema do Ar Condicionado
permitem, assim, constatar uma forte necessidade de implementao medidas de segurana
adicionais.
Anlise FMEA 37
Tabela 18 - FMEA do Ar Condicionado
4.3.6 Subsistema UPS

O subsistema UPS, cuja hierarquia ilustrada na Figura 4.5, constitudo pelas trs UPS
do Sistema de Alimentao de Emergncia. Dado que as caractersticas das UPS so idnticas
e, por consequncia, tambm os seus modos de avaria, na Tabela 4.12 da FMEA deste
subsistema s so apresentados os modos de avaria da UPS1.
Como se pode comprovar na Tabela 4.12, todos os modos de avaria da UPS1 apresentam
um ndice de Severidade significativo. Como os modos de avaria relativos ao tempo de
autonomia da UPS apresentam um valor baixo de Ocorrncia, ainda pertencem regio de
risco tolervel (cor amarela) da Matriz de Risco. Todavia, tendo em conta que o Nmero de
Prioridade de Risco relativamente elevado, no deve ser completamente descartada a
hiptese de introduzir aces de reduo do risco.
Figura 4.5 - Hierarquia do Subsistema UPS

38 Anlise FMEA
Tabela 19 - FMEA do Subsistema UPS
Os modos de avaria Sem tenso e Distoro da tenso de sada que, devido a uma
frequncia de Ocorrncia ocasional, j pertencem regio da Matriz de Risco na qual o risco
considerado indesejvel (cor laranja), reforam a necessidade de implementao de aces
de reduo do risco.
4.3.7 Subsistema Quadro das UPS

O Quadro das UPS fornece tenso aos quadros das salas de servidores. Por este motivo, os
elementos deste subsistema considerados na FMEA so os disjuntores de proteco das Salas
de Servidores A, B e C. A hierarquia deste subsistema apresentada na Figura 4.6.
Tendo em conta que as caractersticas dos disjuntores das salas de servidores so iguais,
na Tabela 4.13 apresentado um extracto da FMEA do subsistema Quadro das UPS na qual
apenas surge o disjuntor de proteco da sala de servidores A. Os modos de avaria dos outros
dois disjuntores podem ser consultadas nas tabelas do anexo E.
Figura 4.6 - Hierarquia do Subsistema Quadro das UPS

Anlise FMEA 39
Tabela 20 - Extracto da FMEA do Subsistema Quadro das UPS
Os disjuntores de proteco das salas de servidores no podem ser considerados

elementos crticos do sistema como se pode ver pelo exemplo da Tabela 4.13. Apesar de
apresentarem nveis de Severidade muito elevados, que classificam os modos de avaria como
crticos, a improbabilidade da sua Ocorrncia coloca-os na regio de risco tolervel (cor
amarela) da Matriz de Risco.
4.3.8 Subsistemas Quadro das Salas de Servidores

Os componentes dos Quadros das Salas de Servidores A, B e C considerados na FMEA foram
somente os disjuntores dos servidores. Apesar de cada sala constituir um subsistema
diferente, na Tabela 4.14 os disjuntores das salas de servidores A e B so apresentados como
um subsistema nico, de modo a realar a diferena dos ndices de Severidade. A frequncia
de Ocorrncia a mesma para todos os modos de avaria considerados. Dado que o disjuntor
um componente fivel, a Ocorrncia est classificada como improvvel.
Tabela 21 - Extracto da FMEA dos Subsistemas Quadro das Salas de Servidores

40 Anlise FMEA
Como se pode observar, os modos de avaria do disjuntor de proteco do conjunto de

servidores A so classificados com um ndice de Severidade catastrfico. Por outro lado, aos
modos de avaria do disjuntor de proteco do conjunto de servidores B s foi atribuda um
nvel de Severidade crtico. Esta diferena deve-se ao facto de ser exigida ao conjunto de
servidores A uma disponibilidade superior do conjunto de servidores B.
Apesar dos elevados valores de Severidade, estes componentes pertencem regio de
risco tolervel (cor amarela) da Matriz de Risco. Uma vez que o Nmero de Prioridade de
Risco baixo, no se justifica a aplicao de aces de reduo de risco.
4.4 Concluses
No decorrer do presente captulo foi-se analisando a criticalidade associada aos modos
de avaria de alguns componentes. Detectou-se que os maiores nmeros de prioridade do risco
estavam associados aos subsistemas Grupo Gerador, Ar Condicionado e UPS. Dado que estes
valores so bastante elevados, so recomendveis aces de preveno do risco.
Captulo 5
Anlise por rvore de Falhas
As rvores de Falhas so modelos grficos que permitem mostrar o encadeamento de

diferentes eventos relacionados com uma determinada falha. Partindo de um modo de avaria,
denominado evento de topo, procuram-se as causas directas da ocorrncia do evento. O
objectivo fundamental a identificao de todas as possveis causas dessa avaria principal.
Uma anlise quantitativa das rvores de Falhas possibilita a estimativa da probabilidade
com que determinada falha pode ocorrer. Embora o objectivo inicial fosse uma avaliao
quantitativa da rvore de Falhas, a falta de dados relativos s taxas de avaria dos
componentes tornou esta abordagem invivel. Deste modo, fez-se uma somente avaliao
qualitativa.
A rvore de Falhas do Sistema de Alimentao de Emergncia do Centro Informtico,
apresentada neste captulo, um complemento da FMEA que foi desenvolvida. A anlise da
rvore de Falhas tambm permite eliminar uma das principais desvantagens da FMEA, que
corresponde impossibilidade de avaliar uma avaria que tenha origem em eventos
combinados.
De modo a facilitar a consulta dos eventos da rvore de Falhas do Centro de Informtica,
esta foi repartida em rvores mais pequenas.
A Figura 5.1 representa o diagrama principal da rvore de Falhas. Neste pode ser visto o
evento de topo, ou seja, o evento indesejado que ocupa o topo da rvore de Falhas e o
ponto de partida para sua elaborao. No caso do Centro de Informtica, o evento de topo
corresponde inoperacionalidade da estrutura das redes A, B e C. Na verdade, devia existir
uma rvore para cada uma das salas de servidores, sendo o evento de topo a
inoperacionalidade da rede que lhe est associada. No entanto como so todas iguais isso no
necessrio.
Como se pode observar, este evento pode ser originado por falhas em dois sistemas
principais: o sistema de alimentao e o sistema trmico de proteco das salas de
servidores. Assim, a partir da ramificao do evento de topo, a rvore comea a dividir-se em
falhas originadas pelo sistema de alimentao e falhas originadas pelo sistema de ar
condicionado.
42 Anlise por rvore de Falhas
Figura 5.1 - rvore de Falhas das Salas de Servidores A, B e C
A falha do sistema de alimentao directamente ligada ao evento de topo corresponde

