UNIVERSIDADE FEDERAL DO PARAN

EDUARDO LUIZ SOPPA

SISTEMA TOLERANTE A FALHAS UTILIZANDO WINDOWS CE,
FOCANDO CONTROLADORES INDUSTRIAIS





















CURITIBA
2009

EDUARDO LUIZ SOPPA
















SISTEMA TOLERANTE A FALHAS UTILIZANDO WINDOWS CE,
FOCANDO CONTROLADORES INDUSTRIAIS








Dissertao apresentada como requisito parcial
obteno do grau de Mestre em Engenharia
Eltrica, Programa de Ps-Graduao em
Engenharia Eltrica, Departamento de
Engenharia Eltrica, Setor de Tecnologia,
Universidade Federal do Paran.

Orientador: Prof. Jos Manoel Fernandes, Ph.D.












CURITIBA
2009































Ao meu querido e amado filho, Joo Paulo,
que todos os dias me motiva com seus convites irrecusveis.
- Papai, vamos brincar?

AGRADECIMENTOS


Primeiramente agradeo a Deus, pois sem Ele nada possvel.
Ao amigo e Prof. Jos Manoel Fernandes, Ph.D. por todo apoio, conselhos,
orientaes e por acreditar neste trabalho.
Aos professores do programa de Ps-Graduao em Engenharia Eltrica da
UFPR pelo esforo constante em oferecer um ensino de qualidade e aos professores
que aceitaram fazer parte desta banca.
Agradeo aos meus pais Luiz Soppa e Rejansira Soppa por todo amor,
carinho, apoio incondicional e por sempre estarem ao meu lado.
A minha amada esposa Alexandra C. Guimares, pela dedicao, apoio,
carinho e pelas palavras de incentivo.
Ao meu filho Joo Paulo por me acordar com beijos nos sbados e nos
domingos e a Maria Tereza pelos seus sorrisos, verdadeira fonte de alegria.
As minhas irms Luciane e Daniele por me apoiarem em vrios momentos.
Ao amigo Eng. Juliano de Mello Pedroso, M.Sc. pelas sugestes e
contribuies feitas a este trabalho. Que as experincias compartilhadas at aqui
sejam a alavanca para alcanarmos alegria de chegar ao destino por cada um de
ns projetado.
Aos amigos do Senai, Marcio Debner, Carlos Sakiti e Marco Tlio pelos
incontveis debates na padaria na hora do intervalo, e a Miguel Igino por confiar em
meu trabalho.
A todos aqueles que diretamente ou indiretamente contriburam para a
realizao desta dissertao. E, a todos aqueles que entenderam a minha ausncia
durante este perodo.
Ao Senai-CIC pela infra-estrutura cedida para a realizao deste estudo.

































Se sou fiel no pouco, Ele me confiar mais.
Se sou fiel no pouco, meus passos guiar.

Lucas (19, 11-28)


RESUMO




Os Sistemas Instrumentados de Segurana (SISs) so sistemas responsveis
pela segurana operacional de unidades e equipamentos industriais. Eles causam a
parada de emergncia (ESD Emergency Shutdown) ou impedem uma operao
insegura sempre que as condies do processo ultrapassem os limites pr-
estabelecidos como seguros. Aps alguns acidentes fatais, com perda de vidas
humanas, agresso do meio ambiente, comeou-se a por em prtica o
conhecimento em segurana e o desenvolvimento de sistemas. Isso refletiu em
normas nacionais (N-2595) e internacionais (IEC-61508, IEC-61511, TR-84.01) no
desenvolvimento de produtos especficos para serem usados na concepo e
arquitetura de novos projetos de instalaes. Existem diferentes tipos de sistemas
(arquitetura) que atendem a diferentes processos. Muitas vezes, aps ter sido feita a
qualificao da malha de controle, o preo quem decide qual sistema ser
implantado, transformando o custo do sistema em um item de deciso, desde que os
sistemas analisados atendam o mesmo nvel de integridade de segurana (SIL -
Safety Integrity Level). O objetivo desta dissertao propor e validar de forma
prtica um Sistema Redundante de Segurana utilizando o hardware de um PC
(Personal Computer) padro, uma vez que este hardware j est bem testado.
Ainda, demonstrar que possvel o desenvolvimento de SIS de baixo custo, to
eficiente quanto os sistemas existentes no mercado. A diferena entre o sistema
proposto e um computador de uso comum ser o sistema operacional, pois neste
projeto ir ser utilizado um sistema embarcado (Windows CE) no lugar dos sistemas
operacionais conhecidos, de maneira que os erros provenientes do software que
ocorrem nos computadores sejam eliminados. Para que se tenha a redundncia
modular tripla (TMR Triple Modular Redundant) ir ser colocado trs computadores
com sistema embarcado para processar as informaes em paralelo (ao mesmo
tempo). Para que a interface com o mundo externo (sensores, transmissores e
atuadores) seja feita, placas de comunicao se faro necessrias, conversores de
corrente para tenso, conversor de pulso PWM (Pulse Width Modulation) para sinal
analgico e modulao em corrente etc. Todo o sistema ser testado em uma planta
didtica e dever efetuar o controle de vazo de uma malha, utilizando para tanto
um algoritmo PID (Proporcional Integral e Derivativo) devidamente sintonizado.
Ainda, ser identificada a probabilidade de falha sobre demanda (PFD) para que
seja possvel a qualificao do sistema de acordo com a norma IEC 61508.


Palavraschave: Sistema Instrumentado de Segurana (SIS). Nvel de Integridade
de Segurana (SIL Safety Integrity Level). Sistema embarcado. Controle. PID
(Proporcional Integral e Derivativo). Probabilidade de Falha sobre Demanda (PFD).
IEC 61508. Redundncia Modular Tripla (TMR - Triple Modular Redundant).
Paralelo. Intertravamento. Windows CE.




ABSTRACT




The Safety Instrumented Systems (SISs) are systems responsible for the
industrial units and equipments operational safety. They cause emergency stops
(ESD Emergency Shutdown) or prevent unsafe actions whenever the process
conditions go outside pre-established safety limits. After several fatal accidents, like
loss of human lives and environmental harm that the safety knowledge and systems
design was put in practice resulting in national (N-2595) and international (IEC-
61508, IEC-61511, TR-84.01) norms to be used in specific products for concept and
design of new installation projects. Many times after loop qualification its price
influences which system will be implemented, making the systems cost in a decision
item, since all analyzed systems meet the same Safety Integrity Level (SIL). The
objective of this dissertation is to propose and validate in a practical way a redundant
safety system using a standard PC (Personal Computer) hardware. As this hardware
is widely tested and proven to work, it can be demonstrated that a low cost SIS can
be developed as effective as other existing market SIS. A difference between the
proposed system and one common use computer will be the operating system,
because an embedded system (Windows CE) instead of known operating systems,
can debug known errors. To obtain a Triple Modular Redundancy (TMR) three
computers with embedded system will process the information in parallel (at the
same time). For external interface (sensors, transmitters and actuators)
communication boards will be developed, current to voltage converters, pulse PWM
(Pulse Width Modulation) for analogical signals, current modulation among others. All
this system will be employed in a didactic plant and must execute flow control in a
loop using a PID (Proportional Integral Derivative) algorithm. And the, failure
probability over demand (PFD) will still be identified, so it will be possible to qualify
the system in accordance with the norm IEC61508.


Keywords: Sistema Instrumentado de Segurana (SIS). Safety Integrity Level (SIL).
Embedded System. Control. Proportional Integral Derivative (PID). Failure Probability
over Demand (PFD). IEC 61508. Triple Modular Redundancy (TMR). Parallel.
Interlock. Windows CE.


LISTA DE ILUSTRAES


FIGURA 1 ETAPAS METODOLGICAS. ..............................................................19
FIGURA 2 ALARP. .................................................................................................26
FIGURA 3 CAUSA COMUM...................................................................................39
FIGURA 4 SISTEMA DE REDUNDNCIA MODULAR TRIPLA.............................42
FIGURA 5 SISTEMA HOT STANDBY....................................................................43
FIGURA 6 BLOCOS DE RECUPERAO. ...........................................................44
FIGURA 7 O IMPACTO DA REDUNDNCIA.........................................................45
FIGURA 8 SISTEMA DE CONTROLE. ..................................................................52
FIGURA 9 SISTEMA A MALHA ABERTA. .............................................................52
FIGURA 10 SISTEMA A MALHA FECHADA. ........................................................53
FIGURA 11 SISTEMA DE CONTROLE CLSSICO. .............................................55
FIGURA 12 SISTEMA DE PARADA PNEUMTICO..............................................58
FIGURA 13 SISTEMA A RELE TPICO..................................................................60
FIGURA 14 CONCEITO DE OPERAO..............................................................61
FIGURA 15 SISTEMA 2oo2 COM DIAGNSTICO. ...............................................64
FIGURA 16 DIAGRAMA DE BLOCOS DE UM CANAL DO SISTEMA PROPOSTO.
..................................................................................................................................65
FIGURA 17 DIAGRAMA DE INTERLIGAAO. ......................................................66
FIGURA 18 DIAGRAMA DA PLANTA 3. ................................................................68
FIGURA 19 DIAGRAMA PROPOSTO....................................................................70
FIGURA 20 MODOS DE FALHA DA ARQUITETURA 2oo3. .................................72
FIGURA 21 RVORE DE FALHA DE UMA ARQUITETURA 2oo3 PARA OS
CANAIS A e B. ..........................................................................................................72
FIGURA 22 FLUXOGRAMA DO ALGORITMO DO CANAL DE AQUISIO. .......75
FIGURA 23 FLUXOGRAMA DA FUNO DE TRATAMENTO DA INTERRUPO
SERIAL 1...................................................................................................................76
FIGURA 24 - FLUXOGRAMA DA FUNO DE TRATAMENTO DA INTERRUPO
SERIAL 2...................................................................................................................77
FIGURA 25 FLUXOGRAMA DO ALGORITMO DE CONTROLE DO CANAL DE
VOTAO.................................................................................................................79

FIGURA 26 FLUXOGRAMA DO ALGORITMO DE SHUTDOWN DO CANAL DE
VOTAO.................................................................................................................80
FIGURA 27 FLUXOGRAMA DA TROCA DE DADOS ENTRE O CANAL DE
AQUISIO E O WINDOWS CE. .............................................................................85
FIGURA 28 FLUXOGRAMA DO SISTEMA DE CONTROLE. ................................86
FIGURA 29 CURVA DE RESPOSTA DO SISTEMA EM MALHA ABERTA. ..........87
FIGURA 30 CURVA DE RESPOSTA DO PROCESSO CONTROLADO PELO
SISTEMA...................................................................................................................89
FIGURA 31 CURVA DE RESPOSTA DO PROCESSO CONTROLADO POR UM
CONTROLADOR INDUSTRIAL. ...............................................................................89
FIGURA 32 DIAGRAMA ESQUEMTICO DO SISTEMA 2oo3. ............................91
FIGURA 33 FLUXOGRAMA DO SISTEMA DE INTERTRAVAMENTO. ................93

LISTA DE TABELAS


TABELA 1 NVEL DE INTEGRIDADE DE SEGURANA IEC 61508 VERSUS
DIN/VDE 19250.........................................................................................................23
TABELA 2 - SIL EM FUNO DE DISPONIBILIDADE E PROBABILIDADE DE
FALHA SOB DEMANDA ...........................................................................................33
TABELA 3 CLCULO DE PFD E MTTF
sp
PARA SISTEMAS REDUNDANTES....35
TABELA 4 TABELA DE CLPs DE SEGURANA CERTIFICADOS IEC 61508 .....63
TABELA 5 EQUIPAMENTOS E SUAS FUNES. ...............................................68
TABELA 6 CONJUNTO DE CARACTERSTICAS UTILIZADAS PARA A
CONSTRUO DA IMAGEM NO WINDOWS CE. ...................................................82
TABELA 7 TABELA VERDADE DE SADA DE CADA CANAL DE
PROCESSAMENTO DADA AS ENTRADAS (SA,SB e SC)......................................91
TABELA 8 FALHAS SEGURAS.............................................................................94
TABELA 9 FALHAS PERIGOSAS..........................................................................95


LISTA DE SIGLAS


AIChE - Instituto Americano de Engenheiros Qumicos
ALARP - As Low as Reasonably Possible
ANSI - American National Standards Institute
API - American Petroleo Institute
CCPS - Center for Chemical Process Safety
CE - Compact Edition
CLP - Controlador Lgico Programvel
CO - Sada de Controle
CPU - Unidade Central de Processamento
DIN - Deutsches Institut fur Normung
EPA - Environment Program Agency
ESD - Emergency Shutdown
FMEA - Anlise de Modos e Falhas e seus Efeitos
HAZOP - Hazard Operability
IEC - International Electrotechnical Commmission
ISA - Instrumentation and Automation Society
LED - Diodo Emissor de Luz
LCD - Liquid Crystal Display
MMU - Memory Management Unit
MTBF - Tempo Mdio entre Falhas
MTTF - Tempo Mdio de Falha
MTTR - Tempo Mdio de Reparo
MV - Varivel Manipulada
NFPA - National Fire Protection Agency
NMR - Redundncia Modular N
OMAC - Open, Modular, Architecture Control
OSHA - Occupational Safety and Heath Organization
PC - Personal Computer
PES - Sistema Eletrnico Programvel
PFD - Probabilidade de Falha sobre Demanda
PHA - Process Harzard Analysis

PID - Proporcional, Integral e Derivativo
PSM - Risc Management Program
PV - Varivel do Processo
PWM - Pulse Width Modulation
RRF - Fator de Reduo de Risco
SAFE - Safety Function Evaluation
SDCD - Sistema Digital de Controle Distribudo
SIL - Nvel de Integridade de Segurana
SIS - Sistema de Intertravamento de Segurana
SP - Set Point
TMR - Redundncia Modular Tripla
TR - Technical Report
TUV - Technische Uberwachungs Verein
USB - Universal Serial Bus
WDT - Watchdog Timer
Win API - Application Programming Interface



SUMRIO


1. INTRODUO......................................................................................................15
1.1. OBJETIVOS GERAIS.....................................................................................17
1.2. OBJETIVOS ESPECFICOS...........................................................................17
1.3. ESTRUTURA DA DISSERTAO.................................................................18
1.4. ETAPAS METODOLGICAS.........................................................................18
2. REVISO DA LITERATURA................................................................................20
2.1. OS SISTEMAS DE SEGURANA NOS PROCESSOS INDUSTRIAIS..........20
2.2. NORMAS ATUAIS PARA SIS.........................................................................21
2.3. ANLISE DO RISCO......................................................................................23
2.3.1. Perigo (Hazard) .........................................................................................23
2.3.2. Risco .........................................................................................................24
2.3.3. Conceitos de Risco....................................................................................25
2.4. DEFINIES SOBRE SISTEMAS DE SEGURANA (SIS)...........................27
2.4.1. Falhas........................................................................................................29
2.4.2. Anlise Quantitativa e Qualitativa..............................................................31
2.4.3. Probabilidade de Falha sobre Demanda (PFD).........................................32
2.4.4. Anlise de Sistemas..................................................................................35
2.4.4.1. Anlise de um Sistema a Rele.............................................................35
2.4.4.2. Anlise de um Sistema com Controlador Lgico Programvel no
redundante .......................................................................................................36
2.4.4.3. Anlise de um Sistema de Redundncia Tripla (TMR)........................38
2.4.5. Causa Comum ..........................................................................................39
2.5. TIPOS DE REDUNDNCIA............................................................................40
2.5.1. Redundncia de Hardware........................................................................41
2.5.2. Redundncia de Software .........................................................................43
2.5.3. O Impacto da Redundncia.......................................................................45
2.6. SISTEMAS EMBARCADOS...........................................................................46
2.6.1. Sistema de Tempo Real ............................................................................47
2.6.2. Windows CE..............................................................................................48
2.7. SISTEMA DE CONTROLE.............................................................................51
2.7.1. Malha Aberta.............................................................................................52

2.7.2. Malha Fechada..........................................................................................53
2.7.3. Controlador PID.........................................................................................54
2.7.4. Controle em Tempo Real ..........................................................................55
3. MATERIAIS E MTODOS....................................................................................56
3.1. INTRODUO................................................................................................56
3.2. ESCOLHA DA TECNOLOGIA E DA ARQUITETURA ....................................57
3.2.1. SIS Pneumticos.......................................................................................58
3.2.2. SIS a Rele .................................................................................................59
3.2.3. SIS de Lgica Fixa em Estado Slido .......................................................60
3.2.4. SIS Microprocessado (CLP) ......................................................................62
3.3. PROPOSTA DE UM SISTEMA TOLERANTE A FALHAS..............................64
3.3.1. Planta Didtica ..........................................................................................67
3.3.2. Comparao do Sistema com CLP Industrial de Controle ........................70
3.3.3. Obteno de Dados para o Clculo da PFD .............................................71
3.4. AQUISIO DA PFD......................................................................................71
4. IMPLEMENTAO E RESULTADOS .................................................................74
4.1. CANAL DE AQUISIO.................................................................................74
4.2. CANAL DE VOTAO...................................................................................77
4.3. CANAL DE PROCESSAMENTO....................................................................81
4.3.1. Criando a Imagem do Windows CE...........................................................81
4.3.2. Criando o Disco de BOOT.........................................................................83
4.3.3. Efetuando o BOOT Local ..........................................................................83
4.3.4. Criando um Novo Projeto ..........................................................................83
4.4. SISTEMA DE CONTROLE.............................................................................84
4.5. SISTEMA DE INTERTRAVAMENTO..............................................................90
5. CONCLUSES E TRABALHOS FUTUROS........................................................96
REFERNCIAS.........................................................................................................99
ANEXO A................................................................................................................103
APNDICE A..........................................................................................................105
APNDICE B..........................................................................................................107


15
CAPTULO 1


1. INTRODUO


O projeto de sistemas instrumentados de segurana ou sistemas de
intertravamento de segurana (shutdown) era relativamente simples h trinta anos
atrs (CCPS,1993), sem falar que no havia normas industriais sobre o assunto. De
um modo geral a escolha recaa sobre reles. Mas a evoluo no ocorre por acaso,
nem apenas do desenvolvimento da conscincia de que os acidentes podem e
devem ser evitados. Infelizmente, a partir de acidentes ocorridos nas indstrias de
processos que se verificou que os sistemas de segurana normalmente empregados
nas instalaes industriais deixavam a desejar.
Aps alguns acidentes fatais, como perdas de vidas humanas e agresso ao
meio ambiente comearam-se a por em prtica o conhecimento em segurana e o
desenvolvimento de novos sistemas. Isso refletiu em normas nacionais e
internacionais no desenvolvimento de produtos (hardware e software) especficos
para serem usados na concepo e na arquitetura de novos projetos de instalaes.
Os trabalhos nesta rea comearam h cerca de dez anos, tanto nos Estados
Unidos como em outros pases. O tema comum nas normas recentes : quanto
maior o risco do processo, tanto melhor devem ser os sistemas necessrios para
controlar tal risco (GRUHN;CHEDDIE, 2006).
Hoje em dia, existe uma gama grande de escolhas de possveis tecnologias
(por exemplo, tecnologias distintas, nveis de redundncia, etc.), que as pessoas
ficam confusas. comum que inicialmente projetistas adotem uma postura muito
conservadora, e demonstrem interesse em instalar os sistemas para atingir um
desempenho SIL 3. Infelizmente, quando eles percebem que os sistemas que so
certificados para atender este nvel so caros, eles acabam precisando encontrar
uma outra sada, por exemplo, reavaliar a malha de controle para tentar baixar o SIL
(Nvel de Integridade de Segurana), o que gera um retrabalho e custos adicionais
de projeto para as empresas.
Os sistemas SIL 1 proporcionam o menor nvel de desempenho (de 90 a 99%
de disponibilidade), basicamente para atender aos baixos nveis de risco de
processos. Os sistemas SIL 3 oferecem os nveis de desempenho mais altos (de

