Professional Documents
Culture Documents
ESCOLA DE ENGENHARIA
PROGRAMA DE PS-GRADUAO STRICTO SENSU EM ENGENHARIA DE
PRODUO
DOUTORADO EM ENGENHARIA DE PRODUO
Niteri
2015
EDUARDO FERRAZ MARTINS
Niteri
2015
EDUARDO FERRAZ MARTINS
BANCA EXAMINADORA
_____________________________________________________________
Gilson Brito Alves Lima, D.Sc.
Universidade Federal Fluminense
_____________________________________________________________
Renato Alves da Fonseca, D.Sc
Comisso Nacional de Energia Nuclear
_____________________________________________________________
Annibal Parracho SantAnna, PhD.
Universidade Federal Fluminense
_____________________________________________________________
Isaac Jos Antonio Luquetti dos Santos, D.Sc.
Instituto de Engenharia Nuclear
__________________________________________________________
Magda Lauri Gomes Leite, D.Sc.
CEFET-RJ
_________________________________________________________
Salvador Simes Filho, D.Sc.
Relia Plus Consulting
AGRADECIMENTOS
Muito obrigado.
Sinceramente,
Eduardo Ferraz Martins
RESUMO
The study projects in highly complex installations involves robust modeling, supported by
conceptual and mathematical tools, to carry out systematic research and structured the
different risk scenarios that can lead to unwanted events from occurring equipment failures or
human errors. In the context of classical modeling, the Probabilistic Safety Analysis (PSA)
seeks to provide qualitative and quantitative information about the project particularity and
their operational facilities, including the identification of factors or scenarios that contribute to
the risk and consequent comparison options for increasing safety. In this context, the aim of
the thesis is to develop a hybrid instrument (CPP-HI) innovative, from the integrated
modeling techniques of Failure Mode and Effect Analysis (FMEA), concepts of Human
Reliability Analysis and Probabilistic Composition of Preferences (PCP). In support of
modeling and validation of the CPP-HI, a simulation was performed on a triggering event
"Loss of External Electric Power" - PEEE, in a Nuclear Power plant. The results were
simulated in a virtual environment (sensitivity analysis) and are robust to the study of Human
Reliability Analysis (HRA) in the context of the PSA.
Tabela 01: Anlise dos possveis erros humanos no evento PEEE .......................................... 50
LISTA DE SIGLAS
1 INTRODUO ................................................................................................................ 12
1.1 CONSIDERAES INICIAIS ...................................................................................... 12
1.2 CONTEXTUALIZAO DO CAMPO DE APLICAO DA TESE ....................... 13
1.3 ENERGIA NUCLEAR .................................................................................................. 14
1.4 OBJETIVOS .................................................................................................................. 16
1.4.1 Objetivos Especficos ................................................................................................ 17
1.5 RELEVNCIA .............................................................................................................. 18
1.6 ORIGINALIDADE, INEDITISMO E CONTRIBUIO CIENTFICA .................... 20
1.7 HIPTESE DA PESQUISA ......................................................................................... 22
1.8 ORGANIZAO DA PESQUISA ............................................................................... 22
2 REFERENCIAL TERICO ............................................................................................ 25
2.1 ORGANIZAES DE ALTO RISCO (HIGH RISK ORGANIZATIONS). .................. 25
2.2 TCNICAS DE INVESTIGAO DE ANLISE DE RISCO ................................... 27
2.2.1 Origem e Consideraes Importantes: Failure Mode and Effect Analysis (FMEA) . 27
2.2.2 Failure Mode and Effect Analysis (FMEA) ............................................................... 28
2.2.3 Aplicaes: Failure Mode and Effect Analysis (FMEA)........................................... 30
2.3 CONFIABILIDADE HUMANA .................................................................................. 31
2.3.1 Tcnicas de Anlise de Confiabilidade Humana ....................................................... 32
2.3.2 Technique for Human Error Rate Prediction (THERP) ............................................ 34
2.3.3 Caractersticas Principais da Technique for Human Error Rate Prediction (THERP)
35
2.3.4 Quantificao da Probabilidade de Erro Humano (PEH) .......................................... 35
2.4 COMPOSIO PROBABILSTICA DE PREFERNCIAS (CPP) ............................ 37
3 METODOLOGIA APLICADA ........................................................................................ 40
3.1 SELEO DO EVENTO PARA O ESTUDO ............................................................. 40
3.2 DETALHAMENTO DA RVORE DE EVENTO PERDA DE ENERGIA ELTRICA
EXTERNA (PEEE) .................................................................................................................. 43
3.3 ESTABELECIMENTO DAS PREMISSAS PARA O ESTUDO ................................. 45
3.3.1 Anlise das Premissas Estabelecidas para o estudo ................................................... 47
3.3.1.1 Anlise de SL1 ............................................................................................................ 47
3.3.1.2 Anlise de SL5 ........................................................................................................... 48
3.4 ANLISE DOS POSSVEIS ERROS HUMANOS NO EVENTO PERDA DE
ENERGIA ELTRICA EXTERNA ......................................................................................... 49
3.5 INTERFACE METODOLGICA ENTRE A TCNICA FAILURE MODE AND
EFFECTS ANALYSIS (FMEA) E A ANLISE DE CONFIABILIDADE HUMANA ........... 50
3.6 LEVANTAMENTO DOS DADOS .............................................................................. 52
4 MODELAGEM E RESULTADOS DO INSTRUMENTO CPP-HI ................................ 54
4.1 DESENVOLVIMENTO DA MODELAGEM DE CLASSIFICAO E
ORDENAO DOS MODOS DE FALHA. ........................................................................... 54
4.2 ANLISE DA SENSIBILIDADE DO MODELO ....................................................... 60
4.3 DISCUSSO DOS RESULTADOS ............................................................................. 68
4.3.1 Resultados da Aplicao do CPP-HI e da Simulao de Monte Carlo ...................... 68
4.3.2 Resultado da Aplicao do CPP-HI e da FMEA Tradicional .................................... 69
4.3.3 Discusso dos Resultados e da Hiptese ................................................................... 71
5 CONCLUSO .................................................................................................................. 73
5.1 UTILIZAO DA TCNICA FMEA PARA ANLISE DA CONFIABILIDADE
HUMANA ................................................................................................................................ 73
5.2 ESTUDO APLICADO AO SETOR NUCLEAR .......................................................... 74
5.3 MODELAGEM APLICADA A FERRAMENTA PROPOSTA .................................. 74
5.4 CONSIDERAES FINAIS E SUGESTES DE ESTUDOS FUTUROS ................ 75
REFERNCIAS ....................................................................................................................... 77
APNDICE 01 PROCESSO DE PESQUISA BIBLIOMTRICA ...................................... 85
APNDICE 02 TCNICAS DE INVESTIGAO DE ANLISE DE RISCO ................. 86
APNDICE 03 QUESTIONRIO ........................................................................................ 88
APNDICE 04 RELATRIO DOS OUTPUTS NA SIMULAO DE MONTE CARLO
DISTRIBUIO TRIANGULAR ........................................................................................... 94
APNDICE 05 TCNICAS DE ANLISE DE CONFIABILIDADE HUMANA ........... 104
APNDICE 06 JULGAMENTO DE VALOR DOS ESPECIALISTAS ............................ 105
APNDICE 07 MOTIVAES PARA ESTUDO DO TEMA E PARA ESCOLHA DOS
FATORES DE CONFIABILIDADE HUMANA .................................................................. 119
12
1 INTRODUO
acidentes como Three Mile Island (1979) e Chernobyl (1986), os atrasos e os custos de
construo mais elevados do que o esperado em algumas usinas nucleares, dentre outros
fatores.
A IEA destacou ainda que, a partir dos anos 2000, houve um interesse renovado na
energia nuclear, e um ritmo de construo acelerado depois de 2005. Em 2010, sessenta e
cinco reatores estavam em construo e sessenta pases manifestaram interesse em lanar um
programa nuclear. Ainda em 2010, a Conferncia Internacional sobre o Acesso Energia
Nuclear representou essa mudana de atitude e contou com a participao de mais de sessenta
pases, representados por quarenta e trs ministros e mil e duzentos participantes.