ausncia de tenso nos Servidores A, B e C. Este evento pode ter duas origens:
1. Os Quadros das Salas de Servidores A, B e C no fornecem tenso.
Este evento pode derivar da ausncia de tenso das UPS e, por consequncia, no Quadro
das UPS ou da actuao dos disjuntores de proteco dos Quadros das Salas de Servidores. As
causas da primeira situo sero desenvolvidas num diagrama posterior, conforme indicado
pelo smbolo de transferncia no canto inferior esquerdo da Figura 5.1. O disparo dos
disjuntores pode ser justificado pela ocorrncia de uma sobrecarga, descarga atmosfrica ou
curto-circuito.
2. Actuaram os disjuntores de proteco dos Servidores A, B e C.
O disparo dos disjuntores de proteco dos servidores tem trs causas possveis:
sobrecargas, descargas atmosfricas ou curto-circuitos. Como se pode ver na mesma figura,
um curto-circuito nos servidores pode ter origem na rede ou ser provocado pelo excesso de
humidade derivado de uma anomalia do ar condicionado.
Anlise por rvore de Falhas 43
As falhas com origem no sistema de Ar Condicionado esto expostas no diagrama da Figura

5.2. Como se pode observar, o evento temperatura do Ar Condicionado no regulada pode
ter diversas causas directas, entre as quais o filtro obstrudo, presso desregulada do
compressor, falha dos sensores de temperatura e humidade e do caudal de ar, entre outras.
Este elevado nmero de eventos bsicos vem, assim, reforar a concluso retirada pela FMEA
de que o Ar Condicionado um componente crtico do sistema.
Figura 5.2 - rvore de Falhas do Ar Condicionado
O diagrama da Figura 5.3 corresponde seco da rvore de Falhas relativa s UPS.

Neste, pode ver-se que os eventos directamente ligados ao facto das UPS no fornecerem
tenso so: actuao dos seus disjuntores de proteco por sobrecarga, curto-circuito ou
descarga atmosfrica ou o falha no fornecimento de tenso de pelo menos duas das trs UPS.
A redundncia das UPS est explcita atravs do uso de uma gate votadora, identificada
com o nmero dois, que corresponde ao nmero mnimo de UPS que devem falhar para que o
evento, acima referido, ocorra. A redundncia das UPS um exemplo de eventos combinados
que no podem ser avaliados na FMEA. Nesta anlise cada UPS considerada individualmente,
ao passo que na rvore de Falhas pode considera-se a hiptese de falha simultnea de uma ou
mais UPS. Consequentemente, previsvel que o ndice de ocorrncia das avarias com origem
em falhas das UPS diminua.
Na sequncia do diagrama surgem, ainda, o motivo do no fornecimento de tenso da
UPS1, 2 e 3, analisadas individualmente. As causas que esto directamente na origem deste
evento so o tempo reduzido da autonomia da UPS, devido sua sobrecarga ou a uma falha
da bateria e ausncia da tenso proveniente do Quadro de Emergncia. Como possvel ver
pelos trs smbolos de transferncia, as causas deste evento sero exploradas num diagrama
parte.
Figura 5.3 - rvore de Falhas das UPS
Como se pode observar na Figura 5.4, o evento que est na origem da ausncia de tenso
no Quadro de Emergncia : o Quadro de Transferncia de Cargas no fornece tenso. Este,
por sua vez, pode derivar de quatro situaes distintintas:
1. O interruptor do Quadro de Transferncia de Cargas foi aberto, devido a causas

humanas;
2. O Quadro de Transferncia de Cargas no recebe tenso do Posto de Transformao

nem do Grupo Gerador.
Este evento s ocorre quando os disjuntores de proteco do alternador e

transformadores actuam ou o Posto de Transformao e o Grupo Gerador no fornecem
tenso ao Quadro de Transferncia de Cargas. Neste ltimo caso, a falha tem origem numa
combinao de eventos. Tal como no caso das UPS, a FMEA no considera esta situao j que
o Grupo Gerador e o Posto de Transformao so vistos como subsistemas independentes.
A ausncia de tenso do Posto de Transformao resulta do facto desta no ser fornecida
pelo Quadro Geral de Baixa Tenso. As causas na origem deste evento sero desenvolvidas,
posteriormente, no diagrama referente ao Posto de Transformao. O mesmo se aplica ao
evento o Grupo Gerador no fornece tenso que ser desenvolvido no diagrama Grupo
Gerador.
Figura 5.4 - rvore de Falhas do Quadro de Transferncia de Cargas
3. detectada ausncia de tenso na rede mas o contactor do gerador no liga.
As causas directas da origem desta falha so: o contactor do gerador no liga e o

Quadro Geral de Baixa Tenso no fornece tenso. Estes eventos sero desenvolvidos nos
diagramas Contactor do Gerador e Posto de Transformao, respectivamente.
4. detectada ausncia de tenso do gerador mas o contactor de rede no liga.
Quando o Grupo Gerador no fornece tenso e o contactor de rede no liga, situaes que
sero exploradas mais adiante, ocorre este evento. Mais uma vez, trata-se de uma
combinao e a obrigatoriedade da ocorrncia destas duas causas para que ocorra o evento
est representada atravs do uso de uma gate AND.
As Figuras 5.5 e 5.6 apresentam os diagramas das rvores de Falhas dos contactores do
gerador e da rede, respectivamente. Como se pode constatar, as falhas so muito
semelhantes. A origem destas pode ser devida aos contactos do contactor estarem colados ou
ao curto-circuito da bobina. Por sua vez, este evento pode decorrer de sobreaquecimento,
sobrecargas, corte nos fios da bobina ou actuo do fusvel de proteco.
Figura 5.5 - rvore de Falhas do Contactor do Gerador
Figura 5.6 - rvore de Falhas do Contactor da Rede

