Marco Antonio Bayout Alvarenga D.Sc. Engenharia Nuclear (COPPE/UFRJ) CNEN 12 de agosto de 2014
Download ReportTranscript Marco Antonio Bayout Alvarenga D.Sc. Engenharia Nuclear (COPPE/UFRJ) CNEN 12 de agosto de 2014
Marco Antonio Bayout Alvarenga D.Sc. Engenharia Nuclear (COPPE/UFRJ) CNEN 12 de agosto de 2014 1 • O sistema nervoso central de uma usina nuclear é a ação combinada dos operadores na sala de controle junto com a instrumentação e os sistemas de controle • Através desta ação combinada, podemos monitorar e ajustar o desempenho de todos os processos da usina nuclear para resguardar as barreiras de segurança que evitam a liberação de material radioativo, no caso de acidentes e falhas diversas •Instrumentação e sistemas digitais, ao contrário da tecnologia analógica, usam meios sofisticados de monitoração e controle, contém funções de diagnóstico e predição, através de algoritmos de controle implementados em software 2 • A tecnologia digital permite a implementação através de programação de algoritmos sofisticados de controle tais como: •Controle ótimo •Controle não-linear •Redes neuronais •Lógica difusa •Controle baseado em estado •Controle adaptativo •A tecnologia digital permite novas formas de automação com uma interação mais complexa entre seres humanos e as funções automáticas de controle 3 • A tecnologia analógica usava controles hardwired (p.e. interruptores, botões e manoplas) e monitores (p.e. telas de alarme, medidores, escalas lineares e luzes indicadoras) organizados em painéis de controle; as ações dos operadores (em pé) nestes painéis são executadas a partir de procedimentos escritos •A tecnologia digital usa estações de trabalho nos quais os operadores estão sentados monitorando e controlando a usina através de indicadores mostrados em telas de computador, incluindo o uso de procedimentos computadorizados mostrados em tela 4 SALA DE CONTROLE ANALÓGICA 5 SALA DE CONTROLE DIGITAL 6 • As falhas ou degradação de um sistema digital podem induzir condições de operação anormais diferentes de um sistema analógico •As falhas ou degradação de um sistema digital podem não ser percebidas imediatamente pois estes sistemas podem passar por diferentes estados intermediários não perceptíveis pelos operadores antes de atingir o seu estado final de falha •Ao perceber finalmente a falha de um sistema digital os operadores terão que voltar aos sistemas de backup tradicionais baseados em hardware •Dados experimentais com estes tipos de tarefas complexas estão sendo ainda levantadas 7 SENSORES ELETRÔNICA AQUISIÇÃO DE DADOS E PROCESSAMENTO DE SINAIS PROCESSADORES DE ENTRADA E SAÍDA COMPONENTES DE UM SISTEMA DIGITAL I UNIDADES LÓGICAS E MÓDULOS DE PRIORIDADE ATUADORES E DISPOSITIVOS FINAIS 8 SUBSISTEMA SENSORIAL SUBSISTEMA DE MONITORAÇÃO – DIAGNÓSTICO E PREDIÇÃO SUBSISTEMA DE AUTOMAÇÃO E CONTROLE SISTEMA DE INTERFACE HUMANO MÁQUINA DE INSTRUMENTAÇÃO E CONTROLE SUBSISTEMA DE COMUNICAÇÃO SUBSISTEMA DA INTERFACE HUMANO MÁQUINA 9 •ENTENDIMENTO DOS MECANISMOS ATRAVÉS DOS QUAIS A TECNOLOGIA DIGITAL PODE INDUZIR ERROS HUMANOS •ERROS DE OMISSÃO – NÃO COMPLETAR A AÇÃO ESPERADA