Você está na página 1de 66

INTRODUÇÃO AOS CONCEITOS DE

FIABILIDADE, RISCO E SEGURANÇA


João Palma
Armando Cordeiro
v09, 2014
1- INTRODUÇÃO
1.1- Conceitos básicos de probabilidades

Probabilidade de ocorrência de um acontecimento A:


0 ≤ P ( A) ≤ 1 (1.1)

Definição clássica (Laplace):


M
P( A) = (1.2)
N
M = número de casos elementares favoráveis ao acontecimento A
N = número total de casos elementares possíveis

Definição estatística:
m
P(A) = (1.3)
n
m = número de ocorrências do acontecimento A
n = número (elevado) de tentativas

Probabilidade de ocorrência de algum acontecimento de entre vários mutuamente


exclusivos:
P(A + B) = P(A) + P(B) (1.4)
P(A1 + A 2 + ... + A n ) = P(A1 ) + P(A 2 ) + ... + P(A n ) (1.5)

Grupo completo de acontecimentos {A1 , A 2 , ..., A p } :

{A1 , A 2 , ..., A p } : P(A1 ) + P(A 2 ) + ... + P(A p ) = 1 (1.6)

Acontecimentos complementares ou opostos A e A :


P( A ) = 1 − P ( A) , A = Ω − A (1.7)
Ω = espaço de acontecimentos

Ocorrência simultânea de acontecimentos – probabilidade conjunta vs. condicionada:


P(A.B) = P(A).PA (B) = P(B).PB (A) (1.8)
P(A) = probabilidade de ocorrência do acontecimento A
P(B) = probabilidade de ocorrência do acontecimento B

1.1
PA(B) = probabilidade condicionada de ocorrência do acontecimento B na hipótese
(condição) de que o acontecimento A tenha ocorrido
PB(A) = probabilidade condicionada de ocorrência do acontecimento A na hipótese
(condição) de que o acontecimento B tenha ocorrido
P(A.B) = probabilidade conjunta de ocorrência de A e B

Generalização para a ocorrência de A na hipótese de ocorrer algum dos acontecimentos


mutuamente exclusivos B1, B2, ..., Bn:
P(A) = P(B1 ).PB1 (A) + P(B 2 ).PB2 (A) + ... + P(B n ).PBn (A) (1.9)

Probabilidade de ocorrência simultânea de acontecimentos independentes:


P(A.B) = P(A).P(B) (1.10)
P(A1 .A 2 . ... .A n ) = P(A1 ).P(A 2 ). ... .P(A n ) (1.11)

Probabilidade de ocorrência de algum entre dois acontecimentos no caso geral:


P(A + B) = P(A) + P(B) − P(A.B) (1.12)

espaço de
acontecimentos

A B

A.B A.B A.B A.B


Fig. 1.1 – Diagrama de Venn de dois acontecimentos A e B.

Probabilidade de ocorrência de pelo menos um de entre um conjunto de aconteci-


mentos mutuamente independentes:
P = 1 − P(A).P( B) (1.13)
P(pelo menos um de {A1 .A 2 . ... .A n }) = 1 − P(A1 ).P(A 2 ). ... .P(A n )
(1.14)
= 1 − q1 q 2 ... q n

Fórmulas de Bayes:
P(A.B)
PA (B) = (1.15)
P( A)
P(B1 ).PB1 (A)
PA (B1 ) = (1.16)
P( B1 ).PB1 (A) + P(B 2 ).PB2 (A) + ... + P(B n ).PBn (A)
P(Bi ).PBi (A)
PA (Bi ) = , i=1,2,...,n. (1.17)
P(B1 ).PB1 (A) + P(B 2 ).PB2 (A) + ... + P(B n ).PBn (A)

1.2
Ex. 1.1. Uma caixa contém 20 peças, entre as quais há 3 com defeito.
a) Qual a probabilidade de extrair da caixa um conjunto de 5 peças sem defeito?
O número de casos possíveis é o número total de possibilidades de extrair 5 peças das 20
20!
existentes: C 520 = = 15504 . O número de casos favoráveis é o número de possibilidades
5! 15!
17!
5
de tirar 5 das 17 peças que não têm defeito: C17 = = 6188 .
5! 12!
Probabilidade de extrair da caixa um conjunto de 5 peças sem defeito: P0 = C17
5
/ C 520 = 0,40 .

b) Qual a probabilidade de extrair da caixa um conjunto de 5 peças em que exista, no


máximo, uma com defeito?

Corresponde à probabilidade P0 de extrair da caixa um conjunto de 5 peças sem defeito


adicionada da probabilidade P1 de extrair da caixa um conjunto de 4 peças sem defeito e 1
com defeito. P0 já foi calculada antes.
Para o cálculo de P1 o número de casos possíveis continua a ser C 520 , mas o número de casos
favoráveis agora corresponde às combinações que dão 4 peças sem defeito entre as 17
possíveis multiplicadas pelo número de possibilidades da peça com defeito entre as 3
C5 4
C17 C13
existentes: P = P0 + P1 = 17 + = 0,86 .
C 520 C 520

Sequências de provas independentes – fórmula de Bernoulli


Seja uma sequência de n provas onde o acontecimento A pode ocorrer, mas cuja
probabilidade de ocorrência p numa dada prova não depende dos resultados de outras provas.
A, A, A, A, A, A, A, A, A, A, A, A, A, A, A, A, A, A, A, A, A, A, A, ...

Ex. 1.2. Em 4 provas sucessivas existem 24 sequências A , A , A, A


possíveis de o acontecimento A se verificar ou não; dessas A , A, A , A
A , A, A, A
16 possibilidades apenas as que se indicam ao lado
A, A , A , A
correspondem à ocorrrência de A em duas das provas: trata-
A, A , A, A
-se das combinações de quatro duas as duas
( C 42 = 4! (2!(4 − 2)!) = 6 ).
A, A, A , A

Admita-se que essa probabilidade p de ocorrência de A numa dada prova é constante; a


probabilidade de A não ocorrer também será constante e com valor q=1-p.

A probabilidade de A ocorrer exactamente em k das n provas e não ocorrer nas outras


n-k provas exprime-se pelo produto de probabilidades p k q n −k ; mas há que afectar o resultado
pelo produto do número C nk de combinações das k ocorrências de A em n provas. Logo, a

1.3
probabilidade de A ocorrer exactamente em k das n provas e não ocorrer nas outras n-k
provas, em todas as combinações possíveis, exprime-se por (fórmula de Bernoulli):
n!
Pn (k ) = C nk p k q n− k , com C nk = (1.18)
k!( n − k )!
Nota: trata-se da expressão do termo geral do binómio de Newton:
n ( n − 1) n − 2 2 n!
( p + q ) n = p n + np n −1 q + p q + ... + p n − k q k + ...
2! k ! ( n − k )! (1.19)
n! n ( n − 1) 2 n − 2
... + p k q n − k + ... + p q + npq n −1 + q n
k ! ( n − k )! 2!

Ex. 1.3. Uma máquina produz peças que têm uma taxa média de defeitos de 3/20.

a) Qual a probabilidade de se obter uma sequência de 5 peças sem defeito?

p=3/20=0,15, q=0,85
Probabilidade de sairem 5 peças sem defeito: P0 (5) = C 50 p 0 q 5 = q 5 = 0,44.

b) Qual a probabilidade de se obter uma sequência de 5 peças em que exista, no máximo, uma
com defeito?
P = P0 (5) + P1 (5) ; P0(5) foi calculada atrás.
Probabilidade de sair 1 peça com defeito em 5: P1 (5) = C 15 pq 4 = 5 pq 4 =0,39.
P = P0( 5 ) + P1( 5 ) = 0 ,83 .
[Comparar estes resultados com os do ex. 1.1: P0=0,40, P1=0,86.]

Ex. 1.4. Considere-se um caso em que n=1000, k=20, p=0,015 (q=0,985). Tem-se:
1000! k n −k 4,024 × 102567
P1000 ( 20) = p q = = × 0,01520 × 0,985980 ≈ 0,042 .
20!980! 4,872 ×102507

A fórmula de Bernoulli torna-se pouco prática com n e k elevados. Para obviar isso
recorre-se à aproximação local de Laplace, válida para n elevado:
x2
1 1 − k − np
Pn ( k ) ≈ e 2
, com x = , 0 < p <1 (1.20)
npq 2π npq

Ex. 1.5. Resolução do Ex. 1.4 utilizando esta última aproximação.

n=1000, k=20 e p=0,015


x=1,3 e P1000 (20) ≈ 0,10388e − 1,3 ≈ 0,045 .
2
/2

Probabilidade de ocorrência do acontecimento A entre k1 e k2 vezes num total de n


provas – fórmula integral de Laplace:
x2
k1 − np k 2 − np
x2
1 −
Pn (k1 , k 2 ) ≈

∫e
x1
2
dx, com x1 =
npq
, x2 =
npq
, 0 < p <1 (1.21)

1.4
Noutros termos, a probabilidade de sucederem m ocorrências de A, com k1 ≤ m ≤ k 2 , é:

 m − np  1
x2

x2
P x1 ≤ ≤ x2  ≈ ∫e 2
dx (1.22)
 npq  2π
  x1

Com este último resultado pode determinar-se a probabilidade de desvio da frequência


relativa em relação à probabilidade teórica p em sequências de provas independentes,
estabelecendo intervalos de confiança.

Se A ocorreu m vezes num total de n provas, pretende-se calcular a probabilidade de


m
− p ≤ ε . O problema pode exprimir-se na forma de desigualdades:
n
 m − np 
P − ε ≤ ≤ε (1.23)
 n 
Como n
> 0 também se pode escrever a desigualdade anterior na forma
pq

 n m − np n 
P − ε ≤ ≤ε (1.24)
 pq npq pq 

Este valor pode ser determinado pela fórmula integral de Laplace (1.21), utilizando
n n
como limites de integração x1 = −ε , x2 = ε . O cálculo daquele integral não é
pq pq
viável analiticamente tendo que se determinar por meios numéricos ou por tabela ou ábaco
(como o que se apresenta na fig. 1.2).

Φ ( x)
0,50

0,45

0,40

0,35 x
1
∫ e z / 2dz
2
Φ ( x) = −

2π 0
0,30

0,25

0,20

0,15

0,10

0,05

0
0 1,0 2,0 3,0 4,0 x
Fig. 1.2– Ábaco da função utilizada para o cálculo com a fórmula integral de Laplace.

1.5
Ex. 1.6. Admite-se que a probabilidade de falhas em peças numa série em fabricação é p=0,07.

a) Calcular a probabilidade de, em 150 peças testadas, a proporção de peças com defeito não
se afastar de p mais do que 10%, isto é, de se encontrar no intervalo 0,063 ≤ m / n ≤ 0,077 .

 m 
n=150, p=0,07, q=0,93, ε=0,1p=0,007, P  − 0,007 ≤ − 0,07 ≤ 0,007  = ?
 n 
150
x1 = −0,007 = −0,336, x 2 = 0,336
0,07 × 0,93
 m − np  1
0 , 336

x2
2
0 , 336

x2

P  x1 ≤ ≤ x2  ≈ ∫ e 2
dx = ∫ e 2
dx ≈ 0,27 .
 npq  2π 2π
  − 0 , 336 0

Para o cálculo do integral utiliza-se o ábaco da fig. 1.2: Φ(0,336)≈0,135. O resultado


procurado será então 2Φ(0,336)≈0,27.

Conclui-se que, com 150 peças testadas, há uma probabilidade bastante baixa (0,27) de a taxa
de falhas detectada (m/n) não se afastar dos 0,07 em mais de 10%, ou seja, de ter
0,063 ≤ m / n ≤ 0,077 .

b) Qual o número mínimo de peças a testar por forma a encontrar, com uma probabilidade de
0,95, um valor de taxa de falhas que não se afaste de 0,07 em mais de 10%?
 m 
n=?, p=0,07, q=0,93, ε=0,007, P − 0,05 ≤ − 0,07 ≤ 0,05  = 0,95
 n 
 m − np  2
x

z2

P x1 ≤ ≤ x2  ≈ ∫0 2 dz ≈ 0,95 =2Φ(x), Φ(x)≈0,475


e
 npq  2 π
 
Entrando no ábaco da fig. 1.2 com Φ(x)=0,475 obtém-se x≈1,93.
2
n
, n = 
n 1,93 
x =ε , 1,93 = 0,007  × 0,07 × 0,93 ≈ 4949
pq 0,07 × 0,93  0,007 
Seria necessário testar quase 5 mil peças para que a taxa de falhas detectadas caísse dentro do
desejado intervalo 0,063 ≤ m / n ≤ 0,077 com uma probabilidade de 0,95.

1.2- Distribuições

Distribuição binomial
A probabilidade de um acontecimento A ocorrer k vezes em n provas independentes
exprime-se pela fórmula de Bernoulli:
n!
Pn ( k ) = p k q n − k , com k=0, 1, 2, …, n (1.25)
k!( n − k )!

1.6
Pn (k )
0,4 p =0,5

0,3
n =10

n =20
0,2
n =30

0,1

0
0 5 10 15 20 25 30 k
Fig. 1.3– Exemplos da distribuição binomial com alguns valores de n, para o caso de p=0,5.

Distribuição de Poisson
No caso anterior em que o número n de provas seja elevado e seja baixa a probabilidade
p de ocorrência do acontecimento A, demonstra-se que o lim Pn ( k ) obtido a partir da
n→∞

expressão anterior pode ser aproximado por


λk e − λ
Pn ( k ) = , com λ = np (1.26)
k!

Pn (k )
0,4 p =0,05

0,3

n =100
0,2
n =200
n =300
0,1

0
0 5 10 15 20 25 30 k
Fig. 1.4– Exemplos da distribuição de Poisson com alguns valores de n, para o caso de p=0,05.

Aplicação a um fluxo temporal de acontecimentos:


(λt ) k e − λt
Pt ( k ) = , com λt = np (1.27)
k!
λ = taxa de ocorrências (número de ocorrências por unidade de tempo)

1.7
Fiabilidade como distribuição exponencial
No caso de começar por existir um número No de peças, que apresentam uma taxa de
falhas proporcional ao número N de peças ainda existentes em cada instante, fica
dN
= −λN (1.28)
dt
d (N / No )
= − λN / N o
dt

A probabilidade de sobrevivência estima-se pela relação entre o número N de elementos


N
ainda sem falha e o número inicial No, quando este se torna muito grande: P = lim
N o →∞ N
o

d (N / No ) dP
= − λN / N o ⇔ = −λP
dt dt
A equação diferencial precedente têm por solução geral P (t ) = Ke − λt ; como a
probabilidade de sobrevivência até t=0 é 1, resulta K=1. Logo,
P (t ) = e − λ t (1.29)
Esta expressão também se obtém da distribuição de Poisson com k=0 (ausência de falhas).

Por definição, a probabilidade de sobrevivência durante um tempo t é a fiabilidade.


Com uma taxa de falhas λ constante a fiabilidade decresce exponencialmente segundo (1.29),
conforme se observa na fig. 1.5. Embora a representação gráfica abranja um grande extensão
do diagrama, para um horizonte de tempo t=1/λ a fiabilidade já só é de 0,37 e, por
conseguinte, apenas a região inicial tem verdadeira utilidade prática (p.ex. λt≤0,02 para ter
P≥0,98, ou λt≤0,001 para ter P≥0,999).

P (t )
1

0,8

0,6

0,4

0,2

0
0 1 2 3 4 5 λt

Fig. 1.5– Distribuição exponencial.

