· Web viewCONTROLE SEGURO PARA DISPOSITIVOS DE ASSINTÊNCIA VENTRICULAR André C. M. Cavalheiro2, Diolino J. Santos Filho. 2, Aron J. P. Andrade1, Eduardo G. P. Bock1, Jeison Fonseca1,

CONTROLE SEGURO PARA DISPOSITIVOS DE ASSINTÊNCIA

VENTRICULAR

André C. M. Cavalheiro2, Diolino J. Santos Filho. 2, Aron J. P. Andrade1, Eduardo G. P.

Bock1, Jeison Fonseca1, Paulo E. Miyagi2, José R. Cardoso2

1 Departamento de Bioengenharia, Instituto Dante Pazzanese de Cardiologia, São Paulo (SP), Brasil 2 Departamento de Engenharia Mecatrônica e Sistemas Mecânicos, Escola Politécnica da USP, São Paulo

(SP), Brasil

E-mail: [email protected]

Resumo. Este trabalho propõe o desenvolvimento de um sistema de controle seguro para um Dispositivo de Assistência Ventricular (DAV). Para isso é proposta uma nova arquitetura de controle para DAV que considera a interação de forma global entre o DAV e o paciente. Esta arquitetura considera: (i) a verificação de eventos com base no comportamento do paciente, (ii) a verificação de eventos com base no comportamento do DAV e (iii) funções de diagnóstico e tratamento de falhas de acordo com a ocorrência de eventos globais do sistema. Para isso, é usada para modelagem do sistema de controle uma ferramenta que se baseia na teoria de Sistemas a Eventos Discretos (SED). O conceito de modelagem de SED pode ser aplicado a sistema onde se considera sua evolução em função de eventos, portanto usual para sistemas que apresentam indeterminismo em relação ao tempo de ocorrência dos eventos, ou seja, os eventos podem ocorrer sem uma correlação com o tempo, mas onde estes têm uma relação de causalidade entre si. Este estudo utilizou o método de análise de Riscos e Operacionalidade (HAZOP) para realizar a analise de falhas do sistema e definir as funções de controle para um sistema de controle seguro de um DAV. A Rede Bayesiana (BN) foi usada para definir os modelos de diagnóstico para a elaboração das Funções de Diagnóstico de Falhas (FDF). Cada FDF é modelada usando Redes de Petri (PN) para verificação e validação das propriedades do sistema. Ao modelar as funções de tratamento de falhas, a PN também é aplicada. Para cada falha, é elaborada uma Função de Controle Cardiovascular Segura (FCCS) baseada em PN. A junção das FDFs e FCCSs é utilizada na concepção do Sistema Instrumentado de Segurança Cardiovascular (SISC). Esta abordagem torna possível a realização de diagnóstico e tratamento de falhas em sistemas de DAVs de forma global, permitindo que o sistema de controle se degenere ou se regenere para que este atinja uma condição segura para o paciente. Testes in vitro utilizando este método estão sendo realizados no Instituto Dante Pazzanese de Cardiologia.

Palavras-chave: Sistema Seguro, DAV, Sistema Supervisório, Modelagem, Controle.

1. INTRODUÇÃO

Este trabalho propõe a aplicação de uma abordagem mecatrônica para o controle de DAVs para que se possa aplicar técnicas avançadas de controle, instrumentação e automação para contemplar limitações existentes nas soluções em vigor revisando determinados paradigmas: (i) a questão de atribuir unicamente ao coração natural a função de manter o balanceamento e controle fisiológico das pressões e fluxos sanguíneos; (ii) a questão de aprimorar o consumo de energia do dispositivo e (iii) a

mailto:[email protected]

questão de supervisionar situações de falhas, incluindo uma classificação quanto à severidade e consequente comprometimento da vida do paciente.

