ANLISE DA RVORE DE FALHAS INTRODUO O MTODO DEDUCTIVO Ao igual que os mtodos inductivos, os mtodos deductivos so muito utilizados nas

anlises de sistemas, porm, eles fornecem um enfoque mais efetivo e verstil para o anlise preditivo de identificao dos riscos. Os conceitos bsicos envolvidos podem ser usados para fazer avaliaes simples e podem tambm ser usados para fazer avaliaes quantitativas. Os custos de fazer este tipo de estudo aumentam proporcionalmente com a complexidade e o escopo do trabalho, portanto necessrio um ponto de vista seletivo quando se planeja uma anlise deste tipo para garantir que seu custo se justifique pelos riscos que esto sendo identificados e avaliados. O enfoque deductivo comea com a definio do evento no desejado, um acidente imaginado ou real no caso de uma investigao, e organiza graficamente, em forma sistemtica todos os eventos conhecidos, falhas e acontecimentos (dentro do contexto do mdulo do sistema estabelecido) que possam contribuir ou causasr o acontecimento do evento no desejado. A informao organizada dentro dos formulrios do Anlise Preliminar de Riscos ou Anlise de Modos e Efeitos de Falhas fornecero informaes muito importantes para este tipo de anlise. O modelo lgico mais comunmente utilizado dentro das anlises de Segurana de Sistemas o anlise da rvore de Falhas, (AAF). DESCRIO GERAL DO MTODO A anlise da rvore de Falhas foi desenvolvida pelos engenheiros do Laboratrio da Bell Telefhone Company no incio dos anos 60, e tem continuado a receber contnuas melhoras, especialmente na rea de avaliao matemtica. Para os efeitos desta discusso, todos os exemplos sero baseados nas tcnicas atuais da AAF, porm, outros mtodos e tcnicas esto sendo desenvolvidos e utilizados em aplicaes especficas. Em resumo, as cinco etapas bsicas utilizadas na anlise da rvore de falhas so: 1- Escolha do evento no desejado a ser analisado, e definir a configurao do sistema, mdulo, ciclo de vida e ambiente do objetivo do estudo. 2- Obter informaes, desenhos e qualquer outro tipo de informao disponvel para Ter um bom entendimento do sistema a ser analisado. 3- Construo do diagrama lgico da rvore de falhas. (veja a descrio da continuao a continuao) 4- Avaliar o diagrama lgico (utilizando os enfoques objetivos definidos) 5- Preparar um resumo das concluses da anlise da rvore de falhas para serm apresentadas e analisadas pela gerncia.

CARACTERSTICAS Objetivos: A anlise da rvore de falhas identificar as combinaes das falhas nos equipamentos ou componentes de um sistema ou erros humanos que podem resultar em um acidente Quando usar: a) Projeto. A AAF pode ser usado na fase de projeto de um sistema ou planta para descobrir modalidades de falhas ocultas, que resultam das combinaes das falhas dos equipamentos ou componentes ou por erros de operao. (humanos) b) Operao. A AAF incluindo caractersticas de procedimentos de operao e do operador, pode ser usado para estudo um sistema em operao, a fim de identificar combinaes potenciasi de falhas que possam causar acidentes. Tipos de resultados: Uma listagem dos conjuntos de falhas do equipamento e/ou operao que possam resultar num acidente especfico. Estes conjuntos podem ser classificados qualitativamente de acordo com sua importncia. Natureza dos resultados: Qualitativos, com potencial de ser quantitativos. A rvore de falhas pode ser avaliada quantitativamente quando as probabilidades de falhas dos componentes conhecida. Informaes necessria: a) Completo conhecimento da operao e funcionamento dos componentes dos sistemas. b) Conhecimento das modalidades de falhas dos componentes do sistema e seus efeitos sobre ele. Esta informao pode ser obtida de uma anlise de FMEA. Pessoal necessrio: A anlise da rvore de falhas deve ser realizada por uma analista responsvel com consultas a engenheiros e a pessoal com experincia no sistema includo na anlise. Uma anlise mediante uma equipe mais eficiente, cada membro da equipe se concentrando em uma rvore individual ou uma rama da rvore principal. Tempo e custo: O tempo e custo necessrio para realizar a anlise depender em grande parte da complexidade do sistema a ser analisado, a gravidade das conseqncias e di nvel da resoluo determinado. A realizao de uma pequena unidade de processo pode levar uma dia ou mais com uma equipe experiente e com bastantes conhecimentos do sistema. Grandes acidentes potenciais e sistemas complexos podem precisar de uma semana ou mais. APLICAO DO MTODO AAAF uma ferramenta amplamente usada para anlise de segurana de sistemas. Uma das vantagens do mtodo a de ser muito sistemtico e analisar todas as falhas que poderiam resultar num acidente.