1.8
1.3- Variáveis aleatórias
Uma variável aleatória assume valores ao acaso, num dado espaço, com determinadas
características estatísticas. Numa variável aleatória real, simbolizada por X, essas
características podem ser descritas através de uma função distribuição de probabilidade,
FX(x), definida como a probabilidade de ocorrência de um valor dessa variável inferior ao
valor especificado x:
FX ( x ) = P ( X ≤ x ) (1.30)

É igualmente importante o conceito de função densidade de probabilidade, fX(x), que


se define como a derivada da função anterior relativamente à variável real independente x:
dFX ( x)
f X ( x) = (1.31)
dx
A probabilidade de o valor da variável aleatória surgir num intervalo x1<x≤x2 pode
calcular-se por

P( x1 < x ≤ x2 ) = ∫ f x ( x)dx
x2
(1.32)
x1

O valor médio ou esperança matemática de uma variável aleatória obtém-se por


+∞
E [ X ] = µ = ∫ xf x ( x)dx (1.33)
−∞

A fig. 1.6 ilustra estas características


num exemplo de variável aleatória. Em FX (x )
F(x) as ordenadas representam probabili- 1
dades; em f(x) as áreas representam
P (x<x1)
probabilidades. P( x 1<x<x2)
0,5
Os chamados momentos estatís-
0
ticos, de que a média é um caso particular, xma x1 x2 x
são valores escalares utilizados para
caracterizar diferentes aspectos de uma fX (x )
variável aleatória. O momento de ordem n
de uma variável aleatória X calcula-se por P( x 1<x<x2)

[ ] +∞
E X n = ∫ x n f x ( x)dx
−∞
(1.34)
0
xmo x1 x2 x
Os momentos centrais são medidas Fig. 1.6– Exemplode uma função distribuição de
de dispersão em relação à media. Merece probabilidade e da correspondente função densidade
de probabilidade de uma variável aleatória. Valores
destaque o momento central de ordem 2, a particulares assinalados: xma – mediana, xmo – moda.
que se dá o nome de variância:

1.9
[ ] +∞
var[X ] = E ( X − µ ) 2 = ∫ ( x − µ ) 2 f x ( x)dx
−∞
(1.35)

[ ] [ ] [ ]
var[X ] = E ( X − µ ) 2 = E ( X 2 − 2 Xµ + µ 2 ) = E X 2 − 2 µE [ X ] + E µ 2 [ ]
var[X ] = E [X ]− µ 2 2
(1.36)

O desvio padrão, simbolizado por σ, define-se como a raiz quadrada da variância:

[ ]
σ = E X 2 − µ2 (1.37)

σ f
Distribuição normal 0,4

Têm especial importância as


0,3
variáveis aleatórias que apresentam
distribuição normal (ou de Gauss), 0,2

traduzindo-se na seguinte função


0,1
densidade de probablidade estabelecida
com dois parâmetros, a média (µ) e o
0
desvio padrão (σ ): F
µ−4σ µ−3σ µ−2σ µ−σ µ µ+σ µ+2σ µ+3σ µ+4σ x

1,0
( x− µ )2
1 −
f ( x) = e 2σ 2 (1.38)
0,9

σ 2π 0,8

0,7

A correspondente função distri- 0,6

buição de probablidade é a seguinte: 0,5

0,4

1 x−µ 
F ( x) = 1 + erf ( ) (1.39) 0,3
2 σ 2  0,2
z
2 −t 2 0,1
erf ( z ) =
π
∫ e dt 0
µ−4σ µ−3σ µ−2σ µ−σ µ µ+σ µ+2σ µ+3σ µ+4σ x
0
Fig. 1.7– Aspecto das funções densidade de probabilidade e
distribuição de probabilidade de uma distribuição normal.

Ex. 1.7. Probabilidade de uma grandeza


aleatória V com distribuição normal surgir com valor:

a) não superior a µ-2σ: P(V≤µ-2σ)=F(µ-2σ)≈0,02 (pelo diagrama de F(x) da Fig. 1.7)

b) não superior a µ-σ: P(V≤µ-σ)=F(µ-σ)≈0,15

c) não superior a µ+2σ: P(V≤µ+2σ)=F(µ+2σ)≈0,98

d) superior a µ+2σ: P(V>µ+2σ)=1-F(µ+2σ)≈0,02 .

1.10
Distribuição exponencial

Caracteriza-se por um parâmetro λ:


λe − λt , t > 0 1 − e − λt , t > 0
f (t ) =  , F (t ) =  (1.40)
 0, t ≤ 0  0, t ≤ 0

1,0

0,9 F

0,8 f/λ
0,7

0,6

0,5

0,4

0,3

0,2

0,1

0
1 2 3 4 λt

Fig. 1.8– Funções densidade de probabilidade e distribuição de probabilidade de uma distribuição exponencial.

Aplica-se p.ex. à variável aleatória T do tempo até à falha de um sistema com taxa de
falhas constante λ. A função distribuição de probabilidade é complementar da fiabilidade:
F(t) = 1-R(t).

O tempo médio até à falha pode determinar-se como segue, recorrendo a integração por
partes:

E [T ] = ∫ xf ( x)dx = ∫ tλe −λt dt = tλe −λt


+∞

−∞ 0
+∞
[ ]+∞
0
+∞
+ ∫ e −λt dt =
0
1
λ
(1.41)

e a variância de T por um processo semelhante

var[T ] = ∫ x 2 f ( x)dx − {E [T ]} = ∫ t 2 λe −λt dt −


+∞ +∞ 1 1
=
2
(1.42)
−∞ 0 λ 2
λ2

1.11
1.12
2- FIABILIDADE

2.1- Definições
Um sistema ou um elemento pode manter-se a funcionar adequadamente durante
determinados intervalos de tempo e estar sujeito a avarias ou falhas que o mantêm fora de
serviço durante outros intervalos de tempo, sendo depois reparado (vide ilustração na Fig.
2.1).

estado

k=1 k=2 k=3 k=4 (número de falhas)


funcion.
correcto
t1 t2 t3 t4

tr1 tr2 tr3 tr4

tp1 tp2 tp3 tp4


falha
0 t
Fig. 2.1– Evolução no tempo do estado de funcionamento de um equipamento ou sistema reparável. À quarta
falha (k=4) o tempo total de serviço havia sido T=t1+t2+t3+t4; tempo total de paragem nas quatro falhas:
Tp=tp1+tp3+tp3+tp4; tempo total de reparação das quatro falhas: Tr=tr1+tr3+tr3+tr4.

O chamado tempo médio até à falha, vulgarmente conhecido pela sigla inglesa MTTF
(mean time to fail), obtém-se pelo quociente entre o tempo total efectivo de serviço de um
conjunto de elementos e o número de falhas registadas em elementos desse conjunto:
T
MTTF = θ = (2.1)
k
No caso de existir reparação sistemática de falhas utiliza-se também o conceito de tempo
médio entre falhas, vulgarmente conhecido pela sigla inglesa MTBF (mean time between
failures). Embora por vezes seja confundido com MTTF, o MTBF obtém-se pelo quociente
entre o tempo total (de serviço efectivo e de paragem) e o número de falhas registadas.

A taxa média de falhas (número de falhas por unidade de tempo) obtém-se por:
k
λ= (2.2)
T
A totalização do tempo de serviço tem em conta a soma dos tempos de todos os
elementos em teste. P. ex. o tempo efectivo de serviço de 10 peças durante 1000 h equivale ao
de 1 peça durante 10 000 h, ou de 100 peças durante 100 h, valendo T=10 000 h. Quando o
teste é feito com reposição (cada elemento avariado é substituído) para determinar o tempo
efectivo de serviço descontam-se os intervalos de reparação/substituição.

Fiabilidade de um elemento ou de um sistema é a probabilidade de o mesmo não ter


falhas num intervalo de tempo de 0 a t. É uma função do tempo: R (t ) . No caso de taxa de

2.1
falhas λ constante a fiabilidade tem uma distribuição exponencial (1.29), ou seja, uma
distribuição de Poisson para k=0:
R (t ) = e − λt (2.3)

A probabilidade complementar da fiabilidade é designada por infiabilidade. Trata-se da


probabilidade de um elemento ou sistema avariar num intervalo de tempo de 0 a t:
Q (t ) = 1 − R (t ) (2.4)

O chamado tempo médio de reparação, vulgarmente referido pela sigla MTTR (mean
time to repair), obtém-se pelo quociente entre o tempo total de reparação e o número de falhas
registadas:
Tr
MTTR = (2.5)
k
O seu inverso é chamado taxa de reparação e simbolizado por µ:
1
µ= (2.6)
MTTR
O tempo de paragem é normalmente maior do que o tempo efectivo de reparação, sendo
a diferença devida ao tempo de detecção das falhas. O tempo médio de paragem, MDT
(mean down time), obtém-se pelo quociente entre o tempo total de paragem e o número de
falhas registadas:
Tp
MDT = (2.7)
k
Os sistemas com reparação, em lugar da fiabilidade são caracterizados pela
disponibilidade. Chama-se disponibilidade (availability) do sistema ao quociente entre o
tempo efectivo de serviço e o tempo total
T T /k MTTF
A= = = (2.8)
T + Tp T / k + Tp / k MTTF + MDT

O seu inverso é chamado indisponibilidade (unavailability), U:


MDT
U = 1− A = (2.9)
MTTF + MDT
Com taxa de falhas constante tem-se MTTF=1/λ. Como geralmente MDT<<MTTF fica:

U ≈ λMDT (2.10)

Note-se que se o tempo de reparação for desprezável pode tomar-se MTBF≈MTTF.

As taxas de falhas não costumam ser rigorosamente constantes ao longo da vida dos
equipamentos (cf. Fig. 2.2): no período inicial (infância) essa taxa é tipicamente maior devido
aos defeitos de fabrico; no chamado período de vida útil o seu valor médio mantém-se

2.2
razoavelmente estacionário; após o envelhecimento a taxa de falhas volta a subir devido a
desgaste e fadiga. Na breve abordagem aqui efectuada apenas se utilizam modelos com taxas
de falhas constantes para os elementos dos sistemas.

taxa de
falhas

defeitos de vida útil falhas por


fabrico (falhas aleatórias) desgaste
0 t
Fig. 2.2– Evolução típica da taxa de falhas ao longo da vida de um equipamento (diagrama em “banheira”).

O tempo médio entre falhas determina-se a partir da expressão da fiabilidade, seja de


um elemento ou de um sistema, por

MTTF = θ = ∫ R(t )dt (2.11)
0

que, no caso particular da taxa de falhas estacionária, resulta em


∞ 1
MTTF = θ = ∫ e −λt dt = (2.12)
0 λ

2.2- Fiabilidade de sistemas com elementos associados em “série”

Na prática interessa calcular a fiabilidade de conjuntos de elementos associados num


dado sistema a partir do conhecimento da fiabilidade de cada um deles. Há casos em que a
fiabilidade do sistema (Rs) resulta menor e outros em que resulta maior do que a de cada
elemento sozinho (Ra, Rb, ...).

Quando os elementos ficam combinados de tal modo que a falha de qualquer um origina
a falha do sistema diz-se que estão associados em “série”. Nessas condições a fiabilidade do
sistema obtém-se por
Rs = Ra Rb (2.13)

No caso de elementos com taxa de falhas constante λa e λb tem-se


Ra = e − λa t , Rb = e − λbt , Rs = Ra Rb = e −(λa +λb )t (2.14)

Note-se que a designação “série” neste caso é utilizada do ponto de vista de teoria da
fiabilidade e não da topologia do sistema físico. Esse facto é ilustrado na Fig. 2.3 com um
sistema de duas válvulas e outro de dois contactores, tendo a primeira das situações uma
configuração física de elementos em paralelo.

2.3
V1
K1 K2
V2
a b
Fig. 2.3– Exemplos de associações de elementos em “série” do ponto de vista de fiabilidade: a) duas válvulas
que, quando comandadas, devem bloquear a passagem de um gás; b) dois contactores que, quando comandados,
devem estabelecer a continuidade do circuito eléctrico. Em ambos os casos está a ser considerado o modo de
falha de persistência em estado aberto.

No caso acabado de ver o conjunto apresenta uma taxa de falhas constante dada por
λs=λa+λb, logo, menor fiablidade do que cada um dos elementos associados. Ou seja, não há
benefício em termos de aumento de fiabilidade.

Ex. 2.1. Pretende-se obter uma estimativa simples do MTTF de um controlador1 que consiste
numa única carta electrónica com a seguinte constituição e taxas de falhas dos componentes:

1 microcontrolador Intel 80486 (λ≈5x10-7/h)


1 flash EPROM (λ≈1,2x10-8/h)
2 CIs de RAM com 4MB cada (λ≈10-9/h)
1 CI relógio de tempo real (λ≈10-7/h)
50 condensadores de poliéster (λ≈5x10-10/h)
5 condensadores electrolíticos (λ≈10-8/h)
200 resistores de 1/4W (λ≈10-10/h)
1000 pontos de soldadura (λ≈10-11/h)
1 pilha de lítio para o relógio de tempo real (λ≈4x10-7/h).
A fonte de alimentação não está a ser considerada como parte deste equipamento.

Numa aproximação bastante simplista a fiabilidade do sistema resulta do produto das


probabilidades de falha de todos os componentes. Admite-se que a falha de qualquer um
conduz à falha do sistema, as falhas dos diferentes componentes são independentes, não há
redundâncias, todos os modos de falha são perigosos. Por conseguinte, a taxa de falhas global
será igual à somas das taxas de falhas individuais:
λs ≈ ∑ λi = 5 × 10 -7 + 1,2 × 10 −8 + 2 × 10 −9 + 10 −7 + 50 × 5 × 10 −10 + 5 × 10 −8 +
i

+ 200 × 10 −10 + 1000 × 10 −11 + 4 × 10 −7 = 1,12 × 10 −6 /h


MTTFs = 1/ λs ≈ 892857h ≈ 102 ano

O processador e a pilha do relógio parecem ser os pontos mais fracos. Uma análise mais
aprofundada deste tipo de problemaspode ser feita p. ex. seguindo as indicações do
MIL Handbook 217 2.

1
Baseado num exemplo de Kirrmann, Industrial Automation - 9.2 Dependability Evaluation, 2006.
2
Military Handbook 217F - Reliability Prediction of ElectronicEquipment , December 1991.

2.4
Ex. 2.2. Um sistema de bombagem de rede de p / bocas
energia de incêndio
água para combate a incêndios é eléctrica

constituído por uma bomba centrífuga,


quadro
um motor eléctrico e um quadro de
comando
M B
reservatório
eléctrico de comando. Estimam-se as
seguintes taxas médias de falhas: quadro
eléctrico, λquadro≈10-6/h; motor, λmotor≈2x10-6/h; bomba centrífuga (incluindo condutas),
λbomba≈3x10-5/h. A disponibilidade da rede eléctrica é de 99,89 % e a disponibilidade de água
para a bombagem é de 98,5%. Determinar a probabilidade de falha do sistema em caso de
incêndio, considerando que as inspecções/manutenções são mensais.

A falha de qualquer dos subsistemas dita a indisponibilidade do sistema global: rede eléctrica,
quadro, motor, bomba e circuito hidráulico, água no reservatório. T=1 mês=730 h.
Fiabilidade do conjunto quadro-motor-bomba: Rqmb = ∏Ri = e −λat , λ a = ∑ λi = λquad + λmot + λbomb
−5
= 3,4 × 10 −5 h -1 ; Rqmb = e −3, 4×10 ×730
=0,975.
As disponibilidades da rede ou da água podem ser encaradas como probabilidades de
“funcionamento” e tratadas como as fiabilidades. Por conseguinte, a probabilidade de
funcionamento do sistema completo é R = Arede R qmb Aágua = 0,9989× 0,975× 0,985 = 0,959 . A
probabilidade de falha do sistema será Q = 1 − R = 0,041 .

2.3- Redundância activa plena


Diz-se que, do ponto de vista da fiabilidade, há elementos em “paralelo” quando só a
falha de todos origina a falha do sistema:
Rs = 1 − (1 − Ra )(1 − Rb ) = Ra + Rb − Ra Rb (2.15)

No caso de elementos com taxa de falhas constante λa e λb:


Rs = Ra + Rb − Ra Rb = e − λat + e − λbt − e − ( λa +λb )t (2.16)

O conjunto não apresenta uma taxa de falhas constante, mas apresenta maior fiabilidade
do que qualquer um dos elementos sozinho, havendo um benefício com a redundância de
elementos. Mais uma vez se chama a atenção para o facto de o termo “paralelo” estar aqui a
ser usado na acepção convencional da teoria da fiabilidade e não na da configuração do
sistema físico. Vejam-se, a propósito, os casos ilustrados na Fig. 2.4, um dos quais consiste
em duas válvulas fisicamente em paralelo e outro em dois contactores fisicamente em série.

2.5
V1
K1 K2
V2
a b
Fig. 2.4– Exemplos de associações de elementos em “paralelo” do pontode vista de fiabilidade: a) duas válvulas
que, quando comandadas, devem abrir para escape de vapor a alta pressão; b) dois contactores que, quando
comandados, devem abrir interrompendo o circuito eléctrico. Em ambos os casos está a ser considerado o
modo de falha de persistência em estado fechado.

Para melhor percepção da fiabilidade conseguida nas situações vistas antes, a Fig. 2.5
apresenta a sua representação ao longo do tempo quer com um elemento simples de
fiabilidade R(t)=e-λt quer com associações de dois elementos iguais.

A redundância activa plena aplica-se a sistemas em que o funcionamento do conjunto


fique assegurado pelo funcionamento de apenas um dos elementos, podendo envolver
diversos elementos em “paralelo”.

Com um maior número de elementos em “paralelo”, sem reparação no caso de falha, a


fiabilidade do sistema será dada por:
Rs = 1 − (1 − Ra )(1 − Rb )...(1 − Rn ) (2.17)

R
1
−λt
supondo R= e
para cada elemento
0,8

0,6

0,4

0,2

0
0 1 2 3 4 5 λt
Fig. 2.5– Evolução da fiabilidade ao longo do tempo em três situações: um elemento simples, dois elementos
redundantes (em “paralelo”) e dois elementos em “série”. Admite-se que a taxa de falhas λ é constante.

