UNIVERSIDADE FEDERAL DO PARANÁ

EDUARDO LUIZ SOPPA















SISTEMA TOLERANTE A FALHAS UTILIZANDO WINDOWS CE,
FOCANDO CONTROLADORES INDUSTRIAIS





















CURITIBA
2009

EDUARDO LUIZ SOPPA
















SISTEMA TOLERANTE A FALHAS UTILIZANDO WINDOWS CE,
FOCANDO CONTROLADORES INDUSTRIAIS








Dissertação apresentada como requisito parcial
à obtenção do grau de Mestre em Engenharia
Elétrica, Programa de Pós-Graduação em
Engenharia Elétrica, Departamento de
Engenharia Elétrica, Setor de Tecnologia,
Universidade Federal do Paraná.

Orientador: Prof. José Manoel Fernandes, Ph.D.












CURITIBA
2009































Ao meu querido e amado filho, João Paulo,
que todos os dias me motiva com seus convites irrecusáveis.
- Papai, vamos brincar?

AGRADECIMENTOS


Primeiramente agradeço a Deus, pois sem Ele nada é possível.
Ao amigo e Prof. José Manoel Fernandes, Ph.D. por todo apoio, conselhos,
orientações e por acreditar neste trabalho.
Aos professores do programa de Pós-Graduação em Engenharia Elétrica da
UFPR pelo esforço constante em oferecer um ensino de qualidade e aos professores
que aceitaram fazer parte desta banca.
Agradeço aos meus pais Luiz Soppa e Rejansira Soppa por todo amor,
carinho, apoio incondicional e por sempre estarem ao meu lado.
A minha amada esposa Alexandra C. Guimarães, pela dedicação, apoio,
carinho e pelas palavras de incentivo.
Ao meu filho João Paulo por me acordar com beijos nos sábados e nos
domingos e a Maria Tereza pelos seus sorrisos, verdadeira fonte de alegria.
As minhas irmãs Luciane e Daniele por me apoiarem em vários momentos.
Ao amigo Eng. Juliano de Mello Pedroso, M.Sc. pelas sugestões e
contribuições feitas a este trabalho. Que as experiências compartilhadas até aqui
sejam a alavanca para alcançarmos à alegria de chegar ao destino por cada um de
nós projetado.
Aos amigos do Senai, Marcio Debner, Carlos Sakiti e Marco Túlio pelos
incontáveis debates na padaria na hora do intervalo, e a Miguel Igino por confiar em
meu trabalho.
A todos aqueles que diretamente ou indiretamente contribuíram para a
realização desta dissertação. E, a todos aqueles que entenderam a minha ausência
durante este período.
Ao Senai-CIC pela infra-estrutura cedida para a realização deste estudo.

































Se sou fiel no pouco, Ele me confiará mais.
Se sou fiel no pouco, meus passos guiará.

Lucas (19, 11-28)


RESUMO




Os Sistemas Instrumentados de Segurança (SISs) são sistemas responsáveis
pela segurança operacional de unidades e equipamentos industriais. Eles causam a
parada de emergência (ESD – Emergency Shutdown) ou impedem uma operação
insegura sempre que as condições do processo ultrapassem os limites pré-
estabelecidos como seguros. Após alguns acidentes fatais, com perda de vidas
humanas, agressão do meio ambiente, começou-se a por em prática o
conhecimento em segurança e o desenvolvimento de sistemas. Isso refletiu em
normas nacionais (N-2595) e internacionais (IEC-61508, IEC-61511, TR-84.01) no
desenvolvimento de produtos específicos para serem usados na concepção e
arquitetura de novos projetos de instalações. Existem diferentes tipos de sistemas
(arquitetura) que atendem a diferentes processos. Muitas vezes, após ter sido feita a
qualificação da malha de controle, o preço é quem decide qual sistema será
implantado, transformando o custo do sistema em um item de decisão, desde que os
sistemas analisados atendam o mesmo nível de integridade de segurança (SIL -
Safety Integrity Level). O objetivo desta dissertação é propor e validar de forma
prática um Sistema Redundante de Segurança utilizando o hardware de um PC
(Personal Computer) padrão, uma vez que este hardware já está bem testado.
Ainda, demonstrar que é possível o desenvolvimento de SIS de baixo custo, tão
eficiente quanto os sistemas existentes no mercado. A diferença entre o sistema
proposto e um computador de uso comum será o sistema operacional, pois neste
projeto irá ser utilizado um sistema embarcado (Windows CE) no lugar dos sistemas
operacionais conhecidos, de maneira que os erros provenientes do software que
ocorrem nos computadores sejam eliminados. Para que se tenha a redundância
modular tripla (TMR – Triple Modular Redundant) irá ser colocado três computadores
com sistema embarcado para processar as informações em paralelo (ao mesmo
tempo). Para que a interface com o mundo externo (sensores, transmissores e
atuadores) seja feita, placas de comunicação se farão necessárias, conversores de
corrente para tensão, conversor de pulso PWM (Pulse Width Modulation) para sinal
analógico e modulação em corrente etc. Todo o sistema será testado em uma planta
didática e deverá efetuar o controle de vazão de uma malha, utilizando para tanto
um algoritmo PID (Proporcional Integral e Derivativo) devidamente sintonizado.
Ainda, será identificada a probabilidade de falha sobre demanda (PFD) para que
seja possível a qualificação do sistema de acordo com a norma IEC 61508.


Palavras–chave: Sistema Instrumentado de Segurança (SIS). Nível de Integridade
de Segurança (SIL – Safety Integrity Level). Sistema embarcado. Controle. PID
(Proporcional Integral e Derivativo). Probabilidade de Falha sobre Demanda (PFD).
IEC 61508. Redundância Modular Tripla (TMR - Triple Modular Redundant).
Paralelo. Intertravamento. Windows CE.




ABSTRACT




The Safety Instrumented Systems (SISs) are systems responsible for the
industrial units and equipments operational safety. They cause emergency stops
(ESD – Emergency Shutdown) or prevent unsafe actions whenever the process
conditions go outside pre-established safety limits. After several fatal accidents, like
loss of human lives and environmental harm that the safety knowledge and systems
design was put in practice resulting in national (N-2595) and international (IEC-
61508, IEC-61511, TR-84.01) norms to be used in specific products for concept and
design of new installation projects. Many times after loop qualification its price
influences which system will be implemented, making the system’s cost in a decision
item, since all analyzed systems meet the same Safety Integrity Level (SIL). The
objective of this dissertation is to propose and validate in a practical way a redundant
safety system using a standard PC (Personal Computer) hardware. As this hardware
is widely tested and proven to work, it can be demonstrated that a low cost SIS can
be developed as effective as other existing market SIS. A difference between the
proposed system and one common use computer will be the operating system,
because an embedded system (Windows CE) instead of known operating systems,
can debug known errors. To obtain a Triple Modular Redundancy (TMR) three
computers with embedded system will process the information in parallel (at the
same time). For external interface (sensors, transmitters and actuators)
communication boards will be developed, current to voltage converters, pulse PWM
(Pulse Width Modulation) for analogical signals, current modulation among others. All
this system will be employed in a didactic plant and must execute flow control in a
loop using a PID (Proportional Integral Derivative) algorithm. And the, failure
probability over demand (PFD) will still be identified, so it will be possible to qualify
the system in accordance with the norm IEC61508.


Keywords: Sistema Instrumentado de Segurança (SIS). Safety Integrity Level (SIL).
Embedded System. Control. Proportional Integral Derivative (PID). Failure Probability
over Demand (PFD). IEC 61508. Triple Modular Redundancy (TMR). Parallel.
Interlock. Windows CE.


LISTA DE ILUSTRAÇÕES


FIGURA 1 – ETAPAS METODOLÓGICAS. ..............................................................19
FIGURA 2 – ALARP. .................................................................................................26
FIGURA 3 – CAUSA COMUM...................................................................................39
FIGURA 4 – SISTEMA DE REDUNDÂNCIA MODULAR TRIPLA.............................42
FIGURA 5 – SISTEMA HOT STANDBY....................................................................43
FIGURA 6 – BLOCOS DE RECUPERAÇÃO. ...........................................................44
FIGURA 7 – O IMPACTO DA REDUNDÂNCIA.........................................................45
FIGURA 8 – SISTEMA DE CONTROLE. ..................................................................52
FIGURA 9 – SISTEMA A MALHA ABERTA. .............................................................52
FIGURA 10 – SISTEMA A MALHA FECHADA. ........................................................53
FIGURA 11 – SISTEMA DE CONTROLE CLÁSSICO. .............................................55
FIGURA 12 – SISTEMA DE PARADA PNEUMÁTICO..............................................58
FIGURA 13 – SISTEMA A RELE TÍPICO..................................................................60
FIGURA 14 – CONCEITO DE OPERAÇÃO..............................................................61
FIGURA 15 – SISTEMA 2oo2 COM DIAGNÓSTICO. ...............................................64
FIGURA 16 – DIAGRAMA DE BLOCOS DE UM CANAL DO SISTEMA PROPOSTO.
..................................................................................................................................65
FIGURA 17 – DIAGRAMA DE INTERLIGAÇAO. ......................................................66
FIGURA 18 – DIAGRAMA DA PLANTA 3. ................................................................68
FIGURA 19 – DIAGRAMA PROPOSTO....................................................................70
FIGURA 20 – MODOS DE FALHA DA ARQUITETURA 2oo3. .................................72
FIGURA 21 – ÁRVORE DE FALHA DE UMA ARQUITETURA 2oo3 PARA OS
CANAIS A e B. ..........................................................................................................72
FIGURA 22 – FLUXOGRAMA DO ALGORITMO DO CANAL DE AQUISIÇÃO. .......75
FIGURA 23 – FLUXOGRAMA DA FUNÇÃO DE TRATAMENTO DA INTERRUPÇÃO
SERIAL 1...................................................................................................................76
FIGURA 24 - FLUXOGRAMA DA FUNÇÃO DE TRATAMENTO DA INTERRUPÇÃO
SERIAL 2...................................................................................................................77
FIGURA 25 – FLUXOGRAMA DO ALGORITMO DE CONTROLE DO CANAL DE
VOTAÇÃO.................................................................................................................79

FIGURA 26 – FLUXOGRAMA DO ALGORITMO DE SHUTDOWN DO CANAL DE
VOTAÇÃO.................................................................................................................80
FIGURA 27 – FLUXOGRAMA DA TROCA DE DADOS ENTRE O CANAL DE
AQUISIÇÃO E O WINDOWS CE. .............................................................................85
FIGURA 28 – FLUXOGRAMA DO SISTEMA DE CONTROLE. ................................86
FIGURA 29 – CURVA DE RESPOSTA DO SISTEMA EM MALHA ABERTA. ..........87
FIGURA 30 – CURVA DE RESPOSTA DO PROCESSO CONTROLADO PELO
SISTEMA...................................................................................................................89
FIGURA 31 – CURVA DE RESPOSTA DO PROCESSO CONTROLADO POR UM
CONTROLADOR INDUSTRIAL. ...............................................................................89
FIGURA 32 – DIAGRAMA ESQUEMÁTICO DO SISTEMA 2oo3. ............................91
FIGURA 33 – FLUXOGRAMA DO SISTEMA DE INTERTRAVAMENTO. ................93

LISTA DE TABELAS


TABELA 1 – NÍVEL DE INTEGRIDADE DE SEGURANÇA IEC 61508 VERSUS
DIN/VDE 19250.........................................................................................................23
TABELA 2 - SIL EM FUNÇÃO DE DISPONIBILIDADE E PROBABILIDADE DE
FALHA SOB DEMANDA ...........................................................................................33
TABELA 3 – CÁLCULO DE PFD E MTTF
sp
PARA SISTEMAS REDUNDANTES....35
TABELA 4 – TABELA DE CLPs DE SEGURANÇA CERTIFICADOS IEC 61508 .....63
TABELA 5 – EQUIPAMENTOS E SUAS FUNÇÕES. ...............................................68
TABELA 6 – CONJUNTO DE CARACTERÍSTICAS UTILIZADAS PARA A
CONSTRUÇÃO DA IMAGEM NO WINDOWS CE. ...................................................82
TABELA 7 – TABELA VERDADE DE SAÍDA DE CADA CANAL DE
PROCESSAMENTO DADA AS ENTRADAS (SA,SB e SC)......................................91
TABELA 8 – FALHAS SEGURAS.............................................................................94
TABELA 9 – FALHAS PERIGOSAS..........................................................................95


LISTA DE SIGLAS


AIChE - Instituto Americano de Engenheiros Químicos
ALARP - As Low as Reasonably Possible
ANSI - American National Standards Institute
API - American Petroleo Institute
CCPS - Center for Chemical Process Safety
CE - Compact Edition
CLP - Controlador Lógico Programável
CO - Saída de Controle
CPU - Unidade Central de Processamento
DIN - Deutsches Institut fur Normung
EPA - Environment Program Agency
ESD - Emergency Shutdown
FMEA - Análise de Modos e Falhas e seus Efeitos
HAZOP - Hazard Operability
IEC - International Electrotechnical Commmission
ISA - Instrumentation and Automation Society
LED - Diodo Emissor de Luz
LCD - Liquid Crystal Display
MMU - Memory Management Unit
MTBF - Tempo Médio entre Falhas
MTTF - Tempo Médio de Falha
MTTR - Tempo Médio de Reparo
MV - Variável Manipulada
NFPA - National Fire Protection Agency
NMR - Redundância Modular N
OMAC - Open, Modular, Architecture Control
OSHA - Occupational Safety and Heath Organization
PC - Personal Computer
PES - Sistema Eletrônico Programável
PFD - Probabilidade de Falha sobre Demanda
PHA - Process Harzard Analysis

PID - Proporcional, Integral e Derivativo
PSM - Risc Management Program
PV - Variável do Processo
PWM - Pulse Width Modulation
RRF - Fator de Redução de Risco
SAFE - Safety Function Evaluation
SDCD - Sistema Digital de Controle Distribuído
SIL - Nível de Integridade de Segurança
SIS - Sistema de Intertravamento de Segurança
SP - Set Point
TMR - Redundância Modular Tripla
TR - Technical Report
TUV - Technische Uberwachungs Verein
USB - Universal Serial Bus
WDT - Watchdog Timer
Win API - Application Programming Interface



SUMÁRIO


1. INTRODUÇÃO......................................................................................................15
1.1. OBJETIVOS GERAIS.....................................................................................17
1.2. OBJETIVOS ESPECÍFICOS...........................................................................17
1.3. ESTRUTURA DA DISSERTAÇÃO.................................................................18
1.4. ETAPAS METODOLÓGICAS.........................................................................18
2. REVISÃO DA LITERATURA................................................................................20
2.1. OS SISTEMAS DE SEGURANÇA NOS PROCESSOS INDUSTRIAIS..........20
2.2. NORMAS ATUAIS PARA SIS.........................................................................21
2.3. ANÁLISE DO RISCO......................................................................................23
2.3.1. Perigo (Hazard) .........................................................................................23
2.3.2. Risco .........................................................................................................24
2.3.3. Conceitos de Risco....................................................................................25
2.4. DEFINIÇÕES SOBRE SISTEMAS DE SEGURANÇA (SIS)...........................27
2.4.1. Falhas........................................................................................................29
2.4.2. Análise Quantitativa e Qualitativa..............................................................31
2.4.3. Probabilidade de Falha sobre Demanda (PFD).........................................32
2.4.4. Análise de Sistemas..................................................................................35
2.4.4.1. Análise de um Sistema a Rele.............................................................35
2.4.4.2. Análise de um Sistema com Controlador Lógico Programável não
redundante .......................................................................................................36
2.4.4.3. Análise de um Sistema de Redundância Tripla (TMR)........................38
2.4.5. Causa Comum ..........................................................................................39
2.5. TIPOS DE REDUNDÂNCIA............................................................................40
2.5.1. Redundância de Hardware........................................................................41
2.5.2. Redundância de Software .........................................................................43
2.5.3. O Impacto da Redundância.......................................................................45
2.6. SISTEMAS EMBARCADOS...........................................................................46
2.6.1. Sistema de Tempo Real ............................................................................47
2.6.2. Windows CE..............................................................................................48
2.7. SISTEMA DE CONTROLE.............................................................................51
2.7.1. Malha Aberta.............................................................................................52

2.7.2. Malha Fechada..........................................................................................53
2.7.3. Controlador PID.........................................................................................54
2.7.4. Controle em Tempo Real ..........................................................................55
3. MATERIAIS E MÉTODOS....................................................................................56
3.1. INTRODUÇÃO................................................................................................56
3.2. ESCOLHA DA TECNOLOGIA E DA ARQUITETURA ....................................57
3.2.1. SIS Pneumáticos.......................................................................................58
3.2.2. SIS a Rele .................................................................................................59
3.2.3. SIS de Lógica Fixa em Estado Sólido .......................................................60
3.2.4. SIS Microprocessado (CLP) ......................................................................62
3.3. PROPOSTA DE UM SISTEMA TOLERANTE A FALHAS..............................64
3.3.1. Planta Didática ..........................................................................................67
3.3.2. Comparação do Sistema com CLP Industrial de Controle ........................70
3.3.3. Obtenção de Dados para o Cálculo da PFD .............................................71
3.4. AQUISIÇÃO DA PFD......................................................................................71
4. IMPLEMENTAÇÃO E RESULTADOS .................................................................74
4.1. CANAL DE AQUISIÇÃO.................................................................................74
4.2. CANAL DE VOTAÇÃO...................................................................................77
4.3. CANAL DE PROCESSAMENTO....................................................................81
4.3.1. Criando a Imagem do Windows CE...........................................................81
4.3.2. Criando o Disco de BOOT.........................................................................83
4.3.3. Efetuando o BOOT Local ..........................................................................83
4.3.4. Criando um Novo Projeto ..........................................................................83
4.4. SISTEMA DE CONTROLE.............................................................................84
4.5. SISTEMA DE INTERTRAVAMENTO..............................................................90
5. CONCLUSÕES E TRABALHOS FUTUROS........................................................96
REFERÊNCIAS.........................................................................................................99
ANEXO A................................................................................................................103
APÊNDICE A..........................................................................................................105
APÊNDICE B..........................................................................................................107


15
CAPÍTULO 1


1. INTRODUÇÃO


O projeto de sistemas instrumentados de segurança ou sistemas de
intertravamento de segurança (shutdown) era relativamente simples há trinta anos
atrás (CCPS,1993), sem falar que não havia normas industriais sobre o assunto. De
um modo geral a escolha recaía sobre reles. Mas a evolução não ocorre por acaso,
nem apenas do desenvolvimento da consciência de que os acidentes podem e
devem ser evitados. Infelizmente, é a partir de acidentes ocorridos nas indústrias de
processos que se verificou que os sistemas de segurança normalmente empregados
nas instalações industriais deixavam a desejar.
Após alguns acidentes fatais, como perdas de vidas humanas e agressão ao
meio ambiente começaram-se a por em prática o conhecimento em segurança e o
desenvolvimento de novos sistemas. Isso refletiu em normas nacionais e
internacionais no desenvolvimento de produtos (hardware e software) específicos
para serem usados na concepção e na arquitetura de novos projetos de instalações.
Os trabalhos nesta área começaram há cerca de dez anos, tanto nos Estados
Unidos como em outros países. O tema comum nas normas recentes é: “quanto
maior o risco do processo, tanto melhor devem ser os sistemas necessários para
controlar tal risco” (GRUHN;CHEDDIE, 2006).
Hoje em dia, existe uma gama grande de escolhas de possíveis tecnologias
(por exemplo, tecnologias distintas, níveis de redundância, etc.), que as pessoas
ficam confusas. É comum que inicialmente projetistas adotem uma postura muito
conservadora, e demonstrem interesse em instalar os sistemas para atingir um
desempenho SIL 3. Infelizmente, quando eles percebem que os sistemas que são
certificados para atender este nível são caros, eles acabam precisando encontrar
uma outra saída, por exemplo, reavaliar a malha de controle para tentar baixar o SIL
(Nível de Integridade de Segurança), o que gera um retrabalho e custos adicionais
de projeto para as empresas.
Os sistemas SIL 1 proporcionam o menor nível de desempenho (de 90 a 99%
de disponibilidade), basicamente para atender aos baixos níveis de risco de
processos. Os sistemas SIL 3 oferecem os níveis de desempenho mais altos (de

16
99,9 a 99,99% de disponibilidade), para atender aos níveis mais elevados de risco
do processo. As normas não obrigam e nem recomendam qual tecnologia deve ser
usada, nem níveis de redundância ou intervalos de testes manuais devem ser
adotados para atender os requisitos de desempenho para níveis de integridade
distintos. Cabe ao projetista determinar quais sistemas foram projetados para
atender às condições de segurança. Alguns livros de confiabilidade como Xai, Dai e
Poh (2004) e Pham (2003), bem como, o relatório TR 84.01 da ISA e a norma IEC
61508 mostram métodos para o cálculo do desempenho de segurança de um
sistema.
Os sistemas a reles têm condições de atender aos requisitos SIL 3, mas é
raro encontrar, hoje em dia, alguém disposto a usar reles para grande sistemas. Os
sistemas baseados em software e hardware com redundância dupla e tripla também
são capazes de atender aos requisitos SIL 3. Esses sistemas também são
certificados por órgãos independentes como TUV e Exida.
A sugestão deste trabalho é partir de um hardware e de um software existente
e exaustivamente testado pelas diversas aplicações que o envolvem. A evolução
dos PCs acarreta uma alta confiabilidade de hardware e o surgimento dos sistemas
embarcado de tempo real vem aumentando as possibilidades de se ter novos
sistemas desenvolvidos a partir da arquitetura do PC que apresentem uma alta
disponibilidade e confiabilidade.
A questão é que, dentro de sistemas dedicados para SIL o processamento é
feito com microcontroladores ou microprocessadores que estão disponíveis no
mercado. Em sistemas mais antigos, pode-se encontrar microprocessadores
inferiores aos existentes e utilizados hoje em dia nos PCs. Então, a indústria de
sistema é obrigada a desenvolver todo um hardware específico e dedicado que tem
um alto custo de desenvolvimento para atingir a disponibilidade exigida. E dentro
destes hardwares existem softwares embarcados denominados firmwares que
servem para rodar o programa aplicativo desenvolvido pelo usuário.
O objetivo é utilizar a arquitetura de um PC, cuja diferença reside no sistema
operacional. Para tanto, utilizar-se-á um sistema operacional de tempo real, que
pode ser comparado com o firmware dos sistemas dedicados. Será criado um
aplicativo que irá rodar em cima deste firmware, podendo este aplicativo ser
comparado com o software desenvolvido pelo usuário.

17
Para que seja possível a interface do aplicativo desenvolvido com os
equipamentos de campo (sensores, elementos finais, etc.) serão desenvolvidas
placas que se comunicarão com o PC via um protocolo serial.
Feito isto, as normas de certificação de sistemas de intertravamento de
segurança serão seguidas para que seja possível o cálculo de disponibilidade do
sistema proposto, visando à avaliação de todo este trabalho e validação do mesmo.


1.1. OBJETIVOS GERAIS


Estudar os diferentes sistemas de redundância existentes no mercado
(sistemas pneumáticos, a reles, lógica fixa e controladores lógicos programáveis),
verificar seus funcionamentos e benefícios, analisar as vantagens e desvantagens
de tais sistemas, com isto, propor um sistema concorrente de baixo custo, mas tão
eficaz quanto. Para tanto, implementar um sistema utilizando-se de um hardware
padrão (PC) e um sistema embedded sem precisar desenvolver um sofisticado novo
hardware.


1.2. OBJETIVOS ESPECÍFICOS


Os objetivos específicos são:

• Checar os vários sistemas disponíveis no mercado;
• Propor um sistema de baixo custo com confiabilidade;
• Comparar o sistema proposto com sistemas industriais;
• Aplicar o sistema proposto em um processo real;
• Calcular a disponibilidade do sistema proposto;
• Encontrar o SIL deste sistema de acordo com a IEC 61508.
• Verificar se o sistema proposto atende as exigências industriais,
seguindo a prescrição da IEC 61508.

18
1.3. ESTRUTURA DA DISSERTAÇÃO


O restante desta dissertação está organizada em 4 capítulos. No Capítulo 2
faz-se uma revisão da literatura sobre os principais conceitos sobre nível de
integridade de sistemas, sistema operacional de tempo real. No Capítulo 3,
descrevem-se em detalhes o desenvolvimento do sistema redundante proposto. No
Capítulo 4 relatam-se os resultados obtidos. E, finalmente, o Capítulo 5 apresenta a
discussão dos resultados, as conclusões do trabalho e as propostas de trabalhos
futuros.


1.4. ETAPAS METODOLÓGICAS


A metodologia desta pesquisa esta apoiada na elaboração de um protótipo
fundamentado pela IEC 61508 que é a norma que certifica este tipo de equipamento.
A validação do mesmo foi baseada na norma em questão, para tanto, dois
experimentos serão desenvolvidos, o primeiro focando uma aplicação em controle
de processo e o segundo para um sistema de intertravamento. A Figura 1 ilustra
essas etapas metodológicas.
As etapas metodológicas da pesquisa tem por objetivo as seguintes
atividades e resultados:

1. Normas, SIL e redundância: revisão bibliográfica para encontrar a forma que é
aplicada a IEC 61508 para encontrar o SIL de uma malha de controle.
2. Pneumático, Rele, Lógica fixa, CLP redundante: Analisar as tecnologias
existentes no mercado afim de elencar as suas vantagens e desvantagens.
3. Canais de aquisição, votação e processamento: propor um sistema
redundante a falhas com uma configuração 2oo3.
4. Validação em uma malha de controle: aplicação em um processo real a fim de
comparar o sistema proposto com um sistema industrial.

19
5. Validação em um sistema de intertravamento: obter as taxas de falhas do
sistema proposto para encontrar a disponibilidade, confiabilidade e o SIL
deste sistema de acordo com a IEC 61508.


Normas, SIL,
Redundância
Revisão bibliográfica,
teórica
Avaliação de SIL de
malha de controle
Pneumático, Rele,
Lógica fixa, CLP
redundante
Análise de tecnologias
existes
Proposta de um
sistema redundante
Sistema
redundante
2oo3
Canais de
aquisição, votação
e processamento
Aplicação em um
processo real
Comparação
com um sistema
industrial
Validação em uma
malha de controle
Obtenção das
taxas de falhas
Confiabilidade,
disponibilidade, SIL
conforme IEC 61508
Validação em
um sistema de
intertravamento
Fases da pesquisa Resultados esperados Atividade metodológica
V
a
l
i
d
a
ç
ã
o
Vantagens e
desvantagens de
cada sistema
R
e
f
i
n
a
m
e
n
t
o

FIGURA 1 – ETAPAS METODOLÓGICAS.

20
CAPÍTULO 2


2. REVISÃO DA LITERATURA


2.1. OS SISTEMAS DE SEGURANÇA NOS PROCESSOS INDUSTRIAIS


Os sistemas de shutdown (ESD, SIS) para processos industriais têm evoluído
bastante nestas últimas décadas, em termos de concepção, projeto e
implementação. A evolução não é fruto do acaso, nem apenas do desenvolvimento
de uma consciência de que os acidentes podem e devem ser evitados. Infelizmente,
é a partir da análise de acidentes realmente ocorridos que se tomou conhecimento
de que os sistemas de segurança normalmente empregados em instalações
industriais deixavam a desejar (FINKEL et al., 2006).
Um fator importante, para a ocorrência do acidente, é o excesso de
autoconfiança, não só entre operadores, mas principalmente, em níveis gerenciais.
Para não parar o processo, frequentemente assumem-se riscos desnecessários, e
frequentemente o resultado é o acidente. Antes do ocorrido em Chernobil, um
primeiro ministro soviético disse textualmente: “Nossos reatores nucleares são tão
seguros que poderia-se instalar um aqui na Praça Vermelha, no centro de Moscou”
(FINKEL et al., 2006).
Após o acidente na plataforma de Piper Alfa ficou provado que não se pode
confiar na capacidade de decisão/atuação do ser humano frente ao stress de um
acidente grave. Posteriormente, estudos revelaram que, estatisticamente, quando
submetidos à forte fator de stress, seres humanos tomam iniciativas erradas em 99%
dos casos. Conclusão: o sistema de desligamento de emergência não pode
depender de acionamento manual, devem ser acionados automaticamente (FINKEL
et al., 2006).
O excesso de confiança também atinge os sistemas de segurança, que
muitas vezes não são exaustivamente testados com a frequência necessária para
garantir uma probabilidade de falha suficientemente pequena. O problema surge na
hora de testar os elementos finais. A única maneira de saber se uma válvula de

21
shutdown realmente está em boas condições de atuação, e que provavelmente vai
fechar mesmo em caso de necessidade, é comandar a válvula para fechar e
aguardar o seu fechamento completo. Mas infelizmente. isso é caro porque provoca
a parada do processo (GRUHN; CHEDDIE, 2006).


2.2. NORMAS ATUAIS PARA SIS


Segundo Gruhn e Cheddie (2006), as normas desempenham vários papéis na
execução de um projeto, principalmente em SIS. Como exemplo, pode-se citar o
auxílio à equipe de projeto, no sentido de garantir que o produto em
desenvolvimento obedeça a um determinado nível mínimo de qualidade e a função
de seleção de métodos de projeto de eficiência reconhecida.
Outras funções que podem ser citadas são promover uniformidade entre
diversas equipes de trabalho, prover guias de projeto, além de proporcionar uma
base legal no caso de disputas judiciais.
Para se certificar um sistema, normalmente, faz-se necessária a utilização de
normas apropriadas a cada aplicação. Algumas normas são genéricas e outras se
aplicam a casos particulares. Nos próximos itens são descritos os principais
objetivos de algumas das normas mais utilizadas no desenvolvimento de Sistemas
de Segurança Instrumentado.
De acordo com Finkel et al. (2006), as normas sobre Sistemas
Instrumentados de Segurança (SIS) têm como denominador comum não serem
normas prescritivas e sim orientadas para exigir que se atinja um nível de
desempenho desejado pelo sistema. Elas dizem o que precisa ser feito, mas não
como fazê-lo. Exige do profissional que as usa um conhecimento de causa bem
maior do que quem queira simplesmente seguir uma receita de "como se projeta" um
sistema. A norma pode ser aplicada com qualquer tipo de tecnologia existente ou
futura. Assim a tendência é não ser necessária se revisar a norma a cada vez que
surgir uma nova tecnologia aplicável a sistemas de segurança, o que seria
indesejável, levando-se em conta o tempo de estudo, maturação e aprovação destas
normas.

22
A exceção é a norma N-2595 (Critérios de projeto e manutenção para
sistemas instrumentados de segurança em unidades industriais) onde se tenta
manter uma prescrição de como projetar um Sistema de Segurança, inclusive
sugerindo a tecnologia a ser escolhida em função da classificação do risco envolvido
em cada malha. Assim: para malhas classe I ou II pode-se implementar o shutdown
no SDCD (Sistema Digital de Controle Distribuído), enquanto para malhas classe III
e superiores, é preciso implementar a segurança em equipamentos independentes
do SDCD.
Para malhas classe III, o sistema pode ser implementado em reles (só para
sistemas simples ou pequenos) ou em CLP (Controlador Lógico Programável) de
segurança desde que aprovado para esta classe pelo TUV (Technische
Uberwachungs Verein - ANEXO A) Organizações de Inspeção Técnica, conforme
Anexo A.
Para malhas de classe superior a III, o sistema deve ser desenvolvido em
CLP de segurança, aprovado para a classe da malha considerada, pelo TUV.
A Functional Safety - Safety Related Systems - Norma IEC 61508, da
Comissão Eletrotécnica Internacional (Européia), de 1996, abrange todos os tipos de
indústrias, incluindo medicina, transporte, nuclear, etc., e cobrindo várias tecnologias
como reles, lógica fixa em estado sólido e sistemas programáveis. A norma IEC
61511 é derivada desta, porém destinada para as indústrias de processamento em
geral.
Application of Safety Instrumented Systems for the Process Industries - ISA
TR 84.01, da ISA (The International Society for Measurement and Control), de 1996.
Norma aprovada pela ANSI, levou 11 anos em elaboração, inicialmente pretendia
cobrir apenas a parte lógica do sistema em lógica programável, mas acabou
abrangendo também os dispositivos de campo e outras tecnologias. É considerada
pelos Americanos como uma Norma Internacional. Pode vir a conflitar (ou se tornar
obsoleta ou ser substituída) pela IEC- 61511.
A Diretriz PES Guidelines (Programmable Electronic Systems for Use in
Safety Related Applications) da Secretaria de Saúde e Segurança do Reino Unido,
de 1997. Foi uma das primeiras normas publicadas a respeito do uso de PLCs em
segurança, e embora focada em Sistemas Programáveis, é aplicável a outras
tecnologias. Foi ponto de partida para a elaboração de outras normas européias e
americanas.

23
Guidelines for Safe Automation of Chemical Processes, do Centro para
Segurança do Processo (CCPS) do Instituto Americano de Engenheiros Químicos
(AIChE) de 1993. Discorre sobre o uso de SDCDs (Sistema Digital de Controle
Distribuído) e sistemas de intertravamento. Gerado por usuários, sem a interferência
de fornecedores, o que permitiu uma velocidade de trabalho superior à usual neste
tipo de comitê.
DIN/VDE 0801 é uma norma Alemã, apenas para os fabricantes dos
sistemas. Detalha exigências para fabricação baseados nos riscos calculados
conforme a norma DIN/VDE 19250, que por sua vez deve ser substituída pela IEC
61508. Os alemães têm uma agência de certificação independente, que é
praticamente a única reconhecida mundialmente, para sistemas de segurança, a
TUV.
Uma diferença significativa entre a IEC 61508 e a DIN/VDE 19250 é a
classificação dos níveis de integridade de segurança, que pode ser observada na
Tabela 1.

TABELA 1 – NÍVEL DE INTEGRIDADE DE SEGURANÇA IEC 61508 VERSUS DIN/VDE 19250
IEC 61508 Arquitetura DIN/VDE 19250
SIL 4 Lógica fixa, falha segura AK 8
AK 7
SIL 3 1oo2D, 2oo3 AK 6
AK 5
SIL 2 1oo1D AK 4
SIL 1 1oo1 com WDT AK 3
AK 2
Não definido Não definido AK 1


2.3. ANÁLISE DO RISCO


2.3.1. Perigo (Hazard)


O Instituto Americano de Engenheiros Químicos (AIChE) define perigo como
uma característica inerente físico ou químico que tem o potencial para causar danos
às pessoas, bens ou o ambiente. Ele é a combinação de um material perigoso, um

24
ambiente operacional, e certos acontecimentos não planejados que podem resultar
em um acidente.
Os perigos estão sempre presentes. Por exemplo, a gasolina é um
combustível líquido. Enquanto não existe uma fonte de ignição, a gasolina pode ser
considerada relativamente benigna. Nosso objetivo é minimizar ou eliminar eventos
ou acidentes perigosos. Por isso, não devemos armazenar gasolina perto de fontes
de ignição (GRUHN;CHEDDIE, 2006).
A N-2595 diz que perigo é uma causa potencial de dano à integridade física e
saúde, patrimônio, meio ambiente ou perda de produção (PETROBRAS, 2002).


2.3.2. Risco


De acordo com a N-2595 risco é a combinação da taxa de perigo com as
consequências do evento perigoso (PETROBRAS, 2002).
O risco normalmente é definido como a combinação da gravidade e da
probabilidade de um evento perigoso. O risco pode ser avaliado qualitativamente ou
quantitativamente (GRUHN;CHEDDIE, 2006).
Segundo Finkel et al. (2006) o risco é uma combinação de dois fatores:

• a probabilidade da ocorrência do evento indesejável;
• a consequência da ocorrência.

Assim, um evento desfavorável que ocorra com frequência, porém de
consequências mínimas, pode corresponder ao mesmo nível de risco que um evento
raríssimo, porém, de consequências catastróficas.
A aceitabilidade de um determinado nível de risco é determinada pelos
benefícios associados à aplicação crítica e, consequentemente, seus riscos, bem
como pelos esforços necessários para que se consiga a redução desses riscos.
Riscos com consequências catastróficas e que ocorram frequentemente não são
toleráveis em nenhuma hipótese. Por outro lado, riscos com consequências não
significativas, mesmo com ocorrência frequente, podem ser aceitáveis.

25
A norma IEC 61508 classifica o risco em três níveis (Comissão Eletrotécnica
Internacional (IEC), 1997):

• Risco Intolerável: as consequências do risco são intoleráveis e sua
ocorrência não pode ser justificada;
• Risco Inaceitável: as consequências do risco são inaceitáveis, embora
possam ser suportadas sob certas condições;
• Risco Negligenciável: as consequências do risco são insignificantes e
podem ser desprezadas.