DE SEGURANÇA DENTRO DO TEMPO ESPERADO •ERROS DE COMISSÃO – ERROS DE MÁ INTERPRETAÇÃO DAS CONDIÇÕES DE OPERAÇÃO DISPARANDO AÇÕES ERRADAS 10 HUMAN ERROR TAXONOMY – JAMES REASON (1990) SLIPS ATTENTIONAL FAILURES LAPSES MEMORY FAILURES UNITENTIONED ACTIONS UNSAFE ACTS MISTAKES RULE BASED OR KNOWLEDGE BASED MISTAKES INTENTIONED ACTIONS ROUTINE VIOLATIONS VIOLATIONS EXCEPTIONAL VIOLATIONS SABOTAGE 11 •MONITORAR PARÂMETROS, RESPONDER AOS ALARMES, SEGUIR PROCEDIMENTOS, ALINHAR VÁLVULAS, PARTIR BOMBAS, ETC. •ELEMENTOS COGNITIVOS COMUNS: •MONITORAÇÃO E DETECÇÃO – SISTEMA DE ALARME •ANÁLISE DA SITUAÇÃO – MODELO MENTAL •PLANEJAMENTO DA RESPOSTA •IMPLEMENTAÇÃO DA RESPOSTA 12 C. D. WICKENS - 1984 ATTENTION RESOURCES RESPONSE SELECTION PERCEPTION SENSORY REGISTRATION RESPONSE EXECUTION - ACTIONS DECISION MAKING WORKING MEMORY LONG-TERM MEMORY PERCEPTUAL ENCODING CENTRAL PROCESSING RESPONDING 13 RASMUSSEN’S SRK MODEL Goals Knowledgebased behavior Symbols Identification Decision, choice of task Planning Recognition Association state/task Stored rules for tasks Rule-based behavior Signs Skill-based behavior Signs Feature formation Sensory input Automated sensorimotor patterns Signals Actions 14 •NAVEGAÇÃO PELAS TELAS DAS ESTAÇÕES DE TRABALHO •ACESSO ÀS INFORMAÇÕES NAS TELAS •ORGANIZAÇÃO DE PEDAÇOS DE INFORMAÇÃO NAS TELAS •GERENCIAMENTO DE INFORMAÇÕES DIVERSAS NAS TELAS 15 •TAREFAS SECUNDÁRIAS PODEM CRIAR SOBRECARGA DE TRABALHO E DESVIAR A ATENÇÃO DE TAREFAS PRINCIPAIS, TORNANDO-AS DIFÍCEIS DE COMPLETAR • I&C DEGRADADA PROVOCA AUMENTO DO GERENCIAMENTO DA INTERFACE, p.e. QUANDO AS INFORMAÇÕES ESTÃO CORROMPIDAS, FAZENDO COM QUE OS OPERADORES NAVEGUEM EM MONITORES ADICIONAIS 16 •DEGRADAÇÕES SENSORIAIS PODE FAZER COM QUE AS TELAS SEJAM DE DIFÍCIL COMPREENSÃO. •TELAS GRÁFICAS, ESPECIALMENTE AS QUE UTILIZAM RECURSOS EMERGENTES, PARECEM MAIS SUJEITOS À EFEITOS DE DEGRADAÇÃO DO SENSOR DO QUE AS TELAS MAIS TRADICIONAIS • OS OPERADORES TÊM DIFICULDADE EM DISTINGUIR AS FALHAS DE PROCESSO DAS FALHAS DE SENSORES • . 17 • A MELHORIA DA INSTRUMENTAÇÃO PODE AJUDAR OS OPERADORES A DISTINGUIR ENTRE PROBLEMAS DE SENSORES E PERTURBAÇÕES NO PROCESSO, APOIANDO COMPARAÇÕES COM PARÂMETROS DE DESEMPENHO RELACIONADOS •O DESEMPENHO DA TAREFA DOS OPERADORES PIORA À MEDIDA QUE A MAGNITUDE DO RUÍDO DOS SENSORES AUMENTA • OPERADORES MUDAM SUAS ESTRATÉGIAS DE CONTROLE QUANDO O RUÍDO DO SENSOR AUMENTA 18 •ANALISAR O IMPACTO DE FALHAS DE I & C EM SIHSs •SISTEMAS DE SUPORTE PARA MONITORAMENTO DE I & C E DETECÇÃO DAS CONDIÇÕES DEGRADADAS • ASSEGURAR A QUALIDADE DA INFORMAÇÃO NO SIHSs • DISTINGUIR FONTES DE INFORMAÇÃO SENSORIADAS DIRETAMENTE DAQUELAS QUE SÃO DERIVADAS (INDIRETAS) 19 ATHEANA (MÉTODO DE SEGUNDA GERAÇÃO) CONTEXTO INDUTOR DO ERRO Projeto Operação e Manutenção da Instalação Fatores de Forma de Desempenho ERRO HUMANO Mecanismos de Erros Condições da Instalação (CONTEXTO) Ações Inseguras ANÁLISE PROBABILÍSTICA DE SEGURANÇA Eventos de Falhas Humanas Decisões de Gerência de Risco Definição do Cenário 20 DEGRADAÇÃO DOS SUBSISTEMAS DE CONTROLE/AUTOMAÇÃO E COMUNICAÇÃO I •EXCESSO DE CONFIANÇA DOS OPERADORES NOS