Faz-se notar uma vez mais que as representações gráficas estão feitas para uma grande
extensão dos diagramas com o intuito de proporcionar uma percepção global do tipo de
evolução dos mesmos. Mas, em termos práticos, só a região inicial tem verdadeira utilidade;
p.ex. para sistemas de segurança é frequentemente exigido R>0,999, o que implica trabalhar
apenas num intervalo de λt entre 0 e 0,001.

2.6
Se todos os elementos tiverem taxa de falhas λ idêntica e constante (redundância
homogénea) encontra-se o resultado seguinte, representado em diagramas temporais na Fig.
2.6 para diferentes números de elementos associados em paralelo:
Rs = 1 − (1 − Ra )(1 − Rb )...(1 − Rn ) = 1 − (1 − e − λt ) n (2.18)

Repare-se (fig. 2.6) como em sistemas de vários elementos em paralelo a fiabilidade


global se mantém elevada até certo ponto, descendo depois abruptamente quase como se se
tratasse de um único elemento.

Rs
1 −λ t
supondo R= e
para cada elemento

0,8
n =1

0,6
n =2

0,4
5
4
3 n =3
2
n =1
0,2

...
0
0 5 10 λt 15
Fig. 2.6– Evolução da fiabilidade ao longo do tempo com um elemento simples e com conjuntos de elementos
redundantes (em “paralelo”). Admite-se que a taxa de falhas λ é constante.

Ex. 2.3. Considere-se um automatismo constituído por dois contactores idênticos em paralelo,
por sua vez ligados em série com outro contactor de maior calibre. Cada contactor tem um
tempo médio de vida de 1,5 milhões de manobras (ciclos) e prevê-se que opere a cerca de 11
ciclos por hora. Admitindo-se que as taxas de falhas são constantes, determinar a fiabilidade
do conjunto para a função de fecho de circuito num intervalo de tempo de serviço de:
a) 1 ano; b) 2 anos. c) Determinar o MTTF do sistema.

[ ]
Rs = 1 − (1 − R) 2 R = 2R 2 − R 3
1,5 ×106 1
MTTF = = 1,36 ×105 h , λ = = 7,35 ×10−6 h -1
11 MTTF
−7 , 35×10 −6 t
R = e − λt =e
−6 −6
a) T=8760 h (1ano), Rs = 2e −2λt − e −3λt , Rs (T ) = 2e −2×7,35×10 T
− e −3×7,35×10 T

Rs (1ano) = 2e −0,129 − e −0,193 = 0,933.

b) T=17520 h (2anos), Rs (2anos) = 2e −0,258 − e −0,386 , Rs(2anos)= 0,865.

2.7
∞ ∞
 e −2λt   e −3λt 

c) MTTFs = θ s = ∫ Rs dt = ∫ 2e

( −2λt
−e −3λt
)
dt = 2  −
1 1
 = − = 0,907×105 h
0 0
 − 2λ  0  − 3λ  0 λ 3λ

Ex. 2.4. Encare-se novamente o sistema do exemplo anterior aprofundando a questão dos
modos de falha. Estima-se que nos contactores em paralelo 60% das falhas ocorram no modo
de abertura de contactos (persistência no estado aberto), ao passo que no contactor maior essa
proporção seja de 70%. Admitindo-se que as taxas de falhas (indiscriminadas) são constantes,
determinar a fiabilidade do conjunto para a função de fecho de circuito num intervalo de
tempo de serviço de: a) 1 ano; b) 2 anos. c) Determinar o MTTF do sistema.

[
Rs = 1 − (1 − R1 ) 2 R2 ]
1,5 × 10 6
1 1
MTTF = = 1,36 × 105 h , λ1 = 0,6 = 4,41×10−6 h -1 , λ2 = 0,7 = 5,15 × 10−6 h -1
11 MTTF MTTF
− λ1t −4 , 41×10 −6 t − λ2t −5 ,15×10 −6 t
R1 = e = e , R2 = e =e

[
a) T=8760 h (1ano), Rs = 1 − (1 − e −4,41×10 T ) 2 e −5,15×10
−6
] −6
T
[ ]
= 1 − (1 − e −0,0386) 2 e −0,0451, Rs(1ano)=0,95.

[ ]
b) T=17520 h (2anos), Rs = 1 − (1 − e −0,0773 ) 2 e −0,0965 , Rs(2anos)= 0,90.

c) MTTFs = θ s = ∫ 1 − (1 − R1 ) 2
0

[ ]R dt = ∫ [1 − (1 − e
2
0

− λ1t
] ∞
( )
) 2 e −λ2t dt = ∫ 2e −λ1t − e − 2λ1t e −λ2t dt
0
∞ ∞
 e −( λ1 +λ2 )t   e −( 2 λ1 +λ2 )t 
MTTFs = ∫ 2e

( − ( λ1 + λ2 ) t
−e − ( 2 λ1 + λ2 ) t
)
dt = 2  − 
0
 − (λ1 + λ2 )  0  − ( 2λ1 + λ2 )  0
2 1
MTTFs = − = 1,38 × 10 5 h
λ1 + λ2 2λ1 + λ2

Por que razão se encontraram valores de fiabilidade e MTTFs superiores aos do ex. anterior?

Vale a pena referir ainda que tanto 0,95 como 0,90 são valores baixos de fiabilidade. Para
conseguir melhorá-los poderá procurar-se material com menores taxas de falhas, o que nem
sempre é viável, ou reduzir-se o tempo T de serviço (entre inspecções/manutenções).

2.4- Redundância activa parcial


Se a redundância em “paralelo” envolver mais do que dois elementos podem considerar-
-se soluções de funcionamento admitindo a falha de alguns deles.

Analisa-se agora o caso genérico em que podem falhar até k elementos num conjunto de
n. Com elementos semelhantes que possuam fiabilidade R(t) e infiabilidade Q(t)=1-R(t), pode
tomar-se a fórmula de Bernoulli para as probabilidades de falhas em vários elementos,
admitindo que não há reparação dos mesmos no decurso das sucessivas falhas:

2.8
0 1 2 ... k ... n falhas
b b b ... b ... b
n( n − 1) n − 2 2 n!
Rn nR n −1Q R Q ... R n−k Q k ... Q n
2! k!( n − k )!

A fiabilidade de um sistema com n elementos que admita k falhas (k<n) obtém-se por
n(n − 1) n− 2 n!
Rs (t ) = R n + nR n −1 (1 − R ) + R (1 − R) 2 + ... + R n− k (1 − R) k (2.19)
2! k!(n − k )!

A redundância activa plena é um caso particular desta em que k=n-1.

Na prática é habitual referir a situação geral vista atrás como o caso dos sistemas
redundantes que necessitam do funcionamento de pelo menos r de entre n elementos (r out of
n); neste caso tem-se r=n-k. Utiliza-se para o efeito uma notação em que, p.ex. a representa-
ção 2oo3 indica o caso de “pelo menos 2 de entre 3” (2 out of 3). Seguem-se alguns exemplos.

Caso 1oo2, ou seja, exigência do funcionamento de pelo menos 1 de entre 2 dispositivos


associados (n=2, r=1, k=n-r=1): Rs = R 2 + 2 R(1 − R) = 2R − R 2

Caso 2oo2 (n=2, r=2, k=0): Rs = R 2

Caso 1oo3 (n=3, r=1, k=2): Rs = R 3 + 3R 2 (1 − R) + 3R(1 − R) 2 = 1 − (1 − R) 3

Caso 2oo3 (n=3, r=2, k=1): Rs = R 3 + 3R 2 (1 − R) = 3R 2 − 2 R 3

Caso 2oo4 (n=4, r=2, k=2): Rs = R 4 + 4R 3 (1 − R) + 6R 2 (1 − R) 2 = 3R 4 − 8R 3 + 6 R 2

Caso 1oo1, ou seja, um único elemento (n=1, r=1, k=0): Rs = R

Ex. 2.5. Fiabilidade de um sistema com 3 elementos idênticos em que seja admissível a falha
de 1 deles: n=3, k=1, r=2, Rs (2oo3) = R 3 + 3R 2 (1 − R) = 3R 2 − 2 R 3 .

Com redundância plena seria n=3, k=2, r=1, Rs (1oo3) = R 3 + 3R 2 (1 − R) + 3R(1 − R) 2 , logo,
Rs (1oo3) = 1 − (1 − R) 3 , coincidindo naturalmente com (2.17).

Tempo médio entre falhas para o sistema redundante 1oo3, para uma taxa de falhas constante
λ de cada elemento:

( ) ∞
( ) ∞
[
MTTFs = θ s = ∫ 1 − (1 − R) 3 dt = ∫ 3R − 3R 2 + R 3 dt = ∫ 3e −λt − 3e −2λt + e −3λt dt
0 0 0
]
∞ ∞ ∞
 e −λt   e −2λt   e −3λt  3 3 1 5
MTTFs = 3  − 3  +  = − + =
 − λ 0  − 2λ  0  − 3λ  0 λ 2λ 3λ 3λ

O exemplo que se segue destina-se a reflectir um pouco mais sobre o significado da


hipótese de taxa de falhas constante e as suas consequências.

2.9
Ex. 2.6. Um avião tem três motores iguais, cada qual com uma taxa média de falhas de
2,3x10-5 h-1, e pode manter-se em voo mesmo com um único motor a funcionar. Antes de cada
viagem é sempre sujeito a uma revisão plena. Se ao fim de uma hora de voo se avariasse um
dos motores e ao fim de mais uma hora se avaria outro, por quanto tempo mais poderia
continuar o voo (só com um dos motores) por forma a que a probabilidade de falha nunca
descesse abaixo de 10-4 ?

Probabilidade de falha só com um motor num tempo t (medido desde o início da viagem):
Q=1-e-λt.
Logo, Q1mot = 1 − e − λt ≤ 10 −4 , 1 − 10 −4 ≤ e − λt , Q = 1- R
−4
ln(1 − 10 ) 1

ln(1 − 10 −4 ) ≤ −λt , ≥ t , t ≤ 4,34 h .


−λ 1
2
3

Com duas horas de voo restaria apenas um tempo de Q

2,34 h. Porém, a hipótese de taxa de falhas constante 0


λt
1 motor
implicaria que, tendo-se constatado que o sistema 10
-4

está a funcionar, pode-se esquecer o que se passou


antes e considerar nova avaliação de fiabilidade a 2 motores

partir desse instante, como se estiver a começar de


novo (i.e. teria ainda 4,34 h). Como se trata de um
sistema complexo é possível que só se acredite nisso -5
3 motores
10
com uma nova revisão completa, mas desse modo 0
0 1 2 3 4 5 6 h t
não se estará a assumir a verdadeira hipótese de λ
constante.

Para o fim em vista não há necessidade de calcular as probabilidades de falha com 3 ou com 2
motores. Por curiosidade, no diagrama ao lado mostra-se a evolução da probabilidade de falha
do sistema ao longo do tempo, nas várias situações: com 3 motores em serviço a
probabilidade de falha seria muito menor.

No exemplo seguinte os elementos a associar em redundância activa parcial não são uniformes,
pelo que as expressões deduzias no início desta secção não são aplicáveis.

Ex. 2.7. Um estaleiro possui três grupos geradores para suprir as necessidades de alimentação:
o grupo 1 tem 200 kVA grupo 2 tem 100 kVA e o grupo 3 têm 50 kVA. A taxa média de
falhas do primeiro é de 1,5x10-4 h-1 e de cada um dos outros de 3,3x10-4 h-1. O tempo médio
de paragem em caso de falha do grupo 1 é de 48 horas e de qualquer dos outros é de 24 horas.
Qual o tempo médio anual em que a disponibilidade de potência é igual ou superior a 250 kVA?

As probabilidades médias de os grupos funcionarem, ou seja, as suas disponibilidades, obtêm-


-se por

2.10
MTTF1 1 / λ1 1 1
p1 = = = = ≈ 0,9929
MTTF1 + MDT1 1 / λ1 + MDT1 1 + λ1 MDT1 1 + 1,5 × 10 − 4 × 48
1
p 2 = p3 = ≈ 0,9921
1 + 3,3 × 10 − 4 × 24
A potência só será superior ou igual a 250 kVA com os seguintes grupos a funcionar: 1 e 2, 1
e 3 ou 1, 2 e 3. A probabilidade de ter alguma dessas situações obtém-se por
p = p1 p 2 q3 + p1 p 3 q 2 + p1 p 2 p 3 = p1 p 2 (1 − p 3 ) + p1 p 3 (1 − p 2 ) + p1 p 2 p 3
= 0,9929 × 0,9921× (1 − 0,9921) + 0,9929× 0,9921× (1 − 0,9921) + 0,9929× 0,9921× 0,9921 ≈ 0,9928
Tempo médio anual com 250 kVA ou mais: T = 8760 p ≈ 8697 h (63 h de indisponibilidade).

2.5- Redundância activa condicional


O tipo de redundância acabada de ver é importante no domínio da automação. O
resultado final da acção de pelo menos r de entre os n elementos associados pode também ser
decidido por uma maioria dos resultados dos elementos presentes. Em termos práticos
requere-se a existência de algum dispositivo automático de “votação” para seleccionar o
resultado global do sistema a partir dos resultados dos elementos individuais, função que é
frequentemente assegurada por autómatos programáveis.

Cada elemento tem saída binária (estados referidos por 0 e 1). Serão analisados
diferentes modos de falha dos elementos. Admita-se que não há reparação de elementos no
decurso das sucessivas falhas individuais permitidas antes que o sistema global falhe.

Considere-se o caso de três elementos idênticos (p. ex. três detectores), como indicado
na fig. 2.7, ligados a um órgão de decisão que extrai o resultado pelo da maioria dos
elementos existentes, neste caso 2oo3 (2 out of 3). Os elementos redundantes têm igual
fiabilidade (R1=R2=R3=R) e o dispositivo de votação considera-se de fiabilidade ideal (Rv=1).

2 2oo3

Fig. 2.7– Sistema com redundância parcial condicional por maioria de 2 em 3.

A fiabilidade do sistema da fig. 2.7 corresponde à soma das suas probabilidades de


sobrevivência com: falha de 0 elementos, falha de 1 elemento, falha de 2 elementos de modo
diferente:
Rs = R 3 + 3R 2 (1 − R) + 3R(1 − R ) 2 Pf2 dif

2.11
A última parcela corresponde ao produto da probabilidade de haver exactamente falha
de dois elementos, ou seja 3R (1 − R ) 2 , pela probabilidade condicional de, nesse caso, as falhas
serem em modos diferentes. A probabilidade de que, havendo duas falhas, elas sejam iguais é
dada por Pf2 igual = p 0 + p1 , onde p0 e p1 representam, respectivamente, as probabilidades de
2 2

falha de um elemento no estado 0 e no estado 1. Então fica Pf2 dif = 1 − Pf2 igual = 1 − ( p0 + p1 )
2 2

e, por conseguinte,
[
Rs = R 3 + 3R 2 (1 − R) + 3R (1 − R) 2 1 − ( p 0 + p1 )
2 2
] (2.20)

Se as probabilidades de falha de cada elemento em qualquer dos estados forem iguais,


ou seja, p0=p1 =0,5, o resultado anterior simplifica-se para
3R − R 3
Rs = (2.21)
2

Ex. 2.8. Um dado sistema de segurança de um teleférico tem três detectores de paragem
ligados a um controlador de alta fiabilidade segundo a estrutura esquematizada na fig. 2.7.
Para cada detector é indicada pelo fabricante uma taxa média de falhas de 1,2 × 10 −5 h -1 , 40%
das quais sucedem no estado 0 e as restantes 60% no estado 1.

a) Qual probabilidade média de falha de um só detector num ano?


A fiabilidade de cada detector R (t ) = e − λt representa a sua probabilidade de sobrevivência de
0 a t. Logo, a sua probabilidade de falha é P (t ) = 1 − R (t ) = 1 − e − λt com λ = 1,2 × 10 −5 h -1 .

A probabilidade média de falha do detector (falha à chamada), num período T, obtém-se por

1  T  e −λt  
T
e − λT − 1
( )
T T
(T ) = ∫ P(t )dt = ∫ 1 − e dt = [t ]0 − 
1 1 − λt
PFDmed   = 1 +
T 0 T 0 T
  − λ  0  λT
−5
e − λT − 1 e −1, 2×10 ×8760 − 1
PFDmed (1 ano) = 1 + = 1+ = 0,05
λT 1,2 × 10 −5 × 8760

b) Qual probabilidade média de falha do sistema 2oo3 num ano?