16
99,9 a 99,99% de disponibilidade), para atender aos nveis mais elevados de risco
do processo. As normas no obrigam e nem recomendam qual tecnologia deve ser
usada, nem nveis de redundncia ou intervalos de testes manuais devem ser
adotados para atender os requisitos de desempenho para nveis de integridade
distintos. Cabe ao projetista determinar quais sistemas foram projetados para
atender s condies de segurana. Alguns livros de confiabilidade como Xai, Dai e
Poh (2004) e Pham (2003), bem como, o relatrio TR 84.01 da ISA e a norma IEC
61508 mostram mtodos para o clculo do desempenho de segurana de um
sistema.
Os sistemas a reles tm condies de atender aos requisitos SIL 3, mas
raro encontrar, hoje em dia, algum disposto a usar reles para grande sistemas. Os
sistemas baseados em software e hardware com redundncia dupla e tripla tambm
so capazes de atender aos requisitos SIL 3. Esses sistemas tambm so
certificados por rgos independentes como TUV e Exida.
A sugesto deste trabalho partir de um hardware e de um software existente
e exaustivamente testado pelas diversas aplicaes que o envolvem. A evoluo
dos PCs acarreta uma alta confiabilidade de hardware e o surgimento dos sistemas
embarcado de tempo real vem aumentando as possibilidades de se ter novos
sistemas desenvolvidos a partir da arquitetura do PC que apresentem uma alta
disponibilidade e confiabilidade.
A questo que, dentro de sistemas dedicados para SIL o processamento
feito com microcontroladores ou microprocessadores que esto disponveis no
mercado. Em sistemas mais antigos, pode-se encontrar microprocessadores
inferiores aos existentes e utilizados hoje em dia nos PCs. Ento, a indstria de
sistema obrigada a desenvolver todo um hardware especfico e dedicado que tem
um alto custo de desenvolvimento para atingir a disponibilidade exigida. E dentro
destes hardwares existem softwares embarcados denominados firmwares que
servem para rodar o programa aplicativo desenvolvido pelo usurio.
O objetivo utilizar a arquitetura de um PC, cuja diferena reside no sistema
operacional. Para tanto, utilizar-se- um sistema operacional de tempo real, que
pode ser comparado com o firmware dos sistemas dedicados. Ser criado um
aplicativo que ir rodar em cima deste firmware, podendo este aplicativo ser
comparado com o software desenvolvido pelo usurio.

17
Para que seja possvel a interface do aplicativo desenvolvido com os
equipamentos de campo (sensores, elementos finais, etc.) sero desenvolvidas
placas que se comunicaro com o PC via um protocolo serial.
Feito isto, as normas de certificao de sistemas de intertravamento de
segurana sero seguidas para que seja possvel o clculo de disponibilidade do
sistema proposto, visando avaliao de todo este trabalho e validao do mesmo.


1.1. OBJETIVOS GERAIS


Estudar os diferentes sistemas de redundncia existentes no mercado
(sistemas pneumticos, a reles, lgica fixa e controladores lgicos programveis),
verificar seus funcionamentos e benefcios, analisar as vantagens e desvantagens
de tais sistemas, com isto, propor um sistema concorrente de baixo custo, mas to
eficaz quanto. Para tanto, implementar um sistema utilizando-se de um hardware
padro (PC) e um sistema embedded sem precisar desenvolver um sofisticado novo
hardware.


1.2. OBJETIVOS ESPECFICOS


Os objetivos especficos so:

Checar os vrios sistemas disponveis no mercado;
Propor um sistema de baixo custo com confiabilidade;
Comparar o sistema proposto com sistemas industriais;
Aplicar o sistema proposto em um processo real;
Calcular a disponibilidade do sistema proposto;
Encontrar o SIL deste sistema de acordo com a IEC 61508.
Verificar se o sistema proposto atende as exigncias industriais,
seguindo a prescrio da IEC 61508.

18
1.3. ESTRUTURA DA DISSERTAO


O restante desta dissertao est organizada em 4 captulos. No Captulo 2
faz-se uma reviso da literatura sobre os principais conceitos sobre nvel de
integridade de sistemas, sistema operacional de tempo real. No Captulo 3,
descrevem-se em detalhes o desenvolvimento do sistema redundante proposto. No
Captulo 4 relatam-se os resultados obtidos. E, finalmente, o Captulo 5 apresenta a
discusso dos resultados, as concluses do trabalho e as propostas de trabalhos
futuros.


1.4. ETAPAS METODOLGICAS


A metodologia desta pesquisa esta apoiada na elaborao de um prottipo
fundamentado pela IEC 61508 que a norma que certifica este tipo de equipamento.
A validao do mesmo foi baseada na norma em questo, para tanto, dois
experimentos sero desenvolvidos, o primeiro focando uma aplicao em controle
de processo e o segundo para um sistema de intertravamento. A Figura 1 ilustra
essas etapas metodolgicas.
As etapas metodolgicas da pesquisa tem por objetivo as seguintes
atividades e resultados:

1. Normas, SIL e redundncia: reviso bibliogrfica para encontrar a forma que
aplicada a IEC 61508 para encontrar o SIL de uma malha de controle.
2. Pneumtico, Rele, Lgica fixa, CLP redundante: Analisar as tecnologias
existentes no mercado afim de elencar as suas vantagens e desvantagens.
3. Canais de aquisio, votao e processamento: propor um sistema
redundante a falhas com uma configurao 2oo3.
4. Validao em uma malha de controle: aplicao em um processo real a fim de
comparar o sistema proposto com um sistema industrial.

19
5. Validao em um sistema de intertravamento: obter as taxas de falhas do
sistema proposto para encontrar a disponibilidade, confiabilidade e o SIL
deste sistema de acordo com a IEC 61508.


Normas, SIL,
Redundncia
Reviso bibliogrfica,
terica
Avaliao de SIL de
malha de controle
Pneumtico, Rele,
Lgica fixa, CLP
redundante
Anlise de tecnologias
existes
Proposta de um
sistema redundante
Sistema
redundante
2oo3
Canais de
aquisio, votao
e processamento
Aplicao em um
processo real
Comparao
com um sistema
industrial
Validao em uma
malha de controle
Obteno das
taxas de falhas
Confiabilidade,
disponibilidade, SIL
conforme IEC 61508
Validao em
um sistema de
intertravamento
Fases da pesquisa Resultados esperados Atividade metodolgica
V
a
l
i
d
a

o
Vantagens e
desvantagens de
cada sistema
R
e
f
i
n
a
m
e
n
t
o

FIGURA 1 ETAPAS METODOLGICAS.

20
CAPTULO 2


2. REVISO DA LITERATURA


2.1. OS SISTEMAS DE SEGURANA NOS PROCESSOS INDUSTRIAIS


Os sistemas de shutdown (ESD, SIS) para processos industriais tm evoludo
bastante nestas ltimas dcadas, em termos de concepo, projeto e
implementao. A evoluo no fruto do acaso, nem apenas do desenvolvimento
de uma conscincia de que os acidentes podem e devem ser evitados. Infelizmente,
a partir da anlise de acidentes realmente ocorridos que se tomou conhecimento
de que os sistemas de segurana normalmente empregados em instalaes
industriais deixavam a desejar (FINKEL et al., 2006).
Um fator importante, para a ocorrncia do acidente, o excesso de
autoconfiana, no s entre operadores, mas principalmente, em nveis gerenciais.
Para no parar o processo, frequentemente assumem-se riscos desnecessrios, e
frequentemente o resultado o acidente. Antes do ocorrido em Chernobil, um
primeiro ministro sovitico disse textualmente: Nossos reatores nucleares so to
seguros que poderia-se instalar um aqui na Praa Vermelha, no centro de Moscou
(FINKEL et al., 2006).
Aps o acidente na plataforma de Piper Alfa ficou provado que no se pode
confiar na capacidade de deciso/atuao do ser humano frente ao stress de um
acidente grave. Posteriormente, estudos revelaram que, estatisticamente, quando
submetidos forte fator de stress, seres humanos tomam iniciativas erradas em 99%
dos casos. Concluso: o sistema de desligamento de emergncia no pode
depender de acionamento manual, devem ser acionados automaticamente (FINKEL
et al., 2006).
O excesso de confiana tambm atinge os sistemas de segurana, que
muitas vezes no so exaustivamente testados com a frequncia necessria para
garantir uma probabilidade de falha suficientemente pequena. O problema surge na
hora de testar os elementos finais. A nica maneira de saber se uma vlvula de

21
shutdown realmente est em boas condies de atuao, e que provavelmente vai
fechar mesmo em caso de necessidade, comandar a vlvula para fechar e
aguardar o seu fechamento completo. Mas infelizmente. isso caro porque provoca
a parada do processo (GRUHN; CHEDDIE, 2006).


2.2. NORMAS ATUAIS PARA SIS


Segundo Gruhn e Cheddie (2006), as normas desempenham vrios papis na
execuo de um projeto, principalmente em SIS. Como exemplo, pode-se citar o
auxlio equipe de projeto, no sentido de garantir que o produto em
desenvolvimento obedea a um determinado nvel mnimo de qualidade e a funo
de seleo de mtodos de projeto de eficincia reconhecida.
Outras funes que podem ser citadas so promover uniformidade entre
diversas equipes de trabalho, prover guias de projeto, alm de proporcionar uma
base legal no caso de disputas judiciais.
Para se certificar um sistema, normalmente, faz-se necessria a utilizao de
normas apropriadas a cada aplicao. Algumas normas so genricas e outras se
aplicam a casos particulares. Nos prximos itens so descritos os principais
objetivos de algumas das normas mais utilizadas no desenvolvimento de Sistemas
de Segurana Instrumentado.
De acordo com Finkel et al. (2006), as normas sobre Sistemas
Instrumentados de Segurana (SIS) tm como denominador comum no serem
normas prescritivas e sim orientadas para exigir que se atinja um nvel de
desempenho desejado pelo sistema. Elas dizem o que precisa ser feito, mas no
como faz-lo. Exige do profissional que as usa um conhecimento de causa bem
maior do que quem queira simplesmente seguir uma receita de "como se projeta" um
sistema. A norma pode ser aplicada com qualquer tipo de tecnologia existente ou
futura. Assim a tendncia no ser necessria se revisar a norma a cada vez que
surgir uma nova tecnologia aplicvel a sistemas de segurana, o que seria
indesejvel, levando-se em conta o tempo de estudo, maturao e aprovao destas
normas.

22
A exceo a norma N-2595 (Critrios de projeto e manuteno para
sistemas instrumentados de segurana em unidades industriais) onde se tenta
manter uma prescrio de como projetar um Sistema de Segurana, inclusive
sugerindo a tecnologia a ser escolhida em funo da classificao do risco envolvido
em cada malha. Assim: para malhas classe I ou II pode-se implementar o shutdown
no SDCD (Sistema Digital de Controle Distribudo), enquanto para malhas classe III
e superiores, preciso implementar a segurana em equipamentos independentes
do SDCD.
Para malhas classe III, o sistema pode ser implementado em reles (s para
sistemas simples ou pequenos) ou em CLP (Controlador Lgico Programvel) de
segurana desde que aprovado para esta classe pelo TUV (Technische
Uberwachungs Verein - ANEXO A) Organizaes de Inspeo Tcnica, conforme
Anexo A.
Para malhas de classe superior a III, o sistema deve ser desenvolvido em
CLP de segurana, aprovado para a classe da malha considerada, pelo TUV.
A Functional Safety - Safety Related Systems - Norma IEC 61508, da
Comisso Eletrotcnica Internacional (Europia), de 1996, abrange todos os tipos de
indstrias, incluindo medicina, transporte, nuclear, etc., e cobrindo vrias tecnologias
como reles, lgica fixa em estado slido e sistemas programveis. A norma IEC
61511 derivada desta, porm destinada para as indstrias de processamento em
geral.
Application of Safety Instrumented Systems for the Process Industries - ISA
TR 84.01, da ISA (The International Society for Measurement and Control), de 1996.
Norma aprovada pela ANSI, levou 11 anos em elaborao, inicialmente pretendia
cobrir apenas a parte lgica do sistema em lgica programvel, mas acabou
abrangendo tambm os dispositivos de campo e outras tecnologias. considerada
pelos Americanos como uma Norma Internacional. Pode vir a conflitar (ou se tornar
obsoleta ou ser substituda) pela IEC- 61511.
A Diretriz PES Guidelines (Programmable Electronic Systems for Use in
Safety Related Applications) da Secretaria de Sade e Segurana do Reino Unido,
de 1997. Foi uma das primeiras normas publicadas a respeito do uso de PLCs em
segurana, e embora focada em Sistemas Programveis, aplicvel a outras
tecnologias. Foi ponto de partida para a elaborao de outras normas europias e
americanas.

23
Guidelines for Safe Automation of Chemical Processes, do Centro para
Segurana do Processo (CCPS) do Instituto Americano de Engenheiros Qumicos
(AIChE) de 1993. Discorre sobre o uso de SDCDs (Sistema Digital de Controle
Distribudo) e sistemas de intertravamento. Gerado por usurios, sem a interferncia
de fornecedores, o que permitiu uma velocidade de trabalho superior usual neste
tipo de comit.
DIN/VDE 0801 uma norma Alem, apenas para os fabricantes dos
sistemas. Detalha exigncias para fabricao baseados nos riscos calculados
conforme a norma DIN/VDE 19250, que por sua vez deve ser substituda pela IEC
61508. Os alemes tm uma agncia de certificao independente, que
praticamente a nica reconhecida mundialmente, para sistemas de segurana, a
TUV.
Uma diferena significativa entre a IEC 61508 e a DIN/VDE 19250 a
classificao dos nveis de integridade de segurana, que pode ser observada na
Tabela 1.

TABELA 1 NVEL DE INTEGRIDADE DE SEGURANA IEC 61508 VERSUS DIN/VDE 19250
IEC 61508 Arquitetura DIN/VDE 19250
SIL 4 Lgica fixa, falha segura AK 8
AK 7
SIL 3 1oo2D, 2oo3 AK 6
AK 5
SIL 2 1oo1D AK 4
SIL 1 1oo1 com WDT AK 3
AK 2
No definido No definido AK 1


2.3. ANLISE DO RISCO


2.3.1. Perigo (Hazard)


O Instituto Americano de Engenheiros Qumicos (AIChE) define perigo como
uma caracterstica inerente fsico ou qumico que tem o potencial para causar danos
s pessoas, bens ou o ambiente. Ele a combinao de um material perigoso, um

24
ambiente operacional, e certos acontecimentos no planejados que podem resultar
em um acidente.
Os perigos esto sempre presentes. Por exemplo, a gasolina um
combustvel lquido. Enquanto no existe uma fonte de ignio, a gasolina pode ser
considerada relativamente benigna. Nosso objetivo minimizar ou eliminar eventos
ou acidentes perigosos. Por isso, no devemos armazenar gasolina perto de fontes
de ignio (GRUHN;CHEDDIE, 2006).
A N-2595 diz que perigo uma causa potencial de dano integridade fsica e
sade, patrimnio, meio ambiente ou perda de produo (PETROBRAS, 2002).


2.3.2. Risco


De acordo com a N-2595 risco a combinao da taxa de perigo com as
consequncias do evento perigoso (PETROBRAS, 2002).
O risco normalmente definido como a combinao da gravidade e da
probabilidade de um evento perigoso. O risco pode ser avaliado qualitativamente ou
quantitativamente (GRUHN;CHEDDIE, 2006).
Segundo Finkel et al. (2006) o risco uma combinao de dois fatores:

a probabilidade da ocorrncia do evento indesejvel;
a consequncia da ocorrncia.

Assim, um evento desfavorvel que ocorra com frequncia, porm de
consequncias mnimas, pode corresponder ao mesmo nvel de risco que um evento
rarssimo, porm, de consequncias catastrficas.
A aceitabilidade de um determinado nvel de risco determinada pelos
benefcios associados aplicao crtica e, consequentemente, seus riscos, bem
como pelos esforos necessrios para que se consiga a reduo desses riscos.
Riscos com consequncias catastrficas e que ocorram frequentemente no so
tolerveis em nenhuma hiptese. Por outro lado, riscos com consequncias no
significativas, mesmo com ocorrncia frequente, podem ser aceitveis.

25
A norma IEC 61508 classifica o risco em trs nveis (Comisso Eletrotcnica
Internacional (IEC), 1997):

Risco Intolervel: as consequncias do risco so intolerveis e sua
ocorrncia no pode ser justificada;
Risco Inaceitvel: as consequncias do risco so inaceitveis, embora
possam ser suportadas sob certas condies;
Risco Negligencivel: as consequncias do risco so insignificantes e
podem ser desprezadas.


2.3.3. Conceitos de Risco


Tanto para Finkel et al. (2006) como para Gruhn e Cheddie (2006), um
conceito bem difundido em Sistemas Instrumentados de Segurana, mas errneo,
diz que todos os processos vo para o estado seguro quando os equipamentos so
desligados. Vamos analisar um exemplo, uma caldeira quando desligada deve ser
ventilada internamente para a diluio de gases combustveis at se atingir um nvel
de segurana, antes que se possa partir novamente, ou que a eventual
concentrao de gases quentes junto a algum ponto mais quente dentro da caldeira
possa levar a uma ignio espontnea destes gases. comum que ventiladores de
tiragem tenham uma alimentao de emergncia para poderem ser acionadas,
mesmo que uma caldeira pare por perder sua alimentao eltrica normal.
Planta desligada no significa planta segura. O conceito que todo processo
reverte a uma condio segura quando se corta a alimentao eltrica geral da
planta, pode ser falso em muitas instalaes.
Uma unidade industrial que entra em parada de emergncia por uma falha no
sistema de parada de emergncia, na verdade, pode estar em uma condio bem
menos segura do que o desejado. mais seguro garantir que o SIS no provocar
muitas atuaes desnecessrias.
No caso de SIS, um determinado risco aceitvel se atingir um nvel baixo o
suficiente, de forma que redues maiores no sejam justificveis dos pontos de
vista tcnico e econmico. Esse o princpio ALARP (As Low as Reasonably

26
Possible), ou seja, o risco deve ser to baixo quanto o razoavelmente praticvel ou
implementvel (IEC, 1997). importante considerar que um risco no aceitvel se
ele puder ser facilmente reduzido. Portanto, mesmo um sistema com um nvel de
risco muito pequeno pode ser considerado como inaceitvel se o seu nvel de risco
puder ser facilmente reduzido. Similarmente, um sistema que tenha um nvel de risco
significante pode satisfazer aos requisitos se ele oferecer benefcios suficientes e
redues do risco forem consideradas impraticveis. A Figura 2 representa o
princpio ALARP.