SISTEMAS DE CONTROLE/AUTOMAÇÃO EM FACE DA SOBRECARGA DE TRABALHO – OPERADORES E SISTEMAS AUTOMÁTICOS DIVIDEM RESPONSABILIDADE EM TAREFAS INDEPENDENTES – DIFICULDADE EM RECONHECER DEGRADAÇÃO •SE A AUTOMAÇÃO FALHA INTEGRALMENTE, OS OPERADORES TERÃO QUE FAZER TUDO MANUALMENTE – DESAFIADOR PORQUE ESTÃO EM AMBIENTE NÃO FAMILIAR •TRANSIÇÕES AUTOMATISMO PARA MANUAL EXIGEM ANÁLISE DA SITUAÇÃO NÃO-FAMILIAR EM AMBIENTE DE SOBRECARGA E ESTRESSE 21 DEGRADAÇÃO DOS SUBSISTEMAS DE CONTROLE/AUTOMAÇÃO E COMUNICAÇÃO II •OS PROCEDIMENTOS COMPUTADORIZADOS (PCs) POSSIBILITAM QUE A ATIVIDADE DE SEGUIMENTO DO PROCEDIMENTO OPERACIONAL POSSA SER FEITO POR UMA PESSOA AO INVÉS DE TRÊS COMO USUALMENTE SE FAZ •A TRANSIÇÃO DE CPs PARA PROCEDIMENTOS ESCRITOS PODE SER TRAUMÁTICA, POIS EXIGIRÁ NOVAMENTE A INTERAÇÃO, COORDENAÇÃO E COMUNICAÇÃO ENTRE 3 PESSOAS, COM NOVAS RESPONSABILIDADES E TAREFAS •ERROS INVOLVENDO CONTROLE E AUTOMAÇÃO TENDE A SER MAIS CATASTRÓFICA PORQUE NORMALMENTE NÃO SE INFORMA NA INTERFACE HUMANO – SISTEMA DETALHES SOBRE OS OBJETIVOS, ATIVIDADES EM CURSO E DESEMPENHO DOS SISTEMAS AUTOMÁTICOS DE CONTROLE 22 DEGRADAÇÃO DOS SUBSISTEMAS DE CONTROLE/AUTOMAÇÃO E COMUNICAÇÃO III •OS SISTEMAS DE CONTROLE E AUTOMAÇÃO SÃO INFLUENCIADOS TAMBÉM PELO SUBSISTEMA DE COMUNICAÇÃO , PRINCIPALMENTE PELOS ATRASOS NA TRANSMISSÃO DAS INFORMAÇÕES E SOBRECARGA NA QUANTIDADE DE INFORMAÇÃO A SER TRANSMITIDA •tempo de quando uma ação de controle é executada na IHS até quando o sinal atinge o sistema de atuação - comunicação • o tempo que leva para que o sistema mude em resposta à ação de controle - processo • tempo entre a alteração na resposta do sistema e a mudança no IHS (feedback - realimentação) - comunicação 23 DEGRADAÇÃO DOS SUBSISTEMAS DE CONTROLE/AUTOMAÇÃO E COMUNICAÇÃO IV •Como os atrasos aumentam há uma diminuição no controle de circuito fechado (controle com base em feedback) e uma mudança para estratégias de controle em malha aberta mais difícil (com base em previsão) que cada vez mais desestabiliza o controle •Quando a estabilidade é boa, as respostas do sistema e entradas de controle do operador são acoplados firmemente; uma vez que diminui, a resposta do sistema progressivamente se torna mais imprevisível. •À medida que o tempo entre a entrada do operador e resposta do sistema aumenta, o controle de circuito fechado torna-se mais instável. Ou seja, existe uma queda no valor de feedback, como um meio para que os operadores possam regular as suas ações de controle. 24 DEGRADAÇÃO DOS SUBSISTEMAS DE CONTROLE/AUTOMAÇÃO E COMUNICAÇÃO (EXEMPLO I) •Um operador pode ter iniciado uma ação de controle para aumentar a velocidade da bomba para um valor especificado, mas tendo observado nenhuma mudança na velocidade por causa de um atraso de tempo, o operador pode voltar a tomar outra ação para aumentar a velocidade da bomba. As duas entradas de controle causam um aumento na velocidade da bomba para um valor muito maior do que o operador pretendia. •Consequentemente, o operador toma então uma ação de controle para reduzir a velocidade, mas, novamente, devido a atrasos de tempo, nenhuma alteração é