Analise Da Confiabilidade Dos Sistemas Ativos de Injeção de Segurança de Angra I

ANALISE DA CONFIABILIDADE DOS SISTEMAS ATIVOS
DE INJEÇÃO DE SEGURANÇA DE ANGRA I
PAUÜO FERNANDO FERREIRA FRUTUOSO E MELD
TESE SUBMETIDA AO CORPO DOCENTE DA COORDENAÇÃO DOS PROGRA

MAS DE PÓS-GRADUAÇÃO DE ENGENHARIA DA UNIVERSIDADE FEDERAL
DO RIO DE JANEIRO COMO PARTE DOS REQUISITOS NECESSÁRIOS PA
RA A OBTENÇÃO DO GRAU DE MESTRE EM CIÊNCIAS (M.Sc.)
APROVADA POR :
/ L UUIZ ALBERTO ILHA ARRIETA
.LUIZ FERNANDtrSEÍXAS DE OLIVEIRA
LUIS LEDERMAN^
RIO DE JANEIRO,RJ - BRASIL

JANEIRO - 1981
I
I
11
I
FRUTUOSO E MELO, PAULO F. F. •
Análise da Confiabilidade dos sistemas de |

injeção de baixa e alta pressão da usina de
Angra I |Rio de Janeiro|1981. •
XI, 180 p . 29,7on ( COPPE - UFRJ, I

M.Sc, Engenharia Nuclear, 1981).
Tese - Univ. Fed. Rio de Janeiro, Fac. I

Engenharia.
1
1. Análise de Acidentes I. COPPE/UFRJ
II. Título (série)
I
I
I
I
I
I
I
I
1
I 11
I
I
I
I
I
I
I
I
1
I Quero dedicar este trabalho ã memo
ria de meu amigo e companheiro JOSÉ*
CONCEPCIÕN DIAZ SAYAVERDE ("Pepito").
I Quero dedicá-lo também a meu tio,
I Er. ANT5NI0 REBELO FRUTUOSO E MELO.
I
I
I
I
I
1
1
I
I AGRADECIMENTOS
I
I MEUS SINCEROS AGRADECIMENTOS AS PESSOAS E INSTITUIÇÕES
ABAIXO PELA IMPRESCINDÍVEL COLABORAÇÃO:
I - DR. LUIZ ALBERTO ILHA ARRIETA (CNEN)
I -
-
DR. LUIZ FERNANDO DE OLIVEIRA (COPPE)
DR. DALY ESTEVES DA SILVA (CNEN)
- DR. JOSÉ MENDONÇA DE LIMA (CNEN)
I -
-
DR. FERNANDO DE MENDONÇA (CNEN)
JOSE ROBERTO COSTA (CNEN)
I -
-
CLÁUDIO TERCIO MUNHOZ DE CAMARGO (CNEN)
EUSTÉRIO BENITZ FURIERI (CNEN)
I -
-
lio DE SOUZA GOUVEIA (CNEN)
JAILTON DA COSTA FERREIRA (CNEN)
I -
-
ANNETTE T. BLOISE (CNEN)
CENTRO DE INFORMAÇÕES NUCLEARES (CNEN)
I -
-
DR. P. KAFKA (GRS-GARCHING)
DR. JERRY FUSSEL (UNIV. TENNESSEE)
- DR. WILLIAM VESELY (NRC)
I " CLOTILDE MOREIRA PlNA DOS SANTOS
- COLEGAS DE TURMA (COPPE).
I Ao DR. Luis LEDERMAN, DIRETOR DO DEPARTAMENTO DE
I REATORES DA COMISSÃO NACIONAL DE ENERGIA NUCLEAR, AGRADEÇO A OPOR
TUNIDADE DE UTILIZAR AS INSTALAÇÕES DESSE DEPARTAMENTO E TAMBÉM
! POR ME HAVER HONRADO COM SUA PRESENÇA EM MINHA BANCA DE TESE.
E, AO DR. JUAN BAUTISTA S O T O HESLES, MEU ORIENTADOR,

I AGRADEÇO POR ME HAVER PERMITIDO FAZER TESE NESTE TEMA E TAMBÉM
PELO INCENTIVO CONSTANTE.
i
I
I
IV
I
I
RESUMO
l
I
I
AUUR >ot ^^confiabilidade dos sistemas de refrigeração de eme_r •
gência
g do núcleo, de baixa e alta pressão,
p da central nuclear de An
gra I.c avaliada^ Píira tnntçu/a metodologia de arvores de falhas, s. •
utilizada» .-----
v Especificamonto ^ ^lculou-se a indisponibil idade dos •

sistemas citados anteriormente, fazendo-se em seguida um estudo de _
sensibilidade paramétrica, tendo em vista o espalhamento existente nos |
dados de falha e reparo dos equipamentos componentes desses sistemas.
Obteve-se os cortes mínimos e fez-se um estudo de importância de con I
fiabilidade, sendo que para esta última etapa foi desenvolvido um pro
grama de computador. I
0 traballiü 5 4ittseaáeTna metodologia e nos dados utili •

zados no "Reactor
or Safety Study" (WASH-1400), onde a confi
confiabilidade dos •
sistemas de segurança de uma usina FWR típica ê calculada
•
Os valores calculados para a indisponibilidade desses
dois sistemas foram muito baixos, o que mostra que na grande maioria I
dos casos esses sistemas estarão disponíveis para mitigar os efeitos
de um acidente de perda de refrigerante (LOCA). / I
I
I
I
I
i
1
I
ABSTRACT I
I
The reliability of the active emergency core cooling
I
systems of Angra I Nuclear power plant is evaluated.
fault tree analysis is employed. I
Mo-re specifically, we-4
bility of the above cited systems,'
ili.ul.itwd -tfee unavaila-
a parametric sensitivity
I
analysis has been performed, due to the existing scattering in the
failure and repair rate data of these system's components. The minimal
I
cut sets were determined and, as a final step, a reliability importance
analysis has been performed. This final step has required the deve-
I
lopment of a computer program^
I
JHns resoarch is based on the, methodology and data from
the "Reactor Safety Study" (WASH-1400)(/'whé*e"the reliability of safety I
systems of a tipical PWR plant is calculated)
^— The unavailability values for the safety systems

I
analysed are too low, thus showing that in most cases the systems
analysed are available to mitigate the effects of a loss-of-coolant
I
accident.
I
I
I
I
I
1
VI
I
LISTA DE FIGURAS I
PAG. . I
FIG. ( n-i) A ESTRUTURA SERIE 9 *
FIG. ( i1-2) A ESTRUTURA EM PARALELO 9 I
FIG. ( II~3) EXEMPLO DE COMPONENTE IRRELEVANTE 10
FIG. ( I1-4) EXEMPLO DE OBTENÇÃO DE CAMINHOS E CORTES MÍNIMOS 12 |
FIG. ( 11-5) SÍMBOLOS LÓGICOS 18 -
FIG. C 11-6) SÍMBOLOS DE EVENTOS 19/20 •
FIG. ( II-7) ILUSTRAÇÃO DO ALGORÍTIMO DE VESELY-FUSSELL 27 •
FIG. (Ill-l) ESQUEMA DO SREN 45 [
FIG. (III-2) ESQUEMA DO LPIS 46 j |
FIG. (III-3) ESQUEMA DO HPIS 50/52 -
FIG. ( iv-i) ANALISE DE SENSIBILIDADE PARAMÊTRICA 65 •
FIG. ( IV-2) ANALISE DE SENSIBILIDADE A SER EFETUADA 66 •
FIG. ( v-i) FUNÇÃO DE ESTRUTURA PARA A UTILIZAÇÃO DO CÓDIGO
SAMPLE NO CASO DO LPIS ' 73 I
81
FIG. ( V-2) FUNÇÃO BOOLEANA DO LPIS
FIG. ( V-3) FUNÇÃO DE ESTRUTURA PARA A UTILIZAÇÃO DO CÓDIGO I
SAMPLE NO CASO DO HPIS ' 89
FIG. ( V-4) FUNÇÃO BOOLEANA PARA O HPIS 98 I
FIG. ( c-i) FLUXOGRAMA DO PROGRAMA "BIRNBAUM" 112/119 •
FIG. ( C-2) LISTAGEM DO PROGRAMA "BIRNBAUM" 120/124
FIG. ( C-3) COMANDOS DE JCL UTILIZADOS NAS RODADAS DO PROGRA. I
MA "BIRNBAUM" 126 "
I
I
Vil I
LISTA D E TABELAS |
PAG. a
TAB. (m-i) CARACTERÍSTICAS PRINCIPAIS DAS BOMBAS DE REMOÇÃO
DE CALOR RESIDUAL 49
TAB. (111-2) PARÂMETROS DE PROJETO DOS PRINCIPAIS COMPONENTES
DO HPIS 55 11
69
TAB. ( v-i) FUNÇÕES DE ALGUNS COMPONENTES DO RHRS
TAB. ( v-2) RESULTADOS DOS CÁLCULOS DA INDISPONIBILIDADE DO I
LPIS 74
TAB. C V-3) COMPARAÇÃO DOS RESULTADOS DOS CÁLCULOS DA INDIS I
PONIBILIDADE RELATIVOS AO LPIS 76
TAB. ( v-4) DISTRIBUIÇÃO DE FREQÜÊNCIA PARA O LPIS 77/78 •
TAB. ( v-5) RESULTADOS DA ANÁLISE DE SENSIBILIDADE PARA O LPIS 79 •
TAB. ( v-6) NÚMERO DE CORTES MÍNIMOS PARA ÁRVORE DE FALHAS
DO LPIS so |
TAB. ( v-7) RESULTADOS DE IMPORTÂNCIA DE CONFIABILIDADE PARA
O LPIS 84 I
TAB. ( v-9) RESULTADOS DOS CÁLCULOS DA INDISPONIBILIDADE DO
HPIS 90 |
TAB. ( v-8) COMPARAÇÃO DOS RESULTADOS DOS CÁLCULOS DE INDIS
PONIBILIDADE RELATIVOS AO HPIS 88 I
TAB. ( v-io) DISTRIBUIÇÃO DE FREQÜÊNCIA PARA A INDISPONIBILIDA
DE DO HPIS 92 |
TAB. ( v-11) RESULTADOS DA ANALISE DE SENSIBILIDADE PARA o M S 94
TAB. < v-12) NUMERO DE CORTES MÍNIMOS PARA A ARVORE DO HPIS 97 •
TAB. ( v-13) RESULTADOS DOS CÁLCULOS DE IMPORTÂNCIA DE CONFIA.
BILIDADE PARA O HPIS 100
I
TAB. ( c-i ) ESPECIFICAÇÃO DE GASTO DE TEMPO DE CPU PARA O CA
so DO LPIS 125 I
TAB. ( c- 2) DESCRIÇÃO DAS VARIÁVEIS DE ENTRADA DO PROGRAM 125 •
I
TAB. ( F-i) DADOS DE ENTRADA PARA O LPIS iss •
TAB. ( F-2) DADOS DE ENTRADA PARA O HPIS 164 l
1
Vlll
I
I
ÍNDICE
I
PAG
I- INTRODUÇÃO 1
I
1-1) Objetivos 1
3
I
1-2) Revisão Bibliográfica
1-2.1) Parte Teórica 3 I
1-2.2) Parte Computacional 6
I
II- TEORIA DE CONFIABILIDADE
II-l) Conceitos 8
I
II-l.1) Sistema de Componentes 8 I
11
II-l.2) Estruturas Coerentes
II-l.3) Representação de Sistemas Coerentes em
I
11
Termos de Caminhos e Cortes
II-l.4) Confiabilidade de Sistemas de Componen
I
tes Independentes
II-l.5) Importância de Confiabilidade
12
13
I
II-2) Conceito de Análise por Arvores de Falhas .... 15 I
II-3) Terminologia e Simbologia de Arvores de Fa-
lhas 16 I
II-4) Redução Booleana de Arvores de Falhas 20
II-5) Avaliação Probabilística de Arvores de Fa I
lhas 21
II-5.1) Introdução 21 I
II-5.2) Representação por Cortes Mínimos ou Ca
minhos Mínimos 22
I
1
IX
1
I
PAG .
II-5.3) Probabilidade de Ocorrência do Evento *
Principal 22 ( _
II-5.4) Eventos Associados 25 |
i m
II-5.5) Algoritmo de Vesely-Fussell 26 \ •
II-5.6) Indisponibilidade de um Sistema 29
I
II-6) Procedimento Geral da Análise por Arvores de
Falhas 30 -
II-6.1) Definição do Sistema 31
II-6.2) Construção da Arvore de Falhas 32 •
II-6.3) Avaliação Qualitativa 35
II-6.4) Avaliação Quantitativa 35 |
II-7) Utilização da Análise por Arvores de Falhas ... 37
I
III. 0 SISTEMA DE REFRIGERAÇÃO DE EMERGÊNCIA DO NÚCLEO
III-l) 0 Acidente de Perda de Refrigerante 40
III-2) Uma Visão Geral do Sistema de Refrigeração de I
Emergência do Núcleo 44
III-3) 0 Sistema de Injeção de Refrigerante de Emer I
gência a Baixa Pressão 44
III-4) 0 Sistema de Injeção de Refrigerante de Emer_ gj
gência a Alta Pressão 49
III-5) Operação do SREN após a Ocorrência de um |
LOCA 56
III-6) Observação sobre Instrumentação e Controle .... 58 |
IV. MODELOS DE ANÁLISE UTILIZADOS |

IV-1) Assimilação da Metodologia 59
IV-2) Construção das Arvores de Falhas 61 •
I
PAG
IV-2.1) Caso do LPIS 61
W-2.2) Caso do HPIS 62
IV-3) Utilização do Programa SAMPLE 63

IV-3.1) Obtenção de Dados 63
IV-3.2) Cálculos de Indisponibilidade 63
IV-3.3) Análise de Sensibilidade 64
IV-4) Obtenção dos Cortes Mínimos 66

IV-5) Cálculos de Importância de Confiabilidade 67
IV-6) Observações relativas ao Cálculo da Indisponibi^
lidade 67
V. APRESENTAÇÃO E INTERPRETAÇÃO DOS RESULTADOS

V-l) Resultados para o LPIS 68
V-l.l) Arvore de Falhas para o LPIS 68
V-l.2) Dados de Entrada 72

V-l.3) Indisponibilidade do LPIS 72
V-l.4) Análise de Sensibilidade para o LPIS... 76
V-l.5) Cortes Mínimos para a Árvore de Falhas
do LPIS 80
V-l.6) Cálculos de Importância de Confiabili

dade para o LPIS 83
V-2) Resultados para o HPIS 83

V-2.1) Arvore de Falhas para o HPIS 85
V-2.2) Dados de Entrada 86
V-2.3) Indisponibilidade do HPIS 88
V-2.4) Análise de Sensibilidade para o HPIS ...
V-2.5) Cortes Mínimos para a Árvore de Fa-
lhas do HPIS
XI
PAG
VI. CONCLUSÕES E RECOMENDAÇÕES

»
APÊNDICE A - A DISTRIBUIÇÃO LOGNORMAL 105
APÊNDICE B - O PROGRAMA "SAMPLE" 108
APÊNDICE C - O PROGRAMA "BIRNBAUM" ... 110
APÊNDICE D - ÁRVORE DE FALHAS DO LPIS 127
APÊNDICE E - ÁRVORE DE FALHAS DO HPIS 141
157
APÊNDICE F - DADOS DE ENTRADA ..'
170
NOMENCLATURA
172
SfrlBOLOS GRÍFICOS
174
REFERÊNCIAS BIBLIOGRÁFICAS
1
I
I
I - INTRODUÇÃO
I
I
1-1) Objetivos
I Uma das metas da análise de segurança em centrais nu
cleares ê determinar se os sistemas de segurança existentes são ade
I quados para minimizar os riscos de contaminação do meio ambiente quan
do da ocorrência de um acidente.
I 0 acidente que possui o maior potencial de liberação
de produtos radioativos e, conseqüentemente, considerado como aciden
I te básico de projeto de uma central nuclear é o de perda de refrige
rante primário (LOCA - Loss-of-Coolant Accident).
I A proteção contra a liberação de material radioativo
I do núcleo do reator ê feita por três barreiras físicas: o revestimen

to do combustível, o circuito primário de refrigeração e o edifício
de contenção do reator.
I 0 acidente de perda de refrigerante do circuito prima
rio ê causado por uma ruptura na segunda barreira de proteção. Para
I mitigar os efeitos desse acidente, existe a contenção metálica que
tem por finalidade limitar a liberação de radioatividade para o meio
I ambiente e o sistema de refrigeração de emergência do núcleo, que de
ve fornecer em tempo hábil uma quantidade suficiente de refrigerante
I para a remoção do calor residual do reator.
Uma análise deste acidente deve verificar se as cara£

I terísticas dinâmicas da central e a operação dos dispositivos de segu
rança são suficientes para assegurar a integridade do elemento combus_
I tível, da geometria de refrigeração do núcleo e do edifício da conten
ção.
I Após o acidente na Usina de Three Mile Island, em mar
ço de 1979, a atenção voltada ao emprego de métodos probabilísticos
I
na análise de riscos de usinas nucleares vem crescendo consideravejL
mente. Dentro desse panorama, foi criado, no ano passado, um Grupo
de Avaliações Probabilisticas na Coordenação dos Programas de Pos-Gra .
duação de Engenharia (COPPE), da Universidade Federal do Rio de Janei^
ro (UFRJ), em conjunto com o Departamento de Reatores (DR) da Comis-
são Nacional de Energia Nuclear (CNEN).
Como primeiro trabalho desse Grupo, foi feito um estu

do da confiabilidade do sistema de acumuladores de Angra I 66 .
Neste trabalho, faz-se a analise de confiabilidade dos

sistemas de injeção de segurança a baixa e a alta pressão, da usina
de Angra I, sistemas estes que são dois dos constituintes do Sistema
de Refrigeração de Emergência do Núcleo. Esta análise visa prestar
auxílio ã Comissão Nacional de Energia Nuclear no que tange a informa
ções necessárias para o licenciamento da referida usina.
Ainda neste capítulo, faz-se uma revisão bibliográfi-

ca, tanto da parte analítica como da parte computacional.
No No Cap. II, introduzem-se os conceitos básicos da

Teoria de Confiabilidade utilizados neste trabalho. Este capítulo se
inicia com conceitos gerais de Teoria de Confiabilidade, partindo en
tão para a exposição de uma ferramenta de análise poderosa - a anãli
se por árvores de falhas.
0 Cap. Ill apresenta uma discussão dos sub-sistemas e£

tudados, com todos os detalhes pertinentes ã análise. Este capítulo
nos apresenta inicialmente uma discussão do acidente de perda de re
frigerante. Ã seguir, são apresentados os dois sub-sistemas analisa
dos.
0 Cap. IV apresenta toda a modelagem utilizada, desde

as hipóteses iniciais até os códigos de computador utilizados.
0 Cap. V apresenta os resultados obtidos, desde as ar

vores de falhas até os resultados numéricos, bem como uma discussão
de todas as etapas realizadas.
i
I
I No Cap. VI são apresentadas as conclusões e recomenda
ções para trabalhos futuros e também são apontadas algumas das difi
I culdades encontradas para a execução deste trabalho.
I Estão sendo desenvolvidos atualmente, estudos de con

fiabilidade dos sistemas de recirculação, de "spray" e de alimentação
I de água auxiliar.
Após a avaliação da confiabilidade dos sistemas de S£

I gurança, em uma segunda etapa serão analisadas varias cadeias de aci
dentes.
I A metodologia empregada nas analises do Grupo ê basea_

da no relatório Rasmussen"5.
I 1-2) Revisão Bibliográfica
I Para possibilitar uma melhor visão, dividiu-se esta re
visão em duas partes; a primeira delas aborda a evolução das idéias
I teóricas, tanto sobre a análise por árvores de falhas como também em
relação a conceitos básicos da Teoria de Confiabilidade - como os con
I ceitos de cortes mínimos e o de importância de confiabilidade. Na se

gunda parte, faz-se uma exposição sobre as aplicações práticas desses
I conceitos.
1-2.1) Parte Teórica

I A tecnologia da análise de segurança de sistemas sur-
I giu nos últimos anos da década de 50, quando a indústria aeroespacial

e as Forças Armadas norte-americanas lançaram sérias exigências sobre
os engenheiros projetistas no sentido de conceber sistemas que pos
I suissem segurança adequada quando da utilização dos mesmos pela pri
meira vez. Antes disso, modelos de aviões foram construídos, testa_
I dos e novamente projetados após testes sucessivos, muitos dos quais
resultaram em acidentes. Contudo, quando projetos de aviões e de
I mísseis mais complexos e dispendiosos foram produzidos, tais procedi^

mentos de teste tornaram-se impraticáveis, o que exigia mudanças na
I avaliação da segurança. Passou a ser dada ênfase a critérios de pro

I
I jeto baseados em técnicas analíticas, as quais fossem capazes de pre
ver acidentes. 0 engenheiro de segurança de sistemas e o computador
I substituíram o piloto de testes.
A análise por árvores de falhas ê uma das técnicas ado

I tadas para esse objetivo.
I A análise por árvores de falhas foi idealizada em 1962

por H.A. Watson da Bell Telephone Laboratories para ser urilizada em
I um estudo pedido pela Força Aérea Norte-Americana (sobre o sistema de

lançamento e controle de mísseis Minutemen). Desenvolvimentos e refi
namentos posteriores da técnica resultaram dos esforços de um grupo
I de pesquisadores da Bell. Esse grupo resolveu de forma satisfatória
o problema da determinação da probabilidade de lançamento inadvertido
I de um missel. Os analistas da Boeing Company modificaram a técnica
de modo que fosse possível a simulação com computadores de alta ve]£
I cidade. D.F. Haasl, R.J. Schroder, W.R. Jackson e outros contribuí

ram para este importante desenvolvimento1*6.
I Em 1965, ocorreu um simpósio sobre segurança na

versidade de Washington, Seattle, patrocinado por esta e pela Boeing
I Company, no qual foram apresentados vários trabalhos com exemplos prã
ticos e vantagens da utilização da análise por árvores de falhas 53 .
I Neste simpósio, foi reconhecido que a análise por árvores de falhas

poderia ser extendida, de maneira satisfatória, da tecnologia aeroes_
I pacial para a tecnologia de segurança de reatores nucleares.

29
D. F.
Haasl apresentou um trabalho onde, além de expor adequadamente a me
I todologia, faz uma ilustração da mesma por meio de um exemplo que tor_
nar-se-ia clássico: o problema da ruptura do tanque de pressão. Me-
arns39 apresentou um estudo de eventos improváveis em sistemas comple_
I xos, objetivando uma análise da influência desses eventos (admitindo
que os mesmos possuem probabilidades de ocorrência baixas) no desem
I penho do sistema.
I Especialistas em Estatística Matemática vêm contribuin

do de maneira notável para o estabelecimento de bases
9
estatísticas
adequadas. Birnbaum et alii publicaram um trabalho sobre a confiab^L
I
I
I lidade de sistemas de vários componentes, Esary e Proschan17 calcul£
ram a vida média de sistemas série e paralelo, Marshall e Proschan37
I analisaram estruturas coerentes constituídas por componentes não idên
ticos.
I A partir de 1969, importantes contribuições vêm sendo
I feitas na parte conceituai já com vistas a aplicação direta na anãli

se de segurança de reatores nucleares.
I Vesely55' x desenvolveu uma ferramenta de análise que

demonstrou grande utilidade - a Teoria Cinêtica de Arvores de Falhas.
I Este tratamento supõe variações temporais das grandezas relevantes-c£

mo por exemplo, a indisponibilidade - permitindo anãlisea mais deta
I lhadas.
Lambert31, Fussell e Vesely 26 , Barlow e Chatterjee3,

I Chetterjee11 , Barlow e Lambert", Fussell22 '27 publicaram trabalhos on
de estão descritos pontos importantes da metodologia, tais como obten
I ção de cortes mínimos, redução de árvores de falhas utilizando-se as

propriedades das variáveis booleanas, avaliações probabilísticas.
I Cummings15analisou o sistema da contenção de um reator

PWR, determinando a probabilidade de escapamento excessivo de produ-
I tos radioativos da atmosfera da contenção em seguida à ocorrência de
um LOCA.
• Do ponto de vista de apliceção dos conceitos a reato

_ res nucleares, com a definição do modelo a ser utilizado em cada caso,
I os resultados mais importantes foram obtidos por Rasmunssen et alii1*5
e Birkhofer et alii 7 , onde são detalhadamente analisados os sistemas
I de segurança, tais como sistema de refrigeração de emergência do nu
cleo, sistema elétrico, sistema de proteção, sistema de "spray" da con
I tenção etc. de usinas nucleares.
Existem já modelos de aplicação da análise por árvores

I de falhas e outros sistemas que não reatores nucleares ou aviões e
mísseis: Powers et alii411 fazem uma análise de processos químicos e
I Simonatius et alii50estudam um sistema médico de assistência cardiolõ
gica.
I
I
I
I O conceito de importância8 foi introduzido por Z. W.
I Birnbaum em 1969. A partir daí, varias medidas de importância foram
definidas, cada uma delas voltada pera um aspecto específico.t Vese-
I ly 58 e Fussell23calcularam a probabilidade de o i-êsimo componente

contribuir para a falha do sistema do qual e um dos constituintes, da
I do que o sistema falhou ate o instante de tempo t, sendo esta a defl

nição de importância de Vesely-Fussell. Barlow e Proschan5 conside-
ram a importância dependente do tempo (medida de importância de Bar_
I low-Proschan). Lambert31 dã uma visão geral dos métodos disponíveis
para avaliações de importância, mostrando procedimentos para o cálcu
I Io de importância quando se considera a possibilidade de reparo de
componentes.
I 1-2.2) Parte Computacional
I A obtenção de cortes mínimos a partir de arvores de

falhas tem sido de grande relevância na análise de segurança de sist£
I mas. Vesely e Narum60obtêm cortes mínimos através de testes combina

toriais em uma equação booleana. Fussell et alii25obtém cortes mini
I mos a partir de um método de substituição booleana de cima para baixo

("top-down"). Worrell e Stack63utilizam a manipulação booleana. Se
manderes1*9 utiliza redução lógica. Pande et alii1*2 empregam um algo^
I ritmo "bottom-up" (de baixo para cima) de substituições booleanas.
Wheeler et ai 61 empregam uma técnica baseada em uma codificação bina
I ria de eventos e também manipulação de "bits" para a redução da áryo
re de falhas. Erdmann et alii16 desenvolveram um código que emprega
I um algoritmo de manipulação booleana. Olmos e Wolf1*1 utilizam decom

posição modular, Willia62 determina os cortes mínimos de primeira or-
I
—
dem.
As avaliações quantitativas de arvores de falhas tam

| bem têm sido grandemente facilitadas pelo número de códigos atualmen
te disponíveis. Platz e Olsen"3 desenvolveram um código para minicom
I putadores, onde utilizam um algoritmo de substituição booleana de re_
dução de cima para baixo ("top-down") e modularização de baixo rara
I
I
I
I cima ("bottom-up") no cálculo da probabilidade de existência do even
to principal. Gately e Williams28 utilizam um algoritmo de manipula
I ção booleana no calculo de estimativas pontuais das características

do evento principal. Vesely e Narum60 calculam a disponibilidade, a
I confiabilidade e o número esperado de falhas como funções do tempo a

partir de taxas de falhas e de reparo. Leverenze e Kirch31* calculam
a probabilidade de existência do evento principal utilizando manipula,
I ção booleana. Vesely e Goldberg59 calculam os efeitos sobre a indis
ponibilidade média e sobre a indisponibilidade pontual devido a tes
I tes periódicos do sistema. As características de teste incluem o in
tervalo de teste, o tempo de duração do teste, o tempo de reparo e o
I potencial de falhas devido a causas humanas associadas com os testes.