2.3.3. Conceitos de Risco


Tanto para Finkel et al. (2006) como para Gruhn e Cheddie (2006), um
conceito bem difundido em Sistemas Instrumentados de Segurança, mas errôneo,
diz que todos os processos vão para o estado seguro quando os equipamentos são
desligados. Vamos analisar um exemplo, uma caldeira quando desligada deve ser
ventilada internamente para a diluição de gases combustíveis até se atingir um nível
de segurança, antes que se possa partir novamente, ou que a eventual
concentração de gases quentes junto a algum ponto mais quente dentro da caldeira
possa levar a uma ignição espontânea destes gases. É comum que ventiladores de
tiragem tenham uma alimentação de emergência para poderem ser acionadas,
mesmo que uma caldeira pare por perder sua alimentação elétrica normal.
Planta desligada não significa planta segura. O conceito que todo processo
reverte a uma condição segura quando se corta a alimentação elétrica geral da
planta, pode ser falso em muitas instalações.
Uma unidade industrial que entra em parada de emergência por uma falha no
sistema de parada de emergência, na verdade, pode estar em uma condição bem
menos segura do que o desejado. É mais seguro garantir que o SIS não provocará
muitas atuações desnecessárias.
No caso de SIS, um determinado risco é aceitável se atingir um nível baixo o
suficiente, de forma que reduções maiores não sejam justificáveis dos pontos de
vista técnico e econômico. Esse é o princípio ALARP (As Low as Reasonably

26
Possible), ou seja, o risco deve ser tão baixo quanto o razoavelmente praticável ou
implementável (IEC, 1997). É importante considerar que um risco não é aceitável se
ele puder ser facilmente reduzido. Portanto, mesmo um sistema com um nível de
risco muito pequeno pode ser considerado como inaceitável se o seu nível de risco
puder ser facilmente reduzido. Similarmente, um sistema que tenha um nível de risco
significante pode satisfazer aos requisitos se ele oferecer benefícios suficientes e
reduções do risco forem consideradas impraticáveis. A Figura 2 representa o
princípio ALARP.

Risco intolerável
Risco ALARP ou
risco tolerável
Risco justificável em
casos extraordinários
Risco amplamente
aceitável
Risco negligente - garantir que
o riso permaneça nesta região
Custo de redução
excede a melhoria
Redução de risco
impraticável ou tem custos
desproporcionais

FIGURA 2 – ALARP.
FONTE: INTECH BRASIL (2006).


O conceito do ALARP surgiu na Inglaterra, há algumas décadas, embora não
tenha sido enunciado formalmente até a uns poucos anos. Entende-se que não há
uma segurança total nem absoluta, o que se pretende fazer é sempre reduzir o nível
de risco a um nível aceitável, e não a um hipotético risco igual a zero (FINKEL et al.,
2006).
Os riscos elevados não podem ser aceitos, há que reduzi-los, obviamente.
Riscos muito pequenos podem até ser aceitos sem que se façam despesas
adicionais para reduzi-los, pois não vale à pena realizar o investimento para reduzir
riscos que em caso de acidentes, causem prejuízos pequenos. É mais barato correr
o risco do que reduzí-lo. E riscos médios, nem tão pequenos que sejam
desprezíveis, nem tão grandes que sejam absolutamente intoleráveis? Para estes a

27
técnica do ALARP recomenda simplesmente que se tome a decisão baseada no
custo e benefício.
Pode-se exemplificar da seguinte forma, se por US$ 3000 for possível reduzir
um destes riscos a um nível aceitável, sempre valerá à pena fazer este investimento,
mas se para esta função de segurança não muito crítica, for preciso gastar US$
1.000.000, talvez seja melhor economizar este dinheiro e simplesmente correr o
risco, ou reduzi-lo a um nível ainda um pouco maior do que o que seria considerado
bom. Imagine que ao classificar as funções de segurança quanto ao SIL, haja 20
funções em que se ficou em dúvida, SIL 0 ou SIL 1, enquanto outras 20 ficaram na
balança entre SIL 1 e SIL2. Revisto o projeto acabaram todas 40 em SIL 1. SIL 1
nunca se refere a riscos de vida humana ou ferimentos sérios, etc., estes teriam
sempre um SIL elevado. Se devido à condição particular daquela instalação cada
malha SIL 1 custar, por exemplo, US$ 50.000 devido a válvulas de grande diâmetro
e material muito resistente à corrosão, etc (INTECH BRASIL, 2006).
Não faz sentido projetar o SIS para atender apenas às malhas que
inicialmente se imaginava estarem entre SIL 1 e SIL 2, e economizar um milhão de
dólares não instalando o SIS para as outras malhas? Obviamente, o risco de
acidentes aumentou, mas não se está falando de acidentes fatais nem de ferimentos
graves, perdas de equipamento caro de produção, etc., pois estes deveriam ter um
SIL mais elevado (INTECH BRASIL, 2006).


2.4. DEFINIÇÕES SOBRE SISTEMAS DE SEGURANÇA (SIS)


A norma ANSI/ISA TR-84.01 exige que a indústria determine um Nível de
Integridade Desejado (SIL – Safety Integrity Level) para todas as aplicações de
Sistemas de Instrumentados de Segurança (SIS – Safety Instrumented Systems). A
determinação do SIL é uma decisão que passa pela análise de risco do processo,
(PHA – Process Harzard Analysis), e inclui a avaliação do equilíbrio entre a
probabilidade do evento, sua severidade e tolerância ao mesmo. Os métodos
utilizados para a avaliação do SIL de uma malha controle, são:



28
• Lista de verificação (Checklist);
• E se (What if);
• E se / lista de verificação (What if/checklist);
• FMEA (análise do modo de falha e seus efeitos) (failure mode and
effects analysis);
• FTA análise da árvore de falhas (fault tree analysis);
• HAZAN Analise de riscos (Hazard Analysis);
• HAZOP estudo de riscos e operacionalidade (hazard and operability
study);
• FTA HAZOP.

Nos EUA, a OSHA (Occupational Safety and Heath Organization) e a EPA
(Environment Program Agency), através de seus programas PSM (Process Safety
Management) e RPM (Risc Manegement Program) exigem que se faça uma análise
de risco do processo, e a utilize como base para tomar medidas para a proteção dos
trabalhadores, da comunidade e do meio ambiente. Um programa adequado deve
incorporar a assim chamada “Boa prática de Engenharia”, que significa na prática
seguir as normas e padrões emitidos por organizações tais como: ASME, API, ANSI,
NFPA, ASTM, etc.
Em fevereiro de 1996, a ISA editou o Standard ISA TR-84.01 “Aplicação de
Sistemas de Segurança Instrumentados nas Indústrias de Processo”. Em início de
1997, esta norma foi elevada à categoria de ANSI, ou seja, passou a ser de
aplicação legalmente obrigatória. Obedecer esta norma, nos EUA não é uma opção,
já que a não obediência pode resultar em ação civil e criminal, tanto contra as
empresas como contra os indivíduos envolvidos (GRUHN; CHEDDIE, 2006).
Tanto a norma ANSI/ISA TR-84.01 como a IEC 61508 exigem que se defina
um Nível de Integridade Desejado (SIL) para cada Sistema de Intertravamento de
Segurança.
O SIL (Nível de Integridade de Segurança) é uma classificação de risco
determinada a partir da probabilidade de falha sob a demanda. É muito importante
levar em conta o impacto da confiabilidade e o modo de falha dos instrumentos de
campo no SIL, o que frequentemente era esquecido quando se via um SIS apenas
como o equipamento eletrônico contido no gabinete do sistema de shutdown. É

29
possível correlacionar um SIL às exigências de seus respectivos SIS. A IEC 61508
reconhece 4 níveis de SIL, enquanto a TR-84.01 de 1996 só reconhece os níveis de
1 a 3 (FINKEL et al., 2006).


2.4.1. Falhas


Se analisado com atenção a ISA TR-84.01, as falhas podem ser
caracterizadas das seguintes formas:

• Falhas aleatórias: uma falha espontânea de componente (hardware).
As falhas aleatórias podem ser permanentes (existem até serem
eliminadas) ou intermitentes (ocorrem em determinadas circunstancias
e desaparecem em seguida).
• Falhas sistemáticas: uma falha escondida dentro do projeto ou
montagem (hardware ou tipicamente software) ou falhas devido a erros
(incluindo-se enganos e omissões) nas atividades de ciclo de
atividades de segurança que fazem o SIS falhar em determinadas
circunstâncias, sob determinadas combinações de entradas ou sob
uma determinada condição ambiental.
• Falha em modo comum: o resultado de um defeito em modo comum.
• Defeito em modo comum: uma única causa que pode causar falhas em
vários elementos do sistema. A única causa pode ser interna ou
externa ao sistema.

As falhas detectáveis são aquelas que o próprio SIS consegue observar sua
ocorrência, sinalizando tal fato e permitindo que se executem as devidas ações
corretivas. Falhas não detectáveis são aquelas não percebidas pelos mecanismos
de detecção e que permanecem residentes no SIS.
Outra classificação das falhas, que ocorrem em SIS, dada por Globe e
Cheddie (2005), relaciona-se aos efeitos que tais falhas possam acarretar. Se as
consequências forem inseguras, a falha é dita como sendo insegura. Por outro lado,

30
se as consequências não provocarem situações inseguras, a falha é classificada
como sendo segura.
Um sistema implementado através de uma arquitetura tolerante a falhas,
normalmente supõe a existência de módulos de controle e intertravamento
redundantes. A ocorrência de uma falha do tipo inseguro e não detectável em um
dos módulos da arquitetura permanece no sistema sem, no entanto, causar
situações inseguras, pelo menos em um primeiro momento. Por outro lado, podem
ocorrer falhas compensatórias em outros módulos, ou seja, falhas que afetem o
funcionamento dos demais módulos do sistema da mesma forma que a falha
insegura do primeiro módulo.
Desta forma, o dispositivo comparador da saída de cada módulo irá ser
induzido a produzir saídas incorretas, gerando condições inseguras para o SIS. Se
este não dispuser de módulos redundantes, a falha inicialmente descrita, por si só, já
será capaz de produzir estados inseguros no SIS.
No entanto, há uma consideração que ameniza o impacto das falhas não
detectáveis e inseguras no sistema. Os circuitos integrados com alta escala de
integração possuem altas taxas de falhas, quando comparados com componentes
convencionais e mesmo circuitos integrados com pequena e média escala de
integração. No entanto, apenas uma pequena parcela dessa taxa de falhas refere-se
a situações que irão provocar estados inseguros no sistema. Isto ocorre porque a
maioria das falhas acaba por desabilitar completamente o funcionamento de um
circuito integrado, e apenas uma parcela mínima dessas falhas irá, de fato,
estabelecer condições inseguras no SIS.
A N-2595 define as falhas da seguinte forma (PETROBRAS, 2002):

• Fail Safe (Falha Segura): resultado de uma falha em um componente
ou sistema, cujo estado final deve ser mais seguro ou menos perigoso.
• Falha: não cumprimento do serviço esperado de um dispositivo.
• Falha Espúria: falha cujo resultado implica ação de pelo menos um
atuador, sem que tenha ocorrido realmente um evento iniciador que o
demandasse.
• Falha na Demanda: falha que se caracteriza pela não ação ou ação
incorreta de pelo menos um atuador, quando da ocorrência de um
evento iniciador que demande essa ação.

31
• Falha Oculta: falha cuja ocorrência só é percebida quando a ação de
uma malha de segurança é solicitada, seja por demanda ou teste.


2.4.2. Análise Quantitativa e Qualitativa


Há duas formas principais para se efetuar uma Análise de Segurança, que
são a análise do tipo qualitativo e a análise do tipo quantitativo. Antes que se
possam obter valores numéricos, através de uma análise quantitativa, é
indispensável à realização de uma análise qualitativa eficiente, sem a preocupação
de se atribuir valores às ocorrências. Uma análise quantitativa não deve desviar o
foco dos problemas existentes, tais como falhas de projeto. Uma das principais
utilidades deste tipo de análise é se fazer uma comparação entre sistemas com
funções similares.
A Análise Qualitativa procura identificar mecanismos que programem os
requisitos especificados, de forma que se mantenha o nível de segurança de um
Sistema Crítico durante sua operação (SEAMAN, 1999).
De acordo com Gruhn (2006) atualmente tem sido dada à preferência para a
técnica HAZOP (Hazard Operability), sem dúvida a melhor para identificar riscos,
porém demorada, cansativa e exige um grande volume de recursos. Se o processo
que estiver sendo analisado for bem conhecido, talvez seja melhor usar a técnica de
“listas de verificações” (check list). Se, por outro lado o processo envolver uma
grande quantidade de equipamento mecânico interdependente pode ser melhor usar
a técnica da Análise de Modos de Falhas e seus Efeitos (FMEA). Existe ainda a
técnica que é preconizada pela API (American Petroleo Institute) chamada
“Avaliação de Função de Segurança” (SAFE – Safety Function Evaluation), na qual
se preenche um mapa Safe. É uma técnica semelhante à FMEA, já que aqui
também se usa o modo de falha de cada equipamento.
A Análise de Risco deve também especificar a taxa aceitável de falha segura.
A taxa de falha segura é normalmente chamada de ”trip” falso, parada inconveniente
ou taxa de ”trips” espúreos. A taxa de falha segura ou espúrea é incluída na análise
do sistema de segurança de um sistema, já que a partida e a parada de um
processo são ocasiões com alta probabilidade de ocorrência de um evento perigoso.

32
É por isso que, em muitos casos, a diminuição de paradas espúreas aumenta
a segurança do processo. A taxa aceitável de falha segura é comumente expressa
como o tempo médio para uma falha segura ou espúrea (MTTF
sp
). As falhas seguras
são também muito indesejáveis por reduzirem a produção, causar refugos e outros
problemas que variam em função de cada processo considerado (FINKEL et al.,
2006).


2.4.3. Probabilidade de Falha sobre Demanda (PFD)


Se o risco inerente ao processo for considerável aceitável, não existe
necessidade de reduzi-lo, mas se ele for considerado maior do que aceitável é
preciso reduzi-lo. Uma primeira atitude é procurar alterar o processo, ou seu
controle, se isso não resolver, deve-se usar dispositivos de segurança autônomos,
como válvula de alívio de pressão, discos de rupturas e etc.
Se tudo isso não resolver, então deve-se projetar o SIS para reduzir o risco a
um nível aceitável. Este estudo de risco e redução do fator de risco (RRF – Risk
Reduction Factor) antecede à especificação do SIS e deve ser feito para cada
função de segurança (SIF - Safety Instrumented Function) (GRUHN;CHEDDIE,
2006).
PFD é a probabilidade de uma malha de segurança falhar em resposta a uma
demanda (N-2595, PETROBRAS, 2002).

Segundo Finkel et al. (2006, p. 579), “O conceito de disponibilidade é
bastante difundido. Assim, se um equipamento tem uma disponibilidade de
99%, significa que ele pode operar durante 99% do tempo disponível
durante sua vida útil, e estará inoperante durante o 1% restante”.

Partindo da idéia de que poderá ocorrer um acidente quando houver uma
demanda do SIS e ele estiver indisponível. Então, o risco de ocorrer um acidente fica
dependendo da PFD e da frequência da demanda.




33
Então, pode-se dizer que:

, D PFD − =1 (1)
onde D é a disponibilidade.

,
PFD
RRF
1
= (2)
onde RRF é o fator de redução de risco.

De acordo com Gruhn e Cheddie (2006) SISs devem ser projetados para
falhar em uma direção segura em caso de falha de um componente individual, perda
de sinal, e perda da alimentação de energia (elétrica ou ar de instrumentação).
Exceto para aquelas poucas aplicações necessitando de uma configuração de
energizado para parar, exemplo: válvula de controle ar para fechar. SISs devem ser
projetados para paralisar o processo em caso de falta de energia. Se a aplicação
demanda circuitos que são energizados para parar, é necessário um diagnóstico
especial e um sistema de suprimento de energia back-up.
A Tabela 2 mostra como são distribuídos os níveis do SIL.

TABELA 2 - SIL EM FUNÇÃO DE DISPONIBILIDADE E PROBABILIDADE DE FALHA SOB
DEMANDA
Nível de
integridade (SIL)
Disponibilidade
(segura) desejada
PFD RRF
4
3
2
1
99,99 %
99,90 a 99,99 %
99,00 a 99,90 %
90,00 a 99,00 %
0,01%
0,01 a 0,1 %
0,1 a 1 %
1 a 10 %
>10.000
1.000 a 10.000
100 a 1.000
10 a 100
FONTE: FINKEL et al. (2006) – IEC 61508.

A taxa de falha é normalmente representada pela letra grega minúscula
lambda (λ). É comum a utilização de unidades de "falhas por milhão
de horas" ou "falhas por ano" (GLOBE;CHEDDIE, 2005).


34
Segundo Piazza (2000) a taxa de falhas é a frequência com que as falhas
ocorrem num certo intervalo de tempo. É medida pelo número de falhas para cada
hora de operação ou número de operações do sistema.

.
ano por horas
ano por falhas de Número
= λ (3)

Goble (1998) demostra que uma taxa constante de falha está relacionada
com MTTF (tempo médio de falha) de acordo com a equação abaixo.

.
MTTF
1
= λ (4)

Mean Time to Repare (MTTR) é um termo criado para incluir claramente tanto
tempo de detecção de diagnóstico e tempo real de reparo. Na verdade MTTR é uma
estimativa de tempo para, reconhecer e identificar a falha; tempo para obter peças
sobressalentes; tempo para adquirir pessoas para a equipe; tempo real para fazer o
reparo; tempo para documentar todas as atividades, e tempo para obter os
equipamentos em funcionamento.
O tempo médio entre falhas (MTBF) é definido como a média de tempo
de uma falha mais o tempo médio de reparação. Inclui o tempo de falha, o tempo
necessário para detectar a falha, e tempo real de reparação.

. MTTR MTTF MTBF + = (5)

.
Total Tempo
Disponível Tempo
idade Disponibil = (6)

( )
.
el Indisponív Disponível Tempo
Disponível Tempo
idade Disponibil
+
= (7)

( )
,
MDT MTBF
MTBF
D
+
= (8)
onde MDT é o tempo médio indisponível.

35

( )
,
MTTR MTBF
MTTF
S
+
= λ (9)
onde λ
s
é a taxa de falha segura.

Para falhas perigosas, o tempo indisponível deve englobar não apenas o
tempo para reparo, mas também o tempo de “descoberta”, ou seja, o tempo
decorrido antes que se torne conhecimento da existência do problema.

,
|
|
¹
|

\
|
+ |
¹
|

\
|
+
=
MTTR
TI
MTBF
MTBF
d
2
λ (10)
onde TI é o intervalo de testes e λ
d
é igual a falha perigosa.

Estas fórmulas somente são validas para sistemas simples, não redundantes
(Finkel et al., 2006).
Para sistemas redundantes pode-se seguir a Tabela 3.

TABELA 3 – CÁLCULO DE PFD E MTTF
sp
PARA SISTEMAS REDUNDANTES
Configuração MTTF
sp
PFD
1 de 1
1 de 2
2 de 2
2 de 3
1/λ
s
1/(2*λ
s
)
1/(2*λ
s
2
* MTTR)
1/(6*λ
s
2
* MTTR)
λ
d
* (TI/2)
((λ
d
)
2
* (TI)
2
) / 3
λ
d
* TI

d
)
2
* (TI)
2

FONTE: FINKEL et al. (2006) – IEC 61508.


2.4.4. Análise de Sistemas


2.4.4.1. Análise de um Sistema a Rele


Assumindo que um rele industrial tenha um MTBF de 100 anos. Assumir-se-á
que se tenha um rele para cada entrada e saída no sistema. Irá se trabalhar com 8

36
entradas e 2 saídas, logo, irá se adicionar a taxa de falha segura de 10 reles.
Assumindo um rele com 98% de taxa de falha segura.

( ). ,
,
anos 10 anos 2 10
10 98 0
100
1
1 1
=
∗ ∗ |
¹
|

\
|
= =
S
sp
MTTF
λ


Quando há uma demanda de desligamento do sistema, ela vem em uma
entrada apenas, as oito entradas não são acionadas ao mesmo tempo. Logo, dever-
se-á incluir apenas uma entrada e as duas saídas no modelo específico. Isso
equivale a apenas três reles. Como os reles não têm diagnósticos, todas as falhas
inseguras são inseguras e não detectáveis (GRUHN;CHEDDIE, 2006). A
probabilidade de falha sobre demanda, o fator de redução de risco e a
disponibilidade são calculados como mostrado abaixo:


|
¹
|

\
|
∗ =
2
TI
PFD
d
λ
|
¹
|

\
|
∗ ∗ ∗ |
¹
|

\
|
=
2
ano 1
3 02 0
100
1
, PFD
4
3

= e PFD
3300
1
= =
PFD
RRF
PFD D − =1
( )
4
3 1

− = e D
%. , , 97 99 9997 0 = = D


2.4.4.2. Análise de um Sistema com Controlador Lógico Programável não
redundante


Substituindo o sistema à rele por outro que utiliza um CLP de propósito geral,
considerando:

37
MTBF da CPU = 10 anos.
MTBF do módulo de I/O = 50 anos.
Taxa de falha segura da CPU = 60%.
Taxa de falha segura do módulo de I/O = 75%.

anos, 11
2 75 0
50
1
6 0
10
1
1 1
=
|
|
¹
|

\
|
∗ ∗ |
¹
|

\
|
+
|
|
¹
|

\
|
∗ |
¹
|

\
|
= =
, ,
S
sp
MTTF
λ

2: representa 2 módulos de I/O.

Assumindo um diagnóstico de cobertura de 90% da CPU e 50% para o
módulo de I/O. Assumindo-se que o PLC é realmente testado manualmente
anualmente.


|
¹
|

\
|
∗ =
2
TI
PFD
d
λ
|
¹
|

\
|

(
¸
(

¸

|
|
¹
|

\
|
∗ ∗ ∗ |
¹
|

\
|
+
|
|
¹
|

\
|
∗ ∗ |
¹
|

\
|
=
2
ano 1
5 0 25 0 2
50
1
1 0 4 0
10
1
, , , , PFD
3
5 4

= e PFD ,
220
1
= =
PFD
RRF
PFD D − =1
( )
3
5 4 1

− = e D ,
%. , , 55 99 9955 0 = = D

Neste caso, verifica-se um desempenho de um sistema com CLP mais baixo
do que um a rele. Assumindo que o CLP é realmente testado uma vez por ano (o
que é um pressuposto excessivamente otimista para muitos sistemas). Um módulo
de I/O com cobertura de diagnóstico de 50%, o que também é um pressuposto
otimista para muitos sistemas de propósito geral. Mas, se percebe que CLPs de
utilização geral são bons para intertravamento e ainda controle (GRUHN;CHEDDIE,
2006).

38
2.4.4.3. Análise de um Sistema de Redundância Tripla (TMR)


Assumindo os mesmos MTBFs de um CLP sem redundância e as mesmas
taxas de falhas, pois o hardware é essencialmente o mesmo, só que no CLP
redundante existe mais CPU e mais canais de comunicação. A configuração deste
TMR é 2oo3.

( ) ( ) MTTR
MTTF
S
sp
∗ ∗
=
2
6
1
λ

|
|
¹
|

\
|

(
¸
(

¸

|
|
¹
|

\
|
∗ ∗ |
¹
|

\
|
+
|
|
¹
|

\
|
∗ |
¹
|

\
|

=
horas/ano 8760
horas 4
2 75 0
50
1
6 0
10
1
6
1
2
, ,
sp
MTTF
. . anos 000 45 =
sp
MTTF

Adotando um diagnóstico de cobertura de 99% para a CPU e para o módulo
de I/O, algo que poderá não acontecer em alguns sistemas. Assumindo que o CLP é
realmente testado manualmente anualmente.

( ) ( )
2 2
TI PFD
d
∗ = λ
2
2
2
ano 1
01 0 25 0 2
50
1
01 0 4 0
10
1
|
¹
|

\
|

(
¸
(

¸

|
|
¹
|

\
|
∗ ∗ ∗ |
¹
|

\
|
+
|
|
¹
|

\
|
∗ ∗ |
¹
|

\
|
= , , , , PFD
8
25 6

= e PFD ,
000 000 16
25 6
1
8
. .
,
= =

e
RRF
%. , , ) , ( 9999375 99 999999375 0 25 6 1
8
= = − =

e D

Os cálculos indicam que o sistema TMR tem um tempo médio entre “trips” de
45.000 anos, e um fator de redução de risco superior a dez milhões, isto daria mais
do que SIL 4. É importante advertir que estes não são certificados para uso em SIL
4. A norma IEC 61508 é cautelosa para nível de integridade maior que SIL 4
(GRUHN;CHEDDIE, 2006).


39
2.4.5. Causa Comum


Uma falha pode acarretar uma falha geral do sistema redundante. Exemplos
ambientais típicos são calor, vibração, excesso de tensão, etc. Um método de
quantificar causa comum é referido como o fator β. Este fator representa a
percentagem de falhas identificadas em uma parte do sistema que pode impactar em
canais múltiplos, e o sistema poderá falhar de uma só vez. Por exemplo, se um
sistema redundante tem um fator β = 1%, isso significa que, todas as falhas
identificadas, das quais 1% poderia ocorrer em vários canais ao mesmo tempo e
fazer todo o sistema falhar. 1% é suficiente para preocupar-se? E cerca de 10%?
(FINKEL et al., 2006).
Causa comum pode ser definida como um único problema que afeta múltiplos
componentes. Como mostrado na Figura 3 (A, B e C), representam um sistema
triplo. No entanto, se o item D falhar, todo o sistema falha. Este fator representa o
percentual de falhas identificadas em uma fatia do sistema que irá afetar todo o
sistema. O fator β foi derivado a partir de estudos empíricos. Smith (1997) sugere
um intervalo típico para β = 20% quando se utiliza componentes idênticos
redundantes (como é feito com a maioria dos sistemas).

A
B
C
D
Canal de
Votação

FIGURA 3 – CAUSA COMUM.
FONTE: GRUHN e CHEDDIE (2006).


40
Segundo Zio (2007), a confiabilidade de um sistema em paralelo é a
probabilidade de um ou mais caminhos serem operacionais. Um sistema paralelo é
um sistema em que não se considera haver falhas, a menos que todos os
componentes tenham falhado. Como se observa na Figura 3, as falhas em um
componente não influenciam na confiabilidade dos sistemas sobreviventes.
Uma configuração k-saída-de-n exige que pelo menos k módulos de um total
de n devem estar operacionais para que o sistema esteja em funcionamento.
Normalmente, um eleitor (votador) é necessário, se o eleitor é perfeito e todos os
módulos possuem confiabilidade R, a equação para avaliar a confiabilidade desses
blocos é (XIE; DAI; POH, 2004):

, ) (
)! ( !
!
i n i
n
k i
p p
i n i
n
R

=


=

1 (11)
onde R é a confiabilidade do sistema, n é o número de unidades e p é a
confiabilidade de cada unidade.


2.5. TIPOS DE REDUNDÂNCIA


Um componente é sujeito à falha em qualquer modo, aberto ou fechado. A
redundância pode ser utilizada para aumentar a confiabilidade de um sistema sem
qualquer alteração na confiabilidade dos componentes individuais que formam o
sistema (PHAM, 2003).
Segundo Piazza (2000), a confiabilidade de um sistema é a probabilidade de
que, quando em operação sob condições ambientais estabelecidas, o sistema
apresentará uma performance desejada (sem falhas) para um intervalo de tempo
especificado e a redundância é a existência de mais de um meio para se atingir um
objetivo determinado.
Finkel et al. (2006) comenta que a redundância deve ser utilizada para
fornecer um sistema em operação constante, embora um ou mais instrumentos
possam falhar.
A N-2595 sugere que técnicas de utilização de diferentes tecnologias,
projetos, fabricação, software, firmware, etc., podem ser usados para se reduzir à

41
influência das falhas de causa comum. Exemplos de métodos que podem ser
utilizados para se obter a redundância diversa (PETROBRAS, 2002):

• medição de diferentes variáveis de processo, tais como pressão e
temperatura, nos casos onde o relacionamento entre as variáveis é
bem determinado e conhecido;
• uso de diferentes tecnologias de medição sobre a mesma variável de
processo, tais como medição de vazão por vortex e coriolis;
• uso de diversidade geográfica, isto é, rotas alternativas para meios de
comunicação redundantes.

Para Storey (1996), a forma mais utilizada para a prevenção dos efeitos de
falhas é a utilização de módulos redundantes. A redundância de hardware implica
inclusão de circuitos de hardware adicionais ao mínimo necessário para o
funcionamento do sistema e a redundância de software implica geração de versões
distintas do software do sistema ou de partes desse software, sempre se baseando
em uma especificação comum.


2.5.1. Redundância de Hardware


O emprego de redundância em um Sistema Instrumentado de Segurança
consiste na utilização de componentes auxiliares com a finalidade de realizar as
mesmas funções desempenhadas por outros elementos presentes no sistema. A
finalidade principal da utilização de redundância nesses sistemas é a prevenção de
condições ou estados inseguros.
Embora a redundância sempre implique na adição de novos componentes,
deve-se fazer o possível para não aumentar a complexidade do sistema, de forma a
não se ter efeito contrário, ou seja, diminuição da confiabilidade e da segurança do
sistema. Conforme colocado em Johnson (1989), a redundância de hardware pode
ser implementada através de três formas básicas:


42
• Redundância estática: utiliza o mascaramento de falhas como principal
técnica. O projeto é feito de forma a não requerer ações específicas do
sistema ou de sua operação em caso da ocorrência de falhas. Todos
os elementos executam a mesma tarefa e o resultado é determinado
por votação. Exemplos são TMR (Triple Modular Redundancy) e NMR
(N Modular Redundancy);

Saída
Entrada
Digital
Entrada
Digital
Entrada
Digital
Sensores Atuadores
Saída
Saída
Unidade central de
processamento A
Unidade central de
processamento B
Unidade central de
processamento C


FIGURA 4 – SISTEMA DE REDUNDÂNCIA MODULAR TRIPLA.

Um sistema paralelo sério consiste de m caminhos paralelos e cada caminho
possui n unidades conectadas em séries. Para calcular a confiabilidade utiliza-se a
equação12 (ZIO, 2007).

, ) (
m n
p R − − = 1 1 (12)
onde R é a confiabilidade e p é a confiabilidade de cada unidade.

• Redundância dinâmica: implica na detecção de falhas, caso em que o
sistema deve tomar alguma ação para anular seus efeitos, o que
normalmente envolve uma reconfiguração do sistema. Costuma ser
usada em aplicações que suportam permanecer em um estado errôneo
durante um curto período de tempo, tempo esse necessário para a
detecção do erro e recuperação para um estado livre de falhas. Um
exemplo de implementação de redundância dinâmica é através de
módulos estepes (hot standby).


43
CPU A CPU B
Chave
Entrada/
Saída
Instrumentos
de campo
Sinal digital/
analógico

FIGURA 5 – SISTEMA HOT STANDBY.

• Redundância híbrida: consiste na combinação de técnicas estáticas
com técnicas dinâmicas. Utiliza mascaramento de falhas para prevenir
que erros se propaguem, detecção de falhas e reconfiguração para
remover, do sistema, unidades com falha.


2.5.2. Redundância de Software


Simplesmente replicar softwares idênticos pode não ser uma estratégia muito
eficaz. Rotinas idênticas de software vão apresentar erros idênticos. Logo, não basta
copiar um programa e executá-lo em paralelo ou executar o mesmo programa duas
vezes.
Um problema que surge é a falta de uma metodologia de eficiência
reconhecida para a avaliação da segurança do software para os sistemas que
precisam de segurança e que tem o software como componente crítico.
Pode-se dizer que a falta de experiência em especificações de software e das
especificações em relação ao ambiente de aplicação representa um grave problema,
fazendo com que o sistema atinja situações imprevistas, como consequência de
procedimentos operacionais incorretos, de mudanças não esperadas no ambiente
operacional, ou ainda de modos de falhas não previstas do sistema (JAFFE et al.,
1991).

44
Um caminho para se definir e avaliar melhor o conceito de segurança do
software é através da definição de um conjunto de fatores que consigam representar
adequadamente o conceito de segurança (KITCHENHAM; PELEEGER, 1996).
Em função da dificuldade da comprovação da não existência de falhas na
implementação de um software, em relação à sua especificação, são utilizadas
técnicas de redundância de software, cujo objetivo é tornar o software mais robusto
em relação à segurança, ou seja, tolerante a falhas porventura ainda existentes
(JOHNSON, 1989).
Segundo Burns e Wellings (1997) surge outras formas de redundância em
software:

• Diversidade: também chamada programação diversitária, é uma
técnica de redundância usada para obter tolerância à falhas em
software. A partir de um problema a ser solucionado são
implementadas diversas soluções alternativas, sendo a resposta do
sistema determinada por votação (CHEN; AVIZIENIS, 1978).
• Blocos de recuperação: nessa técnica programas secundários só serão
necessários na detecção de um erro no programa primário. Essa
estratégia envolve um teste de aceitação. Programas são executados e
testados um a um até que o primeiro passe no teste de aceitação. A
estratégia de blocos de recuperação tolera n-1 falhas, no caso de
falhas independentes nas “n” versões. Como mostrado na Figura 6:

Versão
Secundária
n - 1
Versão
Secundária
n
Versão
Primária
Resultado
Chave
n para 1
Teste de
Aceitação
Programas são executados e testados um a um
até o primeiro passar no teste de aceitação
Versões secundárias só são necessárias
se for detectado erro no primário

FIGURA 6 – BLOCOS DE RECUPERAÇÃO.

45
2.5.3. O Impacto da Redundância


De acordo com Gruhn e Cheddie (2006, p. 139), “Duplo nem sempre é
melhor do que simples, e triplo nem sempre é melhor do que duplo.”
Conforme mostrado na Figura 7,


FIGURA 7 – O IMPACTO DA REDUNDÂNCIA.
FONTE: GRHUN e CHEDDIE (2006).


Analisando um sistema sem redundância, 1oo1, conforme indicado na Figura
7, um exemplo de falha segura é quando o rele de contato abre e desenergiza o
sistema causando um “trip”. Assumindo uma probabilidade de falha segura de 4%
pelo período de um ano, significa que o sistema tem um MTTF (seguro) de 25 anos.
Um exemplo de falha perigosa é quando o rele de contato não abre quando
necessário não desenergizando o sistema. Assumindo uma probabilidade de falha
perigosa de 2% pelo período de um ano, significa que o sistema tem um MTTF
(perigoso) de 50 anos.
Um sistema 1oo2 tem suas saídas em série, isto quer dizer que o sistema
precisa que pelo menos uma saída atue para que o sistema faça o shutdown, desta
forma, a probabilidade de falha segura dobra para 8%, diminuindo o MTTF (seguro)
para 12,5 anos. Mas, para ocorrer uma falha perigosa, ele precisa que 2 eventos

46
ocorram simultaneamente, então, a probabilidade de ocorrer uma falha perigosa é
(0,02 * 0,02) = 0,0004 o que faz com que o MTTF (perigoso) fique igual a 2.500
anos. Em outras palavras, um sistema 1oo2 é realmente muito seguro, mas aumenta
a probabilidade de “trip” do processo.
Em sistemas 2oo2, os canais são ligados em paralelo, quando precisa-se
desenergizar o sistema e um contato estiver colado, não irá ocorrer o shutdown
caracterizando uma falha perigosa, como este sistema tem duas vezes mais
hardware que um sistema simples, ele tem o dobro de probabilidade de ocorrer uma
falha perigosa 4% que resulta em um MTTF (perigoso) de 25 anos. Para este
sistema sofrer um “trip” é necessário que ocorra uma falha segura nos dois canais. A
probabilidade de ocorrer dois eventos ao mesmo tempo é calculada pela
probabilidade de um único evento ao quadrado, logo, (0,04 * 0,04) = 0,0016 que
corresponde a um MTTF (seguro) de 625 anos. Esta configuração reduz as paradas
desnecessárias, mas aumenta o risco das falhas perigosas.
O Sistema 2oo3 é um sistema de votação por maioria, o que dois ou mais
canais decidir é o irá acontecer com o sistema. Um sistema 1oo2 precisa ter duas
falhas simultâneas para ocorrer uma falha perigosa, o 2oo3 também, como este
sistema é triplo então ele tem três vezes mais dupla combinações de falha (A + B, A
+ C, C + B), logo, a probabilidade de falha perigosa dele é de 3 * 0,0004 = 0,0012
fornecendo um MTTF (perigoso) de 833 anos. Agora, em sistema 2oo2 para
acontecer um “trip” ele necessita que aconteçam falhas seguras nos dois canais,
novamente o sistema 2oo3 triplicou a dupla falha segura do sistema 2oo2 gerando
uma probabilidade de 3 * 0,0016 = 0,0048 apresentando um MTTF (seguro) de 208
anos (GRUHN; CHEDDIE, 2006).


2.6. SISTEMAS EMBARCADOS


Sistemas embarcados são geralmente projetados para aplicações
específicas, são o oposto dos sistemas construídos para aplicações genéricas. Os
computadores pessoais são exemplos de sistemas de uso geral, projetados para
atender várias aplicações distintas. São sistemas sujeitos a uma atualização
contínua do software a ser executado, o que não ocorre nos sistemas embarcados,

47
uma vez programada uma aplicação específica, esta não sofrerá modificações ao
longo da sua vida. Por exemplo, não se espera o melhoramento do software de um
forno microondas após a sua venda. Contudo, com a evolução da complexidade dos
sistemas embarcados, observa-se, cada vez mais, a necessidade de atualizações
frequentes dos aplicativos a serem executados nos mesmos. Como o caso dos
telefones celulares, que incorporam gradualmente diversas modificações no software
executado.
A demanda por equipamentos inteligentes e soluções dedicadas, capazes de
apresentar resultados eficientes para problemas, transforma a utilização de
microprocessadores e sistemas embarcados em uma parcela importante do
mercado de computação. Desta maneira, a demanda por sistemas operacionais
embarcados que tenham a capacidade de comandar novos dispositivos e
equipamentos é crescente e irreversível (ORTIZ, 2001).
Um sistema embarcado é uma junção do hardware e do software de um
computador, projetados para executar uma tarefa específica (BARR, 1999).