Fiabilidade do sistema completo: Rs = R 3 + 3R 2 (1 − R) + 3R (1 − R) 2 1 − ( p 0 + p1 ) [ 2 2
]
p 0 = 0,4 ; p1 = 0,6 ; 1 − ( p0 + p1 ) = 0,48 ; R = e − λt
2 2

Rs = 3R 2 − 2 R 3 + (3R − 6 R 2 + 3R 3 ) × 0,48 = 1,44 R + 0,12 R 2 − 0,56 R 3

Rs = 1,44e − λt + 0,12e −2λt − 0,564e −3λt

Probabilidade de falha do sistema: Ps (t ) = 1 − Rs (t ) = 1 − 1,44e − λt − 0,12e −2 λt + 0,56e −3λt


Probabilidade média de falha do sistema num ano:

∫ (1 − 1,44e )
T T
1 1 − λt
PFDs (0..T ) = ∫ Ps (t )dt = − 0,12e −2λt + 0,56e −3λt dt
T 0 T 0

2.12
1  T  e −3λt  
T T T
 e − λt   e −2 λt 
= [t ]0 + 1,44  + 0,12  − 0,56   
T  − λ 0  − 2 λ 0  − 3λ  0 

= 1 − −
T λ
(e − 1) −
1  1,44 −λT
(
0,12 − 2λT

e − 1) + (
0,56 −3λT

e − 1)


PFDs (1 ano) = 1 −
8760
1
[
− 1,2 × 10 5 (e −0,105 − 1) − 5000(e −0, 21 − 1) + 15556(e −0,315 − 1) = 0,007 ]

2.6- Redundância com elementos em repouso (stand by)


Considere-se agora o caso de uma associação de elementos redundantes, mas tais que
que se encontra só um elemento em serviço de cada vez, ficando os elementos redundantes
em repouso. Caso o elemento em serviço falhe, é colocado automaticamente em serviço outro
dos que até aí estavam em espera.

Os elementos redundantes, enquanto estiverem em repouso, não sofrem desgaste nem


fadiga, só o tempo em que estiverem em serviço conta para a diminuição da sua fiabilidade.
Este tipo de redundância tem de ser apoiada por mecanismos muito fiáveis para detecção de
falhas e para substituição (comutação) de elementos.

A fiabilidade de um sistema deste tipo com n elementos semelhantes, cada um com taxa
de falhas λ constante, pode obter-se pelo somatório dos termos da distribuição de Poisson até
à ordem k=n-1 falhas

n −1
( λt ) k e − λ t  ( λt ) 2 (λt )( n −1) 
Rs (t ) = ∑ = e −λt 1 + λt + + ... + 
k =0 k!  2 ( n − 1)! 

Equivale à probabilidade de um só elemento ter 0, 1, 2,... até n-1 falhas.

Ex. 2.9. Duas unidades de alimentação não interruptível (UPS)


funcionam em redundância com uma delas em repouso. O tempo
médio até à falha de cada UPS quando está em actividade é de 11
anos.

a) Determinar o MTTF do conjunto nestas condições.

Para cada UPS λ = 1 / MTTF = 1 / 11 ≈ 0,091 ano -1

Para o conjunto das duas unidades UPS considerando apenas uma activa de cada vez:
n −1
( λ t ) k e − λt
Rs (t ) = ∑ = e −λt + λte−λt
k =0 k!

MTTFs = ∫
+∞ −λt
0
e dt +∫
0
+∞
[
tλe −λt dt = tλe −λt ]
+∞
0
+∞
+ 2 ∫0 e −λt dt =
2
λ
= 22 anos

2.13
b) Comparar com o caso de as UPS estarem ambas sempre activas:
∞ ∞
 e −λ t   e − 2 λt 

MTTFs = ∫ Rs dt = ∫ 2e

( − λt
−e −2 λt
)
dt = 2  − 
2 1
 == − =
3
= 16,5 anos
 − λ  0  − 2λ  0 λ 2λ 2λ
0 0

Como é natural, o sistema redundante com um elemento em repouso, em média, resistirá mais
tempo até à falha.

2.7- Probabilidade média de falha à chamada

Um sistema sujeito a manutenções periódicas perfeitas, com período T, vê a sua


fiabilidade recomeçar novamente a 1 no final de cada manutenção, conforme fica
esquematizado na Fig. 2.8.

1,0
Rs

0,9 e − λt

0,1
Qs=1-Rs
PFD

0 T 2T 3T 4T t

Fig. 2.8– Evolução da fiabilidade Rs(t) de um sistema sujeito a manutenções periódicas perfeitas; evolução da
probabilidade de falha Qs(t)=1- Rs(t) do mesmo sistema e seu valor médio PFD.

À probabilidade de falha de um sistema no intervalo de tempo T, durante o qual não são


feitas inspecções nem reparações, também se chama probabilidade de falha à chamada,
simbolizando-se por PFD (probability of failure on demand). O seu valor médio determina-se
por:
T
1
(1 − Rs (t ) )dt
T ∫0
PFDmed (T ) = (2.22)

O conceito aplica-se aos equipamentos e sistemas que se espera que funcionem


adequadamente quando necessário, mas cujas avarias não são diagnosticadas antes da
necessidade de actuação ou da próxima inspecção/manutenção.

P. ex. no caso 1oo2 visto em 2.4 resulta:

2.14
1oo2
PFDmed (T )
1T
( 1T
) (
= ∫ 1 − 2 R + R dt = ∫ 1 − 2e − λt + e − 2 λt dt
T 0
2
T0
)
1  T  e−λt   e−2λt  
T T
e−λT − 1 e−2λT − 1 4e−λT − e−2λT − 3
= [t]0 − 2  +   = 1 + 2 − = 1 +
T  − λ 0  − 2λ 0  λT 2λT 2λT
 
Por vezes utilizam-se expressões aproximadas obtidas pela substituição de funções e-x
pelos primeiros termos do seu desenvolvimento em série de MacLaurin:
−x x2 x3 k x
k
e = 1− x + − + ... − (−1) + ... . (2.23)
2 6 k!

−λT λ2T 2
Por exemplo, e ≈ 1 − λT + , ou até e − λT ≈ 1 − λT poderão ser aproximações
2
aceitáveis se λT<<1. Nos casos vistos atrás este tipo de aproximações conduz a:
λT λ2 T 2
1oo1
PFDmed ≈ , 1oo2
PFDmed ≈ ,
2oo2
PFDmed ≈ λT ,
2 3
λ3T 3 3λ3T 3
1oo3
PFDmed ≈ 2oo3
, PFDmed ≈ λ2T 2 , PFDmed
2oo4
≈ (2.24)
4 4

Ex. 2.10. Duas electroválvulas são usadas em redundância numa função de segurança que
requere o funcionamento de pelo menos uma delas. Cada electroválvula é constituída por uma
parte mecânica (a vávula propriamente dita) e um solenóide, cujos tempos médios até à falha
em modo perigoso são, respectivamente, 30 e 40 anos. Pretende-se determinar a probabilidade
média de falha à chamada daquele conjunto, com intervalos de 1 ano entre inspecções.

As taxas de falhas em modo perigoso de uma válvula propriamente dita e de um solenoide


1 1 1 1
são, respectivamente, λv ≈ = = 0,033ano-1 , λs ≈ = = 0,025 ano-1 .
MTTFv 30 MTTFs 40

A taxa de falhas em modo perigoso de cada conjunto válvula-solenóide será


λ = λv + λs = 0,058 ano-1 . A probabilidade média de falha à chamada para o par de válvulas na
λ2 T 2 (0,058 × 1) 2
1oo2
sua missão de segurança é PFDmed ≈ = = 1,1 × 10 −3 .
3 3

rede de
Ex. 2.11. a) Um sistema de bombagem de água energia
eléctrica
p / bocas
de incêndio
para combate a incêndios é constituído por um
quadro eléctrico de comando e um grupo quadro de
comando
M B
constituído por um motor eléctrico actuando reservatório

uma bomba centrífuga.


Determinar a probabilidade média de falha do sistema à chamada, para intervalos de 1 mês
entre inspecções, admitindo, de uma forma simplista, as seguintes taxas de falha e
independência entre os vários equipamentos: rede eléctrica (indisponibilidade): Urede≈0,002;

2.15
quadro eléctrico de comando (inclui protecção e arranque do motor): λquadro≈10-5/h; motor
eléctrico: λmotor≈2x10-6/h; bomba centrífuga: λbomba≈5x10-5/h.

Taxa de falhas e fiabilidade do conjunto quadro-motor-bomba: λ a ≈ ∑i λ i


= 10 −5 + 2 × 10 −6 + 5 × 10 −5 = 6,2 × 10 −5 /h , T = 720 h ; Rqmb = e − λa t

Fiabilidade do sistema completo, tratando a disponibilidade da rede como probabilidade de


“funcionamento”: Rs = Arede R qmb = (1 − U rede ) Rqmb = 0,998e − λa t .
PFD do sistema incluindo a probabilidade média de falha da rede eléctrica:
1  T  e −λat  
T

PFDmed (T ) = ∫ (1 − Arede Rqmb (t ) )dt = ∫ 1 − Arede e ( )


T T
dt = [t ]0 − Arede 
1 1 − λa t
 
T 0 T 0 T  − λa  0 
 
−λaT −6, 2×10 −5 ×720
e −1 e −1
= 1 + Arede , PFDmed (1mês) = 1 + 0,998 = 0 ,024 .
λaT 6,2 × 10 × 720 −5

b) Considere-se uma variante do sistema rede de


p / bocas
energia de incêndio
anterior de pressão de água para combate a eléctrica

incêndios, agora munido com redundância de


M B
grupos de bombagem. Neste caso admite-se que quadro de
comando
o quadro eléctrico de comando, que também faz M B
reservatório

a selecção automática de grupo, tem uma taxa de


falhas λquadro≈3x10-5/h.
Determinar a probabilidade média de falha do sistema à chamada, para intervalos de 1 mês
entre inspecções, nas hipóteses simplistas anteriores.

λ1 grupo = λmotor + λbomba = 2 × 10 −6 + 5 × 10 −5 = 5,2 × 10 −5 /h


− λ1 grupot −2 λ1 grupot
R2 grupos = R1oo2 = 1 − (1 − R1grupo ) 2 = 2R1grupo − R1grupo = 2e −e
2

Fiabilidade e PFD do sistema, tratando a disponibilidade da rede como uma probabilidade de


funcionamento (tal como a fiabilidade):
−λ t −λ t −2 λ
Rs ≈ Arede Rquadro R2grupos = 0,998e quadro 2e 1 grupo − e 1 grupo
t
( )
− ( λquadro + λ1 grupo ) t − ( λquadro + 2 λ1 grupo )t −5 −5
= 1,996e − 0,998e = 1,996e −8, 2×10 t
− 0,998e −13, 4×10 t

( )
T
1 −5 −5
PFDmed (T ) = ∫ 1 − 1,996e −8, 2×10 t + 0.998e −13, 4×10 t dt
T0

1  T  e −13, 4×10 t  
−5 T −5 T
 e −8, 2×10 t 
= [t ]0 − 1,996   + 0,998   
T 
 − 8,2 × 10 −5  0 
 − 13,4 × 10 −5  0 
 
−0,05904 −0,09648
e −1 e −1
PFDmed (1mês) = 1 + 1,996 − 0,998 = 0 , 013 .
0,05904 0,09648

Com a duplicação de grupos conseguiu-se reduzir a PFD para metade.

2.16
c) Considere-se agora outra variante do sistema rede de grupo
energia de p / bocas
eléctrica socorro de incêndio
anterior, onde, em caso de falha da alimentação
pela rede eléctrica, entra automaticamente em
M B
serviço um grupo electrogéneo de socorro. quadro de
comando
Admite-se que o grupo de emergência tem uma M B
reservatório

indisponibilidade Uemerg≈0,0006.
Determinar a probabilidade média de falha do sistema à chamada, para intervalos de 1 mês
entre inspecções, nas hipóteses simplistas anteriores.

Probabilidade média de falha da alimentação: Qalim = U redeU emerg = 0,002 × 0,0006 = 1,2 × 10 −6
PFD do sistema contando com a disponibilidade da alimentação eléctrica:
−λ t −λ t −2λ
Rs ≈ Arede Rquadro R2grupos = Aalim e quadro 2e 1 grupo − e 1 grupo
t
( )
− ( λquadro + λ1 grupo ) t − ( λquadro + 2 λ1 grupo ) t −5 −5
= 2 Aalim e − Aalim e = 2 Aalim e −8, 2×10 t
− Aalim e −13, 4×10 t

( )
T
1 −5 −5
PFDmed (T ) = ∫ 1 − 2 Aalim e −8, 2×10 t + Aalim e −13, 4×10 t dt
T0

1  T  e −13, 4×10 t  
−5 T −5 T
 e −8, 2×10 t 
= [t ]0 − 2 Aalim   + Aalim   
T 
 − 8,2 × 10 −5  0 
 − 13,4 × 10 −5  0 
 
−0,05904
e −1 e −0,09648 − 1
PFDmed (1mês) = 1 + 2 × (1 − 1,2 × 10−6 ) − (1 − 1,2 × 10−6 ) = 0 , 011 .
0,05904 0,09648

O contributo mais relevante foi conseguido com a duplicação dos grupos electrobomba.

2.8- Sistemas reparáveis com falhas detectáveis


Para estudar sistemas (mais ou menos complexos) onde exista detecção de elementos
redundantes avariados e sua reparação subsequente, recorre-se habitualmente ao método das
cadeias de Markov. A técnica não é descrita aqui, por brevidade da exposição, mas pode ser
encontrada na bibliografia indicada no final (p.ex. Goble, 1998, Smith, 2001, Rausand, 2004).

Conhecendo a taxa de falhas (λ) ou o MTTF de cada elemento, e ainda a respectiva taxa
de reparação (µ) e tempo médio de paragem (MDT), é possível estimar o MTTFs dos sistemas,
bem como a “taxa média de falhas” (λs) e a disponibilidade (A) ou a indisponibilidade (U).
Recorda-se que, com um único elemento, a indisponibilidade é dada por: U ≈ λMDT (cf.
secção 2.1).

2.17
estado
falha
funcion.
correcto

Tr
avariado
t
0 t

Fig. 2.9– Sistema ou elemento com falhas detectáveis e imediatamente reparável.

A fig. 2.9 ilustra o decurso do funcionamento de um elemento simples que pode avariar,
sendo essa avaria detectada e de imediato desencadeado o processo da sua reparação.

Resumem-se seguidamente alguns resultados importantes, para sistemas de pequena


complexidade, onde exista diagóstico de falhas e reparação imediata, uma vez conhecidas a
taxa média de falhas (λ), a taxa média de reparação (µ) e o tempo médio de paragem (MDT)
de cada elemento. Uma vez que existe detecção e reparação de elementos avariados a falha de
um dado sistema em que existam redundâncias será menos provável do que no mesmo
sistema sem reparação, ou seja, o MTTFs será maior.

Dois elementos iguais em redundância plena:


3λ + µ µ
MTTFs = , MTTFs ≈ 2 (para µ >> λ ) (2.25)
2λ 2

n elementos iguais em redundância plena, com possibilidade de efectuar até n
reparações ao mesmo tempo:
µ n−1
MTTFs ≈ (para µ >> λ ) (2.26)
nλ n
n elementos iguais em redundância por elementos em repouso (stand by), com
possibilidade de efectuar até n reparações ao mesmo tempo:
µ n−1
MTTFs ≈ (para µ >> λ ) (2.27)
λn
Nas tabelas 2.1 e 2.2 apresentam-se outros resultados relevantes.

No caso de existirem meios para fazer todas as reparações necessárias em


simultâneo, ou, por outras palavras, com n equipas de reparação, o tempo médio de paragem
(MDTs) de um sistema obtém-se dividindo o MDT de um elemento pelo número de unidades
que têm de falhar para haver falha do sistema.

Quanto à indisponibilidade, com n equipas de reparação, obtém-se multiplicando a taxa


de falhas respectiva, na Tabela 2.1, pelo valor MDTs correspondente.

2.18
Tabela 2.1 – Redundância activa parcial, dispondo de meios para efectuar tantas
reparações ao mesmo tempo quantas as necessárias (resultados aproximados).

