Marco Antonio Bayout Alvarenga D.Sc. Engenharia Nuclear (COPPE/UFRJ) CNEN 12 de agosto de 2014
Download
Report
Transcript Marco Antonio Bayout Alvarenga D.Sc. Engenharia Nuclear (COPPE/UFRJ) CNEN 12 de agosto de 2014
Marco Antonio Bayout Alvarenga
D.Sc. Engenharia Nuclear (COPPE/UFRJ)
CNEN
12 de agosto de 2014
1
• O sistema nervoso central de uma usina nuclear é a
ação combinada dos operadores na sala de controle
junto com a instrumentação e os sistemas de controle
• Através desta ação combinada, podemos monitorar e
ajustar o desempenho de todos os processos da usina
nuclear para resguardar as barreiras de segurança que
evitam a liberação de material radioativo, no caso de
acidentes e falhas diversas
•Instrumentação e sistemas digitais, ao contrário da
tecnologia analógica, usam meios sofisticados de
monitoração e controle, contém funções de diagnóstico
e predição, através de algoritmos de controle
implementados em software
2
• A tecnologia digital permite a implementação através
de programação de algoritmos sofisticados de controle
tais como:
•Controle ótimo
•Controle não-linear
•Redes neuronais
•Lógica difusa
•Controle baseado em estado
•Controle adaptativo
•A tecnologia digital permite novas formas de
automação com uma interação mais complexa entre
seres humanos e as funções automáticas de controle
3
• A tecnologia analógica usava controles hardwired (p.e.
interruptores, botões e manoplas) e monitores (p.e.
telas de alarme, medidores, escalas lineares e luzes
indicadoras) organizados em painéis de controle; as
ações dos operadores (em pé) nestes painéis são
executadas a partir de procedimentos escritos
•A tecnologia digital usa estações de trabalho nos quais
os operadores estão sentados monitorando e
controlando a usina através de indicadores mostrados
em telas de computador, incluindo o uso de
procedimentos computadorizados mostrados em tela
4
SALA DE CONTROLE ANALÓGICA
5
SALA DE CONTROLE DIGITAL
6
• As falhas ou degradação de um sistema digital podem
induzir condições de operação anormais diferentes de
um sistema analógico
•As falhas ou degradação de um sistema digital podem
não ser percebidas imediatamente pois estes sistemas
podem passar por diferentes estados intermediários
não perceptíveis pelos operadores antes de atingir o seu
estado final de falha
•Ao perceber finalmente a falha de um sistema digital
os operadores terão que voltar aos sistemas de backup
tradicionais baseados em hardware
•Dados experimentais com estes tipos de tarefas
complexas estão sendo ainda levantadas
7
SENSORES
ELETRÔNICA AQUISIÇÃO DE
DADOS E
PROCESSAMENTO
DE SINAIS
PROCESSADORES
DE ENTRADA E
SAÍDA
COMPONENTES
DE UM SISTEMA
DIGITAL I
UNIDADES
LÓGICAS E
MÓDULOS DE
PRIORIDADE
ATUADORES
E
DISPOSITIVOS
FINAIS
8
SUBSISTEMA
SENSORIAL
SUBSISTEMA DE
MONITORAÇÃO –
DIAGNÓSTICO E
PREDIÇÃO
SUBSISTEMA DE
AUTOMAÇÃO E
CONTROLE
SISTEMA DE
INTERFACE HUMANO
MÁQUINA DE
INSTRUMENTAÇÃO E
CONTROLE
SUBSISTEMA DE
COMUNICAÇÃO
SUBSISTEMA
DA INTERFACE
HUMANO
MÁQUINA
9
•ENTENDIMENTO DOS MECANISMOS ATRAVÉS
DOS QUAIS A TECNOLOGIA DIGITAL PODE
INDUZIR ERROS HUMANOS
•ERROS DE OMISSÃO – NÃO COMPLETAR A AÇÃO
ESPERADA DE SEGURANÇA DENTRO DO TEMPO
ESPERADO
•ERROS DE COMISSÃO – ERROS DE MÁ
INTERPRETAÇÃO DAS CONDIÇÕES DE OPERAÇÃO
DISPARANDO AÇÕES ERRADAS
10
HUMAN ERROR TAXONOMY – JAMES REASON (1990)
SLIPS
ATTENTIONAL
FAILURES
LAPSES
MEMORY
FAILURES
UNITENTIONED
ACTIONS
UNSAFE
ACTS
MISTAKES
RULE BASED OR
KNOWLEDGE
BASED
MISTAKES
INTENTIONED
ACTIONS
ROUTINE VIOLATIONS
VIOLATIONS
EXCEPTIONAL VIOLATIONS
SABOTAGE
11
•MONITORAR PARÂMETROS, RESPONDER AOS
ALARMES, SEGUIR PROCEDIMENTOS, ALINHAR
VÁLVULAS, PARTIR BOMBAS, ETC.
