Embed Size (px)
Citation preview
Influência da Instrumentação e Sistemas de Controle Digitais
Degradados no Desempenho dos Operadores de Reatores Nucleares
Marco Antonio Bayout AlvarengaD.Sc. Engenharia Nuclear (COPPE/UFRJ)
CNEN12 de agosto de 2014
1
MOTIVAÇÃO DESTA PALESTRA I
• O sistema nervoso central de uma usina nuclear é a ação combinada dos operadores na sala de controle junto com a instrumentação e os sistemas de controle• Através desta ação combinada, podemos monitorar e ajustar o desempenho de todos os processos da usina nuclear para resguardar as barreiras de segurança que evitam a liberação de material radioativo, no caso de acidentes e falhas diversas•Instrumentação e sistemas digitais, ao contrário da tecnologia analógica, usam meios sofisticados de monitoração e controle, contém funções de diagnóstico e predição, através de algoritmos de controle implementados em software
2
MOTIVAÇÃO DESTA PALESTRA II
• A tecnologia digital permite a implementação através de programação de algoritmos sofisticados de controle tais como:•Controle ótimo•Controle não-linear•Redes neuronais•Lógica difusa•Controle baseado em estado•Controle adaptativo•A tecnologia digital permite novas formas de automação com uma interação mais complexa entre seres humanos e as funções automáticas de controle 3
MOTIVAÇÃO DESTA PALESTRA III
• A tecnologia analógica usava controles hardwired (p.e. interruptores, botões e manoplas) e monitores (p.e. telas de alarme, medidores, escalas lineares e luzes indicadoras) organizados em painéis de controle; as ações dos operadores (em pé) nestes painéis são executadas a partir de procedimentos escritos•A tecnologia digital usa estações de trabalho nos quais os operadores estão sentados monitorando e controlando a usina através de indicadores mostrados em telas de computador, incluindo o uso de procedimentos computadorizados mostrados em tela
4
SALA DE CONTROLE ANALÓGICA
5
SALA DE CONTROLE DIGITAL
6
MOTIVAÇÃO DESTA PALESTRA IV
• As falhas ou degradação de um sistema digital podem induzir condições de operação anormais diferentes de um sistema analógico•As falhas ou degradação de um sistema digital podem não ser percebidas imediatamente pois estes sistemas podem passar por diferentes estados intermediários não perceptíveis pelos operadores antes de atingir o seu estado final de falha•Ao perceber finalmente a falha de um sistema digital os operadores terão que voltar aos sistemas de backup tradicionais baseados em hardware•Dados experimentais com estes tipos de tarefas complexas estão sendo ainda levantadas