Risco intolervel
Risco ALARP ou
risco tolervel
Risco justificvel em
casos extraordinrios
Risco amplamente
aceitvel
Risco negligente - garantir que
o riso permanea nesta regio
Custo de reduo
excede a melhoria
Reduo de risco
impraticvel ou tem custos
desproporcionais

FIGURA 2 ALARP.
FONTE: INTECH BRASIL (2006).


O conceito do ALARP surgiu na Inglaterra, h algumas dcadas, embora no
tenha sido enunciado formalmente at a uns poucos anos. Entende-se que no h
uma segurana total nem absoluta, o que se pretende fazer sempre reduzir o nvel
de risco a um nvel aceitvel, e no a um hipottico risco igual a zero (FINKEL et al.,
2006).
Os riscos elevados no podem ser aceitos, h que reduzi-los, obviamente.
Riscos muito pequenos podem at ser aceitos sem que se faam despesas
adicionais para reduzi-los, pois no vale pena realizar o investimento para reduzir
riscos que em caso de acidentes, causem prejuzos pequenos. mais barato correr
o risco do que reduz-lo. E riscos mdios, nem to pequenos que sejam
desprezveis, nem to grandes que sejam absolutamente intolerveis? Para estes a

27
tcnica do ALARP recomenda simplesmente que se tome a deciso baseada no
custo e benefcio.
Pode-se exemplificar da seguinte forma, se por US$ 3000 for possvel reduzir
um destes riscos a um nvel aceitvel, sempre valer pena fazer este investimento,
mas se para esta funo de segurana no muito crtica, for preciso gastar US$
1.000.000, talvez seja melhor economizar este dinheiro e simplesmente correr o
risco, ou reduzi-lo a um nvel ainda um pouco maior do que o que seria considerado
bom. Imagine que ao classificar as funes de segurana quanto ao SIL, haja 20
funes em que se ficou em dvida, SIL 0 ou SIL 1, enquanto outras 20 ficaram na
balana entre SIL 1 e SIL2. Revisto o projeto acabaram todas 40 em SIL 1. SIL 1
nunca se refere a riscos de vida humana ou ferimentos srios, etc., estes teriam
sempre um SIL elevado. Se devido condio particular daquela instalao cada
malha SIL 1 custar, por exemplo, US$ 50.000 devido a vlvulas de grande dimetro
e material muito resistente corroso, etc (INTECH BRASIL, 2006).
No faz sentido projetar o SIS para atender apenas s malhas que
inicialmente se imaginava estarem entre SIL 1 e SIL 2, e economizar um milho de
dlares no instalando o SIS para as outras malhas? Obviamente, o risco de
acidentes aumentou, mas no se est falando de acidentes fatais nem de ferimentos
graves, perdas de equipamento caro de produo, etc., pois estes deveriam ter um
SIL mais elevado (INTECH BRASIL, 2006).


2.4. DEFINIES SOBRE SISTEMAS DE SEGURANA (SIS)


A norma ANSI/ISA TR-84.01 exige que a indstria determine um Nvel de
Integridade Desejado (SIL Safety Integrity Level) para todas as aplicaes de
Sistemas de Instrumentados de Segurana (SIS Safety Instrumented Systems). A
determinao do SIL uma deciso que passa pela anlise de risco do processo,
(PHA Process Harzard Analysis), e inclui a avaliao do equilbrio entre a
probabilidade do evento, sua severidade e tolerncia ao mesmo. Os mtodos
utilizados para a avaliao do SIL de uma malha controle, so:



28
Lista de verificao (Checklist);
E se (What if);
E se / lista de verificao (What if/checklist);
FMEA (anlise do modo de falha e seus efeitos) (failure mode and
effects analysis);
FTA anlise da rvore de falhas (fault tree analysis);
HAZAN Analise de riscos (Hazard Analysis);
HAZOP estudo de riscos e operacionalidade (hazard and operability
study);
FTA HAZOP.

Nos EUA, a OSHA (Occupational Safety and Heath Organization) e a EPA
(Environment Program Agency), atravs de seus programas PSM (Process Safety
Management) e RPM (Risc Manegement Program) exigem que se faa uma anlise
de risco do processo, e a utilize como base para tomar medidas para a proteo dos
trabalhadores, da comunidade e do meio ambiente. Um programa adequado deve
incorporar a assim chamada Boa prtica de Engenharia, que significa na prtica
seguir as normas e padres emitidos por organizaes tais como: ASME, API, ANSI,
NFPA, ASTM, etc.
Em fevereiro de 1996, a ISA editou o Standard ISA TR-84.01 Aplicao de
Sistemas de Segurana Instrumentados nas Indstrias de Processo. Em incio de
1997, esta norma foi elevada categoria de ANSI, ou seja, passou a ser de
aplicao legalmente obrigatria. Obedecer esta norma, nos EUA no uma opo,
j que a no obedincia pode resultar em ao civil e criminal, tanto contra as
empresas como contra os indivduos envolvidos (GRUHN; CHEDDIE, 2006).
Tanto a norma ANSI/ISA TR-84.01 como a IEC 61508 exigem que se defina
um Nvel de Integridade Desejado (SIL) para cada Sistema de Intertravamento de
Segurana.
O SIL (Nvel de Integridade de Segurana) uma classificao de risco
determinada a partir da probabilidade de falha sob a demanda. muito importante
levar em conta o impacto da confiabilidade e o modo de falha dos instrumentos de
campo no SIL, o que frequentemente era esquecido quando se via um SIS apenas
como o equipamento eletrnico contido no gabinete do sistema de shutdown.

29
possvel correlacionar um SIL s exigncias de seus respectivos SIS. A IEC 61508
reconhece 4 nveis de SIL, enquanto a TR-84.01 de 1996 s reconhece os nveis de
1 a 3 (FINKEL et al., 2006).


2.4.1. Falhas


Se analisado com ateno a ISA TR-84.01, as falhas podem ser
caracterizadas das seguintes formas:

Falhas aleatrias: uma falha espontnea de componente (hardware).
As falhas aleatrias podem ser permanentes (existem at serem
eliminadas) ou intermitentes (ocorrem em determinadas circunstancias
e desaparecem em seguida).
Falhas sistemticas: uma falha escondida dentro do projeto ou
montagem (hardware ou tipicamente software) ou falhas devido a erros
(incluindo-se enganos e omisses) nas atividades de ciclo de
atividades de segurana que fazem o SIS falhar em determinadas
circunstncias, sob determinadas combinaes de entradas ou sob
uma determinada condio ambiental.
Falha em modo comum: o resultado de um defeito em modo comum.
Defeito em modo comum: uma nica causa que pode causar falhas em
vrios elementos do sistema. A nica causa pode ser interna ou
externa ao sistema.

As falhas detectveis so aquelas que o prprio SIS consegue observar sua
ocorrncia, sinalizando tal fato e permitindo que se executem as devidas aes
corretivas. Falhas no detectveis so aquelas no percebidas pelos mecanismos
de deteco e que permanecem residentes no SIS.
Outra classificao das falhas, que ocorrem em SIS, dada por Globe e
Cheddie (2005), relaciona-se aos efeitos que tais falhas possam acarretar. Se as
consequncias forem inseguras, a falha dita como sendo insegura. Por outro lado,

30
se as consequncias no provocarem situaes inseguras, a falha classificada
como sendo segura.
Um sistema implementado atravs de uma arquitetura tolerante a falhas,
normalmente supe a existncia de mdulos de controle e intertravamento
redundantes. A ocorrncia de uma falha do tipo inseguro e no detectvel em um
dos mdulos da arquitetura permanece no sistema sem, no entanto, causar
situaes inseguras, pelo menos em um primeiro momento. Por outro lado, podem
ocorrer falhas compensatrias em outros mdulos, ou seja, falhas que afetem o
funcionamento dos demais mdulos do sistema da mesma forma que a falha
insegura do primeiro mdulo.
Desta forma, o dispositivo comparador da sada de cada mdulo ir ser
induzido a produzir sadas incorretas, gerando condies inseguras para o SIS. Se
este no dispuser de mdulos redundantes, a falha inicialmente descrita, por si s, j
ser capaz de produzir estados inseguros no SIS.
No entanto, h uma considerao que ameniza o impacto das falhas no
detectveis e inseguras no sistema. Os circuitos integrados com alta escala de
integrao possuem altas taxas de falhas, quando comparados com componentes
convencionais e mesmo circuitos integrados com pequena e mdia escala de
integrao. No entanto, apenas uma pequena parcela dessa taxa de falhas refere-se
a situaes que iro provocar estados inseguros no sistema. Isto ocorre porque a
maioria das falhas acaba por desabilitar completamente o funcionamento de um
circuito integrado, e apenas uma parcela mnima dessas falhas ir, de fato,
estabelecer condies inseguras no SIS.
A N-2595 define as falhas da seguinte forma (PETROBRAS, 2002):

Fail Safe (Falha Segura): resultado de uma falha em um componente
ou sistema, cujo estado final deve ser mais seguro ou menos perigoso.
Falha: no cumprimento do servio esperado de um dispositivo.
Falha Espria: falha cujo resultado implica ao de pelo menos um
atuador, sem que tenha ocorrido realmente um evento iniciador que o
demandasse.
Falha na Demanda: falha que se caracteriza pela no ao ou ao
incorreta de pelo menos um atuador, quando da ocorrncia de um
evento iniciador que demande essa ao.

31
Falha Oculta: falha cuja ocorrncia s percebida quando a ao de
uma malha de segurana solicitada, seja por demanda ou teste.


2.4.2. Anlise Quantitativa e Qualitativa


H duas formas principais para se efetuar uma Anlise de Segurana, que
so a anlise do tipo qualitativo e a anlise do tipo quantitativo. Antes que se
possam obter valores numricos, atravs de uma anlise quantitativa,
indispensvel realizao de uma anlise qualitativa eficiente, sem a preocupao
de se atribuir valores s ocorrncias. Uma anlise quantitativa no deve desviar o
foco dos problemas existentes, tais como falhas de projeto. Uma das principais
utilidades deste tipo de anlise se fazer uma comparao entre sistemas com
funes similares.
A Anlise Qualitativa procura identificar mecanismos que programem os
requisitos especificados, de forma que se mantenha o nvel de segurana de um
Sistema Crtico durante sua operao (SEAMAN, 1999).
De acordo com Gruhn (2006) atualmente tem sido dada preferncia para a
tcnica HAZOP (Hazard Operability), sem dvida a melhor para identificar riscos,
porm demorada, cansativa e exige um grande volume de recursos. Se o processo
que estiver sendo analisado for bem conhecido, talvez seja melhor usar a tcnica de
listas de verificaes (check list). Se, por outro lado o processo envolver uma
grande quantidade de equipamento mecnico interdependente pode ser melhor usar
a tcnica da Anlise de Modos de Falhas e seus Efeitos (FMEA). Existe ainda a
tcnica que preconizada pela API (American Petroleo Institute) chamada
Avaliao de Funo de Segurana (SAFE Safety Function Evaluation), na qual
se preenche um mapa Safe. uma tcnica semelhante FMEA, j que aqui
tambm se usa o modo de falha de cada equipamento.
A Anlise de Risco deve tambm especificar a taxa aceitvel de falha segura.
A taxa de falha segura normalmente chamada de trip falso, parada inconveniente
ou taxa de trips espreos. A taxa de falha segura ou esprea includa na anlise
do sistema de segurana de um sistema, j que a partida e a parada de um
processo so ocasies com alta probabilidade de ocorrncia de um evento perigoso.

32
por isso que, em muitos casos, a diminuio de paradas espreas aumenta
a segurana do processo. A taxa aceitvel de falha segura comumente expressa
como o tempo mdio para uma falha segura ou esprea (MTTF
sp
). As falhas seguras
so tambm muito indesejveis por reduzirem a produo, causar refugos e outros
problemas que variam em funo de cada processo considerado (FINKEL et al.,
2006).


2.4.3. Probabilidade de Falha sobre Demanda (PFD)


Se o risco inerente ao processo for considervel aceitvel, no existe
necessidade de reduzi-lo, mas se ele for considerado maior do que aceitvel
preciso reduzi-lo. Uma primeira atitude procurar alterar o processo, ou seu
controle, se isso no resolver, deve-se usar dispositivos de segurana autnomos,
como vlvula de alvio de presso, discos de rupturas e etc.
Se tudo isso no resolver, ento deve-se projetar o SIS para reduzir o risco a
um nvel aceitvel. Este estudo de risco e reduo do fator de risco (RRF Risk
Reduction Factor) antecede especificao do SIS e deve ser feito para cada
funo de segurana (SIF - Safety Instrumented Function) (GRUHN;CHEDDIE,
2006).
PFD a probabilidade de uma malha de segurana falhar em resposta a uma
demanda (N-2595, PETROBRAS, 2002).

Segundo Finkel et al. (2006, p. 579), O conceito de disponibilidade
bastante difundido. Assim, se um equipamento tem uma disponibilidade de
99%, significa que ele pode operar durante 99% do tempo disponvel
durante sua vida til, e estar inoperante durante o 1% restante.

Partindo da idia de que poder ocorrer um acidente quando houver uma
demanda do SIS e ele estiver indisponvel. Ento, o risco de ocorrer um acidente fica
dependendo da PFD e da frequncia da demanda.




33
Ento, pode-se dizer que:

, D PFD =1 (1)
onde D a disponibilidade.

,
PFD
RRF
1
= (2)
onde RRF o fator de reduo de risco.

De acordo com Gruhn e Cheddie (2006) SISs devem ser projetados para
falhar em uma direo segura em caso de falha de um componente individual, perda
de sinal, e perda da alimentao de energia (eltrica ou ar de instrumentao).
Exceto para aquelas poucas aplicaes necessitando de uma configurao de
energizado para parar, exemplo: vlvula de controle ar para fechar. SISs devem ser
projetados para paralisar o processo em caso de falta de energia. Se a aplicao
demanda circuitos que so energizados para parar, necessrio um diagnstico
especial e um sistema de suprimento de energia back-up.
A Tabela 2 mostra como so distribudos os nveis do SIL.

TABELA 2 - SIL EM FUNO DE DISPONIBILIDADE E PROBABILIDADE DE FALHA SOB
DEMANDA
Nvel de
integridade (SIL)
Disponibilidade
(segura) desejada
PFD RRF
4
3
2
1
99,99 %
99,90 a 99,99 %
99,00 a 99,90 %
90,00 a 99,00 %
0,01%
0,01 a 0,1 %
0,1 a 1 %
1 a 10 %
>10.000
1.000 a 10.000
100 a 1.000
10 a 100
FONTE: FINKEL et al. (2006) IEC 61508.

A taxa de falha normalmente representada pela letra grega minscula
lambda (). comum a utilizao de unidades de "falhas por milho
de horas" ou "falhas por ano" (GLOBE;CHEDDIE, 2005).


34
Segundo Piazza (2000) a taxa de falhas a frequncia com que as falhas
ocorrem num certo intervalo de tempo. medida pelo nmero de falhas para cada
hora de operao ou nmero de operaes do sistema.

.
ano por horas
ano por falhas de Nmero
= (3)

Goble (1998) demostra que uma taxa constante de falha est relacionada
com MTTF (tempo mdio de falha) de acordo com a equao abaixo.

.
MTTF
1
= (4)

Mean Time to Repare (MTTR) um termo criado para incluir claramente tanto
tempo de deteco de diagnstico e tempo real de reparo. Na verdade MTTR uma
estimativa de tempo para, reconhecer e identificar a falha; tempo para obter peas
sobressalentes; tempo para adquirir pessoas para a equipe; tempo real para fazer o
reparo; tempo para documentar todas as atividades, e tempo para obter os
equipamentos em funcionamento.
O tempo mdio entre falhas (MTBF) definido como a mdia de tempo
de uma falha mais o tempo mdio de reparao. Inclui o tempo de falha, o tempo
necessrio para detectar a falha, e tempo real de reparao.

. MTTR MTTF MTBF + = (5)

.
Total Tempo
Disponvel Tempo
idade Disponibil = (6)

( )
.
el Indisponv Disponvel Tempo
Disponvel Tempo
idade Disponibil
+
= (7)

( )
,
MDT MTBF
MTBF
D
+
= (8)
onde MDT o tempo mdio indisponvel.

35

( )
,
MTTR MTBF
MTTF
S
+
= (9)
onde
s
a taxa de falha segura.

Para falhas perigosas, o tempo indisponvel deve englobar no apenas o
tempo para reparo, mas tambm o tempo de descoberta, ou seja, o tempo
decorrido antes que se torne conhecimento da existncia do problema.

,
|
|

\
|
+ |

\
|
+
=
MTTR
TI
MTBF
MTBF
d
2
(10)
onde TI o intervalo de testes e
d
igual a falha perigosa.

Estas frmulas somente so validas para sistemas simples, no redundantes
(Finkel et al., 2006).
Para sistemas redundantes pode-se seguir a Tabela 3.

TABELA 3 CLCULO DE PFD E MTTF
sp
PARA SISTEMAS REDUNDANTES
Configurao MTTF
sp
PFD
1 de 1
1 de 2
2 de 2
2 de 3
1/
s
1/(2*
s
)
1/(2*
s
2
* MTTR)
1/(6*
s
2
* MTTR)

d
* (TI/2)
((
d
)
2
* (TI)
2
) / 3

d
* TI
(
d
)
2
* (TI)
2

FONTE: FINKEL et al. (2006) IEC 61508.


2.4.4. Anlise de Sistemas


2.4.4.1. Anlise de um Sistema a Rele


Assumindo que um rele industrial tenha um MTBF de 100 anos. Assumir-se-
que se tenha um rele para cada entrada e sada no sistema. Ir se trabalhar com 8

36
entradas e 2 sadas, logo, ir se adicionar a taxa de falha segura de 10 reles.
Assumindo um rele com 98% de taxa de falha segura.

( ). ,
,
anos 10 anos 2 10
10 98 0
100
1
1 1
=
|

\
|
= =
S
sp
MTTF

Quando h uma demanda de desligamento do sistema, ela vem em uma
entrada apenas, as oito entradas no so acionadas ao mesmo tempo. Logo, dever-
se- incluir apenas uma entrada e as duas sadas no modelo especfico. Isso
equivale a apenas trs reles. Como os reles no tm diagnsticos, todas as falhas
inseguras so inseguras e no detectveis (GRUHN;CHEDDIE, 2006). A
probabilidade de falha sobre demanda, o fator de reduo de risco e a
disponibilidade so calculados como mostrado abaixo:


|

\
|
=
2
TI
PFD
d

|

\
|
|

\
|
=
2
ano 1
3 02 0
100
1
, PFD
4
3

= e PFD
3300
1
= =
PFD
RRF
PFD D =1
( )
4
3 1

= e D
%. , , 97 99 9997 0 = = D


2.4.4.2. Anlise de um Sistema com Controlador Lgico Programvel no
redundante


Substituindo o sistema rele por outro que utiliza um CLP de propsito geral,
considerando:

37
MTBF da CPU = 10 anos.
MTBF do mdulo de I/O = 50 anos.
Taxa de falha segura da CPU = 60%.
Taxa de falha segura do mdulo de I/O = 75%.

anos, 11
2 75 0
50
1
6 0
10
1
1 1
=
|
|

\
|
|

\
|
+
|
|

\
|
|

\
|
= =
, ,
S
sp
MTTF

2: representa 2 mdulos de I/O.