observada; em seguida, o operador repete a mesma ação gerando uma maior diminuição na velocidade da bomba do que a desejada. O controle do operador da bomba tornou-se instável. •Quando tais atrasos desestabilizam o controle de circuito fechado, muitas vezes levam a mudar para uma estratégia de controle em malha aberta mais difícil; isto é, o controle com base em previsão, em vez de realimentação. É uma abordagem cognitivamente mais exigente, baseada no conhecimento para controlar (Wickens, 1984). 25 DEGRADAÇÃO DOS SUBSISTEMAS DE CONTROLE/AUTOMAÇÃO E COMUNICAÇÃO (EXEMPLO II) •Lorenzo (1990) deu o seguinte exemplo do efeito de feedback atrasado sobre o comportamento do operador em uma fábrica de produtos químicos: •Um sistema de controle baseado em computador foi tão sobrecarregado por um processo com grave distúrbio que deixou de atualizar os terminais de vídeo. Sem saber que a informação apresentada era imprecisa, os operadores inadvertidamente posicionaram válvulas em seus limites de totalmente abertas ou fechadas, enquanto esperavam pela exibição de alguma resposta nas telas dos terminais. As válvulas mal-posicionados pioraram o distúrbio, eventualmente causando um desligamento de emergência da unidade quando algumas válvulas de alívio atuaram. 26 ESTRATÉGIAS PARA MINIMIZAR O IMPACTO DA DEGRADAÇÃO DOS SUBSISTEMAS DE CONTROLE/AUTOMAÇÃO E COMUNICAÇÃO I 1. Suporte no treinamento para detecção e gerência de I&C degradados •entender como e por que pode degradar ou falhar •entender as implicações de tais degradações para a IHS e no seu próprio desempenho • monitorar o desempenho do sistema de I & C de modo a detectar e reconhecer degradações via sala de controle no SIHS •executar ações compensatórias/de recuperação, talvez com o uso de procedimentos •transição suave para sistemas de backup quando necessário • entender como os papéis e responsabilidades dos membros da equipe de operação e do conceito de operações são afetados 27 ESTRATÉGIAS PARA MINIMIZAR O IMPACTO DA DEGRADAÇÃO DOS SUBSISTEMAS DE CONTROLE/AUTOMAÇÃO E COMUNICAÇÃO II 2. SISTEMA DE SUPORTE PARA ATRASOS (TIME DELAYS) Para compensá-los, aos operadores são dadas telas preditivas que fornecem realimentação imediata aos operadores sobre o efeito de suas ações de controle no desempenho do sistema. As previsões são baseadas em modelos que determinam que efeitos podem ocorrer. Telas preditivas exibem efetivamente questões de desempenho humano decorrentes de atrasos (Wu, Wang, & Wang, 2006; Xiong, Li, & Xie, 2006). 28 EXEMPLOS DE FALHAS DE SISTEMAS DIGITAIS I Um incidente envolveu um erro de software com dados corrompidos em uma usina nuclear coreana Uljin, Unidade 3. A falha envolveu um circuito integrado de aplicação específica em um módulo de interface de rede do sistema de controle de planta digital (DPCS). A falha fez com que vários componentes de não segurança se comportarem de forma inesperada, por exemplo, bombas de partida e as válvulas de reposicionamento, sem que houvesse um comando para isso. Os operadores detectaram e reagiram à situação, sem quaisquer consequências negativas. O problema foi devido a um