•ELEMENTOS COGNITIVOS COMUNS:
•MONITORAÇÃO E DETECÇÃO – SISTEMA DE
ALARME
•ANÁLISE DA SITUAÇÃO – MODELO MENTAL
•PLANEJAMENTO DA RESPOSTA
•IMPLEMENTAÇÃO DA RESPOSTA
12
C. D. WICKENS - 1984
ATTENTION RESOURCES
RESPONSE
SELECTION
PERCEPTION
SENSORY
REGISTRATION
RESPONSE
EXECUTION
- ACTIONS
DECISION
MAKING
WORKING
MEMORY
LONG-TERM MEMORY
PERCEPTUAL ENCODING
CENTRAL PROCESSING
RESPONDING
13
RASMUSSEN’S SRK MODEL
Goals
Knowledgebased behavior
Symbols
Identification
Decision,
choice of task
Planning
Recognition
Association
state/task
Stored rules
for tasks
Rule-based
behavior
Signs
Skill-based
behavior
Signs
Feature formation
Sensory input
Automated
sensorimotor
patterns
Signals
Actions
14
•NAVEGAÇÃO PELAS TELAS DAS
ESTAÇÕES DE TRABALHO
•ACESSO ÀS INFORMAÇÕES NAS TELAS
•ORGANIZAÇÃO DE PEDAÇOS DE
INFORMAÇÃO NAS TELAS
•GERENCIAMENTO DE INFORMAÇÕES
DIVERSAS NAS TELAS
15
•TAREFAS SECUNDÁRIAS PODEM CRIAR SOBRECARGA
DE TRABALHO E DESVIAR A ATENÇÃO DE TAREFAS
PRINCIPAIS, TORNANDO-AS DIFÍCEIS DE COMPLETAR
• I&C DEGRADADA PROVOCA AUMENTO DO
GERENCIAMENTO DA INTERFACE, p.e. QUANDO AS
INFORMAÇÕES ESTÃO CORROMPIDAS, FAZENDO COM
QUE OS OPERADORES NAVEGUEM EM MONITORES
ADICIONAIS
16
•DEGRADAÇÕES SENSORIAIS PODE FAZER COM QUE
AS TELAS SEJAM DE DIFÍCIL COMPREENSÃO.
•TELAS GRÁFICAS, ESPECIALMENTE AS QUE UTILIZAM
RECURSOS EMERGENTES, PARECEM MAIS SUJEITOS À
EFEITOS DE DEGRADAÇÃO DO SENSOR DO QUE AS
TELAS MAIS TRADICIONAIS
• OS OPERADORES TÊM DIFICULDADE EM DISTINGUIR
AS FALHAS DE PROCESSO DAS FALHAS DE SENSORES
•
.