7
SENSORES
ELETRÔNICA -AQUISIÇÃO DE
DADOS E PROCESSAMENTO DE SINAIS
PROCESSADORES DE
ENTRADA E SAÍDA
UNIDADES LÓGICAS E MÓDULOS
DE PRIORIDAD
E
ATUADORESE
DISPOSITIVOS FINAIS
COMPONENTES DE UM SISTEMA
DIGITAL I
8
SUBSISTEMA
SENSORIAL
SUBSISTEMA DE
MONITORAÇÃO – DIAGNÓSTICO
EPREDIÇÃO
SUBSISTEMA DE
AUTOMAÇÃO E CONTROLE
SUBSISTEMA DE
COMUNICAÇÃO
SUBSISTEMA DA
INTERFACE HUMANO MÁQUINA
SISTEMA DE INTERFACE HUMANO
MÁQUINA DE INSTRUMENTAÇÃO E
CONTROLE
9
ERROS HUMANOS
•ENTENDIMENTO DOS MECANISMOS ATRAVÉS DOS QUAIS A TECNOLOGIA DIGITAL PODE INDUZIR ERROS HUMANOS•ERROS DE OMISSÃO – NÃO COMPLETAR A AÇÃO ESPERADA DE SEGURANÇA DENTRO DO TEMPO ESPERADO•ERROS DE COMISSÃO – ERROS DE MÁ INTERPRETAÇÃO DAS CONDIÇÕES DE OPERAÇÃO DISPARANDO AÇÕES ERRADAS
10
11
UNSAFE ACTS
UNITENTIONED ACTIONS
INTENTIONED ACTIONS
SLIPS
LAPSES
MISTAKES
VIOLATIONS
ATTENTIONAL FAILURES
MEMORY FAILURES
RULE BASED OR
KNOWLEDGE BASED
MISTAKES
ROUTINE VIOLATIONS
EXCEPTIONAL VIOLATIONS
SABOTAGE
HUMAN ERROR TAXONOMY – JAMES REASON (1990)
TAREFAS PRIMÁRIAS DOS OPERADORES
•MONITORAR PARÂMETROS, RESPONDER AOS ALARMES, SEGUIR PROCEDIMENTOS, ALINHAR VÁLVULAS, PARTIR BOMBAS, ETC.•ELEMENTOS COGNITIVOS COMUNS:
•MONITORAÇÃO E DETECÇÃO – SISTEMA DE ALARME•ANÁLISE DA SITUAÇÃO – MODELO MENTAL•PLANEJAMENTO DA RESPOSTA•IMPLEMENTAÇÃO DA RESPOSTA
12
C. D. WICKENS - 1984
13
ATTENTION RESOURCES
PERCEPTION
RESPONSE
SELECTION
RESPONSE
EXECUTION
- ACTIONS
DECISION
MAKINGWORKIN
G MEMORY
LONG-TERM MEMORY
SENSORY REGISTRATI
ON
PERCEPTUAL ENCODING CENTRAL PROCESSING RESPONDING
RASMUSSEN’S SRK MODEL
Stored rulesfor tasks
Associationstate/task
Recognition
IdentificationDecision,
choice of taskPlanning
Automatedsensorimotor
patternsFeature formation
Knowledge-based behavior
Goals
Skill-basedbehavior
Rule-basedbehavior
Signs
Symbols
Signs
Sensory input Signals Actions
14
TAREFAS SECUNDÁRIAS DOS OPERADORES
•NAVEGAÇÃO PELAS TELAS DAS ESTAÇÕES DE TRABALHO•ACESSO ÀS INFORMAÇÕES NAS TELAS•ORGANIZAÇÃO DE PEDAÇOS DE INFORMAÇÃO NAS TELAS•GERENCIAMENTO DE INFORMAÇÕES DIVERSAS NAS TELAS
15
TAREFAS SECUNDÁRIAS DOS OPERADORES
•TAREFAS SECUNDÁRIAS PODEM CRIAR SOBRECARGA DE TRABALHO E DESVIAR A ATENÇÃO DE TAREFAS PRINCIPAIS, TORNANDO-AS DIFÍCEIS DE COMPLETAR
• I&C DEGRADADA PROVOCA AUMENTO DO GERENCIAMENTO DA INTERFACE, p.e. QUANDO AS INFORMAÇÕES ESTÃO CORROMPIDAS, FAZENDO COM QUE OS OPERADORES NAVEGUEM EM MONITORES ADICIONAIS
16
DEGRADAÇÃO DOS SUBSISTEMAS SENSORIAIS E DE MONITORAÇÃO
•DEGRADAÇÕES SENSORIAIS PODE FAZER COM QUE AS TELAS SEJAM DE DIFÍCIL COMPREENSÃO.