Em 2011, um grande terremoto, seguido de um tsunami devastou a costa do Pacfico
do norte do Japo e danificou o sistema de resfriamento da usina nuclear Fukushima Daiichi,
resultando em um grave acidente. Segundo a Agncia Internacional nenhuma morte foi
atribuda ao acidente na usina, enquanto ambos os desastres naturais mataram mais de vinte e
mil pessoas. Contudo, ocorreu liberao de materiais radioativos que resultou na
contaminao do ambiente e levou evacuao de milhares de pessoas.
Estes ltimos acontecimentos promoveram uma reflexo global. A maioria dos pases
confirmou seus planos de construo (incluindo China, Emirados rabes, Frana, Polnia,
Reino Unido e Estados Unidos), enquanto um nmero limitado, essencialmente Alemanha e
Itlia, decidiu finalmente abandonar a energia nuclear.
A gerao de energia eltrica no Brasil, segundo informaes da Empresa de Pesquisa
Energtica (EPE), atingiu 570 TWh em 2013, resultado 3,2% superior ao de 2012.
Importaes de 39,9 TWh, somadas gerao nacional, totalizaram uma oferta interna de
energia eltrica de 609,9 TWh. O Brasil apresenta uma matriz eltrica predominantemente
renovvel, com a gerao hidrulica respondendo por 64,9% da oferta interna. As fontes
renovveis representam 79,3% da oferta interna de eletricidade no Brasil. A Matriz pode ser
observada na Figura 01, na qual possvel verificar que a energia nuclear representou 2,4%
do total em 2013.
16
1.4 OBJETIVOS
investigaes sistemticas e estruturadas dos diferentes cenrios de risco que podem levar a
eventos no desejados a partir de ocorrncia de falhas de equipamentos ou de erros humanos.
No contexto das modelagens clssicas, a Avaliao Probabilstica de Segurana
(Probabilistic Safety Analysis - PSA) busca proporcionar informaes qualitativas e
quantitativas sobre a particularidade de projetos e respectivo funcionamento de instalaes,
incluindo a identificao dos fatores ou cenrios que contribuem para o risco e consequente
comparao de opes para o incremento da segurana.
Nesta conjuntura, o objetivo da tese desenvolver um Instrumento Hbrido (CPP-HI)
inovador, a partir da modelagem integrada das tcnicas de Anlise de Modo de Falha e Efeito
(Failure Mode and Effect Analysis - FMEA), de conceitos da Anlise de Confiabilidade
Humana (ACH) e da Composio Probabilstica de Preferncias (Probabilistic Composition
of Preferences - PCP).
Como apoio modelagem e validao do CPP-HI, foi realizada uma simulao em um
evento iniciador Perda de Energia Eltrica Externa PEEE, em uma planta de Energia
Nuclear. Os resultados obtidos foram simulados em ambiente virtual (anlise de
sensibilidade) e se mostraram robustos ao estudo da Anlise de Confiabilidade Humana
(Human Reliability Analysis - HRA) no contexto da PSA.
1.5 RELEVNCIA
2
O termo cultura de segurana foi conceituado pela primeira vez no relatrio tcnico sobre o acidente na usina
nuclear de Chernobyl na Ucrnia, na dcada de 1980, como sendo o conjunto de caractersticas e atitudes das
organizaes e dos indivduos, que garante que a segurana de uma planta nuclear, pela sua importncia, ter
a maior prioridade (SILVA, 2003). A partir de ento, a indstria nuclear reconheceu a importncia da cultura
de segurana nas suas instalaes e incentivou os operadores de usinas nucleares a avali-la (GLENDON;
STANTON, 2000; FLIN et al., 2000; MEARNS; WHITAKER; FLIN, 2003; REASON, 1997).
19
Alm dos eventos listados, outros tambm foram observados no Peru e Turquia, em
1999, na Argentina e Reino Unido, em 2005, e na Blgica e Sucia, em 2006. J no ano de
2011, em Fukushima, Japo, atenta-se para o terremoto que atingiu o pas desencadeando um
tsunami que provocou exploses nos reatores. Tal acontecimento rapidamente ganhou
repercusso no cenrio mundial. Documentos do prprio governo japons, como o relatrio
Nuclear Emergency Response Headquarter, j citado anteriormente, apontaram que a APS na
gesto de risco poderia ser utilizada de forma mais efetiva. Outros pases tambm se
manifestaram e, no Brasil, a Eletrobrs, no relatrio DT-006/11, destacou novamente a
importncia da APS.
Alm das manifestaes internacionais e dos eventos citados, que podem ser
aprofundados no International Nuclear and Radiological Event Scale (INES), a literatura
utilizada neste trabalho ser aprofundada na reviso bibliogrfica, que demonstrar um vasto
20
RPN final. Estas observaes podem levar a uma tomada de deciso equivocada por
parte dos especialistas.
3
Bizagi Software que permite a modelagem, execuo e a melhoria dos processos de negcio atravs de um
ambiente grfico e sem necessidade de programao.
24
2 REFERENCIAL TERICO
Neste captulo sero expostas as contribuies e discusses pertinentes dos autores que
discorreram sobre o tema proposto no estudo. Sero apresentados conceitos, definies e
abordagens necessrias para o desenvolvimento do trabalho. No apndice 07 apresentado
ainda um resumo com citaes que motivaram a escolha do tema e a seleo dos fatores de
confiabilidade humana.
Perrow (1984) sugere que os acidentes (ou desastres catastrficos) so mais provveis
ou "habituais" em organizaes que se caracterizam pela elevada complexidade, por exemplo,
usinas de energia nuclear. Estas organizaes, muitas vezes, precisam superar tenses internas
que resultam de metas organizacionais divergentes, especialmente segurana versus custo.
Reason (1997) discorre sobre este conflito entre a manuteno da segurana e o alcance de
uma maior eficincia operacional.
Bierly, Gallagher e Spender (2014) reforam que muitas organizaes tm de enfrentar
a possibilidade de que uma falha no sistema resulte em grande catstrofe. Alm da energia
nuclear, que foi destacada por Perrow, os autores enfatizam que fbricas de produtos
qumicos, redes de energia eltrica, agncias espaciais, redes de controle de trfego areo e
sistemas militares (porta-avies, submarinos, instalaes de lanamento de msseis, dentre
outros) so consideradas organizaes de alto risco (HROs).
Alguns pesquisadores mais focados em desafios operacionais argumentam que os
acidentes normais podem ser evitados se as organizaes tornarem-se confiveis atravs da
implementao de uma "cultura de alta confiabilidade" (WEICK, 1987; BIERLY E
SPENDER, 1995). Desta forma, Weick e Roberts (1993) destacam que as organizaes de
alto risco, na viso de Perrow, com o uso de uma cultura organizacional concebida, poderiam
ser transformadas neste tipo de organizao.
Alm de uma cultura de alta confiabilidade, outros aspectos so destacados para que
uma organizao se torne confivel, como: um ambiente rico de aprendizagem e um sistema
de remunerao adequado (ROBERTS, 1990), e o desenvolvimento de uma mente coletiva
sobre os subsistemas (WEICK E ROBERTS, 1993). Carroll (1995) prope a importncia do
26
QUANTITATIVAS OU
QUALITATIVAS SEMI-
QUANTITATIVAS
FMEA QRA
FMECA SIL Studies
FTA FTA
ETA ETA
HAZOP LOPA
HAZID
WHAT IF
2.2.1 Origem e Consideraes Importantes: Failure Mode and Effect Analysis (FMEA)
Pentti e Atte (2002) relatam que a primeira documentao da FMEA foi reconhecida
no procedimento MIL-P-1629, em 1949, pelo Exrcito dos Estados Unidos (US Defense
28
Department, 1949). Este procedimento serviu de modelo para a elaborao das normas
militares MIL-STD-1629 e MIL-STD-1629A, que detalham a FMEA. Pentti e Atte (2002)
destacam tambm a aplicao da tcnica na indstria aeroespacial na dcada de 60.