Desta forma, o objetivo principal deste trabalho é a proposta de um Sistema de Controle Distribuído Seguro (SCDS), para uma classe de Dispositivo de Assistência Ventricular (DAV) totalmente implantado de fluxo contínuo. Neste contexto têm-se: a) Estruturação do sistema de controle de forma modular e distribuída para permitir a portabilidade de subsistemas de controle de supervisão, regeneração e degeneração.b) Proposta de uma classificação de falhas que possam ocorrer no DAV, ou no sistema cardiovascular, baseada em técnicas de análise de risco.c) Proposta de um módulo de controle de segurança para o diagnóstico e mitigação de falhas críticas denominado Sistema Instrumentado de Segurança Cardiovascular (SISC)d) Proposta de um método para especificação do SCDS que contemple: (i) a especificação da lógica de controle considerando as variáveis contínuas e dirigidas por eventos presentes neste sistema; (ii) a especificação da lógica de diagnóstico e tratamento de falhas considerando mecanismos de inferência; (iii) a síntese dos programas de controle considerando uma arquitetura modular e distribuída; (iv) a verificação e validação do modelo matemático do SCDS realizando-se testes in vitro baseados em simuladores matemáticos e simuladores mecânicos do sistema cardiovascular humano.

2. MATERIAIS E MÉTODOS

Baseado em conceitos de sistema de controle seguro é possível analisar e tratar falhas como apresentados em trabalhos anteriores [CAVALHEIRO, 2011 CAVALHEIRO, 2012] e dessa forma possibilitar a análise e tratamento de falhas que podem ser produzidas em um sistema de controle de um DAV. Assim, considerando o DAV, os sensores e atuadores disponíveis e o grau de automação implementado, as falhas neste trabalho são classificadas em dois tipos [FRANK, 1992]:1. Falhas de detecção direta: que podem ser diagnosticadas diretamente através da monitorização do estado do sistema considerando sensores específicos. Como por exemplo, para detectar o refluxo sanguíneo no DAV, pode ser usado um sensor de vazão específico que verifique o estado desta variável.2. Falhas de detecção indireta: que necessitam de uma interpretação (ou raciocínio) do estado do sistema para que seja possível deduzir o tipo da falha. Como por exemplo, para detectar o não fechamento de uma válvula do coração onde não existe um sensor específico que verifique o estado desta variável e é necessário um raciocínio para deduzir essa situação.

Em relação à disposição, alguns controles consideram que o DAV trabalha em paralelo com ventrículo do paciente, tratando o controle desse dispositivo de forma local. Porém, em termos de segurança do paciente, o controle pode considerar que o DAV está em série com o restante do sistema circulatório podendo influenciar fortemente neste, e por consequência no estado de saúde do paciente. Portanto, se o DAV falhar ele compromete a vida do paciente atrapalhando o sistema circulatório. Por outro lado, se o coração falhar, este também compromete a vida do paciente, mas, pelo fato do DAV estar em série com o sistema circulatório e o controle considerar o estado global do sistema, este pode proporcionar uma sobrevida ao paciente. Um sistema supervisório global em um sistema de controle seguro de DAV deve considerar o diagnóstico e o tratamento de falhas e deve abordar a execução de várias etapas, tais como:a) Diagnóstico:

• Obtenção de sinais de funcionamento que pode ser feito através do estado do paciente e dos sensores e atuadores do sistema;• Diagnóstico do estado do sistema de forma global (DAV mais paciente);• Diagnóstico das causas de falha.

b) Coordenação:• Verificar a veracidade do Diagnóstico;• Permitir o tratamento adequado.

c) Tratamento:• Função de tratamento de falha;• Mitigação da falha.

O diagnóstico refere-se à monitoração e interpretação dos sensores para avaliar e concluir um fenômeno específico, sem interferir ou modificar este fenômeno ou o valor do sinal gerado. Para as etapas de diagnóstico e tratamento de falhas, a estruturação das informações pode ser baseada em duas abordagens [KURTOGLU, 2008]: (i) redundância analítica, que utiliza modelos matemáticos analíticos, ou (ii) baseada no conhecimento, que utiliza modelos qualitativos.

Na abordagem de redundância analítica deve-se ter um modelo detalhado do processo, das grandezas envolvidas e do grau de confiança de cada variável.

Na abordagem baseada no conhecimento devem ser aplicadas técnicas de Inteligência Artificial (IA) que permitem explorar o conhecimento e a experiência acumulada do sistema e são consideradas principalmente no caso onde as informações fornecidas pelos sensores são insuficientes e/ou os modelos do sistema são imprecisos.

Em diversas situações, uma combinação das metodologias (analítica e baseada no conhecimento) pode fornecer uma solução mais apropriada para o problema de segurança e controle de um DAV ao invés de abordagens individuais. Além disso, o trabalho desenvolvido em [CAVALHEIRO, 2011] indica que estas técnicas devidamente combinadas com a teoria de Rede de Petri (PN) podem ser efetivas para implementar um sistema supervisório global para diagnóstico e tratamento de falhas para um sistema de controle seguro.