A AAF possibilita a no ocorrncia de um acidente quando fornece dados sobre falhas do equipamento ou de operao (erro humano). Cada uma das causas imediatas examinada, at que o analista tenha identificado todas as causas bsicas do evento. A rvore de falhas um diagrama que mostra a inter-relao lgica entre estas causas bsicas e o ambiente. O resultado da AAF uma lista de combinaes da falhas do equipamento ou de operao que so suficientes para identificar aquelas que so significativas para o desenvolvimento do evento. Estas combinaes de falhas so conhecidas como CONJUNTO DE REDUO MNIMA. Cada conjunto de reduo mnima a menor reduo de falhas que so suficientes para causar o acidente ou evento quando aquelas causas se apresentam simultaneamente. SMBOLOS LGICOS USADOS NA AAF A realizao da AAF uma representao grfica da inter-relao entre as falhas de equipamentos ou de operao que podem resultar em um acidente especfico. Os smbolos mostrados a seguir so usados na construo da rvore para representar est inter-relao.

Porto OU: indica que a sada do evento ocorre quando h uma entrada de qualquer tipo.

Porto E : indica que a sada do evento ocorre somente quando h uma entrada simultnea de todos os eventos. Porto de Inibio : indica que a sada do evento ocorre quando acontece a entrada e a condio inibidora satisfeita. Porto de Restrio: indica que a sada do evento ocorre quando a entrada acontece e o tempo especfico de atraso ou restrio expirou.

Evento Bsico: representa a FALHA BSICA do equipamento ou falha do sistema que no requer outras falhas ou defeitos adicionais. EVENTO INTERMEDIRIO: representa uma falha num evento resultado da interao com outras falhas que so desenvolvidas atravs de entradas lgicas como as acima descritas.

EVENTO NO DESENVOLVIDO: representa uma falha que no examinado mais, porque a informao no est disponvel ou porque suas consequncias so insignificantes. EVENTO EXTERNO: representa uma condio ou um evento que suposto existir como uma condio limite do sistema para anlise. TRANSFERNCIAS: indica que a rvore da falhas desenvolvida de forma adicional em outras folhas. Os smbolos de transferncia so identificados atravs de nmeros ou letras. DEFINIES DE TERMOS UTILIZADOS NA ANLISE DE RVORE DE FALHAS As falhas e defeitos dos equipamentos ou sistemas que so descritos na anlise de arvore de falhas podem ser agrupados em trs classes: 1- Falhas e defeitos primrios 2- Falhas e defeitos secundrios 3- Falhas e defeitos de comandos 1 Falhas e Defeitos Primrios So no sistema devido ao mal funcionamento de equipamentos que podem ocorrer no ambiente e condies para o qual o equipamento foi projetado, por exemplo: um selo de bomba centrfuga que se rompe nas condies normais de operao da bomba. As falhas primrias so de responsabilidade especfica do equipamento e no podem ser atribudas a outras causas ou condies externas. 2- Falhas e Defeitos Secundrios So falhas no sistema devido ao mal funcionamento que podem ocorrer em ambientes para o qual o mesmo NO foi projetado, por exemplo: o selo da bomba centrfuga que se rompe por execesso de presso devido a que a bomba ficou funcionando com a descarga bloqueada. Essas falhas so atribudas a causas ou condies externas.

4- Falhas e defeitos de comandos So falhas no sistema devido a mal funcionamento do equipamento no qual o comando opera, mas em um tempo ou local errado, por exemplo: um alarme de alta temperatura que no funciona devido a uma falha no sensor de temperatura no processo,. A falha do alarme uma falha de comando e falha do sensor uma falha primria.