2.6.1. Sistema de Tempo Real


É importante diferenciar Sistema de Tempo Real e Sistema Operacional de
Tempo Real. Sistema de Tempo Real é um conjunto de todos os elementos
especificados para essa finalidade, como hardware, sistema operacional e
aplicativos. O Sistema Operacional de Tempo Real é um elemento do sistema
completo de tempo real (OLIVEIRA, 2001).
Um sistema é classificado como de tempo real quando a execução de toda e
qualquer tarefa devem se dar dentro de uma faixa de tempo estipulada a priori. Isto
é importante para que o sistema possa realizar tarefas periódicas ou reagir a
estímulos do meio sempre dentro de um tempo previsível. No caso da automação
industrial esse tempo depende das constantes de tempo do processo a serem
controladas (OLIVEIRA, 2001).
Aplicações com tempo real com restrições de tempo real são menos
interessadas em uma distribuição uniforme dos recursos e mais interessadas em
atender requisitos, tais como, períodos de ativação e deadlines. Essas aplicações

48
são usualmente organizadas na forma de várias threads ou tarefas concorrentes,
logo um requisito básico para os sistemas operacionais de tempo real é oferecer
suporte para tarefas e threads (OLIVEIRA, 2001).
As tarefas são abstrações que incluem: um espaço de endereçamento próprio
(possivelmente compartilhado), um conjunto de arquivos abertos, um conjunto de
direitos de acesso, um contexto de execução formado pelos registradores do
processador.
As Threads são tarefas leves, únicos atributos são aqueles associados com o
contexto de execução. Portanto, o chaveamento entre duas threads de uma mesma
tarefa é muito mais rápido.
Uma aplicação tempo real é tipicamente um programa concorrente formado
por tarefas e/ou threads que se comunicam e seguem um certo sincronismo.
Existem duas grandes classes de soluções para programação concorrente: Troca de
Mensagens e Variáveis Compartilhadas.
Os Sistemas de tempo real lidam com periféricos especiais, ou seja,
diferentes tipos de sensores e atuadores, usados na automação industrial e controle
de equipamentos em laboratório. O projetista da aplicação deve ser capaz de
desenvolver os seus próprios drivers de dispositivos e incorporá-los ao sistema
operacional (OLIVEIRA, 2001).


2.6.2. Windows CE


Windows CE (Compact Edition) é uma versão da popular linha de sistemas
operacionais da Windows para dispositivos portáteis. É suportado no Intel x86 e
compatíveis como, MIPS, ARM, e processadores Super Hitachi.
Algumas características do Windows CE (MICROSOFT, 2009):

• Compacto;
• Alta velocidade em relação a outros Sistemas Operacionais;
• Interface gráfica;
• Baixo custo da licença;

49
• Ocupa pouco espaço de memória;
• Portável de forma a rodar em diversos processadores e tipos de
hardware;
• Modular (permitir uma adaptação rápida e fácil a um sistema
particular);
• Compatibilidade com a API Win32;
• Disponibiliza processamento em tempo real (crítico em determinados
sistemas embarcados);
• Implementa uma política agressiva de gestão de energia.

Oferece um controle industrial em tempo real com um trajeto de migração de
custo flexível e baixo, controlando inclusive até o chão de fábrica.
Em primeiro lugar, é baseado no mesmo Win-32 API, o que significa que os
usuários podem desenvolver aplicações usando exatamente as mesmas
ferramentas. O Windows CE continua a tradição Microsoft de fazer o sistema
virtualmente transparente. Isto significa que usuários e desenvolvedores de
aplicações gastam mais tempo sobre a funcionalidade do que para aprender sobre o
sistema operacional.
Em segundo lugar, o Windows CE tem uma tecnologia implementada
chamada COM, que possibilita a comunicação com outros dispositivos.
A Microsoft considera que seu sistema operacional é um sistema de tempo
real “hard” baseada na definição estabelecida pelo OMAC (Open, Modular,
Architecture Control): “um sistema de tempo real hard é um sistema que falhará se
seus requisitos de tempo não forem atendidos”. Estes sistemas são requeridos, sem
falhas, para satisfazer todos os requerimentos de resposta no tempo a todo o
momento sob qualquer circunstância e que se não realizados dentro de um tempo
final de execução tem efeitos catastróficos ao processo.
“Um sistema de tempo real “soft” pode tolerar variações significantes no
tempo de atendimento aos serviços do sistema como as interrupções, timers e o
escalonador” (MICROSOFT, 2009).
Tacke e Ricci (2002) mensuraram a latência e o jitter utilizando esse sistema.
A latência é uma medida do atraso que o sistema operacional leva para atender uma
tarefa. O jitter mede a variação deste atraso. Esta análise permitiu tirar algumas

50
conclusões sobre que tipos de aplicação de tempo real podem ser implementadas
utilizando o Windows CE. O teste realizado por Tacke e Ricci (2002) é bastante
simples, é gerado um sinal que por sua vez gera uma interrupção, a rotina que trata
esta interrupção atribui a um LED do circuito o valor ‘1’, então gera um evento do
Windows e em seguida coloca o mesmo LED em ‘0’. Também foi implementada uma
aplicação, com a prioridade mais alta do sistema, que trata o evento do Windows
que foi gerado pela rotina de tratamento da interrupção. Esta aplicação, da mesma
forma, atribui o valor ‘1’ a um LED e, em seguida, o coloca em ‘0’. A partir daí, foram
feitas várias medições, utilizando um osciloscópio, para calcular a latência da rotina
de interrupção e a latência da aplicação de teste. Foram feitas duas análises: uma
onde a aplicação era executada sozinha; outra onde a aplicação dividia o
processador com outra tarefa de mesma prioridade.
Este estudo permite concluir que, em aplicações onde às tarefas operam com
intervalos de tempo da ordem de mili segundos ou até um pouco menores, o
Windows CE apresenta um excelente tempo de resposta. Porém, se a aplicação
apresentar tempos da ordem de micro segundos, um estudo mais detalhado deverá
ser realizado sobre a arquitetura de hardware que será utilizada.
O Windows CE provê algumas tecnologias que são fundamentais para o
desenvolvimento de aplicações de tempo real. Algumas delas são as seguintes
(MICROSOFT, 2009):

• 256 níveis de prioridades para as “threads”: é a partir desta flexibilidade
disponibilizada pelo sistema que são implementadas as políticas de
escalonamento.
• Interrupções aninhadas: permite que interrupções de prioridade mais
alta sejam atendidas imediatamente ao invés de esperar que uma
rotina de interrupção de prioridade mais baixa termine.
• Per-thread quantums: permite que uma aplicação defina o quantum
das threads. Inversão de prioridade. É uma situação onde o uso de um
mutex, uma seção crítica, ou um semáforo por uma thread de menor
prioridade impede a execução de uma thread de mais alta prioridade
quando estas estão utilizando os mesmos recursos. Para corrigir este
tipo de situação e garantir o funcionamento correto do sistema, o
Windows CE permite que a thread de prioridade mais baixa, herde a

51
prioridade da thread de maior prioridade e utiliza-se a CPU com esta
prioridade mais alta até que se termine de utilizar o recurso.
• MMU (Memory Management Unit): é um bloco de hardware que
transforma endereços virtuais em endereços físicos. Na MMU, o valor
no registro de realocação é adicionado a todo endereço lógico gerado
por um processo na altura de ser enviado para a memória. O programa
manipula endereços lógicos; ele nunca vê endereços físicos reais. A
plataforma onde será colocada a imagem gerada pelo Plataform
Builder necessita da implementação antecipada ou já existente de
MMU.


2.7. SISTEMA DE CONTROLE


Os processos industriais exigem controle na fabricação de seus produtos. Os
processos são muito variados e abrangem muitos tipos de produtos, como por
exemplo: a fabricação dos derivados do petróleo, produtos alimentícios, à indústria
de papel e celulose, etc.
Em todos estes processos é absolutamente necessário controlar e manter
constantes algumas variáveis, tais como pressão, vazão, temperatura, nível, PH,
condutividade, velocidade, umidade, etc. Os instrumentos de medição e controle
permitem manter constantes as variáveis do processo com os seguintes objetivos:
melhoria na qualidade do produto, aumento em quantidade do produto, segurança e
melhoria do meio ambiente.
Um sistema de controle consiste em subsistemas e processos (ou plantas)
reunidos com o propósito de controlar as saídas do processo. Eles podem ser em
malha aberta ou malha fechada. Na sua forma mais simples, um sistema de controle
fornece uma saída ou resposta para uma dada entrada ou estímulo, conforme
mostrado na Figura 8.



52


FIGURA 8 – SISTEMA DE CONTROLE.
FONTE: NISE (2002).


Sistemas, que realizam medição e correção, são chamados de sistemas a
malha fechada e sistemas que não têm essas propriedades são chamados de
sistemas a malha aberta.


2.7.1. Malha Aberta


Um Sistema em malha aberta pode ser visualizado na Figura 9. Consiste em
um subsistema chamado de transdutor de entrada, que converte a forma de entrada
na usada pelo controlador. O controlador age sobre um processo ou planta. A
entrada às vezes é chamada de referência ou set-point (SP), da mesma forma que a
saída pode ser chamada de variável controlada ou manipulada (MV).
A característica que distingue um sistema a malha aberta é que este não
pode compensar a ação de uma perturbação que sejam adicionadas ao sinal
atuante do controlador.
Os sistemas a malha aberta, portanto, não corrigem os efeitos de
perturbações e são comandados unicamente com base na entrada (NISE, 2002).

Transdutor
de entrada
Entrada ou
referência
Controlador
Perturbação
+
+
Processo
ou planta
Junção
de adição
Saída ou
variável
controlada


FIGURA 9 – SISTEMA A MALHA ABERTA.
FONTE: NISE (2002).



53
2.7.2. Malha Fechada


Uma das desvantagens dos sistemas a malha aberta é a incapacidade de
corrigir os efeitos das perturbações, que podem ser superadas nos sistemas a malha
fechada. A arquitetura é mostrada na Figura 10.
O transdutor de entrada converte a forma da entrada na forma usada pelo
controlador (set-point SP), um transdutor de saída, ou sensor, mede a resposta da
saída e a converte na forma usada pelo controlador (variável do processo PV). A
primeira junção de adição adiciona algebricamente o sinal de entrada ao sinal da
saída, que chega pelo canal de realimentação, encontrando assim o sinal de erro.
O sistema a malha fechada compensa perturbações medindo a resposta de
saída, retornando esta medição através de um sinal de realimentação e comparando
essa resposta com a entrada da junção de adição. Se existir alguma diferença (sinal
de erro), o controlador age sobre a planta, por meio de um sinal atuante (sinal de
controle CO), para fazer a correção. Se não existir nenhuma diferença o controlador
não irá atuar sobre a planta, uma vez que esta é a resposta desejada.
Os sistemas a malha fechada apresentam vantagens óbvias de uma maior
precisão que os sistemas a malha aberta. Eles são menos sensíveis a ruídos, a
perturbações e a mudanças nas condições ambientais. A resposta transitória e o
erro de estado estacionário podem ser controlados de modo mais conveniente e com
maior flexibilidade nos sistemas a malha fechada (NISE, 2002).

Transdutor
de entrada
Entrada ou
referência
Controlador
Perturbação
+
+
Processo
ou planta
Junção
de adição
Saída ou
variável
controlada
Erro ou
sinal
atuante
-
+


FIGURA 10 – SISTEMA A MALHA FECHADA.
FONTE: NISE (2002).




54
2.7.3. Controlador PID


A combinação das ações Proporcional, Integral e Derivativa dá origem ao que
denomina-se de controlador PID. O objetivo é aproveitar as características
particulares de cada uma destas ações a fim de se obter uma melhora significativa
do comportamento transitório e em regime permanente do sistema controlado. O
sinal de controle gerado pelo controlador PID é assim genericamente dado em Nise
(2002) como:

,

+ + = e(t)
dt
d
Td e(t)dt
Ti
1
Kpe(t) u(t) (13)

onde
u(t) – Sinal de controle na saída do controlador (CO), no domínio do tempo;
e(t) – Sinal de erro na entrada do controlador (erro), no domínio do tempo;
Kp – Ganho Proporcional;
Ti – Tempo Integral;
Td – Tempo Derivativo.

A função de transferência do controlador PID em Nise (2002) é dada por:

, KdSE(S) E(S)
S
Ki
KpE(S) U(S) + + = (14)
onde
U(S) – Sinal de controle na saída do controlador (CO), no domínio da frequência;
E(S) – Sinal de erro na entrada do controlador (erro), no domínio da frequência;
Kp – Ganho proporcional;
Ki – Ganho integral;
Kd – Ganho derivativo.

A escolha das variáveis de controle (Kp, Ki, Kd) depende do desempenho
final do sistema. A escolha destes parâmetros é chamada de sintonia do controlador.
Existem alguns métodos de sintonia que dependem do conhecimento do processo e

55
outros métodos que são matemáticos que levam em consideração a resposta do
sistema a um sinal degrau, por exemplo, os métodos de sintonia de Ziegler e Nichols
(NISE, 2002).


2.7.4. Controle em Tempo Real


Segundo Loures (1999), controle em tempo real é a habilidade de
necessariamente e sem falhas responder a um evento dentro de um período de
tempo garantido. Por exemplo, na execução da malha de controle ilustrada na
Figura 11, deve-se garantir que a saída da controlados responda ao valor de entrada
medido dentro de um intervalo de tempo específico, conhecido como tempo de ciclo
de malha de controle.
Se este tempo é constante, então o sistema de controle é estável e com
comportamento determinístico; se varia não existe garantia quanto à estabilidade do
sistema. Portanto, fica implícito no nome “sistema em tempo real” a necessidade de
controle de tempo fornecido para que sejam lidos os sensores e atualizadas as
saídas do sistema.

Planta
A S
DAC
ADC
Sensores
Atuadores

FIGURA 11 – SISTEMA DE CONTROLE CLÁSSICO.




56
CAPÍTULO 3


3. MATERIAIS E MÉTODOS


SISTEMA TOLERANTE A FALHAS UTILIZANDO WINDOWS CE, FOCANDO
CONTROLADORES INDUSTRIAIS.


3.1. INTRODUÇÃO


No dia a dia da indústria de processo se faz mais que necessária à utilização
de sistemas tolerantes a falhas, devido ao perigo e a complexidade que alguns
processos apresentam. Logo, tem-se como objetivo, neste capítulo, apresentar uma
proposta de um sistema tolerante a falhas baseado em um sistema operacional de
tempo real, Windows CE.
Descreve-se então, a proposta do sistema de redundância tripla para a
utilização em sistemas de segurança, shutdown, demonstrando os passos
necessários para desenvolver um sistema com um baixo custo de hardware, uma
vez que este sistema será baseado na arquitetura de um computador padrão, e
ainda será demonstrada uma metodologia de escolha de SIS.
Após o desenvolvimento do mesmo irá ser calculada a PFD deste sistema,
seguindo a IEC 61508, para que este seja validado nos mesmos moldes que os
equipamentos industriais existentes hoje no mercado. Este, também será aplicado
em um controle de processo, para isso, utilizar-se-á uma planta didática que ilustra
um processo industrial, uma planta de nível.







57
3.2. ESCOLHA DA TECNOLOGIA E DA ARQUITETURA


Em projetos de sistemas de intertravamento de segurança deve-se
inicialmente fazer a análise de risco da malha de controle, de modo a identificar o
nível de integridade de segurança que aquela malha necessita. Tudo começa com a
análise da malha e a definição do SIL. Feito este levantamento surgem algumas
dúvidas em relação a qual equipamento deve-se utilizar.
Rapidamente poderia ser pensado em utilizar um sistema com entradas
analógicas triplicadas, painel de lógica com redundância, no mínimo tripla, válvulas
inteligentes de duplo bloqueio e ainda sistema de desligamento testado
mensalmente. Mas, executar esta idéia é um tanto quanto difícil de ser
implementada além de se ter um custo relativamente elevado. Ou ainda, fazer como
os franceses fizeram há 200 anos, eles criaram uma lei que obrigava os fabricantes
de dinamite morar com a sua família dentro da empresa, mas isto também não é
possível.
Desta forma, devem-se fazer algumas considerações em relação à escolha
dos equipamentos e da tecnologia a ser utilizada:

• Número de paradas indesejadas;
• Desempenho de segurança;
• Tamanho físico do equipamento e da instalação;
• Necessidade de testes;
• Custo do equipamento;
• Tecnologia do sistema:
o Pneumático;
o Reles;
o Estado sólido;
o Microprocessado.
• Tipo do sistema redundante:
o Simples;
o Duplo, 1oo2 ou 2oo2;
o Triplo, 2oo3;
o Com canal de diagnóstico.

58
Cada tecnologia tem vantagens e desvantagens. Não existe um sistema que
seja o melhor. Não é tanto uma questão de quem é melhor, mas sim o que é mais
adequado, com base em fatores como o orçamento, tamanho, nível de risco, a
complexidade, flexibilidade, manutenção, interface de comunicação, requisitos de
segurança, etc.


3.2.1. SIS Pneumáticos


Sistemas pneumáticos ainda estão em uso e ainda são perfeitamente
adequados para determinadas aplicações. Uma aplicação muito comum para
sistemas pneumáticos é a indústria offshore, onde os sistemas devem funcionar sem
eletricidade. Sistemas pneumáticos são relativamente simples (assumindo que eles
são pequenos). Eles, normalmente, são utilizados em pequenas aplicações
onde há um desejo de simplicidade e a necessidade de segurança intrínseca.


FY
FT
-----
3 ~ 15 psi
Do controlador
Relé pneumático

FIGURA 12 – SISTEMA DE PARADA PNEUMÁTICO.

Quando a saída do transmissor (FT) atingir um valor de parada, o rele
pneumático alivia o ar do atuador, fazendo com que a válvula siga para uma
condição de segurança, fechando-a.




59
Vantagens:
• Não precisa de eletricidade;
• Falha segura;
• Sistema confiável;
Desvantagens:
• Precisa de ar limpo e seco;
• Necessita ser testado frequentemente (mensalmente).


3.2.2. SIS a Rele


Reles especiais, chamados de “Rele de Segurança”, são construídos com
múltiplas bobinas, proteção contra contato selado. Estes componentes normalmente
trabalham energizados, ou seja, precisam ser desenergizados para desligar. São
adotados quando a lógica de intertravamento é simples. Também é possível
implementar o tipo energizado para desligar (trip) nas aplicações onde é
fundamental evitar paradas indesejáveis.

Vantagens:
• Falha segura;
• Baixo custo inicial;
• Distribuído na planta;
• Imune a interferência;
• Várias tensões de alimentação;
• Velocidade de atuação rápida.
Desvantagens:
• Trips espúrios;
• Sem diagnósticos;
• Sem comunicação serial;
• Complexos para sistemas grandes;
• Reprogramação trabalhosa;
• Alto custo de vida.

60
A Figura 13 representa uma aplicação típica de utilização dos sistemas a
reles, cada rele é ligado a uma chave de segurança (vazão – FS, nível – LS e
pressão – PS), onde seus contatos são ligados em série com uma botoeira de
shutdown de emergência. Uma fonte de alimentação é ligada neste circuito para
alimentar a válvula solenóide que permanece energizada para ficar na posição de
aberta. Se a botoeira de emergência for pressionada ou se faltar energia, a válvula
solenóide irá para a posição de fechada. Ainda temos uma lâmpada que indica
quando o sistema está energizado, se esta lâmpada se apagar, possivelmente
teremos um trip da planta.
FS LS PS
Fonte
Botoeira de
shutdown
Válvula
solenóide
Botoeira
de reset
Lâmpada
de pronto
Relés no
painel ou
bastidor

FIGURA 13 – SISTEMA A RELE TÍPICO.


3.2.3. SIS de Lógica Fixa em Estado Sólido


Os sistemas de lógica fixa foram concebidos para substituir os reles com
menor dimensão, menores circuitos de potência (por exemplo, CMOS:
Complementary Metal Oxide Semiconductor), estes sistemas são muito especiais,
são relativamente caros, tem aplicação limitada, e, como resultado, já não são tão
comuns.
Estes dispositivos são montados em forma de módulos, cartões que
implementam uma determinada lógica, ou seja, são cartões com a possibilidade de
ser configurada uma lógica de acordo com a sua necessidade, esta “programação” é
feita na parte de trás do hack onde ficam conectados os módulos lógicos, ela é feita
por fios.

61
Vantagens:
• Distribuído pela planta;
• Alta confiança, em alguns casos chegando até SIL 4;
• Disponibilidade de comunicação serial;
• Disponibilidade de diagnóstico;
• Sem causa comum;
• Falha em modo seguro;
• Intrinsicamente seguro para Zona 2;
• Alta imunidade eletromagnética.
Desvantagens:
• Pouco flexível;
• Documentação;
• Custo;
• Alguns modelos sem reposição hoje em dia.

Entrada
digital
Entrada
analógica
Entrada
digital
Entrada
analógica
Entrada
digital
OU
E Retardo Saída
Saída
Módulos lógicos
Módulos
de saída
Módulos
de entrada
Sensores
Atuadores

FIGURA 14 – CONCEITO DE OPERAÇÃO.




62
Conforme ilustrado na Figura 14, os sensores são ligados aos módulos de
entradas. Estes são ligados aos módulos lógicos através de uma configuração por
fio, a saída do circuito lógico é ligada ao módulo de saída e estes estão ligados aos
atuadores.


3.2.4. SIS Microprocessado (CLP)


Softwares baseados em sistemas são utilizados mais frequentemente. Não há
nenhum imperativo tecnológico, que diz que tenhamos de utilizar sistemas baseados
em microprocessador. Controladores Lógicos Programáveis (CLPs) foram
originalmente criados para substituir sistemas a reles. Hoje em dia, seria
praticamente impossível não mencionar-se sobre CLP para utilização em sistemas
de segurança.

Vantagens:
• Flexibilidade;
• Testes e diagnósticos;
• Temporizador watch dog timer;
• Comunicação Serial;
• Controle de acesso;
• Reprogramável via software;
• Interface gráfica de programação;
• Documentação.
Desvantagens:
• Dependência de software;
• Falhas com causa comum;
• Comunicação com outros dispositivos;
• Custo.

Com o passar do tempo foi verificado as limitações que os CLPs de propósito
geral apresentavam em sistemas de segurança críticos, logo, algumas empresas

63
chegaram à conclusão que precisavam desenvolver sistemas mais sofisticados.
Então, em meados de 1970, começaram a estudar sistemas tolerantes a falhas em
computação.
Segundo a IEC 61508 o que difere um sistema de segurança de um sistema
comum é o nível do diagnóstico, implementação da redundância e a certificação
independente.
Verifica-se na tabela abaixo, os principais modelos de alguns fabricantes de
CLP de segurança certificados IEC 61508, aonde é possível constatar a
classificação SIL dos CLPs e a sua estrutura interna.

TABELA 4 – TABELA DE CLPs DE SEGURANÇA CERTIFICADOS IEC 61508
Empresa Modelo Classificação Estrutura do
Sistema
Agência
Certificadora
ABB Safeguard
400
SIL 2/
SIL 3
1oo1D Hot Standby/
1oo2D *proc. comp.
TUV Sud
Emerson Delta V SIS SIL 3 1oo2D *proc. comp. Exida
HIMA A1
A1 dig
SIL1/
SIL 2
1oo1/
1oo1D Hot Standby
TUV
Rheinland
HIMA H41
H51q
SIL 3 2oo4D/ 2x *proc comp
1oo2D *proc. comp.
TUV Sud
Honeywell FSC SIL 3 1oo2D *proc. comp. TUV Sud
Siemens S7-400FH SIL 3 1oo2D *proc. comp. TUV Sud
Siemens S7-300F SIL 2 1oo1D Hot Standby TUV Sud
Triconex Tricon V.9 SIL 3 2oo3 Redundância
Modular Tripla (TMR)
TUV
Rheinland
Yokogawa Prosafe PLC SIL 3 1oo2D *proc. comp. TUV Sud
* Processador complementar.

Averigua-se que a maioria destes CLPs atendem a um nível de integridade de
segurança 3 (SIL 3), denotando que eles tem uma alta confiabilidade e
consequentemente uma baixa probabilidade de falha sob demanda (PFD).
Mais informações sobre os sistemas de outros fabricantes e download dos
certificados pode ser encontrado em TUV (2009).

64
Alguns fornecedores seguem a estrutura de módulos redundantes com
diagnósticos. Em termos de confiabilidade estes sistemas tem o mesmo efeito de um
sistema 2oo3, atendendo SIL 3. Esta estrutura tem circuitos que verificam cada parte
do sistema, desde o de entrada até o de saída, se for detectada alguma falha em
algum destes circuitos a saída de diagnóstico abre, podendo causar um trip, mas
nesta configuração temos dois canais 2oo2 com diagnóstico, conforme apresentado
na Figura 15.

Circuito de
diagnóstico
Circuito de
entrada
Circuito de
diagnóstico
CPU
Circuito de
diagnóstico
Circuito de
entrada
Circuito de
diagnóstico
CPU
Circuito de
diagnóstico
Circuito de
saída
Circuito de
diagnóstico
Circuito de
saída
Módulos de
entrada
Módulos de
CPU
Módulos de
saída
+
-
Elemento
final
Sensor

FIGURA 15 – SISTEMA 2oo2 COM DIAGNÓSTICO.


3.3. PROPOSTA DE UM SISTEMA TOLERANTE A FALHAS


A tolerância à falhas é uma das qualidades que um controlador pode
apresentar. É a capacidade de detectar transitório e o estado de equilíbrio do erro
adotando medidas on-line corretivas.
O sistema proposto será desenvolvido baseado na arquitetura do TMR, o
sistema consiste em três sistemas de arquitetura idêntica. Cada canal é isolado um
do outro, nenhum ponto de falha de um canal pode passar para outro canal. Se uma
falha de hardware ocorrer, o canal defeituoso é invalidado.

65
O diagrama de blocos da Figura 16 representa os canais do sistema que
serão implementados. O primeiro canal é o de aquisição do sinal, o segundo é o de
processamento, e o terceiro canal de é o de votação, ele é quem decide qual sinal
irá ser aplicado no processo.

Canal de
votação
Processamento
Canal de
aquisição
Transmissor
no campo
Elemento
final
Windows CE
Serial
Serial


FIGURA 16 – DIAGRAMA DE BLOCOS DE UM CANAL DO SISTEMA PROPOSTO.

Desenvolver-se-á placas aquisição e transferência de sinal. Este circuito irá
utilizar um microcontrolador PIC que estará lendo os dados de um transmissor de 4
à 20mA (transmissores analógicos) por um canal A/D de 10 bits e estará transferindo
estes dados para os computadores (canais de processamento) via protocolo de
comunicação serial RS-232 full duplex. É importante observar que cada placa de
aquisição está recebendo o sinal de um transmissor diferente, e cada um está
transmitindo o sinal para um computador diferente. Estes computadores processam
estes sinais e devolvem os resultados para o canal de aquisição, se utilizando do
mesmo protocolo serial, conforme apresentado na Figura 17.
Estes computadores (canais de processamento) farão o papel das CPUs,
para tanto, será utilizando um sistema operacional de tempo real Windows CE. Após
desenvolver-se a imagem no Plataform Builder, dever-se-á configurar a imagem para
boot local, isto deve ser feito para que o sistema possa operar sem ter um gerente
de boot, pois o servidor de imagem limitaria o sistema como um todo.

66
Será desenvolvido dois softwares específicos, o primeiro será um algoritmo de
controle que irá calcular os parâmetros do PID, este deverá ser testado controlando
um processo real em uma planta didática, o segundo irá executar uma lógica de
intertravamento, o qual será utilizado para levantar as taxas de falhas do sistema
que serão compiladas para a realização do cálculo da confiabilidade de todo o
sistema. Estes programas serão desenvolvidos em linguagem C, no compilador
Microsoft Embedded Visual C++.

Canal de
aquisição 1
Transmissor 1
Canal de
aquisição 2
Transmissor 2
Canal de
aquisição 3
Transmissor 3
Canal de
votação
Elemento
final
A/D A/D A/D
Processamento
Comunicação
serial RS-232
Comunicação
serial RS-232
A B C


FIGURA 17 – DIAGRAMA DE INTERLIGAÇAO.

Analisando a Figura 17, nota-se que serão utilizados transmissores
analógicos, tanto para o algoritmo de controle como para o de intertravamento. Em
um primeiro instante, isto parece errado, pois costumeiramente se utilizam sensores
como chaves para sistemas de intertravamento, mas para sistemas de segurança
shutdown, este artifício se torna interessante, pois o sensor está sendo testado
continuamente, o que não aconteceria se fosse utilizado sensores tipo chave.
O canal de votação recebe os valores calculados pelo canal de
processamento que foi enviado para o canal de aquisição. Através de uma

67
comunicação serial RS-232 full duplex ele recebe de cada canal o valor final
calculado. Ele também identifica se algum canal não está em funcionamento. É o
canal de votação quem decide qual é o valor que será aplicado no elemento final de
controle, uma das formas de decisão é através do cálculo do valor mediano, ou seja,
se dois computadores calcularem o valor da saída de controle para 50% e um
calcular para 10%, ele assume a saída como sendo o canal que tem mais votações,
nesse caso 50%.
É o canal de votação que atua no circuito D/A do posicionador de válvula que
recebe um sinal padronizado de 4 a 20mA, isto se este sistema for aplicado para
controle, mas se for aplicado para shutdown à saída é um contato aberto ou
fechado.


3.3.1. Planta Didática


A planta que será utilizada para a validação do controlador redundante
proposto, é uma planta didática de controle de temperatura, nível e vazão, cujo
nome dado é planta 03. O processo dela é produzir água em uma temperatura
controlada. Todos os equipamentos são industriais, contém chaves de topo para
fazer intertravamento de nível, visores de níveis nos dois tanques, termostato e
pressostato no tanque 1, transmissor de temperatura nos dois tanques, indicadores
de vazão do tipo rotâmetro, transmissor de nível, derivador de fluxo, posicionador de
válvula eletrônico e eletro-pneumático e transmissor indicador de vazão, de acordo
com o diagrama P&I apresentado na Figura 18.
O processo começa com o aquecimento da matéria prima (água) no tanque
3.1. Para que as termo resistências sejam acionadas é necessário que a chave de
topo que faz o intertravamento de nível seja atuada. Quando esta chave atua a
bomba para de mandar o líquido para o tanque 3.1 e o sistema de temperatura é
acionado. Quando a temperatura chegar ao valor ajustado no termostato, o sistema
de aquecimento é desligado e novamente inicia o bombeamento de água para o
tanque 3.1, com a finalidade que a água aquecida passe para o tanque 3.2, onde
será feito o controle de temperatura.

68

FIGURA 18 – DIAGRAMA DA PLANTA 3.

A Tabela 5 relaciona os elementos que são utilizados na planta 3
descrevendo cada equipamento de acordo com a sua função no processo, conforme
a norma ISA 5.1. A Tabela XX pode ser utilizada para a interpretação do Figura 18 e
19.

TABELA 5 – EQUIPAMENTOS E SUAS FUNÇÕES.
Equipamento Função/descrição

Válvula de retenção

Bomba (Bomba 1)

Válvula de acionamento manual tipo registro de gaveta

Elemento primário para medição de vazão / Placa de orifício

Válvula de acionamento automática/ deslocamento linear
FIT

Transmissor indicador de vazão/ instrumento discreto instalado
no campo
FCV

Válvula de controle de vazão/ instrumento discreto instalado no
campo

69
FI

Indicador de vazão/ instrumento discreto instalado no campo,
rotâmetro
LIT

Transmissor indicador de nível/ instrumento discreto instalado no
campo
TIT

Transmissor indicador de temperatura/ instrumento discreto
instalado no campo
LG

Visor de nível/ instrumento discreto instalado no campo
PIT

Transmissor indicador de pressão/ instrumento discreto instalado
no campo
LSL

Chave de nível baixo/ instrumento discreto instalado no campo

TSH

Chave de temperatura alta/ instrumento discreto instalado no
campo
HV Válvula manual

No momento em que a água quente começa a entrar no tanque 3.2 o sistema
de controle começa a trabalhar, pois o termostato do reservatório 3.1 foi ajustado
para uma temperatura acima da temperatura de controle, desta forma, precisamos
adicionar água fria para que ocorra o resfriamento e o controle. A temperatura é
medida pelo transmissor de temperatura do tanque 3.2 e o controlador define qual é
a quantidade de água que deve ser adicionada. Então a segunda malha de controle
começa a controlar essa quantidade de mistura.
Esta seria uma das aplicações possíveis para se trabalhar com a planta 3.
Para a aplicação em questão, terá que ocorrer algumas modificações na
instrumentação desta planta, pois, se faz necessário três transmissores medindo a
mesma variável. Para isto, utilizar-se-á apenas a primeira malha de controle, e irá
trabalhar com o controle de nível. Cada transmissor irá medir o nível em sua tomada
de pressão e irá transmitir este valor em um sinal de 4 à 20mA para o controlador.
Deverão ser colocados mais dois transmissores de nível no tanque 3.1
conforme o P&I proposto na Figura 19, visto que, já se tem um instalado. Estes três
transmissores irão enviar um sinal de 4 à 20mA para o sistema redundante proposto
que irá calcular a saída do controlador e irá realimentar um posicionador de válvula
que está ligado a uma válvula de controle que controla a vazão do fluído que está
indo para o tanque 3.1. Será feito um controle de nível pela vazão de água que está
entrando no tanque 3.1.

70

FIGURA 19 – DIAGRAMA PROPOSTO.

A priori será testado o sistema de controle e a posteriori será feito os testes
para o cálculo da probabilidade de falha sobre a demanda (PFD), sistema de
shutdown.


3.3.2. Comparação do Sistema com CLP Industrial de Controle


Os resultados obtidos do sistema de controle redundante serão comparados
com os dados de um CLP de controle industrial, neste caso usar-se-á o LC 700 da
Smar o qual já se encontra instalado na planta 3. Estes dados serão apresentados
em forma gráfica no software Matlab. Serão inseridas algumas falhas sistemáticas, e
os resultados obtidos serão discutidos e comparados. Para cada sistema de
controle, o redundante e o industrial, será feita uma sintonia de controle respeitando

71
a estrutura de cada algoritmo de controle (PID), o método de sintonia utilizado será o
da tentativa sistemática.


3.3.3. Obtenção de Dados para o Cálculo da PFD


Para a obtenção das taxas de falhas do sistema, será desenvolvido um
sistema que ficará simulando modos de falhas no canal de aquisição de dados. Este
mesmo sistema ficará verificando o comportamento da saída. Ele irá simular uma
falha e verificar se a saída respondeu como o esperado, senão ele analisa qual foi o
tipo de falha que ocorreu no sistema, se foi falha segura ou falha perigosa. Após o
ciclo de testes, estes dados serão apresentados em um display LCD (Liquid Crystal
Display) 16x2 para que seja feita a coleta dos mesmos.
Este sistema de simulação irá analisar a resposta para mil ciclos de entrada,
cada ciclo será gerado após um segundo, ou seja, serão necessários 16,67 minutos
para realizar uma varredura de mil ciclos.
Após estes dados serem coletados e tabulados, será possível aplicar o
método descrito na norma IEC 61508 para o cálculo da PFD de sistemas
redundantes.


3.4. AQUISIÇÃO DA PFD


Segundo a IEC 61508, o cálculo da PFD para sistemas redundantes pode ser
obtido através do emprego Análise da Árvore de Falhas (Fault Tree). Para a
aplicação deste método é necessário conhecer as taxas de falhas de cada circuito
envolvido na arquitetura do sistema.
Na Figura 20(a) é demonstrado o circuito de votação de uma arquitetura
2oo3, as saídas são ligadas em série e paralelo. Avaliando-se a Figura 20(b), falha
segura, percebe-se que se faz necessário que duas saídas falhem de modo seguro
para todo o sistema falhar e olhando a Figura 20(c), falha perigosa, observa-se que

72
é necessário que duas saídas fiquem curto-circuitadas (falha perigosa) para que
ocorra uma falha perigosa no sistema.

A
B
A B
C C
Circuito de Votação
(a)
C C
Circuito aberto falha segura
(b)
C C
Curto circuito falha perigosa
(c)

FIGURA 20 – MODOS DE FALHA DA ARQUITETURA 2oo3.

O sistema pode falhar perigosamente se ocorrer às falhas nos canais
conforme a árvore de falhas indicada na Figura 21. Nesta Figura analisam-se os
canais A e B, mas como o sistema é 2oo3 esta mesma árvore de falha é valida para
os canais A e C, e para os canais B e C.

A & B
falha
A & B
PEC
A PE A PD B PE B PD
A & B
PDC
A
falha
B
falha

FIGURA 21 – ÁRVORE DE FALHA DE UMA ARQUITETURA 2oo3 PARA OS CANAIS A e B.


73
Considerando a árvore da Figura 21, conclui-se que os canais A e B irão
falhar se ocorrer uma falha perigosa encoberta de causa comum (PEC) em A e B ou
se ocorrer uma falha de perigosa não descoberta de causa comum (PDC) em A e B.
Cada canal poderá falhar independentemente se ocorrer uma falha perigosa
encoberta (PE) ou uma falha perigosa descoberta (PD) falhando assim os dois
canais A e B. Logo a PFD
A&B
é dada da seguinte maneira:

[ ] [ ] [ ], ) ( ) ( & ) ( ) ( ) & ( ) & (
&
RT B TI B RT A TI A TI B A RT B A PFD
PE PD PEC PD PDC PEC
B A
∗ + ∗ ∗ + ∗ + ∗ + ∗ =

onde TI é o intervalo de testes e RT é o tempo de reparo.