3λ + µ 1
MTTF1oo2 = MTTF2oo2 =
2λ 2 2λ
λ1oo2 = 2λ2 MDT λ2oo2 = 2λ

MDT1oo2 = MDT / 2 MDT2oo2 = MDT
U 1oo2 = λ2 MDT 2 U 2oo2 = 2λMDT
11λ2 + 7λµ + 2µ 2 5λ + µ 1
MTTF1oo3 = MTTF2oo3 = MTTF3oo3 =
6λ3 6λ2 3λ
λ1oo3 = 3λ3 MDT 2 λ2oo3 = 6λ2 MDT λ3oo3 = 3λ
MDT1oo3 = MDT / 2 MDT2oo3 = MDT / 3 MDT3oo3 = MDT
U 1oo3 = λ3 MDT 3 U 2oo3 = 3λ MDT
2 2 U 3oo3 = 3λ MDT

25λ3 + 23λ2 µ + 7λµ2 + 3µ 3 13λ2 + 5λµ + µ 2


MTTF1oo4 = MTTF2oo4 = ...
12λ4 12λ3
...
λ1oo4 = 4λ4 MDT 3 λ2oo4 = 12λ3 MDT 2
...
MDT1oo4 = MDT / 2 MDT2oo4 = MDT / 3
...
U 1oo4 = λ4 MDT 4 U 2oo4 = 4λ3 MDT 3

No caso de existirem meios para fazer apenas uma reparação de cada vez, o tempo
médio de paragem (MDTs) de um sistema é igual ao MDT de um só elemento.

Na Tabela 2.2 a indisponibilidade, só com 1 equipa de reparação, obtém-se


multiplicando a taxa de falhas respectiva simplesmente pelo valor MDT.

Tabela 2.2 – Redundância activa parcial, com possibilidade de efectuar apenas


uma reparação de cada vez (resultados aproximados).

3λ + µ 1
MTTF1oo2 = MTTF2oo2 =
2λ 2 2λ
λ1oo2 = 2λ2 MDT λ2oo2 = 2λ

MDT1oo2 = MDT MDT2oo2 = MDT
U 1oo2 = λ2 MDT 2 U 2oo2 = 2λMDT
11λ2 + 4λµ + 6µ 2 5λ + µ 1
MTTF1oo3 = MTTF2oo3 = MTTF3oo3 =
6λ3 6λ3 3λ
λ1oo3 = 6λ3 MDT 2 λ2oo3 = 6λ2 MDT λ3oo3 = 3λ
MDT1oo2 = MDT MDT2oo3 = MDT MDT3oo3 = MDT
U 1oo3 = 6λ3 MDT 3 U 2oo3 = 3λ2 MDT 2 U 3oo3 = 3λ MDT

50λ3 + 18λ2 µ + 5λµ2 + µ 3 26λ2 + 6λµ + µ 2


MTTF1oo4 = MTTF2oo4 = ...
24λ4 24λ3
...
λ1oo4 = 24λ4 MDT 3 λ2oo4 = 24λ3 MDT 2
...
MDT1oo4 = MDT MDT2oo4 = MDT
...
U 1oo4 = 24λ4 MDT 4 U 2oo4 = 24λ3 MDT 3

2.19
2.9- Sistemas reparáveis com falhas não detectáveis
Em certos sistemas não existe reparação imediata de elementos redundantes após terem
ficado avariados; admita-se que só a intervalos de tempo de duração T se pode proceder à
inspecção e à eventual reparação de elementos redundantes avariados. Neste casos ocorrerá a
falha do sistema se for excedida a margem de falhas permitidas pelo esquema de redundância
existente.

estado
falha
funcion.
correcto
Tr
avariado
t
0 T t

Fig. 2.10– Diagrama de serviço de uma unidade com inspecção/reparação a intervalos regulares [0, ..., T].

A fig. 2.10 ilustra o modo como o processo decorre em termos de cada elemento que
pode avariar. Com taxa de falhas constante λ o tempo médio de paragem do elemento obtém-
-se por T/2 + Tr. Num caso mais geral em que tenham de ocorrer falhas em m elementos para
que o sistema avarie, demonstra-se que o tempo médio de permanência do sistema em avaria
se exprime por T/(m+1) + Tr.

No caso de um sistema com redundância de r em n tem-se


T
MDTs ≈ + Tr (2.28)
n−r+2
No que segue despreza-se Tr face ao tempo médio de paragem. A probabilidade de
falha de um dado elemento entre inspecções é q≈λT. Para a probabilidade de falha do sistema
entre inspecções pode tomar-se a aproximação seguinte:
n!
Qs ≈ (λT ) n−r +1 (2.29)
(r − 1)!(n − r + 1)!

Pode obter-se aproximadamente uma taxa média de falhas do sistema, por Qs/T:
n!
λs ≈ λn−r +1T n−r (2.30)
(r − 1)!(n − r + 1)!

Usando a aproximação Us ≈ λs MDTs, encontra-se o valor aproximado da indisponibili-


dade do sistema
n!
Us ≈ λn −r +1T n−r MDTs (2.31)
(r − 1)!(n − r + 1)!

2.20
2.10- O problema de falhas múltiplas com causa comum
A eficácia das soluções redundantes nem sempre é conseguida plenamente, sendo o
motivo principal a falta de independência entre as fiabilidadedes das unidades associadas. As
regras estudadas anteriormente para esquemas de redundância pressupõem que o comporta-
mento de cada unidade associada quanto às falhas fosse independente das restantes. Se
existirem causas que originem a falha (sensivelmente simultânea) de mais do que uma
unidade os métodos de cálculo já não se podem aplicar.

Na prática o pressuposto de independância é facilmente violado se não houver


precauções nas fases de concepção (especificação, projecto), construção, exploração e
manutenção. A prevenção de situações que potenciem causas comuns de falha requer
experiência e estudo minucioso. Referem-se seguidamente algumas opções que podem estar
na génese de causas comuns de falha e que devem, tanto quanto possível, ser evitadas:

- utilização da mesma fonte de alimentação para elementos redundantes,


- colocação de unidades redundantes numa mesma caixa ou armário,
- partilha de circuitos eléctricos comuns (de potência ou de sinal) ou encaminhamento
conjunto dos respectivos cabos,
- partilha de software comum,
- utilização de componentes do mesmo lote,
- vícios de manutenção ou de operação humana.

Existem até aspectos que não se resolvem com pequena separação física, como sejam,
os de natureza ambiental (p.ex. perturbações electromagnéticas, aquecimentos, vibrações, etc.).

A quantificação do efeito das causas comuns de falha na fiabilidade de um sistema


redundante pode ser formulada, de um modo simples, colocando em “série” com o conjunto
redundante um bloco fictício com a taxa de falhas com causa comum (λCCF), conforme fica
esquematizado na fig. 2.11. Como se trata de um bloco em série o seu efeito pode tornar-se
significativo.

λ (1−β)λ βλ (1−β)λ

λ (1−β)λ βλ ⇔ (1−β)λ λCCF = βλ

λ (1−β)λ βλ (1−β)λ
a b
Fig. 2.11 – a) Exemplo de modelo de um sistema redundante com comportamento independente dos seus
elementos; b) modelo do sistema anterior incluindo o efeito de falhas com causa comum.

2.21
O método de cálculo muitas vezes seguido – o chamado modelo β – consiste em
atribuir a λCCF uma proporção β da taxa de falhas de cada elemento:
λ CCF = β λ (2.32)

Geralmente não é fácil obter uma estimativa rigorosa do valor de β, sendo a sua gama
típica apontada entre 0 e 0,2 ou superior. Na literatura sobre o assunto existem formas mais ou
menos sofisticadas de chegar a valores mais apurados daquele parâmetro (p.ex. Smith, 2001).

Ex. 2.12. Considere-se um sistema como o representado na fig. 2.11, com redundância activa
plena, com λ=1,4x10-5 h-1 para cada elemento.

a) Calcular o tempo médio até à falha do sistema, sem reparação e ignorando as causas
comuns de falha.
Para cada elemento: λ = 1,4 × 10 −5 h -1 , MTTF = 1 / λ = 71428 h ≈ 8 anos

0 0

(
Para o sistema: MTTFs = ∫ Rs dt = ∫ 3e −λt − 3e −2λt + e −3λt dt )
∞ ∞ ∞
 e−λt   e−2λt   e−3λt  3 3 1 11
MTTFs = 3  − 3  +  = − + = = 130952 h ≈ 15 anos
 − λ 0  − 2λ 0  − 3λ 0 λ 2λ 3λ 6λ

b) Considerando que 20% das falhas têm causas comuns achar o MTTF do sistema.
λCCF = βλ , β = 0,2 Rs = R1oo3 RCCF = (1 − (1 − Re )3 )RCCF = 3Re − 3Re + Re RCCF ( 2 3
)
( )
Rs = 3e − (1− β ) λt − 3e −2(1− β ) λt + e −3(1− β ) λt e − βλt = 3e −λt − 3e −( 2−β )λt + e −(3−2 β )λt

0

(
MTTFs = θ s = ∫ Rs dt = ∫ 3e −λt − 3e −( 2−β )λt + e −(3−2 β )λt dt
0
)
∞ ∞ ∞
 e −λt   e −(2−β )λt   e −(3−2β )λt   3 1 1
MTTFs = 3  − 3  +   =  3 − + 
 − λ  0  − (2 − β )λ  0  − (3 − 2β )λ  0  2 − β 3 − 2β  λ
1 3 1 
MTTFs =  3 − +  = 122710 h ≈ 14 anos
λ  1,8 2,6 

c) Considerando agora que 30% das falhas têm causas comuns achar o MTTF do sistema.
λCCF = βλ , β = 0,3
 3 1 1 1 3 1 
MTTFs =  3 − +  =  3 − +  = 117997 h ≈ 13,5 anos
 2 − β 3 − 2β  λ λ  1,7 2,4 

2.22
2.11- Discriminação de modos de falha e de diagnóstico e suas consequências
A teoria da fiabilidade é tradicionalmente orientada para a continuidade de produção ou
de serviço, considerando para o efeito as falhas que causem paragem de funcionamento. A sua
aplicação na perpectiva da segurança requer outro tipo de distinção quanto aos modos de
falha, separando-os em:
- modos seguros de falha (fail-safe) que afectam o funcionamento de um sistema, p.ex.
causando a sua paragem espúria, mas sem representar perda fatal de segurança,
- modos perigosos (fail-danger) que comprometem a segurança do sistema.

Nos sistemas com diagnóstico automático é importante considerar também os modos de


falha de aviso que possam impedir os órgãos de diagnóstico de detectar a ocorrência de
estados de falha perigosos nos equipamentos vigiados.

Em sistemas com diagnóstico automático cada um dos modos de falha acima indicados
pode ser detectável ou não detectável, ou ainda parcialmente detectável por insuficiência de
cobertura do sistema de diagnóstico. As taxas de falhas, supostas constantes, a considerar na
análise de segurança de cada componente passam a ser: λSD (seguras detectáveis), λSU
(seguras indetectáveis), λDD (perigosas detectáveis) e λDU (perigosas indetectáveis). As
mesmas relacionam-se com as respectivas taxas de falhas em bruto pelas correspondentes
coberturas do sistema de diagnóstico por:
λSD = CS λS , λSU = (1 − CS )λS , λDD = CD λD , λDU = (1 − CD )λD ,
(2.33)
λS = λSD + λSU , λD = λDD + λDU

Define-se também a fracção de falhas seguras, SFF (safe failure fraction), de cada
componente na forma
λSD + λSU + λ DD
SFF = (2.34)
λSD + λSU + λ DD + λ DU

O tempo até à falha em modo perigoso passa a ser a variável aleatória visada na análise
de segurança, em lugar do tempo de vida anteriormente considerado. O tempo médio até à
falha dá lugar a duas grandezas: o tempo médio até à falha perigosa (MTTFD – mean time to
fail dangerously) e o tempo médio até à falha espúria (MTTFS – mean time to fail spuriously).

A probabilidade de falha à chamada (PFD) de um sistema de segurança de operação


pouco frequente tem de ser calculada especificamente para o modo perigoso de falha:
PFD=f(λDU, λDD, TI). A probabilidade de falha espúria (PFS) do sistema refere-se a falhas
que, embora indesejáveis, não afectam a segurança: PFS=f(λSD, λSU, λDU, TI),

2.23
2.12- Sistemas reparáveis com falhas dtectáveis, falhas não detectáveis e
falhas com causas comuns
A fig. 2.12 ilustra o processo de falha e reparação quando um elemento tem manutenção
programada a intervalos de tempo fixos (fig. 2.12a) e quando existem meios de detecção de
falhas que tornem possível desencadear a sua reparação imediata (fig. 2.12b).
estado
falha
funcion.
correcto
Tr
avariado
t
0 T t
(a)
estado
falha
funcion.
correcto

Tr
avariado
t
0 t
(b)
Fig. 2.12– Diagrama de serviço de uma unidade: (a) só com inspecção/reparação a intervalos regulares T;
(b) com detecção automática e reparação imediata. Tr representa o tempo médio de reparação.

O tempo médio de permanência de uma unidade em situação perigosa inclui agora, além
da parcela devida à fracção das falhas perigosas indetectáveis (obedecendo à eq. (2.28)) e a
parcela devida à fracção de falhas perigosas detectáveis e reparáveis de imediato:
λDU T  λ
MDT ≈  + Tr  + DD Tr (2.35)
λD 2  λD
A taxa média de falhas perigosas é λ D = λ DD + λ DU . Desprezando Tr face T a
probabilidade média de falha à chamada em modo perigoso no intervalo [0, T], para uma
unidade (ou seja, 1oo1), tem o valor aproximado já antes conhecido
T 
PFD ≈ λ D MDT ≈ λ DU  + Tr  + λ DD Tr (2.36)
2 
falhas perigosas falhas perigosas de-
indetectáveis tectáveis e reparáveis
de imediato

No caso de um sistema com redundância 1oo2 tem-se, para as falhas perigosas:


λDU T  λ
MDT1oo2 ≈  + Tr  + DD Tr (2.37)
λD 3  λD
PFD1oo2 ≈ 2λ2D MDT MDT1oo2 (2.38)

2.24
Mas nos sistemas redundantes há que ter em conta as falhas com causas comuns, o que
se faz normalmente recorrendo ao modelo β, discriminando ainda mais o factor β nas parcelas
βD e βU de falhas com causa comum, detectáveis e não detectáveis, respectivamente. No caso
1oo2, e na sequência das expressões simplificadas antecedentes, chega-se a3:
T 
PFD1oo2 ≈ 2[(1 − β U )λ DU + (1 − β D )λ DD ] MDT MDT1oo2 + β U λ DU  + Tr  +
2

2  (2.39)
+ β D λ DD Tr

No caso 2oo2 (associação em série) resulta mais simples:


PFD 2oo2 ≈ 2λ D MDT (2.40)

Para o caso 2oo3 encontra-se:


T 
PFD 2oo3 ≈ 6[(1 − β U )λ DU + (1 − β D )λ DD ] MDT MDT2oo3 + β U λ DU  + Tr  +
2

2  (2.41)
+ β D λ DD Tr
com MDT2oo3 = MDT se existir apenas possibilidade de fazer a reparação de uma avaria de
cada vez e MDT2oo3 = MDT / 3 se existir a possibilidade de efetuar duas reparações
simultâneas.

Ex. 2.13. Com o sistema de segurança representado na


figura pretende-se impedir que um dado produto entre
controlador
num reactor se a temperatura do mesmo exceder um
valor estipulado, para reduzir o risco de explosão. O
controlador, para além da função de controlo, também
sonda
realiza diagnóstico de falhas aos dispostivos. Calcular
a probabilidade média de falha perigosa deste sistema
de segurança para intervalos de 6 meses entre V1 V2
manutenções.

A taxa de falhas do sensor (“sonda”) de temperatura é λs=6,5×10-6 h-1, 20% das quais ocorrem
em modo perigoso. Estima-se que o diagnóstico de falhas perigosas neste elemento tem uma
cobretura de 90% e que o seu tempo médio de reparação é de 4 h.

A taxa de falhas de cada válvula é λv=4,0×10-5 h-1, 55% das quais ocorrem em modo seguro.
Admite-se que o diagnóstico de falhas perigosas nestes elementos tem uma cobretura de 85%,

3
Long, W., Zhang, T., Oshima, M., "Quantitative Evaluation on Safety-related Systems", Proc. of the 3rd Intern.
Conference on Mathematical Methods in Reliability – Methodology and Practice, Trondheim, 2002.

2.25
que o seu tempo médio de reparação é de 12 h e que as falhas com causa comum se descre-
vem por factores β de 0,08 para falhas detectáveis e de 0,03 para falhas não detectáveis.

O controlador apresenta uma taxa de falhas λc=6,8×10-8 h-1, 50% das quais em modo seguro,
dá o diagnóstico total das falhas perigosas e apresenta um tempo médio de reparação de 24 h.

Intervalo entre manutenções: T= 6 meses = 4380 h.

Sonda: λs=6,5×10-6 h-1, λsD=0,2×6,5×10-6=1,3×10-6 h-1, λsS=0,8×6,5×10-6=5,2×10-6 h-1;


CsD=0,9, λsDD=0,9×1,3×10-6=1,17×10-6 h-1, λsDU=0,1×1,3×10-6=1,3×10-7 h-1.