17
• A MELHORIA DA INSTRUMENTAÇÃO PODE AJUDAR
OS OPERADORES A DISTINGUIR ENTRE PROBLEMAS
DE SENSORES E PERTURBAÇÕES NO PROCESSO,
APOIANDO COMPARAÇÕES COM PARÂMETROS DE
DESEMPENHO RELACIONADOS
•O DESEMPENHO DA TAREFA DOS OPERADORES
PIORA À MEDIDA QUE A MAGNITUDE DO RUÍDO DOS
SENSORES AUMENTA
• OPERADORES MUDAM SUAS ESTRATÉGIAS DE
CONTROLE QUANDO O RUÍDO DO SENSOR
AUMENTA
18
•ANALISAR O IMPACTO DE FALHAS DE I & C EM SIHSs
•SISTEMAS DE SUPORTE PARA MONITORAMENTO DE
I & C E DETECÇÃO DAS CONDIÇÕES DEGRADADAS
• ASSEGURAR A QUALIDADE DA INFORMAÇÃO NO
SIHSs
• DISTINGUIR FONTES DE INFORMAÇÃO
SENSORIADAS DIRETAMENTE DAQUELAS QUE SÃO
DERIVADAS (INDIRETAS)
19
ATHEANA (MÉTODO DE SEGUNDA GERAÇÃO)
CONTEXTO
INDUTOR
DO ERRO
Projeto
Operação e
Manutenção da
Instalação
Fatores de
Forma de
Desempenho
ERRO HUMANO
Mecanismos
de Erros
Condições da
Instalação
(CONTEXTO)
Ações
Inseguras
ANÁLISE
PROBABILÍSTICA
DE SEGURANÇA
Eventos de
Falhas
Humanas
Decisões de
Gerência de
Risco
Definição do
Cenário
20
DEGRADAÇÃO DOS SUBSISTEMAS
DE CONTROLE/AUTOMAÇÃO E
COMUNICAÇÃO I
•EXCESSO DE CONFIANÇA DOS OPERADORES NOS
SISTEMAS DE CONTROLE/AUTOMAÇÃO EM FACE DA
SOBRECARGA DE TRABALHO – OPERADORES E SISTEMAS
AUTOMÁTICOS DIVIDEM RESPONSABILIDADE EM TAREFAS
INDEPENDENTES – DIFICULDADE EM RECONHECER
DEGRADAÇÃO
•SE A AUTOMAÇÃO FALHA INTEGRALMENTE, OS
OPERADORES TERÃO QUE FAZER TUDO MANUALMENTE –
DESAFIADOR PORQUE ESTÃO EM AMBIENTE NÃO FAMILIAR
•TRANSIÇÕES AUTOMATISMO PARA MANUAL EXIGEM
ANÁLISE DA SITUAÇÃO NÃO-FAMILIAR EM AMBIENTE DE
SOBRECARGA E ESTRESSE
21
DEGRADAÇÃO DOS SUBSISTEMAS
DE CONTROLE/AUTOMAÇÃO E
COMUNICAÇÃO II
•OS PROCEDIMENTOS COMPUTADORIZADOS (PCs)
POSSIBILITAM QUE A ATIVIDADE DE SEGUIMENTO DO
PROCEDIMENTO OPERACIONAL POSSA SER FEITO POR
UMA PESSOA AO INVÉS DE TRÊS COMO USUALMENTE SE
FAZ
•A TRANSIÇÃO DE CPs PARA PROCEDIMENTOS ESCRITOS
PODE SER TRAUMÁTICA, POIS EXIGIRÁ NOVAMENTE A
INTERAÇÃO, COORDENAÇÃO E COMUNICAÇÃO ENTRE 3
PESSOAS, COM NOVAS RESPONSABILIDADES E TAREFAS
•ERROS INVOLVENDO CONTROLE E AUTOMAÇÃO TENDE A
SER MAIS CATASTRÓFICA PORQUE NORMALMENTE NÃO
SE INFORMA NA INTERFACE HUMANO – SISTEMA
DETALHES SOBRE OS OBJETIVOS, ATIVIDADES EM CURSO
E DESEMPENHO DOS SISTEMAS AUTOMÁTICOS DE
CONTROLE
22
DEGRADAÇÃO DOS SUBSISTEMAS
DE CONTROLE/AUTOMAÇÃO E
COMUNICAÇÃO III
•OS SISTEMAS DE CONTROLE E AUTOMAÇÃO SÃO
INFLUENCIADOS TAMBÉM PELO SUBSISTEMA DE
COMUNICAÇÃO , PRINCIPALMENTE PELOS ATRASOS NA
TRANSMISSÃO DAS INFORMAÇÕES E SOBRECARGA NA
QUANTIDADE DE INFORMAÇÃO A SER TRANSMITIDA
•tempo de quando uma ação de controle é executada na IHS até
quando o sinal atinge o sistema de atuação - comunicação
• o tempo que leva para que o sistema mude em resposta à ação
de controle - processo
• tempo entre a alteração na resposta do sistema e a mudança
no IHS (feedback - realimentação) - comunicação
23
DEGRADAÇÃO DOS SUBSISTEMAS
DE CONTROLE/AUTOMAÇÃO E
COMUNICAÇÃO IV
•Como os atrasos aumentam há uma diminuição no controle de
circuito fechado (controle com base em feedback) e uma
mudança para estratégias de controle em malha aberta mais
difícil (com base em previsão) que cada vez mais desestabiliza o
controle
•Quando a estabilidade é boa, as respostas do sistema e
entradas de controle do operador são acoplados firmemente;
uma vez que diminui, a resposta do sistema progressivamente se
torna mais imprevisível.