Esta informao da indstria aeroespacial vai ao encontro da viso de outros autores,
que destacam a utilizao da FMEA no desenvolvimento do projeto Apollo, a partir de
estudos elaborados pela National Aeronautics and Space Administration (NASA)
(BERTSCHE, 2008; CLARKE, 2005; JOHNSON e KHAN, 2003; MCDERMOTT,
MIKULAK e BEAUREGARD, 2009; PUENTE et al., 2002; SEYED-HOSSEINI, SAFAEI e
ASGHARPOUR, 2006).
Na dcada de 70, a temtica sobre a ferramenta passou a ser discutida de forma mais
ampla e, em 1978, a Ford Company foi pioneira no setor automobilstico ao integrar a FMEA
em seu conceito de garantia da qualidade (CLARKE, 2005).
Aps a iniciativa da Ford, na dcada de 80, as empresas automotivas que formam a
Automotive Industry Action Group (AIAG) incorporaram formalmente a ferramenta em seus
processos de desenvolvimento de produtos, por meio da norma QS-9000 (LAURENTI,
VILLARI e ROZENFELD, 2012). Ainda segundo estes autores, a indstria alem seguiu o
movimento e adotou o uso da ferramenta, que foi definido pela Verband der
Automobilindustrie - German Association of the Automotive Industry (VDA).
SantAnna (2012) enfatiza que a FMEA uma ferramenta para reduzir a probabilidade
de falhas crticas por meio da anlise das falhas potenciais e do desenvolvimento de aes de
melhoria. Ainda sobre o assunto, segundo Fogliatto e Ribeiro (2009), a FMEA uma tcnica
que auxilia a busca por excelncia em projetos e processos. Stamatis (1995) relata que a
FMEA utilizada na definio, identificao e eliminao de falhas conhecidas e/ou
potenciais de um projeto de produto e/ou de seu processo de fabricao antes que elas
cheguem ao cliente.
= () () ()
Equao 1: Clculo do RPN
Para Reason (2000), as falhas humanas resultam de processos mentais, tais como, o
esquecimento, a falta de ateno, o baixo nvel de motivao, a falta de cuidado, a negligncia
e a imprudncia.
Com o destaque destes conceitos, a Probabilidade Total de Falha pode ser expressa
pela equao 3:
= + (1 ) + (1 )
= +
Equao 4: Probabilidade Total de Falha (Equao simplificada)
A atualizao das tabelas do THERP no que diz respeito atualizao do perfil scio
tcnico das plantas uma necessidade, entretanto, as tabelas do THERP, at a presente
data, so as nicas que apresentam as probabilidades de erro humano dentro de um
espectro mais amplo (NUREG-1278).
necessrio considerar que, na aplicao do mtodo, apesar de suas limitaes, muitas
vezes, o analista no aprofunda as possibilidades que o mtodo apresenta, ou seja, no
utiliza totalmente o potencial do mesmo.
O aprofundamento citado anteriormente pode permitir uma melhor quantificao da PEH,
utilizando-se as tabelas do THERP (NUREG-1278). Essa ao torna-se importante
enquanto mtodos de confiabilidade humana de segunda gerao ainda no apresentam
um processo de quantificao definido ou ainda no aceito pelos especialistas da ACH.
O modelo de quantificao da PEH utilizada na ACH do Reator AP1000, mesmo com as
limitaes do THERP (NUREG-1278), permite a utilizao do mtodo de um modo mais
eficiente, ao tratar a Fase Cognitiva aproximando-a das boas prticas que regem a ACH.
Aik+ = jP[Xk>Yijk]
Aik- = jP[Xk< Yijk]
3 METODOLOGIA APLICADA
O evento Perda de Energia Eltrica Externa (PEEE) T1- Loss of Off-Site Power
(LOSP) foi selecionado para o estudo, visto que se trata de um evento de grande importncia
na viso da Eletronuclear e da Comisso Nacional de Energia Nuclear. Um procedimento
errado nesta situao pode ocasionar severos danos ao ncleo do reator. Este evento
representa mais de 45% da frequncia de danos ao ncleo conforme figura 06. A importncia
do evento PEEE devida principalmente a probabilidade de vazamento no caso de falha no
resfriamento dos selos das bombas de refrigerao do reator.
41
Figura 06: Contribuio dos eventos iniciadores para a frequncia de danos ao ncleo do reator
Fonte: Eletronuclear (2014)
Fuga pelos selos das Bombas de Refrigerao do Reator (SL) - este evento no tem
funo mitigadora e no categorizado como uma funo de segurana. O evento
modela a probabilidade de os selos das Bombas de Refrigerao do Reator (BRRs)
falharem no perodo entre a falha dos Geradores Diesel Alinhados e a operao de
pelo menos um Gerador Diesel de Reserva. A Westinghouse Owners Group4 assume
um tempo de treze minutos para se considerar a falha dos selos. Como a APS
(Avaliao Probabilstica de Segurana) de Angra 1, utilizada como apoio
modelagem, considera que o alinhamento e a partida de pelo menos um Gerador
Diesel de Reserva se d provavelmente num tempo muito prximo ou mesmo superior
a este, a probabilidade deste evento questionada na rvore de eventos. A rvore de
eventos SL1 representa a probabilidade de os selos no falharem e desenvolverem
uma fuga de 21 gpm/bomba. E SL5 representa a probabilidade dos selos falharem e
desenvolverem um Loss of Coolant accidents (LOCA). Em caso de ocorrncia do
LOCA, a rvore de eventos requer o questionamento da disponibilidade do sistema de
injeo de segurana de alta presso para sua mitigao;
gua de Alimentao Auxiliar (AF) o Sistema de gua de Alimentao Auxiliar
(SAAA) remove o calor de decaimento. O sucesso do SAAA requer a operao de
pelo menos uma das trs bombas de gua de alimentao auxiliar (AAA), liberando
um fluxo total de 1040 lpm para pelo menos um gerador de vapor. O sucesso de AF
tambm assume adequada capacidade de liberao de vapor, que pode ser alcanada
com a operao das vlvulas de alvio dos geradores de vapor, ou por uma das cinco
vlvulas de segurana. Devido perda de energia eltrica externa e,
consequentemente, perda das bombas de gua de circulao, o sistema de desvio do
vapor para o condensador no estaria disponvel;
Resfriamento dos Selos das BRRs (SC) a condio de sucesso para o resfriamento
dos selos requer a operao de uma das trs bombas do sistema de remoo de calor
(SRC). A falha desta funo deixar os selos em condies vulnerveis. A temperatura
elevada por um longo tempo pode ocasionar falhas nos selos e levar a um LOCA;
Bleed and Feed do Sistema de Refrigerao do Reator (BF) o sucesso da operao
requer que o operador reconhea a necessidade da ao pelo Procedimento RF-F.1,
que ele d a partida em pelo menos uma bomba de injeo de segurana de alta
4
Westinghouse uma empresa de energia nuclear com sede nos EUA, controlada pelo Grupo Toshiba, e oferece
produtos e servios na rea nuclear, incluindo o combustvel, a assistncia e manuteno, instrumentao,
controle e projeto de usinas nucleares. No ano de 2014 a Westinghouse constri e opera aproximadamente
metade das usinas nucleares em funcionamento no mundo.
45
Figura 08: Premissas para o estudo no Evento T1- Perda de Energia Eltrica Externa
Fonte: Adaptado Eletronuclear (2010)
partir disto, feita ento a priorizao dos modos de falha com a multiplicao dos valores O,
S e D. Esta multiplicao representada pelo Risk Priority Number (RPN) (LIU et al., 2013).