Assumindo um diagnstico de cobertura de 90% da CPU e 50% para o
mdulo de I/O. Assumindo-se que o PLC realmente testado manualmente
anualmente.


|

\
|
=
2
TI
PFD
d

|

\
|

|
|

\
|
|

\
|
+
|
|

\
|
|

\
|
=
2
ano 1
5 0 25 0 2
50
1
1 0 4 0
10
1
, , , , PFD
3
5 4

= e PFD ,
220
1
= =
PFD
RRF
PFD D =1
( )
3
5 4 1

= e D ,
%. , , 55 99 9955 0 = = D

Neste caso, verifica-se um desempenho de um sistema com CLP mais baixo
do que um a rele. Assumindo que o CLP realmente testado uma vez por ano (o
que um pressuposto excessivamente otimista para muitos sistemas). Um mdulo
de I/O com cobertura de diagnstico de 50%, o que tambm um pressuposto
otimista para muitos sistemas de propsito geral. Mas, se percebe que CLPs de
utilizao geral so bons para intertravamento e ainda controle (GRUHN;CHEDDIE,
2006).

38
2.4.4.3. Anlise de um Sistema de Redundncia Tripla (TMR)


Assumindo os mesmos MTBFs de um CLP sem redundncia e as mesmas
taxas de falhas, pois o hardware essencialmente o mesmo, s que no CLP
redundante existe mais CPU e mais canais de comunicao. A configurao deste
TMR 2oo3.

( ) ( ) MTTR
MTTF
S
sp

=
2
6
1

|
|

\
|

|
|

\
|
|

\
|
+
|
|

\
|
|

\
|

=
horas/ano 8760
horas 4
2 75 0
50
1
6 0
10
1
6
1
2
, ,
sp
MTTF
. . anos 000 45 =
sp
MTTF

Adotando um diagnstico de cobertura de 99% para a CPU e para o mdulo
de I/O, algo que poder no acontecer em alguns sistemas. Assumindo que o CLP
realmente testado manualmente anualmente.

( ) ( )
2 2
TI PFD
d
=
2
2
2
ano 1
01 0 25 0 2
50
1
01 0 4 0
10
1
|

\
|

|
|

\
|
|

\
|
+
|
|

\
|
|

\
|
= , , , , PFD
8
25 6

= e PFD ,
000 000 16
25 6
1
8
. .
,
= =

e
RRF
%. , , ) , ( 9999375 99 999999375 0 25 6 1
8
= = =

e D

Os clculos indicam que o sistema TMR tem um tempo mdio entre trips de
45.000 anos, e um fator de reduo de risco superior a dez milhes, isto daria mais
do que SIL 4. importante advertir que estes no so certificados para uso em SIL
4. A norma IEC 61508 cautelosa para nvel de integridade maior que SIL 4
(GRUHN;CHEDDIE, 2006).


39
2.4.5. Causa Comum


Uma falha pode acarretar uma falha geral do sistema redundante. Exemplos
ambientais tpicos so calor, vibrao, excesso de tenso, etc. Um mtodo de
quantificar causa comum referido como o fator . Este fator representa a
percentagem de falhas identificadas em uma parte do sistema que pode impactar em
canais mltiplos, e o sistema poder falhar de uma s vez. Por exemplo, se um
sistema redundante tem um fator = 1%, isso significa que, todas as falhas
identificadas, das quais 1% poderia ocorrer em vrios canais ao mesmo tempo e
fazer todo o sistema falhar. 1% suficiente para preocupar-se? E cerca de 10%?
(FINKEL et al., 2006).
Causa comum pode ser definida como um nico problema que afeta mltiplos
componentes. Como mostrado na Figura 3 (A, B e C), representam um sistema
triplo. No entanto, se o item D falhar, todo o sistema falha. Este fator representa o
percentual de falhas identificadas em uma fatia do sistema que ir afetar todo o
sistema. O fator foi derivado a partir de estudos empricos. Smith (1997) sugere
um intervalo tpico para = 20% quando se utiliza componentes idnticos
redundantes (como feito com a maioria dos sistemas).

A
B
C
D
Canal de
Votao

FIGURA 3 CAUSA COMUM.
FONTE: GRUHN e CHEDDIE (2006).


40
Segundo Zio (2007), a confiabilidade de um sistema em paralelo a
probabilidade de um ou mais caminhos serem operacionais. Um sistema paralelo
um sistema em que no se considera haver falhas, a menos que todos os
componentes tenham falhado. Como se observa na Figura 3, as falhas em um
componente no influenciam na confiabilidade dos sistemas sobreviventes.
Uma configurao k-sada-de-n exige que pelo menos k mdulos de um total
de n devem estar operacionais para que o sistema esteja em funcionamento.
Normalmente, um eleitor (votador) necessrio, se o eleitor perfeito e todos os
mdulos possuem confiabilidade R, a equao para avaliar a confiabilidade desses
blocos (XIE; DAI; POH, 2004):

, ) (
)! ( !
!
i n i
n
k i
p p
i n i
n
R

=

=

1 (11)
onde R a confiabilidade do sistema, n o nmero de unidades e p a
confiabilidade de cada unidade.


2.5. TIPOS DE REDUNDNCIA


Um componente sujeito falha em qualquer modo, aberto ou fechado. A
redundncia pode ser utilizada para aumentar a confiabilidade de um sistema sem
qualquer alterao na confiabilidade dos componentes individuais que formam o
sistema (PHAM, 2003).
Segundo Piazza (2000), a confiabilidade de um sistema a probabilidade de
que, quando em operao sob condies ambientais estabelecidas, o sistema
apresentar uma performance desejada (sem falhas) para um intervalo de tempo
especificado e a redundncia a existncia de mais de um meio para se atingir um
objetivo determinado.
Finkel et al. (2006) comenta que a redundncia deve ser utilizada para
fornecer um sistema em operao constante, embora um ou mais instrumentos
possam falhar.
A N-2595 sugere que tcnicas de utilizao de diferentes tecnologias,
projetos, fabricao, software, firmware, etc., podem ser usados para se reduzir

41
influncia das falhas de causa comum. Exemplos de mtodos que podem ser
utilizados para se obter a redundncia diversa (PETROBRAS, 2002):

medio de diferentes variveis de processo, tais como presso e
temperatura, nos casos onde o relacionamento entre as variveis
bem determinado e conhecido;
uso de diferentes tecnologias de medio sobre a mesma varivel de
processo, tais como medio de vazo por vortex e coriolis;
uso de diversidade geogrfica, isto , rotas alternativas para meios de
comunicao redundantes.

Para Storey (1996), a forma mais utilizada para a preveno dos efeitos de
falhas a utilizao de mdulos redundantes. A redundncia de hardware implica
incluso de circuitos de hardware adicionais ao mnimo necessrio para o
funcionamento do sistema e a redundncia de software implica gerao de verses
distintas do software do sistema ou de partes desse software, sempre se baseando
em uma especificao comum.


2.5.1. Redundncia de Hardware


O emprego de redundncia em um Sistema Instrumentado de Segurana
consiste na utilizao de componentes auxiliares com a finalidade de realizar as
mesmas funes desempenhadas por outros elementos presentes no sistema. A
finalidade principal da utilizao de redundncia nesses sistemas a preveno de
condies ou estados inseguros.
Embora a redundncia sempre implique na adio de novos componentes,
deve-se fazer o possvel para no aumentar a complexidade do sistema, de forma a
no se ter efeito contrrio, ou seja, diminuio da confiabilidade e da segurana do
sistema. Conforme colocado em Johnson (1989), a redundncia de hardware pode
ser implementada atravs de trs formas bsicas:


42
Redundncia esttica: utiliza o mascaramento de falhas como principal
tcnica. O projeto feito de forma a no requerer aes especficas do
sistema ou de sua operao em caso da ocorrncia de falhas. Todos
os elementos executam a mesma tarefa e o resultado determinado
por votao. Exemplos so TMR (Triple Modular Redundancy) e NMR
(N Modular Redundancy);

Sada
Entrada
Digital
Entrada
Digital
Entrada
Digital
Sensores Atuadores
Sada
Sada
Unidade central de
processamento A
Unidade central de
processamento B
Unidade central de
processamento C


FIGURA 4 SISTEMA DE REDUNDNCIA MODULAR TRIPLA.

Um sistema paralelo srio consiste de m caminhos paralelos e cada caminho
possui n unidades conectadas em sries. Para calcular a confiabilidade utiliza-se a
equao12 (ZIO, 2007).

, ) (
m n
p R = 1 1 (12)
onde R a confiabilidade e p a confiabilidade de cada unidade.

Redundncia dinmica: implica na deteco de falhas, caso em que o
sistema deve tomar alguma ao para anular seus efeitos, o que
normalmente envolve uma reconfigurao do sistema. Costuma ser
usada em aplicaes que suportam permanecer em um estado errneo
durante um curto perodo de tempo, tempo esse necessrio para a
deteco do erro e recuperao para um estado livre de falhas. Um
exemplo de implementao de redundncia dinmica atravs de
mdulos estepes (hot standby).


43
CPU A CPU B
Chave
Entrada/
Sada
Instrumentos
de campo
Sinal digital/
analgico

FIGURA 5 SISTEMA HOT STANDBY.

Redundncia hbrida: consiste na combinao de tcnicas estticas
com tcnicas dinmicas. Utiliza mascaramento de falhas para prevenir
que erros se propaguem, deteco de falhas e reconfigurao para
remover, do sistema, unidades com falha.


2.5.2. Redundncia de Software


Simplesmente replicar softwares idnticos pode no ser uma estratgia muito
eficaz. Rotinas idnticas de software vo apresentar erros idnticos. Logo, no basta
copiar um programa e execut-lo em paralelo ou executar o mesmo programa duas
vezes.
Um problema que surge a falta de uma metodologia de eficincia
reconhecida para a avaliao da segurana do software para os sistemas que
precisam de segurana e que tem o software como componente crtico.
Pode-se dizer que a falta de experincia em especificaes de software e das
especificaes em relao ao ambiente de aplicao representa um grave problema,
fazendo com que o sistema atinja situaes imprevistas, como consequncia de
procedimentos operacionais incorretos, de mudanas no esperadas no ambiente
operacional, ou ainda de modos de falhas no previstas do sistema (JAFFE et al.,
1991).

44
Um caminho para se definir e avaliar melhor o conceito de segurana do
software atravs da definio de um conjunto de fatores que consigam representar
adequadamente o conceito de segurana (KITCHENHAM; PELEEGER, 1996).
Em funo da dificuldade da comprovao da no existncia de falhas na
implementao de um software, em relao sua especificao, so utilizadas
tcnicas de redundncia de software, cujo objetivo tornar o software mais robusto
em relao segurana, ou seja, tolerante a falhas porventura ainda existentes
(JOHNSON, 1989).
Segundo Burns e Wellings (1997) surge outras formas de redundncia em
software:

Diversidade: tambm chamada programao diversitria, uma
tcnica de redundncia usada para obter tolerncia falhas em
software. A partir de um problema a ser solucionado so
implementadas diversas solues alternativas, sendo a resposta do
sistema determinada por votao (CHEN; AVIZIENIS, 1978).
Blocos de recuperao: nessa tcnica programas secundrios s sero
necessrios na deteco de um erro no programa primrio. Essa
estratgia envolve um teste de aceitao. Programas so executados e
testados um a um at que o primeiro passe no teste de aceitao. A
estratgia de blocos de recuperao tolera n-1 falhas, no caso de
falhas independentes nas n verses. Como mostrado na Figura 6:

Verso
Secundria
n - 1
Verso
Secundria
n
Verso
Primria
Resultado
Chave
n para 1
Teste de
Aceitao
Programas so executados e testados um a um
at o primeiro passar no teste de aceitao
Verses secundrias s so necessrias
se for detectado erro no primrio

FIGURA 6 BLOCOS DE RECUPERAO.

45
2.5.3. O Impacto da Redundncia


De acordo com Gruhn e Cheddie (2006, p. 139), Duplo nem sempre
melhor do que simples, e triplo nem sempre melhor do que duplo.
Conforme mostrado na Figura 7,


FIGURA 7 O IMPACTO DA REDUNDNCIA.
FONTE: GRHUN e CHEDDIE (2006).


Analisando um sistema sem redundncia, 1oo1, conforme indicado na Figura
7, um exemplo de falha segura quando o rele de contato abre e desenergiza o
sistema causando um trip. Assumindo uma probabilidade de falha segura de 4%
pelo perodo de um ano, significa que o sistema tem um MTTF (seguro) de 25 anos.
Um exemplo de falha perigosa quando o rele de contato no abre quando
necessrio no desenergizando o sistema. Assumindo uma probabilidade de falha
perigosa de 2% pelo perodo de um ano, significa que o sistema tem um MTTF
(perigoso) de 50 anos.
Um sistema 1oo2 tem suas sadas em srie, isto quer dizer que o sistema
precisa que pelo menos uma sada atue para que o sistema faa o shutdown, desta
forma, a probabilidade de falha segura dobra para 8%, diminuindo o MTTF (seguro)
para 12,5 anos. Mas, para ocorrer uma falha perigosa, ele precisa que 2 eventos

46
ocorram simultaneamente, ento, a probabilidade de ocorrer uma falha perigosa
(0,02 * 0,02) = 0,0004 o que faz com que o MTTF (perigoso) fique igual a 2.500
anos. Em outras palavras, um sistema 1oo2 realmente muito seguro, mas aumenta
a probabilidade de trip do processo.
Em sistemas 2oo2, os canais so ligados em paralelo, quando precisa-se
desenergizar o sistema e um contato estiver colado, no ir ocorrer o shutdown
caracterizando uma falha perigosa, como este sistema tem duas vezes mais
hardware que um sistema simples, ele tem o dobro de probabilidade de ocorrer uma
falha perigosa 4% que resulta em um MTTF (perigoso) de 25 anos. Para este
sistema sofrer um trip necessrio que ocorra uma falha segura nos dois canais. A
probabilidade de ocorrer dois eventos ao mesmo tempo calculada pela
probabilidade de um nico evento ao quadrado, logo, (0,04 * 0,04) = 0,0016 que
corresponde a um MTTF (seguro) de 625 anos. Esta configurao reduz as paradas
desnecessrias, mas aumenta o risco das falhas perigosas.
O Sistema 2oo3 um sistema de votao por maioria, o que dois ou mais
canais decidir o ir acontecer com o sistema. Um sistema 1oo2 precisa ter duas
falhas simultneas para ocorrer uma falha perigosa, o 2oo3 tambm, como este
sistema triplo ento ele tem trs vezes mais dupla combinaes de falha (A + B, A
+ C, C + B), logo, a probabilidade de falha perigosa dele de 3 * 0,0004 = 0,0012
fornecendo um MTTF (perigoso) de 833 anos. Agora, em sistema 2oo2 para
acontecer um trip ele necessita que aconteam falhas seguras nos dois canais,
novamente o sistema 2oo3 triplicou a dupla falha segura do sistema 2oo2 gerando
uma probabilidade de 3 * 0,0016 = 0,0048 apresentando um MTTF (seguro) de 208
anos (GRUHN; CHEDDIE, 2006).


2.6. SISTEMAS EMBARCADOS


Sistemas embarcados so geralmente projetados para aplicaes
especficas, so o oposto dos sistemas construdos para aplicaes genricas. Os
computadores pessoais so exemplos de sistemas de uso geral, projetados para
atender vrias aplicaes distintas. So sistemas sujeitos a uma atualizao
contnua do software a ser executado, o que no ocorre nos sistemas embarcados,

47
uma vez programada uma aplicao especfica, esta no sofrer modificaes ao
longo da sua vida. Por exemplo, no se espera o melhoramento do software de um
forno microondas aps a sua venda. Contudo, com a evoluo da complexidade dos
sistemas embarcados, observa-se, cada vez mais, a necessidade de atualizaes
frequentes dos aplicativos a serem executados nos mesmos. Como o caso dos
telefones celulares, que incorporam gradualmente diversas modificaes no software
executado.
A demanda por equipamentos inteligentes e solues dedicadas, capazes de
apresentar resultados eficientes para problemas, transforma a utilizao de
microprocessadores e sistemas embarcados em uma parcela importante do
mercado de computao. Desta maneira, a demanda por sistemas operacionais
embarcados que tenham a capacidade de comandar novos dispositivos e
equipamentos crescente e irreversvel (ORTIZ, 2001).
Um sistema embarcado uma juno do hardware e do software de um
computador, projetados para executar uma tarefa especfica (BARR, 1999).


2.6.1. Sistema de Tempo Real


importante diferenciar Sistema de Tempo Real e Sistema Operacional de
Tempo Real. Sistema de Tempo Real um conjunto de todos os elementos
especificados para essa finalidade, como hardware, sistema operacional e
aplicativos. O Sistema Operacional de Tempo Real um elemento do sistema
completo de tempo real (OLIVEIRA, 2001).
Um sistema classificado como de tempo real quando a execuo de toda e
qualquer tarefa devem se dar dentro de uma faixa de tempo estipulada a priori. Isto
importante para que o sistema possa realizar tarefas peridicas ou reagir a
estmulos do meio sempre dentro de um tempo previsvel. No caso da automao
industrial esse tempo depende das constantes de tempo do processo a serem
controladas (OLIVEIRA, 2001).
Aplicaes com tempo real com restries de tempo real so menos
interessadas em uma distribuio uniforme dos recursos e mais interessadas em
atender requisitos, tais como, perodos de ativao e deadlines. Essas aplicaes

48
so usualmente organizadas na forma de vrias threads ou tarefas concorrentes,
logo um requisito bsico para os sistemas operacionais de tempo real oferecer
suporte para tarefas e threads (OLIVEIRA, 2001).
As tarefas so abstraes que incluem: um espao de endereamento prprio
(possivelmente compartilhado), um conjunto de arquivos abertos, um conjunto de
direitos de acesso, um contexto de execuo formado pelos registradores do
processador.
As Threads so tarefas leves, nicos atributos so aqueles associados com o
contexto de execuo. Portanto, o chaveamento entre duas threads de uma mesma
tarefa muito mais rpido.
Uma aplicao tempo real tipicamente um programa concorrente formado
por tarefas e/ou threads que se comunicam e seguem um certo sincronismo.
Existem duas grandes classes de solues para programao concorrente: Troca de
Mensagens e Variveis Compartilhadas.
Os Sistemas de tempo real lidam com perifricos especiais, ou seja,
diferentes tipos de sensores e atuadores, usados na automao industrial e controle
de equipamentos em laboratrio. O projetista da aplicao deve ser capaz de
desenvolver os seus prprios drivers de dispositivos e incorpor-los ao sistema
operacional (OLIVEIRA, 2001).