Considerando que os canais são iguais, irá ser considerada a mesma taxa de
falha λ para cada canal, reduzindo a fórmula anterior em:

[ ] . ) ( ) ( ) ( ) (
2
&
RT TI TI RT PFD
PE PD PDC PEC
B A
∗ + ∗ + ∗ + ∗ = λ λ λ λ (15)

A Fórmula 15 é para obter a PFD
A&B
relacionada ao canal A e B como o
sistema proposto é 2oo3 é necessário aplicar esta equação para as três
combinações (A e B, A e C, C e B), calculando-se então a PFD
2oo3
do sistema da
seguinte forma:

[ ] . ) ( ) ( 3 ) ( 3 ) ( 3
2
3 2
RT TI TI RT PFD
PE PD PDC PEC
oo
∗ + ∗ + ∗ + ∗ = λ λ λ λ (16)


74
CAPÍTULO 4


4. IMPLEMENTAÇÃO E RESULTADOS


Neste capítulo serão apresentadas duas aplicações deste sistema
redundante, o primeiro será uma aplicação em um sistema em controle de nível em
um processo industrial e a segunda em uma configuração de CLP de shutdown,
intertravamento de segurança. Nestas aplicações serão detalhados os aspectos de
construção de cada canal, bem como, os fluxogramas dos algoritmos que foram
implementados.
Como se trata de um sistema redundante tem-se canais triplicados, é o caso
do canal de aquisição e de processamento. O canal de votação não é necessário ser
redundante, pois é ele quem vai calcular a mediana dos resultados finais para a
aplicação do sinal no elemento final de controle.


4.1. CANAL DE AQUISIÇÃO


Conforme demonstrado na Figura 17, o transmissor está ligado no canal de
aquisição, este envia um sinal de 4 a 20mA para um conversor de corrente tensão
gerando uma tensão de 1 a 5 V. Esta tensão então é aplicada em um pino A/D do
microcontrolador PIC 16F876A (conforme pode ser visto no Apêndice A).
O algoritmo inicia as duas comunicações seriais que serão utilizadas ambas
para 19200bps, inicia também o conversor analógico digital (A/D) e uma fonte de
saída de dados (Display de LCD). Enquanto não ocorre nenhuma interrupção serial
ele fica lendo a PV (variável do processo) e para que ocorra um amortecimento
maior deste sinal e para que uma possível oscilação não venha a dar uma variação
na resposta do sistema de controle este algoritmo lê 10 vezes o sinal do conversor
A/D e calcula a média deste, assumindo como sinal final o resultado da média,
conforme apresentado na Figura 22.


75
Início
Configura
interrupção
serial 1
Configura
interrupção
serial 2
Inicia LCD
Configura
Conversor A/D
'Verdadeiro'
i = 0
i < 10 ?
x[i] = Le_AD
i = i + 1
Sim
PV = (x[0] + ... + x[9])/10
Não

FIGURA 22 – FLUXOGRAMA DO ALGORITMO DO CANAL DE AQUISIÇÃO.


76
Este algoritmo tem duas fontes de interrupção serial, a primeira é para realizar
a comunicação com o sistema embarcado no computador e a segunda é para que
este canal se comunique com o canal de votação. A segunda fonte de interrupção
desempenha duas funções, uma para enviar o valor do CO (saída de controle) para
o canal de votação calcular a mediana e a outra é para que o canal de votação
consiga identificar se o canal de aquisição contém algum defeito.
Quando ocorrer a interrupção serial 1 o programa vai para a função de
tratamento da interrupção da serial 1 significando que o sistema embarcado está
perguntando para o canal de aquisição qual é o valor da PV atual, então ele envia
esse valor e aguarda a transmissão do novo valor da CO, como mostrado na Figura
23.
Interrupção
serial 1
Envia PV
y = Buffer serial
Converte y
em decimal
CO = y
Imprime CO
no LCD
Fim


FIGURA 23 – FLUXOGRAMA DA FUNÇÃO DE TRATAMENTO DA INTERRUPÇÃO SERIAL 1.

77
Quando ocorrer a interrupção serial 2 o programa vai para a função de
tratamento da interrupção da serial 2 significando que o canal de votação está
perguntando para o canal de aquisição qual é o valor da CO atual, então ele envia
esse valor e volta para onde estava antes de ocorrer esta interrupção.

Interrupção
serial 2
Envia CO
Fim


FIGURA 24 - FLUXOGRAMA DA FUNÇÃO DE TRATAMENTO DA INTERRUPÇÃO SERIAL 2.

Estas são as funções que o canal de aquisição está desenvolvendo, lê a
variável do processo, transmite para o controlador, recebe a nova variável da saída
do controlador e guarda este dado até que seja requerido pelo canal de votação.


4.2. CANAL DE VOTAÇÃO


Todo o sistema depende do correto funcionamento do canal de votação, é ele
que vai fazer o sincronismo do sistema. A sua principal função é o cálculo da
mediana dos valores no CO que será transformado em um sinal de 4 a 20 mA e será
modulado em um posicionador de válvula, atuando diretamente no elemento final de
controle. Para tanto, usou-se um sinal PWM, onde com o valor do CO calcula-se a
porcentagem do duty-cicle. Este sinal é aplicado a um conversor de tensão para
corrente ativo, para que não exista a queda de 0,6V de tensão na junção base
emissor de um transistor (este circuito pode ser visto no Apêndice B).
No caso da utilização deste sistema para shutdown é ele quem executa o
algoritmo 2oo3 que decide se o elemento final deve ser fechado ou permanecer
aberto. Conforme mostrado na Figura 20 (a). Para isto, foi utilizado um

78
microcontrolador PIC 16F876A implementando uma comunicação serial e a
configuração de uma saída PWM.
De acordo com a função que o sistema terá no processo, controle ou
shutdown, deverá ser utilizado o algoritmo correspondente. Desta forma,
desenvolveram-se dois programas distintos, mas esta diferença está localizada
diretamente no sistema de votação: o primeiro faz a votação da mediana para saber
qual é o valor mais votado nos três sistemas o que ganhar será assumido como
valor padrão de saída do elemento final e o segundo é o algoritmo de decisão de um
sistema de votação 2oo3.
No fluxograma de controle inicialmente o algoritmo configura o PWM,
configura o LCD e configura a comunicação serial para uma velocidade de 19200
bps. Então é feita uma varredura de cada canal. Após a verificação do canal de
aquisição, o canal de varredura aguarda o recebimento da nova variável via serial,
se isto não ocorrer o canal é dado como defeituoso. Se o canal responder
corretamente este valor é assumido como o novo valor da variável temporária, novo
CO. Estes dados são colocados em uma variável temporária, pois na próxima
varredura estas variáveis podem assumir um outro valor.
Com as variáveis atualizadas no canal de votação o algoritmo realiza o
cálculo da mediana dos valores, verificando se existe dois ou mais valores iguais, se
isto ocorre assume-se o valor da saída do controlador como o valor que mais se
coincide, caso isto não ocorra, ou seja, as três variáveis sejam diferentes, o novo
valor que é ajustado o PWM é 0%.
Após o cálculo da variável CO, PWM_atual, o duty cyle do PWM é ajustado
para este novo valor. Através da conversão deste valor para um sinal de corrente
atua-se no elemento final, posicionador de válvula de controle. Nas Figuras 25 e 26
apresentam-se os dois fluxogramas, o primeiro é o de controle e o segundo é o de
intertravamento de shutdown.



79
Início
Configuração
do PWM
Configura
interrupção
serial
Inicia LCD
'Verdadeiro'
Canal 1?
x1 = Buffer
serial
Sim
Defeito
Não
Canal 2?
Sim
Defeito
Não
Canal 3?
Sim
Defeito
Não
x2 = = x3
Sim
PWM_atual = x2 PWM_atual = x1
Ajusta PWM
PWM_atual = 0
Sim
Não
Não
x2 = Buffer
serial
x3 = Buffer
serial
x1 = = x2 ||
x1 = = x3 ||
x2 = = x3 ||

FIGURA 25 – FLUXOGRAMA DO ALGORITMO DE CONTROLE DO CANAL DE VOTAÇÃO.

80
Início
Configuração
do PWM
Configura
interrupção
serial
Inicia LCD
'Verdadeiro'
Canal 1?
x1 = Buffer
serial
Sim
Defeito
Não
Canal 2?
Sim
Defeito
Não
Canal 3?
Sim
Defeito
Não
Não
Não
PWM_atual = 0
Não
PWM_atual = 100
Sim
Sim
Sim
Ajusta PWM
x2 = Buffer
serial
x3 = Buffer
serial
x2 = = 1 &
x3 = = 1
x1 = = 1 &
x2 = = 1
x1 = = 1 &
x3 = = 1


FIGURA 26 – FLUXOGRAMA DO ALGORITMO DE SHUTDOWN DO CANAL DE VOTAÇÃO.

81
Este algoritmo faz uma análise de sensores tipo chave, ou seja, 0 ou 100%
aberto ou fechado, uma combinação binária, logo, ele se difere do outro justamente
na análise da combinação de chaves e na saída resultante que é uma válvula 100%
aberta ou totalmente fechada (depende da ação da válvula). Mas no algoritmo de
controle precisamos encontrar o valor que se localiza dentro do range de 0 a 100%.


4.3. CANAL DE PROCESSAMENTO


Este é o canal onde irá ocorrer o processamento da informação, o cálculo do
CO considerando o ajuste das variáveis de controle do algoritmo PID, a execução da
lógica de intertravamento indicando se a saída deve ser aberta ou fechada
considerando os estados de entrada e etc.
Para tanto, após ter sido instalada a plataforma do Windows CE chamada de
Plataform Builder, foi necessário criar a imagem que iria rodar na memória RAM dos
computadores com o Windows Embarcado. Feita a imagem foi preciso configurá-la
para que o BOOT do sistema operacional fosse local, pois neste projeto não teremos
um servidor de BOOT, o que não faria sentido nesta aplicação, para isso foi preciso
criar um disco de BOOT, inicialmente. Executado todos estes passos iniciou-se
então o desenvolvimento dos sistemas utilizando o compilador Microsoft Embedded
Visual C++.


4.3.1. Criando a Imagem do Windows CE


A imagem construída tem um conjunto de características, estas definem os
elementos a serem integrados, os device drivers utilizados, as configurações de
hardware, entre outros.
O conjunto completo de características é apresentado na Tabela 6.




82
TABELA 6 – CONJUNTO DE CARACTERÍSTICAS UTILIZADAS PARA A CONSTRUÇÃO DA
IMAGEM NO WINDOWS CE.
Board Support Packages (BSPs) • CEPC:X86
Plataform Configuration • Custom Configuration
Custom Device • Custom Device with Shell and
Graphical User Interface (GUI)
Aplications and Services Development • Active Template Library
• C Libraries and Runtimes
• Microsoft Foundation Classes
(MFC)
• Standard SDK for Windows CE
.NET
• .Net Compact Framework
Aplications - End User • Cab Files Installer/Unistaller
• File Viewers
• Remote Desktop Connection
Core OS Services • Battery Driver
• Serial Port Support
• Parallel Port Support
• USB Host Support
• Debugging Tools
• Power Management
• Kernel Features
Communication Services and Networking • Networking – Local Area Network
File Systems and Data Store • File System – Internal
• Registry Storage
• Storage Manager
Fonts

• Arial
• New Times Roman
Internet Client Services

• Internet Explorer 6.0 for Windows
CE Components
Multimedia Technologies • Audio
Shell and User Interface • Shell
• User Interface


Depois desta plataforma pronta deve-se fazer a compilação da mesma, esse
procedimento deve ser feito selecionando build plataform no menu build. Drivers e
aplicativos podem ser adicionados à imagem depois da imagem construída, mas
uma nova compilação deve ser realizada.
É importante salientar que foi construída apenas uma imagem para as duas
aplicações, o que altera é somente o software que está sendo executado no sistema
embarcado.

83
4.3.2. Criando o Disco de BOOT


Acessar um programa chamado Websetup.exe que se encontra numa pasta
da instalação do Platform builder, um exemplo do caminho que pode se encontrar
esse arquivo é: C:\Arquivos de programas\Windows CE Platform
Builder\4.20\cepb\utilities.
Depois de instalado o Programa WebImage, na mesma pasta que se encontra
o executável Websetup, encontra-se um arquivo chamado Cepcboot, este arquivo é
responsável pela criação de um disco de boot, ou seja, um disco responsável por
iniciar a máquina onde é feito o download da imagem do sistema operacional.


4.3.3. Efetuando o BOOT Local


Quando foi criada a imagem o Platform Builder gerou um arquivo com todos
os driver e aplicativos selecionados chamado de NK.bin, este arquivo é copiado para
o Hard Disc onde será efetuado o boot juntamente com todos os arquivos criados no
disco de inicialização. A partir deste momento o boot já pode ser dado localmente.
Possivelmente a resolução inicial seja de 640x480, para corrigir isto, basta editar o
arquivo autoexec.bat e alterar a resolução manualmente para a desejada. É muito
importante que o programa Loadcepc.exe seja copiado para o Hard Disc, pois é ele
quem chama o arquivo NK.bin


4.3.4. Criando um Novo Projeto


Após a construção da imagem no Platform Builder e as configurações de boot
local finalizadas iniciou-se o desenvolvimento do primeiro aplicativo. Para tanto,
utilizou-se o compilador Microsoft Embedded C++ 4.0. Para que fosse possível a
utilização deste compilador foi necessário atualizar o servicepack para a versão 3.
Por algum motivo este compilador não cria aplicativos MFC (Microsoft Foundation

84
Classes) senão estiver atualizado o servicepack para versão 3. Este arquivo pode
ser encontrado para download em Microsoft (2009).
Após a realização destes passos, abre-se o compilador e cria-se um novo
projeto, na lista de projetos seleciona-se a opção WCE MFC AppWizard(exe) e na
lista de CPUs seleciona-se Win32 (WCE x86). Na criação do projeto é importante
selecionar a opção Windows Sockets.


4.4. SISTEMA DE CONTROLE


Uma das aplicações dos sistemas redundantes na indústria é o controle de
processos que apresentam grandes risco as pessoas da operação, a fábrica e a
comunidade. Um exemplo desse tipo de processo é o controle de caldeira, as
caldeiras da Petrobrás REPAR em Araucária geram vapor saturado a uma pressão
de aproximadamente 88Kgf/cm
2
a uma temperatura próxima de 405ºC, logo, este é
um processo que necessita de um sistema de controle tolerante a falhas devido ao
perigo que ele representa para empresa e para a comunidade que vive ao seu redor.
O sistema de controle proposto executa um algoritmo que calcula as ações de
controle de um controlador do tipo PID. Na aplicação desenvolvida ele precisa fazer
o controle de nível de uma planta. Este programa de controle está sendo executado
na plataforma Windows CE, recebendo a PV (variável do processo) do canal de
aquisição via serial, executando o algoritmo PID e enviando, via serial, o CO (saída
de controle) para a placa de aquisição, como descrito anteriormente.
Toda a lógica do algoritmo do cálculo do PID, valor de ajuste do SP (set-point)
está programado neste sistema. É ele quem faz a pergunta do valor da PV para o
canal de aquisição em um tempo pré-definido.
O fluxograma da Figura 27 ilustra como está estruturada a troca de dados
entre o sistema de controle e o canal de aquisição.

85
Sistema de
controle PID
Windowns CE
SP
Canal de
aquisição
CO
PV
A/D
Transmissor
4 a 20mA
CO
Serial Serial
Buffer serial


FIGURA 27 – FLUXOGRAMA DA TROCA DE DADOS ENTRE O CANAL DE AQUISIÇÃO E O
WINDOWS CE.

No sistema de controle tem-se duas entradas de dados a PV que vem do
canal de aquisição e o SP que é definido pelo usuário, o erro é calculado
internamente subtraindo a PV do SP (Erro = PV – SP). Ainda existem mais três
variáveis de entrada que são as ações de controle: Kp (ganho proporcional), Ti
(tempo integral) e Td (tempo derivativo). Após o cálculo do PID o resultado de saída
que é a variável CO é enviada para o canal de aquisição, via comunicação serial.
Este sistema de controle pode estar operando em manual ou em automático.
Em manual significa que o sistema está em malha aberta e o ajuste do elemento
final está sendo realizado pelo operador, em automático fecha-se a malha e agora
quem controla todo o processo é o algoritmo PID. O fluxograma do algoritmo do
sistema de controle pode ser visto na Figura 28.


86
Início
Configura serial
Serial
Ok?
Inicia sincronismo
Sincronismo?
Não
Recebe PV
Sim
Modo = Manual
Sim
Sincronismo?
Não
Recebe PV
Sim
Sim
Modo = Auto
Não
Sim
Mensagem
de erro
Não
Fim
Envia CO
Aumenta ou
diminui CO
Envia CO
Calcula CO (PID)
Calcula erro
Ajusta SP,
Kp, Ti, Td


FIGURA 28 – FLUXOGRAMA DO SISTEMA DE CONTROLE.

O primeiro teste realizado pelo algoritmo é a verificação da comunicação
serial, se por algum motivo esta esteja inoperante, o algoritmo devolve uma
mensagem de erro de comunicação e este é finalizado.
Se o teste da comunicação passar, ajusta-se então um relógio que gera o
sincronismo do sistema de controle com o canal de aquisição. O programa pode
operar em modo manual e automático como dito anteriormente, se for configurado
para modo manual (configuração inicial, devido à necessidade de ser feito o start-up
no processo) o programa fica esperando o estouro do temporizador, enquanto isso
pode ser ajustado o valor do CO, quando ocorrer o estouro do temporizador o

87
sistema recebe do canal de aquisição o valor da PV atual e envia o novo valor da
variável CO.
A partir do momento em que o sistema é passado para automático, o usuário
não tem mais direito a modificar a saída de controle, ele passa a ter que ajustar o SP
e as variáveis de controle, agora todo o controle (o cálculo do novo CO) depende do
algoritmo PID que recebe o valor da PV atual em seguida calcula o erro subtraindo a
SP da PV, calcula o novo CO e o envia para o canal de aquisição.
Antes de sair controlando o processo, levantou-se a curva de resposta do
mesmo. Para isto passou o sistema para malha aberta e o ganho proporcional (Kp)
foi ajustado para um ganho unitário. O sistema foi levado até uma faixa de operação
e aguardou-se que este entrasse em um regime permanente, feito isto, aplicou-se
um sinal degrau de 10% de amplitude e a partir deste momento foi feita à aquisição
destes dados, com isto, conseguiu-se levantar a curva de resposta deste sistema em
malha aberta, como pode ser visualizado na Figura 29, este gráfico foi plotado no
Matlab.



FIGURA 29 – CURVA DE RESPOSTA DO SISTEMA EM MALHA ABERTA.



88
Após a obtenção da curva de resposta do processo em malha aberta, aplicou-
se o primeiro método de Ziegler e Nichols, conhecido como método da curva de
resposta em malha aberta, para obter a função de transferência do processo. Este
método pode ser aplicado a plantas que não envolvam integradores nem pólos
complexos dominantes. A função de transferência pode ser aproximada por um
sistema de primeira ordem com tempo morto (atraso de transporte). A equação 15
apresenta a função de transferência da planta didática que será controlada pelo
sistema proposto e pelo CLP industrial, dada por:

.
,
) (
1 10
65 1
+
=
S
S G (15)

Com a Figura 29 de resposta do processo, iniciou-se o processo de sintonia
do controlador, o primeiro a ser sintonizado foi o sistema que está sendo proposto
neste trabalho de dissertação. Como é o mesmo algoritmo que está sendo
executado nos três canais de processamento, os ações de controle foram setadas
para os mesmos valores para que fosse possível ter um mesmo valor de sintonia
nos três controladores.
Como esta curva de resposta caracteriza um sistema de primeira ordem, foi
utilizado um controlador do tipo PI, ajustou-se o Kp para 4 e o Ti para 1 e como não
foi usado o Td este ficou em 0, uma forma de ser anulada esta ação de controle.
Para gerar a curva de resposta do processo sendo controlado, aplicou-se um degrau
de amplitude igual a 10% no SP. O gráfico de resposta do sistema controlado pode
ser visualizado na Figura 30.

89

FIGURA 30 – CURVA DE RESPOSTA DO PROCESSO CONTROLADO PELO SISTEMA
PROPOSTO.


FIGURA 31 – CURVA DE RESPOSTA DO PROCESSO CONTROLADO POR UM CONTROLADOR
INDUSTRIAL.


90
Para que fosse feita uma comparação de resposta entre sistemas, utilizou-se
um CLP industrial o LC-700 da Smar como controlador do mesmo processo, e este
foi sintonizado e submetido aos mesmos testes do sistema proposto nesta
dissertação.
A Figura 31 apresenta a resposta obtida do controle realizado pelo LC-700.
Verifica-se que existe uma diferença de resposta nos dois gráficos, mas isto se deve
a estrutura do PID e a sintonia do controlador. No processo em questão esta
diferença não é significativa, logo, assumem-se os dois controles como satisfatório, o
que é muito positivo para este estudo, pois se conseguiu demonstrar que o sistema
redundante proposto tem uma resposta em controle tão boa quanto um sistema
industrial.
Foi efetuada a simulação de queda de alimentação, para tanto, desligou-se
uma fase de alimentação de um canal de processamento, como o sistema é
redundante e tem três CPU à falta de uma fase não influenciou o desempenho do
sistema, o que não ocorreu com o LC-700, pois este é um sistema simples sem
redundância quando foi desligada a fase de alimentação todo o sistema foi desligado
inclusive todos os transmissores, neste momento o processo ficou sem controle.


4.5. SISTEMA DE INTERTRAVAMENTO


Para a utilização do sistema proposto como sistema de intertravamento foi
necessário realizar algumas modificações nos circuitos de aquisição, pois nesta
aplicação se fez necessária a utilização de três entradas em cada canal de aquisição
porque o sistema de processamento irá executar uma lógica booleana de três
chaves (sensores on-off) aberto ou fechada.
O canal de votação estará verificando a resposta dos canais de
processamento e decidirá se a saída estará acionada ou desacionada conforme a
lógica do sistema de votação 2oo3.
Um sistema de simulação de falhas e defeitos foi desenvolvido para que se
possa gerar falhas perigosas na entrada do canal de aquisição. Este sistema de
simulação irá receber a saída do canal de votação e irá verificar se o sistema tomou

91
a decisão correta. Estes dados são mostrados em um display de LCD. O diagrama
esquemático pode ser visto na Figura 32.

Canal de
aquisição 1
Canal de
aquisição 2
Canal de
aquisição 3
Canal de
votação
Processamento
Comunicação
serial RS-232
Comunicação
serial RS-232
A B C
Sistema de
simulação


FIGURA 32 – DIAGRAMA ESQUEMÁTICO DO SISTEMA 2oo3.

A lógica que está implementada em cada canal de processamento é X = SA e
SB e SC, ou seja, se alguma chave (sensor) enviar um sinal de nível lógico ‘0’ a
saída do canal de processamento deve ir para nível lógico ‘0’, executando
simplesmente a lógica booleana das entradas. Conforme a Tabela 7.

TABELA 7 – TABELA VERDADE DE SAÍDA DE CADA CANAL DE PROCESSAMENTO DADA AS
ENTRADAS (SA,SB e SC)
SA SB SC X
0 0 0 0
0 0 1 0
0 1 0 0
0 1 1 0
1 0 0 0
1 0 1 0
1 1 0 0
1 1 1 1

92
O sistema de simulação vai setando as variáveis SA, SB e SC para os valores
da Tabela 7 e analisa a resposta do canal de votação. Por exemplo: setando SA
para nível lógico ‘0’, SB para nível lógico ‘1’ e SC para nível lógico ‘1’ a saída dos
canais de processamento devem ser igual ao nível lógico ‘0’, o que fará com que a
saída do canal de votação vá para nível lógico ‘0’, isto significa que o sistema está
em perfeita operação, um sensor de segurança atuou e como a lógica nos três
canais de processamento é a mesmo todos responderam de forma igual e por
consequência disso a resposta do sistema de votação foi efetuar o shutdown da
malha. Mas se por algum motivo (falha), dadas as entradas anteriores, dois canais
de processamento mantivessem a saída em nível lógico ‘1’, o canal de votação não
irá realizar o shutdown caracterizando desta forma uma falha perigosa, pois é
necessário que a malha seja desligada mas o sistema não o fará. Da mesma forma
isto pode ser avaliado se os sensores estiverem em nível lógico ‘1’ e por algum
motivo (falha) dois canais de processamento forem para nível lógico ‘0’, isto fará com
que o canal de votação vá para nível lógico ‘0’ efetuando o shutdowm da malha
quando isto não deveria ocorrer, caracterizando assim uma falha segura.
O fluxograma do sistema de intertavamento pode ser visto na Figura 33.

93
Início
Configura serial
Serial
Ok?
Inicia sincronismo
Sincronismo?
Recebe SA,SB e SC
Sim
Sim
Mensagem
de erro
Não
Fim
Não
X = SA & SB & SC
Envia X


FIGURA 33 – FLUXOGRAMA DO SISTEMA DE INTERTRAVAMENTO.

Após as implementações e modificações tanto de hardware como de software
iniciou-se os ciclos de testes para a obtenção dos dados para que fosse possível o
cálculo da PFD, bem como, a disponibilidade do sistema proposto.
Para a coleta da falha segura foram feitas dez varreduras de mil ciclos cada,
ao fim de cada varredura anotou-se o número de falhas seguras detectadas e
calculou-se a média das falhas, gerando a Tabela 8.




94
TABELA 8 – FALHAS SEGURAS
Varredura Ciclos Falha segura (λ
s
)
1 1000 145
2 1000 101
3 1000 95
4 1000 70
5 1000 46
6 1000 58
7 1000 51
8 1000 31
9 1000 48
10 1000 12
Média de Falhas Seguras 65,7

. ,
,
0657 0
1000
7 65
= =
S
λ
. ,6955 38 = σ
. horas 6 = MTTR

Aplicando a norma IEC 61508 vem:

( ) MTTR
MTTF
S
sp
∗ ∗
=
2
6
1
λ

( ) |
¹
|

\
|
∗ ∗
=
8760
6
0657 0 6
1
2
,
sp
MTTF
. . anos 373 56 =
sp
MTTF

Após ser aplicada a fórmula de cálculo do MTTF
sp
encontrou-se um tempo
médio entre falhas de 56.373 anos o que significa que pode ocorrer uma falha em
56.373 anos neste sistema proposto. O MTTR utilizado foi de 6 horas, esse valor
surge do tempo médio de reparo que foi utilizado durante os testes para o
levantamento da taxa de falhas do sistema.
Para a coleta da falha perigosa foram feitas dez varreduras de mil ciclos cada,
ao fim de cada varredura anotou-se o número de falhas perigosas detectadas e
calculou-se a média das falhas, gerando a Tabela 9.



95
TABELA 9 – FALHAS PERIGOSAS
Varredura Ciclos Falha perigosa (λ
d
)
1 1000 83
2 1000 71
3 1000 85
4 1000 70
5 1000 46
6 1000 48
7 1000 52
8 1000 46
9 1000 33
10 1000 12
Média de Falhas Perigosas 54,6

. ,
,
0546 0
1000
6 54
= =
d
λ
. ,8920 22 = σ
. ano 1 = TI

Aplicando a norma IEC 61508 vem:

( ) ( )
2 2
TI PFD
d
∗ = λ
( )
2
2
2
ano 1
0546 0 |
¹
|

\
|
∗ = , PFD
000745 0, = PFD
( )
76 1341
000745 0
1
,
,
= = RRF
%. , , , 92547 99 999255 0 000745 0 1 = = − = D

Os cálculos indicam que o sistema proposto tem um tempo médio entre “trips”
de 56.373 anos, e uma disponibilidade de 99,92%, isto daria um nível de integridade
SIL 3, de acordo com a norma IEC 61508 indicando que este sistema pode ser
aplicado em malhas até SIL 3. O que é um resultado bem satisfatório, pois
consegue-se visualizar que este sistema esta respondendo de acordo com o
esperado, e esta demonstrado ter uma confiabilidade aceitável para o nível 3 de
integridade de segurança.

96
CAPÍTULO 5


5. CONCLUSÕES E TRABALHOS FUTUROS


No dia a dia da indústria se faz mais do que necessário à utilização de
sistemas tolerantes a falhas, devido ao perigo e a complexidade que alguns
processos apresentam para a indústria e para seus funcionários.
A tolerância à falhas é uma das qualidades que um controlador pode
apresentar. É a capacidade de detectar transitório e o estado de equilíbrio do erro
adotando medidas on-line corretivas.
Investir em sistemas extremamente caros não é sinônimo de confiabilidade,
uma vez que as válvulas ainda constituem o elo mais fraco do sistema. É preciso ter
em mente que uma malha de shutdown depende dos controladores, bem como, dos
sensores e atuadores (válvulas).
Como foi demonstrado, existem várias opções de sistema de redundância no
mercado, mas existem também malhas mal avaliadas, ou seja, super dimensionadas
ou ainda mal dimensionadas encarecendo o projeto do SIS. As normas vigentes
orientam no que deve ser feito em um SIS e não como.
Neste trabalho foi proposta uma arquitetura de redundância tolerante a falhas
com a utilização do hardware do PC padrão. Também foi utilizado um sistema
embarcado de tempo real, ou seja, foi retirado o sistema operacional padrão e foi
colocado um sistema de tempo real, no caso Windows CE. Para que fosse possível
a redundância foi instalado em três computadores o mesmo sistema embarcado e
estes executaram o mesmo programa em paralelo.
As placas de circuito impresso, chamados de canal, foram desenvolvidas para
que o PC tivesse acesso as variáveis de controle e a elementos finais de controle,
para tanto, utilizou-se microcontroladores PIC que implementam conversores A/D de
10 bits.
O primeiro teste efetuado foi comparar este sistema com um CLP industrial,
onde se obteve um resultado bem satisfatório, pode-se observar o real
funcionamento de um sistema de redundância e a vantagem em relação a um
sistema simplex.

97
O segundo teste foi fazer o levantamento das taxas de falhas, tanto as
seguras como as perigosas, do sistema implementado e assim aplicar a norma IEC
61508 para calcular a disponibilidade do sistema e conseguir descobrir qual era o
nível de integridade deste sistema, como resultado obteve-se SIL 3. Isto significa
que o sistema proposto atende a malhas que exigem um nível de segurança 3. O
que é um resultado excelente, pois todos os PES estudados atendem até SIL 3, a
IEC 61508 é muito cautelosa com sistemas SIL 4.
A finalidade deste trabalho não é desmerecer os PES existentes, mas
demonstrar que pode ser desenvolvido sistemas tão eficazes quanto aproveitando-
se de hardwares existentes com modificações e evoluções dos softwares.
O Windows CE se demonstrou uma alternativa viável para o desenvolvimento
de dispositivos dedicados, onde ele permite a seleção dos componentes do sistema
operacional em uma vasta base de dados, garantindo total flexibilidade e um rápido
desenvolvimento.
Além da aplicação industrial, acredita-se que este trabalho tem uma aplicação
muito interessante no meio acadêmico, devido ao preço que um CLP de
redundância apresenta. Uma das dificuldades encontradas, durante o
desenvolvimento desta dissertação, foi encontrar uma empresa que estivesse
disposta a emprestar o seu CLP de redundância para estudo, o que dificultou o
desenvolvimento do mesmo. O sistema proposto pode ser utilizado em processos
reais dentro de instituições de ensino como usinas piloto, controle de caldeiras e etc.
A um custo bem inferior de um sistema industrial, mas tão eficaz quanto.

Entre os possíveis trabalhos futuros destacam-se:

• Produzir e disponibilizar literatura em português sobre Sistema de
Intertravamento de Segurança, pois ainda existem poucos livros sobre o
assunto no idioma português e considerando-se também outros tipos de
bibliografia, como artigos;
• Desenvolver uma comunicação entre os três canais de processamento para
que se tenha apenas uma interface com o usuário;
• Desenvolver este sistema utilizando a comunicação USB (Universal Serial
Bus) entre os canais de processamento e de aquisição, para aumentar a
velocidade na troca de dados aumentando assim o desempenho do sistema;

98
• Estudos de integração deste sistema com protocolos de redes industriais,
como Foundation Fieldbus e Profibus;
• Pesquisar novas arquiteturas para o canal de votação, este é o “gargalo” do
sistema de votação, utilizando-se talvez de sistemas inteligentes ou
especialistas;
• Desenvolver sistemas embarcados para monitoramento local de válvula de
controle, bem como, sistemas alternativos para realizar testes nestes
elementos finais sem o desligamento do processo;
• Estudos de viabilidade econômica e de implantação deste sistema para
aplicação industrial;
• Verificar o desempenho destes sistemas utilizando-se de outros sistemas
embarcados, por exemplo, o Linux Embedded;
• Transformar esta dissertação em um produto viável, tanto na área acadêmica
como no meio industrial.

Os interessados poderão dar continuidade à redação deste trabalho, afinal,
esta dissertação, é uma obra embora não concludente, passível de revisão e
ampliação.















99
REFERÊNCIAS


AVIZIENIS, A.; KELLY, J. P. Fault tolerance by design diversity - concepts and
experiments. Computer, New York, USA, 1984.

BARR, M. Programming Embedded Systems in C and C++. Sebastopol: O' Reilly
& Associates, CA, 1999.

BEGA, E. A. Instrumentação Aplicada ao Controle de Caldeiras. 3ª. ed. Rio de
Janeiro, RJ: Interciência. 2003.

BURNS, A.; WELLINGS, A. Real-Time Systems and Programming Languages.
2ª. ed. England: Addison Wesley, 1997.

CENTER FOR CHEMICAL PROCESS SAFETY - CCPS. Guidelines for Safe
Automation of Chemical Processes. New York: ISA, 1993.

CHEN, L.; AVIZIENIS, A. N-version programming: a fault tolerance approach to
reliability of software operation. In: Annual International Symposium on Fault-
Tolerant Computing, 1978. Proceedings. New York, IEEE, 1978. p. 3-9.

FINKEL V. S. Ferramentas modernas para avaliar os SIL e trabalhar o SIS das
funções de segurança. INTECH BRASIL, São Paulo, n. 81, p. 8-14, 2006.

FINKEL, V. S. et al. Instrumentação Industrial. 2ª. ed. Rio de Janeiro: Interciência,
2006.

GOBLE, W. M., Control Systems Safety Evaluation and Reliability. 2ª. Ed.
Research Triangle Park, USA: ISA, 1998.

GOBLE, W. M.; CHEDDIE, H. Safety Instrumented Systems Verification:
Practical Probabilistic Calculations. 1ª. ed. Research Triangle Park, USA: ISA,
2005.

GRUHN, P.; CHEDDIE, H. Safety Instrumented Systems: Design, Analysis, and
Justification. 2 ª. ed. Research Triangle Park, USA : ISA, 2006.

GUREWICH, N.; GUREWICH, O. Visual C++ 5. 4 ª. ed. Indiana, USA: Sams, 1997.

HORTON, I. Visual C++ 2005. 1ª. ed. Indianápolis, USA: Wiley Publishing, Inc,
2006.

INTERNATIONAL ELECTROTECHNICAL COMMISSION. IEC 61508: Functional
Safety of electrical / electronic / programmable electronic safety-related
systems. Geneva: Switzerland, 2000.


100
INTERNATIONAL ELECTROTECHNICAL COMMISSION. IEC 61511: Functional
safety – Safety instrumented systems for the process industry sector. Geneva:
Switzerland, 2000.

INTERNATIONAL ELECTROTECHNICAL COMMISSION. IEC 62061: Safety of
machinery - Functional safety of safety-related electrical, electronic and
programmable electronic control systems. Geneva: Switzerland, 2005.

JAFFE, M.S.; LEVESON, N.G.; HEIMDAHL, M.P.E.M.; BONNIE, E. Software
requirements analysis for real time process control systems. IEEE Transactions on
Software Engineering, v.17, n.3, p.241-258, 1991.

JOHNSON, B.W. Design and Analysis of Fault Tolerant Digital Systems.
University of Virginia, New York, USA: Addison-Wesley Publishing Company, 1989.

KITCHENHAM, B.; PELEEGER, S.L. Software Quality: The Elusive Target. IEEE
Software, p.12-21, 1996.

LOURES, E. F. R. VIEnCoD: Proposta de um Ambiente CACSD Baseado em
Plataforma de Instrumentação Virtual e MATLAB. Dissertação – Programa de
Pós-Graduação em Informática Aplicada, Pontifícia Universidade Católica do
Paraná, Curitiba, PR, 1999.

MICROSOFT. Microsoft Corporation, 2009. Real Time and Windows CE
Disponível em: <http://msdn.microsoft.com/embedded/usewinemb/ce/techno
/realtme/default.aspx?_r=1>
Acesso em: 20/03/2009

MICROSOFT. Microsoft Corporation, 2009 eMbedded Visual C++ 4.0 SP4.
Disponível em: http://www.microsoft.com/downloads/details.aspx?FamilyID=4A
4ED1F4-91D3-4DBE-986E-A812984318E5&displaylang=en
Acesso em: 07/04/2009

NISE, N. S. Engenharia de Sistemas de Controle. 3ª. ed. Rio de Janeiro, RJ: LTC,
2002.

OFFSHORE RELIABILITY. OREDA: Offshore Reliability – Data Handbook. 4ª. ed.
Strindeveien, USA, 2002.

OGATA, K. Engenharia de Controle Moderno. 4ª. ed. Rio de Janeiro, RJ: Pearson,
2003.

OLIVEIRA, R.; CARISSIMI, A; TOSCANI, S. Sistemas Operacionais. 2ª. ed. Brasil:
Sagra Luzzatto, 2001.

ORTIZ, S. JR. Embedded OS Gain the Inside Track. IEEE Computer. v. 34, n. 11, p.
14-16, 2001.



101
PEDROSO, J. de M. Proposta de Utilização do Sistema Operacional Windows
CE para aplicações didáticas na área de Automação e Controle. 154 f.
Dissertação – Setor de Tecnologia, Universidade Tecnológica Federal do Paraná,
Curitiba, PR, 2007.