Aps o estudo do FMEA, foram realizadas adaptaes na tcnica para anlise dos
possveis erros humanos no evento Perda de Energia Eltrica Externa. Nesta adequao,
considerou-se ainda a utilizao dos conceitos de ACH em conjunto com FMEA e CPP. Pode-
se observar com clareza as adaptaes nos tpicos abaixo e na Figura 09:
Na tabela utiliza-se o termo erro humano (foco do estudo). A tabela foi
adaptada de forma a facilitar o entendimento dos erros humanos;
Alm dos fatores tradicionais para o estudo dos erros humanos, adicionou-se o
ndice Estresse (E) para considerar as situaes de desconforto do operador
diante de um cenrio que desafia a planta;
Adicionou-se tambm o fator Cognio representado pelo termo
Ininteligibilidade (I);
O ndice R (risco) seria o RPN. Na FMEA tradicional, o RPN representado
pela multiplicao dos fatores (O), (D) e (S). Na anlise dos fatores (O), (D),
(I), (E), e (S) ser utilizada a composio probabilstica de preferncias para
eliminar algumas fragilidades do clculo do RPN, que so abordadas na
reviso terica;
Para levantamento dos fatores O, D, I, E, e S foi realizada uma pesquisa com
especialistas.
52
conceitos da FMEA e da ACH, e contou, alm disso, com o suporte dos materiais estudados e
dos feedbacks dos especialistas. Foram considerados os julgamentos de valor de um grupo
reduzido de especialistas, visto a complexidade e a necessidade de um alto conhecimento para
o preenchimento. Participaram sete especialistas que trabalham diretamente com anlise de
confiabilidade humana.
Para a elaborao do material, foram realizadas visitas em Angra 1, usina que foi
utilizada como apoio modelagem. Em uma das visitas, o grupo de especialistas reuniu-se,
para que se pudesse realizar uma apresentao formal da proposta do trabalho, bem como uma
explicao geral sobre o preenchimento do questionrio. A partir desta reunio, foram
propostas modificaes por parte dos especialistas e, aps o consenso das mudanas,
elaborou-se a verso final do questionrio.
Os valores para os fatores (O) Ocorrncia, (D) Deteco, (I) Processo Cognitivo ou
Ininteligibilidade, (E) Estresse e (S) severidade, foram preenchidos em uma escala Likert5 - de
1 a 5 para cada possvel erro humano na execuo dos procedimentos de falta de energia
eltrica externa.
As escalas de severidade, e processo cognitivo ou ininteligibilidade foram divididas
em cinco classes: muito baixa(o), baixa(o), moderada(o), alta(o) e muito alta(o). Essas classes
esto associadas a valores de 1 a 5, sendo que, quanto maior a severidade e a
ininteligibilidade, maior ser a pontuao ou criticidade. Observa-se que, em severidade,
compreende-se uma anlise individual do impacto nas pessoas, instalaes e meio ambiente.
J em ininteligibilidade, foram considerados a complexidade da tarefa e o tempo de diagnose.
A escala do fator estresse foi dividida em: baixo, ideal, moderado, alto e ameaador.
Neste caso no foi utilizada uma escala crescente, visto que, em um ambiente com uma baixa
carga de trabalho e um tempo de execuo confortvel, o operador pode estar extremamente
ocioso e desatento e este pode no ser o cenrio menos crtico. No fator estresse so
analisados a carga de trabalho e o tempo de execuo.
As escalas de ocorrncia e deteco seguem o mesmo padro da maioria, de forma
crescente, variando de 1 a 5 pontos, sendo a classificao da ocorrncia estabelecida em:
muito improvvel, improvvel, ocasional, provvel e muito provvel. Para a deteco foram
definidas as classes: muito fcil, fcil, moderada, difcil e muito difcil.
5
A escala Likert ou escala de Likert um tipo de escala de resposta psicomtrica usada habitualmente em
questionrios, e a escala mais usada em pesquisas de opinio. Ao responderem a um questionrio baseado
nesta escala, os perguntados especificam seu nvel de concordncia com uma afirmao. Esta escala tem seu
nome devido publicao de um relatrio explicando seu uso por Rensis Likert (1932).
54
Segundo o mtodo CPP, sobre cada modo de falha, foi calculada a probabilidade de
ter-se uma avaliao acima ou abaixo dos perfis de cada classe. Supondo independncia nas
avaliaes de diferentes critrios, a probabilidade de uma alternativa ter avaliao abaixo dos
perfis de uma classe segundo todos os critrios o produto das probabilidades segundo cada
critrio isoladamente. O mesmo procedimento deve ser realizado para a probabilidade de ter-
se a avaliao acima. O modo de falha ser ento alocado na classe em que se observar a
mnima diferena entre esses dois produtos. E, com a classificao, possvel verificar o
nvel de criticidade de cada modo de falha.
Foram considerados os seguintes termos para a formulao do que foi descrito acima:
Matriz A mxn;
m = representa os modos de falha identificados no evento PEEE;
n = representa os critrios para o julgamento de valor;
A mn = mdia da avaliao dos especialistas para o modo de falha e os
critrios que esto sendo observados;
Matriz B i x n;
i = representa cada classe;
n = representa os critrios para o julgamento de valor;
B in = valor que compe cada perfil de cada classe para cada critrio.
P I MA O D CT TD CT` TE
1 2,1 3 1,7 2,4 2,9 2,4 2,6 3,1 3,1
2 1,6 2,6 1,3 2,0 3 2,3 2,4 2,4 2,6
3 2,9 2,9 1,7 1,9 3,2 2,3 2,6 2,4 2,3
4 1,9 2,4 1,3 2,1 3 2,3 2,4 2,3 2,6
= 5 2,3 3,7 2,1 1,9 3 2,6 2,6 3,7 3,1
6 1,9 2,7 1,4 1,7 3,3 3,1 3,7 3,9 3,9
7 2,3 3 1,7 1,9 3,1 3,3 3,6 3,7 3,7
8 2 3,3 2,3 2 3,1 3 3,3 3,1 3,7
9 1,9 3,4 2,1 1,7 3 2,3 2,9 2,4 2,4
(10 2,3 3,6 2,1 1,9 3,1 2,4 2,7 2,1 2,7)
Na Matriz B ixn, observa-se nas colunas os critrios similares aos da matriz A mxn. E,
nas linhas, as classes de criticidade representados por: B1, B2, B3, B4 e B5. Estas classes
representam o nvel de criticidade. Cada modo de falha ser relacionado a uma classe
especfica. O nvel de criticidade aumenta de B1 para B5. O item B22, representado pelo
nmero 3, significa o perfil da classe B2 para o critrio de Severidade nas Instalaes (I).
Aps este entendimento, sobre cada modo de falha presentes na Matriz A mxn, calculam-se as
probabilidades de estarem acima ou abaixo de cada classe, representadas na Matriz B ixn.
Com o julgamento de valor dos especialistas, possvel calcular a probabilidade de cada
modo de falha ter uma avaliao acima ou abaixo dos perfis de cada classe.
P I MA O D CT TD CT` TE
1 1 1 1 1 3 2 1 1 1
B 2 2 3 1 2 3 2 2 2 2
3 2 4 1 2 3 3 3 3 3
4 3 4 2 2 3 3 4 4 4
(5 3 4 4 3 3 4 4 4 5)
Figura 10: Probabilidade de a alternativa A (modo de falha) apresentar valor acima e abaixo dos valores
informados para os critrios de cada classe
Com bases nas informaes apresentadas, os valores absolutos das diferenas de Aik+ e
Aik-, para cada classe e modos de falha, so comparados de forma que a alternativa seja
classificada na classe do menor valor observado. Na Figura 11, o modo de M7 se destaca dos
demais, apresentando um nvel de criticidade mais elevado.
O modo de falha M7, identificado como mais crtico, est contemplado no
procedimento de Injeo de Segurana de Alta Presso, representado pelo evento topo HH.
O modo de falha M7 est relacionado falha em isolar a descarga para o tanque de surto de
injeo de boro pelo fechamento das vlvulas manuais 8971 e 8974. J M2 e M4 so
identificados com um menor nvel de criticidade. M2 corresponde falha manual em atuar as
bombas de AAA aps a falha da partida automtica no evento topo AF. E M4 corresponde
falha em estabelecer gua de alimentao auxiliar pela partida das bombas motorizadas, aps
perda de energia eltrica externa com falha dos Geradores Diesel Alinhados.