2.6.2. Windows CE


Windows CE (Compact Edition) uma verso da popular linha de sistemas
operacionais da Windows para dispositivos portteis. suportado no Intel x86 e
compatveis como, MIPS, ARM, e processadores Super Hitachi.
Algumas caractersticas do Windows CE (MICROSOFT, 2009):

Compacto;
Alta velocidade em relao a outros Sistemas Operacionais;
Interface grfica;
Baixo custo da licena;

49
Ocupa pouco espao de memria;
Portvel de forma a rodar em diversos processadores e tipos de
hardware;
Modular (permitir uma adaptao rpida e fcil a um sistema
particular);
Compatibilidade com a API Win32;
Disponibiliza processamento em tempo real (crtico em determinados
sistemas embarcados);
Implementa uma poltica agressiva de gesto de energia.

Oferece um controle industrial em tempo real com um trajeto de migrao de
custo flexvel e baixo, controlando inclusive at o cho de fbrica.
Em primeiro lugar, baseado no mesmo Win-32 API, o que significa que os
usurios podem desenvolver aplicaes usando exatamente as mesmas
ferramentas. O Windows CE continua a tradio Microsoft de fazer o sistema
virtualmente transparente. Isto significa que usurios e desenvolvedores de
aplicaes gastam mais tempo sobre a funcionalidade do que para aprender sobre o
sistema operacional.
Em segundo lugar, o Windows CE tem uma tecnologia implementada
chamada COM, que possibilita a comunicao com outros dispositivos.
A Microsoft considera que seu sistema operacional um sistema de tempo
real hard baseada na definio estabelecida pelo OMAC (Open, Modular,
Architecture Control): um sistema de tempo real hard um sistema que falhar se
seus requisitos de tempo no forem atendidos. Estes sistemas so requeridos, sem
falhas, para satisfazer todos os requerimentos de resposta no tempo a todo o
momento sob qualquer circunstncia e que se no realizados dentro de um tempo
final de execuo tem efeitos catastrficos ao processo.
Um sistema de tempo real soft pode tolerar variaes significantes no
tempo de atendimento aos servios do sistema como as interrupes, timers e o
escalonador (MICROSOFT, 2009).
Tacke e Ricci (2002) mensuraram a latncia e o jitter utilizando esse sistema.
A latncia uma medida do atraso que o sistema operacional leva para atender uma
tarefa. O jitter mede a variao deste atraso. Esta anlise permitiu tirar algumas

50
concluses sobre que tipos de aplicao de tempo real podem ser implementadas
utilizando o Windows CE. O teste realizado por Tacke e Ricci (2002) bastante
simples, gerado um sinal que por sua vez gera uma interrupo, a rotina que trata
esta interrupo atribui a um LED do circuito o valor 1, ento gera um evento do
Windows e em seguida coloca o mesmo LED em 0. Tambm foi implementada uma
aplicao, com a prioridade mais alta do sistema, que trata o evento do Windows
que foi gerado pela rotina de tratamento da interrupo. Esta aplicao, da mesma
forma, atribui o valor 1 a um LED e, em seguida, o coloca em 0. A partir da, foram
feitas vrias medies, utilizando um osciloscpio, para calcular a latncia da rotina
de interrupo e a latncia da aplicao de teste. Foram feitas duas anlises: uma
onde a aplicao era executada sozinha; outra onde a aplicao dividia o
processador com outra tarefa de mesma prioridade.
Este estudo permite concluir que, em aplicaes onde s tarefas operam com
intervalos de tempo da ordem de mili segundos ou at um pouco menores, o
Windows CE apresenta um excelente tempo de resposta. Porm, se a aplicao
apresentar tempos da ordem de micro segundos, um estudo mais detalhado dever
ser realizado sobre a arquitetura de hardware que ser utilizada.
O Windows CE prov algumas tecnologias que so fundamentais para o
desenvolvimento de aplicaes de tempo real. Algumas delas so as seguintes
(MICROSOFT, 2009):

256 nveis de prioridades para as threads: a partir desta flexibilidade
disponibilizada pelo sistema que so implementadas as polticas de
escalonamento.
Interrupes aninhadas: permite que interrupes de prioridade mais
alta sejam atendidas imediatamente ao invs de esperar que uma
rotina de interrupo de prioridade mais baixa termine.
Per-thread quantums: permite que uma aplicao defina o quantum
das threads. Inverso de prioridade. uma situao onde o uso de um
mutex, uma seo crtica, ou um semforo por uma thread de menor
prioridade impede a execuo de uma thread de mais alta prioridade
quando estas esto utilizando os mesmos recursos. Para corrigir este
tipo de situao e garantir o funcionamento correto do sistema, o
Windows CE permite que a thread de prioridade mais baixa, herde a

51
prioridade da thread de maior prioridade e utiliza-se a CPU com esta
prioridade mais alta at que se termine de utilizar o recurso.
MMU (Memory Management Unit): um bloco de hardware que
transforma endereos virtuais em endereos fsicos. Na MMU, o valor
no registro de realocao adicionado a todo endereo lgico gerado
por um processo na altura de ser enviado para a memria. O programa
manipula endereos lgicos; ele nunca v endereos fsicos reais. A
plataforma onde ser colocada a imagem gerada pelo Plataform
Builder necessita da implementao antecipada ou j existente de
MMU.


2.7. SISTEMA DE CONTROLE


Os processos industriais exigem controle na fabricao de seus produtos. Os
processos so muito variados e abrangem muitos tipos de produtos, como por
exemplo: a fabricao dos derivados do petrleo, produtos alimentcios, indstria
de papel e celulose, etc.
Em todos estes processos absolutamente necessrio controlar e manter
constantes algumas variveis, tais como presso, vazo, temperatura, nvel, PH,
condutividade, velocidade, umidade, etc. Os instrumentos de medio e controle
permitem manter constantes as variveis do processo com os seguintes objetivos:
melhoria na qualidade do produto, aumento em quantidade do produto, segurana e
melhoria do meio ambiente.
Um sistema de controle consiste em subsistemas e processos (ou plantas)
reunidos com o propsito de controlar as sadas do processo. Eles podem ser em
malha aberta ou malha fechada. Na sua forma mais simples, um sistema de controle
fornece uma sada ou resposta para uma dada entrada ou estmulo, conforme
mostrado na Figura 8.



52


FIGURA 8 SISTEMA DE CONTROLE.
FONTE: NISE (2002).


Sistemas, que realizam medio e correo, so chamados de sistemas a
malha fechada e sistemas que no tm essas propriedades so chamados de
sistemas a malha aberta.


2.7.1. Malha Aberta


Um Sistema em malha aberta pode ser visualizado na Figura 9. Consiste em
um subsistema chamado de transdutor de entrada, que converte a forma de entrada
na usada pelo controlador. O controlador age sobre um processo ou planta. A
entrada s vezes chamada de referncia ou set-point (SP), da mesma forma que a
sada pode ser chamada de varivel controlada ou manipulada (MV).
A caracterstica que distingue um sistema a malha aberta que este no
pode compensar a ao de uma perturbao que sejam adicionadas ao sinal
atuante do controlador.
Os sistemas a malha aberta, portanto, no corrigem os efeitos de
perturbaes e so comandados unicamente com base na entrada (NISE, 2002).

Transdutor
de entrada
Entrada ou
referncia
Controlador
Perturbao
+
+
Processo
ou planta
Juno
de adio
Sada ou
varivel
controlada


FIGURA 9 SISTEMA A MALHA ABERTA.
FONTE: NISE (2002).



53
2.7.2. Malha Fechada


Uma das desvantagens dos sistemas a malha aberta a incapacidade de
corrigir os efeitos das perturbaes, que podem ser superadas nos sistemas a malha
fechada. A arquitetura mostrada na Figura 10.
O transdutor de entrada converte a forma da entrada na forma usada pelo
controlador (set-point SP), um transdutor de sada, ou sensor, mede a resposta da
sada e a converte na forma usada pelo controlador (varivel do processo PV). A
primeira juno de adio adiciona algebricamente o sinal de entrada ao sinal da
sada, que chega pelo canal de realimentao, encontrando assim o sinal de erro.
O sistema a malha fechada compensa perturbaes medindo a resposta de
sada, retornando esta medio atravs de um sinal de realimentao e comparando
essa resposta com a entrada da juno de adio. Se existir alguma diferena (sinal
de erro), o controlador age sobre a planta, por meio de um sinal atuante (sinal de
controle CO), para fazer a correo. Se no existir nenhuma diferena o controlador
no ir atuar sobre a planta, uma vez que esta a resposta desejada.
Os sistemas a malha fechada apresentam vantagens bvias de uma maior
preciso que os sistemas a malha aberta. Eles so menos sensveis a rudos, a
perturbaes e a mudanas nas condies ambientais. A resposta transitria e o
erro de estado estacionrio podem ser controlados de modo mais conveniente e com
maior flexibilidade nos sistemas a malha fechada (NISE, 2002).

Transdutor
de entrada
Entrada ou
referncia
Controlador
Perturbao
+
+
Processo
ou planta
Juno
de adio
Sada ou
varivel
controlada
Erro ou
sinal
atuante
-
+


FIGURA 10 SISTEMA A MALHA FECHADA.
FONTE: NISE (2002).




54
2.7.3. Controlador PID


A combinao das aes Proporcional, Integral e Derivativa d origem ao que
denomina-se de controlador PID. O objetivo aproveitar as caractersticas
particulares de cada uma destas aes a fim de se obter uma melhora significativa
do comportamento transitrio e em regime permanente do sistema controlado. O
sinal de controle gerado pelo controlador PID assim genericamente dado em Nise
(2002) como:

,

+ + = e(t)
dt
d
Td e(t)dt
Ti
1
Kpe(t) u(t) (13)

onde
u(t) Sinal de controle na sada do controlador (CO), no domnio do tempo;
e(t) Sinal de erro na entrada do controlador (erro), no domnio do tempo;
Kp Ganho Proporcional;
Ti Tempo Integral;
Td Tempo Derivativo.

A funo de transferncia do controlador PID em Nise (2002) dada por:

, KdSE(S) E(S)
S
Ki
KpE(S) U(S) + + = (14)
onde
U(S) Sinal de controle na sada do controlador (CO), no domnio da frequncia;
E(S) Sinal de erro na entrada do controlador (erro), no domnio da frequncia;
Kp Ganho proporcional;
Ki Ganho integral;
Kd Ganho derivativo.

A escolha das variveis de controle (Kp, Ki, Kd) depende do desempenho
final do sistema. A escolha destes parmetros chamada de sintonia do controlador.
Existem alguns mtodos de sintonia que dependem do conhecimento do processo e

55
outros mtodos que so matemticos que levam em considerao a resposta do
sistema a um sinal degrau, por exemplo, os mtodos de sintonia de Ziegler e Nichols
(NISE, 2002).


2.7.4. Controle em Tempo Real


Segundo Loures (1999), controle em tempo real a habilidade de
necessariamente e sem falhas responder a um evento dentro de um perodo de
tempo garantido. Por exemplo, na execuo da malha de controle ilustrada na
Figura 11, deve-se garantir que a sada da controlados responda ao valor de entrada
medido dentro de um intervalo de tempo especfico, conhecido como tempo de ciclo
de malha de controle.
Se este tempo constante, ento o sistema de controle estvel e com
comportamento determinstico; se varia no existe garantia quanto estabilidade do
sistema. Portanto, fica implcito no nome sistema em tempo real a necessidade de
controle de tempo fornecido para que sejam lidos os sensores e atualizadas as
sadas do sistema.

Planta
A S
DAC
ADC
Sensores
Atuadores

FIGURA 11 SISTEMA DE CONTROLE CLSSICO.




56
CAPTULO 3


3. MATERIAIS E MTODOS


SISTEMA TOLERANTE A FALHAS UTILIZANDO WINDOWS CE, FOCANDO
CONTROLADORES INDUSTRIAIS.


3.1. INTRODUO


No dia a dia da indstria de processo se faz mais que necessria utilizao
de sistemas tolerantes a falhas, devido ao perigo e a complexidade que alguns
processos apresentam. Logo, tem-se como objetivo, neste captulo, apresentar uma
proposta de um sistema tolerante a falhas baseado em um sistema operacional de
tempo real, Windows CE.
Descreve-se ento, a proposta do sistema de redundncia tripla para a
utilizao em sistemas de segurana, shutdown, demonstrando os passos
necessrios para desenvolver um sistema com um baixo custo de hardware, uma
vez que este sistema ser baseado na arquitetura de um computador padro, e
ainda ser demonstrada uma metodologia de escolha de SIS.
Aps o desenvolvimento do mesmo ir ser calculada a PFD deste sistema,
seguindo a IEC 61508, para que este seja validado nos mesmos moldes que os
equipamentos industriais existentes hoje no mercado. Este, tambm ser aplicado
em um controle de processo, para isso, utilizar-se- uma planta didtica que ilustra
um processo industrial, uma planta de nvel.







57
3.2. ESCOLHA DA TECNOLOGIA E DA ARQUITETURA


Em projetos de sistemas de intertravamento de segurana deve-se
inicialmente fazer a anlise de risco da malha de controle, de modo a identificar o
nvel de integridade de segurana que aquela malha necessita. Tudo comea com a
anlise da malha e a definio do SIL. Feito este levantamento surgem algumas
dvidas em relao a qual equipamento deve-se utilizar.
Rapidamente poderia ser pensado em utilizar um sistema com entradas
analgicas triplicadas, painel de lgica com redundncia, no mnimo tripla, vlvulas
inteligentes de duplo bloqueio e ainda sistema de desligamento testado
mensalmente. Mas, executar esta idia um tanto quanto difcil de ser
implementada alm de se ter um custo relativamente elevado. Ou ainda, fazer como
os franceses fizeram h 200 anos, eles criaram uma lei que obrigava os fabricantes
de dinamite morar com a sua famlia dentro da empresa, mas isto tambm no
possvel.
Desta forma, devem-se fazer algumas consideraes em relao escolha
dos equipamentos e da tecnologia a ser utilizada:

Nmero de paradas indesejadas;
Desempenho de segurana;
Tamanho fsico do equipamento e da instalao;
Necessidade de testes;
Custo do equipamento;
Tecnologia do sistema:
o Pneumtico;
o Reles;
o Estado slido;
o Microprocessado.
Tipo do sistema redundante:
o Simples;
o Duplo, 1oo2 ou 2oo2;
o Triplo, 2oo3;
o Com canal de diagnstico.

58
Cada tecnologia tem vantagens e desvantagens. No existe um sistema que
seja o melhor. No tanto uma questo de quem melhor, mas sim o que mais
adequado, com base em fatores como o oramento, tamanho, nvel de risco, a
complexidade, flexibilidade, manuteno, interface de comunicao, requisitos de
segurana, etc.


3.2.1. SIS Pneumticos


Sistemas pneumticos ainda esto em uso e ainda so perfeitamente
adequados para determinadas aplicaes. Uma aplicao muito comum para
sistemas pneumticos a indstria offshore, onde os sistemas devem funcionar sem
eletricidade. Sistemas pneumticos so relativamente simples (assumindo que eles
so pequenos). Eles, normalmente, so utilizados em pequenas aplicaes
onde h um desejo de simplicidade e a necessidade de segurana intrnseca.


FY
FT
-----
3 ~ 15 psi
Do controlador
Rel pneumtico

FIGURA 12 SISTEMA DE PARADA PNEUMTICO.

Quando a sada do transmissor (FT) atingir um valor de parada, o rele
pneumtico alivia o ar do atuador, fazendo com que a vlvula siga para uma
condio de segurana, fechando-a.




59
Vantagens:
No precisa de eletricidade;
Falha segura;
Sistema confivel;
Desvantagens:
Precisa de ar limpo e seco;
Necessita ser testado frequentemente (mensalmente).


3.2.2. SIS a Rele


Reles especiais, chamados de Rele de Segurana, so construdos com
mltiplas bobinas, proteo contra contato selado. Estes componentes normalmente
trabalham energizados, ou seja, precisam ser desenergizados para desligar. So
adotados quando a lgica de intertravamento simples. Tambm possvel
implementar o tipo energizado para desligar (trip) nas aplicaes onde
fundamental evitar paradas indesejveis.

Vantagens:
Falha segura;
Baixo custo inicial;
Distribudo na planta;
Imune a interferncia;
Vrias tenses de alimentao;
Velocidade de atuao rpida.
Desvantagens:
Trips esprios;
Sem diagnsticos;
Sem comunicao serial;
Complexos para sistemas grandes;
Reprogramao trabalhosa;
Alto custo de vida.

60
A Figura 13 representa uma aplicao tpica de utilizao dos sistemas a
reles, cada rele ligado a uma chave de segurana (vazo FS, nvel LS e
presso PS), onde seus contatos so ligados em srie com uma botoeira de
shutdown de emergncia. Uma fonte de alimentao ligada neste circuito para
alimentar a vlvula solenide que permanece energizada para ficar na posio de
aberta. Se a botoeira de emergncia for pressionada ou se faltar energia, a vlvula
solenide ir para a posio de fechada. Ainda temos uma lmpada que indica
quando o sistema est energizado, se esta lmpada se apagar, possivelmente
teremos um trip da planta.
FS LS PS
Fonte
Botoeira de
shutdown
Vlvula
solenide
Botoeira
de reset
Lmpada
de pronto
Rels no
painel ou
bastidor

FIGURA 13 SISTEMA A RELE TPICO.


3.2.3. SIS de Lgica Fixa em Estado Slido


Os sistemas de lgica fixa foram concebidos para substituir os reles com
menor dimenso, menores circuitos de potncia (por exemplo, CMOS:
Complementary Metal Oxide Semiconductor), estes sistemas so muito especiais,
so relativamente caros, tem aplicao limitada, e, como resultado, j no so to
comuns.
Estes dispositivos so montados em forma de mdulos, cartes que
implementam uma determinada lgica, ou seja, so cartes com a possibilidade de
ser configurada uma lgica de acordo com a sua necessidade, esta programao
feita na parte de trs do hack onde ficam conectados os mdulos lgicos, ela feita
por fios.

61
Vantagens:
Distribudo pela planta;
Alta confiana, em alguns casos chegando at SIL 4;
Disponibilidade de comunicao serial;
Disponibilidade de diagnstico;
Sem causa comum;
Falha em modo seguro;
Intrinsicamente seguro para Zona 2;
Alta imunidade eletromagntica.
Desvantagens:
Pouco flexvel;
Documentao;
Custo;
Alguns modelos sem reposio hoje em dia.

Entrada
digital
Entrada
analgica
Entrada
digital
Entrada
analgica
Entrada
digital
OU
E Retardo Sada
Sada
Mdulos lgicos
Mdulos
de sada
Mdulos
de entrada
Sensores
Atuadores

FIGURA 14 CONCEITO DE OPERAO.




62
Conforme ilustrado na Figura 14, os sensores so ligados aos mdulos de
entradas. Estes so ligados aos mdulos lgicos atravs de uma configurao por
fio, a sada do circuito lgico ligada ao mdulo de sada e estes esto ligados aos
atuadores.