erro de software de causa comum, que foi corrigido. Além disso, um alarme foi instalado na sala de controle principal para alertar os operadores de possíveis falhas da rede, e um procedimento escrito para lidar com tais situações 29 EXEMPLOS DE FALHAS DE SISTEMAS DIGITAIS II Sinal de Injeção de Segurança Inadvertido com Falha no Restabelecimento Aqui, a falha de um único componente (diodo zener) dentro de placa lógica de um sistema de proteção causou um transiente incomum em que foram necessárias várias ações manuais locais para rearmar o sinal inválido e fixar o equipamento de segurança. O díodo de Zener que falhou foi localizado no circuito associado com a iniciação automática de um sistema de segurança. Na sala de controle principal, a equipe de operação estava ciente de que o sistema de segurança fora iniciado, e determinou que era um sinal falso (não é válido). No entanto, quando eles rearmaram o sinal de iniciação, os relés não restabeleceram tudo o que os operadores esperavam porque a tensão tinha sido degradada pelo diodo falhado. Na verdade, o sinal de iniciação para um trem de segurança de injeção não pode ser rearmado (estava "selado") A falha do diodo degradou o subsistema de automação / controle e impediu que os operadores respondessem pela tomada de ações corretivas através de seus controles. Consequentemente, eles perderam o conhecimento da situação e da sua capacidade para corrigir a situação anormal. 30 EXEMPLOS DE FALHAS DE SISTEMAS DIGITAIS III Comunicações Ethernet Degradadas A informação NRC 2007-15 (NRC, 2007) descreve um evento que envolve um sistema de comunicação Ethernet sobrecarregado ligado ao sistema de controle de uma bomba de recirculação. O sistema de comunicação colapsou por causa do tráfego de dados em excesso. Quando a degradação ocorreu, o sinal de demanda de controle de velocidade da bomba de recirculação caiu para zero e houve diminuição do fluxo da bomba, resultando em um desligamento da planta devido à alta potência, com condição de baixo fluxo. As duas unidades de freqüência variável (VFDs) que regulam a velocidade das bombas de recirculação falharam o que implicou na necessidade de um desligamento manual. Os controladores da unidade de freqüência variável (VFD), conectados à rede do sistema de computador integrada da planta, falharam devido a excesso de tráfego na rede. O subsistema de comunicação degradado afetou os controles (controles de velocidade da bomba de recirculação) e subsistemas de informação IHS; assim, o subsistema IHS não deu aos operadores nenhuma indicação de que a Ethernet estava experimentando o tráfego de dados pesado, e que podia estar degradada (ou seja, baixou a percepção da situação). A equipe também perdeu sua capacidade da implementação da resposta apropriada, porque eles não podiam controlar a velocidade e o fluxo da bomba de recirculação. A ação corretiva do Licenciado incluiu a instalação de um dispositivo de rede, firewall, que limita as conexões e tráfego para todos os dispositivos potencialmente sensíveis da rede. 31 CRITÉRIOS EM NORMAS I NUREG-0711 – Human Factors Engineering, Seção 