Válvula: λv=4,0×10-5 h-1, λvD=0,45×4,0×10-5=1,8×10-5 h-1, λvS=0,55×4,0×10-5=2,2×10-6 h-1;


CvD=0,85, λvDD=0,85×1,8×10-5=1,53×10-5 h-1, λvDU=0,15×1,8×10-5=2,7×10-6 h-1.

Controlador: λc=6,8×10-8 h-1, λcD=3,4×10-8 h-1, λvS=3,4×10-8 h-1; CcD=1, λvDD=3,4×10-8 h-1,
λvDU=0.
Tempos médios de reparação: Tsr= 4 h, Tvr= 12 h, Tcr= 24 h.

Para a sonda de temperatura:


λsDU T  λ T 
MDTs ≈  + Tsr  + sDD Tsr = (1 − C sD ) + Tsr  + C sDTsr = 223 h
λsD 2  λsD 2 
T 
PFDs ≈ λsDU  + Tsr  + λsDD Tsr ≈ λsD MDTs = 2,9 × 10 −4
2 

Para o controlador:
λcDU T  λ T 
MDTc ≈  + Tcr  + cDD Tcr = (1 − C cD ) + Tcr  + C cDTcr = 24 h
λcD 2  λcD 2 
T 
PFD c ≈ λcDU  + Tcr  + λcDD Tcr ≈ λcD MDTc = 8,16 × 10 −7
2 

Para cada válvula:


λ vDU  T  λ T 
MDTv ≈  + Tvr  + vDD Tvr = (1 − C vD ) + Tvr  + C vDTvr = 341 h
λ vD  2  λ vD 2 
T 
PFD v ≈ λ vDU  + Tvr  + λ vDD Tvr ≈ λ vD MDT v = 6,14 × 10 −3
2 

Para as duas válvulas em redundância 1oo2:


λ vDU  T  λ T 
MDTv1v2 ≈  + Tvr  + vDD Tvr = (1 − C vD ) + Tvr  + C vDTvr = 231 h
λ vD  3  λ vD 3 

com βD=0,08, βU=0,03

2.26
T 
PFD v1v2 ≈ 2[(1 − β U )λ vDU + (1 − β D )λ vDD ] MDT v MDTv1v2 + β U λ vDU  + Tvr  + β D λ vDD Tvr
2

 2 
−4
= 2,37 × 10

Para o sistema global:

V1
sonda controlador
V2

PFD G ≈ PFDs + PFDc + PFD v1v2 = 5,28 × 10 −4

Ex. 2.14. Um sistema automático de protecção


contra inundações na cave de um local recebendo rede elétrica
público é constituído por dois detectores de nível
autómato
de água, em redundância, um autómato, um grupo
de bombagem (B) e o respectivo quadro elétrico.
Determinar a probabilidade média de falha peri- quadro
elétrico
gosa do sistema admitindo que a manutenção é
B
trimestral.
Características dos elementos:
detetores
Autómato: taxa de falhas λa≈10-8/h; 50% das suas de nível

falhas são perigosas; tem auto-diagnóstico com


cobertura total; o tempo médio de reparação é de
30 h.
Detector de nível: λd≈5×10-6/h; em 40% das falhas fica a assinalar nível alto; o controlador
diagnostica 85% das suas falhas perigosas; o seu tempo médio de reparação é de 24h.
Grupo de bombagem: λb≈7,5x10-5/h; quando falha fica incapaz de bombar água; o diagnóstico
cobre 70% das suas falhas perigosas; o tempo médio de reparação é de 72 h.
Quadro eléctrico: λa≈6x10-6/h; em 98% das falhas fica desligado; o diagnóstico cobre 90% das
suas falhas perigosas; o tempo médio de reparação é de 18 h.
Disponibilidade de energia eléctrica no local: 99,96%.

A abordagem de resolução é análoga à do Ex. 2.13. Neste caso o controlador está associado (em
série) a um quadro elétrico e ao recurso de energia: no cáculo final somar-se-á a indisponibilidade
de energia às probabilidades médias de falha perigosa à chamada do controlador, do quadro e dos
sensores em redundância 1oo2.

2.27
2.28
3- FACTOR HUMANO

3.1- Introdução
Mesmo os sistemas densamente automatizados dependem sempre, de algum modo, da
acção humana e, por conseguinte, dos seus erros. Esta componente é habitualmente designada
por factor humano, cabendo-lhe um papel significativo quer nas causas quer na mitigação
dos riscos. O factor humano está presente em todas as fases do ciclo de vida de um sistema de
segurança, bem como em situações de resposta de emergência no caso de ocorrências
perigosas.

Durante a fase de exploração dos sistemas de segurança a acção humana aparece muitas
vezes conjugada com o funcionamento de equipamentos automatizados, p.ex. ao nível da
supervisão (interface humano-máquina, monitorização, comando, resposta a alarmes) e da
deteção de anomalias e manutenção. Essa intervenção é por vezes objecto de falhas: erro
humano. Do ponto de vista da análise de fiabilidade ou da análise probabilística de risco, a
quantificação desse efeito é bastante difícil de realizar, apresentando elevadas incertezas e
soluções de modelação discutíveis. No entanto, merece reflexão e não pode ficar ignorada em
qualquer abordagem sobre segurança e risco.

Em termos simples, o erro humano no desempenho de uma tarefa consiste no desvio


em relação ao procedimento necessário para a concretização da mesma. A probabilidade de
erro humano (HEP – human error probability) é uma grandeza explicitamente avaliada nos
modelos de quantificação da fiabilidade do factor humano (HRA – human realiability
analysis). A natureza estocástica do erro humano tem sido questionada, mas a diversidade de
aspectos intervenientes no processo cognitivo e a multiplicidade de agentes externos
perturbadores mostram que é plausível, e útil, aceitar essa característica.

Muito do trabalho inicial de modelação qualitativa e quantitativa do erro humano incide


na interacção entre operadores e computadores. Mais recentemente essa preocupação tem-se
estendido a outras áreas de actividade com risco, como p.ex. a aeronáutica, os cuidados
médicos intensivos, as indústrias com matérias perigosas e as infraestruturas energéticas.

3.2- Modelos cognitivos e taxonomias do erro humano


O chamado anel de Norman (Fig. 3.1) representa o processo cognitivo subjacente à
realização de uma tarefa como uma cadeia de etapas sensoriais, mentais e motoras. O trajeto
principal deste modelo descreve a forma mais ponderada de proceder, baseada no
conhecimento. No entanto, existem outras vias mais rápidas e menos conscientes de actuar

2.29
acrescentadas ao modelo: uma segunda via baseada em regras e uma terceira, ainda menos
consciente, baseada na perícia 4 5.

procedimento baseado
no conhecimento

Criação de
objectivos

Avaliação Intenção

Fase de Fase de
avaliação execução
Interpretação resposta baseada Planeamento
em regras

Percepção resposta baseada Acção


na destreza

Mundo físico

Fig. 3.1 – Modelo cognitivo de avaliação-execução de Norman tendo assinaladas mais duas formas de
intervenção rápidas acrescentadas para níveis com menos ponderação.

Outro modelo clássico mas mais complexo do processo cognitivo é devido a Wickens,
em 1992 (citado em A. Miguel, 2006). Tal como o anterior representa uma forma de
processamento de informação, mas explicita o papel da memória e da atenção (cf. Fig. 3.2).

Recursos
de atenção

Receptores
Decisão e
Percepção Selecção da Execução
ESTÍMULOS resposta da resposta RESPOSTAS

Memória
sensorial de
curto prazo Memória
de trabalho
Memória de
longo prazo

Rectroacção

Fig. 3.2 – Modelo cognitivo de Wickens.

Existem também modelos para actividades colaborativas entre vários operadores


humanos (A. Miguel, 2006).

4
Harrison, M., “Aspects of Human Error: A Brief Introduction”, DIRC, 46th IFIP WG 10.4 Meeting Workshop
on Human Computer Interaction and Dependability, Siena, Italy, 2004.
5
Miguel, Angela, Human Error Analysis for Collaborative Work, PhD Thesis, Univ. of York, 2006.

2.30
Existem muitas taxonomias para erros humanos. P. ex. Swain and Guttman (1983)
consideram três formas de erro:
• a omissão (total ou parcial de tarefas),
• a confusão ou troca (de objecto, de ordem, de tempo, de magnitude, de sentido),
• o acto estranho.

Outras classificações tentam levar em conta as causas íntimas dos erros, ou as etapas
cognitivas em que ocorrem, para facilitarem a concepção de medidas preventivas. Norman
(1989) considerou dois tipos de erros:
• os desvios e lapsos, que ocorrem em tarefas de nível menos consciente,
• os enganos, que podem suceder em processos de tomada de decisão, podendo
ainda ser decompostos em vários subtipos.

Tomando quatro tipos fundamen-


tais de elementos do anel de Objectivos Planos
Norman (percepções, objectivos, perdido, defeituoso,
inatingível, errado,
6 contraditório impossível
planos, e acções) deduzem as
principais causas de ocorrência de Falhas
Cognitivas
falhas humanas num modelo mal perce-
bido, mal deslize,
reproduzido na Fig. 3.3. interpretado lapso
Percepções Acções
Avaliações

Mundo físico

Efeitos

Fig. 3.3 – Origens de falha cognitiva segundo Pocock et al (2001).

Carey7 sistematiza os seguintes tipos de erros humanos na operação de sistemas de


segurança funcional:
• erros de leitura,
• lapsos de detecção,
• respostas lentas,
• diagnósticos defeituosos,
• operações de manutenção incorrecta.

6
Pocock, S., Fields, B., Harrison, M., Wright,P., THEA – A Reference Guide, University of York Technical
Report YCS-2001-336, 2001.
7
Carey, M., “Human factors in the design of safety-related systems”, Computing & Control Engineering
Journal, pgs. 28-32, February, 2000.

2.31
3.3- Métodos quantitativos de análise do erro humano
Os métodos de estudo quantitativo do erro humano consistem geralmente em três etapas8:
- identificação de erros humanos em actividades previstas;
- predição da sua probabilidade ou frequência de ocorrência;
- redução dessa probabilidade, se necessário, actuando nos aspectos mais críticos.

A identificação de condições propícias ao erro humano tem sido bastante estudada,


havendo muitas técnicas desenvolvidas para o efeito. Os métodos específicos de identificação
concentram-se na análise detalhada das tarefas e tomam em conta os aspectos do contexto
operacional em que elas decorrem.

Para a quantificação da probabilidade de erro têm sido desenvolvidas muitas técnicas,


sem que exista uma abordagem que se destaque. Citam-se, a título de exemplos: THERP
(Technique for Human Error Rate Prediction), HEART (Human Error Assessment and
Reduction Technique), JHEDI (Justification of Human Error Data Information), SHERPA
(Systematic Human Error Reduction & Prediction Approach), THEA (Technique for Human
Error Assessment), CREAM (Cognitive Reliability and Error Analysis Method), CHLOE (não
é acrónimo – erros em tarefas colaborativas). A seguir deixa-se um resumo, ainda que
superficial, de um dos métodos desenvolvidos para efetuar o cálculo da probabilidade de erro
humano.

Método HEART (Human Error Assessment and Reduction Technique)


O método HEART, proposto em 1986 por J. C. Williams, tem uma estrutura bastante
simples. A taxa de erro para uma dada tarefa consiste no seguinte:

1. Obter uma taxa de erro, ou probabilidade de erro, λh, para o tipo de tarefa em causa
a partir de tabelas disponíveis (p.ex. Tab. 3.1);

2.1. Obter um conjunto de valores numéricos ki, seleccionados de uma lista de


condições favoráveis ao erro (EPC – error producing conditions), que se
considerem aplicáveis ao caso;

2.2. Estabelecer, para cada condição favorável ao erro, um coeficiente ci (entre 0 e 1)


que o analista julgue adequado para a importância a atribuir a essa condição;

3. Calcular a taxa de erro efectiva que resulta para a tarefa dada pelo produto da taxa
de base λh por todos os factores de influência e respectivos coeficientes de
importância:
HEP = λh ∏ [(k
i∈EPC
i − 1)ci + 1] (3.1)

8
Kirwan, B., “The validation of three human reliability quantification techniques – THERP, HEART and JHEDI
– part I – Techniques and descriptions”, Applied Ergonometrics, vol. 27, no. 6, pgs. 359-373, 1996.

2.32
Os valores ki tabelados são sempre superiores à unidade e a expressão anterior está
construída de modo a impedir factores nulos. Se o resultado final for próximo ou
mesmo superior à unidade considera-se que a falha será certa e a actividade deve
ser imediatamente repensada.

Na Tabela 3.1 exibem-se valores de probabilidade de erro humano propostas por Smith
(2001)9, para alguns tipos de tarefas bem caracterizados.

Tabela 3.1 – Valores de probabilidade de erro humano, avançados por Smith (2001), na realização de alguns
tipos de tarefas.
Probabilidade
Tarefa (do ponto de vista do operador) de erro
Tarefa estranha, a realizar rápidamente, com resultado desconhecido 0.55
Repor o sistema no estado original ou num estado novo numa tentativa única, 0.26
sem supervisão nem acesso a procedimentos pré-definidos
Tarefa complexa exigindo alto nível de conhecimento e de destreza 0.16
Tarefa bastante simples, realizada rapidamente ou merecendo pouca atenção 0.09
Rotina altamente praticada; tarefa rápida envolvendo baixo nível de destreza 0.02
Repor o sistema num estado novo seguindo um procedimento pré-definido 0.003
Tarefa totalmente familiar, realizada várias vezes por hora, por pessoal bem 0.0004
motivado e altamente treinado, com tempo para corrigir erros
Responder correctamente na presença de sistema de supervisão capaz de 0.00002
fornecer informação adicional de interpretação

No método HEART são disponibizados pelo autor do método valores de factor ki para
algumas dezenas de condições favoráveis ao erro. Na Tabela 3.2 apresentam-se alguns valores
do multiplicador ki extraídos de Smith (2001).

Tabela 3.2 – Valores do factor ki, extraídos de Smith (2001), para alguns tipos de condições favoráveis ao erro.
Factor ki
Condição favorável ao erro
(valor máximo)
Situação estranha, importante e rara 17
Escassez de tempo para detecção do erro 11
Ausência de meios óbvios para corrigir uma acção involuntária 8
Necessidade de aprender uma abordagem oposta 6
Incompatibilidade entre a tarefa real e a tarefa que foi percebida 4
Operador recém-formado 3
Poucas ou nenhumas verificações independentes (das condições de 3
realização da tarefa)
Incentivo à utilização de procedimentos com maior perigo 2
Instrumentação pouco confiável 1.6
Stress emocional do operador 1.3
Moral do operador diminuida 1.2
Incompatibilidade entre ecrãs (sinóticos, p.ex.) e procedimentos 1.2
Perturbação dos ciclos de sono do operador 1.1

9
Smith, D., Reliability, Maintainability and Risk – Practical methods for engineers, 6th edition, Butterworth-
Heinemann, 2001.

2.33
Os valores dos coeficientes ci (entre 0 e 1) para as diferentes condições favoráveis ao
erro são atribuídos por pela avaliação que o analista faz da sua importância.

Ex. 3.1. O operador de um sistema de supervisão de um centro comercial tem de identificar


uma situação de incêndio no parque de estacionamento interior com base em imagens de 6
câmaras de CCTV10 que tem à disposição em simultâneo. Na sequência deverá premir um
botão de uma botoneira na qual existem mais quatro botões para outras finalidades, sem
demorar mais do que 2 minutos no total. O botão de incêndio fará automaticamente encerrar
as entradas e saídas do parque, arrancar os ventiladores de desenfumagem, lançar água ou
produto extintor sobre o local e dar sinal de alarme nos bombeiros.

O operador recebeu formação específica para actuar neste tipo de cenário, mas nunca se tinha
deparado com uma situação real de incêndio.

a) Calcular a probabilidade de falha do operador na acção que lhe é exigida, ou seja,


identificar a ocorrência do incêndio e premir o botão respectivo sem exceder 2 minutos.

b) Idem para o caso de o operador ter a seu cargo ainda as imagens de mais 8 câmaras CCTV
fora do parque de estacionamento e, na mesma ocasião, estar a prestar especial atenção às do
piso superior do edifício onde se encontra um grupo de alunos em visita de estudo.