Rasmunssen et alii1*5 utilizam a simulação de Monte Carlo para, a pair
I tir das indisponibilidades dos eventos básicos, obter a indisponibili

dade do sistema. Matthews38 desenvolveu um código que, empregando o
I método de Monte Cario, determina a distribuição e os limites de simu

lação das características de confiabilidade do evento principal. Lam
bert 30 ' 32 calcula várias medidas de importância de componentes.
I
I
I
I
I
I
I
I
I
1
I
I I I - TEORIA DE CONFIABILIDADE
I
I II-l) Conceitos
Os conceitos apresentados neste item são de grande ím

• portância para a metodologia de cálculo empregada. A exposição está
de acordo com os textos padronizados sobre o assunto6.
I
• II-l.l) Sistema de Componentes
Um sistema é uma disposição ordenada de componentes
• que realiza alguma tarefa ou função. Neste contexto, distinguiremos
* apenas dois estados: um estado de funcionamento e um estado de fa
I - lha. Esta dicotomia é* aplicável tanto para o sistema como para os

seus componentes. Para indicar o estado do i-ésimo componente, espe
cifica-se uma variável indicatriz binaria x^ para o componente i:
1, se o componente i está funcionando: ,TT ,-.
0, se o componente i está em estado falho.
I para i= 1, 2, ..., n, onde n é o número de componentes do sistema.
I do sistema:
De modo similar, a variável binaria $ indica o estado
a, _
$ 1, se o sistema está funcionando;
funcionando; ,_- _..
• 0, se o sistema está em estado falho.
Assume-se que o estado do sistema é" determinado comple

I tamente pelos estados dos componentes, isto ê,
I 4> = $ (x), (li.3)
onde,
I x = (xv ..., xn) (II.4)
I
1
I
I A função * (x) é denominada função de estrutura do
I sistema. 0 numero de componentes n no sistema ê denominado ordem do

sistema.
I A estrutura em série
I -o-
1
-o
2 ... n
o-
Fig.II-1 A estrutura em série

I funciona se, e somente, se cada componente funciona. A função de estru
I tura ê dada por

n
min (II.5)
I (X) = TT
i=l
A estrutura em paralelo
I -o-
I
I
I n
—o
Fig. II-2 A estrutura em paralelo
I funciona se, e somente, se pelo menos um componente funciona. A fun

ção de estrutura é dada por
I n
*(x) = > L * 1 = max ( x r x 2 , ..., x n ) , (II.6)
I onde,
n n
(11.7)
I i=l i=l
(11.8)
I
I
I
i
I 10
I
I O i-êsimo componente é irrelevante para a estrutura
se $ constante em x., i.e.,
<J>
I
I (lif x) - * ((K, x) (II.9)
I
I para todo (.., x ) ^ * . Se o componente não e irrelevante, então o
mo ê relevante para a estrutura.
I
I Como exemplo, o componente 3 ê irrelevante para a es_
I trutura ilustrada na Fig. II-3.
I
I
I
I
I Fig. II-3 Exemplo de Componente Irrelevante
I
I (*) Notação:
I •••> ^j_j' * ' î+i' •••' ^n

11
I
I II-1.2) Estruturas Correntes
I Um sistema físico seria pessimamente projetado se, ao

se melhorar o desempenho de um componente (i.e., substituinto-se um
I componente falho por um componente em funcionamento) o sistema tives^

se o seu desempenho deteriorado (i.e., passasse do estado de funciona
I mento ao estado falho). Desse modo, as considerações feitas neste

trabalho se restringem a funções de estrutura monotonicamente crescen
tes em cada argumento.
I Um sistema de componentes ê coerente se:
(a) a sua função de estrutura $ é" crescente e
• (b) cada componente ê relevante.
I II-1.3) Representação de Sistemas Coerentes em Termos de Caminhos e

Cortes
I Definamos x como um vetor indicador dos estados de um
I conjunto de componentes C = {1, ..., n}. Então, define-se C (x) =

{i | x i = 0} e Cj^ (x) = {i | x^ = 1}. Assumamos que a estrutura
(C,$) ê coerente.
I Um vetor de caminho é um vetor x, tal que í>()c)=l. O ca
I minho correspondente é C,(x).
I Um vetor de caminho mínimo é um vetor de caminho x, tal

que |yj < |x| = > $ (yj) = 0. 0 caminho mínimo correspondente ê C, (x).
Fisicamente, um caminho mínimo é" um conjunto mínimo de elementos cujo
I funcionamento assegura o funcionamento do sistema .
I Um vetor de corte ê um vetor x, tal que $(x)=0. 0 cor

te mínimo correspondente é C (x).
I Um vetor de corte mínimo é um vetor de corte x,tal que

|vj > |x| => $(yj) = 1. 0 corte mínimo correspondente é C (x). Fisi^
I camente, um corte mínimo é um conjunto mínimo de elementos cuja falha
I
I
I causa a falha do sistema.
• Vamos considerar uma ilustração simples. Seja o siste
ma mostrado na Fig.(II-4):
m -o-
3
I -o-
1
Fig.(II-4) Exemplo de obtenção de caminhos e cortes mínimos
• Os caminhos mínimos desse sistema são
- {1, 4, 5} , {1, 2, 3, 4}.
Os cortes mínimos são
• {1} , {4} , {2, 5 },{ 3, 5 }
I II-1.4) Confiabilidade de Sistemas de Componentes Independentes
Assume-se aqui que os componentes são estatisticamente

independentes. Suponhamos que o estado X. do i-ésimo componente é"
I aleatório, com
I P X^l * PA - EX i5 para i= 1 n, (11.10)
_ onde EX. denota a esperança matemática de X-. Referimo-nos a P - , a

| probabilidade de que i funcione, como sendo a confiabilidade de i. De
modo similar, a confiabilidade do sistema é" dada por
P U(X) = U = h = E$(X) (11.11)

I
•
-
Sob a hipótese da independência dos componentes, pode
I mos representar a confiabilidade do sistema como função das confiabi

1idades dos componentes.
| h = h (2) (11.12)
13
Quando p,=p7=...=p =p, representa-se a função de confiabilidade como

h=h(p). Se os componentes não são independentes, a confiabilidade do
sistema pode não ser uma função de p_ somente.
Como exemplos, voltemos aos sistemas em série e em pa

ralelo. Para o primeiro, a função de confiabilidade é
n
M P ) = TT (11.13)
e para o segundo,
n n
® - A Pi - (11.14)
II-1.5) Importância de Confiabilidade
Quando se dispõe os componentes de um sistema de uma

maneira apropriada para a realização de uma função especificada,ê evi^
dente que de acordo com essa disposição, alguns componentes são mais
críticos que outros no que diz respeito ao funcionamento do sistema.
Como um exemplo, quando se considera confiabilidade, um componente co
locado em série com o sistema geralmente desempenha um papel muito
mais importante do que o mesmo componente colocado em paralelo com o
sistema. Um outro fator determinante da importância de um componente
em um sistema é a confiabilidade do componente, i.e., a probabilidade
de que o componente não tenha falhado de uma maneira especificada.
Através da avaliação da importância relativa de compo

nentes, pode-se:
a) identificar componentes que mereçam pesquisa e desenvolvi
vimento adicionais, dessa forma melhorando-se a confiabilidade do res
pectivo sistema a um custo e esforço mínimos;
b) sugerir a maneira mais eficiente de diagnosticar falhas

do sistema gerando-se uma lista de verificação de reparos para ser se
guida por um operador.
14
i
A árvore de falhas ê a representação booleana mais ge
I
neralizada capaz de identificar aquelas causas básicas que podem con
tribuir para a falha do sistema. Estas causas básicas, ou eventos, I
incluem condições ambientais, erros humanos e eventos normais ( even
tos que se espera ocorram durante a vida do sistema), bem como falhas
de equipamento. Se as taxas de falha relativas dos eventos básicos
1
são conhecidas, a árvore de falhas pode ser avaliada quantitativamen
te para se obter a importância dos mesmos.
I
Pode-se usar vários modelos probabilísticos para se I
calcular a importância de componentes básicos em uma árvore de fa —
lhas. Todos os métodos avaliam a importância de componentes básicos
através de uma hierarquia numérica. A interpretação probabillstica
I
que descreve a relação entre a ocorrência de um evento básico e a
ocorrência do evento principal ê diferente em cada caso.
I
Deter-nos-emos aqui somente com a medida de importán. I
cia de Birnbaum.
Em 1969, Birnbaum8 introduziu o conceito de importán

I
cia para sistemas coerentes. Ele definiu a importância de confiabili
dade de um componente i como sendo a taxa ã qual a confiabilidade do I
sistema aumenta conforme a confiabilidade do componente i aumenta. Se
construirmos uma árvore de falhas onde o evento principal é a falha
do sistema de uma forma especificada e os eventos básicos são falhas
I
dos componentes, então a definição de Birnbaum de importância de com
ponentes se torna
I
^ j = ! = hjl., F(t)j- hlo., F(t)|, (11.15)
I
onde,
I
probabilidade de que o evento i ocorra até o instan
te t, e (11.16) I
F(t) = y^ (11.17)
I
A formula de Birnbaum, em outras palavras, é a probabi_
I
i
15
I
I lidade do sistema estar em um estado no qual o funcionamento do mesmo
I é crítico: o sistema funciona quando i funciona, o sistema falha em

funcionar quando i falha. A falha de i é crítica quando
I nij.Y) - * (Oj.Y) = 1 (II.IS)
I Pode ser de interesse o número total de vetores de es_

tado nos quais um componente é crítico. Se fixarmos o estado de um
I componente no sistema, ficamos com 2 estados, onde n ê igual ao nu
mero de componentes. Na expressão acima, se fizermos F.(t)=l/2 para
I todo j j i, então o número de estados nos quais o componente i ê críti

co, denotado por B- será
I B = { h(l
i i
1/2) - h(0,,l/2)}
x
(11.19)
I Birnbaum denomina B. de importância estrutural do componente i.
I A definição de importância de Birnbaum é uma probabili

dade condicional, uma vez que o estado do i-ésimo componente é fixa-
do. A probabilidade de que o sistema esteja em um estado em um ins
I tante t no qual o componente i seja crítico e o componente i haja fa
lhado até o instante t é (denotando este evento por E ) :
I P(E) = { h(l..,F(t) - h(O i? F(t) )} F i (t) (11.20)
I Se fizermos esta quantidade condicional em relação à falha do sistema

até o tempo t, então a eq. (II.2Q) se torna
I
A equação (11.21) é definida como importância de criti
calidade do componente i.
I II.2) Conceito de Análise Por Arvores de Falhas
I A análise por árvores de falhas é uma técnica da enge_
nharia de segurança de sistemas que fornece uma maneira descritiva e
sistemática de identificar e controlar áreas de riscos altos. A aná
1 16
I
I lise por árvores de falhas ê um processo dedutivo formal para a iden
tificação dos possíveis modos de ocorrência de um evento indesejado
I especificado em um dado sistema. A arvore de falhas é um modelo gra
fico que revela as varias combinações em paralelo e em série de esta
I dos de componentes que possam resultar na ocorrência de um estado do
sistema especificado e conhecido como evento principal.
I Os objetivos da analise por árvores de falhas são:
I a) identificar sistematicamente todos os possíveis modos de

ocorrência de um dado evento indesejado;
I b) fornecer uma linha de base para a avaliação do projeto do

sistema para o qual se construiu a árvore de falhas e de alternativas
I de procedimento. Os dois itens acima ilustram objetivos qualitati-
vos . A análise por árvores de falhas também se mostra útil na reaH
zação de avaliações quantitativas, como se verá posteriormente.
I II.3) Terminologia e Simbologia de Arvores de Falhas
I Um componente de um sistema é um constituinte básico

para o qual as falhas são consideradas primárias durante a construção
I da árvore de falhas. Conseqüentemente, os componentes de um dado sis
tema podem variar dependendo do evento principal a ser estudado ou
I do nível de detalhe que se deseja incluir na análise. Alguns compo-

nentes possuem vários estados de operação, nenhum dos quais é neces_
I sariamente um estado falho. Por exemplo, os contatos de reles podem

estar abertos ou fechados. A descrição destes estados é denominada
configuração dos componentes.
I A construção da árvore de falhas ê o desenvolvimento
I lógico do evento principal. Quando se realiza a construção,cada even

to de falha é também desenvolvido até que se atinja as falhas primá-
I rias. Um evento de falha ê uma situação de falha resultante da inte

ração lógica de falhas primárias. 0 desenvolvimento de qualquer even
to de falha resulta em um ramo da arvore de falhas. 0 evento em de-
I
I
17
senvolvimento é denominado evento básico do ramo. 0 ramo está comple

to somente quando todos os eventos no ramo estão desenvolvidos ao ní
vel de eventos primários. Todo evento em um ramo está no domínio do
evento base. Além disso, se o evento base é" uma entrada de um por-
tão E, todo evento no ramo está no domínio de toda entrada daquele
portão.
Um portão de uma árvore de falhas é" composto de duas

partes: (a) o símbolo lógico booleano que relaciona as entradas do
portão ao seu evento de saída e (b) a descrição do evento de saída.
Um portão é equivalente a um outro portão se e somente se o símbolo
lógico, a descrição do evento de saída, e um outro parâmetro, as con
dições de fronteira efetivas associadas com o evento de saída, são
idênticos. Estas condições de fronteira efetivas modificam um evento
e são impostas pelo analista ou são geradas por eventos de falha que
hajam ocorrido previamente. A descrição dos eventos inclui duas par
tes: (a) a identificação do incidente e (b) a identificação da enti
dade. A identificação do incidente define, tão brevemente quanto pqs
sível, a falha sem identificar qualquer componente envolvido. A iden
tificação da entidade específica o componente ou subsistema envolvido.
Estas duas partes são requeridas na descrição de eventos de falha.
Os símbolos gráficos utilizados em uma árvore de fa-

lhas recaem, basicamente, em duas categorias: símbolos lógicos e sim
bolos de eventos. Os primeiros são mostrados na Fig. (II.5) e os s£
gundos na Fig. (II.6).
Os símbolos lógicos, ou portões lógicos, são utiliza,

dos para conectar os eventos que contribuem para o evento principal
especificado. Os portões lógicos mais freqüentemente empregados são
as expressões booleanas básicas E e OU. 0 portão E fornece o evento
de saída se todos os eventos de entrada ocorrem simultaneamente. 0
portão OU fornece o evento de saída se um ou mais dos eventos de en-
trada ocorre.
Os símbolos de eventos mais freqüentemente utilizados

são o retângulo, o círculo e o losango. 0 retângulo representa um
I
I 18
I evento de falha resultante da combinação de falhas mais básicas que
I atuam através de portões lógicos. 0 círculo designa uma falha de um

componente básico do sistema que ê independente de todos os outros
eventos designados por círculos e losangos. 0 losango descreve entra
I das de falhas que são consideradas básicas em uma dada árvore de fa
lhas. Contudo, o evento descrito não ê básico no sentido de serem
I aplicáveis dados obtidos em laboratório. Em vez disso, a árvore não
é desenvolvida mais detalhadamente, ou porque o evento é de conseqüên
I cias insuficientes ou as informações necessárias não são disponíveis.

Para se obter uma solução numérica para a árvore de falhas, tanto os
I círculos como os losangos devem representar eventos para os quais in

formações de confiabilidade sejam dados de entrada da árvore.
I Os triângulos mostrados na Fig. (II-6) não são estrita

mente símbolos de eventos, embora venham sendo tradicionalmente consi^
I derados como tal. Os triângulos indicam a transferência de uma parte

da árvore para outra. As Figs. (II-5) e (II-6) mostram ainda alguns
I outros símbolos, os quais são discutidos nas mesmas.
I 0 portão E descreve a operação lógica na qual

a coexistência de todos os eventos de entrada
I TT é necessária para produzir o evento de saída.
I 0 portão OU define a situação na qual o

evento de saída existirá se um ou mais dos
I eventos de entrada existir.
I 0 portão de inibição descreve uma

relação casual entre uma falha e outra. 0
I evento de entrada produz diretamente o even

to de saída se a condição indicada é satis
I feita. A entrada condicional define um e£

tado do sistema o qual permite a ocorrên-
cia da seqíiência de falhas, podendo ser no;r
I mal para o sistema ou resultar de falhas.
Fig. (II-5) Símbolos Lógicos
1
1
I 19
I O retângulo identifica ura evento que re
I sulta da combinação de eventos de falha

através do portão lógico de entrada.
I
0 círculo descreve um evento de falha bjí
I sico que não requer desenvolvimento poste_
rior. A freqüência e os modos de falha de
I O itens assim identificados são obtidos a
partir de dados empíricos.
I Os triângulos são usados como símbolos de

I transferência. Uma linha do vértice
triângulo indica uma transferência do lu-
do
I gar indicado no triângulo para o ponto da

árvore ao qual o triângulo está conectado;
I uma linha proveniente do meio do lado indi^

ca uma transferência ã partir do ponto na
árvore ao qual o triângulo está conectado
I para o ponto indicado no mesmo.
I 0 losango descreve um evento que é conside

rado básico em uma dada árvore de falhas.
I As possíveis causas do evento não são de-
senvolvidas em detalhe porque ou o evento
I O é de conseqüências insuficientes, ou então,
as informações necessárias para tal desen
I volvimento não são disponíveis.
I Fig. (II-6) Símbolos de eventos
I i
I
i
20
I
I O círculo dentro de losango indica a exis_
tência de uma sub-ãrvore, a qual foi desen
I volvida separadamente e os resultados quan
titativos inseridos como se este evento
I fosse um evento básico.
I A casa é utilizada como uma chave para incluir

ou eliminar partes da árvore de falhas de açor
I do com a aplicabilidade ou não de tais partes a
situações especificadas.
I Fig. (II-6) Símbolos de Eventos
I
II-4) Redução Booleana de Arvores de Falhas
I Para se obter os cortes mínimos de uma arvore de fa-
I lhas, as equações que relacionam os eventos básicos são reduzidas ã

forma de cortes mínimos. Neste redução, certas relações básicas são
usadas. Tais relações são resumidas abaixo57
I i. Leis Distributivas
I A. (B+C) = A.B+A.C (11.22)
I A+CB.C) = (A+B).(A+C)
ii. Teoremas de De Morgan

(11.23)
I (A+B)' = A'.B' (11-24)
1 (A.B)' = A'+B1 (11.25)
iii. Leis de Absorção

I A+B = A; B C A (11.26)
I A.B = B; B C A (11.27)
1 O símbolo ' denota o complemento de um evento. 0 símbolo C denota um

I
I
subconjunto. Para a redução de uma árvore de falhas utiliza-se prin
I cipalmente as Leis distributivas e as leis de absorção.
0 objetivo da redução de eventos ê obter-se a equa

| ção do evento principal na forma
I T= M, + M ? + M, + ... + M n ,
onde os M. consistem de interseções de eventos primários

(11.28)
(círculos e
I losangos)
M p
i= r pz p
ni í"- 29 )
• A equação para T estará então na forma de cortes mínimos, e os cortes
_ mínimos da árvore de falhas serão M,, M 2 , ..., M .
I II-5) Avaliação Probabilistica de Arvores de Falhas
I II-5.1) Introdução
Um objetivo muito importante da análise por árvores de
I falhas é calcular a probabilidade de ocorrência do evento principal.
É também de utilidade calcular a importância de cortes mínimos ou a
• importância de eventos básicos especificados em relação ao evento
™ principal.
| Nesta seção, fazemos um sumário dos métodos probabilís_

ticos mais comuns utilizados na avaliação da probabilidade de ocorrên
I cia do evento principal.
Utilizaremos uma representação booleana para árvores

I de falhas, semelhante aquela utilizada para estruturas coerentes.
I Seja
I, se o evento básico i ocorre

I Y. = I
i 0, em caso contrario.
^ (II.30)
m
1
22
I
I Seja Y = (Y,, Y 9 , .... Y ) o vetor de resultados pos
-L ÍÍ li
I síveis dos eventos básicos (ou seja, vetor de estado). Define-se

i 1, se o evento principal ocorre
I ¥ (Y) = <^ _
0, em caso contrário
(11.31)
I f é a função indicatriz booleana para o evento principal. Una hipot£

se levada em conta aqui é" que cada evento básico ocorre na união de
I todos os cortes mínimos, i.e., todos os eventos básicos são relevan
tes para o evento principal.
I
_ II-5.2) Representação por Cortes Mínimos ou Caminhos Mínimos
A função indicatriz booleana pode ser representada ou

I em termos de cortes mínimos ou, alternativamente, em termos de cami-
nhos mínimos.
| Sejam K, , K_, , K, os cortes mínimos dos eventos bjí

sicos para uma árvore de falhas especificada. Então,
• m = IL TT Y. , (11.32)
J
— s=l iek
I e a representação de cortes mínimos de y.
I Por outro lado, sejam P,, P 2> ..., P os caminhos mi
nimos para uma árvore de falhas especificada. Então,
I TT
PP
JI Y. ,
x
(11.33)
r=l i P x
| é" a representação de caminhos mínimos de f.
I II-5.3) Probabilidade de Ocorrência do Evento Principal
• Para se calcular a probabilidade de ocorrência do even

™ to principal, seja
= EY, = q, (11.34)
I
I
I a probabilidade de ocorrência do evento i, onde E significa expectãn
I cia. Então,
I P ÍÊvento Principal] = E ¥ (Y)
Por enquanto, assume-se que todos os eventos são estatisticamente in

(11.35)
I dependentes.
I Em princípio, pode-se sempre computar a probabilidade

exata de ocorrência do evento principal, através da redução da expres^
são booleana, ¥ (Y), da árvore de falhas. Faz-se isto, usando-se o
I fato de que, para variáveis booleanas
I Y? = Y i (11.36)
I Em geral, uma vez que se faça a redução booleana.pode-

se obter a probabilidade de ocorrência do evento principal, simples-
mente substituindo-se os valores das probabilidades de ocorrência dos
I eventos básicos.
I Se não há repetição de eventos entre os cortes mínimos

e os eventos básicos são estatisticamente independentes, então:
I P Êvento PrincipalJ = ^ .^ *i (n>37)
I Alternativamente, se não há repetição de eventos entre
I os caminhos mínimos e os eventos básicos são estatisticamente indepen

dentes, então:
I P Êvento PrincipalJ - ^ .^ % dl.38)
I As equações (11.37) e (11.38) não são válidas em geral. Contudo, se

os eventos básicos são estatisticamente independentes, então,
I -n 3L q. <, P Ev.Princ. < JI 7r q. (11.39)

1
lsráp ieP,.
^^ t —
L
— ~- *v%
J lsssk ^^™ ^^* ^ ~ ^ ^ ^"^ ^ ^ ^ ™
ieK
^^ ^^ ^ ^^^
I
24
é sempre verdadeira. A cota superior é em geral bastante próxima quan

do os valores de q são pequenos, a qual é a situação costumeira.
Um outro método para se obter cotas próximas para árvo

res grandes, também baseado em cortes mínimos faz uso do princípio de
inclusão-exclusão **' 6.
Seja E o evento "todos os eventos básicos no corte mi

nimo K ocorrem". Assume-se
5SI também a hipótese de serem todos os even
tos básicos estatisticamente independentes. Então,
IT (11.40)
0 evento principal correspondente ao evento
se a árvore de falhas possuir k cortes mínimos. Então:

r
k
P Evento Principal = P y, E (11.41)
Seja
E. flE. n...riE.L (11.42)
R
De acordo com o princípio de inclusão-exclusão:

k
P Evento Principal = £ (-l)1""1 Sr , (11.43)
l J r=i
f
P Evento Principal <S, = Z tr q. , (11.44)
L L x
s=l i
P le.p > S2 - S2 , (II.45")
P le.pj < Sj - S 2 (11.46)

i
25
I
I As cotas superiores e inferiores sucessivas, contudo, nao necessaria_
mente convergem de uma maneira monotõnica.
II-5.4) Eventos Associados
I Se as ocorrências de eventos básicos não são estatisti^

camente independentes, então os métodos previamente definidos, basea^
dos na independência dos eventos básicos, não são mais válidos. Em
I muitas situações, as variáveis aleatórias de interesse não são inde-
pendentes, mas associadas. Como exemplos, podemos considerar:
I (a) funções indicatrizes booleanas de cortes mínimos que pos
I suem eventos básicos em comum;
(b) componentes sujeitos a um meio ambiental comum;

I (c) estruturas nas quais componentes compartilham a carga, de
I modo que a falha de um componente resulta em carga acrescida sobre ca

da um dos componentes restantes.
I No caso (a), se os eventos básicos são independentes,

as funções indicatrizes são associadas e dependentes. Os exemplos (b)
I e (c) são situações físicas que poderiam conduzir a variáveis aleató

rias indicatrizes associadas. Se sabemos que os eventos básicos são
I positivamente dependentes (ou associados), então podemos obter cotas

de probabilidade de ocorrência do evento principal.
I Se as variáveis aleatórias indicatrizes Y..,Y~,...,Y
são associadas, então

I max
Ks<k
TT
ieKg
q. í P fe.p.l< min
x
- " J
l<r<p
n
iePT
q. (11.47)
I Note-se que, em contraste com a eq.(11.39), a cota superior depende
I dos caminhos mínimos.
I
1
I
I
I 26
I II-5.5) Algoritmo de Vesely-Fussell
I A obtenção da lista de cortes mínimos é de grande uti^

lidade na avaliação do projeto de um dado sistema, pois permite iden
I tificar as "ligações fracas" desse sistema, podendo-se deste modo, oti
mizar o projeto .
I Para uma arvore de falhas com talvez centenas de por

toes e de eventos básicos, a tarefa de identificar por inspeção es
I ses cortes mínimos torna-se extremamente difícil. Assim, requer-se
um algoritmo que gere todos os cortes mínimos. Este algoritmo ê ba
I seado no fato de que um portão E sempre aumenta a ordem de um corte,
ao passo que um portão OU sempre aumenta o número de cortes. 0 algo
I ritmo obtém cortes tais que, se todos os eventos primários forem não
repetidos, os cortes gerados serão precisamente os cortes mínimos.
I Quando não é este o caso, os cortes gerados pelo algoritmo são então
reduzidos a cortes mínimos.
I Para ilustrar melhor a aplicação deste algoritmo, apli

quemo-lo a uma árvore de falhas dada. Seja a árvore de falhas mos-
I trada na Fig. (II-7).
Inicialmente, numeremos todos os portões e todos os

I eventos básicos. Assim, os portões E e OU são numerados de 1 a 5 (o
portão sob o evento principal recebe o número 0 ) , e os eventos bási-
I cos são numerados de 1 a 9.
I A aplicação do algoritmo se inicia escrevendo-se o nu

mero do primeiro portão (GO) na primeira posição de uma matriz (que,
ao final da aplicação, fornecerá os cortes):
I GO.
I Como GO é um portão E, as entradas do mesmo serão escritas na

linha de GO (substituindo-o):
mesma
I Gl, 1, G2.
Prosseguindo, devemos substituir o portão Gl pelas suas entradas (que
I são G3 e G4):
I
27
Cl
to
C
e
S-i
ex
li
O
I
28
I
I
G3, G4, 1, G2
I
O portão G3 e do tipo OU, portanto, substituindo-o pelas suas entra-
das: I
5, G4, 1, G2
G5, G4, 1, G2. I
Prosseguindo na aplicação, obtemos finalmente todos os cortes,os quais •
são:
1, 2, 5, 6, 7 1
1, 5, 5, 6, 7
1, 4, S, 6, 7
1,
1,
2,
3,
6,
6,
7,
7,
8, 9
8, 9
I
1, 4, 6, 7, 8, 9. I
Observa-se que a matriz obtida ê de ordem 6 x 6 , i.e., existem 6 cor M
tes e o maior deles ê de ordem 6. Como não ha repetição de eventos
em um mesmo corte, os cortes obtidos são mínimos. _
Os cortes obtidos são denominados cortes booleanos in

dicados pois, em geral, os mesmos não são mínimos (como jã foi obsejr I
vado).
Quando se aplica este algoritmo em computador, e neces^ . •

sãrio saber-se a ordem da matriz de cortes, para que se possa dimen-
sionã-la. A obtenção da ordem desta matriz é uma tarefa simples, co •
mo veremos a seguir.
0 número de cortes booleanos indicados e uma cota su '

perior do número de cortes mínimos. Para melhor se compreender a »
aplicação do algoritmo que determina o número de cortes booleanos I
indicados, voltemos ã arvore de falhas da Fig. (II-7).
Inicialmente, atribui-se a cada um dos 9 eventos bãsji

cos peso 1. A seguir, atribui-se pesos aos portões, comoçando-sc de 1
baixo e ate atingir-se o portão sob o evento principal. Na atribuição *
i
• 29
I
a destes pesos, leva-se cm conta o seguinte: o peso de um portão OU c
I a soma dos pesos de suas entradas. Assim, o peso do portão G2 ê 3.
0 peso de um portão E é o produto dos pesos de suas entradas. 0 peso
I do portão G5, por exemplo, ê 1. 0 peso do portão G3 será a soma dos
pesos do evento básico 5 e do portão G5.
I Ao se chegar ao topo da árvore, obtem-se o peso do por

tão GO, o qual é exatamente o numero de cortes booleanos indicados.
I No nosso caso, este número é 6.
Para se obter o numero de eventos básicos componentes

I de urn corte booleano indicado, começa-se atribuindo também peso 1
aos eventos básicos. A um portão E atribui-se peso igual a soma dos
I pesos de suas entradas. A um portão OU atribui-se peso igual ao maior
dos pesos de suas entradas.
I Aplicando-se este algoritmo ã árvore da Fig.(II-7), ob

têm-se o valor 6. Assim, a matriz de cortes booleanos indicados de-
I ve possuir a dimensão 6 x 6 .
I Uma observação importante: este algoritmo, em

obtém uma cota superior do tamanho dos cortes mínimos.
geral
I 0 algoritmo descrito nesta seção é conhecido como aJL

goritmo de Vesely-Fussell11»22»26 .
I
II-5.6) Indisponibilidade de um Sistema
I Os sistemas cujos estados de funcionamento devem ser
I mantidos por períodos de tempo consideráveis possuem como caracterís
ticas probabilisticas significativas a não-confiabilidade (probabili
1 dade de falha) e a confiabilidade (probabilidade de sucesso).
Por outro lado, para sistemas em"standb/,' que elevem

I funcionar por demanda (como 6 o caso dos sistemas a serem analisados
neste trabalho), os parâmetros probabilis ticos mais importantes são
I a indisponibilidade ou a disponibilidade. A indisponibilidade de um
componente c definida como a probabilidade de o mesmo se encontrar cm
1
• 30
I um estado de falhas quando solicitado (i.e., a probabilidade de ser
I o componente "indisponível"). A disponibilidade de um sistema, ana

logamente, e a probabilidade de o mesmo se encontrar cm um estado de
I funcionamento quando solicitado.
A indisponibilidade pontual ê a probabilidade de o com
I ponente estar fora de serviço naquele instante de tempo. Um intervalo

de indisponibilidade ê associado com algum intervalo de tempo e é a
I fração de tempo na qual o componente está fora de serviço. A indispo

r.ibilidade de intervalo ê a que se calcula tomando-se a razão entre o
I t n p o fora de serviço e algum tempo de ciclo (o intervalo de tempo de

base).
I Quando se realizam testes periodicamente e as

são reparadas e a solicitação ou demanda do componente ocorre
falhas
aleato
I riamente, a indisponibilidade pontual média serã igual a

lidade de intervalo. Isto quer dizer que os dois tipos de
indisponibi^
indisponi
I bilidade são equivalente e qualquer um deles pode ser utilizado

cálculos.
em
I A indisponibilidade de componentes serã denotada

símbolo q. (i = 1, 2, . . . , n , onde n é o numero de componentes
pelo
do
I sistema); a do sistema pelo símbolo Q.
As indisponibilidades de componentes também podem ser

I tratadas como dados básicos, p.ex., taxas de falhas cíclicas e
de probabilidades de demanda (dado que o componente foi solicitado).
dados
I II-6) Procedimento Geral da Análise por Árvores de Falhas