4.4, diretriz 4, afirma que a Descrição de uma função automática deve incluir • objetivo da função • condições que indicam quando a função é necessária • parâmetros que indicam que a função está disponível • parâmetros que indicam que a função está funcionando • parâmetros que indicam que a função está atingindo o seu objetivo • parâmetros que indicam que a operação da função pode ou deve ser encerrada Estas informações devem estar disponíveis aos operadores quando do monitoramento de funções automáticas. 32 CRITÉRIOS EM NORMAS II Duez e Jamieson (2006) sugeriu a apresentação de informações em diferentes níveis de abstração para incluir: • dados sobre o propósito da automação, ou seja, a função para a qual foi projetado • dados sobre o processo da automação, isto é, como atende o seu objetivo, por exemplo, os algoritmos usados • dados sobre o desempenho da automação, ou seja, os resultados do processo de automação 33 HIERARQUIA DE FUNÇÕES – NÍVEIS DE ABSTRAÇÃO 1. PROPÓSITO FUNCIONAL – PRODUÇÃO E SEGURANÇA 2. FUNÇÃO ABSTRATA - ESTRUTURA CAUSAL COM FLUXOS DE ENERGIA, MASSA E INFORMAÇÃO 3. FUNÇÕES GENERALIZADAS – PROCESSOS GENÉRICOS OU “PADRÕES” 4. FUNÇÃO FÍSICA – PROCESSOS FÍSICOS DE COMPONENTES E SISTEMAS ELÉTRICOS, MECÂNICOS E QUÍMICOS 5. FORMA FÍSICA – O EQUIPAMENTO OU COMPONENTE EM SI COM AS SUAS CARACTEÍSTICAS E ESPECIFICAÇÕES O NÍVEL ACIMA CONTÉM AS RESTRIÇÕES E O PORQUÊ (WHY); O NÍVEL ABAIXO OS MODOS (HOW) DO QUE ACONTECEU EM DETERMINADO NÍVEL (WHAT) 34 CRITÉRIOS EM NORMAS III Da mesma forma, Lee and See (2004) sugeriram que o SIHS deve fornecer informações que • garantam a confiança adequada na automação, como a confiabilidade da automação • possibilitem a avaliação do operador dos recursos da automação sob diferentes situações em que essas habilidades variam • mostram o desempenho passado da automação para o uso atual • forneçam detalhes específicos sobre como a automação está funcionando, por exemplo, o processo e algoritmos de automação de forma clara e abrangente revelando resultados intermediários para os operadores 35 CONCLUSÕES • A degradação de I & C digital ocorre regularmente, e previsivelmente aumenta em freqüência à medida que mais sistemas são utilizados • degradações ocorrem em todos os subsistemas de I & C • a deterioração de I & Cs digitais pode ter consequências importantes, ou seja, desligamentos do reator, e impactos nos sistemas de segurança • cerca de um terço dos eventos envolvendo IHS indicam a possibilidade da falha digital de I & C em reduzir a capacidade do operador para monitorar a planta e responder ao evento • impactos foram sentidos em áreas-chave, incluindo a sala de controle principal, o centro de suporte técnico e de emergência e os centros locais de operações Os sistemas digitais têm alarmes para falhas do sistema, mas os alarmes podem não sinalizar todas as condições degradadas. 36 CONCLUSÕES Necessidade de estabelecer critérios de segurança específicos em Norma para sistemas digitais e seu impacto no desempenho humano • 37 O Mundo sem Fatores Humanos AGORA, LEMBRE-SE, ESTE LIGA O ARCONDICIONADO E ESTE AQUI DESTRÓI O MUNDO! 38 39