As falhas que esto na origem do, j referido, evento o Grupo Gerador no fornece
tenso podem ser analisadas na Figura 5.7. Como se pode verificar, a rvore possui duas
ramificaes, uma associada ao falha do arranque do Grupo Gerador e a outra quebra da
sua produo de energia elctrica.
No que diz respeito quebra da produo de energia elctrica, esta pode resultar de
uma falha do alternador ou da actuao do seu disjuntor de proteco, devido a uma
sobrecarga ou curto-circuito. As causas directas da falha do alternador so: o alternador no
tem tenso e a tenso do alternador falha subitamente. Os seus eventos bsicos podem ser
consulta na parte inferior da supramencionada.
Figura 5.7 - rvore de Falhas do Grupo Gerador
A falha do arranque do gerador pode resultar da incapacidade do motor o realizar ou de

uma anomalia no Painel de Controlo. As causas na origem destas duas situaes esto
presentes nos diagramas das Figuras 5.8 e 5.9, respectivamente.
O evento o motor no arranca o Grupo Gerador pode ser motivado pelas trs
seguintes causas: o motor no consegue arrancar, o motor sobreaquece e o motor pra
intempestivamente. Os eventos bsicos na sua origem podem ser consultados na Figura 5.8.
de realar que a falha o motor pra intempestivamente pode ser originada, tambm, por
uma falha no sistema de refrigerao do motor, representada pelo evento temperatura do
motor est fora dos limites.
Como se pode ver na Figura 5.9, a falha correspondente anomalia no Painel de Controlo
pode derivar de informaes inadequadas do acerca do estado da rede pelo transformador de
isolamento ou de uma falha da sua alimentao, por ausncia de tenso da bateria. As
informaes do transformador de isolamento, por sua vez, podem ser influenciadas pela
ausncia de tenso ou subtenso do transformador e ainda pelo disparo do seu disjuntor de
proteco.
Figura 5.8 - rvore de Falhas do Motor
Figura 5.9 - rvore de Falhas do Painel de Controlo

O diagrama da Figura 5.10 apresenta as combinaes de falhas que resultam no evento o

Quadro Geral de Baixa Tenso no fornece tenso. As causas directas na sua origem
correspondem actuao dos disjuntores de proteco, evento que est desenvolvido no
diagrama da Figura 5.11, e a ausncia de tenso proveniente dos transformadores.
A falha com a descrio os transformadores no fornecem tenso pode derivar dos
eventos nenhum dos transformadores fornece tenso ou o transformador 1 no fornece
tenso e o interbarras no conduz corrente. de notar que ambos derivam da combinao
de eventos: para que o primeiro ocorra obrigatrio que os dois transformadores no
forneam tenso e o segundo exige que no s que o transformador 1 no fornea tenso mas
tambm que haja uma falha do disjuntor Interbarras. As potenciais causas do evento o
transformador 1 no fornece tenso so mostradas no diagrama da Figura 5.12.
Figura 5.10 - rvore de Falhas do Posto de Transformao

Figura 5.11 - rvore de Falhas do Quadro Geral de Baixa Tenso
Figura 5.12 - rvore de Falhas do Transformador 1

Captulo 6
Solues Propostas
Neste captulo, ser apresentado o plano de aces recomendado para minorar os riscos
dos componentes considerados mais crticos do sistema. A partir da FMEA e da anlise por
rvore de Falhas, concluiu-se que o Ar Condicionado um ponto muito crtico do Centro de
Informtica, mas atendo importncia do Grupo Gerador e das UPS estes podem tambm ser
considerados elementos bastante crticos.
A FMEA das UPS permitiu concluir que seria aconselhvel tomar algumas medidas de
reduo do risco inerente a este subsistema. No entanto, a partir da anlise da rvore de
Falhas observou-se que uma falha de tenso do subsistema das UPS est dependente da
ocorrncia do evento combinado da falha de pelo menos duas UPS. Assim, provavelmente, a
ocorrncia dos modos de avaria no ser to elevada como a determinada na FMEA, que
analisa as avarias de cada UPS individualmente. Mesmo assim, prope-se medidas que
contribuiro para melhorar o seu desempenho, tendo em conta a importncia destes
componentes no Sistema de Alimentao de Emergncia:
1. Monitorizar, online, o sistema de baterias das UPS e implementar um sistema de

deslastragem das cargas. Este sistema, deve fazer uma diviso dos equipamentos
existentes nas salas de servidores em cargas prioritrias e cargas no prioritrias, de
modo a aumentar o tempo de funcionamento das UPS;
2. Uma vez que existe uma quarta UPS disponvel, actualmente sem ser utilizada, deve
ser avaliada a possibilidade de aumentar a redundncia das UPS, para 3+1, ou colocar a
quarta UPS como alimentao de emergncia da sala de servidores A.
3. Instalar o software disponibilizado pelo fabricante das UPS que permite monitorizar
continuamente o seu estado e fazer shutdown controlado;
4. Implementar um sistema que faa a notificao peridica do estado das UPS via SMS.
Na FMEA do subsistema Grupo Gerador os modos de avaria do motor e da bateria

obtiveram uma classificao elevada do Nmero de Prioridade do Risco (9) e correspondente a
52 Solues Propostas
um nvel de criticalidade indesejvel. Assim, altamente recomendvel a execuo de aces