I A versatilidade disponível com relação ao grau de deta
I lhes refletido em uma análise de falhas é um aspecto de grande impo_r

tância desta técnica. Na árvore de falhas, as falhas consideradas co
I mo falhas primárias podem ser falhas da menor ligação mecânica em uma

micro-chave ou falhas de uma usina de geração de potência. A resolu
ção da análise ê determinada pelas necessidades. Estando determinada
I a resolução, há opções com relação à avaliação da árvore de falhas. A
31
própria árvore de falhas em si pode ser o objetivo final. Alem da vi^

sibilidade do sistema e da compreensão adquirida ao se estudar a ar
vore de falhas, analises qualitativas posteriores da arvore podem pr£
duzir todos os modos de falha do sistema. Finalmente, a avaliação
quantitativa ê possível: isto ê, informações de falhas probabilísti
cas podem ser obtidas em relação ao evento principal e cortes mínimos
a partir de informações de falhas probabilísticas sobre os componen-
tes.
As quatro etapas seguintes estão presentes em uma anã

lise por árvores de falhas:
a) Definição do sistema;
b) Construção da arvore de falhas;
c) Avaliação qualitativa;
d) Avaliação quantitativa.
II-6.1) Definição do Sistema
A definição do sistema ê freqüentemente a tarefa mais

difícil associada com a analise por arvores de falhas. De importân-
cia fundamental ê a utilização de um diagrama funcional do sistema de
interesse, mostrando todas as interconexões funcionais e identifican
do cada componente do sistema. Limites físicos do sistema são então
estabelecidos focalizando a atenção do analista na área precisa de in
teresse. Um erro comum é a falha em estabelecer-se fronteiras rea-
lísticas do sistema e, então, uma análise divergente 5 iniciada.
Informações suficientes devem ser disponíveis para ca

da um dos componentes do sistema para permitir que se determine os
necessários modos de falha dos mesmos. Estas informações podem ser
disponíveis tanto a partir de experiência do analista ou a partir de
especificações técnicas dos componentes.
Um passo adicional na descrição do sistema c estabole

cer as condições de contorno do mesmo. Estas condições de contorno
1
I 32
I não devem ser confundidas com as fronteiras físicas do sistema. As
I condições de contorno definem a situação para a qual a árvore de fa-

lhas deve ser construída. Uma das mais importantes condições de con
I torno ê o evento principal. Para qualquer sistema dado, existe uma

infinidade de eventos principais. A seleção do evento principal ade-
quado é, algumas vezes, uma tarefa bastante difícil. Este evento e,
I contudo, definido como a falha de interesse mais importante. A confi
guração inicial do sistema ê descrita por condições de contorno adi-
I cionais. Esta configuração deve representar o sistema no estado não
falho. Assim, estas condições de contorno dependem do evento princi
I pai definido. Condições iniciais são então condições de contorno do

sistema que definem a.configuração de componentes para a qual é" apli
I cavei o evento principal definido. Todos os componentes que possuem

mais que um estado de operação geram uma condição inicial. As cond^
ções de contorno do sistema tainbem incluem qualquer evento de falha
I que seja declarado como existente ou então que não tenha validade du
rante a construção da árvore de falhas. Uma condição de contorno .
I existente ê tratada de acordo com a certeza de sua ocorrência, enquan
to uma condição de contorno não permitida é" tratada como um evento
I sem qualquer possibilidade de ocorrência. Nenhum destes dois tipos

de condições de contorno aparece na arvore de falhas final para o sis_
I tema.
I II-6.2) Construção da Arvore de Falhas
I Informações publicadas sobre a construção generalizada

de arvores de falhas são atualmente ainda restritas22. Contudo,pode-
I se deduzir uma metodologia generalizada a ser adotada.
Em primeiro lugar, atendidas as condições discutidas

I no sub-item anterior, façamos um traçado geral da construção das ar
vores de falhas analisadas neste trabalho.
I 0 ponto inicial e definir precisamente os eventos

cipais de cada uma delas. Consideremos, inicialmente, o caso do ^
I tema de injeção a baixa pressão. Anallsando-sc os modos de funciona
1
I 33
I
mento deste sistema (veja-se a respeito o capítulo III), pode-se def£
I nir claramente as diferentes etapas. Neste trabalho focalizou-se toda
a atenção na fase de injeção. Então, postulado o acidente de perda
I de refrigerante tipo guilhotina, fez-se a pergunta: ao ser solicita
do este sistema, que evento principal deve ser definido tal que esse
I evento considere um funcionamento inadequado do sistema? Definiu-se

então como evento principal "o sistema de injeção a baixa pressão foi:
I nece vazão insuficiente ao vaso de pressão do reator após a ocorrên-

cia de um acidente de perda de refrigerante tipo guilhotina". Obse;r
ve-se que "vazão insuficiente" está em estrito acordo com um critério
I de projeto, qual seja, há uma vazão nominal de projeto para este sis
tema quando o mesmo é solicitado apôs a ocorrência deste acidente es^
I pecifiçado.
I A seguir, procedeu-se â análise do sistema, tendo-se

em mente a situação previamente definida, i.e., estando claramente de
finidas as condições de contorno.
1
O método de análise do sistema foi percorrer o mesmo
I em sentido inverso ao de seu funcionamento, ou seja, partiu-se das -
linhas de descarga no vaso de pressão ate chegar-se ao tanque de su-
• primento de água. Um ponto muito importante aqui c o que diz respeji
• to aos possíveis modos de falha de cada componente analisado. Como já
- se comentou anteriormente, um determinado tipo de falha pode ser ex
I tremamente relevante para determinadas condições de contorno estabele
cidas, ao passo que um outro pode não possuir relevância alguma. Um
| exemplo bastante ilustrativo disto será discutido ao se comentar a
construção da árvore de falhas para o sistema de injeção a alta pres^
I são.
. A definição das fronteiras físicas do sistema em anã
I lise e também uma tarefa difícil. Uma determinada falha em um siste
ma que faz fronteira física com o sistema em análise pode acarretar
I ou não a ocorrência do evento principal. Deste modo, devem ser anali
sadas todas as fronteiras físicas do sistema, para se determinar ex?t
j tamente aqueles modos de falha que podem possuir relevância para a ár
I
34
I
I vore de falhas em construção. Recomenda-se ver o capítulo V para
I maiores detalhes a este respeito.
A resolução da arvore deve levar em conta a disponibi

I lidade de dados básicos. Assim, ao se analisar um motor elétrico, se
se dispõe de dados de falhas relativos a reles (com a especificação
I de diferentes tipos), chaves elétricas, indicadores de corrente,trans
dutores, e t c , pode-se "descer" mais na analise. Em contrapartida,
I pode ocorrer a possibilidade de se ter de considerar o motor elétrico

COIÜO ura componente e analisar-se seus possíveis modos de falha como
I UI:Í componente único.
A construção da árvore de falhas do sistema de inje-

I ção a alta pressão apresentou dificuldades maiores e, ao mesmo tempo,
possibilitou uma compreensão mais profunda do processo de construção
I de uma árvore de falhas.
Um ponto extremamente relevante a considerar se refe-

I re ao próprio esquema de funcionamento do sistema. Postulado o acji
dente de perda de refrigerante do tipo guilhotina, passou-se a consi^
I derar como o sistema deveria funcionar para satisfazer as necessida-
des de vazão. Descobriu-se que a injeção da água borada do tanque
I de injeção de boro não necessitava se encontrar â concentração nomi-

nal (12,0%, com uma tolerância de ±0,51), porque para este caso have
I ria uma grande formação de vazios no núcleo do reator, o que provoca

ria o seu desligamento imediato, mas, para a fase de desligamento a
longo termo ("long term cooldown"), devido ao efeito Doppler, haverá
I inserção de reatividade positiva no núcleo.
I
I
I
I
1
35
I
I I1-6.3) Avaliação Qualitativa
I Quando a arvore de falhas está pronta, a primeira tare

fa ê efetuar-se uma análise qualitativa da mesma. 0 ponto importante
I desta análise diz respeito â obtenção dos cortes mínimos. Para tal,
pode-se empregar diretamente o algoritmo de Vesely-Fussell ( se a ar
I vore de falhas não for grande), ou então algum código de computador

adequado 25 • 60 .
I
I TT-íi.4) Avaliação Quantitativa
Desde a introdução do conceito de análise por árvores
I de falhas, a área que tem recebido mais atenção tem sido a avaliação
das árvores de falhasllf> w » K . A avaliação consiste na obtenção de
I informações de confiabilidade acerca do evento principal e, muitas ye

zes , também acerca dos cortes mínimos a partir dos dados de entrada
I fornecidos. Basicamente, existem três métodos para a avaliação quan

titativa de árvores de falhas:
I a) o método de simulação direta1*0 ;

b) os métodos de Monte Cario1*;
I c) soluções analíticas diretas55 .
I 0 método de simulação direta usa a lógica booleana sjl

milar aquela empregada em computadores digitais em uma correspondên-
I cia um a ura com a árvore de falhas, formando a lógica booleana um cir

cuito analógico. . Imediatamente, viu-se que este método é proibitiva
mente dispendioso. Um esforço foi então despendido no sentido de ob_
I ter-se informações de árvores de falhas através de um método híbrido,
onde parte da solução fosse obtida utilizando-se a técnica analógica
I e parte usando a técnica de cálculo digital, em um esforço para se ob
ter uma forma de cálculo de custo competitivo. Devido aos gastos, es
I te método vem recebendo pouca atenção. Os métodos de Monte Cario são

os mais simples em princípio mas, na prática tornam-se marcadamonte
I complexos. Como os métodos de Monte Cario não são práticos sem o uso
de um computador digital, os mesmos são discutidos daquele ponto de
36
vista. A técnica de Monte Cario mais facilmente entendida é denominai

da "simulação direta". 0 termo "simulação" e freqüentemente usado em
conjunção com os métodos de Monte Cario porque, de fato, os mesmos
são uma forma de simulação matemática 1 ' 10 ' 12 . Esta simulação não de
ve ser confundida com a simulação analógica direta. Dados de probabjL
1idade são fornecidos como entrada e o programa de simulação represen
ta a arvore de falhas em um computador para fornecer resultados quan
titativos. Deste modo, milhares de tentativas são realizadas. Um pro
grama de simulação típico envolve as seguintes etapas:
a) atribuição de dados de falha aos eventos da arvore e, se

desejado, também dados de reparo;
b) representação da arvore de falhas em um computador para

fornecer resultados quantitativos para toda a performance do sistema,
de sub-sistemas e também dos eventos básicos de entrada;
c) listagem das falhas que conduzem ao evento indesejado e

identificação dos resultados dos eventos contribuintes dos cortes mi.
nimos;
d) computação e apresentação das falhas básicas de entrada

e dos resultados de disponibilidade.
Na obtenção destes passos, o programa de computador si^

mula a árvore de falhas e, usando os dados de entrada, seleciona álea
toriamente os vários dados relativos aos parâmetros necessários a par_
tir de parâmetros de distribuições estatísticas atribuídas, testando
então se o evento principal ocorre ou não dentro do período de tempo
especificado. Cada teste é uma tentativa, sendo um número suficiente
de rodadas efetuado até que a resolução quantitativa desejada seja ob
tida. Cada vez que o evento principal ocorra, os efeitos contribuin
tes dos eventos de entrada e os portões lógicos causadores do evento
principal especificado são guardados e listados como resultados do
computador. Os resultados fornecem uma detalhada perspectiva do sis
tema sob condições de operação simulada c uma base quantitativa que
37
dê suporte a decisões objetivas.
0 terceiro método - solução analítica direta22'1"1'55 não

será tratado aqui.
II-7) Utilização da Analise por Árvores de Falhas

Esta seção apresenta as principais vantagens e desvan
tagens da utilização da analise por árvores de falhas.
IT-7.1) Vantagens da Utilização de Arvores de Falhas

1) A construção de uma árvore.de falhas para um sistema for
ça o analista a possuir um completo conhecimento desse sistema. Nesta
observação está implícito o fato de que, para um mesmo sistema, podem
haver diferentes eventos principais, os quais eventualmente acarretem
o desenvolvimento de diferentes árvores de falha 22 .
Como complemento ao item n 9 1, os pontos fracos de mui-

tos sistemas podem ser corrigidos enquanto a árvore de falhas está
sendo construída.
2) A análise por Arvores de Falhas fornece um procedimento

sistemático para se identificar falhas que possam existir dentro de
um sistema27.
3) Avaliações quantitativas são particularmente valiosas na

comparação de projetos de sistemas que possuem componentes semclhan
tes\
4) A análise por Arvores de Falhas e uma ferramenta da Aná

lise de Confiabilidade que possui uma grande versatilidade, podendo
ser a ferramenta mais simples, ou, por outro lado, a mais sofisticada,
dependendo das necessidades do analista22.
5) A AAF direciona o analista no sentido de obter falhas de

dutivamente22.
38
6) Aponta os aspectos do sistema importantes no que diz res

peito a falha de interesse22.
7) Fornece um auxílio grafico, dando visibilidade àqueles da

gerencia de sistemas que são removidos das tarefas relativas a variji
ções de projeto22 .
8) Fornece opções para analises de confiabilidade de sist£

mas quantitativas ou qualitativas22 .
9) Permite ao analista concentrar-se em uma falha particular

do sisteina. em tela de cada vez 22 .
10) Fornece ao analista uma visão genuína do comportamento do

sistema22.
í
i
II-7.2) Desvantagens da Utilização de Arvores de Falhas ;
1) Custo do desenvolvimento em aplicações iniciais a um sis •
tema, embora este custo inicial seja compensado por aplicações futu
ras na prevenção de acidentes, programação de manutenção e modifica.,
ções de sistemas.
A analise por arvores de falhas ê uma forma sofisticada
de análise de confiabilidade e, consequentemente, ê bastante cara. A
despesa adicional ê justificada pelo nível de detalhe da analise qua
litativa ou quantitativa resultante da construção da arvoro para um .
sistema especificado22.
2) Ha ainda poucas pessoas suficientemente preparadas para .

utilizar esta ferramenta. Mesmo pessoal habilitado pode desenvolver
uma arvore de falhas para um sistema de diferentes maneiras. Uma ex j
periência deste tipo foi tentada na CNHN. Três pessoas envolvidas
com analise por arvores de falhas receberam um esquema sijnplifiçado I
de um sistema de injeção para um reator hipotético e, foi-lhes pedji
do que desenhassem uma árvore de falhas como o evento principal defi I
nido como "o sistema de injeção falha cm fornecer vazão suficiente pa
ra o circuito primário". As três árvores eram diferentes!22 •
1
I
I 39
I 3) Um problema serio comum a todas as analises de segurança:

I existe sempre a terrível possibilidade de que modos de falha signifi
cativos não sejam percebidos durante a analise.
I Um meio de minimizar esta desvantagem e aumentar o nume

ro do pessoal habilitado de modo que um grande numero de estudos e
I analises independentes possa ser realizado e, assim, diminuir a pos-
sibilidade de serem omitidos modos de falhas importantes na analise1*.
I 4) Dificuldade em aplicar a lógica booleana para descrever
falhas de componentes de sistemas que possam ser parcialmente bem su
I cedidos cm seu funcionamente, deste modo, afetando diretamente a pe£
formance do sistema do qual façam parte. Um exemplo disto ê a falha
I "escapamento através de uma válvula"1*.
I 5) Falta de dados de taxas de falhas pertinentes. Mesmo em

casos em que os dados são bons, não está claro que se possa justifica,
damente aplicar às condições ambientais de um sistema dados que foram .
I obtidos em outras condições ambientais do mesmo sistema. Alem disto,
o analista pode inadvertidamente empregar dados de taxas de falhas
I inaplicáVeis: e.g., uma taxa de falha horária para um evento cíclico.
0 elemento humano an si ê difícil de se qualificar1*.
I 6) Não foi publicada ate hoje uma metodologia para o tratei
mento quantitativo de falhas secundarias21, .
I
I
I
I
I
I
40
III - O SISTEMA DE REFRIGERAÇÃO DE EMI-RGENCIA DO NÜCLEO
Os sistemas a serem estudados, i.e., aqueles que rea

lizam as fases de injeção ativa a baixa e alta pressão, são dois dos
subsistemas que constituem o Sistema de Refrigeração de Emergência do
Núcleo (SREN) 20 ' Sl .
Este capítulo começa com uma discussão do acidente de

perda de refrigerante, em seguida, mostra o sistema de refrigeração
de cnei-gência do núcleo, onde são analisados os dois subsistemas de
interesse, discutindo-se então o funcionamento do mesmo apôs a ocor_
rência do acidente de perda de refrigerante tipo guilhotina.
III-l) 0 Acidente de Perda de Refrigerante
Em reatores a ãgua pressurizada, o pior acidente de

perda de refrigerante ê uma ruptura do tipo guilhotina em uma das
pernas frias do circuito primário, a qual resulta na mais alta temp£
ratura local do revestimento do combustível20 (DBA: Design Basis Acc£
dent).
O acidente e iniciado com uma ruptura instantânea da

tubulação da perna fria, entre a bomba principal e o vaso de pressão
do reator. 0 refrigerante, no estado subresfriado, sofre uma rápida
despressurização, ate que a pressão de saturação seja atingida. IJm fa
tor importante, neste caso, 5 a diferença entre as taxas de dcspres_
surização entre as câmaras plenas superior e inferior, mesmo depois
de ser atingida a saturação, pois ela determina a magnitude e direção
de escoamento no núcleo, como também as tensões e vibrações das estru
turas do vaso do reator.
Pequenas variações no diferencial de pressão entre as

câmaras plenas causam grandes mudanças na taxa de escoamento do nú-
cleo.
I
41
I
I Esta fase de despressurização sabres Criada, que dura
I entre 0,1 e 2 segundos, e seguida pela fase de despressurização satu_

rada, a qual dura cerca de 15 segundos, ate que as pressões da conten
I ção e das tubulações do circuito primário se igualem e o escoamento

pela ruptura caia a zero.
I As condições anormais que aparecem na fase de despres^

surização, como a redução da pressão no sistema, e a alta pressão no
I edifício da contenção, são detetadas pela instrumentação de controle,

sendo ativado o Sistema de Refrigeração de Emergência do Núcleo.
I Logo apôs a ocorrência da ruptura, a temperatura do re

vestimento das barras sobe rapidamente, devido ã redução do escoamen
I to e ao aumento do título termodinâmico local, que fazem com que o
fluxo crítico de calor seja excedido. Com o decréscimo da eficiência
I de remoção de calor pelo refrigerante, hã uma redistribuição do calor

armazenado e uma maior equalizaçao de temperaturas entre o combustí
I vel e o revestimento.
Conquanto haja um grande aumento na fração de vazios

I no núcleo, o que faz com que o reator seja desligado, há ainda gera_
ção de calor no combustível devido as fissões por neutrons atrasados
I e ao decaimento dos produtos de fissão. Este calor de decaimento e

a energia já armazenada no combustível são responsáveis pelo transito
I rio térmico pelo qual passa o revestimento.
0 aumento de temperatura ocorre durante cerca de 8 S£

I 13
gundos , quando há um balanço entre a energia fornecida ao revesti^
mento e a energia transferida ao refrigerante. Em seguida, a tempera
I tura começa a decrescer devido ao aumento do escoamento reverso no nu

cleo, ao decréscimo do título termodinâmico medio no núcleo o ao ca
I lor de decaimento gerado.
A temperatura do revestimento em regime de operação

I normal ê da ordem de 650 F. Se a temperatura crescer e exceder a
2000 F, a geração de calor devido ã reação entre a liga metálica do
I revestimento (zircalloy) e o vapor presente no núcleo c significatil

. • • • • • • • • • • • • • I
I
va,devendo ser considerada na análise do acidente. I
Durante a fase de despressurização, a água de refrig£ _

ração de emergência injetada nas pernas frias escoa através do espaço |
anular do vaso do reator, cm direção ã câmara plena inferior. Entre-
tanto, este escoamento pode ser desviado em volta do núcleo e descai: I
regado diretamente para a contenção pela perna fria quebrada. Este fe
nômeno ê denominado "bypass", sendo devido a um escoamento de vapor I
ou mistura bifasica, produzido por "flashing" na câmara plena infe-
rior, que procura sair do vaso do reator e impede a descida da água •
de refrigeração de emergência. Esta situação ê agravada pela conden •
sação do vapor ascendente, em contato com a água de refrigeração65. • _
No fim da fase de despressurização, o circuito prima

I
rio está praticamente vazio, e o núcleo imerso em vapor saturado ou . JÊ
superaquecido. A pressão do sistema ê baixa, entre 15 e 50 psia.
0 SREN continua a injetar água e a câmara plena infe |

rior começa a encher. Cerca de 30 segundos apôs o início do aciden
te, o nível de água atinge a parte inferior do núcleo. Este período - I
ê chamado de fase de reenchimento. Nesta fase, a transferência de ca
lor no núcleo, imerso em vapor estagnado, ê muito baixa e a tanperatu_ M
ra do revestimento cresce a uma taxa de cerca de 20°F/seg19 ' 65.
O período compreendido entre o final do reenchimento |

da câmara plena inferior e o reenchimento do núcleo e denominado fase
de reinundação2 . •
A taxa de inundação do núcleo c controlada pelo balan _

ço entre a pressão exercida pelo peso da coluna do água no espaço anu I
lar acima do nível equivalente de água no núcleo o a contrapressão
criada na câmara plena superior pela mistura bifasica vapor-gotículas * •
carregadas, proveniente do núcleo.
Sendo grande a geração de vapor no núcleo devido às •

altas temperaturas das barras, há um efeito de pressão contrária na _
câmara plena superior, que se opõe â elevação do nível do água no nu 1
I . «
I
cleo. Este efeito e denominado bloqueio de vapor.
• No caso de uma ruptura na perna fria, ha uma grande re
m sistência hidráulica para o escoamento desta mistura bifásica, seja
I através do circuito intacto e pelo espaço anular ate a ruptura, seja
pelo circuito que sofreu a ruptura.
I As maiores resistências ao escoamento são devidas ãs

bombas e aos geradores de vapor. Durante a fase de reinundação, o la_
1 do secundário dos geradores de vapor cede calor ao primário, aquecen-
do a mistura bifasica e produzindo vapor superaquecido, que aumenta a
a pressão e agrava o efeito de bloqueio de vapor.
0 bloqueio de vapor reduz a taxa de inundação do nü

i cleo de cerca de 6 a 8 in/seg. calculado para uma inundação a frio,
i.e., sem geração de vapor, para um intervalo real de 1 a 1,5 in /
i 21 6
seg ' \
i Como conseqüência da redução da tada de inundação, a

temperatura do revestimento atinge valores ainda mais altos.
i Os fabricantes de reatores â água pressurizada preo-

cupam-se em tomar medidas para reduzir ou limitar os efeitos de blo
i queio de vapor. Estas medidas incluem a injeção de refrigerante de

emergência em diagonal nas pernas frias, com o jato dirigido direta,
i mente ao vaso de pressão, válvulas de alívio na câmara plena superior

e injeção da água de refrigeração de emergência nas pernas quentes,
com o jato dirigido diretamente ã câmara plena superior.
i A injeção nas pernas quentes, encontrada em reatores a
i água pressurizada fabricados na Alemanha, permite a condensação do v<i

por gerado no núcleo, reduzindo o efeito de bloqueio de vapor. Hxpcri
i mentalmente, foi demonstrado que este método fornece uma eficiência

de condensação de 80% s 2 .
i
i
1
I
I 44
I
III-2) Uma Visão Geral do Sistema de Refrigeração de Emergência do
g Núcleo
I 0 Sistema de Refrigeração de Emergência do Núcleo(SRIN)

e projetado para proteger o núcleo do reator contra as possíveis con
seqUencias de uma grande variedade de acidentes, principalmente o
I LOCA. Um controle automático deteta a ocorrência do acidente e coo£
dena a operação das diversas partes do sistema, de acordo com as ci£
I cunstâncias do acidente. A função principal do SREN é suprir de água

boiada o núcleo do reator apôs o acidente para resfriar e limitar o
I acréscimo de temperatura do material que reveste o combustível, evi-

tando assim que o núcleo seja danificado e haja consequentemente fuga
de materiais radioativos para o meio ambiente.
I 0 SREN consiste de muitos subsistemas independentes,
I cada qual caracterizado por redundância de equipamentos e caminhos

de escoamento, a qual permite flexibilidade na operação e no resfria^
I mento contínuo do núcleo, mesmo com a falha de algum componente

subsistema.
do
I Os principais componentes do SREN são os acumuladores,

as bombas de injeção de segurança e as bombas de ranoção de calor re
I sidual. A Fig. (III-l) apresenta um diagrama esquematico com os prin

cipais componentes do SREN.
I
III-3) 0 Sistema de Injeção de Refrigerante de Emergência a Baixa
I Pressão
I Denomina-se sistema de injeção a baixa pressão, "Low

Pressure Injection System" CLPIS) ao conjunto de componentes do SREN
que realiza a função de injetar água borada a baixa pressão no vaso
I do reator durante a fase de injeção ativa.
1 A Fig. (Tit.2) apresenta inn esquema simplificado do

LPIS. Os principais componentes do sistema são:
I
•!|S
1
I
I
I
I
I
I
C3
I
I
I
I
t
1
I
I a) Bombas de remoção de calor residual
I Bn numero de duas, estas bombas são utilizadas para

fornecer um grande escoamento de água borada a baixa pressão para o
I Sistema de Refrigeração do Reator. Alem disso, são também utilizadas
para recircular água do poço da contenção para o reator e ainda para
I a sucção das bombas de alta pressão. Estas bombas são centrífugas,

verticais e movidas a motores elétricos.
I b) Tanque de Annazenainento de Água de Recarregamento (TAAR)
I A capacidade deste tanque ê de 285000 galões de ãgua

borada (a 2000 ppm) ã pressão atmosférica. De acordo com o projeto,
I deve fornecer ãgua borada para inundar o compartimento do reator por
ocasião da recarga de combustível e, caso ocorra um acidente de pe£
I da de refrigerante, deve suprir as bombas de injeção de segurança, as
bombas de remoção de calor residual, bem como as bombas de "spray" da
I contenção. A capacidade deste tanque ê dimensionada de modo a preen

cher a exigência de encher o canal de recarregamento. Esta capacidade
I fornece uma quantidade de ãgua borada para assegurar:
um volume de ãgua borada suficiente para reencher o vaso do

I reator acima dos orifícios de entrada e saída;
um volume de ãgua borada suficiente para prevenir totalmen
I te o retorno à criticaiidade, com o reator desligado a frio e todas
as barras de controle, exceto a mais reativa, inseridas no núcleo;
I Um volume de ãgua no poço da contenção suficiente para per_
mitir o início da recirculação.
I
A indicação de nível de ãgua no tanque de armazenamen
I to ê feita através de dois dispositivos de nível ajustados ao tanque,
fornecendo indicação local e também na sala de controle principal. Am
I bos os canais também fornecem meios de se iniciar alarmes na sala de
controle principal para assegurar um nível apropriado no tanque duran
Í tc a fase normal de operação e para indicar o tempo para terminar a
fase de injeção.
I
I
I c) Válvulas
I - 8804 A, B
I Estas válvulas de portão, operadas a motor, isolam as

linhas de retorno das bombas de remoção de calor residual para o sis_
tema de refrigeração do reator durante a fase de "cooldown". Na fase
I de operação normal, estas válvulas estão fechadas e permanecem fecha_
das na fase de injeção.
I - 8807 A, B
I Esta.s válvulas operadas a motor, situadas na linha de
conexão dos 2 trens do LPIS, estão normalmente abertas durante a opé
I ração normal da usina, permanecendo abertas na fase de injeção.
I - 8809 A, B
Estas válvulas de portão operadas a motor estão normal^
I mente abertas durante a operação normal da usina, permanecendo aber-
tas durante a fase de injeção de segurança.
I - 8810 A, B
I Estas válvulas de portão operadas a motor,situadas nas

2 linhas de sucção do poço da contenção para a sucção das bombas de
I remoção de calor residual, estão normalmente fechadas durante a opera

ção normal da usina, sendo abertas somente durante a fase de recir-
culação.
I - 8812 A, B
I Estas válvulas de portão operadas a motor, cada uma si^

tuada em um dos trens do LPTS, estão normalmente abertas durante a
I operação normal da usina, fornecendo sucção para as bombas de remoção

de calor residual na fase de injeção ativa.
I " As características principais das bombas de

de calor residual são mostradas na Tab. (III.1).
remoção
1
1
I
I Tab. (III.I) - Características Principais das Bombas
I de Remoção de Calor Residual
I Bombas de Remoção de Calor Residual

N* de bombas 2
• Tipo Centrífugas verticais
Pressão de Descarga -
I de Projeto, psig (kg/cm )

Temperatura de Projeto,°F (°C)
600 (42,2)
400(204,4)
— Vazão de Projeto, gpm (l/s) 2250 (142)
I "Head" do projeto, ft (m) 265 (80,8)
"Shutoff head", ft (m) 350(106,7)
I Potência do motor, HP 200
I Ao receberem o sinal "S", as válvulas de isolamento

deste subsistema são abertas e as bombas partem, fornecendo a água
I borada do tanque (TAAR) diretamente ao vaso de pressão, através de
duas linhas redundantes. De acordo com o critério de projeto20 , o
I funcionamento de uma das bombas garante o funcionamento adequado do
sistema.
I As bombas do LPIS não entram em funcionamento até que

a pressão do circuito primário caia a 150 psia.
I
I III-4) O Sistema de Injeção a Alta Pressão
Denomina-se Sistema de Injeção a Alta Pressão, "High
I Pressure Injection System" (HPIS) ao conjunto de componentes do SREN

que realiza a função de injetar ãgua borada a alta pressão no vaso do
reator durante a fase de injeção ativa.
I
A fig. (III.3) apresenta um diagrama simplificado do
• HPIS. Este sistema ê composto por 2 bombas de injeção de segurança,
o tanque de armazenamento de ãgua de recarregamento, o tanque de in
I jeção de boro e válvulas e tubulações associadas. Estes são os compo
nentes. de relevância para a análise aqui realizada (onde se postula a
I
-Ã-lÍJ01A V£«tT
?2f
<
StOlA
TIB "ISTRlPMtATeR
TAAR
VRIP r
HtATl«-
A 3-SI-25Q1R
E
2-Sl-2S0rK
•HÎ-
^%o^^
(«]-¥ 8ÍO2A
Í921A J922A
0 V S926
«-5I-1SÍP
4-SI-25PII?
B - Y «S02J
(3 2-SI-Í51H
«3215 8922S
ÍSü
13-SI-ZSOIR
8811
2-SI-1MR
8905
PE(M«
4V(NTC 8919* Í320
< 8830
Fig.- (II1-3) Esquema do HPIS