PEREIRA, F. Microcontrolador PIC: Programação em C. 4ª. ed. São Paulo, SP:
Editora Érica, 2005.

PETROBRAS. N-2595: Critérios de Projeto e Manutenção para Sistemas
Instrumentados de Segurança em Unidades Industriais. São Paulo, SP, 2002.

PETROBRAS. N-2194: Especificação de Controladores Programáveis. São
Paulo, SP, 1996.

PHAM, H. Handbook of Reliability Engineering. 1ª. ed. New Jersey, USA:
Springer, 2003.

PIAZZA, G. Introdução à Engenharia da Confiabilidade. 1ª. ed. Caxias do Sul,
RS: EDUCS, 2000.

REESE, J. D.; LEVESON, N.G. Software Deviation Analysis: A “Safeware”
Technique. Annual Loss Prevention Symposyum, 31, p.1-14, Houston, Texas,
USA, 1997.

SÁ, M. C. de. Programação C para Microcontroladores 8051. 1ª. ed. São Paulo,
SP: Editora Érica, 2005.

SEAMAN, C. B. Qualitative Methods in Empirical Studies of Software Engineering.
IEEE Transactions on Software Engineering, v. 25, n. 4, p. 557-572, 1999.

SMITH, D. J. Reliability, Maintainability, and Risk: Practical Methods for
Engineers. 5ª. ed. Butterworth-Heinemann, 1997.

STOREY, N. Safety-Critical Computer Systems. New York, USA: Addison Wesley,
1996.

STROTHMAN, J. Measurement Equations and Tables. 2ª. ed. Research Triangle
Park, USA: ISA, 2006.

TACKE, C.; RICCI, L. Benchmarking Real-Time Determinism in Windows CE. White
Paper Disponível em: <http://msdn2.microsoft.com/en-us/library/ms836535.aspx>,
2002. Acesso em 12/03/2009.

THE INSTRUMENTATION, SYSTEMS, AND AUTOMATION SOCIETY. ANSI/ISA
TR-84.00.01: Functional Safety: Safety Instrumented Systems for the Process
Industry Sector – Parts 1, 2, and 3, Research Triangle Park, USA, ISA, 1996.

TUV - Cooperation Functional Safety. Germany, 2009. Disponível em:
<http://www.tuv-fs.com/plclist.htm>.
Acesso em: 27/03/2009.

102

UNIVERSIDADE FEDERAL DO PARANÁ. Sistema de Bibliotecas. Referências
Bibliográficas. Curitiba: Editora UFPR, 2007. (Normas para apresentação de
documentos científicos, 2ª. ed.).

US MIL-HANDBOOK-217F - Failure Rates for Electronic Components, USA, 1992.

XIE, M.; DAÍ, Y. S.; POH, K. L. Computing Systems Reliability – models and
analysis. New York, USA: Kluwer Academic Publishers, 2004.

WEBER, R. F.; WEBER, T. S. Um experimento prático em programação diversitária.
III Simpósio em Sistemas de Computadores Tolerantes a Falhas, SCTF. 20-22
set. Anais. Rio de Janeiro, RJ, 1989. p. 271-290.

ZIO, E. An Introduction to the Basics of Reliability and Risk Analysis. v.13.
Singapore: World Scientific Publishing, 2007.


103
ANEXO A

CERTIFICADO TUV DO TRICON DA TRICONEX

104


105
APÊNDICE A

CIRCUITO ELETRÔNICO DO CANAL DE AQUISIÇÃO

106

107
APÊNDICE B

CIRCUITO ELETRÔNICO DO CANAL DE VOTAÇÃO

108

EDUARDO LUIZ SOPPA

SISTEMA TOLERANTE A FALHAS UTILIZANDO WINDOWS CE, FOCANDO CONTROLADORES INDUSTRIAIS

Dissertação apresentada como requisito parcial à obtenção do grau de Mestre em Engenharia Elétrica, Programa de Pós-Graduação em Engenharia Elétrica, Departamento de Engenharia Elétrica, Setor de Tecnologia, Universidade Federal do Paraná. Orientador: Prof. José Manoel Fernandes, Ph.D.

CURITIBA 2009

vamos brincar? . João Paulo.Papai.Ao meu querido e amado filho. que todos os dias me motiva com seus convites irrecusáveis. .

D. Ph. pois sem Ele nada é possível. Ao amigo Eng. Aos amigos do Senai. orientações e por acreditar neste trabalho. apoio incondicional e por sempre estarem ao meu lado. Carlos Sakiti e Marco Túlio pelos incontáveis debates na padaria na hora do intervalo. carinho. M. Agradeço aos meus pais Luiz Soppa e Rejansira Soppa por todo amor. carinho e pelas palavras de incentivo. verdadeira fonte de alegria. e a Miguel Igino por confiar em meu trabalho. por todo apoio. As minhas irmãs Luciane e Daniele por me apoiarem em vários momentos. conselhos. apoio. Marcio Debner. pelas sugestões e contribuições feitas a este trabalho. E. . Ao amigo e Prof.AGRADECIMENTOS Primeiramente agradeço a Deus. A todos aqueles que diretamente ou indiretamente contribuíram para a realização desta dissertação. Ao Senai-CIC pela infra-estrutura cedida para a realização deste estudo.Sc. pela dedicação. A minha amada esposa Alexandra C. a todos aqueles que entenderam a minha ausência durante este período. Juliano de Mello Pedroso. Que as experiências compartilhadas até aqui sejam a alavanca para alcançarmos à alegria de chegar ao destino por cada um de nós projetado. Guimarães. José Manoel Fernandes. Ao meu filho João Paulo por me acordar com beijos nos sábados e nos domingos e a Maria Tereza pelos seus sorrisos. Aos professores do programa de Pós-Graduação em Engenharia Elétrica da UFPR pelo esforço constante em oferecer um ensino de qualidade e aos professores que aceitaram fazer parte desta banca.

Lucas (19. 11-28) . Ele me confiará mais. meus passos guiará. Se sou fiel no pouco.Se sou fiel no pouco.

PID (Proporcional Integral e Derivativo). Muitas vezes. Eles causam a parada de emergência (ESD – Emergency Shutdown) ou impedem uma operação insegura sempre que as condições do processo ultrapassem os limites préestabelecidos como seguros. Isso refletiu em normas nacionais (N-2595) e internacionais (IEC-61508. pois neste projeto irá ser utilizado um sistema embarcado (Windows CE) no lugar dos sistemas operacionais conhecidos. Após alguns acidentes fatais. desde que os sistemas analisados atendam o mesmo nível de integridade de segurança (SIL Safety Integrity Level). Nível de Integridade de Segurança (SIL – Safety Integrity Level). Existem diferentes tipos de sistemas (arquitetura) que atendem a diferentes processos. Intertravamento. transformando o custo do sistema em um item de decisão.01) no desenvolvimento de produtos específicos para serem usados na concepção e arquitetura de novos projetos de instalações. de maneira que os erros provenientes do software que ocorrem nos computadores sejam eliminados. começou-se a por em prática o conhecimento em segurança e o desenvolvimento de sistemas. .Triple Modular Redundant). transmissores e atuadores) seja feita. utilizando para tanto um algoritmo PID (Proporcional Integral e Derivativo) devidamente sintonizado. o preço é quem decide qual sistema será implantado. conversores de corrente para tensão. O objetivo desta dissertação é propor e validar de forma prática um Sistema Redundante de Segurança utilizando o hardware de um PC (Personal Computer) padrão. conversor de pulso PWM (Pulse Width Modulation) para sinal analógico e modulação em corrente etc. agressão do meio ambiente. Ainda. Palavras–chave: Sistema Instrumentado de Segurança (SIS). Controle. IEC 61508. Redundância Modular Tripla (TMR .RESUMO Os Sistemas Instrumentados de Segurança (SISs) são sistemas responsáveis pela segurança operacional de unidades e equipamentos industriais. Sistema embarcado. demonstrar que é possível o desenvolvimento de SIS de baixo custo. uma vez que este hardware já está bem testado. placas de comunicação se farão necessárias. tão eficiente quanto os sistemas existentes no mercado. IEC-61511. Probabilidade de Falha sobre Demanda (PFD). Para que a interface com o mundo externo (sensores. TR-84. com perda de vidas humanas. Ainda. Para que se tenha a redundância modular tripla (TMR – Triple Modular Redundant) irá ser colocado três computadores com sistema embarcado para processar as informações em paralelo (ao mesmo tempo). A diferença entre o sistema proposto e um computador de uso comum será o sistema operacional. Todo o sistema será testado em uma planta didática e deverá efetuar o controle de vazão de uma malha. Windows CE. será identificada a probabilidade de falha sobre demanda (PFD) para que seja possível a qualificação do sistema de acordo com a norma IEC 61508. Paralelo. após ter sido feita a qualificação da malha de controle.

As this hardware is widely tested and proven to work. making the system’s cost in a decision item. Many times after loop qualification its price influences which system will be implemented. TR-84. Embedded System. They cause emergency stops (ESD – Emergency Shutdown) or prevent unsafe actions whenever the process conditions go outside pre-established safety limits. Interlock. can debug known errors.01) norms to be used in specific products for concept and design of new installation projects. All this system will be employed in a didactic plant and must execute flow control in a loop using a PID (Proportional Integral Derivative) algorithm. . A difference between the proposed system and one common use computer will be the operating system. Keywords: Sistema Instrumentado de Segurança (SIS). pulse PWM (Pulse Width Modulation) for analogical signals.ABSTRACT The Safety Instrumented Systems (SISs) are systems responsible for the industrial units and equipments operational safety. IEC-61511. since all analyzed systems meet the same Safety Integrity Level (SIL). After several fatal accidents. And the. Control. For external interface (sensors. To obtain a Triple Modular Redundancy (TMR) three computers with embedded system will process the information in parallel (at the same time). current to voltage converters. Windows CE. Failure Probability over Demand (PFD). like loss of human lives and environmental harm that the safety knowledge and systems design was put in practice resulting in national (N-2595) and international (IEC61508. IEC 61508. Safety Integrity Level (SIL). so it will be possible to qualify the system in accordance with the norm IEC61508. Parallel. because an embedded system (Windows CE) instead of known operating systems. it can be demonstrated that a low cost SIS can be developed as effective as other existing market SIS. failure probability over demand (PFD) will still be identified. Triple Modular Redundancy (TMR). transmitters and actuators) communication boards will be developed. Proportional Integral Derivative (PID). The objective of this dissertation is to propose and validate in a practical way a redundant safety system using a standard PC (Personal Computer) hardware. current modulation among others.

......................................39 FIGURA 4 – SISTEMA DE REDUNDÂNCIA MODULAR TRIPLA................................................... ...................................75 FIGURA 23 – FLUXOGRAMA DA FUNÇÃO DE TRATAMENTO DA INTERRUPÇÃO SERIAL 1.......................................... ............................................................................................................................................................ ..................................................................45 FIGURA 8 – SISTEMA DE CONTROLE................. .....................................26 FIGURA 3 – CAUSA COMUM.............................................................44 FIGURA 7 – O IMPACTO DA REDUNDÂNCIA.................................................................................................................52 FIGURA 9 – SISTEMA A MALHA ABERTA............................................................................................................... ......19 FIGURA 2 – ALARP...........76 FIGURA 24 .... ................................... .................................................................................................... .............68 FIGURA 19 – DIAGRAMA PROPOSTO........58 FIGURA 13 – SISTEMA A RELE TÍPICO.......................... ...................................................................................................65 FIGURA 17 – DIAGRAMA DE INTERLIGAÇAO................................................LISTA DE ILUSTRAÇÕES FIGURA 1 – ETAPAS METODOLÓGICAS.................................................. ......60 FIGURA 14 – CONCEITO DE OPERAÇÃO..................................77 FIGURA 25 – FLUXOGRAMA DO ALGORITMO DE CONTROLE DO CANAL DE VOTAÇÃO................ ....70 FIGURA 20 – MODOS DE FALHA DA ARQUITETURA 2oo3........................ ..............FLUXOGRAMA DA FUNÇÃO DE TRATAMENTO DA INTERRUPÇÃO SERIAL 2........................................................79 ................42 FIGURA 5 – SISTEMA HOT STANDBY.........72 FIGURA 21 – ÁRVORE DE FALHA DE UMA ARQUITETURA 2oo3 PARA OS CANAIS A e B.......72 FIGURA 22 – FLUXOGRAMA DO ALGORITMO DO CANAL DE AQUISIÇÃO............................................................61 FIGURA 15 – SISTEMA 2oo2 COM DIAGNÓSTICO......................................53 FIGURA 11 – SISTEMA DE CONTROLE CLÁSSICO...................................................................................52 FIGURA 10 – SISTEMA A MALHA FECHADA.................43 FIGURA 6 – BLOCOS DE RECUPERAÇÃO...................64 FIGURA 16 – DIAGRAMA DE BLOCOS DE UM CANAL DO SISTEMA PROPOSTO....................................... ............55 FIGURA 12 – SISTEMA DE PARADA PNEUMÁTICO...........................................66 FIGURA 18 – DIAGRAMA DA PLANTA 3.....................................................................................................

FIGURA 26 – FLUXOGRAMA DO ALGORITMO DE SHUTDOWN DO CANAL DE VOTAÇÃO.................................................................................................................80 FIGURA 27 – FLUXOGRAMA DA TROCA DE DADOS ENTRE O CANAL DE AQUISIÇÃO E O WINDOWS CE. .............................................................................85 FIGURA 28 – FLUXOGRAMA DO SISTEMA DE CONTROLE. ................................86 FIGURA 29 – CURVA DE RESPOSTA DO SISTEMA EM MALHA ABERTA. ..........87 FIGURA 30 – CURVA DE RESPOSTA DO PROCESSO CONTROLADO PELO SISTEMA...................................................................................................................89 FIGURA 31 – CURVA DE RESPOSTA DO PROCESSO CONTROLADO POR UM CONTROLADOR INDUSTRIAL. ...............................................................................89 FIGURA 32 – DIAGRAMA ESQUEMÁTICO DO SISTEMA 2oo3. ............................91 FIGURA 33 – FLUXOGRAMA DO SISTEMA DE INTERTRAVAMENTO. ................93

LISTA DE TABELAS

TABELA 1 – NÍVEL DE INTEGRIDADE DE SEGURANÇA IEC 61508 VERSUS DIN/VDE 19250.........................................................................................................23 TABELA 2 - SIL EM FUNÇÃO DE DISPONIBILIDADE E PROBABILIDADE DE FALHA SOB DEMANDA ...........................................................................................33 TABELA 3 – CÁLCULO DE PFD E MTTFsp PARA SISTEMAS REDUNDANTES ....35 TABELA 4 – TABELA DE CLPs DE SEGURANÇA CERTIFICADOS IEC 61508 .....63 TABELA 5 – EQUIPAMENTOS E SUAS FUNÇÕES. ...............................................68 TABELA 6 – CONJUNTO DE CARACTERÍSTICAS UTILIZADAS PARA A CONSTRUÇÃO DA IMAGEM NO WINDOWS CE. ...................................................82 TABELA 7 – TABELA VERDADE DE SAÍDA DE CADA CANAL DE PROCESSAMENTO DADA AS ENTRADAS (SA,SB e SC)......................................91 TABELA 8 – FALHAS SEGURAS .............................................................................94 TABELA 9 – FALHAS PERIGOSAS..........................................................................95

LISTA DE SIGLAS

AIChE ALARP ANSI API CCPS CE CLP CO CPU DIN EPA ESD FMEA HAZOP IEC ISA LED LCD MMU MTBF MTTF MTTR MV NFPA NMR OMAC OSHA PC PES PFD PHA

- Instituto Americano de Engenheiros Químicos - As Low as Reasonably Possible - American National Standards Institute - American Petroleo Institute - Center for Chemical Process Safety - Compact Edition - Controlador Lógico Programável - Saída de Controle - Unidade Central de Processamento - Deutsches Institut fur Normung - Environment Program Agency - Emergency Shutdown - Análise de Modos e Falhas e seus Efeitos - Hazard Operability - International Electrotechnical Commmission - Instrumentation and Automation Society - Diodo Emissor de Luz - Liquid Crystal Display - Memory Management Unit - Tempo Médio entre Falhas - Tempo Médio de Falha - Tempo Médio de Reparo - Variável Manipulada - National Fire Protection Agency - Redundância Modular N - Open, Modular, Architecture Control - Occupational Safety and Heath Organization - Personal Computer - Sistema Eletrônico Programável - Probabilidade de Falha sobre Demanda - Process Harzard Analysis

Set Point .Sistema Digital de Controle Distribuído .Sistema de Intertravamento de Segurança .Watchdog Timer . Integral e Derivativo .Fator de Redução de Risco .Pulse Width Modulation .Nível de Integridade de Segurança .Safety Function Evaluation .Universal Serial Bus .Variável do Processo .PID PSM PV PWM RRF SAFE SDCD SIL SIS SP TMR TR TUV USB WDT Win API .Risc Management Program .Technical Report .Redundância Modular Tripla .Technische Uberwachungs Verein .Application Programming Interface .Proporcional.

.31 2........7..............................................................38 2.....1......23 2.........1..........23 2.......................... Probabilidade de Falha sobre Demanda (PFD).5.................................... Conceitos de Risco.................4...................3................2..................... INTRODUÇÃO...................................................... ETAPAS METODOLÓGICAS ...............................4.2............................................................................................ Falhas............................................ OS SISTEMAS DE SEGURANÇA NOS PROCESSOS INDUSTRIAIS ...................................................................................................................................17 1..........35 2...........45 2.............................................2........... DEFINIÇÕES SOBRE SISTEMAS DE SEGURANÇA (SIS).........51 2.........................2......................................................................29 2..1.......4.............................1............1..... Redundância de Hardware............4........................................... OBJETIVOS GERAIS ...6.....48 2..............................24 2............... REVISÃO DA LITERATURA ..................40 2........ Windows CE .............5........................4.36 2....4............................5......... ANÁLISE DO RISCO .........4............3.......................1.........................................................................7. Análise Quantitativa e Qualitativa............... Risco ....... Análise de um Sistema de Redundância Tripla (TMR)..4...................................... Análise de um Sistema com Controlador Lógico Programável não redundante ............. OBJETIVOS ESPECÍFICOS........... Redundância de Software ......................4.1.. Análise de um Sistema a Rele............20 2............................... O Impacto da Redundância.......4.................52 .....................................3..........41 2................................................5...........................6........ Perigo (Hazard) ........... Malha Aberta ..................5................................... Sistema de Tempo Real ...........................25 2............................................... NORMAS ATUAIS PARA SIS.................1.....3....4................................................... Análise de Sistemas .......3......... Causa Comum .............21 2.......... SISTEMA DE CONTROLE ......32 2........27 2........................SUMÁRIO 1..................18 1...........................................18 2..2............3..........................47 2............3..........................................17 1..2.............35 2.....20 2..15 1...............4..................................................................3......................6...................4.............. SISTEMAS EMBARCADOS .........................................................................................2.......... TIPOS DE REDUNDÂNCIA...........................3.............43 2...........................46 2........................4..... ESTRUTURA DA DISSERTAÇÃO ........................39 2..................

..........................................................................................1......................................................... CANAL DE AQUISIÇÃO .....................................2.................... Planta Didática ............... SIS Microprocessado (CLP) .......... IMPLEMENTAÇÃO E RESULTADOS .........................2................1................................ Criando um Novo Projeto ................1................................................................................90 5.....96 REFERÊNCIAS.......................................................... Criando o Disco de BOOT.............................................................83 4........ CANAL DE VOTAÇÃO ........................................81 4....................................................................................................67 3......................................54 2....... PROPOSTA DE UM SISTEMA TOLERANTE A FALHAS .......................7..........................103 APÊNDICE A ............... CANAL DE PROCESSAMENTO ..................77 4...........................74 4.3.....................7....... ESCOLHA DA TECNOLOGIA E DA ARQUITETURA .........3.............................59 3....2....62 3....2.... INTRODUÇÃO.....................................................3........................ Criando a Imagem do Windows CE..........................................56 3............64 3.......... Obtenção de Dados para o Cálculo da PFD ....................3.........56 3................4.................3. SIS de Lógica Fixa em Estado Sólido ............................71 3..............................81 4.................3...............83 4...............................3...............1...3............................74 4.............................................7......3....105 APÊNDICE B ........................................................2.........4................................................................................................55 3......... AQUISIÇÃO DA PFD.2.......3................................. Controlador PID........99 ANEXO A................... Controle em Tempo Real ........107 .... SISTEMA DE CONTROLE ...................................4...3.................................................70 3..............................................84 4..............1.........60 3........................ MATERIAIS E MÉTODOS ......................................4.......................................3....................... SIS a Rele .......................................................................53 2...................2...... SIS Pneumáticos ......................4.........................5..............................................................................2....... Comparação do Sistema com CLP Industrial de Controle ................................................................3.71 4.2...............................2............. CONCLUSÕES E TRABALHOS FUTUROS............. Malha Fechada..58 3........................57 3.....................83 4......... Efetuando o BOOT Local ...2..................... SISTEMA DE INTERTRAVAMENTO........................

Hoje em dia. etc. que as pessoas ficam confusas. eles acabam precisando encontrar uma outra saída. existe uma gama grande de escolhas de possíveis tecnologias (por exemplo. Infelizmente. basicamente para atender aos baixos níveis de risco de processos.1993). e demonstrem interesse em instalar os sistemas para atingir um desempenho SIL 3. tecnologias distintas. nem apenas do desenvolvimento da consciência de que os acidentes podem e devem ser evitados.). Após alguns acidentes fatais. como perdas de vidas humanas e agressão ao meio ambiente começaram-se a por em prática o conhecimento em segurança e o desenvolvimento de novos sistemas. Os sistemas SIL 3 oferecem os níveis de desempenho mais altos (de . Isso refletiu em normas nacionais e internacionais no desenvolvimento de produtos (hardware e software) específicos para serem usados na concepção e na arquitetura de novos projetos de instalações. reavaliar a malha de controle para tentar baixar o SIL (Nível de Integridade de Segurança). De um modo geral a escolha recaía sobre reles.15 CAPÍTULO 1 1. tanto nos Estados Unidos como em outros países. 2006). INTRODUÇÃO O projeto de sistemas instrumentados de segurança ou sistemas de intertravamento de segurança (shutdown) era relativamente simples há trinta anos atrás (CCPS. o que gera um retrabalho e custos adicionais de projeto para as empresas. Os trabalhos nesta área começaram há cerca de dez anos. é a partir de acidentes ocorridos nas indústrias de processos que se verificou que os sistemas de segurança normalmente empregados nas instalações industriais deixavam a desejar. tanto melhor devem ser os sistemas necessários para controlar tal risco” (GRUHN. Infelizmente. sem falar que não havia normas industriais sobre o assunto.CHEDDIE. níveis de redundância. É comum que inicialmente projetistas adotem uma postura muito conservadora. por exemplo. O tema comum nas normas recentes é: “quanto maior o risco do processo. Mas a evolução não ocorre por acaso. Os sistemas SIL 1 proporcionam o menor nível de desempenho (de 90 a 99% de disponibilidade). quando eles percebem que os sistemas que são certificados para atender este nível são caros.

16

99,9 a 99,99% de disponibilidade), para atender aos níveis mais elevados de risco do processo. As normas não obrigam e nem recomendam qual tecnologia deve ser usada, nem níveis de redundância ou intervalos de testes manuais devem ser adotados para atender os requisitos de desempenho para níveis de integridade distintos. Cabe ao projetista determinar quais sistemas foram projetados para atender às condições de segurança. Alguns livros de confiabilidade como Xai, Dai e Poh (2004) e Pham (2003), bem como, o relatório TR 84.01 da ISA e a norma IEC 61508 mostram métodos para o cálculo do desempenho de segurança de um sistema. Os sistemas a reles têm condições de atender aos requisitos SIL 3, mas é raro encontrar, hoje em dia, alguém disposto a usar reles para grande sistemas. Os sistemas baseados em software e hardware com redundância dupla e tripla também são capazes de atender aos requisitos SIL 3. Esses sistemas também são certificados por órgãos independentes como TUV e Exida. A sugestão deste trabalho é partir de um hardware e de um software existente e exaustivamente testado pelas diversas aplicações que o envolvem. A evolução dos PCs acarreta uma alta confiabilidade de hardware e o surgimento dos sistemas embarcado de tempo real vem aumentando as possibilidades de se ter novos sistemas desenvolvidos a partir da arquitetura do PC que apresentem uma alta disponibilidade e confiabilidade. A questão é que, dentro de sistemas dedicados para SIL o processamento é feito com microcontroladores ou microprocessadores que estão disponíveis no mercado. Em sistemas mais antigos, pode-se encontrar microprocessadores inferiores aos existentes e utilizados hoje em dia nos PCs. Então, a indústria de sistema é obrigada a desenvolver todo um hardware específico e dedicado que tem um alto custo de desenvolvimento para atingir a disponibilidade exigida. E dentro destes hardwares existem softwares embarcados denominados firmwares que servem para rodar o programa aplicativo desenvolvido pelo usuário. O objetivo é utilizar a arquitetura de um PC, cuja diferença reside no sistema operacional. Para tanto, utilizar-se-á um sistema operacional de tempo real, que pode ser comparado com o firmware dos sistemas dedicados. Será criado um aplicativo que irá rodar em cima deste firmware, podendo este aplicativo ser comparado com o software desenvolvido pelo usuário.

17

Para que seja possível a interface do aplicativo desenvolvido com os equipamentos de campo (sensores, elementos finais, etc.) serão desenvolvidas placas que se comunicarão com o PC via um protocolo serial. Feito isto, as normas de certificação de sistemas de intertravamento de segurança serão seguidas para que seja possível o cálculo de disponibilidade do sistema proposto, visando à avaliação de todo este trabalho e validação do mesmo.

1.1. OBJETIVOS GERAIS

Estudar os diferentes sistemas de redundância existentes no mercado (sistemas pneumáticos, a reles, lógica fixa e controladores lógicos programáveis), verificar seus funcionamentos e benefícios, analisar as vantagens e desvantagens de tais sistemas, com isto, propor um sistema concorrente de baixo custo, mas tão eficaz quanto. Para tanto, implementar um sistema utilizando-se de um hardware padrão (PC) e um sistema embedded sem precisar desenvolver um sofisticado novo hardware.

1.2. OBJETIVOS ESPECÍFICOS

Os objetivos específicos são: • • • • • • •

Checar os vários sistemas disponíveis no mercado; Propor um sistema de baixo custo com confiabilidade; Comparar o sistema proposto com sistemas industriais; Aplicar o sistema proposto em um processo real; Calcular a disponibilidade do sistema proposto; Encontrar o SIL deste sistema de acordo com a IEC 61508. Verificar se o sistema proposto atende as exigências industriais, seguindo a prescrição da IEC 61508.

18

1.3. ESTRUTURA DA DISSERTAÇÃO

O restante desta dissertação está organizada em 4 capítulos. No Capítulo 2 faz-se uma revisão da literatura sobre os principais conceitos sobre nível de integridade de sistemas, sistema operacional de tempo real. No Capítulo 3, descrevem-se em detalhes o desenvolvimento do sistema redundante proposto. No Capítulo 4 relatam-se os resultados obtidos. E, finalmente, o Capítulo 5 apresenta a discussão dos resultados, as conclusões do trabalho e as propostas de trabalhos futuros.

1.4. ETAPAS METODOLÓGICAS

A metodologia desta pesquisa esta apoiada na elaboração de um protótipo fundamentado pela IEC 61508 que é a norma que certifica este tipo de equipamento. A validação do mesmo foi baseada na norma em questão, para tanto, dois experimentos serão desenvolvidos, o primeiro focando uma aplicação em controle de processo e o segundo para um sistema de intertravamento. A Figura 1 ilustra essas etapas metodológicas. As etapas metodológicas da pesquisa tem por objetivo as seguintes atividades e resultados:

1. Normas, SIL e redundância: revisão bibliográfica para encontrar a forma que é aplicada a IEC 61508 para encontrar o SIL de uma malha de controle. 2. Pneumático, Rele, Lógica fixa, CLP redundante: Analisar as tecnologias existentes no mercado afim de elencar as suas vantagens e desvantagens. 3. Canais de aquisição, votação e processamento: propor um sistema redundante a falhas com uma configuração 2oo3. 4. Validação em uma malha de controle: aplicação em um processo real a fim de comparar o sistema proposto com um sistema industrial.

. teórica Vantagens e desvantagens de cada sistema Refinamento Pneumático. Redundância Revisão bibliográfica. SIL. Validação em um sistema de intertravamento: obter as taxas de falhas do sistema proposto para encontrar a disponibilidade. Lógica fixa.19 5. votação e processamento Proposta de um sistema redundante Validação Comparação com um sistema industrial Validação em uma malha de controle Aplicação em um processo real Confiabilidade. CLP redundante Análise de tecnologias existes Sistema redundante 2oo3 Canais de aquisição. confiabilidade e o SIL deste sistema de acordo com a IEC 61508. Resultados esperados Fases da pesquisa Atividade metodológica Avaliação de SIL de malha de controle Normas. Rele. SIL conforme IEC 61508 Validação em um sistema de intertravamento Obtenção das taxas de falhas FIGURA 1 – ETAPAS METODOLÓGICAS. disponibilidade.

frequentemente assumem-se riscos desnecessários. quando submetidos à forte fator de stress. estudos revelaram que. mas principalmente. 2006). Posteriormente. A única maneira de saber se uma válvula de . A evolução não é fruto do acaso. REVISÃO DA LITERATURA 2. Infelizmente. Um fator importante. estatisticamente. nem apenas do desenvolvimento de uma consciência de que os acidentes podem e devem ser evitados. OS SISTEMAS DE SEGURANÇA NOS PROCESSOS INDUSTRIAIS Os sistemas de shutdown (ESD. e frequentemente o resultado é o acidente. devem ser acionados automaticamente (FINKEL et al. seres humanos tomam iniciativas erradas em 99% dos casos. projeto e implementação. 2006). que muitas vezes não são exaustivamente testados com a frequência necessária para garantir uma probabilidade de falha suficientemente pequena. é a partir da análise de acidentes realmente ocorridos que se tomou conhecimento de que os sistemas de segurança normalmente empregados em instalações industriais deixavam a desejar (FINKEL et al.1. Após o acidente na plataforma de Piper Alfa ficou provado que não se pode confiar na capacidade de decisão/atuação do ser humano frente ao stress de um acidente grave. O excesso de confiança também atinge os sistemas de segurança. para a ocorrência do acidente. não só entre operadores. Antes do ocorrido em Chernobil. Para não parar o processo. O problema surge na hora de testar os elementos finais.. Conclusão: o sistema de desligamento de emergência não pode depender de acionamento manual. 2006). em níveis gerenciais. um primeiro ministro soviético disse textualmente: “Nossos reatores nucleares são tão seguros que poderia-se instalar um aqui na Praça Vermelha.20 CAPÍTULO 2 2.. no centro de Moscou” (FINKEL et al. é o excesso de autoconfiança.. SIS) para processos industriais têm evoluído bastante nestas últimas décadas. em termos de concepção.

o que seria indesejável. Mas infelizmente. principalmente em SIS. De acordo com Finkel et al. 2. levando-se em conta o tempo de estudo. pode-se citar o auxílio à equipe de projeto. mas não como fazê-lo. Assim a tendência é não ser necessária se revisar a norma a cada vez que surgir uma nova tecnologia aplicável a sistemas de segurança. Exige do profissional que as usa um conhecimento de causa bem maior do que quem queira simplesmente seguir uma receita de "como se projeta" um sistema. CHEDDIE. Para se certificar um sistema. além de proporcionar uma base legal no caso de disputas judiciais. Algumas normas são genéricas e outras se aplicam a casos particulares. as normas desempenham vários papéis na execução de um projeto. é comandar a válvula para fechar e aguardar o seu fechamento completo. (2006). Nos próximos itens são descritos os principais objetivos de algumas das normas mais utilizadas no desenvolvimento de Sistemas de Segurança Instrumentado. e que provavelmente vai fechar mesmo em caso de necessidade. maturação e aprovação destas normas. Como exemplo. 2006). isso é caro porque provoca a parada do processo (GRUHN. Elas dizem o que precisa ser feito. prover guias de projeto.2. normalmente.21 shutdown realmente está em boas condições de atuação. faz-se necessária a utilização de normas apropriadas a cada aplicação. A norma pode ser aplicada com qualquer tipo de tecnologia existente ou futura. as normas sobre Sistemas Instrumentados de Segurança (SIS) têm como denominador comum não serem normas prescritivas e sim orientadas para exigir que se atinja um nível de desempenho desejado pelo sistema. no sentido de garantir que o produto em desenvolvimento obedeça a um determinado nível mínimo de qualidade e a função de seleção de métodos de projeto de eficiência reconhecida. NORMAS ATUAIS PARA SIS Segundo Gruhn e Cheddie (2006). Outras funções que podem ser citadas são promover uniformidade entre diversas equipes de trabalho. .

conforme Anexo A. nuclear. de 1997.22 A exceção é a norma N-2595 (Critérios de projeto e manutenção para sistemas instrumentados de segurança em unidades industriais) onde se tenta manter uma prescrição de como projetar um Sistema de Segurança.01. Assim: para malhas classe I ou II pode-se implementar o shutdown no SDCD (Sistema Digital de Controle Distribuído). enquanto para malhas classe III e superiores. Application of Safety Instrumented Systems for the Process Industries .Safety Related Systems . pelo TUV. levou 11 anos em elaboração. Foi ponto de partida para a elaboração de outras normas européias e americanas. mas acabou abrangendo também os dispositivos de campo e outras tecnologias. o sistema pode ser implementado em reles (só para sistemas simples ou pequenos) ou em CLP (Controlador Lógico Programável) de segurança desde que aprovado para esta classe pelo TUV (Technische Uberwachungs Verein .61511. e embora focada em Sistemas Programáveis.ANEXO A) Organizações de Inspeção Técnica. Pode vir a conflitar (ou se tornar obsoleta ou ser substituída) pela IEC. Para malhas de classe superior a III. é preciso implementar a segurança em equipamentos independentes do SDCD. o sistema deve ser desenvolvido em CLP de segurança. de 1996.. Para malhas classe III. é aplicável a outras tecnologias. A norma IEC 61511 é derivada desta. Norma aprovada pela ANSI. inclusive sugerindo a tecnologia a ser escolhida em função da classificação do risco envolvido em cada malha. A Diretriz PES Guidelines (Programmable Electronic Systems for Use in Safety Related Applications) da Secretaria de Saúde e Segurança do Reino Unido. aprovado para a classe da malha considerada. da Comissão Eletrotécnica Internacional (Européia). A Functional Safety . abrange todos os tipos de indústrias. incluindo medicina. de 1996. etc.Norma IEC 61508. É considerada pelos Americanos como uma Norma Internacional. transporte. e cobrindo várias tecnologias como reles.ISA TR 84. . lógica fixa em estado sólido e sistemas programáveis. da ISA (The International Society for Measurement and Control). inicialmente pretendia cobrir apenas a parte lógica do sistema em lógica programável. porém destinada para as indústrias de processamento em geral. Foi uma das primeiras normas publicadas a respeito do uso de PLCs em segurança.

a TUV. Discorre sobre o uso de SDCDs (Sistema Digital de Controle Distribuído) e sistemas de intertravamento. DIN/VDE 0801 é uma norma Alemã. Uma diferença significativa entre a IEC 61508 e a DIN/VDE 19250 é a classificação dos níveis de integridade de segurança. Perigo (Hazard) O Instituto Americano de Engenheiros Químicos (AIChE) define perigo como uma característica inerente físico ou químico que tem o potencial para causar danos às pessoas.3. bens ou o ambiente. para sistemas de segurança. TABELA 1 – NÍVEL DE INTEGRIDADE DE SEGURANÇA IEC 61508 VERSUS DIN/VDE 19250 IEC 61508 SIL 4 SIL 3 SIL 2 SIL 1 Não definido Arquitetura Lógica fixa. Detalha exigências para fabricação baseados nos riscos calculados conforme a norma DIN/VDE 19250. ANÁLISE DO RISCO 2. Os alemães têm uma agência de certificação independente.3. 2oo3 1oo1D 1oo1 com WDT Não definido DIN/VDE 19250 AK 8 AK 7 AK 6 AK 5 AK 4 AK 3 AK 2 AK 1 2. falha segura 1oo2D. do Centro para Segurança do Processo (CCPS) do Instituto Americano de Engenheiros Químicos (AIChE) de 1993.1.23 Guidelines for Safe Automation of Chemical Processes. um . Gerado por usuários. apenas para os fabricantes dos sistemas. o que permitiu uma velocidade de trabalho superior à usual neste tipo de comitê. que pode ser observada na Tabela 1. que por sua vez deve ser substituída pela IEC 61508. sem a interferência de fornecedores. Ele é a combinação de um material perigoso. que é praticamente a única reconhecida mundialmente.