de reduo do risco.
Como se observar na rvore de Falhas, a falha do arranque do gerador pode derivar de
uma avaria do motor ou de uma anomalia do painel de controlo. De facto, uma avaria do
motor que impea o arranque do grupo pode ser muito crtica porque as UPS s conseguem
garantir a disponibilidade das Salas de Servidores por um perodo mximo de trinta minutos.
Contudo, como se pode constatar uma avaria da bateria resulta na falha de alimentao do
Painel de Controlo. Caso esta situao ocorra, o grupo no s no arranca, porque no
enviado sinal ao motor, como as informaes importantes por ele monitorizadas ficam
indisponveis. Assim, a mitigao do risco associado avaria da bateria de alimentao do
painel deve ser considerada prioritria. Portanto, as recomendaes para melhorar o
desempenho do Grupo Gerador so as seguintes:
1. Implementar um sistema de monitorizao remota do grupo que permita o controlo

do estado das principais variveis do gerador, nomeadamente a tenso da bateria que
alimenta o painel de controlo e o nvel de combustvel do gerador, pela gesto tcnica
centralizada. Envio de um alarme (por exemplo via SMS ou email) em caso de deteco de
qualquer anomalia;
2. Uma vez que existe um outro gerador de emergncia que pode ser disponibilizado
apesar de estar adstrito a outros edifcios, deve considera-se a hiptese da redundncia
dos geradores, acrescentando um inversor de rede que faa a comutao entre os dois;
3. Adicionar um sistema de deteco de presena, no Posto de Transformao e Grupo

Gerador, de modo a prevenir potenciais actos de vandalismo. Envio de um SMS a um
segurana quando detectada uma intruso indesejada.
Os dois modos de avaria do sistema de ar condicionado obtiveram os mais elevados

Nmero de Prioridade de Risco da anlise FMEA. Um deles, a falha de regulao da
temperatura, possui um nvel de risco indesejvel e o outro, humidade excessiva, tem um
nvel de risco intolervel. De acordo com os critrios estabelecidos para a anlise da
criticalidade, um modo de avaria considerado intolervel na FMEA o suficiente para serem
obrigatrias medidas de mitigao do risco adicionais. Por outro lado, observando os
resultados da anlise por rvore de Falhas, constata-se que existe um nmero bastante
significativo de causas directas na origem da falha de regulao da temperatura. Esta
constatao refora os resultados da FMEA. O plano de aces que se julga adequado para
mitigar os riscos associados ao sistema de ar condicionado :
1. O ar condicionado, alimentado pelo Quadro de Emergncia, dever tambm ser ligado

s UPS, dado ser uma carga crtica;
2. Acrescentar sensores de humidade, pelo menos um por equipamento, e ainda sensores

de nvel para preveno de potenciais excessos de humidade ou fugas de gua nas salas
de servidores;
Solues Propostas 53
3. Instalar um sistema de insuflao para melhor aproveitamento dos caudais de ar,

atravs de grelhas adicionais no pavimento falso. Tambm recomendvel a instalao
de um sistema de exausto ou de ventiladores que permitam a extraco do ar quente;
4. Estudar a aplicabilidade de redundncia do ar condicionado correspondente a

estruturas de refrigerao do tipo N+1, ou seja, para cada equipamento, h outro de
reserva e pronto para uso imediato.
No decorrer do estudo do Sistema de Alimentao de Emergncia do Centro Informtico

foi detectado o problema do acesso das salas de servidores, resultante de um eventual corte
de energia. Como esse acesso feito atravs da leitura de um carto, de banda magntica,
este implicaria no s que o carto no seria lido mas tambm que a base de dados com a
lista de utilizadores com permisses de acesso no seria consultada. Nesta situao, a nica
maneira de aceder ao interior das salas de servidores seria por abertura manual da porta,
atravs de uma chave mestra. Portanto, o referido acesso ficaria condicionado, no podendo
ser feito com a rapidez expectvel.
Apesar de no pertencer ao mbito da anlise FMEA e da anlise por rvore de Falhas,
deixa-se a recomendao final de repensar este acesso das salas de servidores, em especial o
modo de alimentao do sistema de cartes.
54 Solues Propostas
Captulo 7
Concluses
No culminar desta dissertao, retiram-se concluses que se julgam importantes. Em

primeiro lugar que a escolha das duas metodologias utilizadas para o desenvolvimento deste
trabalho foi adequada. Na realidade, s com a conjugao da anlise FMEA e da anlise por
rvore de Falhas que se pde examinar com maior preciso quais so os modos de avaria
que necessitam de aces prioritrias de mitigao do risco.
A anlise FMEA no considera avarias simultneas de componentes, apenas os modos de
avaria individuais de cada elemento. Por isso, verificou-se que alguns dos componentes
considerados crticos nesta anlise no so to crticos para o sistema como seria esperado,
visto existirem componentes em redundncia ou falhas que dependem de outros eventos.
Estas situaes s foram detectadas atravs da anlise por rvore de Falhas. Concluiu-se que
o uso conjunto destas ferramentas resultou numa mais-valia porque uma ferramenta
beneficia-se com a utilizao da outra.
Embora a realizao deste trabalho tenha sido feita unicamente de forma qualitativa e
com base no conhecimento do funcionamento do sistema, por no estar disponvel o histrico
de avarias de alguns dos seus componentes, julga-se que, mesmo assim, se obtiveram
resultados bastante aceitveis.
A partir destas anlises, pde-se assim determinar qual era o elemento mais crtico do
sistema - o Ar Condicionado. Atendendo importncia que os subsistemas Grupo Gerador e
UPS tm, apesar de no possurem um nvel de criticalidade to elevado como o elemento
supracitado, devem ser tambm considerado elementos muito crticos do sistema.
Detectados os elementos mais crticos do sistema e, com base no conhecimento que foi
sendo adquirido ao longo da elaborao deste trabalho, foi proposto um conjunto de medidas
de reduo do risco que se considera adequado, tendo em conta as caractersticas do Sistema
de Alimentao de Emergncia do Centro de Informtica.
Espera-se que a implementao de algumas destas medidas origine uma diminuio da
ocorrncia de alguns dos modos de avaria considerados mais crticos, melhorando assim o
desempenho e disponibilidade do sistema.
56
57
Referncias
[1] IEEE Recommended Practice for Emergency and Standby Power Systems for Industrial
and Commercial Applications.
[2] Grupo gerador: Manual tcnico de operao e manuteno, Dezembro 2002.
[3] Clifton A. Ericson. (2005) Hazard analysis techniques for system safety. Edio de
John Wiley and Sons
[4] Quality Associates International, http://www.quality-one.com/services/fmea.php.
Acesso em Maio de 2009.
[5] SGS, http://www.sgs.com/qs_9000-2?serviceId=13425&lobId=24178. Acesso em Maio
de 2009.
[6] Society of Automotive Engineers,
http://www.sae.org/technical/standards/J1739_200901. Acesso em Maio de 2009.
[7] FMEA Info Center, http://www.fmeainfocentre.com/standards.htm. Acesso em Maio
de 2009.
[8] IEC 60812: 1985, Analysis techniques for system reliability - Procedure for failure
mode and effects analysis (FMEA).
[9] Clifton A. Ericson, Fault Tree Analysis A History, 1999. Disponvel em
http://www.fault-tree.net/papers/ericson-fta-history.pdf
[10] NASA. Fault Tree Handbook with Aerospace Applications, NASA Office of Safety and
Mission Assurance, Washington DC, 2002
[11] IEC 61025: 2006, Fault Tree Analysis (FTA)
58
59
Anexo A
Esquema elctrico do Quadro Geral de