•TELAS GRÁFICAS, ESPECIALMENTE AS QUE UTILIZAM RECURSOS EMERGENTES, PARECEM MAIS SUJEITOS À EFEITOS DE DEGRADAÇÃO DO SENSOR DO QUE AS TELAS MAIS TRADICIONAIS
• OS OPERADORES TÊM DIFICULDADE EM DISTINGUIR AS FALHAS DE PROCESSO DAS FALHAS DE SENSORES •
.17
DEGRADAÇÃO DOS SUBSISTEMAS SENSORIAIS E DE MONITORAÇÃO
• A MELHORIA DA INSTRUMENTAÇÃO PODE AJUDAR OS OPERADORES A DISTINGUIR ENTRE PROBLEMAS DE SENSORES E PERTURBAÇÕES NO PROCESSO, APOIANDO COMPARAÇÕES COM PARÂMETROS DE DESEMPENHO RELACIONADOS
•O DESEMPENHO DA TAREFA DOS OPERADORES PIORA À MEDIDA QUE A MAGNITUDE DO RUÍDO DOS SENSORES AUMENTA
• OPERADORES MUDAM SUAS ESTRATÉGIAS DE CONTROLE QUANDO O RUÍDO DO SENSOR AUMENTA
18
ESTRATÉGIAS PARA MINIMIZAR O IMPACTO DA DEGRADAÇÃO DOS SUBSISTEMAS SENSORIAIS E
DE MONITORAÇÃO
•ANALISAR O IMPACTO DE FALHAS DE I & C EM SIHSs
•SISTEMAS DE SUPORTE PARA MONITORAMENTO DE I & C E DETECÇÃO DAS CONDIÇÕES DEGRADADAS
• ASSEGURAR A QUALIDADE DA INFORMAÇÃO NO SIHSs
• DISTINGUIR FONTES DE INFORMAÇÃO SENSORIADAS DIRETAMENTE DAQUELAS QUE SÃO DERIVADAS (INDIRETAS) 19
Condições daInstalação
(CONTEXTO)
Definição do Cenário
ProjetoOperação e
Manutenção daInstalação
Fatores de Forma de
Desempenho
Mecanismosde Erros
AçõesInseguras
Eventos de Falhas
Humanas
Decisões deGerência de
Risco
ERRO HUMANO
ANÁLISE PROBABILÍSTICA DE SEGURANÇA
CONTEXTO
INDUTOR DO ERRO
ATHEANA (MÉTODO DE SEGUNDA GERAÇÃO)
20
DEGRADAÇÃO DOS SUBSISTEMAS DE CONTROLE/AUTOMAÇÃO E
COMUNICAÇÃO I
• EXCESSO DE CONFIANÇA DOS OPERADORES NOS SISTEMAS DE CONTROLE/AUTOMAÇÃO EM FACE DA SOBRECARGA DE TRABALHO – OPERADORES E SISTEMAS AUTOMÁTICOS DIVIDEM RESPONSABILIDADE EM TAREFAS INDEPENDENTES – DIFICULDADE EM RECONHECER DEGRADAÇÃO
• SE A AUTOMAÇÃO FALHA INTEGRALMENTE, OS OPERADORES TERÃO QUE FAZER TUDO MANUALMENTE – DESAFIADOR PORQUE ESTÃO EM AMBIENTE NÃO FAMILIAR
• TRANSIÇÕES AUTOMATISMO PARA MANUAL EXIGEM ANÁLISE DA SITUAÇÃO NÃO-FAMILIAR EM AMBIENTE DE SOBRECARGA E ESTRESSE
21
DEGRADAÇÃO DOS SUBSISTEMAS DE CONTROLE/AUTOMAÇÃO E
COMUNICAÇÃO II
• OS PROCEDIMENTOS COMPUTADORIZADOS (PCs) POSSIBILITAM QUE A ATIVIDADE DE SEGUIMENTO DO PROCEDIMENTO OPERACIONAL POSSA SER FEITO POR UMA PESSOA AO INVÉS DE TRÊS COMO USUALMENTE SE FAZ
• A TRANSIÇÃO DE CPs PARA PROCEDIMENTOS ESCRITOS PODE SER TRAUMÁTICA, POIS EXIGIRÁ NOVAMENTE A INTERAÇÃO, COORDENAÇÃO E COMUNICAÇÃO ENTRE 3 PESSOAS, COM NOVAS RESPONSABILIDADES E TAREFAS
• ERROS INVOLVENDO CONTROLE E AUTOMAÇÃO TENDE A SER MAIS CATASTRÓFICA PORQUE NORMALMENTE NÃO SE INFORMA NA INTERFACE HUMANO – SISTEMA DETALHES SOBRE OS OBJETIVOS, ATIVIDADES EM CURSO E DESEMPENHO DOS SISTEMAS AUTOMÁTICOS DE CONTROLE
22
DEGRADAÇÃO DOS SUBSISTEMAS DE CONTROLE/AUTOMAÇÃO E
COMUNICAÇÃO III
• OS SISTEMAS DE CONTROLE E AUTOMAÇÃO SÃO INFLUENCIADOS TAMBÉM PELO SUBSISTEMA DE COMUNICAÇÃO , PRINCIPALMENTE PELOS ATRASOS NA TRANSMISSÃO DAS INFORMAÇÕES E SOBRECARGA NA QUANTIDADE DE INFORMAÇÃO A SER TRANSMITIDA