A probabilidade de erro na realização da tarefa, sem considerar condicionantes adversas: na


Tabela 3.1 a situação em análise parece situar-se acima de “Tarefa bastante simples, realizada
rapidamente ou merecendo pouca atenção”, mas abaixo de “Tarefa complexa exigindo alto
nível de conhecimento e de destreza”; considerou-se por isso λh=0,11.

a) Considerando que existe uma condição favorável ao erro que é o facto de o operador nunca
ter experimentado uma situação real idêntica, pode encarar-se isso como uma situação de
“operador recém-formado” na Tabela 3.2, de que resulta k1=3. Considera-se esta condição
adversa com uma importância elevada: p.ex. c1=0,75.
Probabilidade de erro humano na realização da tarefa: HEP = 0,11 × [(3 − 1) × 0,75 + 1] ≈ 0,28 .

b) Neste caso, além da condição considerada na alínea anterior, considera-se ainda a


existência de dois objectivos divergentes na mente do operador, relacionados com a existência
não só de imagens do parque de estacionamento mas também de outras áreas do centro
comercial). Tendo em conta a Tabela 3.2 propõe-se k2=2,5; considera-se ainda uma
importância c2=0,6 para esta condição. Resulta:
HEP = λ h ∏ [(k i − 1)ci + 1] = 0,11 × { [(3 − 1) × 0,75 + 1] × [(2,5 − 1) × 0,6 + 1]} ≈ 0,53
i =1, 2

10
Closed Circuit TV – circuito fechado de televisão.

2.34
Que é um valor muito elevado de probabilidade de falha (acontece aprox. em metade das
vezes). Logo, o procedimento ou os meios de detecção e de actuação devem ser revistos.

A matéria do erro humano é indispensável na análise de segurança, mas os métodos


disponíveis para o efeito apresentam elevadas incertezas, têm problemas de consistência e
concedem margem para a subjectividade. De facto, métodos diferentes não dão em geral
resultados coincidentes; por outro lado, um mesmo método usado por analistas diferentes
pode levar a resultados distintos, devido a formas peculiares (subjectivas) de interpretar as
condições em presença. Não é por isso que se poderá menosprezar os seus propósitos ou os
seus resultados.

3.4- O factor humano em cadeias de segurança funcional


Mesmo em tarefas bastante simples e rotineiras a operação humana individual apresenta
taxas de erro significativas para muitas aplicações de segurança funcional. Tomando p.ex.
dados de Smith (2001, Appendix 6), e em condições neutras de contexto, encontram-se
valores de taxa de erro entre 0,001 e 0,006. Torna-se claro que este desempenho da função
humana normalmente inviabilizará a sua inserção em série em cadeias de segurança funcional
com exigências médias e altas, i.e. destinadas a assegurar um factor de redução de risco
melhor do que 1/100. A Fig. 3.4a ilustra esquematicamente esta estrutura.

Há que procurar integrar a acção humana com redundâncias devidamente estruturadas,


quer em equipa quer com recursos de automação em paralelo que auxiliem a decisão ou
supram possíveis hesitações ou acções extemporâneas, conforme ilustrado na Fig. 3.4b.

Detectores Cotrolador Decisão Actuadores


automático humana

Detectores Cotrolador Actuadores


automático

Meios adic. Actuação


Decisão
para detec. humana
humana
humana

b
Fig. 3.4 –Intervenção humana em sistemas de segurança funcional: a- inserção em série numa cadeia de
detecção-decisão-acção; b- conjugação da operação humana em paralelo com a cadeia automática.

2.35
Ex. 3.2. No caso do Ex. 3.1 o operador do sistema de supervisão do centro comercial é
assistido, no que respeita a incêndios no parque de estacionamento interior, também por um
sistema automático de detecção de incêndio (SADI). Este sistema detecta a presença de fumo
e calor no espaço em causa.
Uma vez reconhecida a situação de incêndio, pelo próprio operador através das imagens de
CCTV, ou automaticamente pelo SADI, o operador deve premir o botão de incêndio para
desencadear as acções referidas no Ex. 3.1; se o incêndio foi detectado pelo SADI, caso o
operador não accione o botão até dois minutos depois, o sistema desencadeará
automaticamente essa acção.
Calcular a probabilidade média de falha perigosa com esta combinação de intervenção
humana e automática, considerando que:
• a indisponibilidade do SADI é 0,0005;
• a sua probabilidade de falha na detecção atempada de uma situação de incêndio é 0,09;
• a indisponibilidade do sistema de CCTV é 0,008.

Disponibilidade Detecção do
do SADI incêndio pelo
SADI

Disponibilidade Detecção do
do CCTV incêndio e press.
botão pelo oper.

Probabilidade média de falha à chamada da cadeia do SADI:


PFD1 = 1 − (1 − U SADI )(1 − PFDdetect inc ) = 1 − (1 − 0,0005) × (1 − 0,09) ≈ 0,09

Probabilidade média de falha à chamada da cadeia do operador:


PFD2 = 1 − (1 − U CCTV )(1 − HEP)
Probabilidade média de falha à chamada do conjunto: PFD ≈ PFD1 PFD2

Caso a): PFD2 = 1 − (1 − 0,008)(1 − 0,28) ≈ 0,29 => PFD ≈ 0,09 × 0,29 ≈ 0,026

Caso b): PFD2 = 1 − (1 − 0,008)(1 − 0,53) ≈ 0,47 => PFD ≈ 0,09 × 0,47 ≈ 0,042

Com um sistema combinado de intervenção automática e humana há uma melhoria


significativa quer relativamente ao sistema de detecção-decisão-acção pelo operador quer
relativamente ao sistema puramente automático.

2.36
4- RISCO E SEGURANÇA

4.1- Introdução
A Segurança Funcional existe para reduzir riscos. O conceito de risco avalia a
possibilidade de se registarem as consequências (indesejáveis) de um dado cenário de perigo.
Esta definição envolve três entidades: aquilo que pode acontecer (i.e. o cenário de perigo, S),
a probabilidade de acontecer (p) e as suas consequências (C):
R = S , p, C (4.1)

S representa um dado perigo e ainda as delimitações de espaço e/ou de tempo em que o


mesmo está a ser considerado; p é escalar p∈[0, 1]; C é multidimensional, mas muitas vezes
poderá tomar-se como escalar.

Por simplicidade usa-se muito a definição escalar de risco que consiste no produto da
probabilidade de ocorrência de um evento desastroso pela magnitude das consequências
provocadas (tomada como escalar):
Risco = probabilidade de ocorrência × consequência (4.2)

Mas se a probabilidade de ocorrência do evento indesejável é definida inequivocamente


e assume valores no domínio [0, 1], a grandeza consequência pode ser estabelecida com
diferentes pontos de vista, com sejam, p.ex., o número de mortes (fatalities) ou o custo dos
prejuízos.

A probabilidade de ocorrência dos eventos perigosos, quando desencadeados por


equipamentos ou sistemas, pode ser determinada à custa dos métodos de cálculo de
probabilidade de falhas como os que se estudaram anteriormente. Quanto à quantificação de
consequências depende de pontos de vista a definir arbitrariamente, com base na experiência,
ou em resposta a exigências legais.

A definição estabelecida em (4.2) aplica-se a um acto único (p.ex. uma viagem de


avião). Tratando-se de actividades com perigo repetitivo ou permamente convém explicitar o
risco em termos da frequência de ocorrência, ou seja, por unidade de tempo:
Risco = probabilidade de ocorrência × consequência × frequência (4.3)

Pode também definir-se por unidade de alguma grandeza determinante na actividade em


causa (p.ex. número de vítimas por veículo.km em acidentes rodoviários):
Risco = probabilidade de ocorrência × consequência / actividade realizada (4.4)

Note-se ainda que perigo não é sinónimo de risco, mas antes uma causa deste. P. ex. o
atravessamento de uma passagem de nível sem guarda em automóvel representa um perigo; o

3.1
risco (de fatalidade) será obtido pelo produto da probabilidade de colisão de um comboio com
a viatura pelo número de mortes que, em média, pode causar.

Ex. 4.1. Se um sistema de combate a incêndio numa loja tiver uma probabilidade de média de
falha perigosa à chamada PFD=0,02, se a frequência média de ocorrência de incêndios nesse
tipo de local for f=0,03 ano-1 e se cada incêndio causar, em média, duas vítimas, o risco de
vítimas devido a incêndio nesse local será de
PFD × f × 2 = 0,0012 vítimas/ano

A segurança (safety11) é a qualidade de um sistema ou um equipamento que consiste


em não apresentar riscos inaceitáveis. Pressupõe a existência de níveis de aceitação de risco
que serão abordados mais adiante.

Mas também é uma atitude que visa promover, de forma activa, condições para tornar
os riscos tão baixos quanto possível e com valores aceitáveis no contexto a que dizem
respeito. Para o efeito deve estar presente, de forma explícita e demonstrável (com
documentação) em todo o ciclo de vida dos sistemas ou dos empreendimentos:
• concepção
• construção
• colocação em serviço
• exploração
• alterações
• desmantelamento.

Segundo um estudo do organismo britânico de saúde e segurança no trabalho (HSE,


1995) é na fase de concepção (em particular, na especificação) e nas alterações que residem
mais frequentemente as causas de falha de acidentes graves.
especificação

44,1%

projecto e 14,7%
implementação

5,9% 20,6%
instalação e alterações após
14,7% entrada em serviço
comissionamento
operação e
manutenção

Fig. 4.1– Causas de falha que ocasionaram acidentes em indústrias, segundo um estudo do Health and Safety
Executive britânico (1995).

11
O vocábulo segurança em português também é usado com o significado de protecção, custódia, ou
salvaguarda, (por exemplo contra roubo); nesse caso corresponde ao termo inglês security.

3.2
O enquadramento dos aspectos de segurança que dizem respeito aos sistemas destinados
redução de risco, utilizando equipamentos (ou instrumentação) de automação, eléctrica ou
electrónica é habitualmente designado por segurança funcional.

4.1.1- Formulação da quantificação do risco para uma situação mais complexa


Considerem-se n cenários perigosos, Si: i∈[1; n], numa região com um número finito de
locais g∈[1; G] onde se encontram pessoas.

Cada cenário apresenta uma frequência de ocorrência fi. Por outro lado, se o cenário
ocorrer, a probabilidade de vitimar uma pessoa num local g é dada por pg|i.

Admita-se que os efeitos de cada tipo de ocorrência sobre as pessoas são aditivos e
estatisticamente independentes.

O chamado risco individual para uma pessoa que permaneça num local g obtém-se por:
n
RI , g = ∑ f i p g i (por unidade de tempo) (4.5)
i =1

Para avaliar o chamado risco colectivo há que ter em conta a distribuição de pessoas
pelos locais g=1..G. O total de vítimas Ni num cenário cenário Si é avaliado pelo efeito sobre
toda a população na região:
G
N i = ∑ N g pg i (4.6)
g =1

onde Ng representa o número de pessoas no ponto g expostas ao cenário de perigo Si.

O risco colectivo, ou societário, costuma ser representado em termos de frequências F


acumuladas de ocorrência de N ou mais vítimas, traduzindo-se por uma “curva F-N”, ou
12
“curva de Farmer” , conforme é ilustrado na Fig. 4.2. Trata-se sempre de um diagrama
monotonamente decrescente.

12
Investigador que estudou o risco de acidentes centrais nucleares.

3.3
F
-3
10
-1
ano
-4
10

-5
10

-6
10

-7
10
1 10 Vítimas ≥N 100 N
Fig. 4.2– Curva de Farmer de risco colectivo para um dado cenário de perigo envolvendo múltiplas vítimas.

Os exemplos que se seguem ilustram situações com potencial para causar múltiplas
vítimas.

Ex. 4.2. Cenário de fuga de gás tóxico numa fábrica. Foram definidas três zonas com
diferentes probabilidades de vitimar quem lá se encontre e com as respectivas ocupações de
pessoal em serviço.

foco de libertação de
gas tóxico - cenário S1

g =1
p 1|1 =0,6 g =2
N1=3 p 2|1 =0,2
g =3
N2 =5
p 3|1 =0,02
N3 =12

3.4
Ex. 4.3. Cenário de inundação num vale. Foram definidas três regiões onde há presença de
pessoas, assinalando-se também as probabilidades de vitimar quem lá se encontre.

curso de água normal


zona inundável no cenário S1

g =1
p 1|1 =0,2
zonas de ocupação
N1 =12 de pessoas

g =2
p 2|1 =0,05
N2 =9

g =3
p 3|1 =0,01
N3 =20

Prosseguindo na quantificação de risco colectivo, conside-se que numa dada situação


em estudo se conhece a função densidade de probabilidade de ocorrerem exactamente N
vítimas num dado local g, para o cenário Si: ϕg|i(N).

Cálculo das frequências cumulativas para N ou mais vítimas nesse local:


Ng
Fg i ( N ) = Pg i (k ≥ N ) = f i ∑ ϕ g|i (k ), 1≤ N ≤ Ng (4.7)
k=N

Cálculo das frequências cumulativas para toda a região:


Fi ( N ) = f i ∑ ∏ϕ
j1∈{1,.., N1 } g∈{1,..,G }
gi
( jg ) , 1 ≤ N ≤ N 1 + ... + N G (4.8)
M
jG ∈{1,.., N G }

j1 +...+ jG ≥ N

Com estes resultados (para os diferentes valores de N) constroi-se então a curva de


Farmer. Antes de analisar um exemplo numérico abordam-se mais conceitos associados ao
risco.

3.5
4.1.2- Percepção e tolerância do risco
Um problema fundamental na criação de condições de segurança consiste em
estabelecer os níveis de risco aceitáveis, dado que não é possível a anulação absoluta do risco.
O assunto torna-se particularmente delicado quando se trata de risco de morte de pessoas13
como se irá discutir em seguida.

É habitual encontrarem-se as seguintes definições de níveis de apreciação do risco:

- aceitável ou razoável, quando se considera que o risco é suficientemente baixo ao


ponto de tornar desnecessário investir mais na sua redução;

- tolerável, quando já se encara a possibilidade de admitir a situação se não estiver de


todo ao alcance reduzir ainda mais o risco com meios/custos comportáveis;

- inaceitável, não se podendo permitir tal situação.

Entre os níveis de risco tolerável e aceitável deve ser utilizada a atitude de reduzir tanto
quanto seja possível com razoabilidade de meios, conhecida vulgarmente pela sigla
ALARP (as low as reasonably practicable).

O valor efectivo de cada um destes níveis de risco depende do tipo de actividade e da


forma de envolvimento ou participação das pessoas. Constata-se que em actividades
voluntárias (p.ex. fumar, conduzir automóvel, fazer escalada) ou profissionais (p.ex.
empregados de indústria, pilotos de avião) se admitem geralmente níveis um pouco mais
elevados de tolerância ao risco do que nos casos de envolvimento involuntário das pessoas
(p.ex. clientes de lojas, utilizadores de transportes públicos, habitantes em regiões com
indústrias de risco).

Há quem admita que o nível básico de apreciação do risco de acidente pode ser visto,
muito grosseiramente, como a hipótese de cada pessoa considerar aceitável que, durante a sua
vida, conheça um caso de morte por acidente entre as pessoas das suas relações. Tomando a
vida como 100 anos e um círculo de proximidade com 100 outras pessoas, resultaria o número
redondo de 10-4 ano-1 como valor aceitável para a frequência de ocorrência14.

Por outro lado, existe uma intolerância ou aversão acrescida da sociedade à ocorrência
de múltiplas vítimas (p.ex. em acidentes com sistemas de transporte, com fábricas, com
barragens). É habitual ver estabelecidos os níveis de risco, para cada tipo de actividade, em
função do número de mortes que podem suceder no caso de uma ocorrência funesta, como a
fig. 4.3 ilustra.

13
A tradução do termo inglês fatality por “fatalidade” não se afigura muito adequada pelo que se evitará.
14
Aquele valor pode entender-se p. ex. como: 10-4 vítimas/(pessoa.ano) = 1 vítima/(10000 pessoas × 1 ano) =
= 1 vítima/(1 pessoa × 10000 anos).

3.6
(ano-1) -3
10

-4
10
região de risco intolerável
-5
10

-6 região de risco tolerável


10 (com exigência ALARP)

-7
10
região de risco
aceitável
-8
10
1 10 100 1000
número de mortes ( )

Fig. 4.3– Ilustração do significado dos níveis de tolerância ao risco.

Ex. 4.4. O sistema de combate a incêndio numa loja tem f


-3
10
PFD=0,02. Conhecem-se as frequências médias de ocor- ano
-1

-4
rência de incêndios nesse de local com diferentes números 10
risco intolerável
de vítimas: f=0,01 ano-1 com 1 vítima, f=0,003 ano-1 com 2 10
-5

vítimas, f=0,0001 ano-1 com 5 vítimas, f=10-6 ano-1 com 10


-6

vítimas, f≈0 ano-1 com mais de 10 vítimas. O diagrama da


10 risco tolerável
(ALARP)

figura ao lado revela, segundo o critério de aceitação nele 10


-7

risco aceitável
fixado, que o risco atinge a região não tolerável, pelo que -8
10
100
deve ser melhorado o sistema de combate a incêndio e/ou 1 10
vítimas ( )

tomadas medidas adicionais de protecção das pessoas (p.


ex. melhores condições de evacuação).