Baixa Tenso
60
61
Anexo B
Esquema elctrico do Quadro de

Transferncia de Cargas
62
63
Anexo C
Esquema elctrico do Quadro de

Emergncia
64
65
Anexo D
Esquema elctrico do Quadro Geral das

UPS
66
67
Anexo E
Tabelas da FMEA
Posto de Transformao
Modo(s) de Comentrios e
Componente Funo Causa(s) Efeito(s) S O RPN
Avaria Solues
Sobretenso - Descarga Potencial perda

Actuao de
(tenso atmosfrica da tenso do 3 2 6
proteces
superior a Un) -Sobreintensidades transformador 1
Subtenso - Problema de Potencial perda

(tenso inferior isolamento da tenso do 3 2 6
a U n) - Curto-circuito transformador 1
Transformador
Fornecer tenso
1 - Problema de
isolamento
O transformador
- Curto-circuito
Sem tenso no fornece 3 2 6
- Interrupo da
tenso
alimentao da
Mdia Tenso (MT)
Potencial perda
Actuao de
Aquecimento - Sobrecargas da tenso do 3 1 3
proteces
transformador 1
Sobretenso - Descarga Potencial perda

Actuao de
(tenso atmosfrica da tenso do 2 2 4
proteces
superior a Un) -Sobreintensidades transformador 2
Subtenso - Problema de Potencial perda

(tenso inferior isolamento da tenso do 2 2 4 O transformador 2
a U n) - Curto-circuito transformador 2 s utilizado na
Transformador alimentao das
Fornecer tenso
2 - Problema de salas de
isolamento servidores quando
O transformador
- Curto-circuito h avaria no
Sem tenso no fornece 2 2 4
- Interrupo da transformador 1.
tenso
alimentao da A comutao
Mdia Tenso (MT) entre
transformadores
Potencial perda feita atravs do
Aquecimento - Sobrecargas da tenso do 2 1 2 Interbarras
transformador 2
68
Quadro Geral de Baixa Tenso (QGBT)