O risco pode ser avaliado qualitativamente ou quantitativamente (GRUHN. bem como pelos esforços necessários para que se consiga a redução desses riscos. 2. 2006). Por exemplo. pode corresponder ao mesmo nível de risco que um evento raríssimo. porém de consequências mínimas. não devemos armazenar gasolina perto de fontes de ignição (GRUHN. a consequência da ocorrência. A aceitabilidade de um determinado nível de risco é determinada pelos benefícios associados à aplicação crítica e. Nosso objetivo é minimizar ou eliminar eventos ou acidentes perigosos. porém. A N-2595 diz que perigo é uma causa potencial de dano à integridade física e saúde. Enquanto não existe uma fonte de ignição. e certos acontecimentos não planejados que podem resultar em um acidente. 2002). 2002). . riscos com consequências não significativas. Assim. 2006). Por isso. Risco De acordo com a N-2595 risco é a combinação da taxa de perigo com as consequências do evento perigoso (PETROBRAS. seus riscos. podem ser aceitáveis. consequentemente. Segundo Finkel et al. Os perigos estão sempre presentes.CHEDDIE. a gasolina é um combustível líquido. Por outro lado.2. a gasolina pode ser considerada relativamente benigna. Riscos com consequências catastróficas e que ocorram frequentemente não são toleráveis em nenhuma hipótese. (2006) o risco é uma combinação de dois fatores: • • a probabilidade da ocorrência do evento indesejável. mesmo com ocorrência frequente. um evento desfavorável que ocorra com frequência.24 ambiente operacional.CHEDDIE. meio ambiente ou perda de produção (PETROBRAS. de consequências catastróficas.3. O risco normalmente é definido como a combinação da gravidade e da probabilidade de um evento perigoso. patrimônio.

Planta desligada não significa planta segura. 2. É mais seguro garantir que o SIS não provocará muitas atuações desnecessárias. (2006) como para Gruhn e Cheddie (2006). Vamos analisar um exemplo. Risco Inaceitável: as consequências do risco são inaceitáveis.3. Risco Negligenciável: as consequências do risco são insignificantes e podem ser desprezadas.25 A norma IEC 61508 classifica o risco em três níveis (Comissão Eletrotécnica Internacional (IEC). pode ser falso em muitas instalações.3. Esse é o princípio ALARP (As Low as Reasonably . No caso de SIS. antes que se possa partir novamente. mesmo que uma caldeira pare por perder sua alimentação elétrica normal. um determinado risco é aceitável se atingir um nível baixo o suficiente. uma caldeira quando desligada deve ser ventilada internamente para a diluição de gases combustíveis até se atingir um nível de segurança. pode estar em uma condição bem menos segura do que o desejado. na verdade. 1997): • • • Risco Intolerável: as consequências do risco são intoleráveis e sua ocorrência não pode ser justificada. um conceito bem difundido em Sistemas Instrumentados de Segurança. de forma que reduções maiores não sejam justificáveis dos pontos de vista técnico e econômico. É comum que ventiladores de tiragem tenham uma alimentação de emergência para poderem ser acionadas. diz que todos os processos vão para o estado seguro quando os equipamentos são desligados. ou que a eventual concentração de gases quentes junto a algum ponto mais quente dentro da caldeira possa levar a uma ignição espontânea destes gases. Uma unidade industrial que entra em parada de emergência por uma falha no sistema de parada de emergência. Conceitos de Risco Tanto para Finkel et al. mas errôneo. embora possam ser suportadas sob certas condições. O conceito que todo processo reverte a uma condição segura quando se corta a alimentação elétrica geral da planta.

Risco intolerável Risco justificável em casos extraordinários Redução de risco impraticável ou tem custos desproporcionais Custo de redução excede a melhoria Risco ALARP ou risco tolerável Risco amplamente aceitável Risco negligente . e não a um hipotético risco igual a zero (FINKEL et al.. embora não tenha sido enunciado formalmente até a uns poucos anos. E riscos médios. Similarmente. A Figura 2 representa o princípio ALARP. mesmo um sistema com um nível de risco muito pequeno pode ser considerado como inaceitável se o seu nível de risco puder ser facilmente reduzido. o risco deve ser tão baixo quanto o razoavelmente praticável ou implementável (IEC. 2006). 1997). pois não vale à pena realizar o investimento para reduzir riscos que em caso de acidentes. Os riscos elevados não podem ser aceitos. um sistema que tenha um nível de risco significante pode satisfazer aos requisitos se ele oferecer benefícios suficientes e reduções do risco forem consideradas impraticáveis. Entende-se que não há uma segurança total nem absoluta. É mais barato correr o risco do que reduzí-lo. há que reduzi-los. obviamente. nem tão grandes que sejam absolutamente intoleráveis? Para estes a . o que se pretende fazer é sempre reduzir o nível de risco a um nível aceitável. Riscos muito pequenos podem até ser aceitos sem que se façam despesas adicionais para reduzi-los.garantir que o riso permaneça nesta região FIGURA 2 – ALARP. causem prejuízos pequenos. ou seja. FONTE: INTECH BRASIL (2006).26 Possible). Portanto. O conceito do ALARP surgiu na Inglaterra. nem tão pequenos que sejam desprezíveis. É importante considerar que um risco não é aceitável se ele puder ser facilmente reduzido. há algumas décadas.

(PHA – Process Harzard Analysis). 2006). Pode-se exemplificar da seguinte forma.27 técnica do ALARP recomenda simplesmente que se tome a decisão baseada no custo e benefício. Revisto o projeto acabaram todas 40 em SIL 1. etc. Não faz sentido projetar o SIS para atender apenas às malhas que inicialmente se imaginava estarem entre SIL 1 e SIL 2. enquanto outras 20 ficaram na balança entre SIL 1 e SIL2. se por US$ 3000 for possível reduzir um destes riscos a um nível aceitável. sempre valerá à pena fazer este investimento. sua severidade e tolerância ao mesmo. haja 20 funções em que se ficou em dúvida. perdas de equipamento caro de produção.4.000. etc (INTECH BRASIL. e inclui a avaliação do equilíbrio entre a probabilidade do evento. o risco de acidentes aumentou. US$ 50. etc. estes teriam sempre um SIL elevado. for preciso gastar US$ 1. Se devido à condição particular daquela instalação cada malha SIL 1 custar. Os métodos utilizados para a avaliação do SIL de uma malha controle.000. ou reduzi-lo a um nível ainda um pouco maior do que o que seria considerado bom. mas se para esta função de segurança não muito crítica. 2006). A determinação do SIL é uma decisão que passa pela análise de risco do processo. pois estes deveriam ter um SIL mais elevado (INTECH BRASIL. e economizar um milhão de dólares não instalando o SIS para as outras malhas? Obviamente. por exemplo... SIL 0 ou SIL 1. Imagine que ao classificar as funções de segurança quanto ao SIL. DEFINIÇÕES SOBRE SISTEMAS DE SEGURANÇA (SIS) A norma ANSI/ISA TR-84. talvez seja melhor economizar este dinheiro e simplesmente correr o risco. são: . SIL 1 nunca se refere a riscos de vida humana ou ferimentos sérios.01 exige que a indústria determine um Nível de Integridade Desejado (SIL – Safety Integrity Level) para todas as aplicações de Sistemas de Instrumentados de Segurança (SIS – Safety Instrumented Systems). 2.000 devido a válvulas de grande diâmetro e material muito resistente à corrosão. mas não se está falando de acidentes fatais nem de ferimentos graves.

CHEDDIE. É . esta norma foi elevada à categoria de ANSI. • HAZOP estudo de riscos e operacionalidade (hazard and operability study). já que a não obediência pode resultar em ação civil e criminal. • FTA HAZOP.01 como a IEC 61508 exigem que se defina um Nível de Integridade Desejado (SIL) para cada Sistema de Intertravamento de Segurança.28 • Lista de verificação (Checklist). a OSHA (Occupational Safety and Heath Organization) e a EPA (Environment Program Agency). Um programa adequado deve incorporar a assim chamada “Boa prática de Engenharia”.01 “Aplicação de Sistemas de Segurança Instrumentados nas Indústrias de Processo”. etc. NFPA. • FTA análise da árvore de falhas (fault tree analysis). a ISA editou o Standard ISA TR-84. Obedecer esta norma. o que frequentemente era esquecido quando se via um SIS apenas como o equipamento eletrônico contido no gabinete do sistema de shutdown. Tanto a norma ANSI/ISA TR-84. ANSI. que significa na prática seguir as normas e padrões emitidos por organizações tais como: ASME. Em fevereiro de 1996. • E se (What if). API. Nos EUA. da comunidade e do meio ambiente. • E se / lista de verificação (What if/checklist). • FMEA (análise do modo de falha e seus efeitos) (failure mode and effects analysis). Em início de 1997. nos EUA não é uma opção. O SIL (Nível de Integridade de Segurança) é uma classificação de risco determinada a partir da probabilidade de falha sob a demanda. ASTM. ou seja. É muito importante levar em conta o impacto da confiabilidade e o modo de falha dos instrumentos de campo no SIL. passou a ser de aplicação legalmente obrigatória. tanto contra as empresas como contra os indivíduos envolvidos (GRUHN. através de seus programas PSM (Process Safety Management) e RPM (Risc Manegement Program) exigem que se faça uma análise de risco do processo. e a utilize como base para tomar medidas para a proteção dos trabalhadores. • HAZAN Analise de riscos (Hazard Analysis). 2006).

As falhas aleatórias podem ser permanentes (existem até serem eliminadas) ou intermitentes (ocorrem em determinadas circunstancias e desaparecem em seguida).29 possível correlacionar um SIL às exigências de seus respectivos SIS.. 2006). As falhas detectáveis são aquelas que o próprio SIS consegue observar sua ocorrência. A única causa pode ser interna ou externa ao sistema. A IEC 61508 reconhece 4 níveis de SIL. • Defeito em modo comum: uma única causa que pode causar falhas em vários elementos do sistema. Outra classificação das falhas. Falhas Se analisado com atenção a ISA TR-84. • Falhas sistemáticas: uma falha escondida dentro do projeto ou montagem (hardware ou tipicamente software) ou falhas devido a erros (incluindo-se enganos e omissões) nas atividades de ciclo de atividades de segurança que fazem o SIS falhar em determinadas circunstâncias. Se as consequências forem inseguras. 2. .1. • Falha em modo comum: o resultado de um defeito em modo comum. sinalizando tal fato e permitindo que se executem as devidas ações corretivas. a falha é dita como sendo insegura.01 de 1996 só reconhece os níveis de 1 a 3 (FINKEL et al. enquanto a TR-84.4.01. que ocorrem em SIS. Falhas não detectáveis são aquelas não percebidas pelos mecanismos de detecção e que permanecem residentes no SIS. as falhas podem ser caracterizadas das seguintes formas: • Falhas aleatórias: uma falha espontânea de componente (hardware). Por outro lado. dada por Globe e Cheddie (2005). sob determinadas combinações de entradas ou sob uma determinada condição ambiental. relaciona-se aos efeitos que tais falhas possam acarretar.

30 se as consequências não provocarem situações inseguras. • Falha na Demanda: falha que se caracteriza pela não ação ou ação incorreta de pelo menos um atuador. a falha é classificada como sendo segura. No entanto. No entanto. • Falha Espúria: falha cujo resultado implica ação de pelo menos um atuador. A ocorrência de uma falha do tipo inseguro e não detectável em um dos módulos da arquitetura permanece no sistema sem. gerando condições inseguras para o SIS. Desta forma. A N-2595 define as falhas da seguinte forma (PETROBRAS. ou seja. o dispositivo comparador da saída de cada módulo irá ser induzido a produzir saídas incorretas. Por outro lado. quando comparados com componentes convencionais e mesmo circuitos integrados com pequena e média escala de integração. Isto ocorre porque a maioria das falhas acaba por desabilitar completamente o funcionamento de um circuito integrado. Os circuitos integrados com alta escala de integração possuem altas taxas de falhas. podem ocorrer falhas compensatórias em outros módulos. falhas que afetem o funcionamento dos demais módulos do sistema da mesma forma que a falha insegura do primeiro módulo. Se este não dispuser de módulos redundantes. por si só. 2002): • Fail Safe (Falha Segura): resultado de uma falha em um componente ou sistema. apenas uma pequena parcela dessa taxa de falhas refere-se a situações que irão provocar estados inseguros no sistema. normalmente supõe a existência de módulos de controle e intertravamento redundantes. estabelecer condições inseguras no SIS. já será capaz de produzir estados inseguros no SIS. a falha inicialmente descrita. Um sistema implementado através de uma arquitetura tolerante a falhas. e apenas uma parcela mínima dessas falhas irá. de fato. no entanto. • Falha: não cumprimento do serviço esperado de um dispositivo. causar situações inseguras. . quando da ocorrência de um evento iniciador que demande essa ação. pelo menos em um primeiro momento. sem que tenha ocorrido realmente um evento iniciador que o demandasse. cujo estado final deve ser mais seguro ou menos perigoso. há uma consideração que ameniza o impacto das falhas não detectáveis e inseguras no sistema.

já que a partida e a parada de um processo são ocasiões com alta probabilidade de ocorrência de um evento perigoso. Antes que se possam obter valores numéricos. Se o processo que estiver sendo analisado for bem conhecido. Se. que são a análise do tipo qualitativo e a análise do tipo quantitativo. sem dúvida a melhor para identificar riscos. seja por demanda ou teste. . por outro lado o processo envolver uma grande quantidade de equipamento mecânico interdependente pode ser melhor usar a técnica da Análise de Modos de Falhas e seus Efeitos (FMEA). A Análise de Risco deve também especificar a taxa aceitável de falha segura. sem a preocupação de se atribuir valores às ocorrências. Existe ainda a técnica que é preconizada pela API (American Petroleo Institute) chamada “Avaliação de Função de Segurança” (SAFE – Safety Function Evaluation). talvez seja melhor usar a técnica de “listas de verificações” (check list). de forma que se mantenha o nível de segurança de um Sistema Crítico durante sua operação (SEAMAN. Uma das principais utilidades deste tipo de análise é se fazer uma comparação entre sistemas com funções similares. porém demorada. 1999).4. 2. parada inconveniente ou taxa de ”trips” espúreos. A Análise Qualitativa procura identificar mecanismos que programem os requisitos especificados. tais como falhas de projeto. De acordo com Gruhn (2006) atualmente tem sido dada à preferência para a técnica HAZOP (Hazard Operability). Uma análise quantitativa não deve desviar o foco dos problemas existentes. cansativa e exige um grande volume de recursos. através de uma análise quantitativa.31 • Falha Oculta: falha cuja ocorrência só é percebida quando a ação de uma malha de segurança é solicitada. A taxa de falha segura é normalmente chamada de ”trip” falso. Análise Quantitativa e Qualitativa Há duas formas principais para se efetuar uma Análise de Segurança. A taxa de falha segura ou espúrea é incluída na análise do sistema de segurança de um sistema. na qual se preenche um mapa Safe. é indispensável à realização de uma análise qualitativa eficiente. É uma técnica semelhante à FMEA. já que aqui também se usa o modo de falha de cada equipamento.2.

CHEDDIE. . Uma primeira atitude é procurar alterar o processo. Probabilidade de Falha sobre Demanda (PFD) Se o risco inerente ao processo for considerável aceitável. 2002). se um equipamento tem uma disponibilidade de 99%. mas se ele for considerado maior do que aceitável é preciso reduzi-lo. 2006).32 É por isso que. ou seu controle. As falhas seguras são também muito indesejáveis por reduzirem a produção. se isso não resolver. Partindo da idéia de que poderá ocorrer um acidente quando houver uma demanda do SIS e ele estiver indisponível. causar refugos e outros problemas que variam em função de cada processo considerado (FINKEL et al. 579). o risco de ocorrer um acidente fica dependendo da PFD e da frequência da demanda. a diminuição de paradas espúreas aumenta a segurança do processo. 2. 2006). PETROBRAS. discos de rupturas e etc. significa que ele pode operar durante 99% do tempo disponível durante sua vida útil. como válvula de alívio de pressão. em muitos casos. Segundo Finkel et al. Assim. p. não existe necessidade de reduzi-lo.3. A taxa aceitável de falha segura é comumente expressa como o tempo médio para uma falha segura ou espúrea (MTTFsp). e estará inoperante durante o 1% restante”.4. Este estudo de risco e redução do fator de risco (RRF – Risk Reduction Factor) antecede à especificação do SIS e deve ser feito para cada função de segurança (SIF . então deve-se projetar o SIS para reduzir o risco a um nível aceitável. PFD é a probabilidade de uma malha de segurança falhar em resposta a uma demanda (N-2595. deve-se usar dispositivos de segurança autônomos.. Então. (2006. Se tudo isso não resolver.Safety Instrumented Function) (GRUHN. “O conceito de disponibilidade é bastante difundido.

É comum a utilização de unidades de "falhas por milhão de horas" ou "falhas por ano" (GLOBE.90 % 90. SISs devem ser projetados para paralisar o processo em caso de falta de energia.000 100 a 1. A taxa de falha é normalmente representada pela letra grega minúscula lambda (λ). A Tabela 2 mostra como são distribuídos os níveis do SIL.01% 0. Se a aplicação demanda circuitos que são energizados para parar.000 10 a 100 FONTE: FINKEL et al.1 a 1 % 1 a 10 % >10. . TABELA 2 .CHEDDIE. pode-se dizer que: PFD = 1 − D. PFD (2) De acordo com Gruhn e Cheddie (2006) SISs devem ser projetados para falhar em uma direção segura em caso de falha de um componente individual. (1) RRF = onde RRF é o fator de redução de risco.00 a 99.33 Então.99 % 99. Exceto para aquelas poucas aplicações necessitando de uma configuração de energizado para parar. onde D é a disponibilidade.000 1. exemplo: válvula de controle ar para fechar.90 a 99.SIL EM FUNÇÃO DE DISPONIBILIDADE E PROBABILIDADE DE FALHA SOB DEMANDA Nível de integridade (SIL) 4 3 2 1 Disponibilidade (segura) desejada 99. perda de sinal.01 a 0. 2005). e perda da alimentação de energia (elétrica ou ar de instrumentação).00 % PFD RRF 0.000 a 10. (2006) – IEC 61508.99 % 99. é necessário um diagnóstico especial e um sistema de suprimento de energia back-up.1 % 0. 1 .00 a 99.

Inclui o tempo de falha. reconhecer e identificar a falha. tempo para obter peças sobressalentes. (MTBF + MDT ) (8) onde MDT é o tempo médio indisponível. o tempo necessário para detectar a falha. (3) Goble (1998) demostra que uma taxa constante de falha está relacionada com MTTF (tempo médio de falha) de acordo com a equação abaixo. tempo real para fazer o reparo. MTTF (4) Mean Time to Repare (MTTR) é um termo criado para incluir claramente tanto tempo de detecção de diagnóstico e tempo real de reparo. MTBF = MTTF + MTTR. Na verdade MTTR é uma estimativa de tempo para. e tempo para obter os equipamentos em funcionamento. e tempo real de reparação. . λ= Número de falhas por horas por ano ano . O tempo médio entre falhas (MTBF) é definido como a média de tempo de uma falha mais o tempo médio de reparação. É medida pelo número de falhas para cada hora de operação ou número de operações do sistema. tempo para documentar todas as atividades.34 Segundo Piazza (2000) a taxa de falhas é a frequência com que as falhas ocorrem num certo intervalo de tempo. (5) Disponibilidade = Tempo Disponível . tempo para adquirir pessoas para a equipe. (Tempo Disponível + Indisponível ) (7) D= MTBF . λ= 1 . Tempo Total (6) Disponibilidade = Tempo Disponível .

4. (MTBF + MTTR ) (9) Para falhas perigosas.4.35 λS = onde λs é a taxa de falha segura. mas também o tempo de “descoberta”. λd = MTBF . o tempo decorrido antes que se torne conhecimento da existência do problema.4. Análise de um Sistema a Rele Assumindo que um rele industrial tenha um MTBF de 100 anos. Estas fórmulas somente são validas para sistemas simples. Análise de Sistemas 2. o tempo indisponível deve englobar não apenas o tempo para reparo. não redundantes (Finkel et al..1.4. Para sistemas redundantes pode-se seguir a Tabela 3. Assumir-se-á que se tenha um rele para cada entrada e saída no sistema.    TI   MTBF +   + MTTR     2   (10) onde TI é o intervalo de testes e λd é igual a falha perigosa. MTTF . (2006) – IEC 61508. TABELA 3 – CÁLCULO DE PFD E MTTFsp PARA SISTEMAS REDUNDANTES Configuração 1 de 1 1 de 2 2 de 2 2 de 3 MTTFsp 1/λs 1/(2*λs) 1/(2*λs2 * MTTR) 1/(6*λs2 * MTTR) PFD λd * (TI/2) ((λd)2 * (TI)2) / 3 λd * TI (λd)2 * (TI)2 FONTE: FINKEL et al. Irá se trabalhar com 8 . 2006). ou seja. 2.

02 ∗ 3 ∗    100   2  PFD = 3e −4 RRF = 1 = 3300 PFD D = 1 − PFD D = 1 − 3e −4 ( ) D = 0. Como os reles não têm diagnósticos.2.36 entradas e 2 saídas. Quando há uma demanda de desligamento do sistema. as oito entradas não são acionadas ao mesmo tempo. o fator de redução de risco e a disponibilidade são calculados como mostrado abaixo:  TI  PFD = λ d ∗    2  1   1 ano  PFD =   ∗ 0.9997 = 99. considerando: .97%.2 anos (10 anos ). todas as falhas inseguras são inseguras e não detectáveis (GRUHN. ela vem em uma entrada apenas. Assumindo um rele com 98% de taxa de falha segura. logo. Isso equivale a apenas três reles. 2.CHEDDIE. irá se adicionar a taxa de falha segura de 10 reles.4. MTTFsp = 1 λS = 1  1    ∗ 0. Análise de um Sistema com Controlador Lógico Programável não redundante Substituindo o sistema à rele por outro que utiliza um CLP de propósito geral.4. 2006). A probabilidade de falha sobre demanda.98 ∗ 10  100  = 10. Logo. deverse-á incluir apenas uma entrada e as duas saídas no modelo específico.

 1    1      ∗ 0.25 ∗ 0. Taxa de falha segura do módulo de I/O = 75%.CHEDDIE.5e −3 RRF = 1 = 220 PFD D = 1 − PFD D = 1 − 4. Assumindo-se que o PLC é realmente testado manualmente anualmente. Assumindo um diagnóstico de cobertura de 90% da CPU e 50% para o módulo de I/O.1 +    ∗ 2 ∗ 0.37 MTBF da CPU = 10 anos. Neste caso.  TI  PFD = λ d ∗    2   1    1    1 ano  PFD =    ∗ 0. Um módulo de I/O com cobertura de diagnóstico de 50%.4 ∗ 0. Taxa de falha segura da CPU = 60%. Mas. MTBF do módulo de I/O = 50 anos. se percebe que CLPs de utilização geral são bons para intertravamento e ainda controle (GRUHN. MTTFsp = 1 λS = 1 = 11 anos. verifica-se um desempenho de um sistema com CLP mais baixo do que um a rele.75 ∗ 2   10   50        2: representa 2 módulos de I/O.9955 = 99. Assumindo que o CLP é realmente testado uma vez por ano (o que é um pressuposto excessivamente otimista para muitos sistemas).6  +    ∗ 0.55%.5e −3 ( ) D = 0. o que também é um pressuposto otimista para muitos sistemas de propósito geral. . 2006).5  ∗    10   50       2     PFD = 4.

25e −8 D = 1 − (6. Adotando um diagnóstico de cobertura de 99% para a CPU e para o módulo de I/O.01 +    ∗ 2 ∗ 0.38 2. e um fator de redução de risco superior a dez milhões. pois o hardware é essencialmente o mesmo. PFD = (λ d ) ∗ (TI ) 2 2   1    1    1 ano  PFD =    ∗ 0.3.25 ∗ 0. algo que poderá não acontecer em alguns sistemas.000 anos.000 anos.CHEDDIE.000 6.25e −8 RRF = 1 = 16. isto daria mais do que SIL 4. Análise de um Sistema de Redundância Tripla (TMR) Assumindo os mesmos MTBFs de um CLP sem redundância e as mesmas taxas de falhas. MTTFsp = MTTFsp = (6 ∗ (λ S ) 1 ∗ MTTR 2 ) 1 2   1     1    4 horas 6 ∗    ∗ 0. A configuração deste TMR é 2oo3.9999375%.000. 2006). Assumindo que o CLP é realmente testado manualmente anualmente.4.4 ∗ 0.6  +    ∗ 0. só que no CLP redundante existe mais CPU e mais canais de comunicação.999999375 = 99. Os cálculos indicam que o sistema TMR tem um tempo médio entre “trips” de 45.01 ∗    10   50       2     2 2 PFD = 6.75 ∗ 2  ∗   10   50   8760 horas/ano            MTTFsp = 45.4.25e −8 ) = 0. É importante advertir que estes não são certificados para uso em SIL 4. . A norma IEC 61508 é cautelosa para nível de integridade maior que SIL 4 (GRUHN.

representam um sistema triplo. isso significa que. A Canal de Votação B D C FIGURA 3 – CAUSA COMUM. Causa comum pode ser definida como um único problema que afeta múltiplos componentes. Por exemplo.4. . todo o sistema falha. 2006). 1% é suficiente para preocupar-se? E cerca de 10%? (FINKEL et al. Este fator representa o percentual de falhas identificadas em uma fatia do sistema que irá afetar todo o sistema. etc. se um sistema redundante tem um fator β = 1%. Smith (1997) sugere um intervalo típico para β = 20% quando se utiliza componentes idênticos redundantes (como é feito com a maioria dos sistemas). Um método de quantificar causa comum é referido como o fator β. todas as falhas identificadas. FONTE: GRUHN e CHEDDIE (2006).5. e o sistema poderá falhar de uma só vez. No entanto. Como mostrado na Figura 3 (A. vibração. B e C). excesso de tensão. Exemplos ambientais típicos são calor. das quais 1% poderia ocorrer em vários canais ao mesmo tempo e fazer todo o sistema falhar.39 2.. Causa Comum Uma falha pode acarretar uma falha geral do sistema redundante. O fator β foi derivado a partir de estudos empíricos. Este fator representa a percentagem de falhas identificadas em uma parte do sistema que pode impactar em canais múltiplos. se o item D falhar.

A N-2595 sugere que técnicas de utilização de diferentes tecnologias. POH. Normalmente. um eleitor (votador) é necessário. a menos que todos os componentes tenham falhado.40 Segundo Zio (2007). quando em operação sob condições ambientais estabelecidas. embora um ou mais instrumentos possam falhar. Segundo Piazza (2000). Como se observa na Figura 3. Finkel et al. a equação para avaliar a confiabilidade desses blocos é (XIE. a confiabilidade de um sistema é a probabilidade de que. n é o número de unidades e p é a confiabilidade de cada unidade. software. as falhas em um componente não influenciam na confiabilidade dos sistemas sobreviventes. podem ser usados para se reduzir à . projetos. etc. se o eleitor é perfeito e todos os módulos possuem confiabilidade R. firmware. Uma configuração k-saída-de-n exige que pelo menos k módulos de um total de n devem estar operacionais para que o sistema esteja em funcionamento. 2. 2003). Um sistema paralelo é um sistema em que não se considera haver falhas.. fabricação. TIPOS DE REDUNDÂNCIA Um componente é sujeito à falha em qualquer modo. a confiabilidade de um sistema em paralelo é a probabilidade de um ou mais caminhos serem operacionais. aberto ou fechado.5. A redundância pode ser utilizada para aumentar a confiabilidade de um sistema sem qualquer alteração na confiabilidade dos componentes individuais que formam o sistema (PHAM. o sistema apresentará uma performance desejada (sem falhas) para um intervalo de tempo especificado e a redundância é a existência de mais de um meio para se atingir um objetivo determinado. DAI. i! ( n − i )! (11) onde R é a confiabilidade do sistema. 2004): R=∑ i =k n n! p i (1 − p ) n −i . (2006) comenta que a redundância deve ser utilizada para fornecer um sistema em operação constante.

A finalidade principal da utilização de redundância nesses sistemas é a prevenção de condições ou estados inseguros. ou seja. • • uso de diferentes tecnologias de medição sobre a mesma variável de processo. A redundância de hardware implica inclusão de circuitos de hardware adicionais ao mínimo necessário para o funcionamento do sistema e a redundância de software implica geração de versões distintas do software do sistema ou de partes desse software. a redundância de hardware pode ser implementada através de três formas básicas: . deve-se fazer o possível para não aumentar a complexidade do sistema. Embora a redundância sempre implique na adição de novos componentes. sempre se baseando em uma especificação comum. isto é. 2002): • medição de diferentes variáveis de processo. 2.1. tais como pressão e temperatura. rotas alternativas para meios de comunicação redundantes. de forma a não se ter efeito contrário. diminuição da confiabilidade e da segurança do sistema. nos casos onde o relacionamento entre as variáveis é bem determinado e conhecido. Redundância de Hardware O emprego de redundância em um Sistema Instrumentado de Segurança consiste na utilização de componentes auxiliares com a finalidade de realizar as mesmas funções desempenhadas por outros elementos presentes no sistema.5. tais como medição de vazão por vortex e coriolis. Conforme colocado em Johnson (1989). uso de diversidade geográfica.41 influência das falhas de causa comum. Exemplos de métodos que podem ser utilizados para se obter a redundância diversa (PETROBRAS. a forma mais utilizada para a prevenção dos efeitos de falhas é a utilização de módulos redundantes. Para Storey (1996).

Um exemplo de implementação de redundância dinâmica é através de módulos estepes (hot standby). caso em que o sistema deve tomar alguma ação para anular seus efeitos. Todos os elementos executam a mesma tarefa e o resultado é determinado por votação. Costuma ser usada em aplicações que suportam permanecer em um estado errôneo durante um curto período de tempo. Exemplos são TMR (Triple Modular Redundancy) e NMR (N Modular Redundancy).42 • Redundância estática: utiliza o mascaramento de falhas como principal técnica. Um sistema paralelo sério consiste de m caminhos paralelos e cada caminho possui n unidades conectadas em séries. Entrada Digital Sensores Entrada Digital Unidade central de processamento A Unidade central de processamento B Saída Atuadores Saída Entrada Digital Unidade central de processam ento C Saída FIGURA 4 – SISTEMA DE REDUNDÂNCIA MODULAR TRIPLA. O projeto é feito de forma a não requerer ações específicas do sistema ou de sua operação em caso da ocorrência de falhas. . o que normalmente envolve uma reconfiguração do sistema. tempo esse necessário para a detecção do erro e recuperação para um estado livre de falhas. R = 1 − (1 − p n ) m . onde R é a confiabilidade e p é a confiabilidade de cada unidade. Para calcular a confiabilidade utiliza-se a equação12 (ZIO. • (12) Redundância dinâmica: implica na detecção de falhas. 2007).

1991). Redundância de Software Simplesmente replicar softwares idênticos pode não ser uma estratégia muito eficaz.43 CPU A CPU B Chave Entrada/ Saída Sinal digital/ analógico Instrumentos de campo FIGURA 5 – SISTEMA HOT STANDBY. • Redundância híbrida: consiste na combinação de técnicas estáticas com técnicas dinâmicas. fazendo com que o sistema atinja situações imprevistas. Um problema que surge é a falta de uma metodologia de eficiência reconhecida para a avaliação da segurança do software para os sistemas que precisam de segurança e que tem o software como componente crítico. como consequência de procedimentos operacionais incorretos. detecção de falhas e reconfiguração para remover. Logo. ou ainda de modos de falhas não previstas do sistema (JAFFE et al. 2. do sistema. não basta copiar um programa e executá-lo em paralelo ou executar o mesmo programa duas vezes. Pode-se dizer que a falta de experiência em especificações de software e das especificações em relação ao ambiente de aplicação representa um grave problema.2.. de mudanças não esperadas no ambiente operacional. . Rotinas idênticas de software vão apresentar erros idênticos. Utiliza mascaramento de falhas para prevenir que erros se propaguem. unidades com falha.5.

1989). cujo objetivo é tornar o software mais robusto em relação à segurança. são utilizadas técnicas de redundância de software.44 Um caminho para se definir e avaliar melhor o conceito de segurança do software é através da definição de um conjunto de fatores que consigam representar adequadamente o conceito de segurança (KITCHENHAM. tolerante a falhas porventura ainda existentes (JOHNSON. em relação à sua especificação. é uma técnica de redundância usada para obter tolerância à falhas em software. sendo a resposta do sistema determinada por votação (CHEN. A partir de um problema a ser solucionado são implementadas diversas soluções alternativas. PELEEGER. Segundo Burns e Wellings (1997) surge outras formas de redundância em software: • Diversidade: também chamada programação diversitária. 1978). ou seja. Em função da dificuldade da comprovação da não existência de falhas na implementação de um software. Essa estratégia envolve um teste de aceitação. 1996). A estratégia de blocos de recuperação tolera n-1 falhas. Como mostrado na Figura 6: Versões secundárias só são necessárias se for detectado erro no primário Resultado Versão Primária Chave n para 1 Versão Secundária n Teste de Aceitação Versão Secundária n-1 Programas são executados e testados um a um até o primeiro passar no teste de aceitação FIGURA 6 – BLOCOS DE RECUPERAÇÃO. • Blocos de recuperação: nessa técnica programas secundários só serão necessários na detecção de um erro no programa primário. . Programas são executados e testados um a um até que o primeiro passe no teste de aceitação. no caso de falhas independentes nas “n” versões. AVIZIENIS.

O Impacto da Redundância De acordo com Gruhn e Cheddie (2006. 1oo1.3. Um sistema 1oo2 tem suas saídas em série.5 anos. a probabilidade de falha segura dobra para 8%. ele precisa que 2 eventos . Assumindo uma probabilidade de falha segura de 4% pelo período de um ano. e triplo nem sempre é melhor do que duplo.5. Mas. 139). desta forma. Assumindo uma probabilidade de falha perigosa de 2% pelo período de um ano. significa que o sistema tem um MTTF (seguro) de 25 anos. FIGURA 7 – O IMPACTO DA REDUNDÂNCIA. um exemplo de falha segura é quando o rele de contato abre e desenergiza o sistema causando um “trip”. p.” Conforme mostrado na Figura 7.45 2. Analisando um sistema sem redundância. FONTE: GRHUN e CHEDDIE (2006). para ocorrer uma falha perigosa. Um exemplo de falha perigosa é quando o rele de contato não abre quando necessário não desenergizando o sistema. significa que o sistema tem um MTTF (perigoso) de 50 anos. diminuindo o MTTF (seguro) para 12. isto quer dizer que o sistema precisa que pelo menos uma saída atue para que o sistema faça o shutdown. “Duplo nem sempre é melhor do que simples. conforme indicado na Figura 7.

6. São sistemas sujeitos a uma atualização contínua do software a ser executado. em sistema 2oo2 para acontecer um “trip” ele necessita que aconteçam falhas seguras nos dois canais. um sistema 1oo2 é realmente muito seguro. Em outras palavras. então. Um sistema 1oo2 precisa ter duas falhas simultâneas para ocorrer uma falha perigosa. o que não ocorre nos sistemas embarcados. O Sistema 2oo3 é um sistema de votação por maioria.04 * 0. Para este sistema sofrer um “trip” é necessário que ocorra uma falha segura nos dois canais. . Esta configuração reduz as paradas desnecessárias.46 ocorram simultaneamente.02 * 0.0012 fornecendo um MTTF (perigoso) de 833 anos.02) = 0. 2006). novamente o sistema 2oo3 triplicou a dupla falha segura do sistema 2oo2 gerando uma probabilidade de 3 * 0. mas aumenta o risco das falhas perigosas. Em sistemas 2oo2.500 anos. o 2oo3 também. são o oposto dos sistemas construídos para aplicações genéricas.04) = 0. o que dois ou mais canais decidir é o irá acontecer com o sistema. os canais são ligados em paralelo. A + C. quando precisa-se desenergizar o sistema e um contato estiver colado. a probabilidade de falha perigosa dele é de 3 * 0.0004 o que faz com que o MTTF (perigoso) fique igual a 2. Agora. 2. C + B). não irá ocorrer o shutdown caracterizando uma falha perigosa. como este sistema tem duas vezes mais hardware que um sistema simples. projetados para atender várias aplicações distintas. CHEDDIE.0016 = 0. logo. Os computadores pessoais são exemplos de sistemas de uso geral. ele tem o dobro de probabilidade de ocorrer uma falha perigosa 4% que resulta em um MTTF (perigoso) de 25 anos. como este sistema é triplo então ele tem três vezes mais dupla combinações de falha (A + B. SISTEMAS EMBARCADOS Sistemas embarcados são geralmente projetados para aplicações específicas.0048 apresentando um MTTF (seguro) de 208 anos (GRUHN. a probabilidade de ocorrer uma falha perigosa é (0. A probabilidade de ocorrer dois eventos ao mesmo tempo é calculada pela probabilidade de um único evento ao quadrado.0004 = 0. logo. mas aumenta a probabilidade de “trip” do processo. (0.0016 que corresponde a um MTTF (seguro) de 625 anos.

1999). observa-se. capazes de apresentar resultados eficientes para problemas. a necessidade de atualizações frequentes dos aplicativos a serem executados nos mesmos. como hardware. Contudo. Essas aplicações . 2001). que incorporam gradualmente diversas modificações no software executado. não se espera o melhoramento do software de um forno microondas após a sua venda. No caso da automação industrial esse tempo depende das constantes de tempo do processo a serem controladas (OLIVEIRA. transforma a utilização de microprocessadores e sistemas embarcados em uma parcela importante do mercado de computação. Sistema de Tempo Real é um conjunto de todos os elementos especificados para essa finalidade.47 uma vez programada uma aplicação específica. tais como. Desta maneira. Um sistema embarcado é uma junção do hardware e do software de um computador. cada vez mais. 2001). 2001).1. Aplicações com tempo real com restrições de tempo real são menos interessadas em uma distribuição uniforme dos recursos e mais interessadas em atender requisitos. 2. Como o caso dos telefones celulares. Por exemplo. períodos de ativação e deadlines. O Sistema Operacional de Tempo Real é um elemento do sistema completo de tempo real (OLIVEIRA. projetados para executar uma tarefa específica (BARR. Isto é importante para que o sistema possa realizar tarefas periódicas ou reagir a estímulos do meio sempre dentro de um tempo previsível.6. sistema operacional e aplicativos. a demanda por sistemas operacionais embarcados que tenham a capacidade de comandar novos dispositivos e equipamentos é crescente e irreversível (ORTIZ. Um sistema é classificado como de tempo real quando a execução de toda e qualquer tarefa devem se dar dentro de uma faixa de tempo estipulada a priori. Sistema de Tempo Real É importante diferenciar Sistema de Tempo Real e Sistema Operacional de Tempo Real. A demanda por equipamentos inteligentes e soluções dedicadas. com a evolução da complexidade dos sistemas embarcados. esta não sofrerá modificações ao longo da sua vida.