51
00
52
fcO
•r-l
tu
I
I 53
I ocorrência de um acidente de perda de refrigerante tipo guilhotina) .
I Os principais componentes do HPIS são
I a) Bombas de Injeção de Segurança

As bombas de injeção de segurança, em número de duas,
I são de alta pressão e baixa capacidade de escoamento. A pressão de

descarga destas bombas ê ligeiramente inferior à pressão de operação
1 do Sistema de Refrigeração do Reator, para evitar injeção inadvertida

durante a operação normal. As bombas são centrífugas e horizontais,
movidas por motore- elétricos e podem suecionar água borada do tanque
I de armazenamento He água de i~ecarregamento, ou da tubulação de descai:
ga das bombas do sistema de remoção de calor residual, neste caso jã
I na fase de recirculação.
I b) Tanque de Injeção de Boro (TIB)

Este tanque esta conectado às linhas de injeção nas
I pernas frias, na descarga das bombas de alta pressão, contendo
solução a 121 em peso de ácido bõrico.
uma
I c) Tanque de Armazenamento de Água de Recarregamento

I Este componente jã foi apresentado no item anterior.
I d) Válvulas
I - 8801 A,B; 8803 A,B

Estas válvulas operadas a motor colocadas em paralelo
I na entrada e saída do Tanque de Injeção de Boro, estão normalmente fe

chadas durante a operação normal da usina, isolando a solução de água
borada no TIB e nas tubulações associadas do restante do HPIS. Ao re
I ceberem o sinal "S", estas vãlvulns abrem.
I - 8802 A,B
_ Estas válvulas operadas a motor, situadas na linha de
I conexão das linhas de descarga das bombas de injeção de segurança es
i
I 54
I tão normalmente abertas durante a operação normal da usina. Este pro

I cedimento assegura que qualquer bomba pode fornecer o conteúdo do
tanque de injeção de boro ao Sistema de Refrigeração do Reator, apôs
I a atuação da injeção de segurança.
I - 8805 A, B
Estas válvulas de portão operadas a motor situadas nas
I duas linhas de sucção das bombas de injeção de segurança provenientes
do TAAR estão normalmente abertas durante a operação normal da usina,
I El as fornecem água borada do TAAR para a sucção das bombas de injeção

de segurança.
I - 8813, 8814, 8920
I Estas válvulas de globo operadas a motor, situadas nas

linhas de retorno de mini-escoamento das bombas de injeção de seguran
ça para o TAAR, estão abertas durante a operação normal da usina e.
I também durante a fase de injeção.
I - 8815 A,B
Estas válvulas de portão operadas a motor situadas nas
I linhas de injeção no vaso de pressão estão normalmente fechadas duran
te a operação da usina. Ao receberem o sinal "S", seguido por um
I atraso do tempo de 3 minutos (para permitir a injeção da água borada
do TIB através das pernas frias), estas válvulas se abrem e permane-
I cem abertas durante toda a fase de injeção.
I - 8829, 8830
Estas válvulas de portão operadas a motor,situadas nas
I linhas de recirculação (para as linhas de recireulação de "heads" ai

to e baixo) estão fechadas durante a fase de injeção de segurança.
1 Apôs a atuação do sinal "S", a descarga do IIPIS no Sis

tema de Refrigeração do Reator c feita inicialmente através da linha
I de injeção dos acumuladores (Fig. III.1). Uma das linhas de descarga
55
contém o TIB. A água vinda do TAAR, ao passar através desse tanque,

força a solução altamente concentrada de ácido borico para fora do
Tanque de Injeção de Boro, em direção ãs pernas frias.
Esta injeção inicial, através da linha dos acumulado

res, visa fazer com que a solução fortemente concentrada de água bo
rada existente no TIB seja lançada no vaso de pressão.
Decorridos cerca de 3 minutos apôs o acidente a inje

ção das bombas de alta pressão é feita também no espaço anular do ya
so do reator, através da linha de injeção a baixa pressão.
A injeção a alta pressão é importante para pequenas

rupturas. Para grandes rupturas, caracterizadas por uma rápida de:»
compressão do sistema, a maior parte do escoamento de injeção é £e_i
to através do circuito de injeção das bombas de baixa pressão.
A Tab. (III.2) apresenta os parâmetros de projeto dos .

principais componentes do HPIS.
Tab. (II1.2) Parâmetros de Projeto dos Principais

Componentes do HPIS
Tanque de Injeção de Boro
Numero 2
Volume total, galões (litros) 900 (3406,5)
Concentração do ácido borico,
(nominal em peso) 12$
Pressão de projeto
psig, (kg/cm2) 2735 (192,3)
Temperatura de projeto, °F (°C) 300 (148,9)
Pressão de operação,psig (kg/cm) 434 ( 30,5)
Faixa de temperatura de operação,°F(°C) 155-175 (68,3-79,4)
Número de aquecedores do faixa
("strip heaters") 2
Capacidade de cada aquecedor
de faixa, kW 6
U|<D m|
I
I
56
I
Bombas de Injeção de Segurança
I
Número
Tipo Centrífugas, horizontais
I
2
Pressão de projeto,psig (kg/cm )
Temperatura de projeto, F ( C)
2485 (174,4)
300 (148,9)
I
Vazão de projeto, gpm (l/s)
"Head" de projeto, ft (m)
700 ( 44,2)
2750 (858,2)
I
11
Shutoff head", ft (m)
Potência do motor, HP
5100 (1554,5)
800 I
Na fase de desligamento de curto tempo ( "short term
I
shutdown"), a existência de um grande numero de vazios no núcleo, ga
rante o desligamento do reator. Porém, a ãgua borada existente no
I
tanque de injeção de boro (TIB) deve se encontrar a concentração no-
minal (21000 ppm, i.e., 12,0 ± 0,5S) para efetuar a fase de desliga- I
mento a longo tempo ("long term shutdown"), já que, devido ao efeito
Doppler, haverá inserção de reatividade positiva no núcleo do reator. I
2 18 36
III.5) Operação do SREN, Apôs a Ocorrência de um WCA. ' ' I
A eficiência do SREN ê avaliada através da capacidade
das bombas e acumuladores de manter o núcleo inundado, ou de reinun- I
dá-lo apôs um acidente de perda de refrigerante.
Utilizando a mínima energia disponível, qual seja, a

I
de um dos dois geradores diesel, o equipamento passível de ser empre
gado na refrigeração de emergência é uma das duas bombas de injeção
I
de segurança, uma das bombas de remoção do calor residual e os dois
acumuladorcs, não sendo considerada a ãgua injetada pelo acumulador
ligado ã perna fria quebrada, a qual ê lançada diretamente na conten
I
ção e coletada pelo poço existente na mesma. Com este equipamento,
a temperatura maxima calculada para o revestimento deve ficar abaixo
I
do critério de projeto20'"'"''^ qualquer que seja o tamanho da ruptu
ra na perna fria, incluindo a ruptura tipo guilhotina.
I
I
I
57
I
I Tanto as bombas de injeção de segurança como as de re
I moção de calor residual foram projetadas para atuar a plena capacida

de, em cerca de 20 seg apôs a recepção do sinal de injeção de seguran
I ça (sinal "S"). Este sinal ê ativado em qualquer um dos seguintes ca

sos:
I baixa pressão no pressurizador;

alta pressão na contenção;
baixa pressão na linha de vapor;
I atuação manual.
I Em análises de segurança, supõe-se um atraso de 25 seg

para a atuação das bombas de injeção de segurança e de remoção de ca
I lor residual.
I saber:
0 SREN (Fig. III.1) opera em três fases distintas, a
I fase de injeção passiva;

fase de injeção ativa;
I fase de recirculação.
I de 30 minutos.
0 tempo de funcionamento destes sistemas é" da ordem
I A operação inicial apôs a ocorrência de um LOCA é com

pletamente automática, através do sinal "S". Os geradores diesel pa£
I tirão independente de haver ou não um "blackout" na usina.
I Para acidentes de perda de refrigerante tipo guilhoti^

na, caracterizados por uma queda rápida da pressão do sistema de re
I frigeração do reator, a injeção é" feita através dos caminhos de inj£

ção de "heads" de alta e baixa pressão. Contudo, conforme já discuti
do, a maior parte da injeção e feita através do "head" de baixa
I pressão. A injeção, por ambos os caminhos, começa quando a pressão
do refrigerante do reator se torna menor que o "shutoff head" das bom
I bas. Para este acidente, o operador necessita somente monitorar a
1
- 58
I
partida do equipamento de segurança e a abertura adequada' das vãlvu
• Ias de segurança.
I Se o operador considerar que as condições que delimi

tam o acidente de perda de refrigerante (durante o período anterior a
atuação do sinal "S") indicam que a injeção de segurança ê neces-
I sária, ele pode iniciar o sinal "S" manualmente, a partir da sala de
controle principal.
I
I III-6) Observação «obre Instrunentação e Controle
Não nos detivemos em considerar toda a instrumentação

I e controle dos sistemas analisados. Como pode ser observado, houve
apenas menção aos indicadores de nível do tanque de armazenamento,uma
I vez que ê indispensável haver nível suficiente de água para o caso de

haver solicitação de algum dos sistemas aqui analisados.
I
I
I
I
I
I
I
I
1
1
I 59
I
IV - MODELOS DE ANALISE UTILIZADOS
I Discute-se inicialmente neste capítulo a assimilação
I da metodologia empregada no relatório WASH-14001*5 . Ã seguir, são apre
sentadas todas as etapas de calculo, desde a construção das árvores
I de falhas ate a analise de importância de confiabilidade.
A construção das árvores e o emprego do código SAMPLE,

I segue de perto a metodologia descrita no referido relatório; a obten
ção de cortes mínimos ê feita a partir do algoritmo de Vesely-Fussell,
I enquanto a análise do importância de confiabilidade e feita com o au
xílio de um programa de computador desenvolvido para esse fim (ver a
I respeito o apêndice C ) .
I IV-1) Assimilação da Metodologia
0 relatório WASH-1400"5apresenta um estudo dos riscos '

I impostos ao público norte-americano pelo funcionamento de usinas nu-
cleares. 0 estudo analisa os sistemas de segurança de uma usina PWR.
I e de uma BWR típicas.
I 0 relatório apresenta os resultados dos cálculos da in

disponibilidade do LPIS e do HPIS do reator típico, feitos a partir
do código SAMPLE (ap. B) e, ainda, um estudo temporal da mesma, feito
com o auxílio do código PREP-KITT60.
I Esses cálculos de indisponibilidade foram feitos com o

objetivo de avaliar as probabilidades de ocorrência de determinadas
I seqüências de acidentes. Como exemplo de um problema deste tipo, po

demos citar o seguinte: suponhamos que ocorre um pequeno LOCA em uma
das pernas frias do reator. Sabendo-se as indisponibilidades dos sis
I temas de segurança e, sabendo-se a seqüência em que os mesmos devem
entrar em funcionamento, pode-se construir as várias seqüências dos
I acidentes, ate se chegar aos pontos de liberação radioativa para o
meio ambiente.
I
1
1
60
I
I
A assimilação da metodologia, envolveu as seguintes
• etapas:
a) estudo da técnica de árvores de falhas;
I b) estudo de conceitos básicos de teoria de confiabilida
_ de;
I c) estudos dos sistemas de injeção de refrigerante de
_ emergência de baixa e alta pressão do reator PWR típico descrito no
| relatório;
d) avaliação numérica da indisponibilidade do LPIS do rea
I tor típico, como exemplo prático de verificação da assimilação da me
todologia.
No Capítulo II, apresentou-se as propriedades mais im
I portantes das variáveis booleanas. Essas propriedades são de grande

importânciao nna
•irnnrvri-Snr-i redução hbooleana
a ví»r!in-nn de íarvores
n n i p a n f i At* de
n m w s rlf> falhas.
-Ffllhae;.
I Existe, porém, um outro tipo de redução relevante tan

to no processo de avaliação qualitativa quanto quantitativa. As árvo-
I res de falhas detalhadas construídas de acordo com o discutido no Ca- "

pítulo II, identificam um grande numero de eventos que, no fim, são
contribuintes insignificantes da probabilidade de falha do sistema.
I Ha ainda uma grande quantidade de eventos, que envolvem segmentos de
tubulação, etc., que são mostrados na árvore de falhas simplesmente
I porque tinha-se em mente preservar o rigor (exame componente a compo
nente) da metodologia e manter um grau de uniformidade nas avaliações.
I A fim de se poder tornar as avaliações manuseãveis e manter os even-

tos significantes' de modo consistente com a resolução dos dados disp£
I níveis, as árvores de falhas foram reduzidas antes de serem feitos os

cálculos definitivos. Os procedimentos e regras descritos abaixo fo
ram usados na redução de árvores detalhadas:
I a) a probabilidade de falha de um evento passivo (p.ex., rug
I tura de tubulação, fio em curto, etc.) é geralmente muito menor do

que a probabilidade de falha de um evento ativo (p.ex., válvula não
I fecha, bomba não parte, contatos não fecham, erro do operador,etc).

1
61
I
I A importância de um evento passivo torna-se ainda menor quando deve
coexistir com outros eventos ativos e/ou passivos para produzir a fa
I lha do sistema. Na árvore de falhas do LPIS, todos os eventos pas-
sivos foram retidos para a quantificação; já no caso da árvore do
I HPIS, procurou-se preservar eventos dessa natureza relacionados com

linhas que não possuissem redundância (em estrito acordo com a método
I logia).
b) Um evento simples é aquele que produz um corte mínimo de

I primeira ordem; um evento duplo é aquele que produz um corte mínimo
de segunda ordem, i.e., é" formado por dois eventos simples.
I Todos os eventos ativos simples é duplos foram preservados.

Eventos deste tipo que possuem probabilidades de ocorrências altas
I em comparação com outros eventos desta natureza, foram preservados.
I c) Os eventos representados nas árvores como círculos dentro

de losangos são considerados básicos. Na realidade, deveria haver
I uma sub-ãrvore associada a cada um dos mesmos. Como exemplo, na ãrvo

re do HPIS, cita-se o evento "sinal S não é gerado". 0 motivo des
te procedimento, e que não se dispõe de dados suficientes e, alem dis
I so, especificamente para o caso do sinal "S", o nível de complexidade
ê muito alto.
I IV-2) Construção das Arvores de Falhas
I Nesta seção, faz-se um breve comentário sobre a etapa ini

ciai do trabalho: a construção das árvores. No capítulo seguinte,
I as mesmas serão apresentadas, bem como discussões mais pormenorizadas
relativas ã construção.
I IV-2.1) Caso do LPIS
I Analisando o funcionamento do LPIS (ver Fig.II1.2), e iden.

tificado o evento principal de interesse, qual seja, "LPIS fornece va
I zão insuficiente ao vaso do reator no caso da ocorrência de um aciden

te de perda de refrigerante tipo guilhotina", procedeu-se ã análise,
I
62
I
I de acordo com a metodologia exposta no cap. II.
I A maneira de construir a árvore, conquanto de acordo

com o relatório WASH-14001*5 , apresenta características próprias, devi
I do às diferenças estruturais existentes entre os sistemas de Angra I
e do reator PWR típico analisado no referido relatório, podendo-se ei
I tar, como exemplo, o fato de o LPIS de Angra I injetar somente no va
so de pressão, ao passo que o do reator típico injeta nas pernas
I frias.
Devo-se frisar que o enfoque sobre os eventos básicos

I é praticamente o mesmo. Uma diferença entre ambas as análises, diz
respeito ãs falhas de segmentos de tubulações. De um modo geral, à
I nossa análise procurou levar em conta todas as falhas desse tipo, ao
passo que no relatório, somente aquelas linhas que não possuíam redun
I dância receberam esse tipo de análise. Nosso objetivo ao considerar

todos esses tipos de falhas ê realizar uma análise mais completa, pro
I curando não desprezar eventos que, qualitativamente revelem influência

sobre o funcionamento do sistema.
I Serão consideradas todas as interfaces do sistema, de

modo a que sejam descobertos os eventos que possam eventualmente afe-
I tar o desempenho do mesmo.
Em nossa análise, assumimos que certos eventos para os

I quais não se dispõe de informações suficientes para uma análise deta-
lhada, são considerados como básicos, sendo representados como "circu-
I lo dentro de losango". Ê o caso, p.ex., da não geração do sinal S.
I IV-2.2) Caso do HPIS
I Considerando o funcionamento do HPIS para o caso

ocorrência de um acidente de perda de refrigerante,
de
en-
contra-se que muitas linhas não possuem redundância. Para este caso,
I so consideramos na análise as falhas de segmentos de tubulação de li
nhas que não possuem redundância, procedimento que está do acorco com
o adotado na análise do relatório WASH-1400"s.
63
IV-3) Utilização do Programa SAMPLE
Apresentamos uma descrição sumaria do programa SAMPLE1*5

no apêndice B. 0 emprego deste programa em nosso trabalho tem por fim
obter:
a) a indisponibilidade dos sistemas a partir das indisponibi

lidades dos eventos básicos;
b) realizar uma análise de sensibilidade paramétrica de al-

guns eventos básicos para avaliar a influência dos mesmos sobre o even
to principal.
Nas três subseções seguintes, discutimos todos os as

pectos do emprego do referido código.
IV-3.1) Obtenção de Dados
A obtenção e avaliação de dados para se efetuar anãli

ses de confiabilidade ê, segundo Fusselle Arendt2l*uma tarefa frustran'
te. Dados suficientes, bem como uma metodologia padronizada são impor
tantes para que esta metodologia seja largamente aceita e empregada,
por exemplo, no licenciamento de usinas nucleares.
Esta dificuldade de obter dados adequados se apresenta

também em nossa análise. Todos os valores das medianas das indisponi
bilidades e dos fatores de erro empregados (Ver, a respeito destes dois
conceitos, o apêndice A) são obtidos do apêndice III do relatório WASH
-14001*5. Em certas situações, dados das próprias árvores de falhas
são empregados (ver a respeito o capítulo V ) .
II-3.2) Cálculos de Indisponibilidade
0 primeiro objetivo de cálculo do trabalho, consiste

na obtenção das indisponibilidades dos dois sistemas, à partir das in
disponibilidades fornecidas como dados de entrada.
1
• 64
I
Basicamente, a obtenção destas indisponibilidades, é
I feita com o auxílio do método de Monte Cario1'10'12, o qual levando em
conta as incertezas dos dados de entrada (indisponibilidade dos even-
I tos básicos), fornece a incerteza da indisponibilidade do sistema. Com
este método, obtém-se a distribuição de indisponibilidade dos siste-
I mas. Para cada evento de falha existente na expressão booleana da ar

vore de falhas de cada sistema, uma indisponibilidade particular é ob
I tida por uma amostragem aleatória da distribuição lognormal apropriada

(assumida a princípio). Os valores da indisponibilidade assim obtidos
são então empregados para se calcular a indisponibilidade do evento
I principal. Este processo ê repetido um numero especificado de vezes
(em nosso caso, 1200 vezes), obtendo-se uma distribuição para o evento
I principal. Esquematicamente, podemos representar o procedimento da se
guinte forma:
- cada evento jL possui uma distribuição longnormal, definida

• pelos percentis de 5'» e 95^, Xj,, e XÍ,., , respectivamente;
emprega-se o método de Monte Cario 1200 vezes onde, de ca

I da vez, obtém-se um valor da indisponibilidade, q* , para cada evento'
±, a partir da distribuição especificada para cada evento;
I para cada conjunto de valores de q, utiliza-se a função de

*
estrutura para se obter um valor da indisponibilidade do sistema, Q..
I Os 1200 valores obtidos para Q, caracterizam a distribuição do sistema.
Este procedimento assegura um erro de cerca de 1 % M pa

I ra o intervalo de 901 considerado.
I Na utilização do método de Monte Cario, ha a necessida.

de de se gerar números aleatórios, o que é feito através de uma subro
tina60acoplada ao código SAMPLE.
I IV-3.3) Análise de Sensibilidade
I
_ to é, (Fig.IV-1)
Consideremos uma função f real, de variável real x, is
I
65
f = f (x) (IV-1)
caracterizada ainda por um grupo definido de parâmetros, p^ , onde

i = 1, 2, ..., n.
Efetuar uma analise de sensibilidade paramétrica signi^

fica avaliar como se comporta a função dada ao se dar valores diferen
tes a cada parâmetro, de cada vez. A Fig. (IV. 1) mostra, como exemplo,
£(x)
Fig. (IV-1) Analise de sensibilidade paramétrica
as curvas para diferentes valores de alguns parâmetros, p., onde o ín

dice i^ indica parâmetros diferentes e o índice 1c indica valores dife-
rentes de cada parâmetro.
Em nosso caso, temos uma função de variáveis aleatõri

as,
Q = Q (a) (iv-2)
onde
q2. (IV-3)
In x - (IV-4)
/2TT exp 2"
Os parâmetros serão alguns dos q. (ver a respeito, o

capítulo seguinte). Cada um destes q. e uma distribuição lognormal,
66
definida no intervalo (0,1), (Fig.IV.2). Nesta figura, mostramos um
|-<-int.de valores experim.->-| î

Fig.(IV-2).Analise de sensibilidade a ser efetuada
q. típico, definindo também o intervalo de valores experimentais co

nhecido. Este intervalo permite definir os limites de 5$ e 95% usados
nas análises. Os valores que empregamos para obter a indisponibilida
de (ver o item anterior) estão todos dentro deste invervalo de 90$.
A nossa análise de sensibilidade consta das seguintes

etapas:
tomar as medianas das indisponibilidades dos eventos;

para cada evento a analisar, considerar valores fora do
intervalo de 90$.
Esta análise e também realizada com o código SAMPLE1*5.
IV-4) Obtenção dos Cortes Mínimos
Não foi feita uma analise temporal5s.;S6'60da indisponibi.

lidade dos dois sistemas analisados, pois os mesmos, em caso de aciden
te devem funcionar por um curto intervalo de tempo (30 min).
Além disso, a probabilidade destes sistemas falharem

em partir ê muito maior do que os mesmos falharem durante o curto iri
i
67
I
I tervalo de funcionamento. Assim, assumimos neste trabalho que o su
I cesso em partir desses sistemas garantira o funcionamento dos mesmos

no intervalo de interesse.
I Em vista destas considerações, procuramos então identi

ficar os cortes mínimos dos sistemas.- Para tal, empregamos o algo-
I ritmo de Vesely-Fussel (ver o cap. II), já que o nível de complexida_
de das árvores de falhas não ê grande.
I
I IV-5) Calculo da Importância de Confiabilidade
Foi desenvolvido um pequeno programa (ver apêndice C)

I para a obtenção das importâncias de confiabilidade dos eventos bási-
cos das árvores de falhas.
I Esta análise ê de grande valia na identificação daqoe

les eventos básicos que merecem maior atenção, por possuírem valores
I altos de importância de confiabilidade, chegando alguns deles a ser
críticos (quando essa importância ê igual a i ) .
I
I IV-6) Observações relativas ao Calculo da Indisponibilidade
Os cálculos de indisponibilidade a serem realizados

I neste trabalho visam obter somente a contribuição de "hardware". Em
um trabalho posterior, estudaremos as contribuições devidas a testes
I e manutenção, bem como as contribuições devidas a falhas de modo co-
mum.
I
I
I
I
I
I 68
I
• V - APRESENTAÇÃO E INTERPRETAÇÃO DOS RESULTADOS
I A apresentação e análise dos resultados foi dividida

em duas etapas estanques, a primeira referente ao LPIS e a segunda
• ao HPIS.
g V-l) Resultados para o LPIS

_ V-l.l) Arvores de Falhas para o LPIS
™ Segundo a metodologia exposta no capítulo II, a arvore
de falhas reduzida para o LPIS foi construída, considerando-se o se^
I guinte evento principal:
• "0 LPIS não fornece vazão suficiente ao vaso de prejã

são quando da ocorrência de um acidente de perda de refrigerante tipo
• guilhotina".
A árvore de falhas reduzida para este sistema é apre

• ' sentada no apêndice D.
I As duas bombas de remoção de calor residual e os dois

trocadores de calor (estes últimos não representados no esquema do
_ LPIS, apresentado no capítulo III) são componentes que geralmente são
| empregados durante os últimos estágios do resfriamento normal do rea
tor e também quando o mesmo ê mantido em desligamento a frio, para a
• remoção do calor de decaimento do núcleo. Durante todos os outros pe
ríodos de operação da usina, estes componentes são alinhados para rea
I lizar a função de injeção a "head" baixo, (ver, a respeito, a Tab.V-l),
a qual consta de duas fases:
• a fase de injeção (nos primeiros 30 min aproxiinadamen
te);
• - . a fase de recirculação.
As interfaces consideradas são, na realidade, dentro

I do mesmo sistema - o sistema de remoção de calor residual (RHRS). Du
TAB. (V.I) FUNÇÕES DE ALGUNS COMPONENTES DO RHRS
NÚMERO DE FUNÇÃO DURANTE A ARRANJO DUi'ANTE A FUNÇÃO DURANTE ARRANJO DURANTE O

COMPONENTE
COMPONENTES OPERAÇÃO NORMAL DA USINA OPERAÇÃO Í.ORMAL O ACIDENTE ACIDENTE
Tanque de^ármazena- Alinhado com a sue Fonte de água bo Alinhado com a suc-
mento de água de re Tanque de armazenamento para ção das bombas de rada para o nú- ção das bombas de
carregamento as operações de recarregamen injeção de '-eguran cleo e para o injeção de seguran
to ça, de re,-i'o;jo d e "Spray" ça, de remoção de
calor residual e calor residual e de
de "Spray" 'Spray"
Bombas de remoção Fornecimento de água ao pri Alinhadas para sue Fornecer água bo Alinhadas para sue
calor residual mãrio para a remoção de ca- cionar do TAAR e rada ao núcleo cionar do TAAR e
lor residual^durante os des fornecer ao vaso através dos bo- fornecer para o va.
ligamentos rápidos de pressão cais do vaso do so do reator
("Shutdowns") reator
Trocadores de ca Remover calor residual do Alinhados para Refrigerar a Alinhados para

lor residual núcleo durante o desligamen recirculação água no poço da recirculação
to rápido contenção para o
resfriamento do
núcleo
o
o
70
I
I
rante a fase de injeção, este sistema atua como sistema de injeção a
I
baixa pressão (LPIS) e, durante a fase de recirculação, este sistema
atua como sistema de recirculação a baixa pressão (LPRS). Da mesma I
forma, as bombas de injeção de segurança compõem o SIS (Sistema de Iri
jeção de Segurança), o qual, durante a fase de injeção atua como Sis
tema de Injeção a Alta Pressão (HPIS) , enquanto que na fase de reci_r
I
culação atua como Sistema de Recirculação a Alta Pressão (HPRS). I
tes:
As interfaces consideradas na analise são as seguin-
I
1.) Linhas de sucção do poço da contenção (duas linhas, cada I
uma conectada a uma linha das bombas de remoção de calor residual).
As possibilidades consideradas foram: I
falhas nas duas tubulações 10-SI-60IR. (Fig.III.2)
OBS.: Não foi considerada a possibilidade de falhas nas NDVs
I
8811A, B ou na tubulação que as une ãs MOVs 8810A, B e nem nestas vai
vulas, pois ê muito improvável que isto ocorra» jã que, por exemplo,
I
se ocorrer falha operacional que ocasione a abertura daquelas duas
válvulas, para haver falha do LPIS deveriam ocorrer falhas operaciona I
is nas MOVs 8810A, B também (inadvertidamente abertas).
2.) Linhas de sucção das pernas quentes (fase de recircula

I
ção). As possibilidades foram: I
falhas nas duas tubulações 8-RH-60IR. (Fig. II1-2)
Uma observação semelhante ã do item anterior é válida aqui. I
3 a ) A descarga do HPIS no vaso de pressão durante a fase de
injeção é feita pelas mesmas linhas do LPIS. Portanto, na análise do
I
LPIS, deve-ser considerar a possibilidade de falhas nestas duas li-
nhas do HPIS. .
I
4.) A linha de conexão dos dois trens do LPTS objetiva fazer
I
I
i
I 71
I
I recirculaçao para as pernas quentes, através do ffl'RS. As J>fOVs 8807A,
B estão abertas durante a.fase de injeção, mas a MOV 8818 (HPRS) deve
estar fechada. Portanto, dcve-ser analisar a possibilidade de falhas
I que impeçam a injeção a baixa pressão no vaso do reator.
I As possibilidades consideradas aqui foram:
falhas na tubulação 6-SI-60IR.