3.2.4. SIS Microprocessado (CLP)


Softwares baseados em sistemas so utilizados mais frequentemente. No h
nenhum imperativo tecnolgico, que diz que tenhamos de utilizar sistemas baseados
em microprocessador. Controladores Lgicos Programveis (CLPs) foram
originalmente criados para substituir sistemas a reles. Hoje em dia, seria
praticamente impossvel no mencionar-se sobre CLP para utilizao em sistemas
de segurana.

Vantagens:
Flexibilidade;
Testes e diagnsticos;
Temporizador watch dog timer;
Comunicao Serial;
Controle de acesso;
Reprogramvel via software;
Interface grfica de programao;
Documentao.
Desvantagens:
Dependncia de software;
Falhas com causa comum;
Comunicao com outros dispositivos;
Custo.

Com o passar do tempo foi verificado as limitaes que os CLPs de propsito
geral apresentavam em sistemas de segurana crticos, logo, algumas empresas

63
chegaram concluso que precisavam desenvolver sistemas mais sofisticados.
Ento, em meados de 1970, comearam a estudar sistemas tolerantes a falhas em
computao.
Segundo a IEC 61508 o que difere um sistema de segurana de um sistema
comum o nvel do diagnstico, implementao da redundncia e a certificao
independente.
Verifica-se na tabela abaixo, os principais modelos de alguns fabricantes de
CLP de segurana certificados IEC 61508, aonde possvel constatar a
classificao SIL dos CLPs e a sua estrutura interna.

TABELA 4 TABELA DE CLPs DE SEGURANA CERTIFICADOS IEC 61508
Empresa Modelo Classificao Estrutura do
Sistema
Agncia
Certificadora
ABB Safeguard
400
SIL 2/
SIL 3
1oo1D Hot Standby/
1oo2D *proc. comp.
TUV Sud
Emerson Delta V SIS SIL 3 1oo2D *proc. comp. Exida
HIMA A1
A1 dig
SIL1/
SIL 2
1oo1/
1oo1D Hot Standby
TUV
Rheinland
HIMA H41
H51q
SIL 3 2oo4D/ 2x *proc comp
1oo2D *proc. comp.
TUV Sud
Honeywell FSC SIL 3 1oo2D *proc. comp. TUV Sud
Siemens S7-400FH SIL 3 1oo2D *proc. comp. TUV Sud
Siemens S7-300F SIL 2 1oo1D Hot Standby TUV Sud
Triconex Tricon V.9 SIL 3 2oo3 Redundncia
Modular Tripla (TMR)
TUV
Rheinland
Yokogawa Prosafe PLC SIL 3 1oo2D *proc. comp. TUV Sud
* Processador complementar.

Averigua-se que a maioria destes CLPs atendem a um nvel de integridade de
segurana 3 (SIL 3), denotando que eles tem uma alta confiabilidade e
consequentemente uma baixa probabilidade de falha sob demanda (PFD).
Mais informaes sobre os sistemas de outros fabricantes e download dos
certificados pode ser encontrado em TUV (2009).

64
Alguns fornecedores seguem a estrutura de mdulos redundantes com
diagnsticos. Em termos de confiabilidade estes sistemas tem o mesmo efeito de um
sistema 2oo3, atendendo SIL 3. Esta estrutura tem circuitos que verificam cada parte
do sistema, desde o de entrada at o de sada, se for detectada alguma falha em
algum destes circuitos a sada de diagnstico abre, podendo causar um trip, mas
nesta configurao temos dois canais 2oo2 com diagnstico, conforme apresentado
na Figura 15.

Circuito de
diagnstico
Circuito de
entrada
Circuito de
diagnstico
CPU
Circuito de
diagnstico
Circuito de
entrada
Circuito de
diagnstico
CPU
Circuito de
diagnstico
Circuito de
sada
Circuito de
diagnstico
Circuito de
sada
Mdulos de
entrada
Mdulos de
CPU
Mdulos de
sada
+
-
Elemento
final
Sensor

FIGURA 15 SISTEMA 2oo2 COM DIAGNSTICO.


3.3. PROPOSTA DE UM SISTEMA TOLERANTE A FALHAS


A tolerncia falhas uma das qualidades que um controlador pode
apresentar. a capacidade de detectar transitrio e o estado de equilbrio do erro
adotando medidas on-line corretivas.
O sistema proposto ser desenvolvido baseado na arquitetura do TMR, o
sistema consiste em trs sistemas de arquitetura idntica. Cada canal isolado um
do outro, nenhum ponto de falha de um canal pode passar para outro canal. Se uma
falha de hardware ocorrer, o canal defeituoso invalidado.

65
O diagrama de blocos da Figura 16 representa os canais do sistema que
sero implementados. O primeiro canal o de aquisio do sinal, o segundo o de
processamento, e o terceiro canal de o de votao, ele quem decide qual sinal
ir ser aplicado no processo.

Canal de
votao
Processamento
Canal de
aquisio
Transmissor
no campo
Elemento
final
Windows CE
Serial
Serial


FIGURA 16 DIAGRAMA DE BLOCOS DE UM CANAL DO SISTEMA PROPOSTO.

Desenvolver-se- placas aquisio e transferncia de sinal. Este circuito ir
utilizar um microcontrolador PIC que estar lendo os dados de um transmissor de 4
20mA (transmissores analgicos) por um canal A/D de 10 bits e estar transferindo
estes dados para os computadores (canais de processamento) via protocolo de
comunicao serial RS-232 full duplex. importante observar que cada placa de
aquisio est recebendo o sinal de um transmissor diferente, e cada um est
transmitindo o sinal para um computador diferente. Estes computadores processam
estes sinais e devolvem os resultados para o canal de aquisio, se utilizando do
mesmo protocolo serial, conforme apresentado na Figura 17.
Estes computadores (canais de processamento) faro o papel das CPUs,
para tanto, ser utilizando um sistema operacional de tempo real Windows CE. Aps
desenvolver-se a imagem no Plataform Builder, dever-se- configurar a imagem para
boot local, isto deve ser feito para que o sistema possa operar sem ter um gerente
de boot, pois o servidor de imagem limitaria o sistema como um todo.

66
Ser desenvolvido dois softwares especficos, o primeiro ser um algoritmo de
controle que ir calcular os parmetros do PID, este dever ser testado controlando
um processo real em uma planta didtica, o segundo ir executar uma lgica de
intertravamento, o qual ser utilizado para levantar as taxas de falhas do sistema
que sero compiladas para a realizao do clculo da confiabilidade de todo o
sistema. Estes programas sero desenvolvidos em linguagem C, no compilador
Microsoft Embedded Visual C++.

Canal de
aquisio 1
Transmissor 1
Canal de
aquisio 2
Transmissor 2
Canal de
aquisio 3
Transmissor 3
Canal de
votao
Elemento
final
A/D A/D A/D
Processamento
Comunicao
serial RS-232
Comunicao
serial RS-232
A B C


FIGURA 17 DIAGRAMA DE INTERLIGAAO.

Analisando a Figura 17, nota-se que sero utilizados transmissores
analgicos, tanto para o algoritmo de controle como para o de intertravamento. Em
um primeiro instante, isto parece errado, pois costumeiramente se utilizam sensores
como chaves para sistemas de intertravamento, mas para sistemas de segurana
shutdown, este artifcio se torna interessante, pois o sensor est sendo testado
continuamente, o que no aconteceria se fosse utilizado sensores tipo chave.
O canal de votao recebe os valores calculados pelo canal de
processamento que foi enviado para o canal de aquisio. Atravs de uma

67
comunicao serial RS-232 full duplex ele recebe de cada canal o valor final
calculado. Ele tambm identifica se algum canal no est em funcionamento. o
canal de votao quem decide qual o valor que ser aplicado no elemento final de
controle, uma das formas de deciso atravs do clculo do valor mediano, ou seja,
se dois computadores calcularem o valor da sada de controle para 50% e um
calcular para 10%, ele assume a sada como sendo o canal que tem mais votaes,
nesse caso 50%.
o canal de votao que atua no circuito D/A do posicionador de vlvula que
recebe um sinal padronizado de 4 a 20mA, isto se este sistema for aplicado para
controle, mas se for aplicado para shutdown sada um contato aberto ou
fechado.


3.3.1. Planta Didtica


A planta que ser utilizada para a validao do controlador redundante
proposto, uma planta didtica de controle de temperatura, nvel e vazo, cujo
nome dado planta 03. O processo dela produzir gua em uma temperatura
controlada. Todos os equipamentos so industriais, contm chaves de topo para
fazer intertravamento de nvel, visores de nveis nos dois tanques, termostato e
pressostato no tanque 1, transmissor de temperatura nos dois tanques, indicadores
de vazo do tipo rotmetro, transmissor de nvel, derivador de fluxo, posicionador de
vlvula eletrnico e eletro-pneumtico e transmissor indicador de vazo, de acordo
com o diagrama P&I apresentado na Figura 18.
O processo comea com o aquecimento da matria prima (gua) no tanque
3.1. Para que as termo resistncias sejam acionadas necessrio que a chave de
topo que faz o intertravamento de nvel seja atuada. Quando esta chave atua a
bomba para de mandar o lquido para o tanque 3.1 e o sistema de temperatura
acionado. Quando a temperatura chegar ao valor ajustado no termostato, o sistema
de aquecimento desligado e novamente inicia o bombeamento de gua para o
tanque 3.1, com a finalidade que a gua aquecida passe para o tanque 3.2, onde
ser feito o controle de temperatura.

68

FIGURA 18 DIAGRAMA DA PLANTA 3.

A Tabela 5 relaciona os elementos que so utilizados na planta 3
descrevendo cada equipamento de acordo com a sua funo no processo, conforme
a norma ISA 5.1. A Tabela XX pode ser utilizada para a interpretao do Figura 18 e
19.

TABELA 5 EQUIPAMENTOS E SUAS FUNES.
Equipamento Funo/descrio

Vlvula de reteno

Bomba (Bomba 1)

Vlvula de acionamento manual tipo registro de gaveta

Elemento primrio para medio de vazo / Placa de orifcio

Vlvula de acionamento automtica/ deslocamento linear
FIT

Transmissor indicador de vazo/ instrumento discreto instalado
no campo
FCV

Vlvula de controle de vazo/ instrumento discreto instalado no
campo

69
FI

Indicador de vazo/ instrumento discreto instalado no campo,
rotmetro
LIT

Transmissor indicador de nvel/ instrumento discreto instalado no
campo
TIT

Transmissor indicador de temperatura/ instrumento discreto
instalado no campo
LG

Visor de nvel/ instrumento discreto instalado no campo
PIT

Transmissor indicador de presso/ instrumento discreto instalado
no campo
LSL

Chave de nvel baixo/ instrumento discreto instalado no campo

TSH

Chave de temperatura alta/ instrumento discreto instalado no
campo
HV Vlvula manual

No momento em que a gua quente comea a entrar no tanque 3.2 o sistema
de controle comea a trabalhar, pois o termostato do reservatrio 3.1 foi ajustado
para uma temperatura acima da temperatura de controle, desta forma, precisamos
adicionar gua fria para que ocorra o resfriamento e o controle. A temperatura
medida pelo transmissor de temperatura do tanque 3.2 e o controlador define qual
a quantidade de gua que deve ser adicionada. Ento a segunda malha de controle
comea a controlar essa quantidade de mistura.
Esta seria uma das aplicaes possveis para se trabalhar com a planta 3.
Para a aplicao em questo, ter que ocorrer algumas modificaes na
instrumentao desta planta, pois, se faz necessrio trs transmissores medindo a
mesma varivel. Para isto, utilizar-se- apenas a primeira malha de controle, e ir
trabalhar com o controle de nvel. Cada transmissor ir medir o nvel em sua tomada
de presso e ir transmitir este valor em um sinal de 4 20mA para o controlador.
Devero ser colocados mais dois transmissores de nvel no tanque 3.1
conforme o P&I proposto na Figura 19, visto que, j se tem um instalado. Estes trs
transmissores iro enviar um sinal de 4 20mA para o sistema redundante proposto
que ir calcular a sada do controlador e ir realimentar um posicionador de vlvula
que est ligado a uma vlvula de controle que controla a vazo do fludo que est
indo para o tanque 3.1. Ser feito um controle de nvel pela vazo de gua que est
entrando no tanque 3.1.

70

FIGURA 19 DIAGRAMA PROPOSTO.

A priori ser testado o sistema de controle e a posteriori ser feito os testes
para o clculo da probabilidade de falha sobre a demanda (PFD), sistema de
shutdown.


3.3.2. Comparao do Sistema com CLP Industrial de Controle


Os resultados obtidos do sistema de controle redundante sero comparados
com os dados de um CLP de controle industrial, neste caso usar-se- o LC 700 da
Smar o qual j se encontra instalado na planta 3. Estes dados sero apresentados
em forma grfica no software Matlab. Sero inseridas algumas falhas sistemticas, e
os resultados obtidos sero discutidos e comparados. Para cada sistema de
controle, o redundante e o industrial, ser feita uma sintonia de controle respeitando

71
a estrutura de cada algoritmo de controle (PID), o mtodo de sintonia utilizado ser o
da tentativa sistemtica.


3.3.3. Obteno de Dados para o Clculo da PFD


Para a obteno das taxas de falhas do sistema, ser desenvolvido um
sistema que ficar simulando modos de falhas no canal de aquisio de dados. Este
mesmo sistema ficar verificando o comportamento da sada. Ele ir simular uma
falha e verificar se a sada respondeu como o esperado, seno ele analisa qual foi o
tipo de falha que ocorreu no sistema, se foi falha segura ou falha perigosa. Aps o
ciclo de testes, estes dados sero apresentados em um display LCD (Liquid Crystal
Display) 16x2 para que seja feita a coleta dos mesmos.
Este sistema de simulao ir analisar a resposta para mil ciclos de entrada,
cada ciclo ser gerado aps um segundo, ou seja, sero necessrios 16,67 minutos
para realizar uma varredura de mil ciclos.
Aps estes dados serem coletados e tabulados, ser possvel aplicar o
mtodo descrito na norma IEC 61508 para o clculo da PFD de sistemas
redundantes.


3.4. AQUISIO DA PFD


Segundo a IEC 61508, o clculo da PFD para sistemas redundantes pode ser
obtido atravs do emprego Anlise da rvore de Falhas (Fault Tree). Para a
aplicao deste mtodo necessrio conhecer as taxas de falhas de cada circuito
envolvido na arquitetura do sistema.
Na Figura 20(a) demonstrado o circuito de votao de uma arquitetura
2oo3, as sadas so ligadas em srie e paralelo. Avaliando-se a Figura 20(b), falha
segura, percebe-se que se faz necessrio que duas sadas falhem de modo seguro
para todo o sistema falhar e olhando a Figura 20(c), falha perigosa, observa-se que

72
necessrio que duas sadas fiquem curto-circuitadas (falha perigosa) para que
ocorra uma falha perigosa no sistema.

A
B
A B
C C
Circuito de Votao
(a)
C C
Circuito aberto falha segura
(b)
C C
Curto circuito falha perigosa
(c)

FIGURA 20 MODOS DE FALHA DA ARQUITETURA 2oo3.

O sistema pode falhar perigosamente se ocorrer s falhas nos canais
conforme a rvore de falhas indicada na Figura 21. Nesta Figura analisam-se os
canais A e B, mas como o sistema 2oo3 esta mesma rvore de falha valida para
os canais A e C, e para os canais B e C.

A & B
falha
A & B
PEC
A PE A PD B PE B PD
A & B
PDC
A
falha
B
falha

FIGURA 21 RVORE DE FALHA DE UMA ARQUITETURA 2oo3 PARA OS CANAIS A e B.


73
Considerando a rvore da Figura 21, conclui-se que os canais A e B iro
falhar se ocorrer uma falha perigosa encoberta de causa comum (PEC) em A e B ou
se ocorrer uma falha de perigosa no descoberta de causa comum (PDC) em A e B.
Cada canal poder falhar independentemente se ocorrer uma falha perigosa
encoberta (PE) ou uma falha perigosa descoberta (PD) falhando assim os dois
canais A e B. Logo a PFD
A&B
dada da seguinte maneira:

[ ] [ ] [ ], ) ( ) ( & ) ( ) ( ) & ( ) & (
&
RT B TI B RT A TI A TI B A RT B A PFD
PE PD PEC PD PDC PEC
B A
+ + + + =

onde TI o intervalo de testes e RT o tempo de reparo.

Considerando que os canais so iguais, ir ser considerada a mesma taxa de
falha para cada canal, reduzindo a frmula anterior em:

[ ] . ) ( ) ( ) ( ) (
2
&
RT TI TI RT PFD
PE PD PDC PEC
B A
+ + + = (15)

A Frmula 15 para obter a PFD
A&B
relacionada ao canal A e B como o
sistema proposto 2oo3 necessrio aplicar esta equao para as trs
combinaes (A e B, A e C, C e B), calculando-se ento a PFD
2oo3
do sistema da
seguinte forma:

[ ] . ) ( ) ( 3 ) ( 3 ) ( 3
2
3 2
RT TI TI RT PFD
PE PD PDC PEC
oo
+ + + = (16)


74
CAPTULO 4


4. IMPLEMENTAO E RESULTADOS


Neste captulo sero apresentadas duas aplicaes deste sistema
redundante, o primeiro ser uma aplicao em um sistema em controle de nvel em
um processo industrial e a segunda em uma configurao de CLP de shutdown,
intertravamento de segurana. Nestas aplicaes sero detalhados os aspectos de
construo de cada canal, bem como, os fluxogramas dos algoritmos que foram
implementados.
Como se trata de um sistema redundante tem-se canais triplicados, o caso
do canal de aquisio e de processamento. O canal de votao no necessrio ser
redundante, pois ele quem vai calcular a mediana dos resultados finais para a
aplicao do sinal no elemento final de controle.


4.1. CANAL DE AQUISIO


Conforme demonstrado na Figura 17, o transmissor est ligado no canal de
aquisio, este envia um sinal de 4 a 20mA para um conversor de corrente tenso
gerando uma tenso de 1 a 5 V. Esta tenso ento aplicada em um pino A/D do
microcontrolador PIC 16F876A (conforme pode ser visto no Apndice A).
O algoritmo inicia as duas comunicaes seriais que sero utilizadas ambas
para 19200bps, inicia tambm o conversor analgico digital (A/D) e uma fonte de
sada de dados (Display de LCD). Enquanto no ocorre nenhuma interrupo serial
ele fica lendo a PV (varivel do processo) e para que ocorra um amortecimento
maior deste sinal e para que uma possvel oscilao no venha a dar uma variao
na resposta do sistema de controle este algoritmo l 10 vezes o sinal do conversor
A/D e calcula a mdia deste, assumindo como sinal final o resultado da mdia,
conforme apresentado na Figura 22.


75
Incio
Configura
interrupo
serial 1
Configura
interrupo
serial 2
Inicia LCD
Configura
Conversor A/D
'Verdadeiro'
i = 0
i < 10 ?
x[i] = Le_AD
i = i + 1
Sim
PV = (x[0] + ... + x[9])/10
No

FIGURA 22 FLUXOGRAMA DO ALGORITMO DO CANAL DE AQUISIO.