3 1 3 Por defeito o
interbarras est
No possvel aberto mas, em
- Avaria interna
colocar os caso de avaria do
Ao fechar (mecnica) do
transformadores transformador 1,
disjuntor
em paralelo o transformador 2
no pode fornecer
tenso ao sistema
Colocar em Duplicao das 2 1 2
paralelo os correntes e Caso ambos os
Interbarras - Avaria interna
transformadores curto-circuito e transformadores
Ao abrir (mecnica) do
1e2 consequente estiverem
disjuntor
aumento das operacionais
perdas
- Avaria interna do Em caso de avaria
disjuntor O interbarras do transformador
- Causas humanas fechado mas no 1, o
No operao 3 1 3
- Abertura h conduo da transformador 2
intempestiva do corrente no fornece
disjuntor tenso ao sistema
- Falha no sensor
de corrente A tenso do
Abre
- Falha interna do transformador 1 3 1 3
indevidamente
Aparelho de disjuntor cortada
corte e - Causas humanas
proteco que - Contactos
Disjuntor (T1)
actua em colados
situao de No abre na - Falha no sensor Potencial corte
defeito ocorrncia de de corrente da tenso do 2 1 2
um defeito - Problema no transformador 1
mecanismo de
abertura
- Falha no sensor
de corrente A tenso do
Abre
- Falha interna do transformador 2 2 1 2
indevidamente
corte e - Causas humanas
proteco que - Contactos
Disjuntor (T2)
actua em colados
situao de No abre na - Falha no sensor Potencial corte
defeito ocorrncia de de corrente da tenso do 2 1 2
um defeito - Problema no transformador 2
mecanismo de
abertura
- Falha no sensor
de corrente A tenso dos dois
Abre Ao ser detectada
- Falha interna do transformadores 3 1 3
indevidamente falha de tenso
- Causas humanas dos
Disjuntor do corte e
transformadores,
Quadro de proteco que - Contactos h comutao
Transferncia actua em colados para o gerador no
de Cargas situao de No abre na - Falha no sensor Potencial corte quadro de
defeito ocorrncia de de corrente da tenso dos 3 1 3 transferncia de
um defeito - Problema no transformadores cargas
mecanismo de
abertura
69
Grupo Gerador
Componente Funo Modo(s) de Avaria Causa(s) Efeito(s) S O RPN Comentrios e Solues
- Falta de
combustvel
- Obstruo do
radiador
- Boto de
O Grupo
paragem de
No arranca Gerador no 3 3 9
emergncia
arranca
premido
- Interruptor de
controlo ligado
- Obstruo do
filtro de ar
- Motor
sobrecarregado Redundncia do gerador
- Sobrevelocidade
- Temperatura do
motor demasiado
elevada
- Presso do leo Potencial
Arranque do Arranca mas pra
Motor demasiado baixa paragem do 3 3 9
gerador intempestivamente
- Sobretenso ou gerador
subtenso
- Nvel do lquido
de refrigerao
demasiado baixo
- Combustvel
inadequado
- Motor
sobrecarregado
- Temperatura do
lquido de
refrigerao
Potencial
demasiado
Sobreaquecimento paragem do 2 2 4
elevada
gerador
- Presso do leo
demasiado
elevada
- Obstruo do
radiador
- Defeito dos
dodos
- Curto-circuito
no induzido
No
- Defeito do
produzida
Sem tenso regulador 3 1 3
energia
- Problema na
elctrica
ligao de
referncia de
tenso ao
regulador
Produzir - Actuao da
Alternador energia proteco interna
elctrica - Curto-circuito Potencial
- Sobrecarga falha na
Falha sbita de
- Regulador produo de 3 1 3
tenso
avariado energia
- Defeito no elctrica
induzido
- Indutor cortado
Potencial
falha na
- Defeito do
Sobretenso produo de 3 1 3 Actuao das proteces
regulador
energia
elctrica
70
Temperatura do
Potencial
lquido de - Defeito do
paragem do 2 1 2 Sobreaquecimento do motor
refrigerao muito termstato
Manter a motor
elevada
temperatura
- Defeito do
Sistema de do motor
termstato
refrigerao dentro de Temperatura do
- Fuga do lquido Potencial
limites lquido de
de refrigerao paragem do 2 1 2
aceitveis refrigerao muito
- Nvel do lquido motor
baixa
de refrigerao
baixo
- Falha do
sistema de carga
da bateria
Alimentao - Bateria no fim Apesar de haver controlo
Painel de
do painel de Subtenso / sem de vida dirio da tenso da bateria
Bateria Controlo no 3 3 9
controlo tenso - Bateria recomenda-se ligao
alimentado
(autmato) sulfatada gesto tcnica centralizada
- Ligaes
incorrectas ou
danificadas
- Falha no sensor
de corrente Corte da
Abre
- Erro de alimentao 3 1 3
indevidamente
operao do alternador
Proteger o
- Causas humanas
alternador de
Disjuntor de - Contactos
sobrecargas e
sada colados
curto- Potencial
circuitos - Falha no sensor
No abre quando corte da
de corrente 2 1 2
ocorre um defeito alimentao
- Problema no
do alternador
mecanismo de
abertura
Quadro de Controlo
Monitorizao
O grupo
Painel de e controlo do - No
No controla gerador no 3 2 6 Falha da bateria
controlo grupo alimentado
arranca
gerador
Sobretenso - Descarga
Evitar a (tenso superior a atmosfrica
perturbao U n) Sobreintensidades
do painel de
controlo,
- Problema de O painel de
pela Subtenso (tenso
isolamento controlo no
Transformador distoro inferior a Un)
- Curto-circuito recebe a
de Isolamento harmnica 3 2 6
- Problema de informao
(TI) introduzida
isolamento adequada da
pelo envio de
- Curto-circuito rede
telecomandos
pela EDP Sem tenso - Interrupo da
atravs da alimentao da
mdia tenso Mdia Tenso
(MT)
Aquecimento - Sobrecargas
- Falha no sensor Corte da

de corrente alimentao
Abre
- Falha interna do do 3 1 3
indevidamente
Aparelho de disjuntor transformador
corte e - Causas humanas de isolamento
proteco
Disjuntor (TI)
que actua em - Contactos
Potencial
situao de colados
corte da
defeito No abre na - Falha no sensor
alimentao
ocorrncia de um de corrente 2 1 2
do
defeito - Problema no
transformador
mecanismo de
de isolamento
abertura
71
Quadro de Transferncia de Cargas
Modo(s) de
Componente Funo Causa(s) Efeito(s) S O RPN Comentrios e Solues
Avaria
Impedir a ligao Actuao das proteces