•À medida que o tempo entre a entrada do operador e resposta
do sistema aumenta, o controle de circuito fechado torna-se mais
instável. Ou seja, existe uma queda no valor de feedback, como
um meio para que os operadores possam regular as suas ações
de controle.
24
DEGRADAÇÃO DOS SUBSISTEMAS
DE CONTROLE/AUTOMAÇÃO E
COMUNICAÇÃO (EXEMPLO I)
•Um operador pode ter iniciado uma ação de controle para aumentar a
velocidade da bomba para um valor especificado, mas tendo observado
nenhuma mudança na velocidade por causa de um atraso de tempo, o
operador pode voltar a tomar outra ação para aumentar a velocidade da
bomba. As duas entradas de controle causam um aumento na velocidade
da bomba para um valor muito maior do que o operador pretendia.
•Consequentemente, o operador toma então uma ação de controle para
reduzir a velocidade, mas, novamente, devido a atrasos de tempo,
nenhuma alteração é observada; em seguida, o operador repete a
mesma ação gerando uma maior diminuição na velocidade da bomba do
que a desejada. O controle do operador da bomba tornou-se instável.
•Quando tais atrasos desestabilizam o controle de circuito fechado,
muitas vezes levam a mudar para uma estratégia de controle em malha
aberta mais difícil; isto é, o controle com base em previsão, em vez de
realimentação. É uma abordagem cognitivamente mais exigente,
baseada no conhecimento para controlar (Wickens, 1984).
25
DEGRADAÇÃO DOS SUBSISTEMAS
DE CONTROLE/AUTOMAÇÃO E
COMUNICAÇÃO (EXEMPLO II)
•Lorenzo (1990) deu o seguinte exemplo do efeito de feedback
atrasado sobre o comportamento do operador em uma fábrica de
produtos químicos:
•Um sistema de controle baseado em computador foi tão
sobrecarregado por um processo com grave distúrbio que deixou
de atualizar os terminais de vídeo. Sem saber que a informação
apresentada era imprecisa, os operadores inadvertidamente
posicionaram válvulas em seus limites de totalmente abertas ou
fechadas, enquanto esperavam pela exibição de alguma resposta
nas telas dos terminais. As válvulas mal-posicionados pioraram o
distúrbio, eventualmente causando um desligamento de
emergência da unidade quando algumas válvulas de alívio
atuaram.
26
ESTRATÉGIAS PARA MINIMIZAR O IMPACTO
DA DEGRADAÇÃO DOS SUBSISTEMAS DE
CONTROLE/AUTOMAÇÃO E COMUNICAÇÃO I
1. Suporte no treinamento para detecção e gerência de
I&C degradados
•entender como e por que pode degradar ou falhar
•entender as implicações de tais degradações para a IHS e no
seu próprio desempenho
• monitorar o desempenho do sistema de I & C de modo a
detectar e reconhecer degradações via sala de controle no SIHS
•executar ações compensatórias/de recuperação, talvez com o
uso de procedimentos
•transição suave para sistemas de backup quando necessário
• entender como os papéis e responsabilidades dos membros da
equipe de operação e do conceito de operações são afetados
27
ESTRATÉGIAS PARA MINIMIZAR O IMPACTO
DA DEGRADAÇÃO DOS SUBSISTEMAS DE
CONTROLE/AUTOMAÇÃO E COMUNICAÇÃO II
2. SISTEMA DE SUPORTE PARA ATRASOS (TIME
DELAYS)
Para compensá-los, aos operadores são dadas telas preditivas
que fornecem realimentação imediata aos operadores sobre o
efeito de suas ações de controle no desempenho do sistema. As
previsões são baseadas em modelos que determinam que efeitos
podem ocorrer. Telas preditivas exibem efetivamente questões
de desempenho humano decorrentes de atrasos (Wu, Wang, &
Wang, 2006; Xiong, Li, & Xie, 2006).