76
Este algoritmo tem duas fontes de interrupo serial, a primeira para realizar
a comunicao com o sistema embarcado no computador e a segunda para que
este canal se comunique com o canal de votao. A segunda fonte de interrupo
desempenha duas funes, uma para enviar o valor do CO (sada de controle) para
o canal de votao calcular a mediana e a outra para que o canal de votao
consiga identificar se o canal de aquisio contm algum defeito.
Quando ocorrer a interrupo serial 1 o programa vai para a funo de
tratamento da interrupo da serial 1 significando que o sistema embarcado est
perguntando para o canal de aquisio qual o valor da PV atual, ento ele envia
esse valor e aguarda a transmisso do novo valor da CO, como mostrado na Figura
23.
Interrupo
serial 1
Envia PV
y = Buffer serial
Converte y
em decimal
CO = y
Imprime CO
no LCD
Fim


FIGURA 23 FLUXOGRAMA DA FUNO DE TRATAMENTO DA INTERRUPO SERIAL 1.

77
Quando ocorrer a interrupo serial 2 o programa vai para a funo de
tratamento da interrupo da serial 2 significando que o canal de votao est
perguntando para o canal de aquisio qual o valor da CO atual, ento ele envia
esse valor e volta para onde estava antes de ocorrer esta interrupo.

Interrupo
serial 2
Envia CO
Fim


FIGURA 24 - FLUXOGRAMA DA FUNO DE TRATAMENTO DA INTERRUPO SERIAL 2.

Estas so as funes que o canal de aquisio est desenvolvendo, l a
varivel do processo, transmite para o controlador, recebe a nova varivel da sada
do controlador e guarda este dado at que seja requerido pelo canal de votao.


4.2. CANAL DE VOTAO


Todo o sistema depende do correto funcionamento do canal de votao, ele
que vai fazer o sincronismo do sistema. A sua principal funo o clculo da
mediana dos valores no CO que ser transformado em um sinal de 4 a 20 mA e ser
modulado em um posicionador de vlvula, atuando diretamente no elemento final de
controle. Para tanto, usou-se um sinal PWM, onde com o valor do CO calcula-se a
porcentagem do duty-cicle. Este sinal aplicado a um conversor de tenso para
corrente ativo, para que no exista a queda de 0,6V de tenso na juno base
emissor de um transistor (este circuito pode ser visto no Apndice B).
No caso da utilizao deste sistema para shutdown ele quem executa o
algoritmo 2oo3 que decide se o elemento final deve ser fechado ou permanecer
aberto. Conforme mostrado na Figura 20 (a). Para isto, foi utilizado um

78
microcontrolador PIC 16F876A implementando uma comunicao serial e a
configurao de uma sada PWM.
De acordo com a funo que o sistema ter no processo, controle ou
shutdown, dever ser utilizado o algoritmo correspondente. Desta forma,
desenvolveram-se dois programas distintos, mas esta diferena est localizada
diretamente no sistema de votao: o primeiro faz a votao da mediana para saber
qual o valor mais votado nos trs sistemas o que ganhar ser assumido como
valor padro de sada do elemento final e o segundo o algoritmo de deciso de um
sistema de votao 2oo3.
No fluxograma de controle inicialmente o algoritmo configura o PWM,
configura o LCD e configura a comunicao serial para uma velocidade de 19200
bps. Ento feita uma varredura de cada canal. Aps a verificao do canal de
aquisio, o canal de varredura aguarda o recebimento da nova varivel via serial,
se isto no ocorrer o canal dado como defeituoso. Se o canal responder
corretamente este valor assumido como o novo valor da varivel temporria, novo
CO. Estes dados so colocados em uma varivel temporria, pois na prxima
varredura estas variveis podem assumir um outro valor.
Com as variveis atualizadas no canal de votao o algoritmo realiza o
clculo da mediana dos valores, verificando se existe dois ou mais valores iguais, se
isto ocorre assume-se o valor da sada do controlador como o valor que mais se
coincide, caso isto no ocorra, ou seja, as trs variveis sejam diferentes, o novo
valor que ajustado o PWM 0%.
Aps o clculo da varivel CO, PWM_atual, o duty cyle do PWM ajustado
para este novo valor. Atravs da converso deste valor para um sinal de corrente
atua-se no elemento final, posicionador de vlvula de controle. Nas Figuras 25 e 26
apresentam-se os dois fluxogramas, o primeiro o de controle e o segundo o de
intertravamento de shutdown.



79
Incio
Configurao
do PWM
Configura
interrupo
serial
Inicia LCD
'Verdadeiro'
Canal 1?
x1 = Buffer
serial
Sim
Defeito
No
Canal 2?
Sim
Defeito
No
Canal 3?
Sim
Defeito
No
x2 = = x3
Sim
PWM_atual = x2 PWM_atual = x1
Ajusta PWM
PWM_atual = 0
Sim
No
No
x2 = Buffer
serial
x3 = Buffer
serial
x1 = = x2 ||
x1 = = x3 ||
x2 = = x3 ||

FIGURA 25 FLUXOGRAMA DO ALGORITMO DE CONTROLE DO CANAL DE VOTAO.

80
Incio
Configurao
do PWM
Configura
interrupo
serial
Inicia LCD
'Verdadeiro'
Canal 1?
x1 = Buffer
serial
Sim
Defeito
No
Canal 2?
Sim
Defeito
No
Canal 3?
Sim
Defeito
No
No
No
PWM_atual = 0
No
PWM_atual = 100
Sim
Sim
Sim
Ajusta PWM
x2 = Buffer
serial
x3 = Buffer
serial
x2 = = 1 &
x3 = = 1
x1 = = 1 &
x2 = = 1
x1 = = 1 &
x3 = = 1


FIGURA 26 FLUXOGRAMA DO ALGORITMO DE SHUTDOWN DO CANAL DE VOTAO.

81
Este algoritmo faz uma anlise de sensores tipo chave, ou seja, 0 ou 100%
aberto ou fechado, uma combinao binria, logo, ele se difere do outro justamente
na anlise da combinao de chaves e na sada resultante que uma vlvula 100%
aberta ou totalmente fechada (depende da ao da vlvula). Mas no algoritmo de
controle precisamos encontrar o valor que se localiza dentro do range de 0 a 100%.


4.3. CANAL DE PROCESSAMENTO


Este o canal onde ir ocorrer o processamento da informao, o clculo do
CO considerando o ajuste das variveis de controle do algoritmo PID, a execuo da
lgica de intertravamento indicando se a sada deve ser aberta ou fechada
considerando os estados de entrada e etc.
Para tanto, aps ter sido instalada a plataforma do Windows CE chamada de
Plataform Builder, foi necessrio criar a imagem que iria rodar na memria RAM dos
computadores com o Windows Embarcado. Feita a imagem foi preciso configur-la
para que o BOOT do sistema operacional fosse local, pois neste projeto no teremos
um servidor de BOOT, o que no faria sentido nesta aplicao, para isso foi preciso
criar um disco de BOOT, inicialmente. Executado todos estes passos iniciou-se
ento o desenvolvimento dos sistemas utilizando o compilador Microsoft Embedded
Visual C++.


4.3.1. Criando a Imagem do Windows CE


A imagem construda tem um conjunto de caractersticas, estas definem os
elementos a serem integrados, os device drivers utilizados, as configuraes de
hardware, entre outros.
O conjunto completo de caractersticas apresentado na Tabela 6.




82
TABELA 6 CONJUNTO DE CARACTERSTICAS UTILIZADAS PARA A CONSTRUO DA
IMAGEM NO WINDOWS CE.
Board Support Packages (BSPs) CEPC:X86
Plataform Configuration Custom Configuration
Custom Device Custom Device with Shell and
Graphical User Interface (GUI)
Aplications and Services Development Active Template Library
C Libraries and Runtimes
Microsoft Foundation Classes
(MFC)
Standard SDK for Windows CE
.NET
.Net Compact Framework
Aplications - End User Cab Files Installer/Unistaller
File Viewers
Remote Desktop Connection
Core OS Services Battery Driver
Serial Port Support
Parallel Port Support
USB Host Support
Debugging Tools
Power Management
Kernel Features
Communication Services and Networking Networking Local Area Network
File Systems and Data Store File System Internal
Registry Storage
Storage Manager
Fonts

Arial
New Times Roman
Internet Client Services

Internet Explorer 6.0 for Windows
CE Components
Multimedia Technologies Audio
Shell and User Interface Shell
User Interface


Depois desta plataforma pronta deve-se fazer a compilao da mesma, esse
procedimento deve ser feito selecionando build plataform no menu build. Drivers e
aplicativos podem ser adicionados imagem depois da imagem construda, mas
uma nova compilao deve ser realizada.
importante salientar que foi construda apenas uma imagem para as duas
aplicaes, o que altera somente o software que est sendo executado no sistema
embarcado.

83
4.3.2. Criando o Disco de BOOT


Acessar um programa chamado Websetup.exe que se encontra numa pasta
da instalao do Platform builder, um exemplo do caminho que pode se encontrar
esse arquivo : C:\Arquivos de programas\Windows CE Platform
Builder\4.20\cepb\utilities.
Depois de instalado o Programa WebImage, na mesma pasta que se encontra
o executvel Websetup, encontra-se um arquivo chamado Cepcboot, este arquivo
responsvel pela criao de um disco de boot, ou seja, um disco responsvel por
iniciar a mquina onde feito o download da imagem do sistema operacional.


4.3.3. Efetuando o BOOT Local


Quando foi criada a imagem o Platform Builder gerou um arquivo com todos
os driver e aplicativos selecionados chamado de NK.bin, este arquivo copiado para
o Hard Disc onde ser efetuado o boot juntamente com todos os arquivos criados no
disco de inicializao. A partir deste momento o boot j pode ser dado localmente.
Possivelmente a resoluo inicial seja de 640x480, para corrigir isto, basta editar o
arquivo autoexec.bat e alterar a resoluo manualmente para a desejada. muito
importante que o programa Loadcepc.exe seja copiado para o Hard Disc, pois ele
quem chama o arquivo NK.bin


4.3.4. Criando um Novo Projeto


Aps a construo da imagem no Platform Builder e as configuraes de boot
local finalizadas iniciou-se o desenvolvimento do primeiro aplicativo. Para tanto,
utilizou-se o compilador Microsoft Embedded C++ 4.0. Para que fosse possvel a
utilizao deste compilador foi necessrio atualizar o servicepack para a verso 3.
Por algum motivo este compilador no cria aplicativos MFC (Microsoft Foundation

84
Classes) seno estiver atualizado o servicepack para verso 3. Este arquivo pode
ser encontrado para download em Microsoft (2009).
Aps a realizao destes passos, abre-se o compilador e cria-se um novo
projeto, na lista de projetos seleciona-se a opo WCE MFC AppWizard(exe) e na
lista de CPUs seleciona-se Win32 (WCE x86). Na criao do projeto importante
selecionar a opo Windows Sockets.


4.4. SISTEMA DE CONTROLE


Uma das aplicaes dos sistemas redundantes na indstria o controle de
processos que apresentam grandes risco as pessoas da operao, a fbrica e a
comunidade. Um exemplo desse tipo de processo o controle de caldeira, as
caldeiras da Petrobrs REPAR em Araucria geram vapor saturado a uma presso
de aproximadamente 88Kgf/cm
2
a uma temperatura prxima de 405C, logo, este
um processo que necessita de um sistema de controle tolerante a falhas devido ao
perigo que ele representa para empresa e para a comunidade que vive ao seu redor.
O sistema de controle proposto executa um algoritmo que calcula as aes de
controle de um controlador do tipo PID. Na aplicao desenvolvida ele precisa fazer
o controle de nvel de uma planta. Este programa de controle est sendo executado
na plataforma Windows CE, recebendo a PV (varivel do processo) do canal de
aquisio via serial, executando o algoritmo PID e enviando, via serial, o CO (sada
de controle) para a placa de aquisio, como descrito anteriormente.
Toda a lgica do algoritmo do clculo do PID, valor de ajuste do SP (set-point)
est programado neste sistema. ele quem faz a pergunta do valor da PV para o
canal de aquisio em um tempo pr-definido.
O fluxograma da Figura 27 ilustra como est estruturada a troca de dados
entre o sistema de controle e o canal de aquisio.

85
Sistema de
controle PID
Windowns CE
SP
Canal de
aquisio
CO
PV
A/D
Transmissor
4 a 20mA
CO
Serial Serial
Buffer serial


FIGURA 27 FLUXOGRAMA DA TROCA DE DADOS ENTRE O CANAL DE AQUISIO E O
WINDOWS CE.

No sistema de controle tem-se duas entradas de dados a PV que vem do
canal de aquisio e o SP que definido pelo usurio, o erro calculado
internamente subtraindo a PV do SP (Erro = PV SP). Ainda existem mais trs
variveis de entrada que so as aes de controle: Kp (ganho proporcional), Ti
(tempo integral) e Td (tempo derivativo). Aps o clculo do PID o resultado de sada
que a varivel CO enviada para o canal de aquisio, via comunicao serial.
Este sistema de controle pode estar operando em manual ou em automtico.
Em manual significa que o sistema est em malha aberta e o ajuste do elemento
final est sendo realizado pelo operador, em automtico fecha-se a malha e agora
quem controla todo o processo o algoritmo PID. O fluxograma do algoritmo do
sistema de controle pode ser visto na Figura 28.


86
Incio
Configura serial
Serial
Ok?
Inicia sincronismo
Sincronismo?
No
Recebe PV
Sim
Modo = Manual
Sim
Sincronismo?
No
Recebe PV
Sim
Sim
Modo = Auto
No
Sim
Mensagem
de erro
No
Fim
Envia CO
Aumenta ou
diminui CO
Envia CO
Calcula CO (PID)
Calcula erro
Ajusta SP,
Kp, Ti, Td


FIGURA 28 FLUXOGRAMA DO SISTEMA DE CONTROLE.

O primeiro teste realizado pelo algoritmo a verificao da comunicao
serial, se por algum motivo esta esteja inoperante, o algoritmo devolve uma
mensagem de erro de comunicao e este finalizado.
Se o teste da comunicao passar, ajusta-se ento um relgio que gera o
sincronismo do sistema de controle com o canal de aquisio. O programa pode
operar em modo manual e automtico como dito anteriormente, se for configurado
para modo manual (configurao inicial, devido necessidade de ser feito o start-up
no processo) o programa fica esperando o estouro do temporizador, enquanto isso
pode ser ajustado o valor do CO, quando ocorrer o estouro do temporizador o

87
sistema recebe do canal de aquisio o valor da PV atual e envia o novo valor da
varivel CO.
A partir do momento em que o sistema passado para automtico, o usurio
no tem mais direito a modificar a sada de controle, ele passa a ter que ajustar o SP
e as variveis de controle, agora todo o controle (o clculo do novo CO) depende do
algoritmo PID que recebe o valor da PV atual em seguida calcula o erro subtraindo a
SP da PV, calcula o novo CO e o envia para o canal de aquisio.
Antes de sair controlando o processo, levantou-se a curva de resposta do
mesmo. Para isto passou o sistema para malha aberta e o ganho proporcional (Kp)
foi ajustado para um ganho unitrio. O sistema foi levado at uma faixa de operao
e aguardou-se que este entrasse em um regime permanente, feito isto, aplicou-se
um sinal degrau de 10% de amplitude e a partir deste momento foi feita aquisio
destes dados, com isto, conseguiu-se levantar a curva de resposta deste sistema em
malha aberta, como pode ser visualizado na Figura 29, este grfico foi plotado no
Matlab.



FIGURA 29 CURVA DE RESPOSTA DO SISTEMA EM MALHA ABERTA.



88
Aps a obteno da curva de resposta do processo em malha aberta, aplicou-
se o primeiro mtodo de Ziegler e Nichols, conhecido como mtodo da curva de
resposta em malha aberta, para obter a funo de transferncia do processo. Este
mtodo pode ser aplicado a plantas que no envolvam integradores nem plos
complexos dominantes. A funo de transferncia pode ser aproximada por um
sistema de primeira ordem com tempo morto (atraso de transporte). A equao 15
apresenta a funo de transferncia da planta didtica que ser controlada pelo
sistema proposto e pelo CLP industrial, dada por:

.
,
) (
1 10
65 1
+
=
S
S G (15)

Com a Figura 29 de resposta do processo, iniciou-se o processo de sintonia
do controlador, o primeiro a ser sintonizado foi o sistema que est sendo proposto
neste trabalho de dissertao. Como o mesmo algoritmo que est sendo
executado nos trs canais de processamento, os aes de controle foram setadas
para os mesmos valores para que fosse possvel ter um mesmo valor de sintonia
nos trs controladores.
Como esta curva de resposta caracteriza um sistema de primeira ordem, foi
utilizado um controlador do tipo PI, ajustou-se o Kp para 4 e o Ti para 1 e como no
foi usado o Td este ficou em 0, uma forma de ser anulada esta ao de controle.
Para gerar a curva de resposta do processo sendo controlado, aplicou-se um degrau
de amplitude igual a 10% no SP. O grfico de resposta do sistema controlado pode
ser visualizado na Figura 30.

89

FIGURA 30 CURVA DE RESPOSTA DO PROCESSO CONTROLADO PELO SISTEMA
PROPOSTO.


FIGURA 31 CURVA DE RESPOSTA DO PROCESSO CONTROLADO POR UM CONTROLADOR
INDUSTRIAL.


90
Para que fosse feita uma comparao de resposta entre sistemas, utilizou-se
um CLP industrial o LC-700 da Smar como controlador do mesmo processo, e este
foi sintonizado e submetido aos mesmos testes do sistema proposto nesta
dissertao.
A Figura 31 apresenta a resposta obtida do controle realizado pelo LC-700.
Verifica-se que existe uma diferena de resposta nos dois grficos, mas isto se deve
a estrutura do PID e a sintonia do controlador. No processo em questo esta
diferena no significativa, logo, assumem-se os dois controles como satisfatrio, o
que muito positivo para este estudo, pois se conseguiu demonstrar que o sistema
redundante proposto tem uma resposta em controle to boa quanto um sistema
industrial.
Foi efetuada a simulao de queda de alimentao, para tanto, desligou-se
uma fase de alimentao de um canal de processamento, como o sistema
redundante e tem trs CPU falta de uma fase no influenciou o desempenho do
sistema, o que no ocorreu com o LC-700, pois este um sistema simples sem
redundncia quando foi desligada a fase de alimentao todo o sistema foi desligado
inclusive todos os transmissores, neste momento o processo ficou sem controle.


4.5. SISTEMA DE INTERTRAVAMENTO


Para a utilizao do sistema proposto como sistema de intertravamento foi
necessrio realizar algumas modificaes nos circuitos de aquisio, pois nesta
aplicao se fez necessria a utilizao de trs entradas em cada canal de aquisio
porque o sistema de processamento ir executar uma lgica booleana de trs
chaves (sensores on-off) aberto ou fechada.
O canal de votao estar verificando a resposta dos canais de
processamento e decidir se a sada estar acionada ou desacionada conforme a
lgica do sistema de votao 2oo3.
Um sistema de simulao de falhas e defeitos foi desenvolvido para que se
possa gerar falhas perigosas na entrada do canal de aquisio. Este sistema de
simulao ir receber a sada do canal de votao e ir verificar se o sistema tomou

91
a deciso correta. Estes dados so mostrados em um display de LCD. O diagrama
esquemtico pode ser visto na Figura 32.