Observa-se, ainda, que a maior parte dos modos de falha alocados em classes para a
identificao das criticidades ficaram concentrados na classe trs. Utilizou-se ento o clculo
de maximizao da probabilidade com a composio probabilstica de preferncias, de forma
a diferenciar a criticidade de cada modo de falha com o algoritmo matemtico ilustrado na
Figura 12. No algoritmo pode-se observar a considerao dos desvios padro de cada critrio
representado pela letra s, assim como os dados de entrada ou avaliaes dos especialistas
representadas pelo arquivo dadosfmea9.
Como apoio modelagem foi utilizado o software R, que pode ser visto na Figura 13.
Considerando o mtodo de composio probabilstica, possvel ento observar a ordenao
dos modos de falha conforme a criticidade.
59
CPP Criticidade
M1 6,27994E-14 Dcimo
M2 9,48783E-14 Nono
M3 1,99568E-11 Sexto
M4 1,78410E-13 Oitavo
M5 6,12901E-10 Quarto
M6 4,32732E-09 Terceiro
M7 1,84507E-08 Primeiro
M8 7,56359E-09 Segundo
M9 2,98761E-12 Stimo
M10 5,13E-11 Quinto
Na anlise anterior foram considerados os desvios padro dos critrios, o que acaba
por atribuir importncia aos fatores observados. Alm desta anlise foi proposta a utilizao
de um desvio padro fixo, representado pelo valor de 22, para todos os critrios. Pode-se
destacar que a ordenao, ilustrada na figura 15 apresentou coerncia indicando ainda como
mais crticos os modos de falhas M6, M7 e M8 e como de menor criticidade M2 e M4.
Observa-se ainda que ao no considerar a importncia diferenciada para os fatores ou
critrios, as distncias dos outputs encontrados foram reduzidas.
CPP Criticidade
M1 8,06665E-10 Quinto
M2 1,05874E-10 Dcimo
M3 3,36476E-10 Oitavo
M4 1,14797E-10 Nono
M5 2,03679E-09 Quarto
M6 2,65386E-09 Terceiro
M7 4,45114E-09 Primeiro
M8 3,43939E-09 Segundo
M9 3,61383E-10 Stimo
M10 6,04303E-10 Sexto
Figura 15:CPP para cada modo de falha com desvio padro fixo
Aps a modelagem dos dados de entrada e de sada, foi realizada a simulao com mil
interaes aleatrias, respeitando os parmetros e a distribuio utilizada. Para exemplificar,
tem-se na Figura 17 o RPN1 de M1.
Observa-se uma probabilidade de 90% do nvel de criticidade de M1 estar entre 1.232
e 11.716. Lembrando que, nesta anlise, como a escala varia de 1 a 5 e so nove critrios, o
valor mximo seria de 59. Diferente do que havia na anlise determinstica, h, agora, uma
faixa de criticidade que estendida para os demais modos de falha, para que seja feita uma
comparao. Destaca-se, ainda, que se poderia utilizar outras probabilidades de determinao
da faixa. Alm do grfico de densidade de probabilidade tambm destacado o grfico
acumulado. Ao lado, contam alguns dados importantes como o nmero de simulaes,
nmero de interaes, nmero de inputs e outputs, o gerador aleatrio utilizado, dentre outros.
Em uma segunda tabela, observa-se ainda o menor valor de RPN1 encontrado 305 e o
maior valor encontrado 29.513, alm de outros dados como mdia, mediana e desvio
padro. No Apndice 04 esto os relatrios dos demais modos de falhas para um
aprofundamento, se necessrio. Adiante, ser apresentado um resumo para comparao das
faixas de criticidades.
63
Outra anlise pode ser demonstrada pelo grfico tornado, presente na Figura 18, que
permite a anlise do impacto de cada critrio no RPN observado. Observa-se que o critrio
Severidade, relacionado ao Meio Ambiente (MA), exerce um grande impacto no output.
Pode-se observar tambm a influncia dos demais critrios de forma individual.
64
Na sequncia desta anlise na Figura 19, apresentado um resumo que torna possvel
a comparao das faixas de criticidade dos modos de falha. Os modos de falha M6 M7, M8,
na colorao vermelha, foram identificados como mais crticos. O nvel de criticidade de M6
pode variar de 2.522 a 19.772, M7 de 4.730 a 32.016 e M8 de 2.187 a 24.351. Entende-se que
estes modos de falha apresentam um alto nvel de criticidade e, por isso, necessria uma
ateno especial. Os modos de falha M2 e M4, na colorao verde, apresentam valores
relativamente baixos, visto que os valores mais altos destes esto prximos dos valores
mnimos de M6, M7 e M8. O modo de falha M2 apresenta uma variao de 258 a 3.066 e o
modo de falha M4 apresenta uma variao de 199 a 2.345. Desta forma, necessrio um
menor esforo no acompanhamento destes modos de falha. Os outros modos de falha: M1,
M3, M5, M9 e M10, na colorao amarela, apresentam variaes de criticidade em um nvel
intermedirio e devem ser acompanhados de perto. Neste tipo de anlise estocstica, a
subjetividade do julgamento de valor dos especialistas considerada, o que difere da anlise
determinstica. No se trabalha, neste caso, de forma pontual, mas sim de forma a reconhecer
que o nvel de criticidade de determinado modo de falha pode variar dependendo da viso do
especialista que est realizando a anlise, das condies do ambiente, dentre outros fatores.
65
Na Figura 20, os modos de falha M6, M7 e M8, identificados como mais crticos,
podem ser observados no detalhe. A barra vermelha indica 90% de probabilidade de o nvel
de criticidade estar entre os valores mnimos e mximos observados.
66
Foi realizada uma simulao com a FMEA tradicional para o estudo dos resultados e
comparao com as modelagens que foram propostas. Na FMEA tradicional foram
considerados os critrios: Severidade, Deteco e Ocorrncia. Aps o julgamento de valor dos
especialistas, a moda (valor mais frequente) de cada critrio foi considerada para avaliao da
criticidade dos modos de falha, desta forma, a partir dos dados de entrada, foi possvel a
multiplicao dos critrios de cada modo de falha para verificao do output ou RPN, que
representa o ndice de criticidade.
Na Figura 24 observam-se os resultados obtidos com o mtodo e a ordenao da
criticidade. Visto que a escala utilizada varia de 1 a 5 e foram definidos trs critrios, o valor
mximo de criticidade 125. Na anlise dos resultados, possvel verificar que h um grande
nmero de empates, o que dificulta a tomada de deciso acerca do modo de falha que se
dever priorizar. Observa-se ainda que, ao utilizar a moda, opinies e interpretaes dos
especialistas so descartadas. Alm disso, dependendo da variao de um determinado
critrio, isto pode ocasionar um impacto grande no output final e uma distoro da real
criticidade do modo de falha.
70
Na Figura 26, possvel observar um resumo dos resultados das anlises. A utilizao
do instrumento hbrido CPP-HI permitiu a classificao e a ordenao de cada modo de falha
conforme a criticidade. Destaca-se ainda que, na ordenao, foi realizada uma anlise
atribuindo importncia aos fatores (critrios) ao considerar os desvios padro na modelagem,
alm disso, tambm foi elaborado um estudo com os desvios de forma fixa para verificao
dos resultados. Ambas as abordagens apresentaram coerncia, indicando os modos de falha
M7, M8 e M6 como de maior criticidade. Verifica-se tambm que M4, M2 e M1 foram
destacados como de menor criticidade.