28
EXEMPLOS DE FALHAS DE SISTEMAS DIGITAIS I
Um incidente envolveu um erro de software com dados
corrompidos em uma usina nuclear coreana Uljin, Unidade 3. A
falha envolveu um circuito integrado de aplicação específica em um
módulo de interface de rede do sistema de controle de planta digital
(DPCS). A falha fez com que vários componentes de não
segurança se comportarem de forma inesperada, por exemplo,
bombas de partida e as válvulas de reposicionamento, sem que
houvesse um comando para isso.
Os operadores detectaram e reagiram à situação, sem quaisquer
consequências negativas. O problema foi devido a um erro de
software de causa comum, que foi corrigido. Além disso, um alarme
foi instalado na sala de controle principal para alertar os operadores
de possíveis falhas da rede, e um procedimento escrito para lidar
com tais situações
29
EXEMPLOS DE FALHAS DE SISTEMAS DIGITAIS II
Sinal de Injeção de Segurança Inadvertido com Falha no Restabelecimento
Aqui, a falha de um único componente (diodo zener) dentro de placa lógica
de um sistema de proteção causou um transiente incomum em que foram
necessárias várias ações manuais locais para rearmar o sinal inválido e
fixar o equipamento de segurança. O díodo de Zener que falhou foi
localizado no circuito associado com a iniciação automática de um sistema
de segurança. Na sala de controle principal, a equipe de operação estava
ciente de que o sistema de segurança fora iniciado, e determinou que era
um sinal falso (não é válido). No entanto, quando eles rearmaram o sinal de
iniciação, os relés não restabeleceram tudo o que os operadores
esperavam porque a tensão tinha sido degradada pelo diodo falhado. Na
verdade, o sinal de iniciação para um trem de segurança de injeção não
pode ser rearmado (estava "selado")
A falha do diodo degradou o subsistema de automação / controle e impediu
que os operadores respondessem pela tomada de ações corretivas através
de seus controles. Consequentemente, eles perderam o conhecimento da
situação e da sua capacidade para corrigir a situação anormal.
30
EXEMPLOS DE FALHAS DE SISTEMAS DIGITAIS III
Comunicações Ethernet Degradadas
A informação NRC 2007-15 (NRC, 2007) descreve um evento que envolve um sistema de comunicação
Ethernet sobrecarregado ligado ao sistema de controle de uma bomba de recirculação. O sistema de
comunicação colapsou por causa do tráfego de dados em excesso.
Quando a degradação ocorreu, o sinal de demanda de controle de velocidade da bomba de recirculação caiu
para zero e houve diminuição do fluxo da bomba, resultando em um desligamento da planta devido à alta
potência, com condição de baixo fluxo.
As duas unidades de freqüência variável (VFDs) que regulam a velocidade das bombas de recirculação
falharam o que implicou na necessidade de um desligamento manual. Os controladores da unidade de
freqüência variável (VFD), conectados à rede do sistema de computador integrada da planta, falharam
devido a excesso de tráfego na rede.
O subsistema de comunicação degradado afetou os controles (controles de velocidade da bomba de
recirculação) e subsistemas de informação IHS; assim, o subsistema IHS não deu aos operadores nenhuma
indicação de que a Ethernet estava experimentando o tráfego de dados pesado, e que podia estar degradada
(ou seja, baixou a percepção da situação). A equipe também perdeu sua capacidade da implementação da
resposta apropriada, porque eles não podiam controlar a velocidade e o fluxo da bomba de recirculação.