A rede e o
simultnea dos Contactos do - Falha dos - no h energia da
Encravamento gerador
contactores de encravamento componentes 4 1 4 rede nem do gerador, as
mecnico ficam ligados
rede e colados mecnicos salas de servidores so
em paralelo
emergncia alimentados pelas UPS
No h
proteco
Impedir o
contra
aparecimento
Interruptor Abre eventuais
intempestivo de - Causas humanas 2 1 2
QTC indevidamente tenses
tenso a partir do
intempestivas
grupo gerador
do grupo
gerador
Contactor da Rede
- Aquecimento
excessivo
- Corte de fios na
Produzir campo No h
bobina
magntico que comutao Actuao do fusvel de
Bobina Curto-circuito - Sobrecargas 3 2 6
atrai o ncleo do rede-grupo proteco da rede
- Falha nos
contactor gerador
terminais devido a
vibrao do
circuito
- Aquecimento O contacto
Mecanicamente excessivo
no consegue
em aberto - Desgaste
Fecho/abertura fechar
Contactos prematuro 3 2 6
do circuito
- Presso fraca
O contacto
Mecanicamente - Contactos
colados no consegue
fechado
abrir
Sobreaquecimento
Dispositivo de A bobina do
- Queima
corte e proteco Falha em contactor de
Fusvel (Rede) intempestiva do 3 2 6
contra aberto rede no
elemento fusvel
sobreintensidades ligada
(sobreintensidade)
Contactor do Gerador
- Aquecimento
excessivo
- Corte de fios na
Produzir campo No h
bobina
magntico que comutao Actuao do fusvel de
Bobina Curto-circuito - Sobrecargas 3 2 6
atrai o ncleo do rede-grupo proteco do gerador
- Falha nos
contactor gerador
terminais devido a
vibrao do
circuito
- Aquecimento O contacto
Mecanicamente excessivo
no consegue
em aberto - Desgaste
Fecho/abertura fechar
Contactos prematuro 3 2 6
do circuito
- Presso fraca
O contacto
Mecanicamente - Contactos
colados no consegue
fechado
abrir
-
Dispositivo de Sobreaquecimento A bobina do
Fusvel corte e proteco Falha em - Queima contactor de
3 2 6
(Gerador) contra aberto intempestiva do rede no
sobreintensidades elemento fusvel ligada
(sobreintensidade)
72
Resistncia de aquecimento
- Mau contacto
- Falta de
Falha no
alimentao
Em aberto grupo 2 2 4 Actuao das proteces
- Curto-circuito
gerador
Tornar mais - Falha nas
Resistncia rpido o arranque conexes
do grupo gerador
- Mau contacto
- Baixa de Falha no
Fuga de
isolamento grupo 2 2 4 Actuao das proteces
corrente
- Falha nas gerador
conexes
Sobreaquecimento
Dispositivo de
- Queima Falha no
Fusvel corte e proteco Falha em
intempestiva do grupo 2 2 4
(Resistncia) contra aberto
elemento fusvel gerador
sobreintensidades
(sobreintensidade)
Quadro de Emergncia
Avaria Solues
- Falha no sensor de
Aparelho corrente
Abre UPS 1 no As UPS tm
de corte - Falha interna do 4 1 4
indevidamente alimentada redundncia 2 em
e disjuntor
- Causas humanas 3, pelo que a falha
proteco
Disjuntor da UPS 1 s ser
que actua - Contactos colados
(UPS1) crtica se a UPS 2
em - Falha no sensor de
No abre na Potencial falha de ou a UPS 3
situao corrente
ocorrncia de alimentao da UPS 3 1 3 tambm estiver
de - Problema no
um defeito 1 avariada
defeito mecanismo de
abertura
Aparelho corrente
e disjuntor
proteco
situao corrente
de - Problema no
abertura
Aparelho corrente
e disjuntor
proteco
situao corrente
de - Problema no
abertura
corrente
Aparelho Abre O ar condicionado
- Falha interna do 4 1 4
de corte indevidamente no alimentado
disjuntor
e - Causas humanas Potencial
proteco
Disjuntor (Ar sobreaquecimento
condicionado) das salas de
No abre na Potencial falha de servidores
situao corrente
de ocorrncia de alimentao do ar 3 1 3
- Problema no
defeito um defeito condicionado
mecanismo de
abertura
73
Ar Condicionado
Avaria Solues
Potencial
Sobreaquecimento
Temperatura inoperacionalidade
- Falha de ventilao 2 5 10 das salas de
no regulada da estrutura das
- Falha do condensador servidores
redes
- Filtro obstrudo
- Falha de alimentao
de gua para o
humidificador
Controlo da - Falha do sensor de
temperatura caudal de ar
Ar-
e humidade - Falha do sensor de
condicionado
das salas de temperatura e
servidores humidade
- Temperatura da gua
fria elevada
- Baixa presso do
compressor
- Alta presso do Potencial
Humidade compressor inoperacionalidade Actuao de
3 5 15
excessiva - No alimentado da estrutura das proteces
redes
UPS
Avaria Solues
Em caso de falha
- Sobrecarga de rede a UPS pode
Tempo de
- Bateria em descarga no conseguir
autonomia 3 2 6
- Bateria no fim de garantir a
reduzido
vida autonomia do
sistema
UPS fora do
circuito, em caso
Tempo de de falha de rede a
Deslastragem de
Fornecer autonomia - Sobrecarga UPS pode no 3 2 6
cargas
alimentao nulo conseguir garantir
s cargas no a autonomia do
UPS 1 caso de sistema
falha da Pode resultar em
Distoro da - Falha do
rede de danificao de
tenso de rectificador 3 3 9
alimentao componentes do
sada - Falha do inversor
sistema
- Bateria em descarga
- Bateria no fim de
vida
Cargas no podem
- Curto-circuito
Sem tenso ser alimentadas 3 3 9
- No tem tenso de
pela UPS
entrada
- Rectificador em
aberto
74
Em caso de falha
Tempo de
autonomia 3 2 6
reduzido
vida autonomia do
sistema
UPS fora do
circuito, em caso
Deslastragem de
cargas
Distoro da - Falha do
rede de danificao de
tenso de rectificador 3 3 9
alimentao componentes do
sistema
- Bateria no fim de
vida
Cargas no podem
- Curto-circuito
- No tem tenso de
pela UPS
entrada
- Rectificador em
aberto
Em caso de falha
Tempo de
autonomia 3 2 6
reduzido
vida autonomia do
sistema
UPS fora do
circuito, em caso
Deslastragem de
cargas
rede de Distoro da - Falha do
danificao de
alimentao tenso de rectificador 3 3 9
componentes do
sistema
- Bateria no fim de
vida
Cargas no podem
- Curto-circuito
- No tem tenso de
pela UPS
entrada
- Rectificador em
aberto
Quadro das UPS
Avaria Solues
corrente O Quadro da Sala de
Aparelho Abre
- Falha interna do Servidores A no 4 1 4
Disjuntor de corte e indevidamente
disjuntor recebe tenso
(Quadro da proteco
- Causas humanas
Sala de que actua
Servidores em - Contactos colados
A) situao No abre na - Falha no sensor de Potencial falha de
de defeito ocorrncia de corrente tenso no Quadro da 4 1 4
um defeito - Problema no Sala de Servidores A
mecanismo de abertura
75
Aparelho Abre
- Falha interna do Servidores B no 5 1 5
(Quadro da proteco
- Causas humanas
Sala de que actua
- Contactos colados
Servidores em
No abre na - Falha no sensor de Potencial falha de
B) situao
ocorrncia de corrente tenso no Quadro da 5 1 5
de defeito
um defeito - Problema no Sala de Servidores B
Aparelho Abre
- Falha interna do Servidores C no 4 1 4
(Quadro da proteco
- Causas humanas
Sala de que actua
- Contactos colados
Servidores em
No abre na - Falha no sensor de Potencial falha de
C) situao
ocorrncia de corrente tenso no Quadro da 4 1 4
de defeito
um defeito - Problema no Sala de Servidores C
Quadro da Sala de Servidores A
Avaria Solues
corrente
Abre Estrutura da rede
Aparelho indevidamente inoperacional
disjuntor
de corte e - Causas humanas
proteco
Disjuntor
Servidores A
situao No abre na Potencial
corrente
de defeito ocorrncia de inoperacionalidade 5 1 5
- Problema no
um defeito da estrutura de rede
mecanismo de
abertura
Quadro da Sala de Servidores B
Avaria Solues
corrente
Aparelho - Falha interna do 4 1 4
indevidamente inoperacional
de corte e disjuntor
proteco - Causas humanas
Disjuntor
Servidores B
No abre na Potencial
situao corrente
ocorrncia de inoperacionalidade da 4 1 4
de defeito - Problema no
um defeito estrutura de rede
mecanismo de
abertura
76
Quadro da Sala de Servidores C
Modo(s) de
Componente Funo Causa(s) Efeito(s) S O RPN Comentrios
Avaria
corrente
Aparelho indevidamente inoperacional
disjuntor
de corte e - Causas humanas
proteco
Disjuntor
Servidores C
situao No abre na Potencial
corrente
de defeito ocorrncia de inoperacionalidade 4 1 4
- Problema no
um defeito da estrutura de rede
mecanismo de
abertura