I 5.) Linhas para as pernas frias (fase de recirculaçao). As
I falhas mais importantes aqui são justamente aquelas passíveis de ocor
rer nas MOVs 8804 A,B. Ha ainda a considerar a possibilidade de rup_
I tura nas respectivas tubulações.
I Os eventos representados na árvore como círculos den

tro de losangos merecem um comentário especial. Esses eventos são os
seguintes:
I sinal "S" não é gerado para os trens (em número de dois);
I MOV 8812A fechada devido a falhas elétricas;

Vazão insuficiente através da bomba de injeção de seguran
I ça de baixa pressão n 9 1;
MOV 8809A fechada devido a falhas elétricas;
I MOV 8812B fechada devido a falhas elétricas;
I Vazão insuficiente através da bomba de injeção de seguran

ça de baixa pressão n 9 2;
I MOV 8809B fechada devido a falhas elétricas.
I A analise destes eventos foi feita considerando que

os componentes envolvidos são semelhantes àqueles do reator típico,
estudado no relatório WASH-14001*5. Assim, as subarvores que deveriam
I constar da árvore de falhas reduzida (Ap. D) são as mesmas considera
das no referido relatório.
I
As considerações contidas no parágrafo anterior envol^ ,
vem uma conseqüência importante. Ate que ponto é valido considerar
componentes de diferentes sistemas como sendo iguais? Este efeito |
pode ser devidamente analisado a luz de uma análise de sensibilidade
(ver, a respeito, a seção V-1.4).' I
As falhas ativas consideradas, foram analisadas de •

acordo com o que foi feito na árvore de falhas reduzida do LPIS do re
Ir.t5r.io WASH-1400-5.
V-1.2) Dados de entrada •
Os dados de entrada empregados na análise do LPIS fo |

ram retirados do relatório WASH-MOO1*5 . Os dados para a análise dos
eventos representados como círculos dentro de losangos foram retira •
dos da Tabela II-5.16 do Apêndice II do referido relatório; os dados
restantes, da Tabela III-2.1 do Apêndice III. I
V-1.3) Indisponibilidade do LPIS •
" ~ I
A analise da indisponibilidade do LPIS foi feita segun •
do a metodologia exposta no capítulo IV. Considerando os danos cons
tantes da Tab. (F-l) e a função de estrutura apresentada naFig.(V-l), > J
o emprego do código SAMPLE1*5 forneceu os resultados apresentados na
Tab. (V-2). I
I
73
RAM01 = X 7 5 .X 7 6
RAM02 = 1-(1-RAMOl) (1-X?7)
TI2 - 1-(1-X72)(1-X73) (1-X?4)(1-RAM02)
TB1 =X
84
TB2 = X93
TL2 = 1-Cl-X^(1-X23)Cl-X3)Cl-X65)(1-X4)(1-X24)(1-
(1-X25) (1-TB2) (1-XS) (1-X9) Cl-X26) (1-X1O) (1-X
(i-x13) (i-x27) (i-x14) (l-Xj s ) (i-x28) (i-x16) (i-x91) ci-x17) (i-x29)
(l-X^J (1 -X ig ) (1-X2O) (l-X30) Cl-X21) (1-X22) (1-
RAM1 = X 8 1 . X 8 2
RAM2 = 1-(1-RAMl)(1-Xg3)
Til = 1-(1-X88)(1-Xgg)(l-X80)(1-RAM2)
TL1 = 1- (1-X31) (1-X32) (1-X33) (1-X34) (1-X92) (1-X3S) (1-X36) (1-X37)
Cl-X3g) (l-X40) (1-TB1) (1-X41) (1-X42) (1-X43) (1-X44) (1-X45) (1-X46)
(i-x47) (i-x48) (i-x78) (i-x49) (i-x50) (i-x51) (i-xS2) (i-Xg3)
(i-x53) f i-xS4) (i-x55) (i-x56) (i-x57) (i-x58) (i-xsg) (i-x60)
TIR = 1-a-x61)(i-x62) (i-x63)(i-x64)(i-x65)(i-x66)
TLU = 1- (1-X67) (1-X68) (1-X69) (1-X7O) (1-X71)
TU2 = TL1.TL2
TS1 =X
86
TS2 =X8?
TS12 = TS1.TS2
SAMPLE= 1-(1-TTR)(1-TL12)(1-TLU)(1-TS12)
Fig. (V-l) Função de estrutura para a utilização do

código SAMPLE no caso do U'lS
74
Tab. (V-2) Resultados dos cálculos da indisponibilidadc

do LPIS
Limite de Confiíinça Valor da Função

CS)
0,5 3,4034 x IO"5
1,0 3,6538 x 10" 5
2,5 4,1306 x IO"5
5,0 4,7207 x 10" 5
10,0 5,5492 x IO"5
20,0 6,6817 x IO"5 I
25,0
30,0
7,3075 x IO"5
7,8619 x IO"5
I
* 40,0 9,0778 x IO"5 I
50,0 1,0383 x IO" 4
60,0 1,2112 x IO"4 I
70,0
75,0
1,4263 x IO" 4
1,6010 x IO" 4
I
80,0 1,8018 x IO"4 I
90,0 2,5791 x IO" 4
95,0 3,9178 x IO" 4
I
97,5
99,0
5,835 3 x IO"4
1,0384 x IO"3
I
99,5 1,4176 x IO"3 I
I
I
I
1
I
75 I
I
I
115 Considerando os resultados obtidos no relatório WASH-
II m
1400 para o LPIS do reator PWR típico e comparando-os com os obtidos . 9

em nosso trabalho (Tab. V-3), concluímos que o sistema de injeção a
baixa pressão de Angra I é mais confiável que o equivalente do rea- I
tor PWR típico, apesar das diferenças estruturais (comparar, a respei
to, a Fig. III-2 de nosso trabalho com a Fig. II-5.34 do Apêndice II I
do referido relatório).
Apresentamos, na Tab. (V-4), a título de ilustração ,

I
a distribuição de freqüência, era intervalos de 21 de incremento para
o caso do sistema em consideração. Uma analise dessa tabela revela
I
que a distribuição de indisponibilidade do LPIS não ê lognormal..
I
V-1.4) Analise de sensibilidade para o LPIS _
I
Foi feita unia analise de sensibilidade com alguns
eventos da arvore de falhas reduzida do LPIS - mais precisamente com
os eventos representados como círculos dentro de losangos - para se
avaliar a influência da indisponibilidade dos mesmos sobre a indispo
nibilidade do sistema.
I
I
I
I
I
76
Tab. (V-3) Comparação dos resultados dos cálculos da

indisponibilidade relativos ao LPIS
Reator Valor Pontual
Angra I 9.4 x IO" 5
Típico 3.2 x 10~ 3
I
!
77
I
Tab. (V-4) Distribuição de Freqüência para o LPIS I
Probabilidade
Acumulada Intervalo Valor da FreqUencia
I
0,02 2,7001 x IO" 5 4,0829 x IO"5 1,4463 x 1 0 + 3 I
0,04
0,06
4,0829 x IO" 5
4,6253 x 10~ 5
4,6253 x IO"5
4,9174 x IO"5
3,6873 x 1 0 + 3
6,8478 x 1 0 + 3
I
0.08 4,9174 x IO" 5 5,2452 x 10" 5 6,1008 x 1 0 + 3 I
0,10 5,2452 x 10~ 5 5,5492 x IO"5 6,5793 x 1 0 + 3
0,12 5,5492 x 10~ 5 5,7697 x IO"5 9,0688 x 1 0 + 3 I
0,14
0,16
5,7697 x 10" 5
5,9783 x IO" 5
5,9783 x 10~ 5
6,2466 x IO"5
9,5870 x 1 0 + 3
7,4565 x 1 0 + 3
I
0,18 6,2466 x IO" 5 6,4909 x IO"5 8,1840 x 1 0 + 3 I
0,20 6,4909 x IO"5 6,6817 x IO"5 1,0486 x 10 + 4
0,22 6,6817 x IO"5 6,9559 x 10~ 5 7,2944 x 1 0 + 3 I
0,24
0,26
6,9559 x IO"5
7,1943 x IO" 5
7,1943 x IO"5
7,4863 x IO"5
8,3886 x 1 0 + 3
6,8478 x 1 0 + 3
I
0,28 7,4863 x 10~ 5 7,6234 x IO"5 1,4589 x 10 + 4 I
0,30 7,6234 x IO" 5 7,8619 x IO"5 8,3886 x 1 0 + 3
0,32 7,8619 x IO" 5 8,1062 x IO"5 8,1840 x 1 0 + 3 I
0,34
0,36
8,1062 x IO"5
8,3148 x IO"5
8,3148 x IO"5
8,5592 x IO"5
9,5870 x 10 + 3
8,1840 x 10 + 3
I
0,38 8,5592 x IO"5 8,8096 x IO"5 7,9891 x 1 0 + 3 I
0,40 8,8096 x IO"5 • 9,0778 x IO"5 7,4565 x 10 + 3
0,42 9,0778 x 10~ 5 9,2804 x 10~ 5 9,8689 x 1 0 + 3 I
0,44
0,46
9,2804 x IO"5
9,5248 x 10~ 5
9,5248 x IO"5
9,7811 x IO"5
8,1840 x 10 + 3
7,8034 x 1 0 + 3
I
78
Probabilidade I n ter v a 1o Valor da Frcqllcncia

Acumulada
0,48 9,7811 x 10~ S 1,0067 x IO"4 6,9905 x l O + 3
0,50 1,0067 x IO"4 1,0383 x IO"4 6,3310 x l O + 3
0,52 1,0383 x IO"4 1,0699 x IO"4 6,3510 x 10 + 3
0,54 1,0699 x IO" 4 1,1098 x IO"4 5,0081 x l O + 3
0,56 1,1098 x IO"4 1,1456 x IO"4 5,5924 x l O + 3
0,58 1,1456 x IO"4 1,1790 x IO"4 5,9919 x 10 + 3
1,1790 x IO"4 1,2112 x IO'* 6,2138 x l O + 3
1,2112 x IO"4 1,2451 x IO"4 5,8867 x l O + 3
0,64 1,2451 x IO"4 1,2922 x IO"4 4,2474 x l O + 3
0,66 1,2922 x IO" 4 1,3286 x IO"4 5,5007 x l O + 3
0,68 1,3286 x IO"4 1,3787 x IO"4 3,9946 x 10 + 3
0,70 1,3787 x IO"4 1,4263 x IO"4 4,1943 x 1 0 + 3
0,72 1,4263 x IO"4 1,4913 x IO"4 3,0784 x l O + 3
0,74 1,4913 x 10" 4 1,5533 x IO"4 3,2264 x 1 0 + 3
0,76 1,5533 x 10~ 4 1,6272 x IO"4 2,7060 x l O + 3
0,78 1,6272 x IO"4 1,6963 x IO"4 2,8926 x l O + 3
0,80 1,6963 x IO"4 1,8018 x IO'4 1,8957 x l O + 3
0,82 1,8018 x IO"4 1,9449 x IO"4 1,3981 x 1 0 + 3
0,84 1,9449 x IO"4 2,0856 x IO"4 1,4218 x l O + 3
0,86 2,0856 x IO"4 2,2507 x IO"4 1,2114 x l O + 3
0,88 2,2507 x IO"4 2,368.1 x IO"4 1,7033 x l O + 3
0,90 2,3681 x IO"4 2,5791 x IO"4 9,4787 x l O + 2
0,92 2,5791 x IO"4 2,9629 x IO"4 5,2103 >clO+2
0,94 2,9629 x IO"4 3,4833 x IO"4 3,8436 t 10 + 2
0,96 3,4833 x IO"4 4,5162 x IO"4 1,9362 ;K 10 + Z
0,98 4,5162 x IO"4 6,3825 x IO"4 1,0717 x 10 + 2
1,00 6,3825 x IO"4 2,8355 x IO"3 9.1022
I
79
I
Os resultados obtidos são apresentados na (Tab.V-5).0s
I
eventos representados pelos números existentes na primeira coluna, são
descritos na Tab.(F-l) do apêndice F.
I
Tab.(V-5) Resultados da Analise de Sensibilidade para o LPIS
I
I
Evento
I n t e r vâ 1 o
(Indisponib. dos eventos básicos analisados) Valor Resultado
I
Inserido
3
^50%
3 3
1,7 x IO" 4 5,5373 x IO" 5
I
86 1,7 x IO" 3,4 x IO" 6,8 x IO"
6,8 x IO"2 2,4347 x IO" 3 I
1,3 x 10~ 8 6,6698 x 10" 5
85 1,3 x IO" 7
7,7 x IO" 7
4,6 x IO" 6
4,6 x IO" 5 1,7405 x 10~ 4 I

78 3,0 x IO" 5
9,5 x IO" 5
3,0 x IO" 4
3,0 x 10" 6 1,7339 x 10~ 4
3,0 x IO" 3 8,0287 x IO" 5
I
84 3,7 x IO" 4
1,1 x IO" 3
3,3 x IO" 3
3,7 x IO"5 1,6886 x IO"4 I
3,3 x 10~ 2 3,2288 x IO" 4
81 5,0 x IO" 1
5,0 x IO" 1
5,0 x 10" 1
1,0 x 10" 1 1,7196 x IO" 4 I
8,0 x 10" 1 1,7524 x IO" 4
I
O evento n? 81 (ocorre LOCA na perna fria n 9 1) possui
uma influência muito pequena sobre a indisponibilidade do sistema.Dos
I
outros quatro analisados, os que apresentam comportamento mais sensl!
vel são os de números 85 ODV8812A fechada devido a falhas elétricas)
I
e 78 (sistema de controle da FCV-626 falha em fechá-la). Vê-se que
uma análise mais detalhada destes dois eventos ê relevante. Parti- I
cularmente este ultimo, requer um desenvolvimento mais preciso, uma
vez que a análise do mesmo revelou a maior carência de informações I
quantitativas.
80
I
I
V-1.5) Cortes mínimos para a arvore de falhas do LPIS I
A obtenção dos cortes mínimos foi feita, conforme já"
foi discutido no capítulo IV, a partir do algoritmo de Vesely — Fus
I
sei (capítulo II).
I
A Tab. (V-6) apresenta a especificação da ordem dos
cortes mínimos obtidos, o número dos mesmos, e também o número to
tal.
I
I
Tab. (V-6) Número de Cortes Mínimos para
a arvore de falhas do LPIS I
Ordem do Número de • Eventos que compõem o(s)
I
Corte Mínimo Cortes Mínimos corte(s)
I
1 11 61,62,63,64,65,66,67,68,69,70,71
2 1445 ver Fig. (V-2)

I
3 76 ver Fig. (V-2)
I
4 1 75, 76, 81, 82
I
TOTAL 1533 I
A fig. (V-2), citada na Tab. (V-6), apresenta a fun
I
ção boolcana do LPIS. A identificação dos cortes mínimos de ordens
2 e 3 pode ser facilmente feita ã partir dessa função. A Tab.(F-1) do
1
apêndice F apresenta uma identificação geral dos eventos aqui repre-
sentados apenas por seus números.
I
Como seria tarefa entediante tecer considerações s£
bre cada um dos 1533 cortes mínimos, faremos comentários sobre alguns
I
81
I
I
TOP
I
I
X
IX
31 + X 32 + X 33 + X 34 + X 85 + X 35 + X 36 + X 37 + X 38 + X 39 + X 40 + X 84 +
I
41+X42+X43+X44+X45+X46+X47+X48+X49+X78+X50+X51+
X
52 + X 90 + X 53 + X 54 + X 5S + X 56 + X 57 + X 58 + X 59 + X 60 + X 88 + X 89 +
I
80 83
I
I
[Xl+X23+X2+X3+X91+X4+X24+X5+X6+X7+X25+X93+
I
I
X
8+X9+X26+X10+Xll+X12+X79+X13+X27+X14+X15+X28+X16+
X
92 + X 17 + X 29 + X 18 + X 19 + X 20 + X 30 + X 21 + X 22 + X 72 + X 73 + X 74 +
(X 75 .x 76 ) + x 77 j +
I
I
C X 67 + X 68 + X 69 + X 70 + X 71> +
I
I
I
Fig. (V-2) Função boolcina do LPIS
I
I
I
82
deles apenas.
a) Cortes mínimos de ordem 1

Geram cortes mínimos de ordem 1 os eventos relaciona
dos com o tanque de armazenamento de água de rccarrcgamcnto (TAAR),
em número de 6, bem como os eventos relacionados com a linha de cone
xão dos dois trens de injeção a baixa pressão (ver a respeito a Fig.
III-2 e o apêndice D ) .
b) Cortes mínimos de ordem 2
A não geração do sinal "S" para cada um dos trens de

injeção a baixa pressão, corte mínimo jã de se esperar.
Na analise de cada trem, considerou-se 38 eventos. To

mando-se, de cada vez, um evento de cada conjunto de 38, geram-se
1444 cortes mínimos de ordem 2. Como exemplo, podemos citar aquele
formado pelos eventos de números 84 e 93, vazão insuficiente através
das bombas de injeção de segurança n 9 1 e 2.
c) Cortes mínimos de ordem 3
Os eventos
"ocorre LOCA tipo guilhotina na perna fria n 9 1"
e
"falha operacional - MOV8804A aberta"
geram 38 cortes mínimos de ordem 3, quando a eles se junta de cada
vez um dos 38 eventos considerados na analise do trem n' 2.
d) Cortes mínimos de ordem 4

Ha um corte mínimo de ordem 4, formado pelos eventos
"ocorre LOCA tipo guilhotina na perna fria n' 1;
83
"falha operacional - MOV8804A aberta";

"ocorre LOCA tipo guilhotina na perna fria n 9 2";
"falha operacional - MOV8804B aberta".
V-1.6) Cálculos de Importância de Confiabilidade para o LPIS
Para efetuar esta etapa, foi desenvolvido um pequeno

programa de cálculo (ver o apêndice C ) , o qual fornece a importância
de Birnbaum (importância de confiabilidade). A Tab. (V-7) apresenta
os resultados obtidos.
0 conceito de importância de confiabilidade mostra co

mo a variação da confiabilidade de um componente influencia a confia,
bilidade do sistema, levando em conta, obviamente, a estrutura desse
sistema, i.e., alterações na estrutura do sistema afetam sensivelmen
te os resultados.
Os resultados obtidos mostram que a importância de

confiabilidade está também estritamente ligada aos cortes mínimos. Is ,
to quer dizer que os eventos que geram cortes mínimos de primeira or
dem são críticos, ou seja, o sistema funciona se os componentes que
dão origem a esses cortes de primeira ordem funcionam. Em contrapar
tida, se esses componentes falham, o sistema falha. Assim, os even
tos relacionados com o TAAR e aqueles relacionados com a linha de co
nexão dos dois trens possuem eventos críticos, ao passo que os even
tos que geram o corte mínimo de ordem 4 possuem importância de confiei
bilidade relativamente pequena (da ordem de 10 ) .
V-2) Resultados para o HPIS
A apresentação dos resultados para o HPIS e muito se_

melhante àquela para o caso do LPIS. Assim, não há necessidade de re
petir estritamente o que já foi dito na seção anterior, podendo-se
adotar uma certa brevidade, não tornando, desse modo, a leitura des
te capítulo cansativa.
84
Tab. (V-7) Resultados de Importância de Confiabilidade

para o LPIS
Importância de
Eventos(s) Confiabilidade
66 0,999964
63,61,64,67,68,69,70,71 0,999935
62,65, 0,999934
93, 0,467306 x IO" 2
3,8, 0,467259 x IO" 2
2, 12, 16, 0,466841 x IO" 2
5,11,14,18,21,79,1 0,466835 x IO" 2
4,6,7,9,10,13,15,17,19,20,22,23,24,25,26,27,
28,29,30,72,73,74,77,91,92, 0,466794 x 10~ 2
84, 0,445300 x 10~ 2
34,52 0,444259 x IO" 2
46, 0,444955 x 10~ 2
33,37,43,47,51,55,59,78 0,444853 x 10~ 2
31,32,35,36,38,39,40,41,42,44,45,49,50,53,54,
56,57,58,60,80,83,85,88,89,90 0,444812 x 10~ 2
86 0,349981 x 10~ 2
87 0,339979 x 10" 2
76 0,233513 x 10
82 0,222516 x IO' 2
75 0,464916 x IO" 5
81 0,441074 x 10~ 5
I 85
I
I V-2.1) Árvore de falhas para o HPIS
I 0 evento principal considerado foi:
I "0 HPIS não fornece vazão suficiente ao vaso de pres

são quando da ocorrência de um acidente de perda de refrigerante tipo
I guilhotina".
A arvore de falhas reduzida é apresentada no apêndi^

I ce E.
I 0 £u:\cicnamento do sistema e dividido em duas partes,

conforme já analisauo no capítulo III. Para o evento principal dado,
a falha do sistema existira quando ambas as fases falharem, ou seja
I quando a injeção pelos dois caminhos for insuficiente.
I eventos:
A analise de interfaces, levou em conta os seguintes
I a) MOV8813 inadvertidamente fechada
I Esta válvula está situada na linha de miniescoamento

das bombas de injeção a alta pressão. A razão de estar aberta duran
I te a fase de injeção e que, desse modo, protege as referidas bombas,

caso as válvulas de isolamento do TIB não abram.
I A possibilidade de ruptura da tubulação onde esta si_

tuada essa válvula é também considerada pois, nesse caso, haveria pe_r
I da de carga significativa.
I b) M0V8829 inadvertidamente aberta
I Esta válvula conectada ao trem da bomba de injeção de

segurança n' 2 é aberta quando se inicia a recirculação pela perna
quente. Se a.mesma estiver inadvertidamente aberta durante a fase
I de injeção, provocará a entrada de água borada diretamente no topo
dos elementos combustíveis mas, como o núcleo está com uma temperatu
I ra excessivamente alta, o HPIS não funcionará adequadamente. G por
1
86
essa razão que a recirculação pelas pernas quentes é feita somente 24

horas após a ocorrência do acidente, possibilitando assim que se fa
ça antes a recirculação pelas pernas frias.
A possibilidade de ruptura da tubulação anterior a es^

sa válvula e também considerada, por' acarretar perda de carga conside
rãvel, ocasionando também a falha do sistema.
c) MOV8830 inadvertidamente aberta
Esta válvula está conectada ao trem da bomba de inj£

ção de segurança n 9 1.
Os motivos descritos no item anterior são também vali

dos aqui.
0 tratamento dado aos eventos representados como cír

culos dentro de losangos é o mesmo utilizado em relação aos eventos
dessa natureza tratados na análise do LPIS.
V-2.2) Dados de entrada
Os dados empregados nas análises quantitativas do HPIS

também foram retirados da Tab. III-2.1 do apêndice III do relatório
WASH-1400l*s. Em alguns casos, foram considerados dados da própria ta
I
bela utilizada na análise do reator típico (Tab.I1-5.18 do apêndice
II).
I
Uma observação importante aqui se refere ao número re
lativamente grandes de dados (cerca de 140 eventos) empregados na aná_
I
lise dos eventos representados como círculos dentro de losangos. Isto
acarretou como conseqüência o fato de que as semelhanças adotadas eii
I
tre os dois sistemas de injeção a alta pressão são muito maiores.
I
I
I
I
] V-2.3) Indisponibilidade do HPIS
g A Tab. (F-2) do apêndice F apresenta os dados de en

trada utilizados na análise.
" A função de estrutura utilizada ê apresentada na

| Fig. (V-3).
A Tab. (V~8) apresenta os resultados dos cálculos de

• InJispcnibilidade para o sistema.
— Na Tab. (V-9) apresentamos os resultados, de nossos

| cálculos juntamente com aqueles do sistema equivalente do reator típjL
co (em termos dos percentis de 5%, 501 e 95%). Há que ressaltar que
I o HPIS do reator possui dois modos de funcionamento:
I a) quando há necessidade de 1 das 3 bombas de injeção a al_

ta pressão funcionarem;
I b) quando ha necessidade de duas das três bombas deinjeção

• a alta pressão funcionarem.
Como o critério de projeto do HPIS de Angra I diz que
I o sistema funciona a contento quando uma das duas bombas de injeção
de segurança está funcionando normalmente, comparamos a indisponibiH
—
I dade deste sistema com a do sistema do reator típico analisado segun
do a hipótese do item a. definido. Vemos que o sistema de Angra I é
I mais confiável.
I
I
I
I
88
Tab. (V-8-) Comparação dos valores pontuais das

indisponibilidades relativas ao HPIS
Reator Valor Pontual
Angra I 1.5 x IO" 3
Típico 3.6 x IO" 3

89
LVP2 = 1-(1-X1)(1-X2)(1-X3)
LVPI = i-(i-x 4 )U-x 5 )(x 6 )

TVP2 = LVP1.LVP2
ROM = Xg.X10
RANM = l-U-Xj
TVR = 1 - O X ? ) Cl-X 8 ) Cl-ROM) (1-RAMM) (1-TVP2)
VIL2 = 1-(1-XS3)(1-XS4)(1-XSS)(1-X17)(1-XS6)(1-X57)(1-X58)
VIL1 = 1-(1-X18)(1-X19)(1-X2O)(1-X21)(1-X22)(1-X23)(1-X24)
TLB = 1-(1-VIL1.VI12)(1-X59)(1-X67)
TPF2 = 1-C1-X62)(1-X63)C1-X64)(1-X65)(1-X66)
TPF1 = 1-(1-X25)(1-X26)(1-X27)(1-X28)C1-X29)
TBF = 1-C1-X61) (1-X69) d-X 3 0 .X 3 1 ) (1-X32) (1-X33) (l-X70)
(i-x34) (i-x35) d-x 36 .x 37 ) (i-x38) (i-x39)
PF1 = X4O,TPF1
PF2 = X41.TPF2
TAF = 1-(1-PFl)(1-PF2)
TPF = 1-(1-TBF)(1-TAF)
CLA = 1-(1-X42)C1-X43)(1-X44)(1-X45)
CLB = 1- (1-X46) (1-X47) O X 4 8 ) (1-X49) (l-50) (1-X51)
A = 1-(1-TLB)(1-TPF.TVR)
TTA = 1-(1-CLA)(1-CLB)
TLC = 1-(1-X71)(1-X72)91-X73)(1-X74)(1-X75)(1-X76)(1-X77
(i-x79)(i-x8O)(i-x81)(i-x82)
SAMPLE = 1-(1-TTA)(1-A)(1-X52)(1-TLC)
Fig. (V~3) Função de estrutura para a utilização

do código SAMPLE no caso do HPIS
90
Tab. (V-9) Resultados dos cálculos da indisponibilidade

do HPIS
Limite de
Confiança Valor da função
(D
0,5 8,6391 x IO" 4
1,0 9,5534 x IO"4
2,5 1,1047 x IO"3
5,0 1,2065 x 10" 3
10,0 1,3092 x IO" 3
20,0 1,4994 x IO"3
25,0 1,5914 x IO" 3
30,0 1,6666 x 10~ 3
40,0 1,8252 x 10~ 3
50,0 1,9876 x IO" 3
60,0 2,1700 x IO" 3
70,0 2,3925 x IO"3
75,0 2,5554 x IO"3
80,0 2,6915 x IO"3
90,0 3,1876 x IO" 3
95,0 3,7433 x IO" 3
97,5 4,2764 x IO" 3
99,0 5,8172 x IO'3
99,5 7,4426 x IO" 3
I
91
Ressalvamos aqui, também, as diferenças estruturais

significativas entre ambos os sistemas (comparar, a respeito, a Fig.
III-3, do capítulo III com a Fig. II-5.43 do apêndice II do relatório
WASH-1400).
A Tab. (V-10) apresenta a distribuição de freqüência,

em intervalos de 2% de incremento para o caso do HPIS. Também aqui,
observamos que a distribuição da indisponibilidade do sistema não é
lognonnal.
V-2.4) Análise de sensibilidade para o HPIS
Como no caso da análise de sensibilidade paramétrica

. do LPIS, fizemos para o HPIS uma análise da mesma natureza, também vi
sando identificar a influência da indisponibilidade dos eventos re-
presentados como círculos dentro de losangos sobre a indisponibilida
de do sistema.
A Tab. (V-ll) apresenta os resultados desta análise.