Se após a introdução de melhorias o diagrama ainda se situar na região ALARP há que


continuar a tentar reduzir medidas mitigadoras com custos justificáveis.
f
-3
10
-1
ano
-4
10
risco intolerável
-5
10

-6
10
risco tolerável
(ALARP)
-7
10
risco aceitável
-8
10
1 10 100
vítimas ( )

3.7
Ex. 4.5. Considere-se uma instalação industrial onde, por avaria de equipamentos, pode haver
fuga de um gás tóxico (cenário S1). Frequência de ocorrência deste tipo de acidente:
0,0008/ano.

Na fábrica há dois locais normalmente


ocupados por pessoas: no primeiro há 3
operadores e no segundo há 5. g=1
p 1|1=0,6
A probabilidade de qualquer pessoa ser N1 =3
g=2
vitimada pelo acidente no local 1 é p1|1=0,6 p 2|1=0,2
N2 =5
e no local 2 é p2|1=0,2.

Obter a curva F-N de risco colectivo nesse


cenário, admitindo que o número de vítimas
num local g tem distribuição binomial
Ng! N g −k
φ g 1 (k ) = p g 1 (1 − p g 1 )
k
, 1≤ k ≤ Ng
k!( N g − k )!

Desenvolvendo o cálculo desta distribuição em ambos os locais obtém-se:

0,50

0,45

φ1 1 (k )
0,40

0,35

φ 2 1 (k )
0,30

0,25

0,20

0,15

0,10

0,05

0,00
0 1 2 3 4 5

As probabilidades de existirem ao todo N ou mais vítimas calculam-se por:

3.8
Se a frequência de ocorrência deste tipo de acidente for 0,0008/ano, a tabela F-N passa a ser a
apresentada abaixo, a partir da qual se traça o diagrama de Farmer ao lado:

0,001000

0,000100

0,000010

0,000001
1 ( ) N 10

Se o critério de aceitação de risco corresponder à recta indicada haverá que reduzir a


frequência de ocorrência cerca de 14,5 vezes. Essa poderá ser uma meta a alcançar com
medidas de Segurança Funcional – equipamento automático de protecção.

3.9
-3

10

( )

4.2- Alusão a alguns métodos auxiliares de análise de risco


Em primeiro lugar, para cada situação, há que reconhecer os perigos potenciais que
existem e que podem originar as ocorrências desastrosas. Isso é geralmente feito numa
análise preliminar de perigos – PHA (preliminary hazard analysis), onde se podem, desde
logo, apontar também soluções de mitigação dos riscos decorrentes dos perigos detectados.

Existem diversos métodos de avaliação da probabilidade de ocorrência de falhas


perigosas, grandeza necessária para a quantificação do risco. No capítulo anterior mostraram-
-se soluções analíticas para este fim. Mas também existem formas gráficas e tabulares de
organizar os cálculos evidenciando os efeitos de cada elemento e/ou modo de falha. Os
diagramas de blocos em série e paralelo, já utilizados atrás, são exemplo disso.

As árvores de falhas são diagramas lógicos que permitem obter valores resultantes de
disponibilidade, fiabilidade ou probabilidade de falha para conjuntos de elementos associados.
Os acontecimentos de partida são colocados como entradas de funções (portas) lógicas “E” ou
“OU” cujas saídas são os acontecimentos resultantes, prosseguindo a estrutura em árvore até
ao acontecimento de falha final do sistema. Os elementos em série (do ponto de vista de
fiabilidade) ligam-se a portas “OU” e vêm as suas fiabilidades RX multiplicadas15, ao passo
que os elementos em paralelo se ligam a portas “E” sendo as suas probabilidades de falha FX
multiplicadas, ou então, como aproximação, as suas fiabilidades RX adicionadas16. A fig. 4.4
ilustra a aplicação de uma árvore de falhas a um sistema.

15
Na hipótese de independência estatística das falhas nesses elementos.
16
Esta aproximação só é válida para probabilidades FX muito baixas (tipicamente inferiores a 0,1).

3.10
FS

FE

p / bocas Q M B A
aliment. aliment. de incêndio
da rede socorrida FQ FM FB UA
RE GE
UR UG FE = UR UG
Q M B A
RS = RQ RM RB (1- UA )
FS ~ F E + F Q + F M + F B + UA

Fig. 4.4– Árvore de falhas aplicada a um sistema de bombagem de água para combate a incêndios. Os aconteci-
mentos complexos, mas em cuja decomposição não se avance mais, representaram-se em rectângulos e as falhas
básicas em círculos.

Para considerar falhas com causa comum de elementos redundantes acrescenta-se mais
um bloco ligado aos acontecimentos de falha daqueles elementos em porta “OU”. Este
pormenor fica ilustrado para o exemplo da fig. 4.5 onde se considerou a probabilidade de
falhas com causa comum na alimentação pela rede eléctrica e pelo grupo electrogéneo, p.ex.
devidas a avaria no quadro eléctrico (cf. fig. 4.5).
FS

FE

CCF Q M B A
FRG FQ FM FB UA
RE GE
UR UG FE = UR UG
FS ~ F E + F RG+ F Q + F M + F B + UA

Fig. 4.5– Inclusão da probabilidade de falhas com causa comum na alimentação de energia pela rede eléctrica e
pelo grupo electrogéneo, FRG, no sistema da fig. 3.1. (FX=1-RX)

Este método aplica-se a valores instantâneos ou em curtos intervalos de tempo (onde


F≈λT), mas não permite achar directamente a propagação de valores médios (p.ex. valores de
PFDméd) quando há probabilidades variáveis no tempo. Também não permite incluir a
reparação de elementos em falha.

Métodos FMEA, FMECA, FMEDA


O método de Análise de modos de falha e dos seus efeitos, conhecido pela sigla FMEA
(Failure modes and effects analysis) foi estabelecido formalmente pelo Departamento de
Defesa americano através de norma cuja última versão é MIL Std 1269A-1984. Nele também

3.11
se passou a incluir o estudo da criticidade dos efeitos, recebendo a designação de FMECA
(Failure modes, effects and criticality analysis).

Nesta análise parte-se de modos de falha identificados em componentes ou subsistemas


e analisam-se as suas consequências, documentando sinteticamente, na forma de tabela, as
cadeias relacionais: elementos do sistema, modos de falha de cada elemento, efeitos de cada
modo de falha, severidade ou criticidade de cada efeito (podendo esta ser quantificada).

Na forma simples que se ilustra na tabela 4.1 é possível a inclusão de taxas de falhas e
de cálculos simples com estas (p.ex. a soma das taxas de falhas perigosas dos elementos
independentes que, por si só, provoquem o desfecho funesto). Também pode ser
acompanhado da sistematização de medidas de mitigação.

Tabela 4.1 – Ilustração de FMECA

Elemento Modo de falha Causa Efeito Criticidade λ (ano-1)


Válvula de solenóide persiste aberta encravamento mecânico libertação de gás perigosa 0,07
(NF)

“ persiste aberta falha do controlador libertação de gás perigosa 0,0004

“ persiste fechada encravam. mecânico impede serviço segura 0,1

Para a segurança funcional em automação interessa especialmente incluir na análise os


recursos de diagnóstico, passando a chamar-se método de Análise de modos de falha, dos seus
efeitos e do seu diagnóstico, conhecido pela sigla FMEDA (Failure modes, effects and
diagnostic analysis).

Existem muitos outros métodos quer de análise preliminar de perigos quer de modos de
falha e de soluções de mitigação.

Ánálise de consequências
Os métodos anteriores permitem destacar e quantificar a ocorrência de falhas. Mas note-
-se que as falhas, por si só, não são os acidentes, mas sim ocorrências que os podem propiciar.
Torna-se, pois, necessário prosseguir no estudo se o objectivo for a caracterização e
quantificação dos efeitos de eventuais acidentes.

As árvores de acontecimentos, ou grafos de risco, constituem uma técnica usual de


abordagem complementar aos métodos precedentes, sendo usadas nos estudos de análise de
risco para identificar as possibilidades de desfecho a partir da ocorrência de uma dada falha
ou acontecimento iniciador.

3.12
acontecimento ocorrência aspersores detectores consequências frequência
iniciador de incêndio funcionam dão alarme
sim incêndio mitigado com
possib. de intervenção 0,0068 /ano
sim 0,95 precoce de bombeiros
0,9 não incêndio moderado
mas sem controlo 0,00036 /ano
sim 0,05
0,4 sim incêndio grave com
possib. de intervenção 0,00076 /ano
não 0,95 precoce de bombeiros
curto-circuito 0,1
0,02 /ano não incêndio grave
0,05 e sem controlo 0,00004 /ano

não sem incêndio


0,6 0,012 /ano
(averiguar consequências
da libertação de cloro por
cabos eléctricos em PVC)

Fig. 4.6– Ilustração de uma árvore de acontecimentos (inspirado em Rausand (2004)). Sob cada ramo da árvore
está indicada a respectiva probabilidade de ocorrência. Os valores não têm origem em dados reais.

O estudo completo de análise de risco deve incluir não só a sua avaliação mas também a
preparação de medidas mitigadoras, conforme se descreve na fig. 4.7.

identificação
de perigos

definição de cená-
rios de acidente

avaliação de avaliação de
consequências frequências

avaliação medidas de
do risco mitigação

N
aceitável

gestão
do risco

Fig. 4.7– Principais etapas na análise de risco17.

4.3- Aspectos de gestão da segurança


Um estudo do organismo britânico Health and Safety Executive (HSE), publicado em
1995, revelou os seguintes dados quanto à origem das falhas ocorridas em sistemas de
automação dedicados à segurança na indústria: 44 % deviam-se a deficiências de especi-
17
Baseado em Xavier, J. e Serpa, R., “Estudo de Análise de Riscos em Instalações com Produtos Perigosos”,
www.cepis.org.pe/tutorial1/p/prepara.html.

3.13
ficação; 15 % a projecto e implementação; 6 % à instalação e comissionamento; 20 % a modi-
ficações após entrada em serviço e 15 % a operação e manutenção (vide secção 4.1, Fig. 4.1).

Pode-se observar que cerca de 60 % das falhas tinham origem em deficiências havidas
nas fases anteriores à entrada em serviço, concluindo-se que o esforço de prevenção de
acidentes deve ter início logo desde a concepção e projecto dos sistemas ou instalações.

Outro estudo realizado em 2000 pelos organismos americanos Environmental Protection


Administration (EPA) e Occupational Safety and Health Administration (OSHA) atribui
também relevo especial à intervenção dos operadores. De facto, embora existam sistemas
fortemente automatizados, muito raros serão aqueles que não dependam em absoluto da acção
humana e que, por isso, estejam imunes aos seus erros. Esta componente, também chamada de
factor humano, tem quase sempre um papel muito significativo quer nas causas quer na
mitigação dos riscos.

Estes estudos mostraram também a necessidade de enfoque global em todos os aspectos


de concepção, projecto, realização e operação (exploração) dos sistemas e instalações com
requisitos de segurança, ou seja, do seu ciclo de vida de segurança (safety lifecycle) até ao
desmantelamento. Deve ser dada especial atenção às modificações introduzidas em qualquer
das fases do ciclo, pois, para além de exigirem novos planeamentos de testes, implicam a
revisão de projectos e de procedimentos de exploração. Também ao factor humano deve ser
dada especial preparação para participar no ciclo de vida da segurança das instalações onde
trabalham.

Bibliografia

Smith, D., Reliability, Maintainability and Risk – Practical methods for engineers, 6th
edition, Butterworth-Heinemann, 2001.

Goble, W., Control Systems Safety Evaluation and Reliability, 2nd. edition, ISA, 2003.

Rausand, D., Hoyland, A., System Reliability Theory, Models, Statistical Methods and
Applications, 2nd edition, Wiley, 2004.

Kirrmann, H., Industrial Automation - 9.2 Dependability Evaluation, EPFL, 2006.

3.14
Apêndice A

Determinação experimental de MTTF e de taxas de falhas


O estimador natural do tempo médio entre falhas é o quociente entre o tempo total de
serviço dos elementos em teste (T) e o número de falhas detectadas (k), conforme relação
(2.1) definida anteriormente:
T
θˆ = (A.1)
k
Para estimador da taxa média de falhas utiliza-se o quociente inverso:
k
λ̂ = (A.2)
T
Para determinar níveis de confiança dos valores estimados λ̂ ou θˆ recorre-se à
distribuição que a seguir se descreve.

Distribuição χ2

Caracteriza-se pela seguinte função densidade de probabilidade:


 1
n
−1 −
x
 n/2 x e para x > 0
2 2
f χ 2 ( x, n) =  2 Γ(n / 2) (A.3)
0 para x ≤ 0


Γ(a) = ∫ t a −1e −t dt (função gama) (A.4)
0

A integração da função densidade de probabilidade de uma distribuição χ2 conduz à


respectiva função distribuição de probabilidade:
γ (n / 2, x / 2)
Fχ 2 ( x, n) =
Γ(n / 2) (A.5)

Γ(a) = ∫ t a −1e −t dt (função gama) (A.6)
0
z
γ (a, z ) = ∫ t a −1e −t dt (função gama inferior) (A.7)
0

Nas fig.as A.1 e A.2 estão representados alguns diagramas da função densidade de
probabilidade e da função distribuição de probabilidade de χ2 para diferentes valores de n
(“graus de liberdade”). É habitual encontrar valores destas funçõeso na forma de tabela.

A.1
fχ2(x , n )
n=1

0,5

0,4

0,3
n=2

0,2 n=5
n=10
n=15
0,1

0
0 5 10 15 20 25 30 x
Fig. A.1– Função densidade de probabilidade de uma distribuição χ2 com diferentes graus de liberdade (n).

Fχ 2( x, n)
1,0

0,9
n=1
2
0,8 3
4
5
6 7
0,7 8 9
10
0,6
15

0,5 20
25
0,4

0,3

0,2

0,1

0
0 5 10 15 20 25 30 x
Fig. A.2– Função distribuição de probabilidade de χ para diferentes graus de liberdade (n).
2

Parte-se agora para o procedimento de cálculo de níveis de confiança de valores


estimados de taxas de falha e de MTTF.

Prova-se que o quociente entre o valor estimado θˆ , obtido apenas com k elementos da
população em estudo, e o valor final θ, a obter com a falha de todos os elementos, obedece
aproximadamente a uma distribuição de χ2 com 2k graus de liberdade:

2kθˆ
↔ f χ 2 ( x, 2 k ) (2.40)
θ

A.2
T k 2kθˆ 2T
Como θˆ = e λ̂ = , tem-se = = 2Tλ que são quantidades que obdecem à
k T θ θ
distribuição de χ2 com n=2k graus de liberdade:
2T f ( x, 2k )
= 2Tλ ← → x
χ 2
(2.41)
θ
O nível de confiança unilateral é a probabilidade de o verdadeiro valor de θ (a obter
com a falha de toda a população em teste) não ser inferior ao valor θˆ estimado
experimentalmente apenas com a falha de um número restrito de elementos.

Ex. A.1. É testado um conjunto de 100 peças (com reposição). Ao fim de 1000 horas registou-
-se a 3ª falha.
a) Qual o valor de MTTF que pode ser tomado com um limite de confiança de 60%?
b) Qual o valor de MTTF que pode ser tomado com um limite de confiança de 90%? e se for
de 95%?

T=100×1000=100000 h; k=3; n=2k=6

a) F(χ2, 6)=0,6 → χ2=6,2 (Valor extraído do ábaco da fig. A.3).

Fχ 2( x, n)
1,0

0,9
n=1
2
0,8 3
4
5
6 7
0,7 8 9
10
0,6 15

0,5 20
25
0,4

0,3

0,2

0,1

0
0 5 10 15 20 25 30 x
6,2

Fig. A.3– Resolução do Ex.A.1.a).

2T
= 6,2 , θ 60% = 2 × 100000 / 6,2 = 32200 h
θ 60%

b) F(χ2, 6)=0,9 → χ2=10,6 (Valor extraído do ábaco como indicado na fig. A.4).

A.3
Fχ 2( x, n)
1,0
0,95
0,9
n=1
2
0,8 3
4
5
6 7
0,7 8 9
10
0,6 15

0,5 20
25
0,4

0,3

0,2

0,1

0
0 5 10 15 20 25 30 x
6,2 10,6
12,6

Fig. A.4– Resolução do Ex.A.1.b).

2T
= 10,6 , θ 90% = 2 ×100000 / 10,6 = 18900 h
θ 90%
No caso de se procurar um nível de confiança de 95% ter-se-ia, pelo mesmo ábaco.
2T
= 10,6 , θ 95% = 2 ×100000 / 12,6 = 15800 h
θ 95%

Trata-se de níveis de confiança unilaterais, assim chamados porque correspondem à


especificação de um limite inferior (probabilidade de o verdadeiro valor θ ser superior ao
estimado).

A.4