Alm das anlises com a utilizao do CPP, foi feita uma Simulao de Monte Carlo,
de forma a verificar a sensibilidade da modelagem. Esta simulao, que apresenta resultados
de forma estocstica, foi feita de duas formas: por distribuio triangular e por distribuio
normal. As distribuies utilizadas permitem a anlise por faixas de criticidade. O uso da
distribuio triangular permitiu considerar os extremos dos julgamentos de valor dos
especialistas e o valor mais frequente; enquanto a distribuio normal, por meio do desvio
padro, permitiu considerar a subjetividade presente nos julgamentos de valor dos
especialistas. Os resultados apresentados foram coerentes com o uso do CPP na indicao da
criticidade de cada modo de falha, como pode ser visto na Figura 26.
Ao observar os resultados da FMEA tradicional, destaca-se a ocorrncia de muitos
empates, o que dificulta uma tomada de deciso. Alm disto, a simples multiplicao dos
valores pode gerar uma distoro da real criticidade de cada modo de falha. Outros aspectos
tambm podem ser observados, como: a utilizao da moda, que acaba por desconsiderar a
subjetividade do julgamento de valor dos especialistas, e o fato de a FMEA tradicional no
considerar critrios importantes para a avaliao da ACH, como a carga de trabalho, o tempo
de diagnose, a complexidade da tarefa e o tempo de execuo.
Observou-se, ento, que a utilizao dos fatores Ininteligibilidade e Estresse, associada
aos fatores clssicos da FMEA (Severidade, Deteco e Ocorrncia), e viabilizada pelo
instrumento CPP-HI, auxilia na diminuio da subjetividade inerente ao julgamento de valor
relacionado ao processo decisrio da criticidade dos modos de falha. Um exemplo clssico o
modo de falha M6, que, de acordo com a FMEA tradicional, por considerar apenas os
critrios de Deteco, Ocorrncia e Severidade, est situado em uma regio de baixa
criticidade. Este resultado, entretanto, no procede quando so considerados critrios de ACH
72
na FMEA tradicional viabilizados pela modelagem com o uso do CPP. Neste caso, o modo de
falha M6 apresenta alta criticidade, resultado confirmado com o uso da simulao de Monte
Carlo.
5 CONCLUSO
deste trabalho, foi realizada uma avaliao preliminar com base nas probabilidades de erro
humano obtidas com a utilizao da tcnica THERP. Feita a comparao dos resultados, em
termos de ordenao com o CPP-HI, foram observados a coincidncia no ranking de 4 modos
de falha, e que dois outros modos de falha apresentaram uma pequena variao. Dentro do
cenrio observado este estudo proposto relevante para um entendimento de futuras
contribuies.
Entende-se ainda que o desenvolvimento da interface do instrumento proposto, CPP-
HI com o usurio, um objeto de estudo importante. Os fatores adicionados a FMEA para a
anlise com foco na confiabilidade humana tambm poderiam ser aprofundados de forma a
verificar o comportamento dos resultados com outras abordagens. Por fim enfatiza-se a
aplicao e adaptao do instrumento em diferentes setores, no restringindo o uso somente
para a rea nuclear.
77
REFERNCIAS
AIAG. Potential Failure Mode and Effects Analysis (FMEA) - Reference Manual, Fourth
Edition, 2008.
APKON, M.; LEONARD, J.; PROBST, L.; DELIZIO, L.;VITALE, R. Design of a safer
approach to intravenous drug infusions: Failure mode effects analysis. Quality and Safety in
Health Care, v. 13, p. 265-271, 2004.
AVEN, T.; SKLET, S.; VINNEM, J. E. Barrier and operational risk analysis of hydrocarbon
releases (BORA Release), Part I. Method description. Journal of Hazardous Materials, v. 137,
p. 681-691, 2006.
BEN-DAYA, M.; RAOUF, A. A revised failure mode and effect model. International Journal
of Quality & Reliability Management, v.13, p.43-47, 1993.
BIEDER, C.; LE-BOT, P.; DESMARES, E.; BONNET, J.; CARA, F. MERMOS: EDF's New
Advanced HRA Method. A. Mosleh, R.A. Bari (Eds.), Probabilistic Safety Assessment and
Management (PSAM 4), Springer-Verlag, New York ,1998.
BIERLY, P.; SPENDER, J.C. Culture and high reliability organizations: the case of the
nuclear submarine. Journal of Management, v.21, p.639-656, 1995.
BIERLY, P.; GALLAGHER, S.; SPENDER, J.C. Innovation decision making in high-risk
organizations: A comparison of the US and Soviet attack submarine programs. Oxford
Journals, Social Sciences Industrial and Corporate Change, v.23, Issue 3, p.759-795, 2014.
BOWLES, J.B.; PELAEZ, C.E. Fuzzy logic prioritization of failures in a system failure mode,
effects and criticality analysis. Reliability Engineering & System Safety, v. 50, p. 203-213,
1995.
78
CALIXTO, E. ; SCHIMITT, W. Anlise Ram do projeto Cenpes II. Petrobrs. Rio de janeiro,
2005.
CALIXTO, E. Gas and Oil Reliability Engineering: Modeling and Analysis, Waltham:
Elsevier, 2013
CALIXTO, E.; PAULO, D.; FAERTE, D.; JUNIOR, W. Comparao entre diferentes
mtodos de anlise de confiabilidade humana: Estudo de caso da anlise de confiabilidade
humana da partida do turbogerador. VII Congresso Nacional de Excelncia em Gesto, Rio de
Janeiro, 2011.
CARROLL J. S. Incident reviews in high-hazard industries: sense making and learning under
ambiguity and accountability. Organization and Environment, v.9(2), p.175-197, 1995.
CLARKE, C. Automotive Production Systems and Standardisation: From Ford to the Case of
Mercedes-Benz. Heidelberg: Physica-Verlag, 2005.
COHEN, M. R.; SENDERS, J.; DAVIS, N. M. Failure mode and effects analysis: A novel
approach to avoiding dangerous medication errors and accidents. Hospital Pharmacy, v.
29, p.319-330, 1994.
DEKKER, S. Ten Questions about Human Error: A New View of Human Factors and System
Safety. Mahwah, NJ: Lawrence Erlbaum Associates, 2005.
DEROSIER, J.; STALHANDSKE, E.; BAGIAN, J. P.; NUDELL, T. Using health care
Failure Mode and Effect Analysis: the VA National Center for Patient Safety's prospective
risk analysis system. The Joint Commission journal on quality improvement, v.28, p.248-267,
2002.
79
FLIN, R. et al. Measuring climate: identifying the common features. Safety Science, v. 34, p.
177-192, 2000.
GARCA, A.; GILABERT, E. Mapping FMEA into Bayesian networks. International Journal
of Performability Engineering, v.7, p. 525-537, 2011.
GERTMAN, D. I.; BLACKMAN H. S.; BYERS, J.; HANEY L. N.; SEIDLER, K. S.;
HAHN, H.A. INTENT: a method for estimating human error probabilities for decision based
errors. Reliability Engineering and System Safety, v.35, p.127-136, 1992.
GERTMAN, D. I.; BLACKMAN, H. S. Human reliability & safety analysis data handbook.
New York: Wiley-Interscience, 1994.
GERTMAN, D. I.; BLACKMAN H. S.; BYERS J.; HANEY L. N.; SMITH, C.; MARBLE
J. The SPAR-H Method, NUREG/CR-6883. U.S. Nuclear Regulatory Commission,
Washington, DC, 2005.
GOYAL, R. K. FMEA, the alternative process hazard method. Hydrocarbon Processing, v.72,
p. 95-99, 1993.
80
HOLLNAGEL, E. Cognitive Reliability and Error Analysis Method (CREAM). New York:
Elsevier Science, 1998.
JOHNSON, K. G.; KHAN, M. K. A study into the use of the process failure mode and effects
analysis (PFMEA) in the automotive industry in the UK. Journal of Materials Processing
Technology, v.139, p.348356, 2003.
JUNIOR, R. P. S. P.; SANT`ANNA, A. P. Composio probabilstica no clculo das
prioridades na FMEA. Revista Sistemas & Gesto, v. 05, p. 179-191, 2010.