• tempo de quando uma ação de controle é executada na IHS até quando o sinal atinge o sistema de atuação - comunicação
• o tempo que leva para que o sistema mude em resposta à ação de controle - processo
• tempo entre a alteração na resposta do sistema e a mudança no IHS (feedback - realimentação) - comunicação
23
DEGRADAÇÃO DOS SUBSISTEMAS DE CONTROLE/AUTOMAÇÃO E
COMUNICAÇÃO IV
• Como os atrasos aumentam há uma diminuição no controle de circuito fechado (controle com base em feedback) e uma mudança para estratégias de controle em malha aberta mais difícil (com base em previsão) que cada vez mais desestabiliza o controle
• Quando a estabilidade é boa, as respostas do sistema e entradas de controle do operador são acoplados firmemente; uma vez que diminui, a resposta do sistema progressivamente se torna mais imprevisível.
• À medida que o tempo entre a entrada do operador e resposta do sistema aumenta, o controle de circuito fechado torna-se mais instável. Ou seja, existe uma queda no valor de feedback, como um meio para que os operadores possam regular as suas ações de controle.
24
DEGRADAÇÃO DOS SUBSISTEMAS DE CONTROLE/AUTOMAÇÃO E COMUNICAÇÃO (EXEMPLO I)
• Um operador pode ter iniciado uma ação de controle para aumentar a velocidade da bomba para um valor especificado, mas tendo observado nenhuma mudança na velocidade por causa de um atraso de tempo, o operador pode voltar a tomar outra ação para aumentar a velocidade da bomba. As duas entradas de controle causam um aumento na velocidade da bomba para um valor muito maior do que o operador pretendia.
• Consequentemente, o operador toma então uma ação de controle para reduzir a velocidade, mas, novamente, devido a atrasos de tempo, nenhuma alteração é observada; em seguida, o operador repete a mesma ação gerando uma maior diminuição na velocidade da bomba do que a desejada. O controle do operador da bomba tornou-se instável.
• Quando tais atrasos desestabilizam o controle de circuito fechado, muitas vezes levam a mudar para uma estratégia de controle em malha aberta mais difícil; isto é, o controle com base em previsão, em vez de realimentação. É uma abordagem cognitivamente mais exigente, baseada no conhecimento para controlar (Wickens, 1984).
25
DEGRADAÇÃO DOS SUBSISTEMAS DE CONTROLE/AUTOMAÇÃO E COMUNICAÇÃO (EXEMPLO II)
• Lorenzo (1990) deu o seguinte exemplo do efeito de feedback atrasado sobre o comportamento do operador em uma fábrica de produtos químicos:
• Um sistema de controle baseado em computador foi tão sobrecarregado por um processo com grave distúrbio que deixou de atualizar os terminais de vídeo. Sem saber que a informação apresentada era imprecisa, os operadores inadvertidamente posicionaram válvulas em seus limites de totalmente abertas ou fechadas, enquanto esperavam pela exibição de alguma resposta nas telas dos terminais. As válvulas mal-posicionados pioraram o distúrbio, eventualmente causando um desligamento de emergência da unidade quando algumas válvulas de alívio atuaram.