GUIAS PARA USO DO MTODO ANALTICO Existem quatro etapas na construo de uma rvore de falhas: 1. 2. 3. 4. Definio do problema Construo da rvore de falhas Soluo da rvore de falhas Determinao do conjunto mnimo

1. Definio do Problema A definio do problema consiste em: a) b) c) d) e) Definir o EVENTO PRINCIPAL, que ser o objeto da anlise da rvore de falhas. Definir as condies limites do anlise incluindo: eventos no considerados. Eventos considerados Limites fsicos do sistema Nvel de resoluo Outras suposies

a) Definir o EVENTO PRINCIPAL O EVENTO PRINCIPAL o mais importante aspecto da definio do sistema. Pode ser um evento ou acidente indesejvel que afetar de forma significativa o desempenho do sistema. A definio desse evento deve ser o mais exata possvel. Deve indicar QUAL a falha, ONDE acontece a falha e QUANDO acontece a falha. b) Definir os EVENTOS CONSIDERADOS importante listar todos os eventos relacionados com o evento principal que sero considerados durante a anlise do sistema, e as interfases com outros sistemas de servio ou suporte. Uma forma de definir esses eventos analisar qual sua contribuio para o desenvolvimento ou conseqncia do evento principal. c) Definir os LIMITES fsicos do sistema Devem ser definidos os limites fsicos do sistema que ser analisado, os quais englobam todos os equipamentos que devero ser considerados na anlise da rvore de falhas. Uma forma prtica de definir os limites e marcar no fluxograma de processo os equipamentos sero considerados. d) Definir o NVEL DE RESOLUO Junto com os limites fsicos do sistema, o analista deve especificar o nvel de resoluo da anlise, o qual determinar a quantidade de detalhes a ser includa na anlise.

Por exemplo, um motor que opera uma vlvula pneumtica de controle remoto pode ser includo como um simples equipamento, ou pode ser descrito como diversos itens mecnicos (corpo, cilindro, etc.) Tambm podem ser includos os sistemas de operao como o suministro de ar, etc. Um fator a ser considerado na deciso do nvel de resoluo a quantidade de detalhes disponveis nas falhas do sistema, para isto, em casos de sistemas crticos, uma anlise de Modos e efeitos de falhas (FMEA) dever ser realizado previamente. e) Outras Suposies O analista deve especificar outras suposies quando sejam necessrias para definir o sistema da forma mais completa possvel, como por exemplo, o modo de operao do sistema, capacidade, etc.

2. Construo de rvore de Falhas A construo da rvore de falhas inicia-se com o EVENTO PRINCIPAL e continua, nvel por nvel, at que todos os eventos relacionados com o evento principal tenham sido desenvolvido at suas causas bsicas (EVENTOS BSICOS) O analista comea com o evento principal e no nvel seguinte, determina as causas imediatas que causam o evento principal. Geralmente, estas no so causas bsicas e sim causas intermedirias que demandam um desenvolvimento adicional. Caso o analista possa determinar imediatamente as causas bsicas do evento principal, problema no adequado ( simples demais) para se promover uma anlises to complicada como uma rvore de falhas, dever ser usado um mtodo mais simples e menos custoso. Se forem exigidas todas as causas imediatas para a ocorrncia do evento principal, ento as causas sero ligadas ao evento atravs de um porto lgico E, ento, cada uma das causas imediatas tratada da mesma maneira que o evento principal e susas causas imediatas, necessrias e suficientes sero identificadas e indicadas na rvore de falhas com a entrada lgica adequada. Caso s uma das causas suficiente para que o evento principal acontea, sero ligadas ao evento atravs de um Porto lgico OU. REGRAS PARA CONSTRUO DA RVORE DE FALHAS H diversas regras bsicas que devem ser seguidas na construo de uma rvore de falhas, elas so: a) Registras o evento de falha. Escreva o evento dentro do smbolo correspondente com preciso e escreva um relato separado indicando como aconteceu, onde aconteceu e quando. A condio quando indica o estado do sistema no tocante ao equipamento informando desta forma o porque do estado do equipamento que se encontra em situao de falha.

Estes relatos devem ser o mais completos possveis e o analista deve resistir a tentao de abrevi-lo ou utilizar palavras usadas s pelo pessoal da planta ou processo. b) Avaliao do evento de falha Ao se avaliar um evento de falha, deve-se fazer a pergunta: -Esta falha pode ser causada pelo mal funcionamento do equipamento? Se a resposta for sim, classificar o evento como falha no estado do equipamento. Se a resposta for no, classificar o evento como falha do sistema, esta classificao ajudar no desenvolvimento posterior da anlise. Se o evento for classificado como falha do equipamento, acrescente uma entrada OU ao evento falho e procure as razes para esta falha de equipamento, sejam primrias ou secundrias. Caso o evento falho estiver nas falhas do sistema procure ento as causas imediatas e necessrias para que acontea o evento. c) A regra sem milagres Se o funcionamento normal do equipamento provoca uma seqncia de falhas, considere ento que o equipamento funciona normalmente. Jamais considere uma falha como milagre, ou totalmente no esperada. d) A regra complete toda entrada cada vez Todas as entradas necessrias para que acontea um evento devem ser analisadas e registradas antes de se passar para um outro evento. A rvore de falhas deve ser completada em nveis e deve-se completar cada nvel antes de iniciar a anlise do prximo. e) A regra do no h entrada de evento para evento As entradas devem ser adequadamente definidas como eventos de falhas, e estarem ligadas sempre atravs de um porto lgico. As regras (C) e (E) tem por finalidade enfatizar quo importante ser esquemtico e metdico ao construir uma rvore de falhas. Estas regras probem atalhos que levam a rvores incompletas ou mal analisadas.