Os eventos representados pelos números na coluna mais â esquerda são
descritos na Tab. (F-l) do apêndice F .
92
Tab. (V-10) Distribuição de Freqüência para

a Indisponibilidade do HPIS
Probabilidade I n te r v a 1 o Valor da Freqüência

Acumulada
0,02 7,3445 x IO"4 1,0778 x IO"3 5,8254 xlO+1

0,04 1,0778 x IO" 3 1,1626 x IO" 3 2,3580 x l O + 2
0,06 1,1626 x 10" 3 1,2245 x IO' 3 3,2295 x l O + 2
"* 0,08 1,2245 x IO" 3 1,2764 x IO" 3 3,8524 x l O + 2
0,10 1,2764 x IO" 3 1,3092 x IO" 3 6,1119 x l O + 2
0,12 1,3092 x IO" 3 1,3592 x 10"3 3,9993 x l O + 2
0,14 1,3592 x IO" 3 1,4063 x IO"3 4,2474 x l O + 2
0,16 1,4063 x IO" 3 1,4285 x IO"3 8,9718 x l O + 2
0,18 1,4285 x IO" 3 1,4627 xlO" 3 5,8559 x l O + 2
0,20 1 ,4627 x IO" 3 1,4994 x IO"3 5,4471 x 10 +2
0,22 1 4994 x IO" 3 1,5280 x 10~ 3 7,0051 x l O + 2
3
0,24 1,5280 x IO" 1,5656 x IO" 3 5,3092 x l O + 2
3
0,26 1,5656 x IO" 1 6034 x IO" 3 5,3009 x l O + 2
3
0,28 1,6034 x IO" 1 6384 x 10""* 5,7103 x l O + 2
3 3
0,30 1,6384 x IO" 1,6666 x IO' 7,0790 x l ü + 2
3 3
0,32 1,6666 x IO" 1,6974 x IO" 6,4902 x 10 +2
3 3
0,34 1,6974 x IO" 1,7222 x IO" 8,0854 x l O + 2
3 3
0,36 1,7222 x IO" 1,7635 x IO" 4,8349 x l O + 2
3 3
0,38 1,7635 x IO" 1,7973 x IO" 5,9179 xlO- 2
3 3
0,40 1,7973 x IO" 1,8252 x IO" 7,1697 x l O + 2
3 3
0,42 1,8252 x 10~ 1,8575 x IO" 6,1909 x l O + 2
3 3
0,44 1,8575 x IO" 1,8885 x IO" 6,4652 x l O + 2
3 3
0,46 1,8885 x IO" 1,9181 x 10~ • 6,7378 x 10 +2
93
Probabilidade I nte r v a 1 0 Valor de Freqüência

Acumulada
0,48 1,9181 >:1o" 3 1,9577 x 10~ 3 5,0534 x 1 0 + 2
0,50 1,9577 x:10" 3 1,9876 x 10~ 3 6,6841 x 1 0 + 2
0,52 1,9876 x IO" 3 2,0530 x 10~ 3 6,2836 x 1 0 + 2
0,54 2,0195 x IO" 3 2,0530 x 10~ 3 5,9705 x 1 0 + Z
0,56 2,0530 x IO" 3 2,0879 x IO" 3 5,7260 x 1 0 + 2
0,58 2,0879 x IO"3 2,1336 x 10~ 3 4,3748 x 1 0 + 2
•• 0,60 2,1335 x IO" 3 2,1700 x 10~Z 5,4917 x 1 0 + 2
0,62 2,1700 x IO" 3 2,2148 x IO" 3 4,4620 x 1 0 + 2
0,64 2,2148 x IO' 3 2,2542 x 10~ 3 5,0840 x 1 0 + 2
0,66 2,2542 x IO" 3 2,3019 x IO" 3 4,1891 x 1 0 + 2
0,68 2,3019 x IO" 3 2,3526 x IO" 3 3,9476 x 1 0 + 2
0,70 2,3526 x IO" 3 2,3925 x IO" 3 5,0081 x 10 + 2
0,72 2,3925 x IO'3 2,4714 x 10" 3 2,5343 x 1 0 + 2
0,74 2,4714 x IO' 3 2,5346 x 10~ 3 3,1685 x 1 0 + 2
0,76 2,5346 x IO" 3 2,5946 x 10~ 3 3,3321 x 1 0 + 2
0,78 2,5946 x IO" 3 2,6383 x IO" 3 4,5714 x 1 0 + 2
0,80 2,6383 x IO" 3 2,6915 x IO" 3 3,7617 x 1 0 + 2
0,82 2,6915 x IO"3 2,7646 x IO" 3 2,7347 x 1 0 + 2
0,84 2,7646 x IO" 3 2,8551 x IO" 3 2,2104 x 1 0 + 2
0,86 2,8551 x IO" 3 2,9551 x 10~ 3 2,0009 x 1 0 + 2
0,88 2,9551 x IO"3 3,0379 x IO" 3 2,4157 x 1 0 + 2
0,90 3,0379 x IO" 3 3,1876 x IO" 3 1,3358 x 1 0 + 2
0,92 2,1876 x IO"* 3,3239 x IO" 3 1,4678 x IO* 2
0,94 3,3239 x IO" 3 3,6049 .K IO" 3 7,1150 x 10 + 1
0,96 3,6049 x IO" 3 3,9570 .K IO" 3 5,6814 x 1 0 + 1
0,98 3,9570 x IO" 3 4,5292 :t IO" 3 3,4949 x 1 0 + 1
1,00 4,5292 x IO"3 3,6786 ;<10" 2 6,2002 x IO"1
I 94
I Tab. (V-ll) Resultados da Análise de Sensibilidade
I para o HPIS
Intervalo
I Evento (indisponib.dos eventos básicos analisados] Valor
Inserido
Resultado
I 951 «501
7,1 x IO"6 1,5249 x IO"3
4 3 3
I 10 7,1 x IO" 2,0 x IO" 5,6 x IO"

5,6 x IO"1 1,5279 x IO" 3
3,7 x IO"5 1,4839 x IO""5
I 17 3,7 x IO" 3
1,5 x IO" 2
6,0 x IO" 2
6,0 x IO"1 1,0816 x IO"2
I ' 32 1,3 x IO" 4

8,0 x IO" 4
4,8 x 10~ 3
1,3 x 10~ 6
4,8 x IO"1
1,5246 x IO"3
1,7167 x IO" 3
I 34 6,5 x IO" 6
1,5 x IO" 4
3,5 x IO" 3
6,5 x IO"8 1,5248 x IO" 3
3,5 x IO"1 1,6648 x IO" 3
I 52 5,2 x 10~ 6
1,2 x IO" 5
2,8 x 10~ 5
5,2 x IO"8 1,5129 x IO"3
I 2,8 x IO"3
3,0 x 10~ 7
4,3086 x IO"3
1,5247 x IO" 3
5
I . 70 3,0 x IO" 3,0 x IO" 4

3,0 x 10~ 3
3,0 x 10"]
j
.i , oil i X xU
I Analisando a variação percentual da indisponibilidade

do sistema de acordo com os valores de indisponibilidade inseridos
I (Tab. V.II) encontramos o seguinte:
I a) Evento n ç IO ODV8815B não abre)
O valor de 7,1 x IO para a indisponibilidade adotíi

I da acarreta uma variação percentual de 23,281 da indisponibilidade do
sistema; já o valor de 5,6 x 10 , acarreta uma variação de 23,121 ,
I ou seja pi'aticamente a mesma que para o primeiro valor inserido. Isto
permito concluir que a variação da indisponibilidade do sistema é"
I constante em relação ã indisponibilidade deste evento e também que o
95
próprio valor da variação indica que uma análise mais precisa do com
portamento envolvido QDV8815B) deve ser feita.
b) Evento n 9 17 (Bomba de injeção de segurança n 9 2 falha

em succionar do Tanque de Annazenamento)
Tomando-se como indisponibilidade deste evento o va

lor 3,7 x 10 (ou seja, duas ordens de grandeza menor do que o menor
valor do intervalo de valores considerados, descobrimos uma variação
percentual da indisponibilidade do sistema de 25,34%; tomando um va
lor uma ordem de grandeza maior que o maior valor do intervalo de vs_
lores possíveis (6,0 x 10 ) , encontramos uma variação percentual da
indisponibilidade do sistema de 444%. Vemos que valores de indispo
nibilidade do evento mais próximos de 1 afetam sensivelmente a indis
ponibilidade do sistema (por um fator de 4 ) . O componente associado
(bomba de injeção de segurança n 9 2) necessita de uma análise mais de
talhada.
c) Evento n ç 32 (Vazão insuficiente devido à perda de "heat

tracing" entre as válvulas de entrada do TIB e o TIB)
Os valores considerados para a indisponibilidade do

evento, 1,3 x 10 (2 ordens de grandeza abaixo do menor valor ccnsi^
derado) e 4,8 x 10" (2 ordens de grandeza acima do maior valor pos-
sível) , apresentaram como variações percentuais 23,291 e 13,621, re£
pectivamente. Isto indica que valores menores da indisponibilidade
deste evento exercem influência maior sobre a indisponibilidade do
sistema.
d) Evento n ç 34 (Precipitação de boro no TIB dificulta a in

jeção do HPIS através do TIB, devido ã perda dos "strip
heaters"
A variação aqui o semelhante a do item anterior. 0 V£.
lor menor adotado para a indisponibilidade do evento básico acarretou
1
I 96
I
uma variação percentual de 23,281 da indisponibilidade do sistema; o
I valor maior adotado, acarretou uma variação de 16,24%.
I e) Evento n? 52 (sinal "S " não é gerado)
I 0 comportamento da indisponibilidade do sistema em re

lação â indisponibilidade deste evento e exatamente contraria ã obser
I vada nos dois itens anteriores. Para o valor menor considerado
(5,2 x 10 ) , ou seja, duas ordens de grandeza abaixo do menor valor
0 possível, observou-se uma variação percentual de 23,88%; já o valor

maior (2 ordens de grandeza maior que o limite superior) a variação
foi de 117!. Portanto, a análise da não geração do sinal "S" deve
ser mais detalhada.
£) Evento n 9 70 (Ãgua no TIB não esta ã concentração nona

nal)
Este evento exigiria uma análise detalhada dos compo

nentes que fazem a recirculação de água borada do Tanque de Surto de
Injeção de Boro (TSIB) para o TIB.
0 comportamento observado da indisponibilidade do sis

tema em relação à indisponibilidade do evento é semelhante aquela já
comentada nos itens c e d.
Assim, o valor de 2 ordens de grandeza menor que o li

mite inferior, acarretou uma variação de 23,28% na indisponibilidade
do sistema; já o valor 2 ordens de grandeza maior que o limite supe
rior acarretou uma variação de 16,24% na indisponibilidade do sistema.
Portanto, observa-se que valores mais baixos da indisponibilidade des
te evento afetam mais a indisponibilidade do sistema.
97
V-2.5) Cortes mínimos para a árvore de falhas do HPIS
A obtenção dos cortes mínimos e uma adequada análise

qualitativa são feitas mais simplesmente observando a equação boolea-
na do sistema (Fig. V-4).
Através de uma inspeção da função booleana, encontra

mos (Tab. V-12) 5299 cortes mínimos, desde aqueles de ordem 1 até os
de ordem 8. Observe-se que não há cortes mínimos de ordens 3, 4 e 5.
Tab. (V-12) Número de cortes mínimos para a

árvore do HPIS
Ordem Número
1 25
2 49
6 2025 •
7 2700
8 500
TOTAL 5299
Não nos deteremos em analisar os cortes mínimos de

ordem superior a 2, porque a probabilidade de o sistema falhas pela
ocorrência de eventos componentes desses cortes ser muito baixa (uma
estimativa superficial revela valores para essa probabilidade da or_
dem de 10~ 2 5 ).
Como exemplos de cortes mínimos temos:
a) Cortes mínimos de ordem 1

Qualquer evento relacionado com o Tanque de Armazena
mento ou com a sua linha de descarga (eventos de 42 a 51); eventos re
1
98
I
I
I TOP = x 4 2 + x 4 3 + x 4 4 + x 4 5 + x 4 6 + x 4 7 + x 4 8 + x 4 9 + x 5 0 +
X
' 51 +X 52 +X 71 +X 72 +X 73 +X 74 +X 75 +X 76 +X 77 +
X
• 78 +X 79 +X 80 +X 81 +X 82 +X 59 +X 67
I ^ t X 18 +X 19 +X 20 +X 21 +X 22 +X 23 +X 24)-
( X 17 +X 53 +X 54 +X 5S +X 56 +X 57 +X 58) +
"
[ X 61 +X 69 + í X 30' X 3l) +X 32 +X 33 +X 70 +X 34 +
X
35 + ( X 36' X 37 ) + X 38 + X 39 .
[ X 40* (X 25 +X 26 +X 27 +X 28 +X 29 ) J •
(x 1+ x 2+ x 3 ).cx 4+ x 5+ x 6 )]
Fig. (V"4) Função booleana para o HPIS

i
99
I
I
lacionados com a linha de conexão das linhas das bombas de injeção
I
_
de segurança (eventos de 72 a 82); não geração do sinal "S" (evento
52).
b) Cortes mínimos de ordem 2

I Uma falha em cada linha das bombas de injeção de segu
I rança. Por exemplo, ocorrência simultânea dos eventos 17 e 21 (bom
bas de injeção de segurança falham em succionar do Tanque de Armazena
• mento).
Falhas nos dois trens geram 49 cortes mínimos de o£
• • dem 2, conforme consta da Tab. (V-12).
V-2.6) Cálculos de importância de confiabilidade para o HPIS
| A Tab. (V-13) apresenta os resultados dos cálculos

de importância de confiabilidade para o HPIS.
I
I
I
I
I
I
J!
I
100
I Tab. (V-13) - Resultados dos Cálculos de Importância de
I Confiabilidade para o HPIS
I Evento(s) Importância de
Confiabilidade
I 73 0,998496
I 78
71
0,998495
0,998476
59 0,998475
I 74,79,48
45
0,998271
0,998206
I 52
44,47,51,77,82,42,46,50,67,72,76,81,43,49,75,80
0,998188
0,998176
I 21
18
0,161809 x 10" 1
0,159433 x 10" 1
I 19,22,24
20,23
0,159398 x 10" 1
0,159382 x 10" 1
0,155520 x 10" 1
I 17
53 0,153334 x 10" 1
0,153203 x 10" 1
54,56,58
I 55,57
60
0,153188 x 10" 1
0,273037 v IO" 2
I 13
7,8,11,12,14,15,16,68
0,2729"" v IO"1-
0,2729^4 x " ' 2
:
I 32,35
61,70
0,400186 x IO" 0
0,400007 x IO'"3
I 34,38
33,39,69
0,399947 x 10~ 3
0,399888 x IO" 3
0,199974 x IO" 3
I 25,26,27,28,29,62,63,64,65,66
9,10
30,31,36,37
0,548363 x IO" 5
0,774860 x 10~°
I 40,41
1,2,3,4,5,6
0,119209 x 10"°
0
I
I
1
I 101
I
I Os eventos críticos (importância "o 1) são exatamente
aqueles que compõem os 25 cortes mínimos de ordem 1. Os 14 eventos
I que possuem importância de confiabilidade da ordem de 10 são justa
mente aqueles que fornam os 49 cortes mínimos de ordem 2. Todos os
eventos cora importâncias de confiabilidade menores ou iguais a 10-2
I são aqueles que formam os cortes mínimos de ordem maior ou igual a 6.
I
I
I
I
I
I
I
I
I
I
I
I
I
I
1
I 102
I
I VI - CONCLUSÕES E RECCMENDAÇOES
I Foi avaliada neste trabalho a contribuição de "hard

ware" para a indisponibilidade dos sistemas de injeção ativa e pas-
I siva de Angra I. Para tanto, empregou-se a metodologia de árvores
de falhas.
I Pontos falhos de ambos os sistemas foram identifica
I dos, através de uma análise qualitativa (cortes mínimos). Nesta tare

fa, o algoritmo de Vesely-Fussell revelou toda a sua utilidade. Ambos
os sistemas são relativamente simples para que se empregue algum códi
I go de computador para a obtenção de listas excessivamente grandes de
cortes mínimos, ao preço de tempos de CPU proibitivos. A própria aná
I lise de importância de confiabilidade comprovou os pontos fracos que
a análise de cortes mínimos revelou.
I A utilização de dados constitui-se, a nosso ver, em

um problema sério. Procuramos empregar dados do relatório WASH-14001*5
I em nossas análises. No apêndice III do referido relatório, há a níti_

da tentativa de criar um banco de dados para análises de risco e de
I confiabilidade. Vê-se que as condições ambientais a que está exposta

a usina de Angra I são muito diferentes daquelas a que ebtão as usi
I nas norte-americanas. Além disso, muitos dos dados foram retirados

de equipamentos outros que não usinas nucleares. Assim, pensamos S£
rem bastante criticãveis os resultados quantitativos obtidos. Na prõ
I pria seção sobre dados de falha (apêndice III), há um comentário so_
bre os cuidados a serem tomados no emprego de dados do relatório, por
I não serem os mesmos suficientemente gerais e precisos.
O tratamento reservado aos eventos representados co-
I mo círculos dentro de losangos ê também bastante criticãvel.Em primei
ro lugar, a modularização de árvores de falhas segue regras bem co-
I nhecidas1'1 , que não foram aqui respeitadas. Isto quer dizer que "par
tir" a árvore de falhas ein "pedaços" (módulos) ê uma técnica já bem
I
103
I
I conhecida; consequentemente, a modularização arbitrária pode condu
I zir a resultados espúrios, sem qualquer significado. Em nossos estu
dos foi feita uma "modularização arbitraria".devido â falta de infor
I mações suficientes para se realizar uma análise mais detalhada
eventos representados como círculos dentro de losangos.
dos
Então, ado
I tou-se como técnica considerar esses eventos como básicos em nossas

árvores, tendo-se obtido os valores das indisponibilidades
1 5
neces-
I sárias a partir das subarvores consideradas no relatório * usado como

base de trabalho. Seria muito pior intentar-se analisar esses tre-
chos qualitativamente e inserir valores "estimados" para as indisponi
I bilidades dos eventos básicos considerados. Este comentário é parti
cularmente pertinente no que tange ao sinal de atuação "S" de alguns
I componentes ativos dos dois subsistemas. Na análise do LPIS, a não
geração desse sinal conduz a dois cortes mínimos de primeira ordem.
I A análise de importância de confiabilidade revelou que esses eventos

são críticos. Assim, afirmar que a geração do dito sinal é feita da
I mesma forma nas duas usinas é discutível, entretanto, na ausência de

uma melhor alternativa, assumimos que a geração é feita de modo seme-
lhante em ambas as usinas.
I A análise de segmentos de tubulação envolve pergun
I tas que reputamos sérias. A metodologia empregada na análise do rea.
tor típico (pelos menos no que tange ao LPIS e HPIS) é a seguinte: em
I linhas que não possuem linhas redundantes, são consideradas as falhas

de segmentos de tubulação (ruptura e/ou entupimento); linhas que pos_
I suem linhas redundantes não receberam este tipo de tratamento. Em

nossos estudos tomamos uma posição intermediária. Na análise do LPIS,
consideramos falhas da tubulação mesmo em linhas com redundância. Já
I no caso do HPIS, sistema com estrutura bem mais complexa, seguimos ã
risca a metodologia enpregada no relatório anteriormente citado145.
I Fazendo um balanço de nossos comentários, recomendei
I mos que, em análises futuras deste tipo se procure considerar a técni

ca de modularização de árvores de falhasw>, que se tenha cuidado na
utilização dos dados empregados nas análises de reatores a água leve
I típicos (WASH-1400) e que a própria metodologia seja exaustivamente
1
• 104
I
I revisada, com ênfase particular sobre os métodos estatísticos empre
" gados 35 .
I
I
I
I
I
I
I
I
I
• /atb
I
I
I
I
I
I
i
I 105
I APÊNDICE A
I A DISTRIBUIÇÃO LOGNORMAL
I Um número relativamente pequeno de distribuição encon
I trado na vida prática pode ser descrito pela distribuição normal. Dis
tribuições influenciadas por fatores econômicos, psicológicos e biolõ
I gicos são geralmente assimétricas ("skew distributions").
Uma variável possui uma distribuição logarítmica nor-

I mal (= lognormal) se o logaritmo neperiano da variável é normalmente
distribuído.
I Assim, uma distribuição lognormal ê obtida por uma

transformação de uma variável distribuída normalmente. A lognormal e
I freqüentemente usada na modelagem de aplicações quando fatores ou pej_
centagens caracterizam a variação.
I Se X representa-uma variável aleatória que pode variar
por fatores em seu erro, por exemplo, tendo um intervalo possível en-
I tre x y f e X .f, onde X é" algum valor de referência pertencente ao
intervalo e f algum fator, então uma lognormal é" uma candidata natu-
I ral. Quando X ê lognormal, então o logaritmo neperiano de X, In X, é
normal. Assim, o intervalo definido por X e f se transforma em
I In X Q ± In f quando se toma logaritmos neperianos, que ê a descrição
padrão em termos de intervalo para uma variável distribuída normalmen
I te.
As considerações contidas nos dois últimos parágrafos
I nos mostram que a distribuição lognormal é a mais indicada para des
crever dados que possam variar por fatores, enquanto a distribuição
I normal descreve adequadamente dados que possam variar por incrementos

aditivos ou subtrativos.
A probabilidade acumulada de uma distribuição lognor

mal é definida a partir da equação abaixo:
I P(x) = *(u), u =1™LT-
1
I 106
I
I OBS.: Os símbolos y,o que aparecem na equação CA.l) são Tespectiva-
mente a média e o desvio-padrão da'distribuição normal de In x.
I A função densidade de probabilidade de uma distribui-

ção lognormal ê dada por:
I p(x)= exp
_ l ( In x - ]i
2
(A.2)
2 1 o
I o x
A probabilidade acumulada da distribuição lognormal é"
I dada por:
In x - yi dx (A. 3)
P(x á X) =
I a x
exp
I A probabilidade de que x se encontre no intervalo(a,b)

pode ser obtida a partir de tábuas de valores da distribuição normal
reduzida fazendo-se a substituição:
I y
In x - u (A. 4;
o
I onde,
I d7y = ox* (A. 5)
I P(a,t A exp dy (A. 6)
I onde,
= exp ( ab (A. 7)
I
= exp ( oa (A. 8)
I
A media de uma distribuição ê o primeiro momento,ou se_
ja, dada uma distribuição p(x), a media X, e, por definição:
X = xp(x) dx. CA.9)

I
I 107
I
I Para a distribuição lognormal, teremos então:
X = exp (y+ o2/2)

1 (A. 10)
A mediana X n c, de uma distribuição p(x) e definida de

I tal forma que
X
0.5
dx = 1/2. CA. 11)
• Consequentemente, para a distribuição lognormal
• . X 0 > 5 = exp (y). (A.12)
A moda, Xnj, de uma distribuição p(x) ê definida como

sendo
dp(x) =0. (A.13)
x= ^
Aplicando esta definição â distribuição lognormal, obtemos:

I X m = exp ( y - a 2 / 2 ) . (A.14)
I
_
A variancia de uma distribuição p(x) e o segundo ííiomen
to em torno ã média:
V(x) = (x-X) 2 p r x) dx. (A. 15)
I
Para uma distribuição lognormal:
• V(x) = exp ( 2 y + a 2 ) . I" exp (a2) - l i (A.16)
I
I
I
I
I APÊNDICE B
DESCRIÇÃO DO CÓDIGO "SAMPLE"

I
1 0 programa SAMPLE1*5 usa a amostragem de Monte Carlo pa.
ra obter a média, o desvio-padrão, o intervalo de probabilidade e a
I distribuição para uma função Y das variáveis aleatórias X-, i=l,2,...,
n:
I Y = f(X1,X2,..., X n ) (B.l)
I Dada uma função Y, valores dos parâmetros de localiza,

çao e dispersão das variáveis independentes e uma distribuição esp£
I cífica de entrada, o programa SAMPLE obtêm uma amostragem de Monte

Cario xj_, X£> ••«, x n das distribuições de entrada das variáveis e
calcula a função correspondente
I y = f (Xp x 2 , ..., x n ) (B.2)
I A amostragem é repetida N vezes (parâmetro de entrada)
I e as estimativas resultantes de Y são ordenadas crescentemente,
I para se obter os limites (percentis) da distribuição de Y. 0 programa
I possui três opções de entrada para distribuições: normal, lognormal e

loguniforme.
I 0 programa foi projetado de modo a que múltiplas fun

ções usando múltiplos dados de entrada possam ser processadas durante
I a mesma rodada no computador. Isto é realizado pelo subprograma fun
ção SAMPLE, fornecido pelo usuário.
I
• A função SAMPLE fornecida pelo usuário pode conter uma
I ou mais funções separadas. Mais de um conjunto de dados pode ser uti
lizado para a mesma função, ou diferentes conjuntos de dados podem
ter diferentes funções. Isto ê realizado por uma declaração GO TO
I controlada existente no subprogram função.
1
I
109
I
I
Os resultados fornecidos por este programa Cver, por
exemplo, a Tab. (V-2), resultados para a indisponibilidade do LPIS),
nos apresentam limites de confiança com os respectivos valores da fun
I
ção (neste caso, indisponibilidade). I
Todas as caracterizações de distribuições são feitas
por intermédio de três desses limites: os de 5%, 501 e 95%. Assim , I
tanto as indisponibilidades de eventos básicos, bem como a do evento
principal, são apresentados em termos desses três parâmetros. I
0 limite de 50% (mediana) ê um valor de referência, ou
seja, é a probabilidade da indisponibilidade em consideração ser mai
I
or do que esse limite, ê a mesma. Este parâmetro é" comumente utiliza,
do para localizar a distribuição. I
Os limites de 5% e 95%, caracterizam o intervalo de
90% interpretado da seguinte forma: em 90S dos casos, a indisponibi
I
lidade estará neste intervalo. Além disso, levam em conta as incerte
zas nos dados de entrada utilizados (ou seja, caracterizam a disper-
I
são da distribuição).
Foram considerados intervalos de 90% porque os mesmos

I
representam a descrição de regiões de altas probabilidades para as v£
riãveis aleatórias consideradas (ou seja, indisponibilidades tanto de
I
eventos básicos como do evento principal).
I
I
I
I
I
1
i
i 110
I APÊNDICE C
I
0 PROGRAMA "BIRNBAUM"
I
I O programa "BIRNBAUM" é o resultado inicial de um pro
jeto que visa desenvolver um programa para cálculos de importância que
I considere não só importância de confiabilidade, mas também importân

cia estrutural.
I Para os sistemas da usina de Angra I, ê" de maior relê

vância considerar-se importância de confiabilidade, uma vez que aí se
I pode analisar a confiabilidade de componentes, ponto de maior interes
se, já que a estrutura desses sistemas não será alterada. Para análi
i - ses futuras, pode vir a ser importante tecer-se considerações acerca

da estrutura também.
I Neste apêndice, faz-se uma descrição do programa. Ini

cialmente, apresenta-se o fluxograma e, â seguir a listagem do progra
I ma. Como informação adicional, apresenta-se as declarações de contro
le usadas quando este programa foi rodado.
I A Fig. (Cl) apresenta o fluxograma do programa, ilus
I trando o programa principal, bem como os subprogramas. 0 suoprograma

função BAUM deve ter fornecida pelo usuário a função BAUM, a qual se
constitui exatamente ha função de estrutura obtida à partir da árvore
I de falhas.
I A subrotina ORDIMP realiza a ordenação em ordem decres_

cente das importâncias de confiabilidade, afixando, ao mesmo tempo, os
I índices dos eventos correspondentes.
A importância de confiabilidade é calculada â partir

I da equação (11-17).
I A Fig. (C.2) apresenta uma listagem do programa. Este

Ill
foi rodado no computador IBM 370-165 da Pontifícia Universidade Cato

lica do Rio de Janeiro. Para o caso do sistema de injeção a baixa pre£
são, por exemplo, foram gastos 2,75 seg de CPU (Tab. C.I), tendo sido
pré-definida uma região de memória de 150 k bytes. É necessária uma
quantidade relativamente grande de memõria devido ao processo de orde
nação (para o caso do LPIS, foram 93 pares de números a serem ordena-
dos).
A Tab. (C.2) apresenta uma descrição das variáveis de

entrada com todas as informações pertinentes. A Fig. (C.3) apresenta,
como ilustração, os comandos de JCL usados nas rodadas do programa. Es
tes comandos foram empregados porque o programa foi criado e rodado
via terminal remoto (existente no Departamento de Reatores de Comis-
são Nacional de Energia Nuclear). O programa foi compilado, linkedita
do e executado para as duas etapas de cálculo (LPIS e HPIS).
1 112
I
í INÍCIO
I )
I AlTULO(l),
/ 1 - 1 ( 1 ) , 72 I
I /
I
I I NQ j /
1 Q(I). y
/ I=1(1)NQ /
I+l(1)NQ
AUX(I)<-Q(I)
FIG. (C.l) FLUXOGRAMA DO PROGRAMA "BIRNBAUM'

1 113
I
I
I
I
I
I
TERMl O k
BAUM(Q)
I
1
I
I
I
1 1
I
I I
Q(K)+O .
I
I TERM2(K)«-
BAIM(Q)
I
I
I
I
I
i 114
I
I -
CO
1
I
Q(K)+AUX(K)
I
•
I
I
I 1 1
BIMPOR(II)«-TERMI (ll)-TERM2(ll)
I
I \m
I 1+1(1) NQ
I \
STBAUM(l.l)^
I FLOAT(I)
I \
I BIMPORCI;
I
I
I
i 115
I
I
I
I
I
1
I 116
I *'
f INICIO J
I
1
I FUNCTION BAUM (Q)

I
I I
BAUM = FUNÇÃO A SER FORNECIDA

I PELO USUÁRIO
I it
R M
I
( )
I
I
I
I
I
I
I
I
1
t
1 117
I
I
I SUBROUTINE ORDIMP (M,VET)
I
I
I
I
I
I
I
I
I
I
I A-<-VET(K,2)
I
I
I
I 118
I D
I -VETÜ, 2)
I
I VET(K, 2 ) «• VETÜ, 2
I
I VETÜ.,
I
I VET(K, 1 ) «- VETÜ,
I 1
I VETU, 1) * B
I
I J-f-J+1
I
I SIM
I
I
I
1 119
SIM
NAO
f RETURN J
I
f
c
C PROGRAMA: BIRNBAUM
C FUNCAO: CALCULAR A IMPORTÂNCIA DE CONFIABILIDADE
C MÉTODO: FORMULA DE BIRNBAUM (1969)
C
C D
DIMENSION Q(100),AUX(100),TERMI(100),TERM2(100),BIMPOR(100)
DIMENSION TITULO(72),STBAUM(100,2)
C LER TITULO
I 1000
READ(5,1000)(TITULO(I),1-1,72)
FORMAT(72A1)
C
C LER O NUMERO DE EVENTOS - MAXIMO PERMISSIVEL: 100 EVENTOS
READ(5,2000)NQ
2000 FORMAT(13)
C
C LER AS INDISPONIBILIDADES DOS EVENTOS (MEDIANAS)
C
READ(5,3000)(Q(I),1=1,NQ)
3000 FORMAT(4(El2.6,6X))
C
C GUARDAR OS VALORES DAS INDISPONIBILIDADES NO VETOR AUXILIAR
C
DO 10 1=1,NQ
AUX(I)-Q(I)
10 CONTINUE
C
C OBTER O PRIMEIRO TERMO - TERM1 - PARA CALCULAR A IMPORTÂNCIA
DO 20 J=1,NQ
Q()1
Q()
TERM1(J)=BAUM(Q)
Q(J)=AUX(J)
20 CONTINUE
C
C OBTER O SEGUNDO TERMO - TERM2 - PARA CALCULAR A IMPORTÂNCIA
C
DO 30 K=1,NQ
Q(K)=0.
TERM2(K)=BAUM(Q)
Q(K)=AUX(K)
30 CONTINUE
DO 40 11=1,NQ
C
C
C FORMULA DE BIRNBAUM M
C - ' Êá
BIMPOR(II)=TERM1(II)-TERM2(II)
C
C
40 CONTINUE
C
C CRIAR A MATRIZ STBAUM, PARA FAZER ORDENAÇÃO E IMPRESSÃO
C
DO 50 1=1,NQ
STBAUM(1,1)-FLOAT(I)
STBAUM(I,2)=BIMPOR(I)
50 CONTINUE
C
C IMPRIMIR CABECALHO
C
WRITE(6,4000)(TITULO(I),1=1,72)
4000 FORMAT(//,10X,72A1)
C
C ORDENAR AS IMPORTÂNCIAS EM ORDEM DECRESCENTE
C
CALL ORDIMP(NQ,STBAUM)
C
C CONTINUAR A IMPRESSÃO
C
WR1TE(6,5OOO)
5000 FORMAT (//,25X, lOHCOMPONENTE, 6X.11HIMPORTANCIA,//)
C
C IMPRIMIR OS RESULTADOS
C
WRITE(6 ,6000) ((STBAUM(I, J) , J=X , 2) , 1=1,NQJ
6000 FORMAT(25X,F4.0,10X,E12,6,//)
STOP
END
C
C ENTRAR A FUNCAO DE ESTRUTURA