(MIEEC) Relatorio Luisa Matos v1

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

(MIEEC) Relatorio Luisa Matos v1

Enviado por

Direitos autorais:

Formatos disponíveis

Faculdade de Engenharia da Universidade do Porto

Anlise de Fiabilidade de um Sistema de

Maria Lusa Soares de Azevedo Vaz Matos

Dissertao realizada no mbito do

Orientador: Prof. Dr. Paulo Jos Lopes Machado Portugal

Esta dissertao pretende analisar a fiabilidade do Sistema de Alimentao de Emergncia

Resumo ............................................................................................ iii

Agradecimentos .................................................................................. vii

Lista de figuras ................................................................................... xi

Lista de tabelas ................................................................................. xiii

Abreviaturas e Smbolos ........................................................................ xv

Figura 2.1 Representao esquemtica do Sistema de Alimentao de Emergncia ............4

Figura 2.2 Transformadores 1 e 2 do Posto de Transformao ......................................6

Figura 2.3 - Quadro Geral de Baixa Tenso ...............................................................6

Figura 2.4 - Disjuntor de proteco do transformador (a) e Interbarras (b) ........................7

Figura 2.5 Grupo Gerador ..................................................................................7

Figura 2.6 Constituio do Grupo Gerador ..............................................................8

Figura 2.7 - Interior do Quadro de Transferncia de Cargas ...........................................9

Figura 2.8 - Quadro de Transferncia de Cargas e Transformador de Isolamento ............... 10

Figura 2.9 - Quadro de Emergncia ....................................................................... 10

Figura 2.10 Exemplo de uma UPS ....................................................................... 11

Figura 2.11 - Quadro das UPS .............................................................................. 12

Figura 2.12 - Exemplo de Quadro da Sala de Servidores .............................................. 13

Figura 3.1 - Fluxograma da anlise da FME(C)A ........................................................ 21

Figura 3.2 - Diagrama do processo de desenvolvimento da rvore de Falhas ..................... 22

Figura 4.1 - Hierarquia do Subsistema Posto de Transformao .................................... 31

Figura 4.2 - Hierarquia do Subsistema Grupo Gerador ................................................ 33

Figura 4.3 - Hierarquia do Subsistema Quadro de Transferncia de Cargas ....................... 34

Figura 4.4 - Hierarquia do Subsistema Quadro de Emergncia ...................................... 35

Figura 4.5 - Hierarquia do Subsistema UPS .............................................................. 37

Figura 4.6 - Hierarquia do Subsistema Quadro das UPS ............................................... 38

Figura 5.1 - rvore de Falhas das Salas de Servidores A, B e C ...................................... 42

Figura 5.2 - rvore de Falhas do Ar Condicionado ..................................................... 43

Figura 5.4 - rvore de Falhas do Quadro de Transferncia de Cargas ............................. 45

Figura 5.5 - rvore de Falhas do Contactor do Gerador .............................................. 46

Figura 5.6 - rvore de Falhas do Contactor da Rede .................................................. 46

Figura 5.7 - rvore de Falhas do Grupo Gerador ....................................................... 47

Figura 5.8 - rvore de Falhas do Motor .................................................................. 48

Figura 5.9 - rvore de Falhas do Painel de Controlo .................................................. 48

Figura 5.10 - rvore de Falhas do Posto de Transformao .......................................... 49

Figura 5.11 - rvore de Falhas do Quadro Geral de Baixa Tenso .................................. 50

Figura 5.12 - rvore de Falhas do Transformador 1 ................................................... 50

Tabela 3.1 - Exemplo de classificao do ndice de severidade (S) ................................ 18

Tabela 3.2 - Exemplo de classificao do ndice de ocorrncia (O) ................................ 19

Tabela 3.3 - Exemplo de uma matriz de risco .......................................................... 19

Tabela 3.4 - Exemplo de formulrio da FMEA .......................................................... 20

Tabela 3.5 Eventos bsicos de uma rvore de Falhas ............................................... 24

Tabela 3.6 Portas lgicas de uma rvore de Falhas ................................................. 25

Tabela 3.7 Smbolo de transferncia de uma rvore de Falhas ................................... 26

Tabela 4.1 - Classificao da Severidade (S) ............................................................ 29

Tabela 4.2 - Classificao da Ocorrncia (O) ........................................................... 29

Tabela 4.3 - Matriz de Risco ............................................................................... 30

Tabela 4.4 - Classificao do Nmero de Prioridade do Risco ....................................... 30

Tabela 4.5 - Extracto da FMEA do Transformador ..................................................... 31

Tabela 4.6 - Extracto da FMEA do Quadro Geral de Baixa Tenso .................................. 32

Tabela 4.7 - Extracto da FMEA do Grupo Gerador ..................................................... 33

Tabela 4.8 - Extracto da FMEA do Quadro de Transferncia de Cargas ............................ 34

Tabela 4.9 - Extracto da FMEA do Contactor de Rede do Quadro de Transferncia de

Tabela 4.10 - Extracto da FMEA do Quadro de Emergncia .......................................... 36

Tabela 4.11 - FMEA do Ar Condicionado ................................................................. 37

Tabela 4.12 - FMEA do Subsistema UPS .................................................................. 38

Tabela 4.13 - Extracto da FMEA do Subsistema Quadro das UPS .................................... 39

ALARP As Low As Reasonably Practicable