3. Soluo da rvore de Falhas A rvore de falhas acabada fornece muita informao til atravs de uma demonstrao grfica e lgica da seqncia de falhas que poderiam resultar num acidente, entretanto, exceto no caso de rvores de falhas muito simples, nem mesmo um analista experimentado poder identificar diretamente da rvore de falhas, todas as combinaes de falhas que levam ao acidente. AS rvores de falhas podem ser resolvidas atravs de mtodos matemticos, como a lgebra de Boole, o mediante um mtodo de resoluo atravs de matrizes. Ambos os mtodos do como resultado as sries de cortes mnimos que indicam as combinaes defalhas de equipamentos ou sistemas que podem resultar no evento principal. As sries mnimas de

corte so teis para hierarquizar os modos pelos quais o acidente pode ocorrer, e permitem quantificar a probabilidade de falha da rvore, caso se tenham as informaes suficientes. No sendo o escopo de nosso estudo a soluo das rvores de falhas, indicaremos um mtodo geral que se aplica para todas as solues. O mtodo para a soluo das rvores de falhas tem quatro etapas: a) b) c) d) Identificar exclusivamente todas as entradas e os eventos Bsicos Simplificar todas as entradas nos eventos Bsicos Retirar os eventos duplicados da rvore Suprimir todas as supersries (sries que contm outra srie como sub-srie)

O EVENTO BSICO ( ou inicial) sempre a primeira entrada da matriz e deve ser claramente definido no incio da resoluo.

HIERARQUIZAO DA SRIE DE CORTES MNIMOS A hierarquizao das sries de cortes mnimos o passo final dos procedimentos analticos da rvore de falhas. Para se fazer uma hierarquizao qualitativa, podem ser considerados dois fatores: O primeiro a importncia estrutural, que baseada no nmero de componentes de eventos BSICOS que se encontram em cada srie de cortes mnimos. Por exemplo, uma srie de corte mnimo de um evento mais importante que uma srie de cortes mnimos de dois eventos, uma de dois eventos mais importante que uma de trs, e assim por diante. Esta hierarquizao significa que mais provvel que ocorra um evento que dois, dois que trs, etc. O segundo fator considera a hierarquizao dentro de cada tamanha de srie de corte mnimo, por exemplo, hierarquizao das sries de cortes mnimos de dois eventos, baseado no tipo de evento que constitui a srie. A regra geral que orienta esta hierarquizao : 1. Erro humano 2. Falhas dos equipamentos ativos 3. Falhas nos equipamentos passivos Esta hierarquizao significa que os erros humanos tm mais probabilidade de acontecer que as falhas de equipamentos ativos (em funcionamento) e que h mais probabilidades que acontea uma falha em um equipamento ativo que em passivo (parado). Utilizando esta regra em uma lista de sries de cortes mnimos de dois eventos teramos a hierarquia mostrada na lista a seguir LISTA DE HIERARQUIA DE EVENTOS HIERARQUIA EVENTO BSICO TIPO 1 EVENTO BSICO TIPO 2

1 2 3 4 5 6

Erro humano Erro humano Erro humano Falha de equipamento ativo Falha de equipamento ativo Falha equipamento passivo

Erro humano Falha equipamento ativo Falha equipamento passivo Falha equipamento ativo Falha equipamento passivo Falha equipamento passivo

Embora sugerida pela experincia, estas hierarquias podem diferir significamente de sistema para sistema, com base em fatores tais como qualidade do equipamento, revises, manuteno preventiva, treinamento dos operadores, etc. O melhor mtodo de hierarquizao qualitativa consiste no fato de o analista exemine detalhadamente cada corte mnimo em particular e estabelea a srie mais importante com base na experincia real e operacional.