C
FUNCTION BAUM(Q)
DIMENSION Q(l)
C
C SISTEMA DE INJEÇÃO A BAIXA PRESSÃO
C
RAMO1=Q(75)*Q(76)
RAM02=l-(1-RAMOl)*(1-Q(77))
TI2=1-(1-Q(72))*(1-Q(73))*(1-Q(74)*(1-RAMO2)
TB1=Q(84)
TB2=Q(93)
TL2=1-(1-Q(1))*(1-Q(23))*(1-Q(2))*(1-QC3))*(1-QC85))*
(l-Q(4))*(l-Q(24))*(l-QC5))*(l-Q(6))*d-Q(7))*
(1-Q(25))*(1-TB2)*(1-Q(8))*(1-Q(9))*(1-Q(26))*
(l-Q(10))*(l-Q(ll))*(l-Q(12))*(l-Q(79))*(l-Q(13))*
(1-Q(27))*(1-Q(14))*(1-Q(1S))*(1-Q(28))*(1-Q(16))*
., ., '(1-Q(29))* (1-QC18)D* (1-QC1-9))*
l-QC30))*(l-Q(21))* C1-Q(22))* (1-TI2)
RAM1=Q(81)*Q(82)
RAM2=1- (1-RAiMl) * (1-Q(83) )
TIl*l-(l-Q(88))*(l-Q(89))*(l-Q(aO))*(l-RAM2) C1-QC92))*
TL1=1-C1-Q(31))*(1-Q(32))*(1-Q(33))*C1-Q(34))* (1-QC39))*
'" ~ '""-QC36))*(1-Q(37))*C1-QC38))* -QC43))*
-TB1)*(1-Q(41))*C1-QC42))*(1 C1-QC48))*
-QC45))*(1-QC46))*C1-Q(47))* U-QC52))*
-Q(49))*(1-Q(5O))*C1-Q(51))* (1-Q(56))*
-Q(53))*(l-Q(54))*(l-Q(55))* (1-TI1)
C1-QC65))*
.m-i-fi:«t«i55-ii:3(iS5?:g:§(i§]j:[i:§[ISJj: (1-QC71))
í^ 1 ;í};?í5 7)) * (1 " QC68)) * cl ^ t69)) * tl - ( 5( 70 »*
TS1=Q(86)
ts)
TS2=Q(87)
TS12=TS1*TS2
BAUM=1-Cl-TTR)*(1-TL12)*(1-TLU)*(1-TS12)
c RETURN
c END
c ORDENAÇÃO EM ORDEM DECRESCENTE DOS RESULTADOS
SUBROUTINE ORDIMP(M,VET)
DIMENSION VET(100,2)
300 N=M
200 J=l
K=J+1
IF(VET(J,2).GE.VET(K,2))GO TO 100
A=VET(K,2)
B=VET(K,1)
VET(K,2)=VET(J,2)
VET(J,2)=A
m
I 124
o O
o o
to
o o
H H
H o
ii 2; IH
/-\ • •
rH H H
2:
I-J iH • iH Pi
»—' + «-a i
W W II H< II ft
> > 2
O
O
1
125
ETAPA TEMPO DE CPU (seg)
FORT 1,39
LKED 0,85
GO 0,51
TAB.(c.l) ESPECIFICAÇÃO DE GASTO DE TEMPO DE CPU

PARA O CASO DO LPIS.
NOME DA VARIÁVEL ESPECIFICAÇÃO FORMAT
TITULO (I), Título a sair iinpresso 72A1

I = 1,72
NQ N* de eventos 13
Q(I),I = 1,NQ Indisponibilidades

medianas dos eventos 4(E12.6,6x)
TAB.(C,2) DESCRIÇÃO DAS VARIÁVEIS DE ENTRADA

DO PROGRAMA
//DRPAULOl JOB (E100.DR11,,6),'GNT4000/XXXXXXXX',MSGLEVEL=(1,1),
// TIME=1,MSGC1.ASS=R,NOTIFY=GNT4000,PRTY=BA
/*SETUP REGION=150K
/*ROUTE PRINT REMOTE1
//COMP EXEC FORTGCLG,REGION.GO=150K
//FORT.SYSIN DD DSN=GNT4000.BAUMFORT.FORT.DISP=OLD,UNIT=SYSDA
/ / G O . S Y S I N DD DSN=GNT4000.BAUMDATA.DATA,DISP=OLD,UNIT=SYSDA
/ / G O . F T 0 6 F 0 0 1 DD SYSOUT=A
FI6. (C.3) COMANDOS DE J a UTILIZADOS NAS RODADAS DO PROGRAMA

"BIRNBAUM"
1
• 127
I
I
• APÊNDICE D
• APÊNDICE DE FALHAS DO LPIS
I
Apresentamos neste apêndice a árvore de falhas redu
I zida do LPIS, para que não haja perda de continuidade do texto do ca
_ ' pítulo V. A análise da árvore, deve ser feita em conjunto com a do
I , .• referido capítulo, onde são apresentados e discutidos os resultados
do trabalho.
I
I
I
I
I
I
I
I
I
I
L f I S NÃO FORNECE
MAIÂO SÜFICIENTt
AO VASO DE PRESSÃO
0 0 0 OCO*RE LOCA 6 .
FALtfA(í) NO TAAR LPIS NÃO LPIS Nt » K > * N t £ e
E/OU NA SUA VAZÃO SUFICIENTE VAZ.ÃO MFlCieNTC Pg.

ATfUWCl t>»i LINHA* \ÍIOO A FALHAS NA Ll-
UKHA DE 0ESCAK4A
NHA OS COMSXA» OOf
c\
DAS 6OMBA1 Z TRENS
^~LU\
00
LPI5 NAO FOUNECt LPI4 N*o SINAL "S" PARA A S«NAL *S" M « A A
VAZÃO SUFICIENTE VAZÃO iUFICItMTe LINHA N ! 1 NÃO LINHA »• Z MÀO
PA LINItA ATKAVEC PA LINHA E' 6 E R A D 0 4 G Si? A BO
PAIHAÍS) NO TAAR
E/ou N A S U A LINHA
PC DESCARGA
ORlFl'ci'0 ("MÉNTIMO") RUPTURA NA FALHA NA INUCA -

RUPTURA
A'OUA CORA PA DO 6 0 TA AR UNHA 16-St-15tft ÇÂO DE Nível
NO
ENTUPIDO a/tuo Mo TA AR.
TAAfc TA AR
O O O o O
CNTUPIKltNTO NA
UINHA
•
16 - S I -1511?
L P t i NÃO FORNECE
VAZÃO suticieone
OEVtOO A Í A L « * S " A
UMHA PC CONÍAÃO
POS 1 T R E H Í
RUPTUSA NA TUBULA- RUPTURA MA TUBU- RUPTURA OA TUWIA- ftUPTUAA ^tA TUBUUA- RUPTURA NA TUBULA-
ÇÃO ENTRE A X O N - LAÇÃO ENTRE A ÇÂO C K T R t A ÇÃO E.NTKE A JUN-
ÇÃo C e A M0V-M07 6 E A » ( A MOV-ítlt PVW»-»»Í?7A E A
ÇÃO A C A OI
TUMÇÃO ]> D
MOV-ÍI07A O
LC
.mu
LFIS NAO FOItNÇCt

VAZÃO SUFICIENTE
ATRAVÉS BA LINHA
TA F6CMASA RUPTURA 2/\ TU6ULA- ENtuPIMt.Mtff

EKTRE ÇÃf ENTRE A ENTÍt
JUNÇÃO 3 í A MOVfSlZA 6 A MÍ-IÍÍJ2A

ELÉTRICAS
«0VU12 VRÍ95JA. VRS9SM
('!(?-SI • I
•
K
O
RUPTURA NA NA 7U6ÜIÍ VAZÃí lM5

ÇÂO ENTRE A ÇÃO ÊNTSE A AIXAVC'S 7>
VR8958A E A BOMBA VRS9 5SA _ t A I(5MB« J t I.MTÉtÃí A
JF INJEÇÃO A BAIXA PE INTt^fre A BAKM fRES5Ã0 N* 1
PRESSÃO iu' 1
CJ
LP1S NA0 FOBNECE
VAZMO SUFICIcHTÇ
ATRAVE'J 3 « I. I N » 4
ENTUPIMENTO D A •RUPTURA BA
Ã ENTRE A Ã ENTfff A
E A E A
FCV-626
NA TUBUIA ENTuPilvicNTO NA
TlteULAfÃH ÊNTKt A OPERA Be?
Fcv-e:< ÍCV-6Í6 E A MOVÍÍffSfl
FECMAJJA
LPISNÍO FORNECE '
V>IZÃO S U H t l t N T t
ATRAVÉS PA LINHA
FtCHAÍM R.UPTUH* 'CA TUBU

2Ex/II>0 A lAçÃo ENTRE fl TUBUlAçÃO
M0VÍSO9A E A
VRJ32I VRÍ957A
NA SISTEMA co>noi>f.E FALHAS NAS

•RUPTUM NA
TUBULAÇ.ÍO ENTRE BA Fcv- NÃO DO TREM N« 1 COM
VRI957A OUTRAS LINHAS CONEC-
VR*92í e A A
TA ÍA5 A ES.TJ TREM
YR5957A
U O
FALI. MA INTER
9 0 THEM N * L
con os CIITE.MAS D l
«Cl RCtl CAÇÃO
KUPTUKA NA LINHA RUPTURA HA LINMA RUPTURA NA UNHA HA

S - R H - 6 0 I R PROVENI- I - S I - 4 O I R PARA A PARA A PERNA CICIA
ENTft 9 0 POÇO BA ENTE DA PERM A PERNA FRIA " J 1- N i l CONECTADA AO
CONTENÇÃO TREM H ! 1 Oi
ÕVILKOTIMA KlA RUPTURA NA LINHA

PERNA M M N s l r o £ « - S I - 6 0 I R ENTRE
A VAIÃO »* A JUNÇÃO COM 0
i l IMStfFtCXCigrC TREM «sl S. A
CJ
LPIS NAO FORNECE
VAZÃO SUFICIENTE.
ÉS VA LINHA
S-'PTuRA 3>A T U 3 U U - ERUS Do R U P T U R A NA

M0V8S1ÍB TUBULAÇÃO E N T Í E
B E A MOVJS12B FECHAI/I
04
O O
RUPTURA RUPTURA NA TUBU- E.NTUPIM6NTÍ) Nrt IMSUFICÍEN

VRJ95ÍB LAÇÃO ENTRE A TUOuu^ÇÃQ ENTRc A TE /^TRAVE'S DA
VR895SB E A VR895SB E A 80M6A N s £
J
BOMBA BOMBA N 2
O CJ
-SIM
NAO
SUFICICMTE
ATRAVÉS D/t L'«H/»
Nf 2
KUPTURA tNTUflMENTO NA •RUPTURA NA

f i o E.NTRE A TUCULAÇÃO ENTRE PERMANECE
FC1/-613
FW-619 E A 4 PcV-619 E /I
ABERTA
MOVÍ809B M
00
CJ
SISTEMA PE COM- RUPTURA X>A T U B U - ENTUPIMENTO NA VPJ724B NAO RUPTURA NA TÜBU ENTUPIMENTO MA
-R0L6 PA FCV-513 L A Ç Ã O ENTRE >1 TUBULAÇÃO EA/TTJE PERMANECE LAf-Ão E.MTRE A TUBUl A ÇÃO ENTRE
KAO A MAMTBM - VPS7Z4B E A A VPS7ífB E A ABERTA B0M6A N*2. E /» A BOMBA » ! H *
ABERTA FCV-619
CJ TJ
LPI5 NAO FORMCCe
VAZflO SUFICIENTE.
DA LIMH»
MOV8J09B FECHADA RUPTURA NA TUBUl.» E M T U P I M E W T O (MA V(?893O NAO

FALHA NA VR893O -
Movaao9B DEVI CO A FALHAS ÇÃO ENTRE A TUBULAÇÃO ENTRE A
ABRE HUPTURA
ELÉTRICAS MOVJS09A EA
FECH/IDA
VRJ930
Oi
CJ
RUPTURA « A MA VR8957B - FALMXS NA INTERFACE

ÇÃO ENTRE A TUBULAÇÃO BOTREM N ' Z . COM
RUPTURA OUTRAS LlfJHAS CONEÇ
VK8930 t A /í VR«930 E.
TADAS A ESSE TREM
VRS957B VKS957B
XJ O
FALHAS NA INTERS*
ÇflO VO THEM N * 4
COM o s $ | S T £ i n A S
DE Ã
RUPTURA NA UNHA *u»T(IRA HA RUPTURA NA UN#f\ PALHAS NA

1 O - S 1 - Í 0 I R FR0V6- t-HH-6OIR t - S I - t o I R PARA A FAR* 4
NIENTt DO foto DA TE PA PERNA WENT»
PERNA FRIA N22, FRIA N * £ t»WCTAM
CONTENÇÃO
AO TREM
CJ
*<
LOCA &UILKOTINA NA RUPTURA NA LINHA

fERNA FRIA N*Z TOR Í - S I - 6 0 I R ENTRE
NA A VAZÃO Mo THEM A 7UMÇÀO COM 0
N * 2 mSVFICICUTE TREM N « i E A
MOV-HOWB
CJ
FALHA OPEEACIÔWAL
ocoRnc M0V-8Í0HB
LOCA
ABERTA
CiUILHOTlNA
i
I 141
I
I
APÊNDICE E
I
ARVORE DE FALHAS DO HPIS
I
A árvore de falhas reduzida do HPIS é" também apresenta
• . da em apêndice, pelos motivos jã expostos no apêndice D.
• ' Ambas as arvores foram desmembradas - daí o número ex

!" cessivo de paginas para apresenta-las - devido ao gabarito da folha
I padrão (formato A-4) empregada na COPPE.
I
I
I
I
I
I
I
I
NÃO
VAZÃO SUF
A<3 1/ASO St PKESSÍO
QUANDO O C O R R E UM
LOCA TIPO
FALHAS NOTAAR E./O" HPlS NAO FORNECE

SIWAL "S" NÃO FALHAS NA LINHA
HA SUA UNMA PE VAZÃO SUFICIENTE fis
PEÍNAS fR.|AS E AO E OERADO DE CONEXÃO DM
ÍESCARíA
VASO DO 3.EAT0R LINHAS DAS
B0M3A5
N)
V/UAO E INSUflCIENTE HPIS NAO FORNECR

NAS LINHAS DAS BOH XMZÃO SUFICIENTE
•BAS D Âe AO VASO DE
PRESSÃO
NÃO FÔRNECt VAZÃO INSUFICIENTE

VAZÃO SUFICIENTE NA LINHA PARA O
PARA AS VASO 00 RtATOR

FRIAí
F/UMAS NO
TAfiÇUE DE ARM«ZE
FALHAS NA IMDí-
ORIM'cfo ("VENTIW<5
CAÇÃO DE Nt'wet
ENTUPIDO BAIXO NOTAAIJ
RUPTURA N* ENTUPIUENTO NA RUPTURA NA RUPTURA

ENTüe O TANQUE E. A LAfÃO ENTRE O ÇÁO ENTRE /\ TUBULAÇÃO
VRS9Z6
QÜE EA VRÍ9ZÍ VR3926 E. A JUNÇÃO A VR$92« c A
A JUNÇÃO A
"D" "D" D
VAZfo t INSUFIC_I
ENTE NAS LINHAS
BE INTeç-Ão VA*
VAtAO 6 M0VW3 RVPTuRfl NA

TUBULAÇÃO
INSUFICIENTE
ÊNTSE A TUNÇÍ6
HAS LINHAS i t 2. FECHADA
«6 A «Oi/f813
r\ O
VAZÃO é VAZÃO e
INSUFICIENTE INSUFICIENTE
NA LINHA N'i NA LINM4 N!i
1
RUPTURA NA 9£>MBA PE IWJEfÃO
PE. SFQURANÇA n'i tn
IÍ01/5J05/Í
DO TAAR
VRÍ921A VPÍ921A NÃO

NÃO ABRE PERMANECE
ABgRTfl
TJ
VAZÃO
LINHA DA &PMB4
tf-2.
MOV Í8O5B RuPrURA NA BOMB/1 DE

NÃO OPEÇfl M0V8ÍO5B
EM Sl/CCICNA-R PO TA/K
O XJ
VRS922B RUPTURA NA VPÍ9Í1B NAO

VRS9ZZB
TJ
HPIS NAO PORNECt
\lAZÃ,a SUFIClENTfc
•PARA AS PCRNA*
HP'S NÃO FORNECE FALHAS EWTR6 fl

VA.ZÃ9 JURCieNTt JUNÇÃO F e AS
cNT*e AS Junções PERNA5 FRIAS
3 E P
VAZAO NAO E
CIENTE ATRAVÉS
OA LIMHA PARA A LINHA fARA A PER-
NA FRiA NS4
í?
FALHAS NA LINHA
OCC-RRE PARA A PERNA OCORRE
LOCA FRIA N a 2.
LOCA
TIPO
TIPO
GUILHOTINA
6UILH0TIUA
NA P6RMA NA PE «MA
FRIA N f
HPIS M
VAZÃO SUFICIENTE
6MTRE AS
B e F
co
HPIS N40 FORNECE
ENTKÉ Ai
B E f
SE ÊNTSAP)
DO T|B "HÊATTR/lClN* 1 ' ES
TRg AS V/átfULAí
HO T)B t O TIS
MOV S103A
FALrt* EM
HPIÍ NÃO F0RN6C6
ENTKE A4 TUNfÕES
S E P
PRECIPITAÇÃO PE 'HE/IT TR* RUP7URA NA

3 0 R o NO EkiTHE A S VA'L
VULA5 3>E SalOA VO VR8932
T I 3 DEVIDO A
J>04 '«TR TIÇ £ O TIB
MOV8SOXA MOVStÜL B
NÃO ABRE NÃO

AftRE
MLHA(s) NA LINHA
PARA A PERNA
FRIA N-í
VR8918A NÃO RUPTURA

NA
ABRE
VR8948A
TJ
FAUHA(S) NA
LINHA PARA A
PERNA PR.IA N ! 2 .
I
NAO VR.S900B RUPTURA NA

PERMANECE NÃO ABRE VRJ9OOB
ABEJJT/t
TJ TJ
VAZÃO NÃO E
SUFICIENTE NA
L1NMA PÁRA O
VASO 30 KEATOU
RUPTURA NA TUBU- ENTUC'ME.MTO NA M0V5 Í Í 1 S VAZÃO É iNJUFICiEN VAZÃO E

LAÇÃO ENTRE A TUBULAÇÃO EMT«e Te ENTRt As MOV» NTE ATRAVE5 DAS
NÃO ABREM SÍ15 E AS i LINH*5|
Ã JUlJç-Áo c e. AS \Z LIWHA5 PAl?A O
PAR^ O VASO" DO VASO PO
MOVs SJ15 MOV* Í 8 1 5
o u
REATOR .
/RflMMy
MOV8S1fA MOV «8fSB

NÃO A K t
MÃO ABRE
VAZÃO E INSUFICIENTE
ENT«e AS MOWS 8S15
E AS SUAS UNUAS
PARA O VASO 00 REA-
TOR
FUPTURA NA TVBUÍ.A ENTUPIMFNTO NATU- NA TUftUlA

CÃO EMTR6 A5 Ã ENTRE AS
E /* PEA MOVSÍ30
VI? 8 937
NA TU8U RUPTURA NX TU#U.

ENT1Í6 ^
CAÇÃO ENTRE A
VHÍ9S7 Ê As
VHÍ937 E *S LINHAS
PAKA O VASO DE
»«RA O VASO PE PKU
O
AZAO NflO E SUFI-
CIS NTE AT*/WÉS 5A5
DUAS LINHAS PARA
O VASO B£ P1ES5ÃO
VAZÃO i 1NSUPICIEN
VA2A0 E
TE ATR AV = 5 T>A
OrE. ATRAVÉS
LINHA H:
í
•
DA LlMH/« N^Ã
TA -<
VA89oq NÃo RUPTURA RUPTUR.A MA

PERMANECE NftO ABRE MA VR89H6
O o
VAZA o NÃO
CIENTE
LINHA J>E CONíJíÃo
DAS UNHAS "DAS
SüMÍÍS
NA TU By ENTUPIMEMTO NA RUPTURA HA TI/OU

LAfÃo ENTRE A JUN TUBUL.4f.AO ENTK6» 1.AÇ.ÃO
CÃV 3 E. A
f
-'0y 5 80,2,4 M0VSÍ025
tNTUpIMENTO NA TU RUPTURA NA RUPTURA NA TUBUtA ENTUPIMENro NA

BULAfÃO "ENTRE Aí CÃO ENTRE /l TUWÍ.AÇM ENTíe
MOVS 8802A E MQViiOZB MOVÍJWP E A A M0VSÍ02& E A
U0Z% SUHÇÃo C
O O
I
157
I
I
I APÊNDICE F
I
I DADOS DE ENTRADA UTILIZADOS
I
I Este apêndice apresenta os dados de entrada utilizados
em todas as etapas do trabalho. A Tab. (F.I) se refere aos dados em
I pregados na analise do LPIS, enquanto a Tab. (F.2), aos empregados na

análise do HPIS.
I Em ambas as tabelas, a primeira coluna apresenta a nu

meração dos eventos; a coluna 2, a identificação dos mesmos; a coluna
I 3, os valores das medianas (ver a respeito o apêndice A) das indisponi^
bilidades desses eventos; finalmente, a coluna 4, os valores dos fat£
I res de erro (ver também o apêndice A) correspondentes.
I Para a obtenção dos cortes mínimos, utiliza-se J Í in

formações constantes das duas primeiras colunas. 0 emprego de c??igc
I SAMPLE, exige todas as informações constantes nas duas tabelas. A aná
lise de sensibilidade e o cálculo de importância de confiabilidade,
I exigem as informações constantes das 3 primeiras colunas.
I
I
I
1
1 158
I
I TAB. (F.l) - DADOS DE ENTRADA PARA O LPIS
I Numero
do evento Descrição
Indisponibilidade
q (mediana)
Fator
de erro, f
I 1 Ruptura da tubuteção entre a

junção B e a MOV 8812B 3,6 x 10~ 7 30
I 2 Falha na MOV 8812B-fechada 1,0 x 10~ 4 3
I 3 Erro do operador-MOV 8812B

fechada 1,0 x 10~ 3 3
I 4 Ruptura da tubulação entre

MOV 8812B e a VR8958B 3,6 x 10~ 7 , 30
I 5 VR8958B não abre 9,5 x 10~ 5 3
I 6 Ruptura na VR8958B 1,0 x 10~ 8 10
I 7
Ruptura na tubulação entre a
VR8958B e a bomba de injeção 30
I de seg. n 9 2 3,6 x IO"7
Erro do operador-MOV8809B
I 8 fechada 1,0 x IO"3 3
I 9 Ruptura na tubulação entre

a FCV-619 e a MOV88O9B 3,6 x IO"7 30
I 10 Ruptura na FCV-619 1,0 x IO"8 10
I 11 FCV-619 não permanece aberta 9,5 x IO"5 3
I 12 FCV-619 não opera 3,2 x IO"4 3
I 13 Ruptura da tubulação entre a

VP8724B e a FCV-6Í9 3,6 x IO"7 30
I
I 159
I
1 Número Indisponibilidade, Fator
do evento Descrição q (mediana) de erro.f
I 14 VP8724B não permanece aber
ta 9,5 x IO"5 3
I Ruptura da tubulação entre
15 a bomba9 de injeção de segu
I 16
rança n 2 e a VP8724B
Falha na MOV 8809B - fechada
3,6 x 10~ 7
1,0 x IO" 4
30
3

a M0V8809A e a VR8930 3,6 x IO" 7 30
I 18 VR8930 não abre 9,5 x IO" 5 3
I 19 VR8930 - ruptura 1,0 x 10~8 .10

Ruptura na tubulação entre
I . 20 a VR8930 e a VR8957B 3,6 x IO"7 30
21 VR8957B não abre 9,5 x IO" 5 3

I 22 VR8957B - ruptura 1,0 x IO" 8 10
I 23 Entupimento da tubulação en
tre a junção B e a MOV8812B 4,4 x IO" 7 30
tre a M0V8812B e a VR89S8B 4,4 x lü" 7 30
I 25
Entupimento na tubulação en
tre a 11189588 e a bomba n?l
de injeção a baixa pressão 4,4 x IO" 7 30
tre a FCV-619 e a MOV8809B 4,4 x IO" 7 30
tre a VP8724B e a FCV-619 4,4 x IO" 7 30
Entupimento da tubulação en
28 tre a bomba de injeção de
segurança n 9 2 e a VP8724B 4,4 x IO" 7 30
29 Entupimonto na tubulação en
tre a MOV8809A e a VR8950 4,4 x IO" 7 30
30 Entupimcnto na tubulação eri

tre a VR8930 e a VR8957B 4,4 x IO" 7 30
I 160
I
I Numero
Descrição Indisponibilidade, Fator
do evento q (mediana) de erro,f
a junção B e a MOV8812A 3,6 x IO" 7 30
I 32 Entupimento na tubulação en
tre a junção B e a M0V8812A 4,4 x IO"7 30
I 33 Falha na MOV8812A - fechada 1,0 x IO"4 3
I 34 Erro do operador - MOV8812A

fechada 1,0 x IO"3 3
Ruptura da tubulação entre
I 35 a M0V8812A e a VR8958A 3,6 x IO"7 30
I 36 tre a MOV8812A e a VR8958A" 4,4 x IO"7
•
30
37 VR8958A não abre 9,5 x IO"5 3

I 38 Ruptura na CV8958A 1,0 x IO"8 10

a VR8958A e a bomba n* 1 3,6 x IO"7 30
tre a VR8958A e a bomba n'l 4,4 x 10"7 30

a bomba n? 1 e a VP8724A 3,6 x 10'" 30
tre a bomba n 9 l e a VP8724A 4,4 x IO"7 30
I 43 VP8724 não permanece aberta 9,5 x 10"S 3 .