2. Portanto. Baixo custo da licença. 2. Interface gráfica. As tarefas são abstrações que incluem: um espaço de endereçamento próprio (possivelmente compartilhado). Uma aplicação tempo real é tipicamente um programa concorrente formado por tarefas e/ou threads que se comunicam e seguem um certo sincronismo. logo um requisito básico para os sistemas operacionais de tempo real é oferecer suporte para tarefas e threads (OLIVEIRA. As Threads são tarefas leves. um conjunto de direitos de acesso. Algumas características do Windows CE (MICROSOFT. o chaveamento entre duas threads de uma mesma tarefa é muito mais rápido. ou seja. usados na automação industrial e controle de equipamentos em laboratório. e processadores Super Hitachi.48 são usualmente organizadas na forma de várias threads ou tarefas concorrentes. MIPS. É suportado no Intel x86 e compatíveis como. 2001). 2009): • • • • Compacto. Alta velocidade em relação a outros Sistemas Operacionais. um conjunto de arquivos abertos. Windows CE Windows CE (Compact Edition) é uma versão da popular linha de sistemas operacionais da Windows para dispositivos portáteis. diferentes tipos de sensores e atuadores. Existem duas grandes classes de soluções para programação concorrente: Troca de Mensagens e Variáveis Compartilhadas. únicos atributos são aqueles associados com o contexto de execução. . 2001). Os Sistemas de tempo real lidam com periféricos especiais. um contexto de execução formado pelos registradores do processador. O projetista da aplicação deve ser capaz de desenvolver os seus próprios drivers de dispositivos e incorporá-los ao sistema operacional (OLIVEIRA. ARM.6.

o Windows CE tem uma tecnologia implementada chamada COM. Esta análise permitiu tirar algumas . o que significa que os usuários podem desenvolver aplicações usando exatamente as mesmas ferramentas. Architecture Control): “um sistema de tempo real hard é um sistema que falhará se seus requisitos de tempo não forem atendidos”. é baseado no mesmo Win-32 API. Em segundo lugar. O jitter mede a variação deste atraso. Implementa uma política agressiva de gestão de energia. Compatibilidade com a API Win32. Portável de forma a rodar em diversos processadores e tipos de hardware. A latência é uma medida do atraso que o sistema operacional leva para atender uma tarefa. Estes sistemas são requeridos. timers e o escalonador” (MICROSOFT. Modular. Oferece um controle industrial em tempo real com um trajeto de migração de custo flexível e baixo. 2009). “Um sistema de tempo real “soft” pode tolerar variações significantes no tempo de atendimento aos serviços do sistema como as interrupções. Disponibiliza processamento em tempo real (crítico em determinados sistemas embarcados). sem falhas. A Microsoft considera que seu sistema operacional é um sistema de tempo real “hard” baseada na definição estabelecida pelo OMAC (Open. Tacke e Ricci (2002) mensuraram a latência e o jitter utilizando esse sistema. O Windows CE continua a tradição Microsoft de fazer o sistema virtualmente transparente. que possibilita a comunicação com outros dispositivos. Modular (permitir uma adaptação rápida e fácil a um sistema particular). para satisfazer todos os requerimentos de resposta no tempo a todo o momento sob qualquer circunstância e que se não realizados dentro de um tempo final de execução tem efeitos catastróficos ao processo. Em primeiro lugar.49 • • • • • • Ocupa pouco espaço de memória. controlando inclusive até o chão de fábrica. Isto significa que usuários e desenvolvedores de aplicações gastam mais tempo sobre a funcionalidade do que para aprender sobre o sistema operacional.

um estudo mais detalhado deverá ser realizado sobre a arquitetura de hardware que será utilizada. É uma situação onde o uso de um mutex. ou um semáforo por uma thread de menor prioridade impede a execução de uma thread de mais alta prioridade quando estas estão utilizando os mesmos recursos. que trata o evento do Windows que foi gerado pela rotina de tratamento da interrupção. em aplicações onde às tarefas operam com intervalos de tempo da ordem de mili segundos ou até um pouco menores. O Windows CE provê algumas tecnologias que são fundamentais para o desenvolvimento de aplicações de tempo real. o coloca em ‘0’. então gera um evento do Windows e em seguida coloca o mesmo LED em ‘0’.50 conclusões sobre que tipos de aplicação de tempo real podem ser implementadas utilizando o Windows CE. outra onde a aplicação dividia o processador com outra tarefa de mesma prioridade. Também foi implementada uma aplicação. Inversão de prioridade. o Windows CE permite que a thread de prioridade mais baixa. é gerado um sinal que por sua vez gera uma interrupção. com a prioridade mais alta do sistema. Esta aplicação. em seguida. a rotina que trata esta interrupção atribui a um LED do circuito o valor ‘1’. utilizando um osciloscópio. atribui o valor ‘1’ a um LED e. herde a . da mesma forma. A partir daí. foram feitas várias medições. se a aplicação apresentar tempos da ordem de micro segundos. Este estudo permite concluir que. Foram feitas duas análises: uma onde a aplicação era executada sozinha. • Interrupções aninhadas: permite que interrupções de prioridade mais alta sejam atendidas imediatamente ao invés de esperar que uma rotina de interrupção de prioridade mais baixa termine. uma seção crítica. Algumas delas são as seguintes (MICROSOFT. O teste realizado por Tacke e Ricci (2002) é bastante simples. para calcular a latência da rotina de interrupção e a latência da aplicação de teste. Porém. Para corrigir este tipo de situação e garantir o funcionamento correto do sistema. o Windows CE apresenta um excelente tempo de resposta. • Per-thread quantums: permite que uma aplicação defina o quantum das threads. 2009): • 256 níveis de prioridades para as “threads”: é a partir desta flexibilidade disponibilizada pelo sistema que são implementadas as políticas de escalonamento.

condutividade. vazão. Os instrumentos de medição e controle permitem manter constantes as variáveis do processo com os seguintes objetivos: melhoria na qualidade do produto. PH. produtos alimentícios. segurança e melhoria do meio ambiente. como por exemplo: a fabricação dos derivados do petróleo. conforme mostrado na Figura 8. . etc. etc. Um sistema de controle consiste em subsistemas e processos (ou plantas) reunidos com o propósito de controlar as saídas do processo. 2. aumento em quantidade do produto. • MMU (Memory Management Unit): é um bloco de hardware que transforma endereços virtuais em endereços físicos. Eles podem ser em malha aberta ou malha fechada. SISTEMA DE CONTROLE Os processos industriais exigem controle na fabricação de seus produtos. tais como pressão. ele nunca vê endereços físicos reais. o valor no registro de realocação é adicionado a todo endereço lógico gerado por um processo na altura de ser enviado para a memória.7. Na sua forma mais simples. umidade.51 prioridade da thread de maior prioridade e utiliza-se a CPU com esta prioridade mais alta até que se termine de utilizar o recurso. Na MMU. velocidade. um sistema de controle fornece uma saída ou resposta para uma dada entrada ou estímulo. A plataforma onde será colocada a imagem gerada pelo Plataform Builder necessita da implementação antecipada ou já existente de MMU. à indústria de papel e celulose. nível. Em todos estes processos é absolutamente necessário controlar e manter constantes algumas variáveis. temperatura. O programa manipula endereços lógicos. Os processos são muito variados e abrangem muitos tipos de produtos.

2002). que realizam medição e correção. são chamados de sistemas a malha fechada e sistemas que não têm essas propriedades são chamados de sistemas a malha aberta. Malha Aberta Um Sistema em malha aberta pode ser visualizado na Figura 9. Consiste em um subsistema chamado de transdutor de entrada. não corrigem os efeitos de perturbações e são comandados unicamente com base na entrada (NISE. O controlador age sobre um processo ou planta.7. A entrada às vezes é chamada de referência ou set-point (SP). 2. Sistemas.1. Saída ou variável controlada . Os sistemas a malha aberta.52 FIGURA 8 – SISTEMA DE CONTROLE. que converte a forma de entrada na usada pelo controlador. FONTE: NISE (2002). da mesma forma que a saída pode ser chamada de variável controlada ou manipulada (MV). FONTE: NISE (2002). A característica que distingue um sistema a malha aberta é que este não pode compensar a ação de uma perturbação que sejam adicionadas ao sinal atuante do controlador. Perturbação + Processo ou planta Entrada ou referência Transdutor de entrada + Controlador Junção de adição FIGURA 9 – SISTEMA A MALHA ABERTA. portanto.

2. FONTE: NISE (2002).53 2. O sistema a malha fechada compensa perturbações medindo a resposta de saída. uma vez que esta é a resposta desejada. encontrando assim o sinal de erro. retornando esta medição através de um sinal de realimentação e comparando essa resposta com a entrada da junção de adição. A primeira junção de adição adiciona algebricamente o sinal de entrada ao sinal da saída. Se existir alguma diferença (sinal de erro). o controlador age sobre a planta. Perturbação + Processo ou planta Entrada ou referência Transdutor de entrada + - Erro ou sinal atuante Controlador + Junção de adição Saída ou variável controlada FIGURA 10 – SISTEMA A MALHA FECHADA. a perturbações e a mudanças nas condições ambientais. A arquitetura é mostrada na Figura 10. que podem ser superadas nos sistemas a malha fechada. um transdutor de saída. que chega pelo canal de realimentação. O transdutor de entrada converte a forma da entrada na forma usada pelo controlador (set-point SP). Se não existir nenhuma diferença o controlador não irá atuar sobre a planta. por meio de um sinal atuante (sinal de controle CO).7. 2002). Os sistemas a malha fechada apresentam vantagens óbvias de uma maior precisão que os sistemas a malha aberta. ou sensor. Malha Fechada Uma das desvantagens dos sistemas a malha aberta é a incapacidade de corrigir os efeitos das perturbações. para fazer a correção. . A resposta transitória e o erro de estado estacionário podem ser controlados de modo mais conveniente e com maior flexibilidade nos sistemas a malha fechada (NISE. Eles são menos sensíveis a ruídos. mede a resposta da saída e a converte na forma usada pelo controlador (variável do processo PV).

Integral e Derivativa dá origem ao que denomina-se de controlador PID. Ti dt (13) onde u(t) – Sinal de controle na saída do controlador (CO). S (14) onde U(S) – Sinal de controle na saída do controlador (CO). Kp – Ganho Proporcional.54 2. no domínio da frequência. O sinal de controle gerado pelo controlador PID é assim genericamente dado em Nise (2002) como: u(t) = Kpe(t) + 1 d ∫ e(t)dt + Td e(t). E(S) – Sinal de erro na entrada do controlador (erro). Td – Tempo Derivativo. Existem alguns métodos de sintonia que dependem do conhecimento do processo e . Ki. Kp – Ganho proporcional. no domínio do tempo. A função de transferência do controlador PID em Nise (2002) é dada por: U(S) = KpE(S) + Ki E(S) + KdSE(S). Controlador PID A combinação das ações Proporcional. Kd – Ganho derivativo. e(t) – Sinal de erro na entrada do controlador (erro).7. Ki – Ganho integral. A escolha destes parâmetros é chamada de sintonia do controlador. no domínio do tempo. Kd) depende do desempenho final do sistema. no domínio da frequência. O objetivo é aproveitar as características particulares de cada uma destas ações a fim de se obter uma melhora significativa do comportamento transitório e em regime permanente do sistema controlado. Ti – Tempo Integral. A escolha das variáveis de controle (Kp.3.

2002). Por exemplo. então o sistema de controle é estável e com comportamento determinístico. Atuadores Planta A DAC S Sensores ADC FIGURA 11 – SISTEMA DE CONTROLE CLÁSSICO. os métodos de sintonia de Ziegler e Nichols (NISE. na execução da malha de controle ilustrada na Figura 11. Controle em Tempo Real Segundo Loures (1999). 2. deve-se garantir que a saída da controlados responda ao valor de entrada medido dentro de um intervalo de tempo específico. por exemplo. . Portanto.4.7. controle em tempo real é a habilidade de necessariamente e sem falhas responder a um evento dentro de um período de tempo garantido.55 outros métodos que são matemáticos que levam em consideração a resposta do sistema a um sinal degrau. fica implícito no nome “sistema em tempo real” a necessidade de controle de tempo fornecido para que sejam lidos os sensores e atualizadas as saídas do sistema. se varia não existe garantia quanto à estabilidade do sistema. conhecido como tempo de ciclo de malha de controle. Se este tempo é constante.

56 CAPÍTULO 3 3. FOCANDO CONTROLADORES INDUSTRIAIS. shutdown. uma planta de nível. também será aplicado em um controle de processo. Logo. devido ao perigo e a complexidade que alguns processos apresentam. MATERIAIS E MÉTODOS SISTEMA TOLERANTE A FALHAS UTILIZANDO WINDOWS CE.1. apresentar uma proposta de um sistema tolerante a falhas baseado em um sistema operacional de tempo real. a proposta do sistema de redundância tripla para a utilização em sistemas de segurança. Windows CE. demonstrando os passos necessários para desenvolver um sistema com um baixo custo de hardware. para isso. Descreve-se então. neste capítulo. para que este seja validado nos mesmos moldes que os equipamentos industriais existentes hoje no mercado. 3. Após o desenvolvimento do mesmo irá ser calculada a PFD deste sistema. . Este. uma vez que este sistema será baseado na arquitetura de um computador padrão. utilizar-se-á uma planta didática que ilustra um processo industrial. seguindo a IEC 61508. tem-se como objetivo. e ainda será demonstrada uma metodologia de escolha de SIS. INTRODUÇÃO No dia a dia da indústria de processo se faz mais que necessária à utilização de sistemas tolerantes a falhas.

57 3. Tamanho físico do equipamento e da instalação. eles criaram uma lei que obrigava os fabricantes de dinamite morar com a sua família dentro da empresa. Necessidade de testes. Ou ainda. o Triplo. executar esta idéia é um tanto quanto difícil de ser implementada além de se ter um custo relativamente elevado. no mínimo tripla.2. o Reles. Tudo começa com a análise da malha e a definição do SIL. Desta forma. ESCOLHA DA TECNOLOGIA E DA ARQUITETURA Em projetos de sistemas de intertravamento de segurança deve-se inicialmente fazer a análise de risco da malha de controle. válvulas inteligentes de duplo bloqueio e ainda sistema de desligamento testado mensalmente. 1oo2 ou 2oo2. Tecnologia do sistema: o Pneumático. o Com canal de diagnóstico. . Rapidamente poderia ser pensado em utilizar um sistema com entradas analógicas triplicadas. Custo do equipamento. • Tipo do sistema redundante: o Simples. de modo a identificar o nível de integridade de segurança que aquela malha necessita. fazer como os franceses fizeram há 200 anos. 2oo3. o Microprocessado. mas isto também não é possível. painel de lógica com redundância. Mas. devem-se fazer algumas considerações em relação à escolha dos equipamentos e da tecnologia a ser utilizada: • • • • • • Número de paradas indesejadas. Feito este levantamento surgem algumas dúvidas em relação a qual equipamento deve-se utilizar. o Duplo. Desempenho de segurança. o Estado sólido.

Não é tanto uma questão de quem é melhor. requisitos de segurança. 3 ~ 15 psi FT Relé pneumático ----FY Do controlador FIGURA 12 – SISTEMA DE PARADA PNEUMÁTICO. Não existe um sistema que seja o melhor. Quando a saída do transmissor (FT) atingir um valor de parada. 3. a complexidade. mas sim o que é mais adequado. interface de comunicação. etc. são utilizados em pequenas aplicações onde há um desejo de simplicidade e a necessidade de segurança intrínseca. normalmente.2. manutenção.58 Cada tecnologia tem vantagens e desvantagens. fazendo com que a válvula siga para uma condição de segurança. Sistemas pneumáticos são relativamente simples (assumindo que eles são pequenos). Uma aplicação muito comum para sistemas pneumáticos é a indústria offshore. o rele pneumático alivia o ar do atuador. flexibilidade. . Eles. tamanho. SIS Pneumáticos Sistemas pneumáticos ainda estão em uso e ainda são perfeitamente adequados para determinadas aplicações. fechando-a.1. com base em fatores como o orçamento. onde os sistemas devem funcionar sem eletricidade. nível de risco.

Alto custo de vida. Complexos para sistemas grandes. Várias tensões de alimentação. proteção contra contato selado. Estes componentes normalmente trabalham energizados. são construídos com múltiplas bobinas. São adotados quando a lógica de intertravamento é simples.59 Vantagens: • • • • • Não precisa de eletricidade. Imune a interferência. Falha segura. SIS a Rele Reles especiais. 3. precisam ser desenergizados para desligar. Reprogramação trabalhosa. Desvantagens: Trips espúrios. Baixo custo inicial. chamados de “Rele de Segurança”. Vantagens: • • • • • • • • • • • • Falha segura. Desvantagens: Precisa de ar limpo e seco. . Velocidade de atuação rápida. Distribuído na planta.2. Também é possível implementar o tipo energizado para desligar (trip) nas aplicações onde é fundamental evitar paradas indesejáveis.2. Sem diagnósticos. Sem comunicação serial. Sistema confiável. Necessita ser testado frequentemente (mensalmente). ou seja.

cada rele é ligado a uma chave de segurança (vazão – FS. já não são tão comuns.60 A Figura 13 representa uma aplicação típica de utilização dos sistemas a reles. FS Relés no painel ou bastidor LS PS Botoeira de reset Fonte Botoeira de shutdown Lâmpada de pronto Válvula solenóide FIGURA 13 – SISTEMA A RELE TÍPICO. onde seus contatos são ligados em série com uma botoeira de shutdown de emergência. se esta lâmpada se apagar.2. são cartões com a possibilidade de ser configurada uma lógica de acordo com a sua necessidade. e.3. nível – LS e pressão – PS). ou seja. CMOS: Complementary Metal Oxide Semiconductor). cartões que implementam uma determinada lógica. ela é feita por fios. possivelmente teremos um trip da planta. . tem aplicação limitada. menores circuitos de potência (por exemplo. Se a botoeira de emergência for pressionada ou se faltar energia. a válvula solenóide irá para a posição de fechada. esta “programação” é feita na parte de trás do hack onde ficam conectados os módulos lógicos. como resultado. Ainda temos uma lâmpada que indica quando o sistema está energizado. estes sistemas são muito especiais. Uma fonte de alimentação é ligada neste circuito para alimentar a válvula solenóide que permanece energizada para ficar na posição de aberta. 3. Estes dispositivos são montados em forma de módulos. SIS de Lógica Fixa em Estado Sólido Os sistemas de lógica fixa foram concebidos para substituir os reles com menor dimensão. são relativamente caros.

Sem causa comum. Desvantagens: Pouco flexível. .61 Vantagens: • • • • • • • • • • • • Distribuído pela planta. Disponibilidade de diagnóstico. Módulos de saída Atuadores Sensores Módulos de entrada Entrada digital E Entrada analógica Módulos lógicos Retardo Saída Entrada digital Entrada analógica OU Saída Entrada digital FIGURA 14 – CONCEITO DE OPERAÇÃO. Falha em modo seguro. Custo. Disponibilidade de comunicação serial. Alguns modelos sem reposição hoje em dia. Alta confiança. Alta imunidade eletromagnética. Documentação. Intrinsicamente seguro para Zona 2. em alguns casos chegando até SIL 4.

Estes são ligados aos módulos lógicos através de uma configuração por fio. Comunicação com outros dispositivos. Hoje em dia. a saída do circuito lógico é ligada ao módulo de saída e estes estão ligados aos atuadores. Com o passar do tempo foi verificado as limitações que os CLPs de propósito geral apresentavam em sistemas de segurança críticos.62 Conforme ilustrado na Figura 14. Desvantagens: Dependência de software. os sensores são ligados aos módulos de entradas. Custo. que diz que tenhamos de utilizar sistemas baseados em microprocessador. Interface gráfica de programação.4. Não há nenhum imperativo tecnológico. algumas empresas . 3. Falhas com causa comum. Documentação.2. Comunicação Serial. Controladores Lógicos Programáveis (CLPs) foram originalmente criados para substituir sistemas a reles. Testes e diagnósticos. Vantagens: • • • • • • • • • • • • Flexibilidade. Reprogramável via software. Controle de acesso. logo. SIS Microprocessado (CLP) Softwares baseados em sistemas são utilizados mais frequentemente. Temporizador watch dog timer. seria praticamente impossível não mencionar-se sobre CLP para utilização em sistemas de segurança.

1oo2D *proc. Verifica-se na tabela abaixo. * Processador complementar. 1oo2D *proc. comp. Averigua-se que a maioria destes CLPs atendem a um nível de integridade de segurança 3 (SIL 3). comp. denotando que eles tem uma alta confiabilidade e consequentemente uma baixa probabilidade de falha sob demanda (PFD).63 chegaram à conclusão que precisavam desenvolver sistemas mais sofisticados. aonde é possível constatar a classificação SIL dos CLPs e a sua estrutura interna. comp. em meados de 1970. Mais informações sobre os sistemas de outros fabricantes e download dos certificados pode ser encontrado em TUV (2009). começaram a estudar sistemas tolerantes a falhas em computação. . os principais modelos de alguns fabricantes de CLP de segurança certificados IEC 61508. comp. implementação da redundância e a certificação independente. 1oo1/ 1oo1D Hot Standby 2oo4D/ 2x *proc comp 1oo2D *proc. Emerson HIMA Delta V SIS A1 A1 dig Exida TUV Rheinland TUV Sud HIMA H41 H51q Honeywell Siemens Siemens Triconex FSC S7-400FH S7-300F Tricon V. comp. Segundo a IEC 61508 o que difere um sistema de segurança de um sistema comum é o nível do diagnóstico. comp. Então.9 SIL 3 SIL 3 SIL 2 SIL 3 1oo2D *proc. 1oo1D Hot Standby 2oo3 Redundância Modular Tripla (TMR) TUV Sud TUV Sud TUV Sud TUV Rheinland TUV Sud Yokogawa Prosafe PLC SIL 3 1oo2D *proc. TABELA 4 – TABELA DE CLPs DE SEGURANÇA CERTIFICADOS IEC 61508 Empresa Modelo Classificação Estrutura do Sistema Agência Certificadora TUV Sud ABB Safeguard 400 SIL 2/ SIL 3 SIL 3 SIL1/ SIL 2 SIL 3 1oo1D Hot Standby/ 1oo2D *proc.

Esta estrutura tem circuitos que verificam cada parte do sistema. Módulos de entrada Circuito de entrada Módulos de CPU CPU Módulos de saída Circuito de saída + Sensor Circuito de diagnóstico Circuito de diagnóstico Circuito de diagnóstico Elemento final Circuito de entrada CPU Circuito de saída Circuito de diagnóstico Circuito de diagnóstico Circuito de diagnóstico - FIGURA 15 – SISTEMA 2oo2 COM DIAGNÓSTICO. atendendo SIL 3. PROPOSTA DE UM SISTEMA TOLERANTE A FALHAS A tolerância à falhas é uma das qualidades que um controlador pode apresentar.64 Alguns fornecedores seguem a estrutura de módulos redundantes com diagnósticos. . o canal defeituoso é invalidado. o sistema consiste em três sistemas de arquitetura idêntica. 3. O sistema proposto será desenvolvido baseado na arquitetura do TMR. Cada canal é isolado um do outro. se for detectada alguma falha em algum destes circuitos a saída de diagnóstico abre. mas nesta configuração temos dois canais 2oo2 com diagnóstico. É a capacidade de detectar transitório e o estado de equilíbrio do erro adotando medidas on-line corretivas. conforme apresentado na Figura 15. Em termos de confiabilidade estes sistemas tem o mesmo efeito de um sistema 2oo3. desde o de entrada até o de saída. Se uma falha de hardware ocorrer.3. nenhum ponto de falha de um canal pode passar para outro canal. podendo causar um trip.

. Estes computadores processam estes sinais e devolvem os resultados para o canal de aquisição. o segundo é o de processamento. pois o servidor de imagem limitaria o sistema como um todo. e cada um está transmitindo o sinal para um computador diferente. dever-se-á configurar a imagem para boot local. isto deve ser feito para que o sistema possa operar sem ter um gerente de boot. Após desenvolver-se a imagem no Plataform Builder. e o terceiro canal de é o de votação. ele é quem decide qual sinal irá ser aplicado no processo. se utilizando do mesmo protocolo serial. conforme apresentado na Figura 17.65 O diagrama de blocos da Figura 16 representa os canais do sistema que serão implementados. Transmissor no campo Windows CE Canal de aquisição Serial Canal de votação Serial Processamento Elemento final FIGURA 16 – DIAGRAMA DE BLOCOS DE UM CANAL DO SISTEMA PROPOSTO. É importante observar que cada placa de aquisição está recebendo o sinal de um transmissor diferente. Este circuito irá utilizar um microcontrolador PIC que estará lendo os dados de um transmissor de 4 à 20mA (transmissores analógicos) por um canal A/D de 10 bits e estará transferindo estes dados para os computadores (canais de processamento) via protocolo de comunicação serial RS-232 full duplex. O primeiro canal é o de aquisição do sinal. Desenvolver-se-á placas aquisição e transferência de sinal. Estes computadores (canais de processamento) farão o papel das CPUs. será utilizando um sistema operacional de tempo real Windows CE. para tanto.

este artifício se torna interessante. o qual será utilizado para levantar as taxas de falhas do sistema que serão compiladas para a realização do cálculo da confiabilidade de todo o sistema. tanto para o algoritmo de controle como para o de intertravamento. Em um primeiro instante. O canal de votação recebe os valores calculados pelo canal de processamento que foi enviado para o canal de aquisição. isto parece errado. o segundo irá executar uma lógica de intertravamento. A B C Processamento Comunicação serial RS-232 Canal de aquisição 1 Transmissor 1 Transmissor 2 Transmissor 3 A/D A/D Canal de aquisição 2 Canal de aquisição 3 A/D Comunicação serial RS-232 Canal de votação Elemento final FIGURA 17 – DIAGRAMA DE INTERLIGAÇAO. Estes programas serão desenvolvidos em linguagem C. pois o sensor está sendo testado continuamente. Analisando a Figura 17. o que não aconteceria se fosse utilizado sensores tipo chave. este deverá ser testado controlando um processo real em uma planta didática. nota-se que serão utilizados transmissores analógicos. mas para sistemas de segurança shutdown. pois costumeiramente se utilizam sensores como chaves para sistemas de intertravamento.66 Será desenvolvido dois softwares específicos. no compilador Microsoft Embedded Visual C++. Através de uma . o primeiro será um algoritmo de controle que irá calcular os parâmetros do PID.

3. ele assume a saída como sendo o canal que tem mais votações. contém chaves de topo para fazer intertravamento de nível. Planta Didática A planta que será utilizada para a validação do controlador redundante proposto. isto se este sistema for aplicado para controle. O processo dela é produzir água em uma temperatura controlada. indicadores de vazão do tipo rotâmetro. É o canal de votação que atua no circuito D/A do posicionador de válvula que recebe um sinal padronizado de 4 a 20mA. onde será feito o controle de temperatura. É o canal de votação quem decide qual é o valor que será aplicado no elemento final de controle. cujo nome dado é planta 03.67 comunicação serial RS-232 full duplex ele recebe de cada canal o valor final calculado. ou seja. nesse caso 50%. com a finalidade que a água aquecida passe para o tanque 3.2.1. transmissor de temperatura nos dois tanques. se dois computadores calcularem o valor da saída de controle para 50% e um calcular para 10%. Quando esta chave atua a bomba para de mandar o líquido para o tanque 3. posicionador de válvula eletrônico e eletro-pneumático e transmissor indicador de vazão. O processo começa com o aquecimento da matéria prima (água) no tanque 3. visores de níveis nos dois tanques.1 e o sistema de temperatura é acionado. é uma planta didática de controle de temperatura. .1. nível e vazão. o sistema de aquecimento é desligado e novamente inicia o bombeamento de água para o tanque 3. de acordo com o diagrama P&I apresentado na Figura 18.3. derivador de fluxo.1. mas se for aplicado para shutdown à saída é um contato aberto ou fechado. Todos os equipamentos são industriais. Para que as termo resistências sejam acionadas é necessário que a chave de topo que faz o intertravamento de nível seja atuada. termostato e pressostato no tanque 1. Quando a temperatura chegar ao valor ajustado no termostato. Ele também identifica se algum canal não está em funcionamento. uma das formas de decisão é através do cálculo do valor mediano. transmissor de nível.

1.68 FIGURA 18 – DIAGRAMA DA PLANTA 3. conforme a norma ISA 5. A Tabela XX pode ser utilizada para a interpretação do Figura 18 e 19. Equipamento Válvula de retenção Bomba (Bomba 1) Função/descrição Válvula de acionamento manual tipo registro de gaveta Elemento primário para medição de vazão / Placa de orifício Válvula de acionamento automática/ deslocamento linear FIT FCV Transmissor indicador de vazão/ instrumento discreto instalado no campo Válvula de controle de vazão/ instrumento discreto instalado no campo . A Tabela 5 relaciona os elementos que são utilizados na planta 3 descrevendo cada equipamento de acordo com a sua função no processo. TABELA 5 – EQUIPAMENTOS E SUAS FUNÇÕES.

Para isto.2 e o controlador define qual é a quantidade de água que deve ser adicionada. rotâmetro FI LIT TIT LG PIT Transmissor indicador de nível/ instrumento discreto instalado no campo Transmissor indicador de temperatura/ instrumento discreto instalado no campo Visor de nível/ instrumento discreto instalado no campo Transmissor indicador de pressão/ instrumento discreto instalado no campo Chave de nível baixo/ instrumento discreto instalado no campo Chave de temperatura alta/ instrumento discreto instalado no campo Válvula manual LSL TSH HV No momento em que a água quente começa a entrar no tanque 3. já se tem um instalado. e irá trabalhar com o controle de nível.1. desta forma.1 conforme o P&I proposto na Figura 19. Então a segunda malha de controle começa a controlar essa quantidade de mistura. terá que ocorrer algumas modificações na instrumentação desta planta. visto que.1 foi ajustado para uma temperatura acima da temperatura de controle. pois. Esta seria uma das aplicações possíveis para se trabalhar com a planta 3. se faz necessário três transmissores medindo a mesma variável. utilizar-se-á apenas a primeira malha de controle. precisamos adicionar água fria para que ocorra o resfriamento e o controle.69 Indicador de vazão/ instrumento discreto instalado no campo. Estes três transmissores irão enviar um sinal de 4 à 20mA para o sistema redundante proposto que irá calcular a saída do controlador e irá realimentar um posicionador de válvula que está ligado a uma válvula de controle que controla a vazão do fluído que está indo para o tanque 3. Cada transmissor irá medir o nível em sua tomada de pressão e irá transmitir este valor em um sinal de 4 à 20mA para o controlador. pois o termostato do reservatório 3. .1. Para a aplicação em questão. Deverão ser colocados mais dois transmissores de nível no tanque 3. A temperatura é medida pelo transmissor de temperatura do tanque 3. Será feito um controle de nível pela vazão de água que está entrando no tanque 3.2 o sistema de controle começa a trabalhar.

Para cada sistema de controle. Serão inseridas algumas falhas sistemáticas. Estes dados serão apresentados em forma gráfica no software Matlab. e os resultados obtidos serão discutidos e comparados. será feita uma sintonia de controle respeitando . neste caso usar-se-á o LC 700 da Smar o qual já se encontra instalado na planta 3. sistema de shutdown. 3. Comparação do Sistema com CLP Industrial de Controle Os resultados obtidos do sistema de controle redundante serão comparados com os dados de um CLP de controle industrial.70 FIGURA 19 – DIAGRAMA PROPOSTO.2. A priori será testado o sistema de controle e a posteriori será feito os testes para o cálculo da probabilidade de falha sobre a demanda (PFD).3. o redundante e o industrial.

cada ciclo será gerado após um segundo. ou seja.67 minutos para realizar uma varredura de mil ciclos. observa-se que .3. será desenvolvido um sistema que ficará simulando modos de falhas no canal de aquisição de dados. Após o ciclo de testes. Ele irá simular uma falha e verificar se a saída respondeu como o esperado.4. se foi falha segura ou falha perigosa. Para a aplicação deste método é necessário conhecer as taxas de falhas de cada circuito envolvido na arquitetura do sistema. Na Figura 20(a) é demonstrado o circuito de votação de uma arquitetura 2oo3. estes dados serão apresentados em um display LCD (Liquid Crystal Display) 16x2 para que seja feita a coleta dos mesmos.3. Avaliando-se a Figura 20(b). Após estes dados serem coletados e tabulados. o método de sintonia utilizado será o da tentativa sistemática. 3. Este sistema de simulação irá analisar a resposta para mil ciclos de entrada.71 a estrutura de cada algoritmo de controle (PID). o cálculo da PFD para sistemas redundantes pode ser obtido através do emprego Análise da Árvore de Falhas (Fault Tree). será possível aplicar o método descrito na norma IEC 61508 para o cálculo da PFD de sistemas redundantes. Este mesmo sistema ficará verificando o comportamento da saída. senão ele analisa qual foi o tipo de falha que ocorreu no sistema. falha segura. AQUISIÇÃO DA PFD Segundo a IEC 61508. 3. falha perigosa. serão necessários 16. percebe-se que se faz necessário que duas saídas falhem de modo seguro para todo o sistema falhar e olhando a Figura 20(c). as saídas são ligadas em série e paralelo. Obtenção de Dados para o Cálculo da PFD Para a obtenção das taxas de falhas do sistema.

O sistema pode falhar perigosamente se ocorrer às falhas nos canais conforme a árvore de falhas indicada na Figura 21.72 é necessário que duas saídas fiquem curto-circuitadas (falha perigosa) para que ocorra uma falha perigosa no sistema. Nesta Figura analisam-se os canais A e B. A A B B C C C C C C Circuito de Votação (a) Circuito aberto falha segura (b) Curto circuito falha perigosa (c) FIGURA 20 – MODOS DE FALHA DA ARQUITETURA 2oo3. e para os canais B e C. . mas como o sistema é 2oo3 esta mesma árvore de falha é valida para os canais A e C. A&B falha A&B PEC A&B PDC A falha B falha A PE A PD B PE B PD FIGURA 21 – ÁRVORE DE FALHA DE UMA ARQUITETURA 2oo3 PARA OS CANAIS A e B.

A e C. Logo a PFDA&B é dada da seguinte maneira: PFD A& B = ( A & B) PEC ∗ RT + ( A & B ) PDC ∗ TI + ( A PD ∗ TI ) + ( A PEC ∗ RT ) & ( B PD ∗ TI ) + ( B PE ∗ RT ) . 2 [ ] (15) A Fórmula 15 é para obter a PFDA&B relacionada ao canal A e B como o sistema proposto é 2oo3 é necessário aplicar esta equação para as três combinações (A e B. irá ser considerada a mesma taxa de falha λ para cada canal.73 Considerando a árvore da Figura 21. conclui-se que os canais A e B irão falhar se ocorrer uma falha perigosa encoberta de causa comum (PEC) em A e B ou se ocorrer uma falha de perigosa não descoberta de causa comum (PDC) em A e B. C e B). calculando-se então a PFD2oo3 do sistema da seguinte forma: PFD2 oo 3 = 3(λ PEC ∗ RT ) + 3(λ PDC ∗ TI ) + 3 (λ PD ∗ TI ) + (λ PE ∗ RT ) . 2 [ ] (16) . reduzindo a fórmula anterior em: PFD A& B = (λ PEC ∗ RT ) + (λ PDC ∗ TI ) + (λ PD ∗ TI ) + (λ PE ∗ RT ) . Cada canal poderá falhar independentemente se ocorrer uma falha perigosa encoberta (PE) ou uma falha perigosa descoberta (PD) falhando assim os dois canais A e B. [[ ] [ ]] onde TI é o intervalo de testes e RT é o tempo de reparo. Considerando que os canais são iguais.

os fluxogramas dos algoritmos que foram implementados. Esta tensão então é aplicada em um pino A/D do microcontrolador PIC 16F876A (conforme pode ser visto no Apêndice A). é o caso do canal de aquisição e de processamento. . assumindo como sinal final o resultado da média. o transmissor está ligado no canal de aquisição. Como se trata de um sistema redundante tem-se canais triplicados. Enquanto não ocorre nenhuma interrupção serial ele fica lendo a PV (variável do processo) e para que ocorra um amortecimento maior deste sinal e para que uma possível oscilação não venha a dar uma variação na resposta do sistema de controle este algoritmo lê 10 vezes o sinal do conversor A/D e calcula a média deste. CANAL DE AQUISIÇÃO Conforme demonstrado na Figura 17. IMPLEMENTAÇÃO E RESULTADOS Neste capítulo serão apresentadas duas aplicações deste sistema redundante. o primeiro será uma aplicação em um sistema em controle de nível em um processo industrial e a segunda em uma configuração de CLP de shutdown. conforme apresentado na Figura 22. O canal de votação não é necessário ser redundante.74 CAPÍTULO 4 4. bem como.1. este envia um sinal de 4 a 20mA para um conversor de corrente tensão gerando uma tensão de 1 a 5 V. 4. inicia também o conversor analógico digital (A/D) e uma fonte de saída de dados (Display de LCD). pois é ele quem vai calcular a mediana dos resultados finais para a aplicação do sinal no elemento final de controle. O algoritmo inicia as duas comunicações seriais que serão utilizadas ambas para 19200bps. intertravamento de segurança. Nestas aplicações serão detalhados os aspectos de construção de cada canal.