A ação corretiva do Licenciado incluiu a instalação de um dispositivo de rede, firewall, que limita as conexões
e tráfego para todos os dispositivos potencialmente sensíveis da rede.
31
CRITÉRIOS EM NORMAS I
NUREG-0711 – Human Factors Engineering, Seção 4.4, diretriz 4, afirma
que a Descrição de uma função automática deve incluir
• objetivo da função
• condições que indicam quando a função é necessária
• parâmetros que indicam que a função está disponível
• parâmetros que indicam que a função está funcionando
• parâmetros que indicam que a função está atingindo o seu objetivo
• parâmetros que indicam que a operação da função pode ou deve ser
encerrada
Estas informações devem estar disponíveis aos operadores quando do
monitoramento de funções automáticas.
32
CRITÉRIOS EM NORMAS II
Duez e Jamieson (2006) sugeriu a apresentação de informações em
diferentes níveis de abstração para incluir:
• dados sobre o propósito da automação, ou seja, a função para a qual foi
projetado
• dados sobre o processo da automação, isto é, como atende o seu
objetivo, por exemplo, os algoritmos usados
• dados sobre o desempenho da automação, ou seja, os resultados do
processo de automação
33
HIERARQUIA DE FUNÇÕES – NÍVEIS DE ABSTRAÇÃO
1. PROPÓSITO FUNCIONAL – PRODUÇÃO E
SEGURANÇA
2. FUNÇÃO ABSTRATA - ESTRUTURA CAUSAL
COM FLUXOS DE ENERGIA, MASSA E
INFORMAÇÃO
3. FUNÇÕES GENERALIZADAS – PROCESSOS
GENÉRICOS OU “PADRÕES”
4. FUNÇÃO FÍSICA – PROCESSOS FÍSICOS DE
COMPONENTES E SISTEMAS ELÉTRICOS,
MECÂNICOS E QUÍMICOS
5. FORMA FÍSICA – O EQUIPAMENTO OU
COMPONENTE EM SI COM AS SUAS
CARACTEÍSTICAS E ESPECIFICAÇÕES
O NÍVEL ACIMA CONTÉM AS RESTRIÇÕES E O
PORQUÊ (WHY); O NÍVEL ABAIXO OS MODOS
(HOW) DO QUE ACONTECEU EM
DETERMINADO NÍVEL (WHAT)
34
CRITÉRIOS EM NORMAS III
Da mesma forma, Lee and See (2004) sugeriram que o SIHS deve
fornecer informações que
• garantam a confiança adequada na automação, como a
confiabilidade da automação
• possibilitem a avaliação do operador dos recursos da automação
sob diferentes situações em que essas habilidades variam
• mostram o desempenho passado da automação para o uso atual
• forneçam detalhes específicos sobre como a automação está
funcionando, por exemplo, o processo e algoritmos de automação
de forma clara e abrangente revelando resultados intermediários
para os operadores
35
CONCLUSÕES
• A degradação de I & C digital ocorre regularmente, e
previsivelmente aumenta em freqüência à medida que mais
sistemas são utilizados
• degradações ocorrem em todos os subsistemas de I & C
• a deterioração de I & Cs digitais pode ter consequências
importantes, ou seja, desligamentos do reator, e impactos nos
sistemas de segurança
• cerca de um terço dos eventos envolvendo IHS indicam a
possibilidade da falha digital de I & C em reduzir a capacidade do
operador para monitorar a planta e responder ao evento
• impactos foram sentidos em áreas-chave, incluindo a sala de
controle principal, o centro de suporte técnico e de emergência e os
centros locais de operações
Os sistemas digitais têm alarmes para falhas do sistema, mas os
alarmes podem não sinalizar todas as condições degradadas.
36
CONCLUSÕES
Necessidade de estabelecer
critérios de segurança
específicos em Norma para
sistemas digitais e seu
impacto no desempenho
humano
•
37
O Mundo sem Fatores Humanos
AGORA, LEMBRE-SE,
ESTE LIGA O ARCONDICIONADO E ESTE
AQUI DESTRÓI O MUNDO!
38
39