KIRWAN, B. A resource flexible approach to human reliability assessment for PRA. Safety
and Reliability Symposium. Amsterdam: Elsevier Applied Sciences, 1990, p. 114135.
KIRWAN, B.; GIBSON H.; KENNEDY, R.; EDMUNDS, J.; COOKSLEY, G; UMBERS I.
Nuclear Action Reliability Assessment (NARA): a data based HRA tool. Probabilistic Safety
Assessment and Management, p. 12061211, 2004.
KIRWAN, B.; GIBSON, H.; CARA: A human reliability assessment tool for air traffic safety
management - Technical basis and preliminary architecture. In F. Redmill and T. Anderson
(Eds.), The Safety of Systems: Proceedings of the Fifteenth Safety-Critical Systems
Symposium. London: Springer Verlag, 2007, p. 197-214.
LEE, B.H. Using Bayes belief networks in industrial FMEA modeling and analysis.
Proceedings of the Annual Reliability and Maintainability Symposium. Philadelphia: IEEE
press, 2001, p. 7-15.
LEVESON N. System Safety Engineering: Back to the Future. Cambridge, MA: MIT Press,
2009.
LIU, H. C.; LIU, L.; LIU, N. Risk evaluation in failure mode and effects analysis: a literature
review. Expert Systems with Applications, v.40, p.828-838, 2013.
MEARNS, K.; WHITAKER, S. M.; FLIN, R. Safety climate, safety management practice and
safety performance in offshore environments. Safety Science, v. 41, p. 641-680, 2003.
PENTTI, H.; ATTE, H. Failure mode and effects analysis of software - based automation
systems.STUK - Radiation and Nuclear Safety Authority. Helsinki, 2002.
PILLAY, A., WANG, J. Modified failure mode and effects analysis using approximate
reasoning. Reliability Engineering and System Safety, v.79, p. 69-85, 2003.
PUENTE, J.; PINO, R.; PRIORE, P.; FUENTE, D. D. L. A decision support system for
applying failure mode and effects analysis. International Journal of Quality & Reliability
Management, v.19, p.137-150, 2002.
REASON, J. Safety paradoxes and safety culture. Injury Control and Safety Promotion, v.7,
p. 3-14, 2000.
82
RIGBY, L.V. The Sandia human error rate bank (SHERB). Man-Machine Effectiveness
Analysis: A Symposium of the Human Factors Society, 5-1 5-13, 1967.
ROSA, L. C.; GARRAFA, M. Anlise dos modos de falha e efeitos na otimizao dos fatores
de produo no cultivo agrcola: subprocesso colheita de canola. Gesto & Produo, v. 16, p.
63-73, 2009.
ROY, B. Classement et choix en prsence de points de vue multiples (la methode Electre).
RAIRO - Operations Research - Recherche Oprationnelle, Vol. 2, p. 57-75, 1968.
SAATY, T.L. The Analytic Hierarchy Process. New York: McGraw-Hill, 1980.
SANTANNA, A. P. Probabilistic priority numbers for failure modes and effects analysis.
International Journal of Quality & Reliability Management, v. 29, p. 349-362, 2012.
SHARMA, R.K., KUMAR, D., KUMAR, P. Systematic failure mode effect analysis (FMEA)
using fuzzy linguistic modelling. International Journal of Quality and Reliability
Management, v.22, p. 986-1004, 2005.
STAMATIS, D. H. Failure mode and effect analysis: FMEA from theory to execution. ASQC
Quality Press, 1995.
SWAIN, A. D.; ALTMAN, J. W.; ROOK, L. W.; Human error quantification. A symposium.
SCR-610. Albuquerque: Sandia Corporation, 1963.
US MILITARY Procedures for Performing a Failure Mode, Effects and Criticality Analysis,
United States Military Procedure MIL-P-1629, 1949.
US MILITARY Procedures for Performing a Failure Mode, Effects and Criticality Analysis,
United States Military Procedure MIL-P-1629a, 1980.
84
WILLIAMS, J. A data-based method for assessing and reducing human error to improve
operational performance. IEEE Conference on Human Factors in Power Plants. Monterey
California, 1988.
XU, K.; TANG, L. C.; XIE, M., HO, S. L.; ZHU, M. L. Fuzzy assessment of FMEA for
engine systems. Reliability Engineering and System Safety, v.75 , p. 17-29, 2002.
YANG, Z., BONSALL, S., WANG, J. Fuzzy rule-based Bayesian reasoning approach for
prioritization of failures in FMEA. IEEE Transactions on Reliability, v.57, p. 517-528, 2008.
Similar ao HAZOP, os sistemas so divididos O "FTA" uma anlise quantitativa de risco que
HAZID em subsistemas e estes so divididos em ns. consiste em identificar combinaes de eventos que
Hazard Consiste em identificar os perigos, as causas e causam o evento topo. O resultado final
Identification consequncias do sistema. O HAZOP lida com probabilidade do evento topo. A rvore de falhas
os perigos relacionados ao processo e o HAZID considera a probabilidade de ocorrncia de eventos
assume a instalao como um n. FTA indesejados que podem gerar um evento topo, ou
uma anlise qualitativa dos riscos que Faul Tree seja, um evento indesejado como exploso,
consiste em um conjunto de perguntas e Analyse) incndio dentre outros, sendo uma tcnica dedutiva,
WHAT IF respostas sobre algum projeto ou mesmo pois a anlise se inicia do evento topo para os
atividade. A ferramenta no utilizada para demais eventos causadores que podem desencadear
verificao de uma ao realizada ou de o evento topo, seja pela combinao de vrios
processo e sim para uma ao a ser realizada. A eventos ou por eventos isolados. A rvore de falhas
tcnica consiste em enumerar vrios pode ser usada qualitativamente para identificar as
questionamentos a respeito do projeto, com possveis causas e caminhos para uma falha
questionamentos direcionados, sendo ETA ETA uma tcnica grfica para representar as
necessrios profissionais de vrias reas para Event tree sequncias de um evento inicial de acordo com o
responder os questionamentos. analysis funcionamento / no funcionamento dos diversos
sistemas destinados a atenuar as suas
consequncias. Ele pode ser aplicado
qualitativamente ou quantitativamente.
LOPA LOPA um mtodo semi-quantitativo para estimar
Layers of os riscos associados a um evento indesejvel ou
protection cenrio.
analysis
Quadro 03- Tcnicas de Anlise de Risco
Fonte: Adaptado Calixto (2005 e 2013) e NBR ISSO 31010
APNDICE 03 QUESTIONRIO
JULGAMENTO DE VALOR DOS ESPECIALISTAS
As identificaes dos especialistas
Nome do especialista (Opcional): sero preservadas.
Funo:
Tempo de experincia:
Formao:
Assinatura ___________________
1- Objetivo:
Abaixo esto os critrios detalhados em uma escala de cinco nveis para o julgamento de
valor dos possveis modos de falha (erros humanos) no evento PEEE.
Severidade
Descrio
SEVERIDADE Segurana das Pontos
Segurana Pessoal Meio ambiente
Instalaes
Sem danos ao meio
MUITO BAIXA No ocorrem leses Sem danos 1
ambiente
Extremamente Extremamente Impactos leves, sem
BAIXA improvvel de ocorrer improvvel de ocorrer danos ao meio 2
leses danos ambiente
Podem ocorrer leses Podem ocorrer danos Impactos leves, com
MODERADA devido a aes no ao equipamento com danos ao meio 3
campo baixo custo de reparo ambiente
Podem ocorrer danos Impactos severos
Podem ocorrer leses
severos aos localizados dentro e
incapacitante no
ALTA equipamentos ou fora do sitio, 4
permanentes ou doena
instalaes, com alto reversveis atravs das
ocupacional sria
custo de reparo. aes mitigadoras.
Impactos catastrficos,
Leses incapacitantes Danos irreparveis a irreversveis mesmo
permanente, doena equipamentos ou com aes mitigadoras,
MUITO ALTA 5
ocupacional grave ou instalaes, com que exijam recursos
probabilidade de morte. reparao impossvel. externos de grande
monta.