I 44 a VP8724A e a FCV-626 3,6 x IO"7 30
I 45 tre a VP8724A e a FCV-626 ~ 4,4 x IO"7 30
46 FCV-626 não opera 3,2 x IO"4 3

I FCV-626 não permanece aber
47 ta 9,5 x 10"S 3
1
161
Número Indisponibilidade, Fator

do evento Descrição q (mediana) de erro,f
I 48 FCV-626 - ruptura
1,0 x IO" 8
10
a FCV-626 e a MOV8809A 3,6 x IO" 7 30

tre a FCV-626 e a MOV8809A 4,4 x IO" 7 30
I 51 Falha na MOV8809A - fecha
da 1,0 x IO" 4 3
I 52 Erro do operador - MOV8809A
fechada 1,0 x IO" 3 3

a M0V8809A e a VR8928 3,6 x IO" 7 * 30
tre a MOV8809A e a VR8928 ~ 4,4 x 10~ 7 30
I 55 VR8928 não abre

*
9,5 x IO"5 3
I 56 VR8928 - ruptura 1,0 x IO" 8 10
57 Ruptura na tubulação entre

I a VR8928 e a VR8957A
3,6 x 10" 7 30
58 4,4 x IO" 7
I tre a VR8928 e a VR8958A 30
59 VR8957 não abre 9,5 x IO"5 3
60 VR8957 - ruptura 1,0 x 10~ 8 10
61 Ruptura no TAAR 3,6 x 10~ 7 30
62 Escapamento de água borada

do TAAR 1,0 x IO"8 10
63 Orifício do TAAR entupido 4,4 x IO"7 30
64 Ruptura na linha 16-SI-151R 3,6 x 10" 7 30

I
I 162
I Numero Indisponibilidade, Fator

Descrição
I de evento
Entupimento na linha 16-SI-
q (mediana) de erro,f
65 . 151R 1,0 x IO" 21 1

I 66 Falha na indicação de nível
baixo no TAAR 3,0 x IO" 5 10
a junção C e a MOV8807B 3,6 x IO" 7 30
a MOV8807B e a junção D 3,6 x IO" 7 30

a junção D e a M0V8818 3,6 x IO" 7 30

a MOV8807A e a junção D 3,6 x 10~ 7 ' 30

a junção A e a MOV8807A 3,6 x IO" 7 30
Ruptura na linha 10-SI-60IR
I 72 do poço da contenção 3,6 x IO"7 30
73 Ruptura na linha 8-RH-60IR

I da perna quente n 9 2
3,6 x IO" 7 30
74 para a perna fria n 9 2 3,6 x 10~ 7

I Ocorre LOCA tipo guilhotina
30
75 na perna fria n ? 2 5,0 x 10" 1 1

I 76 Falha operacional -M0V8804B
aberta 1,0 x IO" 3 3
I 77
entre a junção com o trem
n* 2 e a MOV8804B 3,6 x IO" 7 30
Sistema de controle da FCV-
78 626 falha em mantê-la aber
ta 9,5 x IO" 5 3
Sistema de controle da FCV-
79 619 falha em mantê-la aber
ta . 9,5 x IO"5 3
80 Ruptura na linha 8-SI-60IR 3,6 x 10" 7 30

1
163
I
I Numero Indisponibi1idade, Fator
de evento Descrição q (mediana) de erro,f
I Ocorre LOCA tipo guilhotina
81 ne perna fria n 9 1 5,0 x IO" 1 1
I 82 Falha operacional -MOV8804A 1,0 x 10"3 3
aberta
I 83 Ruptura na linha 8-SI-60IR 3,6 x 10~ 7 30
I 84 Vazão insuficiente através

da bonba n9 1 1,1 x 10~ 3 3
I 85 MOV8812A fechada devido

falhas elétricas
a
7,7 x IO" 7 6
Sinal "S" para o trem n 9 1
I 86 não ê gerado 3,4 x 10~ 3 • 2
Sinal "S" para o trem n 9 2

I • 87
não é gerado 3,5 x IO" 3 2
I 88 do poço da contenção 3,6 x IO" 7 30
89 Ruptura na linha 8-RH-60IR •3,6 x IO" 7 30

I MOV8809A fechada devido a
90 falhas elétricas 7,7 x IO" 7 6
I 91 MOV8812B fechada devido a
falhas elétricas 7,7 x IO" 7 6
I 92 MOV8809B fechada devido a
falhas elétricas 7,7 x 10~ 7 6
I 93 Vazão insuficiente
da bomba n 9 2
através
1,1 x IO" 3 3
I
I
I
1
1
164
I
I TAB. (F.2.) - DADOS DE ENTRADA PARA O HPIS
I Numero Descrição Indisponibilidade, Fator

de evento de erro,f
I 1 VA8905 falha em permanecer
q (mediana)
aberta 9,5 x IO" 5 3'

I 2 Ruptura na VR8946 1,0 x 10~ 8 10
I 3 VR8946 não abre 9,5 x IO" 5 3
I 4 VA 8994 falha em permanecer

aberta 9,5 x 10~ 5 3
I 5
6
Ruptura na VR9045
VR8945 falha em abrir

1,0 x IO"8
9,5 x IO" 5
•
10
3
a junção C e as MOVS8815 3,6 x IO" 7 30
tre a junção C e asM3VS881S 4,4 x IO" 7 30
I 9 MOV8815A não abre 2,0 x IO" 3 2,8
I 10 M0V8815B não abre

Ruptura da tubulação entre
2,0 x 30" 3 2,8
11
I 12
as MOVS8815 e a VR8937
3,6 x IO" 7 30
4,4 x IO" 7
I 13
tre as MOVS8815 e a VR8937
VR8937 falha em abrir 9,5 x IO"5

30
I 14 VR8937 sofre ruptura 1,0 x IO" 8 10
I 15
a VR8937 e as linhas p/ o
vaso de pressão 3,6 x IO" 7 30
I 16
tre a VR8937 e as linhas p7
o vaso de pressão 4,4 x IO" 7 30
I
165
I
Numero Descrição Indisponibilidade, Fator
de erro,f
I
de evento q (mediana)
Bomba de injeção de seguran

I
17 ça n 9 2 falha em succionar
do TAAR 1,5 x IO"2 4,0
I
18 MOV8805A não opera 3,2 x 10~4 3
19 MOV8805A falha em permane

I
cer aberta (entupimento) 9,5 x IO"5 3
20 Ruptura na M0V8805A 1,0 x IO"8 10

I
21
Bomba de injeção de seguran
ça n 9 1 falha em succionar
I
1,5 x IO"2
22
do TAAR
VR8922A falha em abrir 9,5 x IO"5

4,0
* I
3
23 Ruptura na VR8922A 1,0 x IO"8 10

I
24 VP8921A falha em permanecer
aberta 9,5 x IO" 5 3
I
25 VA8923 falha em permanecer
aberta (entupimento) 9,5 x IO"5 3
I
26 VR8900A falha em abrir 9,5 x IO" 5 3 I
27 Ruptura na VR8900A 1,0 x IO"8 10
I
28 VR8948A falha em abrir 9,5 x IO"5 3
I
29 Ruptura na VR8948A 1,0 x 10"8 10
1
30 MOV8803A falha em abrir 2,0 x IO" 3 2,8
31 MOV8803B falha em abrir 2,0 x IO" 3 2,8
Vazão insuficiente devido â

32 perda dej'heat tracing" en
tre as válvulas de entrada
do T1B e o TIB 8,0 x 10"4 6,0
I
166
I
Número
de evento Descrição
Indisponibilidade,
q (mediana)
Fator
de erro,f I
33 Ruptura no tanque de , inje_
ção de boro 3,6 x IO" 7 30
I
34
Precipitação do boro no TIB
dificulta a injeção do^HPIS
através do TIB devido a pe£
I
da do "strip heater"
Vazão insuficiente devido ã
1,5 x IO"4 23
I
35 perda de^'Tieat tracing" en
tre as válvulas de saída do
TIB e o TIB 8,0 x IO"4 6,0
I
36 MOV8801A falha em abrir 2,0 x IO"3 2,8 I
37 MOV8801B falha em abrir 2,0 x IO"3 2,8 I
' 38 VR8932 falha em abrir 9,5 x IO"5 3
I
39 Ruptura na VR8932
Ocorre LOCA tipo guilhotina

1,0 x IO"8 10
I
40 na perna fria n 9 2
Ocorre LOCA tipo guilhotina
5,0 x 10"1 1
I
41 na perna fria n 9 1 5,0 x 10"1
42 Ruptura no TAAR 3,6 x IO"7

1
30
I
43 Escapamento de água borada I
do TAAR 1,0 x IO"8 10
44 Orifício ("venting") do
I
TAAR entupido 4,4 x IO" 7 30
45 Falhas na indicação de ní-

vel baixo no TAAR 3,0 x IO" 5 10
I
46 Ruptura da tubulação entre
o TAAR e a VR8926 3,6 x IO" 7 30
I
47 Entiipiinento da tubulação en
tre o TAAR e a VR8926 4,4 x IO" 7 30 I
I
167
Número Descrição Indisponibilidade, Fator

de evento q (mediana) de erro,£
48 VR8926 falha em abrir< 9,5 x IO" 5 3
49 Ruptura na VR8926 1,0 x IO"8 10
50 Ruptura da tubulação entre

a VR8926 e a junção A 3,6 x IO" 7 30
51 Entupimento da tubulação en
tre a VR8926 e a junção A 4,4 x IO"7 30
52 Sinal S não ê gerado 1,2 x 10~ 5 2,3
53 M0V8805B não opera 9,5 x 10~ 4 3
54 MOV88O5B não permanece

y aber- 9,5 x IO" 5 3
ta
55 Ruptura na MOV8805B 1,0 x IO" 8 10
56 VR8922B não abre ' 9,5 x IO" 5 3
57 . Ruptura na VR8922B 1,0 x IO"8 10
58 VP8921 B não permanece aber- 9,5 x IO"5 3
59 M0V8813 inadvertidamente fe
chada 3,0 x IO"4 3
60 MOV8830 inadvertidamente a-
berta 3,0 x 10" 4 3
61 M0V8829 inadvertidamente
aberta 3,0 x 10" 4 3
62 VA8924 não permanece aberta 9,5 x IO" 5 3
63 VR8900B não abre 9,5 x IO" 5 3
•64 Ruptura na VR8900B 1,0 x IO" 8 10

168
I Número
de evento Descrição Indisponibilidade,
q (mediana)
Fator
de erro.f
I 65 VR8948A não abre 9,5 x IO" 5 3
I 66 Ruptura na VR8948A 1,0 x IO" 8 10

a junção Q e a M0V8813 3,6 x 10~ 7 30

a junção P e a MOV8830 3,6 x IO" 7 30
I 69 Ruptura da tubulação entre a

junção R e a MOV 8829 ' 3,6 x IO" 7 30
I 70 Água no TIB não está a con

centração nominal 3,0 x IO" 4 10

a junção B e a M0V8802A 3,6 x IO" 7 30
I 72 tre a junção B e a MOV88O2A 4,4 x 10~ 7 30
73 MOV8802A não opera 3,2 x 10~ 4 3

I
74 iMOV8802A não permanece aberta 9,5 x IO"5 3
I
75 Ruptura na MOV8802A 1,0 x IO" 8 10
as MOV8802A e 8802B 3,6 x IO" 7 30
tre as MOVS8802A e 8802B 4,4 x IO" 7 30
I 78 MOV88O2B não opera 3,2 x IO" 4 3
79 NOV8802B m o permanece aberta 9,5 x IO" 5 3
80 Ruptura na M0V8802B 1,0 x IO" 8 10

169
Número Descrição Indisponibilidade, Fator

de evento q (mediana) de erro.f
81 Ruptura na tubulação entre 3,6 x IO"7 30

a M0V8802 e a junção C
82 Entupiraento na tubulação en
tre a MOV8802B e a junção C 4,4 x IO"7 30
1
• 170
- NOMENCLATURA
X
• I " VARIÁVEL BOOLEANA INDICATRIZ DO ESTADO DO I-ÊSIMO COMPONENTE
_ DE UM SISTEMA
• * VARIÁVEL BOOLEANA INDICATRIZ DO ESTADO DO SISTEMA
I " FUNÇÃO DE ESTRUTURA DO SISTEMA

n
I . T7TT XX.^ -- XX-^, XX^, . X
m minCxj , x 2 , . . . ,a^) - MENOR DOS NÚMEROS x±
" .? x i ~ 1 - .ir (1-xp
I , - max - MAIOR DOS NÚMEROS x±
m EXj - ESPERANÇA MATEMÁTICA DE \
* - h - FUNÇÃO DE CONFIABILIDADE
9
B
• i ~ NUMERO DE ESTADOS NOS QUAIS O I-ÉSIMO COMPONENTE Ê CRÍTICO
*i " VARIÁVEL BOOLEANA QUE INDICA A OCORRÊNCIA OU NÃO DO EVENTO
I BÁSICO i EM UMA ÁRVORE DE FALHAS DADA
' • CD " VARIÁVEL BOOLEANA QUE INDICA A OCORRÊNCIA OU NÃO DO EVENTO
| PRINCIPAL DE UMA ÁRVORE DE FALHAS DADA
qi INDISPONIBILIDADE DE COMPONENTES
• Q INDISPONIBILIDADE DE SISTEMAS
• AAF ANÁLISE POR ÁRVORES DE FALHAS
SREN - SISTEMA DE REFRIGERAÇÃO DE EMERGÊNCIA DO NÚCLEO
| LPIS - SISTEMA DE INJEÇÃO DE REFRIGERANTE DE EMERGÊNCIA DO NÚCLEO
TAAR - TANQUE DE ARMAZENAMENTO DE ÁGUA DE RECARREGAMENTO
I HPIS - SISTEMA DE INJEÇÃO DE REFRIGERANTE DE EMERGÊNCIA DO NÚCLEO
I TIB - TANQUE DE INJEÇÃO DE BORO
TSIB - TANQUE DE SURTO DE INJEÇÃO DE BORO
I
1 171
LOCA -
1 SAMPLE ->
ACIDENTE DE PERDA DE REFRIGERANTE
PROGRAMA DE COMPUTADOR QUE UTILIZA A SIMULAÇÃO DE MONTE CAR
1 LO DAS DISTRIBUIÇÕES DAS TAXAS DE FALHA E REPARO DE EVENTOS
BÁSICOS PARA DETERMINAR A INCERTEZA DAS CARACTERÍSTICAS DE
I
• lnx
CONFIABILIDADE DO EVENTO PRINCIPAL
LOGARITMO NEPERIANO DE x
1 y
a
MÉDIA DA DISTRIBUIÇÃO NORMAL
DESVIO-PADRÃO DA DISTRIBUIÇÃO NORMAL
1 \x MÉDIA DE UMA DISTRIBUIÇÃO
X MEDIANA DE UMA DISTRIBUIÇÃO
1 0.5 "
MODA DE UMA DISTRIBUIÇÃO
1 YCx) - VARIANCIA DE UMA DISTRIBUIÇÃO
>
1
1
1
1
1
1
1
1
1
1
i
I 172
I - SÍMBOLOS .GRÁFICOS
I UBS,: A SIGLA ENTRE PARÊNTESES INDICA COMO O COMPONENTE ESTA REPRESENTADO

NOS ESQUEMAS.
• H><1— VÁLVULA OPERADA A MOTOR (MOV)
I
I ~}<d~ VÁLVULA DE RETENÇÃO (VR)
I
VÁLVULA DE CONTROLE DE ESCOAMENTO (FCV)
• H><!— VÁLVULA OPERADA A /»R COMPRIMIDO (VOAC)
I
B0MBA CE
| , —Q"" NTRÍFUGA
- { X H VÁLVULA DE PORTÃO (VP)
I| H^<!— VÁLVULA GLOBO (VG)

173
—j>J<]— VÁLVULA DE AGULHA (VA)
—O<J— VÁLVULA NORMALMENTE ABERTA (N.A.)
VÁLVULA NORMALMENTE FECHADA (N.F.)
"HEAT TRACING"ELÉTRICO (H.T.)
f SÍMBOLO QUE INDICA COMPONENTE ATIVADO OU DESATIVADO

POR SINAL S.
I
I
\
1
I 174
I
. , REFERÊNCIAS BIBLIOGRÁFICAS
• {1} Anwendung von Monte-Carlo-Verfahren zur Ermittlung von

ZuverlHssigkeitsmerkmalen technischer Systeme,Institut filr Luft
I und Raumfahrt, TU/Berlin,ILR-Bericht 14, Berlin, 1976.
{2} AUSTREGÉSILO F', H. - Análise da Reinundação do Núcleo de um

I - ^. Reator PWR sob os Efeitos de um Acidente Postulado de Perda de
Refrigerante - Tese de Mestrado, Universidade Federal do Rio de
I Janeiro, COPPE, 1978.
{3} BARLOW, R.E. e P. Chatterjee - Introduction to Fault Tree Ana

I
_.
lysis,- Operations Research Center, university of
Berkeley, Report ORC 73-30, 1973.
California,
{ "»} BARLOW, R.E. e H.E. Lambert - Introduction to Fault Tree Analy

• ' sis, SIAM, Philadelphia, 1975.
{ s} BARLOW, R.E. e F. Proschan - Importance of System Components

I and Fault Tree Events, Stochastic Processes and their Appli
cations, 3 (1975), 1-21.
• { 6} BARLOW, R.E. e F. Proschan - Statistical Theory of Reliability

_ and Life Testing, Holt Reinhart and Winston, 1975.
{ 7} BIRKHOFER, A. et alii - Deutsche Risikostudie Kernkraftwerke ,

I eine Uhtersuchung zu dem durch Stflrfalle in Kernkraftwerken
verursachten Risiko,- BMT, 1979.
I Í8} BIRNBAUM, Z.W. - On the Importance of Different Components in a

Multicomponent System, in Multivariate Analysis-II, edited by
I P.R. Krishnaiah, Academic Press, 1969.
I {9} BIRNBAUM, Z.W. et alii - Multicomponent Systems and Structures

and their Realiability, Technometrics, vol. 3, pp.55-77 (1961).
I
I
J
• 175
I {10} CAMARINOPOULOS, L. - Direkte und gewichtete Simulationsmethoden

I zur Zuverlgssigkeitsuntersuchung technischer Systeme,
sertation D 83, TU Berlin, 1972.
Dis-
I í 11 } CHATTERJEE, P. - Fault Tree Analysis: Mia Cut Set Algorithm,

Operations Research Center, University of California, Berkeley,
I 1973.
I O2} CHRISTIAN SCHNEIDER - Fehlerbaumanalvse von periòdisch

inspizierbaren Systemen mit Hilfe der Monte-Carlo- Methoden,Dis_
I {is}
sertation am Kernforschungszentrum Karlsruhe, KFU 2628.
COSTA, J.R. - Comportamento Termohidráulico do Canal Quente de

I um Reator PWR sob Condições de um Acidente de Perda de Refrige
rante - Tese de Mestrado, Universidade Federal do Rio de Janei
I ro, COPPE, 1978.
O1»} CROSETTI, P.A. - Computer Program for Fault Tree Analysis, DUN,
I 5508, 1969.
I {is} CUWINGS, G.E. - Application of the Fault Tree Technique to a

"Nuclear Reactor Containment System, SIAM, Philadelphia, 1975.
I {16} ERDMANN, R.C. et alii - WAMCUT, A Computer Code for Fault Tree
Evaluation, Report EPRI-NP-803, Science Applications, Inc., Pa
I lo Alto, California, NTIS, 1978.
I {i'} ESARY, J.D. e F. Proschan - Coherent Structures of Non- Identi-

• cal Components, Technometrics, vol. 5, 191-209 (1963).
I {ie} ESTEVES DA SILVA, D. e J.M. de Lima - Analise Termohidráulica

de Segurança de Reatores, em Proteção do Meio Ambiente e Segu-
I rança das Instalações Nucleares, pp.93-127, Seminários proferi
dos no Programa de Engenharia Nuclear da CQPPE/UFRJ, Rio de Ja
I neiro, 1978.
{is} FARBER, G. e J. Rhode - Loss-of-Coolant Accident - Description

I of the General Course of the Accident and the Counter-Measures
I
I 176
I with Respect to Emergency Core Cooling - Institut für Reaktor-

I sicherheit, KOln, 1975.
I Final Safety Analysis Report - FSAR - Central Nuclear Almirante

Álvaro Alberto - Unidade I - Furnas Centrais Elétricas SA., Rio
I {21}
de Janeiro, 1978.
FORD, D. F. e H. W. Kendall - Catastrophic Nuclear Reactor Ac

I cidents in the Nuclear Fuel Cycle - The Union of Concerned
Scientists, the MIT Press, revised edition, Cambridge, Massa,
I {22}
chusetts, 1975.
FUSSELL,J. B. - Fault Tree Analysis - Concepts and Techniques,

I Aerojet Nuclear Company, Idaho Falls, Idaho, 1973.
I •{23} FUSSELL.J. B. - How to Hand-Calculate System Reliability Cha

racteristics, Aerojet Nuclear Company, Idaho Falls, Idaho.
I U*} FUSSELL.J. B. e J.S. Arendt - System Reliability Engineering

Methodology: A Discussion of the State of the Art, Nuclear Sa
I ~ fety, vol. 20, 5, set. - out. 1979.
{25} FUSSELL.J.B. et alii - MOCUS - A Computer Program to Obtain Mi

I nimal Sets From Fault Trees, USAEC Report ANCR-115Ó, Aerojet Nu
clear Company, NTIS, 1974.
I {2 6} FUSSELL.J. B. e W. E. Vesely - A New Methodology For Obtaining
I Cut Sets For Fault Trees, American Nuclear Society Transactions,

vol. 15, n. 1, 1972..
I {27} FUSSELL.J. B. e D. P. Wagner - Fault Tree Analysis as a Part of

Mechanical Systems Design, sem menção de data e local de publi
cação.
Í 28 } GATELY, W. Y. e R.L. Williams - GO Methodology - System Reli

ability Assessment and Computer Code Manual,Report EPRI-NP-766,
Kaman Sciences Corporation, Colorado Springs, Colorado, NTIS,
1978.
1
I
I
, HAASL, D. F. - Advanced Concepts in Fault Tree Analysis,Systems
I Safety Symposium, June 8-9, J.965, Seattle: The Boeing Company.
1 {30} LAMBERT, H. E. - Measures of Importance of Events and Cut Sets

in Fault Trees, SIAM, Philadelphia, 1975.
I Í 31 } LAMBERT, H. E., - Systems Safety Analysis and Fault Tree Analy

sis, Lawrence Livermore Laboratory, University of California,
/ \ Livermore, UCID-16238, 1973.
I {32} LAMBERT, H. E. e F. M. Gilman - The IMPORTANCE Computer Code,

ERDA Report UCRL - 79269, Lawrence Livermore Laboratory, Univej:
sity of California, 1977.
{3 3} LAUBEN, G. N. - T00DEE-2 - A Two Dimensional Time Dependent Fu

•' ' el Element Thermal Analysis Program - NUREG 75/057 - NRC, Divi
sion of Technical Review, 1975.
| i3<*} LEYERENZE, F. L. e H. Kirch - User's Guide for the WAM-BAM Com

puter Code, Report EPRI-217-2-5 (PB-249624), Science Applica-
I tions, Inc., Palo Alto, California NTIS, 1976.
Í 35 } LEWIS, H. W. et alii - Risk Assessment Review Group Report to

I the U. S. Nuclear Regulatory Commission, NUREG/CR-0400, USNRC,
1978.
Í 36 } Manual de Operação de Angra I, Descrição dos Sistemas, novembro
I {3 7}
de 1976.
MARSHALL, A. W. e F. Proschan - Mean Life of Series and Para-

llell Systems, J. Appl. Prob., vol. 7, 165-174 (1970)
{38} MATTHEWS, S. D. - MOCARS: A Monte Carlo Simulation Code for De
I tennining the Distribution and Simulation Limits, ERDA Report,
TREE-1138, EG $ G, Idaho, Inc., NTIS, 1977.
-
{39} MEARNS, A. B.- Fault Tree Analysis: The Study of Unlikely Even
I ts in Complex Systems, System Safety Symposium, June 8-9, 1965,
Seattle, The Boeing Company.
I
178
MICHELS, J. M. - Computer Evaluation of the Safety Fault Tree

Model, System Safety Symposium, June 8-9, 1965, Seattle: The
Boeing Company.
OIM0S, J. e L. Wolf - A Modular Approach to Fault Tree and Re

liability Analysis, Report MITNE-209, Department of Nuclear En
gineering, MIT, Agosto de 1977.
{"2} PANDE, P.K., et alii - Computerized Fault Tree Analysis: TREEL

and MICSUP, Report ORC-75-3(AD-AO 10 146), Operations Research
Center, University of California, Berkeley, NTIS, Abril de 1975.
{*3} P1ATZ, 0. e J. V. Olsen - FAUNET: A Program Package for Evalua

tion of Fault Trees and Networks, Report RISO-348, Danish Ato
mie Energy Commission, 1976.
Í1»*} POWERS, G. J. et alii - A Safety Simulation Language for Chemi

cal Processes: A Procedure for Fault Tree Synthesis, SI AM, P M
ladelphia, 1975.
{••5} RASMUSSEN,. N.C. et alii - Reactor Safety Study - An Assessment

of Accident Risks in U.S. Commercial Nuclear Power Plants,WASH-
1400, NUREG-75/014, U.S. Nuclear Regulatory Commission - Washing
ton D.C. - Outubro de 1975.
{"6} RECHT, J. L. - Nat. Saf. News 93 (4), 37 (1966).
{*•'} REIAP4/M0D5: A Computer Program for Transient Thermal - Hydrau-

lic Analysis of Nuclear Reactors and Related Systems - ANCR -
NUREG - 1335 - Aerojet Nuclear Co., Setembro de 1976.
{••o} SANDLER, G. H. - System Reliability Engineering, Prentice-Hall,

Inc., Englewood Cliffs, New Jersey, 1963.
{"•9} SEMANDERES, S. N. - ELRAFT - A Computer Program for the Effici

ent Logic Reduction Analysis of Fault Trees, IEEE Trans. Nucl.
Sci., NS-18(1): 481-487, 1971.
179
{so} SIM0NATIUS, D. F. et alii - Reliability Evaluation of a Heart

Assist System - Proceedings of the 1972 Annual Reliability and
.Maintainability Symposium, San Francisco, 1972.
{si} Sistema de Refrigeração de Emergência do Núcleo - Usina de An

gra - Unidade I - Manual de Operação - Vol. II - Descrição dos
Sistemas - Furnas Centrais Elétricas S. A., novembro 1976.
{52} SMIDT, D. e R. Salvatori - Safety Technology for Accident Ana

lysis and Consequence Mitigation - Pressure Vessel Types - Wes
tinghouse Electric Co., 1976.
i 53 } System Safety Symposium, Proceedings of the Symposium sponsored

by the university of Washington and the Boeing Company,Seattle,
Washington, June 8-9, 1965.
í51*} 10 CFR 50, Appendix K, ECCS Evaluation Models - Code of Federal

Regulations, Title 10, Atomic Energy Commission, Part 50 Licen
sing of Production and Utilization Facilities, EUA, 1974.
{55} "VESELY, W. E. - Analysis of Fault Trees by Kinetic Tree Theory,

IN-1330, Idaho Nuclear Co., 1969. .
{se} VESELY, W. E. - A Time-Dependent Methodology for Fault Tree

Evaluation, Nuclear Engineering and Design, 15 C2), 1970.
i5'} VESELY, W. E., - Qualitative Evaluations of a Fault Tree: The

Critical Paths, sem menção de data e local de publicação.
{se} VESELY, W. E. - Reactor Safety Research, USAEC, Washington, pu

blicada como "comunicação privada", 1972.
{59} VESELY, W. E. e F. F. Goldberg - FRANTIC - A Computer Code for

Time-Dependent unavailability Analysis, NRC, NUREG-0193, NTIS,
1977.
{so} VESELY, W. E. e R. E. Narum - PREP and KITT: Computer Codes for

the Automatic Evaluation of a Fault Tree, IN-1349, Idaho Nucle
ar Co., 1970.
I
_ 180
I {si} WHEELER, D. B. et al - Fault Tree Analysis Using Bit Manipula

I {6 2}
tion, IEEE Trans. Reliab. R-26(2): 95-99 (julho de 1977).
WILLIA, R. R. - Computer-Aided Fault Tree Analysis, Report
I
_ .
ORC-78-14, Operations Research Center, University of California,
Berkeley, 1978.
{6 3} WORRELL, R. E. e D. W, Stack - A SETS User's Manual for the

1 '• ; . Fault Tree Analyst, Report SAND-77-2051, Sandia Laboratories,
%
" "~ 1978.
| {et} YADIGAROGLU, G. - The Reflood Phase of the LOCA in PWRS - Nu-

CLEAR SAFETY 19 (1): 20-36, 1978.
I {6 5} YADIGAROGLU, G. et alii - Heat Transfer During the Reflooding
• * Phase of the LOCA - State of the Art, Research Project 248-1,
;' prepared for EPRI, 1975.
{66} MACIEL, C.C. - Estudo da Confiabilidade do Sistema de Acumulado
res de Angra I - Tese de Mestrado - Universidade Federal do
Rio de Janeiro, 1979.

Analise Da Confiabilidade Dos Sistemas Ativos de Injeção de Segurança de Angra I

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Analise Da Confiabilidade Dos Sistemas Ativos de Injeção de Segurança de Angra I

Enviado por

Direitos autorais:

Formatos disponíveis

ANALISE DA CONFIABILIDADE DOS SISTEMAS ATIVOS

DE INJEÇÃO DE SEGURANÇA DE ANGRA I

PAUÜO FERNANDO FERREIRA FRUTUOSO E MELD

TESE SUBMETIDA AO CORPO DOCENTE DA COORDENAÇÃO DOS PROGRA

/ L UUIZ ALBERTO ILHA ARRIETA

.LUIZ FERNANDtrSEÍXAS DE OLIVEIRA

RIO DE JANEIRO,RJ - BRASIL

FRUTUOSO E MELO, PAULO F. F. •

Análise da Confiabilidade dos sistemas de |

XI, 180 p . 29,7on ( COPPE - UFRJ, I

Tese - Univ. Fed. Rio de Janeiro, Fac. I

! POR ME HAVER HONRADO COM SUA PRESENÇA EM MINHA BANCA DE TESE.

E, AO DR. JUAN BAUTISTA S O T O HESLES, MEU ORIENTADOR,

v Especificamonto ^ ^lculou-se a indisponibil idade dos •

0 traballiü 5 4ittseaáeTna metodologia e nos dados utili •

^— The unavailability values for the safety systems

IV. MODELOS DE ANÁLISE UTILIZADOS |

IV-3) Utilização do Programa SAMPLE 63

IV-4) Obtenção dos Cortes Mínimos 66

V. APRESENTAÇÃO E INTERPRETAÇÃO DOS RESULTADOS

V-l.l) Arvore de Falhas para o LPIS 68

V-l.2) Dados de Entrada 72

V-l.6) Cálculos de Importância de Confiabili

V-2) Resultados para o HPIS 83

VI. CONCLUSÕES E RECOMENDAÇÕES

APÊNDICE A - A DISTRIBUIÇÃO LOGNORMAL 105

APÊNDICE B - O PROGRAMA "SAMPLE" 108

APÊNDICE C - O PROGRAMA "BIRNBAUM" ... 110

APÊNDICE D - ÁRVORE DE FALHAS DO LPIS 127

APÊNDICE E - ÁRVORE DE FALHAS DO HPIS 141

I do núcleo do reator ê feita por três barreiras físicas: o revestimen

Uma análise deste acidente deve verificar se as cara£

Como primeiro trabalho desse Grupo, foi feito um estu

Neste trabalho, faz-se a analise de confiabilidade dos

Ainda neste capítulo, faz-se uma revisão bibliográfi-

No No Cap. II, introduzem-se os conceitos básicos da

0 Cap. Ill apresenta uma discussão dos sub-sistemas e£

0 Cap. IV apresenta toda a modelagem utilizada, desde

0 Cap. V apresenta os resultados obtidos, desde as ar

I Estão sendo desenvolvidos atualmente, estudos de con

Após a avaliação da confiabilidade dos sistemas de S£

I A metodologia empregada nas analises do Grupo ê basea_

I ceitos de cortes mínimos e o de importância de confiabilidade. Na se

1-2.1) Parte Teórica

I giu nos últimos anos da década de 50, quando a indústria aeroespacial

I mísseis mais complexos e dispendiosos foram produzidos, tais procedi^

I avaliação da segurança. Passou a ser dada ênfase a critérios de pro

A análise por árvores de falhas ê uma das técnicas ado

I A análise por árvores de falhas foi idealizada em 1962

I um estudo pedido pela Força Aérea Norte-Americana (sobre o sistema de

I cidade. D.F. Haasl, R.J. Schroder, W.R. Jackson e outros contribuí

I Em 1965, ocorreu um simpósio sobre segurança na

I Neste simpósio, foi reconhecido que a análise por árvores de falhas

I pacial para a tecnologia de segurança de reatores nucleares.

I Especialistas em Estatística Matemática vêm contribuin

I feitas na parte conceituai já com vistas a aplicação direta na anãli

I Vesely55' x desenvolveu uma ferramenta de análise que

I Este tratamento supõe variações temporais das grandezas relevantes-c£

Lambert31, Fussell e Vesely 26 , Barlow e Chatterjee3,

I ção de cortes mínimos, redução de árvores de falhas utilizando-se as

I Cummings15analisou o sistema da contenção de um reator

• Do ponto de vista de apliceção dos conceitos a reato

Existem já modelos de aplicação da análise por árvores