75 Início Configura interrupção serial 1 Configura interrupção serial 2 Inicia LCD Configura Conversor A/D 'Verdadeiro' i=0 Não i < 10 ? Sim x[i] = Le_AD i=i+1 PV = (x[0] + . + x[9])/10 FIGURA 22 – FLUXOGRAMA DO ALGORITMO DO CANAL DE AQUISIÇÃO.. ..

então ele envia esse valor e aguarda a transmissão do novo valor da CO. como mostrado na Figura 23.76 Este algoritmo tem duas fontes de interrupção serial. a primeira é para realizar a comunicação com o sistema embarcado no computador e a segunda é para que este canal se comunique com o canal de votação. Interrupção serial 1 Envia PV y = Buffer serial Converte y em decimal CO = y Imprime CO no LCD Fim FIGURA 23 – FLUXOGRAMA DA FUNÇÃO DE TRATAMENTO DA INTERRUPÇÃO SERIAL 1. uma para enviar o valor do CO (saída de controle) para o canal de votação calcular a mediana e a outra é para que o canal de votação consiga identificar se o canal de aquisição contém algum defeito. Quando ocorrer a interrupção serial 1 o programa vai para a função de tratamento da interrupção da serial 1 significando que o sistema embarcado está perguntando para o canal de aquisição qual é o valor da PV atual. A segunda fonte de interrupção desempenha duas funções. .

transmite para o controlador. lê a variável do processo. Para tanto. 4. usou-se um sinal PWM. foi utilizado um . No caso da utilização deste sistema para shutdown é ele quem executa o algoritmo 2oo3 que decide se o elemento final deve ser fechado ou permanecer aberto. Para isto. recebe a nova variável da saída do controlador e guarda este dado até que seja requerido pelo canal de votação. então ele envia esse valor e volta para onde estava antes de ocorrer esta interrupção. para que não exista a queda de 0. atuando diretamente no elemento final de controle.6V de tensão na junção base emissor de um transistor (este circuito pode ser visto no Apêndice B). CANAL DE VOTAÇÃO Todo o sistema depende do correto funcionamento do canal de votação. A sua principal função é o cálculo da mediana dos valores no CO que será transformado em um sinal de 4 a 20 mA e será modulado em um posicionador de válvula. Conforme mostrado na Figura 20 (a). é ele que vai fazer o sincronismo do sistema.FLUXOGRAMA DA FUNÇÃO DE TRATAMENTO DA INTERRUPÇÃO SERIAL 2. Estas são as funções que o canal de aquisição está desenvolvendo. Este sinal é aplicado a um conversor de tensão para corrente ativo.77 Quando ocorrer a interrupção serial 2 o programa vai para a função de tratamento da interrupção da serial 2 significando que o canal de votação está perguntando para o canal de aquisição qual é o valor da CO atual. onde com o valor do CO calcula-se a porcentagem do duty-cicle.2. Interrupção serial 2 Envia CO Fim FIGURA 24 .

controle ou shutdown. se isto não ocorrer o canal é dado como defeituoso. posicionador de válvula de controle. Através da conversão deste valor para um sinal de corrente atua-se no elemento final. as três variáveis sejam diferentes. Com as variáveis atualizadas no canal de votação o algoritmo realiza o cálculo da mediana dos valores. . De acordo com a função que o sistema terá no processo. desenvolveram-se dois programas distintos. Após o cálculo da variável CO. o primeiro é o de controle e o segundo é o de intertravamento de shutdown. o duty cyle do PWM é ajustado para este novo valor. pois na próxima varredura estas variáveis podem assumir um outro valor. mas esta diferença está localizada diretamente no sistema de votação: o primeiro faz a votação da mediana para saber qual é o valor mais votado nos três sistemas o que ganhar será assumido como valor padrão de saída do elemento final e o segundo é o algoritmo de decisão de um sistema de votação 2oo3. caso isto não ocorra. configura o LCD e configura a comunicação serial para uma velocidade de 19200 bps.78 microcontrolador PIC 16F876A implementando uma comunicação serial e a configuração de uma saída PWM. novo CO. Nas Figuras 25 e 26 apresentam-se os dois fluxogramas. Se o canal responder corretamente este valor é assumido como o novo valor da variável temporária. Após a verificação do canal de aquisição. PWM_atual. o canal de varredura aguarda o recebimento da nova variável via serial. o novo valor que é ajustado o PWM é 0%. se isto ocorre assume-se o valor da saída do controlador como o valor que mais se coincide. No fluxograma de controle inicialmente o algoritmo configura o PWM. Desta forma. ou seja. Estes dados são colocados em uma variável temporária. deverá ser utilizado o algoritmo correspondente. verificando se existe dois ou mais valores iguais. Então é feita uma varredura de cada canal.

.79 Início Configuração do PWM Configura interrupção serial Inicia LCD 'Verdadeiro' Não Canal 1? Sim x1 = = x2 || x1 = = x3 || x2 = = x3 || Não x1 = Buffer serial Defeito PWM_atual = 0 Sim Não x2 = = x3 Sim Sim x2 = Buffer serial PWM_atual = x1 Não Canal 2? Defeito PWM_atual = x2 Não Canal 3? Sim Ajusta PWM x3 = Buffer serial Defeito FIGURA 25 – FLUXOGRAMA DO ALGORITMO DE CONTROLE DO CANAL DE VOTAÇÃO.

.80 Início Configuração do PWM Configura interrupção serial Inicia LCD 'Verdadeiro' Não Canal 1? x1 = = 1 & x2 = = 1 Sim Não Sim x1 = Buffer serial x1 = = 1 & x3 = = 1 Sim Não Defeito x2 = = 1 & x3 = = 1 Sim Não Canal 2? Sim x2 = Buffer serial Não PWM_atual = 100 PWM_atual = 0 Defeito Não Ajusta PWM Canal 3? Sim x3 = Buffer serial Defeito FIGURA 26 – FLUXOGRAMA DO ALGORITMO DE SHUTDOWN DO CANAL DE VOTAÇÃO.

1. . 0 ou 100% aberto ou fechado. 4. ele se difere do outro justamente na análise da combinação de chaves e na saída resultante que é uma válvula 100% aberta ou totalmente fechada (depende da ação da válvula).81 Este algoritmo faz uma análise de sensores tipo chave.3. Para tanto. o que não faria sentido nesta aplicação. para isso foi preciso criar um disco de BOOT. após ter sido instalada a plataforma do Windows CE chamada de Plataform Builder. logo. ou seja. CANAL DE PROCESSAMENTO Este é o canal onde irá ocorrer o processamento da informação. a execução da lógica de intertravamento indicando se a saída deve ser aberta ou fechada considerando os estados de entrada e etc. O conjunto completo de características é apresentado na Tabela 6. Feita a imagem foi preciso configurá-la para que o BOOT do sistema operacional fosse local. 4. uma combinação binária. as configurações de hardware. Criando a Imagem do Windows CE A imagem construída tem um conjunto de características. Executado todos estes passos iniciou-se então o desenvolvimento dos sistemas utilizando o compilador Microsoft Embedded Visual C++. o cálculo do CO considerando o ajuste das variáveis de controle do algoritmo PID. entre outros.3. inicialmente. Mas no algoritmo de controle precisamos encontrar o valor que se localiza dentro do range de 0 a 100%. foi necessário criar a imagem que iria rodar na memória RAM dos computadores com o Windows Embarcado. pois neste projeto não teremos um servidor de BOOT. estas definem os elementos a serem integrados. os device drivers utilizados.

0 for Windows CE Components Audio Shell User Interface Depois desta plataforma pronta deve-se fazer a compilação da mesma. esse procedimento deve ser feito selecionando build plataform no menu build. Drivers e aplicativos podem ser adicionados à imagem depois da imagem construída.82 TABELA 6 – CONJUNTO DE CARACTERÍSTICAS UTILIZADAS PARA A CONSTRUÇÃO DA IMAGEM NO WINDOWS CE. É importante salientar que foi construída apenas uma imagem para as duas aplicações. Board Support Packages (BSPs) Plataform Configuration Custom Device Aplications and Services Development • • • • • • • • • • • • • • • • • • • • • • • • • • • • Aplications . mas uma nova compilação deve ser realizada. .NET .Net Compact Framework Cab Files Installer/Unistaller File Viewers Remote Desktop Connection Battery Driver Serial Port Support Parallel Port Support USB Host Support Debugging Tools Power Management Kernel Features Networking – Local Area Network File System – Internal Registry Storage Storage Manager Arial New Times Roman Internet Explorer 6. o que altera é somente o software que está sendo executado no sistema embarcado.End User Core OS Services Communication Services and Networking File Systems and Data Store Fonts Internet Client Services Multimedia Technologies Shell and User Interface CEPC:X86 Custom Configuration Custom Device with Shell and Graphical User Interface (GUI) Active Template Library C Libraries and Runtimes Microsoft Foundation Classes (MFC) Standard SDK for Windows CE .

2.3. um disco responsável por iniciar a máquina onde é feito o download da imagem do sistema operacional.83 4. pois é ele quem chama o arquivo NK. encontra-se um arquivo chamado Cepcboot. A partir deste momento o boot já pode ser dado localmente. Efetuando o BOOT Local Quando foi criada a imagem o Platform Builder gerou um arquivo com todos os driver e aplicativos selecionados chamado de NK.bin.3. Para que fosse possível a utilização deste compilador foi necessário atualizar o servicepack para a versão 3. este arquivo é copiado para o Hard Disc onde será efetuado o boot juntamente com todos os arquivos criados no disco de inicialização. Por algum motivo este compilador não cria aplicativos MFC (Microsoft Foundation . para corrigir isto.3.3.bat e alterar a resolução manualmente para a desejada. na mesma pasta que se encontra o executável Websetup. utilizou-se o compilador Microsoft Embedded C++ 4. É muito importante que o programa Loadcepc. Possivelmente a resolução inicial seja de 640x480.bin 4. Para tanto. um exemplo do caminho que pode se encontrar esse arquivo é: C:\Arquivos de programas\Windows CE Platform Builder\4. Depois de instalado o Programa WebImage. basta editar o arquivo autoexec.exe seja copiado para o Hard Disc. este arquivo é responsável pela criação de um disco de boot.exe que se encontra numa pasta da instalação do Platform builder.20\cepb\utilities. Criando um Novo Projeto Após a construção da imagem no Platform Builder e as configurações de boot local finalizadas iniciou-se o desenvolvimento do primeiro aplicativo.0. ou seja. 4.4. Criando o Disco de BOOT Acessar um programa chamado Websetup.

O sistema de controle proposto executa um algoritmo que calcula as ações de controle de um controlador do tipo PID. . Após a realização destes passos. valor de ajuste do SP (set-point) está programado neste sistema. recebendo a PV (variável do processo) do canal de aquisição via serial. executando o algoritmo PID e enviando. a fábrica e a comunidade. Este arquivo pode ser encontrado para download em Microsoft (2009). Na aplicação desenvolvida ele precisa fazer o controle de nível de uma planta. na lista de projetos seleciona-se a opção WCE MFC AppWizard(exe) e na lista de CPUs seleciona-se Win32 (WCE x86).84 Classes) senão estiver atualizado o servicepack para versão 3. Este programa de controle está sendo executado na plataforma Windows CE. este é um processo que necessita de um sistema de controle tolerante a falhas devido ao perigo que ele representa para empresa e para a comunidade que vive ao seu redor. SISTEMA DE CONTROLE Uma das aplicações dos sistemas redundantes na indústria é o controle de processos que apresentam grandes risco as pessoas da operação. É ele quem faz a pergunta do valor da PV para o canal de aquisição em um tempo pré-definido. Um exemplo desse tipo de processo é o controle de caldeira. O fluxograma da Figura 27 ilustra como está estruturada a troca de dados entre o sistema de controle e o canal de aquisição. 4. o CO (saída de controle) para a placa de aquisição. Na criação do projeto é importante selecionar a opção Windows Sockets. as caldeiras da Petrobrás REPAR em Araucária geram vapor saturado a uma pressão de aproximadamente 88Kgf/cm2 a uma temperatura próxima de 405ºC. logo. Toda a lógica do algoritmo do cálculo do PID. como descrito anteriormente. via serial. abre-se o compilador e cria-se um novo projeto.4.

85 SP Windowns CE PV Sistema de controle PID Serial Serial CO Canal de aquisição Buffer serial A/D CO 4 a 20mA Transmissor FIGURA 27 – FLUXOGRAMA DA TROCA DE DADOS ENTRE O CANAL DE AQUISIÇÃO E O WINDOWS CE. Este sistema de controle pode estar operando em manual ou em automático. No sistema de controle tem-se duas entradas de dados a PV que vem do canal de aquisição e o SP que é definido pelo usuário. Em manual significa que o sistema está em malha aberta e o ajuste do elemento final está sendo realizado pelo operador. . O fluxograma do algoritmo do sistema de controle pode ser visto na Figura 28. Ti (tempo integral) e Td (tempo derivativo). o erro é calculado internamente subtraindo a PV do SP (Erro = PV – SP). Após o cálculo do PID o resultado de saída que é a variável CO é enviada para o canal de aquisição. Ainda existem mais três variáveis de entrada que são as ações de controle: Kp (ganho proporcional). em automático fecha-se a malha e agora quem controla todo o processo é o algoritmo PID. via comunicação serial.

quando ocorrer o estouro do temporizador o . Se o teste da comunicação passar. enquanto isso pode ser ajustado o valor do CO.86 Início Configura serial Não Serial Ok? Sim Inicia sincronismo Modo = Manual Sim Não Sincronismo? Aumenta ou diminui CO Não Sim Recebe PV Envia CO Ajusta SP. O primeiro teste realizado pelo algoritmo é a verificação da comunicação serial. devido à necessidade de ser feito o start-up no processo) o programa fica esperando o estouro do temporizador. se for configurado para modo manual (configuração inicial. ajusta-se então um relógio que gera o sincronismo do sistema de controle com o canal de aquisição. o algoritmo devolve uma mensagem de erro de comunicação e este é finalizado. O programa pode operar em modo manual e automático como dito anteriormente. se por algum motivo esta esteja inoperante. Td Sincronismo? Sim Recebe PV Calcula erro Calcula CO (PID) Envia CO Fim Modo = Auto Sim Não Mensagem de erro FIGURA 28 – FLUXOGRAMA DO SISTEMA DE CONTROLE. Ti. Kp.

levantou-se a curva de resposta do mesmo. . como pode ser visualizado na Figura 29.87 sistema recebe do canal de aquisição o valor da PV atual e envia o novo valor da variável CO. A partir do momento em que o sistema é passado para automático. calcula o novo CO e o envia para o canal de aquisição. feito isto. este gráfico foi plotado no Matlab. com isto. Para isto passou o sistema para malha aberta e o ganho proporcional (Kp) foi ajustado para um ganho unitário. agora todo o controle (o cálculo do novo CO) depende do algoritmo PID que recebe o valor da PV atual em seguida calcula o erro subtraindo a SP da PV. O sistema foi levado até uma faixa de operação e aguardou-se que este entrasse em um regime permanente. o usuário não tem mais direito a modificar a saída de controle. ele passa a ter que ajustar o SP e as variáveis de controle. FIGURA 29 – CURVA DE RESPOSTA DO SISTEMA EM MALHA ABERTA. aplicou-se um sinal degrau de 10% de amplitude e a partir deste momento foi feita à aquisição destes dados. conseguiu-se levantar a curva de resposta deste sistema em malha aberta. Antes de sair controlando o processo.

os ações de controle foram setadas para os mesmos valores para que fosse possível ter um mesmo valor de sintonia nos três controladores. O gráfico de resposta do sistema controlado pode ser visualizado na Figura 30. aplicouse o primeiro método de Ziegler e Nichols. foi utilizado um controlador do tipo PI. A função de transferência pode ser aproximada por um sistema de primeira ordem com tempo morto (atraso de transporte). Para gerar a curva de resposta do processo sendo controlado. A equação 15 apresenta a função de transferência da planta didática que será controlada pelo sistema proposto e pelo CLP industrial. Como esta curva de resposta caracteriza um sistema de primeira ordem. . dada por: G( S ) = 1. iniciou-se o processo de sintonia do controlador. para obter a função de transferência do processo. o primeiro a ser sintonizado foi o sistema que está sendo proposto neste trabalho de dissertação. ajustou-se o Kp para 4 e o Ti para 1 e como não foi usado o Td este ficou em 0. conhecido como método da curva de resposta em malha aberta. uma forma de ser anulada esta ação de controle. 10 S + 1 (15) Com a Figura 29 de resposta do processo.65 . Este método pode ser aplicado a plantas que não envolvam integradores nem pólos complexos dominantes. aplicou-se um degrau de amplitude igual a 10% no SP.88 Após a obtenção da curva de resposta do processo em malha aberta. Como é o mesmo algoritmo que está sendo executado nos três canais de processamento.

FIGURA 31 – CURVA DE RESPOSTA DO PROCESSO CONTROLADO POR UM CONTROLADOR INDUSTRIAL. .89 FIGURA 30 – CURVA DE RESPOSTA DO PROCESSO CONTROLADO PELO SISTEMA PROPOSTO.

assumem-se os dois controles como satisfatório. Este sistema de simulação irá receber a saída do canal de votação e irá verificar se o sistema tomou . o que não ocorreu com o LC-700.90 Para que fosse feita uma comparação de resposta entre sistemas. pois se conseguiu demonstrar que o sistema redundante proposto tem uma resposta em controle tão boa quanto um sistema industrial. desligou-se uma fase de alimentação de um canal de processamento. o que é muito positivo para este estudo. No processo em questão esta diferença não é significativa. pois nesta aplicação se fez necessária a utilização de três entradas em cada canal de aquisição porque o sistema de processamento irá executar uma lógica booleana de três chaves (sensores on-off) aberto ou fechada. O canal de votação estará verificando a resposta dos canais de processamento e decidirá se a saída estará acionada ou desacionada conforme a lógica do sistema de votação 2oo3. Um sistema de simulação de falhas e defeitos foi desenvolvido para que se possa gerar falhas perigosas na entrada do canal de aquisição. pois este é um sistema simples sem redundância quando foi desligada a fase de alimentação todo o sistema foi desligado inclusive todos os transmissores. utilizou-se um CLP industrial o LC-700 da Smar como controlador do mesmo processo. SISTEMA DE INTERTRAVAMENTO Para a utilização do sistema proposto como sistema de intertravamento foi necessário realizar algumas modificações nos circuitos de aquisição. A Figura 31 apresenta a resposta obtida do controle realizado pelo LC-700. neste momento o processo ficou sem controle. Verifica-se que existe uma diferença de resposta nos dois gráficos.5. como o sistema é redundante e tem três CPU à falta de uma fase não influenciou o desempenho do sistema. 4. para tanto. e este foi sintonizado e submetido aos mesmos testes do sistema proposto nesta dissertação. Foi efetuada a simulação de queda de alimentação. logo. mas isto se deve a estrutura do PID e a sintonia do controlador.

Conforme a Tabela 7. Estes dados são mostrados em um display de LCD. TABELA 7 – TABELA VERDADE DE SAÍDA DE CADA CANAL DE PROCESSAMENTO DADA AS ENTRADAS (SA. ou seja. se alguma chave (sensor) enviar um sinal de nível lógico ‘0’ a saída do canal de processamento deve ir para nível lógico ‘0’. A lógica que está implementada em cada canal de processamento é X = SA e SB e SC.SB e SC) SA 0 0 0 0 1 1 1 1 SB 0 0 1 1 0 0 1 1 SC 0 1 0 1 0 1 0 1 X 0 0 0 0 0 0 0 1 .91 a decisão correta. executando simplesmente a lógica booleana das entradas. A B C Processamento Comunicação serial RS-232 Canal de aquisição 1 Canal de aquisição 2 Canal de aquisição 3 Comunicação serial RS-232 Sistema de simulação Canal de votação FIGURA 32 – DIAGRAMA ESQUEMÁTICO DO SISTEMA 2oo3. O diagrama esquemático pode ser visto na Figura 32.

Por exemplo: setando SA para nível lógico ‘0’. Mas se por algum motivo (falha). O fluxograma do sistema de intertavamento pode ser visto na Figura 33. SB e SC para os valores da Tabela 7 e analisa a resposta do canal de votação. . pois é necessário que a malha seja desligada mas o sistema não o fará. o canal de votação não irá realizar o shutdown caracterizando desta forma uma falha perigosa.92 O sistema de simulação vai setando as variáveis SA. dois canais de processamento mantivessem a saída em nível lógico ‘1’. Da mesma forma isto pode ser avaliado se os sensores estiverem em nível lógico ‘1’ e por algum motivo (falha) dois canais de processamento forem para nível lógico ‘0’. isto fará com que o canal de votação vá para nível lógico ‘0’ efetuando o shutdowm da malha quando isto não deveria ocorrer. isto significa que o sistema está em perfeita operação. caracterizando assim uma falha segura. dadas as entradas anteriores. SB para nível lógico ‘1’ e SC para nível lógico ‘1’ a saída dos canais de processamento devem ser igual ao nível lógico ‘0’. o que fará com que a saída do canal de votação vá para nível lógico ‘0’. um sensor de segurança atuou e como a lógica nos três canais de processamento é a mesmo todos responderam de forma igual e por consequência disso a resposta do sistema de votação foi efetuar o shutdown da malha.

gerando a Tabela 8. bem como. ao fim de cada varredura anotou-se o número de falhas seguras detectadas e calculou-se a média das falhas. Para a coleta da falha segura foram feitas dez varreduras de mil ciclos cada. . Após as implementações e modificações tanto de hardware como de software iniciou-se os ciclos de testes para a obtenção dos dados para que fosse possível o cálculo da PFD. a disponibilidade do sistema proposto.93 Início Configura serial Não Serial Ok? Sim Inicia sincronismo Não Sincronismo? Sim Recebe SA.SB e SC X = SA & SB & SC Envia X Mensagem de erro Fim FIGURA 33 – FLUXOGRAMA DO SISTEMA DE INTERTRAVAMENTO.

373 anos neste sistema proposto. MTTR = 6 horas . . gerando a Tabela 9. Para a coleta da falha perigosa foram feitas dez varreduras de mil ciclos cada.0657 ) ∗    8760  MTTFsp = 56.0657. Após ser aplicada a fórmula de cálculo do MTTFsp encontrou-se um tempo médio entre falhas de 56.7 = 0. O MTTR utilizado foi de 6 horas. 1000 σ = 38.373 anos.94 TABELA 8 – FALHAS SEGURAS Varredura 1 2 3 4 5 6 7 8 9 10 Ciclos 1000 1000 1000 1000 1000 1000 1000 1000 1000 1000 Média de Falhas Seguras Falha segura (λs) 145 101 95 70 46 58 51 31 48 12 65. esse valor surge do tempo médio de reparo que foi utilizado durante os testes para o levantamento da taxa de falhas do sistema.7 λS = 65.373 anos o que significa que pode ocorrer uma falha em 56.6955. ao fim de cada varredura anotou-se o número de falhas perigosas detectadas e calculou-se a média das falhas. Aplicando a norma IEC 61508 vem: MTTFsp = MTTFsp = 6 ∗ (λ S ) ∗ MTTR 2 1 1  6  2 6 ∗ (0.

999255 = 99. .6 = 0.95 TABELA 9 – FALHAS PERIGOSAS Varredura 1 2 3 4 5 6 7 8 9 10 Ciclos 1000 1000 1000 1000 1000 1000 1000 1000 1000 1000 Média de Falhas Perigosas Falha perigosa (λd) 83 71 85 70 46 48 52 46 33 12 54.92547%.0546.92%. Aplicando a norma IEC 61508 vem: PFD = (λ d ) ∗ (TI ) 2 2  1 ano  2 PFD = (0.8920. e uma disponibilidade de 99.0546 ) ∗    2  2 PFD = 0. de acordo com a norma IEC 61508 indicando que este sistema pode ser aplicado em malhas até SIL 3. e esta demonstrado ter uma confiabilidade aceitável para o nível 3 de integridade de segurança.76 (0. TI = 1 ano . 1000 σ = 22.000745 RRF = 1 = 1341. isto daria um nível de integridade SIL 3. pois consegue-se visualizar que este sistema esta respondendo de acordo com o esperado. Os cálculos indicam que o sistema proposto tem um tempo médio entre “trips” de 56.000745 = 0.373 anos.000745) D = 1 − 0. O que é um resultado bem satisfatório.6 λd = 54.

Neste trabalho foi proposta uma arquitetura de redundância tolerante a falhas com a utilização do hardware do PC padrão. no caso Windows CE. devido ao perigo e a complexidade que alguns processos apresentam para a indústria e para seus funcionários.96 CAPÍTULO 5 5. onde se obteve um resultado bem satisfatório. dos sensores e atuadores (válvulas). pode-se observar o real funcionamento de um sistema de redundância e a vantagem em relação a um sistema simplex. ou seja. Como foi demonstrado. É preciso ter em mente que uma malha de shutdown depende dos controladores. O primeiro teste efetuado foi comparar este sistema com um CLP industrial. As normas vigentes orientam no que deve ser feito em um SIS e não como. chamados de canal. utilizou-se microcontroladores PIC que implementam conversores A/D de 10 bits. As placas de circuito impresso. Também foi utilizado um sistema embarcado de tempo real. . uma vez que as válvulas ainda constituem o elo mais fraco do sistema. foram desenvolvidas para que o PC tivesse acesso as variáveis de controle e a elementos finais de controle. É a capacidade de detectar transitório e o estado de equilíbrio do erro adotando medidas on-line corretivas. ou seja. existem várias opções de sistema de redundância no mercado. para tanto. foi retirado o sistema operacional padrão e foi colocado um sistema de tempo real. mas existem também malhas mal avaliadas. CONCLUSÕES E TRABALHOS FUTUROS No dia a dia da indústria se faz mais do que necessário à utilização de sistemas tolerantes a falhas. super dimensionadas ou ainda mal dimensionadas encarecendo o projeto do SIS. A tolerância à falhas é uma das qualidades que um controlador pode apresentar. Para que fosse possível a redundância foi instalado em três computadores o mesmo sistema embarcado e estes executaram o mesmo programa em paralelo. bem como. Investir em sistemas extremamente caros não é sinônimo de confiabilidade.

tanto as seguras como as perigosas. pois todos os PES estudados atendem até SIL 3.97 O segundo teste foi fazer o levantamento das taxas de falhas. foi encontrar uma empresa que estivesse disposta a emprestar o seu CLP de redundância para estudo. . mas demonstrar que pode ser desenvolvido sistemas tão eficazes quanto aproveitandose de hardwares existentes com modificações e evoluções dos softwares. a IEC 61508 é muito cautelosa com sistemas SIL 4. o que dificultou o desenvolvimento do mesmo. como resultado obteve-se SIL 3. durante o desenvolvimento desta dissertação. onde ele permite a seleção dos componentes do sistema operacional em uma vasta base de dados. para aumentar a velocidade na troca de dados aumentando assim o desempenho do sistema. • • Desenvolver uma comunicação entre os três canais de processamento para que se tenha apenas uma interface com o usuário. A um custo bem inferior de um sistema industrial. Uma das dificuldades encontradas. acredita-se que este trabalho tem uma aplicação muito interessante no meio acadêmico. mas tão eficaz quanto. A finalidade deste trabalho não é desmerecer os PES existentes. O Windows CE se demonstrou uma alternativa viável para o desenvolvimento de dispositivos dedicados. garantindo total flexibilidade e um rápido desenvolvimento. O sistema proposto pode ser utilizado em processos reais dentro de instituições de ensino como usinas piloto. Entre os possíveis trabalhos futuros destacam-se: • Produzir e disponibilizar literatura em português sobre Sistema de Intertravamento de Segurança. pois ainda existem poucos livros sobre o assunto no idioma português e considerando-se também outros tipos de bibliografia. como artigos. Isto significa que o sistema proposto atende a malhas que exigem um nível de segurança 3. Desenvolver este sistema utilizando a comunicação USB (Universal Serial Bus) entre os canais de processamento e de aquisição. devido ao preço que um CLP de redundância apresenta. O que é um resultado excelente. Além da aplicação industrial. do sistema implementado e assim aplicar a norma IEC 61508 para calcular a disponibilidade do sistema e conseguir descobrir qual era o nível de integridade deste sistema. controle de caldeiras e etc.

sistemas alternativos para realizar testes nestes elementos finais sem o desligamento do processo. utilizando-se talvez de sistemas inteligentes ou especialistas. Transformar esta dissertação em um produto viável. é uma obra embora não concludente. • • • Estudos de viabilidade econômica e de implantação deste sistema para aplicação industrial. . esta dissertação. • Desenvolver sistemas embarcados para monitoramento local de válvula de controle. como Foundation Fieldbus e Profibus. este é o “gargalo” do sistema de votação. Os interessados poderão dar continuidade à redação deste trabalho. Pesquisar novas arquiteturas para o canal de votação. por exemplo.98 • • Estudos de integração deste sistema com protocolos de redes industriais. Verificar o desempenho destes sistemas utilizando-se de outros sistemas embarcados. afinal. o Linux Embedded. bem como. passível de revisão e ampliação. tanto na área acadêmica como no meio industrial.

New York. Geneva: Switzerland. L. RJ: Interciência. 1984. Sebastopol: O' Reilly & Associates. HORTON. p. 1993. 2000. Guidelines for Safe Automation of Chemical Processes. USA. 81. M. 1998. Inc. I. Visual C++ 5. USA: ISA. 1997. Ferramentas modernas para avaliar os SIL e trabalhar o SIS das funções de segurança. 1999.99 REFERÊNCIAS – AVIZIENIS. Computer.. 2006... BURNS. ed. Real-Time Systems and Programming Languages. A. New York.. 3-9. A. M. CA. USA : ISA. Indiana. . Ed. 2003.concepts and experiments. 1978. GRUHN. 2006. Safety Instrumented Systems: Design. P. 2ª. FINKEL.CCPS. J. S. Proceedings. ed. INTECH BRASIL. Rio de Janeiro. Research Triangle Park. USA: Sams. ed. ed. IEEE. W. E.. USA: ISA. 2 ª. WELLINGS. n. AVIZIENIS. 1ª. Programming Embedded Systems in C and C++. Visual C++ 2005. Instrumentação Aplicada ao Controle de Caldeiras. N-version programming: a fault tolerance approach to reliability of software operation. 4 ª. ed. N. et al. KELLY. GUREWICH. ed. England: Addison Wesley.. 2ª. O. BARR. São Paulo. 1997. GUREWICH. Research Triangle Park. Indianápolis. Analysis. Instrumentação Industrial. Control Systems Safety Evaluation and Reliability. CHEDDIE. CENTER FOR CHEMICAL PROCESS SAFETY . H. 2ª. 2006. GOBLE. BEGA. FINKEL V. Rio de Janeiro: Interciência. 8-14. 2006.. GOBLE. A. M. V. H. CHEDDIE. 2005. A. In: Annual International Symposium on FaultTolerant Computing. 1978. 1ª. Fault tolerance by design diversity . Research Triangle Park. A. P. and Justification. USA: Wiley Publishing. p. CHEN. Safety Instrumented Systems Verification: Practical Probabilistic Calculations. IEC 61508: Functional Safety of electrical / electronic / programmable electronic safety-related systems. New York: ISA. W. ed. S. 3ª. INTERNATIONAL ELECTROTECHNICAL COMMISSION.

LEVESON. New York. 2002. IEC 61511: Functional safety – Safety instrumented systems for the process industry sector.P. ed. S. Microsoft Corporation. ed.microsoft. ed. TOSCANI. VIEnCoD: Proposta de um Ambiente CACSD Baseado em Plataforma de Instrumentação Virtual e MATLAB. Software Quality: The Elusive Target.100 INTERNATIONAL ELECTROTECHNICAL COMMISSION. M. OLIVEIRA. 1996.. Software requirements analysis for real time process control systems. JAFFE. Sistemas Operacionais. RJ: Pearson.com/downloads/details. 34. R. 2009. University of Virginia.aspx?FamilyID=4A 4ED1F4-91D3-4DBE-986E-A812984318E5&displaylang=en Acesso em: 07/04/2009 NISE. JR.0 SP4. E. RJ: LTC. K. Embedded OS Gain the Inside Track. S. Real Time and Windows CE Disponível em: <http://msdn. Engenharia de Sistemas de Controle. 2000.. Rio de Janeiro. JOHNSON. 4ª. OFFSHORE RELIABILITY. PR. LOURES. HEIMDAHL. Geneva: Switzerland. p. v. Curitiba. 2002. 1989. B. p. 2009 eMbedded Visual C++ 4.microsoft. R. S. B.Functional safety of safety-related electrical. BONNIE. USA: Addison-Wesley Publishing Company. 2005. n. v. IEEE Software.L. N. ORTIZ. Engenharia de Controle Moderno. IEEE Transactions on Software Engineering. 2ª. PELEEGER.com/embedded/usewinemb/ce/techno /realtme/default. 14-16. OREDA: Offshore Reliability – Data Handbook.. Brasil: Sagra Luzzatto.. Microsoft Corporation. IEC 62061: Safety of machinery . A. E. MICROSOFT.M. 3ª.S.W. Pontifícia Universidade Católica do Paraná. 1991. electronic and programmable electronic control systems. OGATA.12-21. Geneva: Switzerland. Rio de Janeiro. Disponível em: http://www.aspx?_r=1> Acesso em: 20/03/2009 MICROSOFT. IEEE Computer. Dissertação – Programa de Pós-Graduação em Informática Aplicada. N.241-258. KITCHENHAM. M. p. 1999. Strindeveien. CARISSIMI. 11. 4ª. 2001.G. .17. Design and Analysis of Fault Tolerant Digital Systems. USA. ed.3. INTERNATIONAL ELECTROTECHNICAL COMMISSION.. n. S. 2003.E. 2001. F.

Benchmarking Real-Time Determinism in Windows CE. ed. Introdução à Engenharia da Confiabilidade. STROTHMAN.01: Functional Safety: Safety Instrumented Systems for the Process Industry Sector – Parts 1. Safety. F. H. ed. Measurement Equations and Tables. p. N-2194: Especificação de Controladores Programáveis.. D. 1ª. 25. C. ANSI/ISA TR-84. N. Maintainability. ed. New Jersey. RICCI. Curitiba. J. Butterworth-Heinemann. SP: Editora Érica. C. M. USA: Addison Wesley. Microcontrolador PIC: Programação em C. USA: Springer. PEREIRA. Disponível em: . 2005. 1996. 1999. de M. de. 557-572. SÁ. 1997. Qualitative Methods in Empirical Studies of Software Engineering. Annual Loss Prevention Symposyum. ISA. AND AUTOMATION SOCIETY. Software Deviation Analysis: A “Safeware” Technique. p. São Paulo. B.101 PEDROSO. REESE. Research Triangle Park. White Paper Disponível em: <http://msdn2.aspx>. SP. 1ª. Universidade Tecnológica Federal do Paraná. and 3.htm>. Dissertação – Setor de Tecnologia.1-14. J. USA. 2002. n. Acesso em 12/03/2009. C. SP. Germany. São Paulo. 2006. PHAM. 1996. Handbook of Reliability Engineering. 2007. 2003. 2009. São Paulo. 5ª. IEEE Transactions on Software Engineering.microsoft. TUV . THE INSTRUMENTATION. PIAZZA. SMITH. N-2595: Critérios de Projeto e Manutenção para Sistemas Instrumentados de Segurança em Unidades Industriais. USA: ISA. TACKE. Proposta de Utilização do Sistema Operacional Windows CE para aplicações didáticas na área de Automação e Controle. G. D. USA. 4. PETROBRAS.com/plclist.com/en-us/library/ms836535.tuv-fs. São Paulo. 2ª. PR. RS: EDUCS. SP: Editora Érica.Cooperation Functional <http://www. SEAMAN. 1ª. 2002. Programação C para Microcontroladores 8051. PETROBRAS. 2000. SYSTEMS. and Risk: Practical Methods for Engineers. Reliability. J. Houston. 1997. ed. New York. Caxias do Sul. 31.G. 2005. 154 f.00. v. Acesso em: 27/03/2009. Texas. 2. LEVESON. J. L. 4ª. 1996. ed. ed. N. Safety-Critical Computer Systems. STOREY. Research Triangle Park..

F. S. Computing Systems Reliability – models and analysis. 2ª. 20-22 set. Sistema de Bibliotecas... SCTF. Y. III Simpósio em Sistemas de Computadores Tolerantes a Falhas. Curitiba: Editora UFPR. ZIO. RJ. Referências Bibliográficas. New York. 2007. 1992. 271-290.. S. Anais. An Introduction to the Basics of Reliability and Risk Analysis. M. US MIL-HANDBOOK-217F . USA: Kluwer Academic Publishers. (Normas para apresentação de documentos científicos. Singapore: World Scientific Publishing. WEBER. . L. E. v. USA. Um experimento prático em programação diversitária.13.102 UNIVERSIDADE FEDERAL DO PARANÁ. XIE. WEBER. p. T. K. ed. 2007. 2004. DAÍ. R. POH.Failure Rates for Electronic Components. Rio de Janeiro.). 1989.

103 ANEXO A CERTIFICADO TUV DO TRICON DA TRICONEX .

104 .

105 APÊNDICE A CIRCUITO ELETRÔNICO DO CANAL DE AQUISIÇÃO .

106 .

107 APÊNDICE B CIRCUITO ELETRÔNICO DO CANAL DE VOTAÇÃO .

108 .

Sign up to vote on this title
UsefulNot useful