Ocorrncia
OCORRNCIA Descrio Pontos
Cenrio depende de falhas mltiplas do sistema de proteo da usina,
MUITO IMPROVVEL 1
extremamente improvvel de ocorrer.
Cenrio depende de falhas mltiplas do sistema de proteo da usina. No
IMPROVVEL esperado de ocorrer durante a vida til da instalao, no havendo registros 2
de ocorrncias prvia.
A ocorrncia do cenrio depende de falhas mltiplas do sistema de proteo
OCASIONAL 3
da usina, havendo poucos ou alguns registros de ocorrncias prvias.
A ocorrncia do cenrio no depende de falhas mltiplas do sistema e
PROVVEL 4
esperada durante a vida til da usina.
A ocorrncia do cenrio depende de uma nica falha (humana ou
MUITO PROVVEL equipamento) e j foi registrada na usina, podendo ocorrer outras vezes 5
durante a vida til da instalao.
90
Deteco
Ininteligibilidade
Descrio
ININTELIGIBILIDADE Ininteligibilidade a dificuldade do processo cognitivo da avaliao. Pontos
Caracterstica daquilo que ininteligvel, ou seja, daquilo que no
facilmente compreendido ou do que no pode ser entendido.
Complexidade da Tarefa Tempo de Diagnose
As tarefas so simples, o
O tempo de diagnose para identificar a
desenvolvimento das mesmas
MUITO BAIXA tarefa que precisa ser realizada no 1
exige uma baixssima carga
influencia o desempenho da operao.
cognitiva.
As tarefas so simples, o
O tempo de diagnose para identificar a
desenvolvimento das mesmas
BAIXA tarefa que precisa ser realizada pouco 2
exige uma baixa carga
influencia o desempenho da operao.
cognitiva.
As tarefas so pouco
O tempo de diagnose para identificar a
complexas, o
tarefa que precisa ser realizada
MODERADA desenvolvimento das mesmas 3
confortvel, mas pode influenciar o
exige uma carga cognitiva
desempenho da operao.
normal.
As tarefas so complexas, o O tempo de diagnose para identificar a
desenvolvimento das mesmas tarefa que precisa ser realizada um fator
ALTA 4
exige uma carga cognitiva de alta influncia no desempenho da
alta. operao.
As tarefas so muito
complexas, o O tempo de diagnose para identificar a
MUITO ALTA
desenvolvimento das mesmas tarefa que precisa ser realizada um fator 5
exige uma carga cognitiva determinante no desempenho da operao.
muita alta.
91
Estresse
Tempo de
ESTRESSE Carga de Trabalho Tempo de Execuo Execuo
As tarefas so desenvolvidas
H um tempo de execuo da tarefa que
BAIXO passo a passo, com uma carga 2
abaixo da condio limite da planta.
de trabalho baixa.
As tarefas so desenvolvidas H um tempo para execuo da tarefa que
IDEAL dentro de um dinamismo e de confortvel em relao a condio limite da 1
uma carga de trabalho ideal. planta.
As tarefas so desenvolvidas
com dinamismo, com uma H um tempo para execuo da tarefa que
MODERADO 3
carga de trabalho pouco acima pode afetar a condio limite da planta.
da ideal.
As tarefas so desenvolvidas
com intenso dinamismo, com H um tempo para execuo da tarefa que
ALTO 4
uma carga de trabalho muito pode afetar fortemente a condio da planta.
acima da ideal.
As tarefas so desenvolvidas
H um tempo reduzido para execuo da
AMEAADOR com intenso dinamismo, com
tarefa que pode afetar fortemente a 5
uma carga extrema de
condio da planta.
trabalho muito acima da ideal.
92
M5-(HEP-BF-RFF1-ECA)
Carga de
Falha em iniciar o Pessoal Trabalho
resfriamento do SRR via [1] [2] [3] [4] [5] Complexidade da Tarefa [1] [2] [3] [4]
Bleed and Feed com Instalaes [1] [2] [3] [4] [5] [5]
[1] [2] [3] [4] [5] [1] [2] [3] [4] [5]
perda de energia eltrica [1] [2] [3] [4] [5] Tempo de Diagnose Tempo de
externa aps falhas dos Meio ambiente
[1] [2] [3] [4] [5] Execuo
Geradores Diesel [1] [2] [3] [4] [5] [1] [2] [3] [4]
[5]
Alinhados.
93
M8-(HEP-HP-ECA02) Carga de
Falha em estabelecer a Pessoal Trabalho
[1] [2] [3] [4] [5] Complexidade da
[1] [2] [3] [4]
injeo de segurana Tarefa
[5]
aps perda de a energia Instalaes [1] [2] [3] [4] [5] [1] [2] [3] [4] [5] [1] [2] [3] [4] [5]
Tempo de
eltrica externa com [1] [2] [3] [4] [5] Tempo de Diagnose
Execuo
falha dos Geradores Meio ambiente [1] [2] [3] [4] [5]
[1] [2] [3] [4]
Diesel Alinhados. [1] [2] [3] [4] [5] [5]
EVENTO TOPO LT
MODOS DE FALHA Severidade Ocorrncia Deteco Ininteligibilidade Estresse
M9-(HEP-CC-ECA02)
Carga de
Falha em partir uma Pessoal Trabalho
bomba de refrigerao de [1] [2] [3] [4] [5] Complexidade da
[1] [2] [3] [4]
Tarefa
componentes aps perda Instalaes [5]
[1] [2] [3] [4] [5] [1] [2] [3] [4] [5] [1] [2] [3] [4] [5]
de energia eltrica [1] [2] [3] [4] [5] Tempo de
Tempo de Diagnose
externa, com falha dos Meio ambiente [1] [2] [3] [4] [5]
Execuo
Geradores Diesel [1] [2] [3] [4] [5] [1] [2] [3] [4]
[5]
Alinhados.
Carga de
Pessoal Trabalho
M10-(HEP-HHR-POES1-3) [1] [2] [3] [4] [5] Complexidade da
[1] [2] [3] [4]
Falha em alinhar a Tarefa
[5]
recirculao de alta Instalaes [1] [2] [3] [4] [5] [1] [2] [3] [4] [5] [1] [2] [3] [4] [5]
[1] [2] [3] [4] [5] Tempo de
presso com a suco do Tempo de Diagnose
Execuo
poo da conteno. Meio ambiente [1] [2] [3] [4] [5]
[1] [2] [3] [4]
[1] [2] [3] [4] [5]
[5]
94
Autor Abordagem
Perrow (1984) Acidentes (ou desastres catastrficos) so mais provveis ou
"habituais" em organizaes que se caracterizam pela elevada
complexidade.
Reason (1997) Organizaes, muitas vezes, precisam superar tenses internas que
resultam de metas organizacionais divergentes, especialmente
segurana versus custo. Conflito entre a manuteno da segurana e o
alcance de uma maior eficincia operacional.
Bierly, Muitas organizaes tm de enfrentar a possibilidade de que uma falha
Gallagher e no sistema resulte em grande catstrofe.
Spender (2014)
Weick, (1987) Os autores argumentam que os acidentes normais podem ser evitados
Bierly e se as organizaes tornarem-se confiveis atravs da implementao de
Spender, (1995) uma "cultura de alta confiabilidade".
Roberts et al Discorre que as organizaes de alto risco operam tecnologias
(1989) complexas e podem causar acidentes severos, enquanto as
organizaes de alta confiabilidade compem uma subcategoria das
organizaes de alto risco: so aquelas projetadas e gerenciadas de
forma a evitar tais acidentes.
Weick e Alm de uma cultura de alta confiabilidade, outros aspectos so
Roberts, (1993) destacados para que uma organizao se torne confivel, como o
desenvolvimento de uma mente coletiva sobre os subsistemas.
Leveson (2009) Critica a postura de alguns estudos que definem a segurana como
uma mera questo de controle, restringindo os componentes
sociais e tcnicos, e afirma que este tipo de pensamento pode conduzir
as HROs para o desastre.