26
ESTRATÉGIAS PARA MINIMIZAR O IMPACTO DA DEGRADAÇÃO DOS SUBSISTEMAS DE
CONTROLE/AUTOMAÇÃO E COMUNICAÇÃO I
• entender como e por que pode degradar ou falhar
• entender as implicações de tais degradações para a IHS e no seu próprio desempenho
• monitorar o desempenho do sistema de I & C de modo a detectar e reconhecer degradações via sala de controle no SIHS
• executar ações compensatórias/de recuperação, talvez com o uso de procedimentos
• transição suave para sistemas de backup quando necessário • entender como os papéis e responsabilidades dos membros
da equipe de operação e do conceito de operações são afetados
1. Suporte no treinamento para detecção e gerência de I&C degradados
27
ESTRATÉGIAS PARA MINIMIZAR O IMPACTO DA DEGRADAÇÃO DOS SUBSISTEMAS DE
CONTROLE/AUTOMAÇÃO E COMUNICAÇÃO II
Para compensá-los, aos operadores são dadas telas preditivas que fornecem realimentação imediata aos operadores sobre o efeito de suas ações de controle no desempenho do sistema. As previsões são baseadas em modelos que determinam que efeitos podem ocorrer. Telas preditivas exibem efetivamente questões de desempenho humano decorrentes de atrasos (Wu, Wang, & Wang, 2006; Xiong, Li, & Xie, 2006).
2. SISTEMA DE SUPORTE PARA ATRASOS (TIME DELAYS)
28
EXEMPLOS DE FALHAS DE SISTEMAS DIGITAIS I
Um incidente envolveu um erro de software com dados corrompidos em uma usina nuclear coreana Uljin, Unidade 3. A falha envolveu um circuito integrado de aplicação específica em um módulo de interface de rede do sistema de controle de planta digital (DPCS). A falha fez com que vários componentes de não segurança se comportarem de forma inesperada, por exemplo, bombas de partida e as válvulas de reposicionamento, sem que houvesse um comando para isso.
Os operadores detectaram e reagiram à situação, sem quaisquer consequências negativas. O problema foi devido a um erro de software de causa comum, que foi corrigido. Além disso, um alarme foi instalado na sala de controle principal para alertar os operadores de possíveis falhas da rede, e um procedimento escrito para lidar com tais situações
29
EXEMPLOS DE FALHAS DE SISTEMAS DIGITAIS II
Sinal de Injeção de Segurança Inadvertido com Falha no Restabelecimento
Aqui, a falha de um único componente (diodo zener) dentro de placa lógica de um sistema de proteção causou um transiente incomum em que foram necessárias várias ações manuais locais para rearmar o sinal inválido e fixar o equipamento de segurança. O díodo de Zener que falhou foi localizado no circuito associado com a iniciação automática de um sistema de segurança. Na sala de controle principal, a equipe de operação estava ciente de que o sistema de segurança fora iniciado, e determinou que era um sinal falso (não é válido). No entanto, quando eles rearmaram o sinal de iniciação, os relés não restabeleceram tudo o que os operadores esperavam porque a tensão tinha sido degradada pelo diodo falhado. Na verdade, o sinal de iniciação para um trem de segurança de injeção não pode ser rearmado (estava "selado")
A falha do diodo degradou o subsistema de automação / controle e impediu que os operadores respondessem pela tomada de ações corretivas através de seus controles. Consequentemente, eles perderam o conhecimento da situação e da sua capacidade para corrigir a situação anormal.
30
EXEMPLOS DE FALHAS DE SISTEMAS DIGITAIS III
Comunicações Ethernet Degradadas
A informação NRC 2007-15 (NRC, 2007) descreve um evento que envolve um sistema de comunicação Ethernet sobrecarregado ligado ao sistema de controle de uma bomba de recirculação. O sistema de comunicação colapsou por causa do tráfego de dados em excesso.
Quando a degradação ocorreu, o sinal de demanda de controle de velocidade da bomba de recirculação caiu para zero e houve diminuição do fluxo da bomba, resultando em um desligamento da planta devido à alta potência, com condição de baixo fluxo.
As duas unidades de freqüência variável (VFDs) que regulam a velocidade das bombas de recirculação falharam o que implicou na necessidade de um desligamento manual. Os controladores da unidade de freqüência variável (VFD), conectados à rede do sistema de computador integrada da planta, falharam devido a excesso de tráfego na rede.
O subsistema de comunicação degradado afetou os controles (controles de velocidade da bomba de recirculação) e subsistemas de informação IHS; assim, o subsistema IHS não deu aos operadores nenhuma indicação de que a Ethernet estava experimentando o tráfego de dados pesado, e que podia estar degradada (ou seja, baixou a percepção da situação). A equipe também perdeu sua capacidade da implementação da resposta apropriada, porque eles não podiam controlar a velocidade e o fluxo da bomba de recirculação.