Canal de
aquisio 1
Canal de
aquisio 2
Canal de
aquisio 3
Canal de
votao
Processamento
Comunicao
serial RS-232
Comunicao
serial RS-232
A B C
Sistema de
simulao


FIGURA 32 DIAGRAMA ESQUEMTICO DO SISTEMA 2oo3.

A lgica que est implementada em cada canal de processamento X = SA e
SB e SC, ou seja, se alguma chave (sensor) enviar um sinal de nvel lgico 0 a
sada do canal de processamento deve ir para nvel lgico 0, executando
simplesmente a lgica booleana das entradas. Conforme a Tabela 7.

TABELA 7 TABELA VERDADE DE SADA DE CADA CANAL DE PROCESSAMENTO DADA AS
ENTRADAS (SA,SB e SC)
SA SB SC X
0 0 0 0
0 0 1 0
0 1 0 0
0 1 1 0
1 0 0 0
1 0 1 0
1 1 0 0
1 1 1 1

92
O sistema de simulao vai setando as variveis SA, SB e SC para os valores
da Tabela 7 e analisa a resposta do canal de votao. Por exemplo: setando SA
para nvel lgico 0, SB para nvel lgico 1 e SC para nvel lgico 1 a sada dos
canais de processamento devem ser igual ao nvel lgico 0, o que far com que a
sada do canal de votao v para nvel lgico 0, isto significa que o sistema est
em perfeita operao, um sensor de segurana atuou e como a lgica nos trs
canais de processamento a mesmo todos responderam de forma igual e por
consequncia disso a resposta do sistema de votao foi efetuar o shutdown da
malha. Mas se por algum motivo (falha), dadas as entradas anteriores, dois canais
de processamento mantivessem a sada em nvel lgico 1, o canal de votao no
ir realizar o shutdown caracterizando desta forma uma falha perigosa, pois
necessrio que a malha seja desligada mas o sistema no o far. Da mesma forma
isto pode ser avaliado se os sensores estiverem em nvel lgico 1 e por algum
motivo (falha) dois canais de processamento forem para nvel lgico 0, isto far com
que o canal de votao v para nvel lgico 0 efetuando o shutdowm da malha
quando isto no deveria ocorrer, caracterizando assim uma falha segura.
O fluxograma do sistema de intertavamento pode ser visto na Figura 33.

93
Incio
Configura serial
Serial
Ok?
Inicia sincronismo
Sincronismo?
Recebe SA,SB e SC
Sim
Sim
Mensagem
de erro
No
Fim
No
X = SA & SB & SC
Envia X


FIGURA 33 FLUXOGRAMA DO SISTEMA DE INTERTRAVAMENTO.

Aps as implementaes e modificaes tanto de hardware como de software
iniciou-se os ciclos de testes para a obteno dos dados para que fosse possvel o
clculo da PFD, bem como, a disponibilidade do sistema proposto.
Para a coleta da falha segura foram feitas dez varreduras de mil ciclos cada,
ao fim de cada varredura anotou-se o nmero de falhas seguras detectadas e
calculou-se a mdia das falhas, gerando a Tabela 8.




94
TABELA 8 FALHAS SEGURAS
Varredura Ciclos Falha segura (
s
)
1 1000 145
2 1000 101
3 1000 95
4 1000 70
5 1000 46
6 1000 58
7 1000 51
8 1000 31
9 1000 48
10 1000 12
Mdia de Falhas Seguras 65,7

. ,
,
0657 0
1000
7 65
= =
S

. ,6955 38 =
. horas 6 = MTTR

Aplicando a norma IEC 61508 vem:

( ) MTTR
MTTF
S
sp

=
2
6
1

( ) |

\
|

=
8760
6
0657 0 6
1
2
,
sp
MTTF
. . anos 373 56 =
sp
MTTF

Aps ser aplicada a frmula de clculo do MTTF
sp
encontrou-se um tempo
mdio entre falhas de 56.373 anos o que significa que pode ocorrer uma falha em
56.373 anos neste sistema proposto. O MTTR utilizado foi de 6 horas, esse valor
surge do tempo mdio de reparo que foi utilizado durante os testes para o
levantamento da taxa de falhas do sistema.
Para a coleta da falha perigosa foram feitas dez varreduras de mil ciclos cada,
ao fim de cada varredura anotou-se o nmero de falhas perigosas detectadas e
calculou-se a mdia das falhas, gerando a Tabela 9.



95
TABELA 9 FALHAS PERIGOSAS
Varredura Ciclos Falha perigosa (
d
)
1 1000 83
2 1000 71
3 1000 85
4 1000 70
5 1000 46
6 1000 48
7 1000 52
8 1000 46
9 1000 33
10 1000 12
Mdia de Falhas Perigosas 54,6

. ,
,
0546 0
1000
6 54
= =
d

. ,8920 22 =
. ano 1 = TI

Aplicando a norma IEC 61508 vem:

( ) ( )
2 2
TI PFD
d
=
( )
2
2
2
ano 1
0546 0 |

\
|
= , PFD
000745 0, = PFD
( )
76 1341
000745 0
1
,
,
= = RRF
%. , , , 92547 99 999255 0 000745 0 1 = = = D

Os clculos indicam que o sistema proposto tem um tempo mdio entre trips
de 56.373 anos, e uma disponibilidade de 99,92%, isto daria um nvel de integridade
SIL 3, de acordo com a norma IEC 61508 indicando que este sistema pode ser
aplicado em malhas at SIL 3. O que um resultado bem satisfatrio, pois
consegue-se visualizar que este sistema esta respondendo de acordo com o
esperado, e esta demonstrado ter uma confiabilidade aceitvel para o nvel 3 de
integridade de segurana.

96
CAPTULO 5


5. CONCLUSES E TRABALHOS FUTUROS


No dia a dia da indstria se faz mais do que necessrio utilizao de
sistemas tolerantes a falhas, devido ao perigo e a complexidade que alguns
processos apresentam para a indstria e para seus funcionrios.
A tolerncia falhas uma das qualidades que um controlador pode
apresentar. a capacidade de detectar transitrio e o estado de equilbrio do erro
adotando medidas on-line corretivas.
Investir em sistemas extremamente caros no sinnimo de confiabilidade,
uma vez que as vlvulas ainda constituem o elo mais fraco do sistema. preciso ter
em mente que uma malha de shutdown depende dos controladores, bem como, dos
sensores e atuadores (vlvulas).
Como foi demonstrado, existem vrias opes de sistema de redundncia no
mercado, mas existem tambm malhas mal avaliadas, ou seja, super dimensionadas
ou ainda mal dimensionadas encarecendo o projeto do SIS. As normas vigentes
orientam no que deve ser feito em um SIS e no como.
Neste trabalho foi proposta uma arquitetura de redundncia tolerante a falhas
com a utilizao do hardware do PC padro. Tambm foi utilizado um sistema
embarcado de tempo real, ou seja, foi retirado o sistema operacional padro e foi
colocado um sistema de tempo real, no caso Windows CE. Para que fosse possvel
a redundncia foi instalado em trs computadores o mesmo sistema embarcado e
estes executaram o mesmo programa em paralelo.
As placas de circuito impresso, chamados de canal, foram desenvolvidas para
que o PC tivesse acesso as variveis de controle e a elementos finais de controle,
para tanto, utilizou-se microcontroladores PIC que implementam conversores A/D de
10 bits.
O primeiro teste efetuado foi comparar este sistema com um CLP industrial,
onde se obteve um resultado bem satisfatrio, pode-se observar o real
funcionamento de um sistema de redundncia e a vantagem em relao a um
sistema simplex.

97
O segundo teste foi fazer o levantamento das taxas de falhas, tanto as
seguras como as perigosas, do sistema implementado e assim aplicar a norma IEC
61508 para calcular a disponibilidade do sistema e conseguir descobrir qual era o
nvel de integridade deste sistema, como resultado obteve-se SIL 3. Isto significa
que o sistema proposto atende a malhas que exigem um nvel de segurana 3. O
que um resultado excelente, pois todos os PES estudados atendem at SIL 3, a
IEC 61508 muito cautelosa com sistemas SIL 4.
A finalidade deste trabalho no desmerecer os PES existentes, mas
demonstrar que pode ser desenvolvido sistemas to eficazes quanto aproveitando-
se de hardwares existentes com modificaes e evolues dos softwares.
O Windows CE se demonstrou uma alternativa vivel para o desenvolvimento
de dispositivos dedicados, onde ele permite a seleo dos componentes do sistema
operacional em uma vasta base de dados, garantindo total flexibilidade e um rpido
desenvolvimento.
Alm da aplicao industrial, acredita-se que este trabalho tem uma aplicao
muito interessante no meio acadmico, devido ao preo que um CLP de
redundncia apresenta. Uma das dificuldades encontradas, durante o
desenvolvimento desta dissertao, foi encontrar uma empresa que estivesse
disposta a emprestar o seu CLP de redundncia para estudo, o que dificultou o
desenvolvimento do mesmo. O sistema proposto pode ser utilizado em processos
reais dentro de instituies de ensino como usinas piloto, controle de caldeiras e etc.
A um custo bem inferior de um sistema industrial, mas to eficaz quanto.

Entre os possveis trabalhos futuros destacam-se:

Produzir e disponibilizar literatura em portugus sobre Sistema de
Intertravamento de Segurana, pois ainda existem poucos livros sobre o
assunto no idioma portugus e considerando-se tambm outros tipos de
bibliografia, como artigos;
Desenvolver uma comunicao entre os trs canais de processamento para
que se tenha apenas uma interface com o usurio;
Desenvolver este sistema utilizando a comunicao USB (Universal Serial
Bus) entre os canais de processamento e de aquisio, para aumentar a
velocidade na troca de dados aumentando assim o desempenho do sistema;

98
Estudos de integrao deste sistema com protocolos de redes industriais,
como Foundation Fieldbus e Profibus;
Pesquisar novas arquiteturas para o canal de votao, este o gargalo do
sistema de votao, utilizando-se talvez de sistemas inteligentes ou
especialistas;
Desenvolver sistemas embarcados para monitoramento local de vlvula de
controle, bem como, sistemas alternativos para realizar testes nestes
elementos finais sem o desligamento do processo;
Estudos de viabilidade econmica e de implantao deste sistema para
aplicao industrial;
Verificar o desempenho destes sistemas utilizando-se de outros sistemas
embarcados, por exemplo, o Linux Embedded;
Transformar esta dissertao em um produto vivel, tanto na rea acadmica
como no meio industrial.

Os interessados podero dar continuidade redao deste trabalho, afinal,
esta dissertao, uma obra embora no concludente, passvel de reviso e
ampliao.















99
REFERNCIAS


AVIZIENIS, A.; KELLY, J. P. Fault tolerance by design diversity - concepts and
experiments. Computer, New York, USA, 1984.

BARR, M. Programming Embedded Systems in C and C++. Sebastopol: O' Reilly
& Associates, CA, 1999.

BEGA, E. A. Instrumentao Aplicada ao Controle de Caldeiras. 3. ed. Rio de
Janeiro, RJ: Intercincia. 2003.

BURNS, A.; WELLINGS, A. Real-Time Systems and Programming Languages.
2. ed. England: Addison Wesley, 1997.

CENTER FOR CHEMICAL PROCESS SAFETY - CCPS. Guidelines for Safe
Automation of Chemical Processes. New York: ISA, 1993.

CHEN, L.; AVIZIENIS, A. N-version programming: a fault tolerance approach to
reliability of software operation. In: Annual International Symposium on Fault-
Tolerant Computing, 1978. Proceedings. New York, IEEE, 1978. p. 3-9.

FINKEL V. S. Ferramentas modernas para avaliar os SIL e trabalhar o SIS das
funes de segurana. INTECH BRASIL, So Paulo, n. 81, p. 8-14, 2006.

FINKEL, V. S. et al. Instrumentao Industrial. 2. ed. Rio de Janeiro: Intercincia,
2006.

GOBLE, W. M., Control Systems Safety Evaluation and Reliability. 2. Ed.
Research Triangle Park, USA: ISA, 1998.

GOBLE, W. M.; CHEDDIE, H. Safety Instrumented Systems Verification:
Practical Probabilistic Calculations. 1. ed. Research Triangle Park, USA: ISA,
2005.

GRUHN, P.; CHEDDIE, H. Safety Instrumented Systems: Design, Analysis, and
Justification. 2 . ed. Research Triangle Park, USA : ISA, 2006.

GUREWICH, N.; GUREWICH, O. Visual C++ 5. 4 . ed. Indiana, USA: Sams, 1997.

HORTON, I. Visual C++ 2005. 1. ed. Indianpolis, USA: Wiley Publishing, Inc,
2006.

INTERNATIONAL ELECTROTECHNICAL COMMISSION. IEC 61508: Functional
Safety of electrical / electronic / programmable electronic safety-related
systems. Geneva: Switzerland, 2000.


100
INTERNATIONAL ELECTROTECHNICAL COMMISSION. IEC 61511: Functional
safety Safety instrumented systems for the process industry sector. Geneva:
Switzerland, 2000.

INTERNATIONAL ELECTROTECHNICAL COMMISSION. IEC 62061: Safety of
machinery - Functional safety of safety-related electrical, electronic and
programmable electronic control systems. Geneva: Switzerland, 2005.

JAFFE, M.S.; LEVESON, N.G.; HEIMDAHL, M.P.E.M.; BONNIE, E. Software
requirements analysis for real time process control systems. IEEE Transactions on
Software Engineering, v.17, n.3, p.241-258, 1991.

JOHNSON, B.W. Design and Analysis of Fault Tolerant Digital Systems.
University of Virginia, New York, USA: Addison-Wesley Publishing Company, 1989.

KITCHENHAM, B.; PELEEGER, S.L. Software Quality: The Elusive Target. IEEE
Software, p.12-21, 1996.

LOURES, E. F. R. VIEnCoD: Proposta de um Ambiente CACSD Baseado em
Plataforma de Instrumentao Virtual e MATLAB. Dissertao Programa de
Ps-Graduao em Informtica Aplicada, Pontifcia Universidade Catlica do
Paran, Curitiba, PR, 1999.

MICROSOFT. Microsoft Corporation, 2009. Real Time and Windows CE
Disponvel em: <http://msdn.microsoft.com/embedded/usewinemb/ce/techno
/realtme/default.aspx?_r=1>
Acesso em: 20/03/2009

MICROSOFT. Microsoft Corporation, 2009 eMbedded Visual C++ 4.0 SP4.
Disponvel em: http://www.microsoft.com/downloads/details.aspx?FamilyID=4A
4ED1F4-91D3-4DBE-986E-A812984318E5&displaylang=en
Acesso em: 07/04/2009

NISE, N. S. Engenharia de Sistemas de Controle. 3. ed. Rio de Janeiro, RJ: LTC,
2002.

OFFSHORE RELIABILITY. OREDA: Offshore Reliability Data Handbook. 4. ed.
Strindeveien, USA, 2002.

OGATA, K. Engenharia de Controle Moderno. 4. ed. Rio de Janeiro, RJ: Pearson,
2003.

OLIVEIRA, R.; CARISSIMI, A; TOSCANI, S. Sistemas Operacionais. 2. ed. Brasil:
Sagra Luzzatto, 2001.

ORTIZ, S. JR. Embedded OS Gain the Inside Track. IEEE Computer. v. 34, n. 11, p.
14-16, 2001.



101
PEDROSO, J. de M. Proposta de Utilizao do Sistema Operacional Windows
CE para aplicaes didticas na rea de Automao e Controle. 154 f.
Dissertao Setor de Tecnologia, Universidade Tecnolgica Federal do Paran,
Curitiba, PR, 2007.

PEREIRA, F. Microcontrolador PIC: Programao em C. 4. ed. So Paulo, SP:
Editora rica, 2005.

PETROBRAS. N-2595: Critrios de Projeto e Manuteno para Sistemas
Instrumentados de Segurana em Unidades Industriais. So Paulo, SP, 2002.

PETROBRAS. N-2194: Especificao de Controladores Programveis. So
Paulo, SP, 1996.

PHAM, H. Handbook of Reliability Engineering. 1. ed. New Jersey, USA:
Springer, 2003.

PIAZZA, G. Introduo Engenharia da Confiabilidade. 1. ed. Caxias do Sul,
RS: EDUCS, 2000.

REESE, J. D.; LEVESON, N.G. Software Deviation Analysis: A Safeware
Technique. Annual Loss Prevention Symposyum, 31, p.1-14, Houston, Texas,
USA, 1997.

S, M. C. de. Programao C para Microcontroladores 8051. 1. ed. So Paulo,
SP: Editora rica, 2005.

SEAMAN, C. B. Qualitative Methods in Empirical Studies of Software Engineering.
IEEE Transactions on Software Engineering, v. 25, n. 4, p. 557-572, 1999.

SMITH, D. J. Reliability, Maintainability, and Risk: Practical Methods for
Engineers. 5. ed. Butterworth-Heinemann, 1997.

STOREY, N. Safety-Critical Computer Systems. New York, USA: Addison Wesley,
1996.

STROTHMAN, J. Measurement Equations and Tables. 2. ed. Research Triangle
Park, USA: ISA, 2006.

TACKE, C.; RICCI, L. Benchmarking Real-Time Determinism in Windows CE. White
Paper Disponvel em: <http://msdn2.microsoft.com/en-us/library/ms836535.aspx>,
2002. Acesso em 12/03/2009.

THE INSTRUMENTATION, SYSTEMS, AND AUTOMATION SOCIETY. ANSI/ISA
TR-84.00.01: Functional Safety: Safety Instrumented Systems for the Process
Industry Sector Parts 1, 2, and 3, Research Triangle Park, USA, ISA, 1996.

TUV - Cooperation Functional Safety. Germany, 2009. Disponvel em:
<http://www.tuv-fs.com/plclist.htm>.
Acesso em: 27/03/2009.

102

UNIVERSIDADE FEDERAL DO PARAN. Sistema de Bibliotecas. Referncias
Bibliogrficas. Curitiba: Editora UFPR, 2007. (Normas para apresentao de
documentos cientficos, 2. ed.).

US MIL-HANDBOOK-217F - Failure Rates for Electronic Components, USA, 1992.

XIE, M.; DA, Y. S.; POH, K. L. Computing Systems Reliability models and
analysis. New York, USA: Kluwer Academic Publishers, 2004.

WEBER, R. F.; WEBER, T. S. Um experimento prtico em programao diversitria.
III Simpsio em Sistemas de Computadores Tolerantes a Falhas, SCTF. 20-22
set. Anais. Rio de Janeiro, RJ, 1989. p. 271-290.

ZIO, E. An Introduction to the Basics of Reliability and Risk Analysis. v.13.
Singapore: World Scientific Publishing, 2007.


103
ANEXO A

CERTIFICADO TUV DO TRICON DA TRICONEX

104


105
APNDICE A

CIRCUITO ELETRNICO DO CANAL DE AQUISIO

106

107
APNDICE B

CIRCUITO ELETRNICO DO CANAL DE VOTAO

108