A ação corretiva do Licenciado incluiu a instalação de um dispositivo de rede, firewall, que limita as conexões e tráfego para todos os dispositivos potencialmente sensíveis da rede.
31
CRITÉRIOS EM NORMAS I
NUREG-0711 – Human Factors Engineering, Seção 4.4, diretriz 4, afirma que a Descrição de uma função automática deve incluir
• objetivo da função • condições que indicam quando a função é necessária • parâmetros que indicam que a função está disponível • parâmetros que indicam que a função está funcionando • parâmetros que indicam que a função está atingindo o seu objetivo • parâmetros que indicam que a operação da função pode ou deve ser encerrada Estas informações devem estar disponíveis aos operadores quando do monitoramento de funções automáticas.
32
CRITÉRIOS EM NORMAS II
Duez e Jamieson (2006) sugeriu a apresentação de informações em diferentes níveis de abstração para incluir:
• dados sobre o propósito da automação, ou seja, a função para a qual foi projetado
• dados sobre o processo da automação, isto é, como atende o seu objetivo, por exemplo, os algoritmos usados
• dados sobre o desempenho da automação, ou seja, os resultados do processo de automação
33
HIERARQUIA DE FUNÇÕES – NÍVEIS DE ABSTRAÇÃO
34
1. PROPÓSITO FUNCIONAL – PRODUÇÃO E SEGURANÇA
2. FUNÇÃO ABSTRATA - ESTRUTURA CAUSAL COM FLUXOS DE ENERGIA, MASSA E INFORMAÇÃO
3. FUNÇÕES GENERALIZADAS – PROCESSOS GENÉRICOS OU “PADRÕES”
4. FUNÇÃO FÍSICA – PROCESSOS FÍSICOS DE COMPONENTES E SISTEMAS ELÉTRICOS, MECÂNICOS E QUÍMICOS
5. FORMA FÍSICA – O EQUIPAMENTO OU COMPONENTE EM SI COM AS SUAS CARACTEÍSTICAS E ESPECIFICAÇÕES
O NÍVEL ACIMA CONTÉM AS RESTRIÇÕES E O PORQUÊ (WHY); O NÍVEL ABAIXO OS MODOS (HOW) DO QUE ACONTECEU EM DETERMINADO NÍVEL (WHAT)
Da mesma forma, Lee and See (2004) sugeriram que o SIHS deve fornecer informações que • garantam a confiança adequada na automação, como a confiabilidade da automação
• possibilitem a avaliação do operador dos recursos da automação sob diferentes situações em que essas habilidades variam
• mostram o desempenho passado da automação para o uso atual
• forneçam detalhes específicos sobre como a automação está funcionando, por exemplo, o processo e algoritmos de automação de forma clara e abrangente revelando resultados intermediários para os operadores
CRITÉRIOS EM NORMAS III
35
• A degradação de I & C digital ocorre regularmente, e previsivelmente aumenta em freqüência à medida que mais sistemas são utilizados
• degradações ocorrem em todos os subsistemas de I & C
• a deterioração de I & Cs digitais pode ter consequências importantes, ou seja, desligamentos do reator, e impactos nos sistemas de segurança
• cerca de um terço dos eventos envolvendo IHS indicam a possibilidade da falha digital de I & C em reduzir a capacidade do operador para monitorar a planta e responder ao evento
• impactos foram sentidos em áreas-chave, incluindo a sala de controle principal, o centro de suporte técnico e de emergência e os centros locais de operações
Os sistemas digitais têm alarmes para falhas do sistema, mas os alarmes podem não sinalizar todas as condições degradadas.
CONCLUSÕES
36
• Necessidade de estabelecer critérios de segurança específicos em Norma para sistemas digitais e seu impacto no desempenho humano
CONCLUSÕES
37
AGORA, LEMBRE-SE, ESTE LIGA O AR-CONDICIONADO E ESTE AQUI DESTRÓI O MUNDO!
O Mundo sem Fatores Humanos
38
FIM
39