Desta forma, a proposta é que o controle considere de forma global as variáveis do sistema não somente considerando o coração de forma local, mas considerando o sistema cardiovascular de forma global. Para tratar a falha, o sistema de controle proposto trabalha com conceitos de regeneração e degeneração de um sistema de forma global. Esses conceitos são definidos abaixo:a) Regeneração: é a capacidade que o sistema deve ter para se recuperar, admitindo novos cenários que podem ser incrementados através da interação médico/paciente/DAV e de um conhecimento do sistema.b) Degeneração: é a perda das qualidades ou características originais do sistema, ou seja, uma quebra ou mau funcionamento de um módulo ou componente. Neste contexto, o sistema de controle deve ser capaz de levar o sistema a um estado seguro de forma controlada.

Outro ponto que deve ser considerado são os riscos envolvidos no sistema de controle de um DAV. O termo risco define uma métrica para quantificação do prejuízo, danos e perdas, de forma correlata, ou seja: probabilidade de ocorrência de uma falha e magnitude dos prejuízos ou perdas decorrentes desta falha [BELL, 2005; ISO, 2007]. O termo falha, segundo a IEC 61511[IEC, 2003], é definido como uma condição anormal que pode causar uma redução ou perda da capacidade de uma unidade funcional. Neste trabalho, é proposto o termo falha crítica como um sinônimo de evento perigoso ou

desvio de uma variável controlada de sua faixa de operação segura e que conduz o sistema cardiovascular a um risco com magnitude não aceitável.

Desta forma é proposto uma classificação de falhas em dois grupos:a) Falhas críticas: são eventos associados a riscos de magnitude não aceitável, ou seja, que devem ser prevenidos ou mitigados, podendo ocasionar fatalidade se danos que levem o paciente a óbito. Neste contexto, o controle do DAV deve degenerar o sistema de forma controlada, por ação de um sistema de controle de segurança específico, para um estado seguro.b) Falhas não críticas: são eventos associados a riscos de magnitude aceitável, ou seja, podem ser recuperados de forma automática pelo sistema (regeneração), ou pode envolver intervenção do médico ou do próprio paciente, para que a situação de falha possa ser regenerada para que o DAV assuma um estado seguro controlado levando o sistema para um estado normal de operação.

A identificação do estado do paciente e as falhas que podem ocorrer (do ponto de vista de segurança do paciente com problemas cardiovasculares) são usualmente representadas por eventos que informam o estado do paciente. A abordagem deste trabalho considera que a dinâmica do sistema, do ponto de vista de segurança, é orientada pela ocorrência de eventos e, portanto, podem ser tratados como sistemas a eventos discretos (SEDs) permitindo sua modelagem e análise com ferramentas formais [VILLANI; MIYAGI; VALETTE, 2006; BRUCIAPAGLIA et al., 2007].

2.1 Análise de falhas em DAVs

Um dos pontos importantes no tratamento de falhas é como, efetivamente, será executado o reparo. Neste contexto existem duas abordagens para executar os reparos:1) Ajuste dos parâmetros de operação: nesta abordagem executa-se o ajuste dos parâmetros sem alterar ou reorganizar a estrutura lógica do equipamento. Este tipo de reparo é realizado através da leitura dos sinais de sensores e geração de comandos adequados para os atuadores, já existentes no sistema, para recuperar totalmente ou em parte, as funções requeridas. No caso de acontecer uma falha o sistema pode continuar desempenhando suas funções ainda que com menor desempenho através da alteração de alguns dos parâmetros de operação. O sistema deve coletar dados destes componentes e determinar a necessidade de ajustar os parâmetros de operação para manter a o sistema em funcionamento operando com uma qualidade aceitável de controle.2) Utilização de recursos ou elementos redundantes: nesta abordagem o sistema deve possuir mecanismos que possibilitam alterar sua própria estrutura lógica e/ou física. Isto é, evidentemente, possível com componentes adicionais ou partes redundantes. Este tipo de estratégia chamada de redundância funcional pode, no entanto, envolver custos, dimensões, desempenho e complexidade indesejáveis no DAV. Basicamente, em um sistema tolerante a falhas, através do ajuste de parâmetros conserva-se a mesma estrutura mecânica, mas, a ideia é que com a introdução de alguns sensores e/ou atuadores, e novas considerações no controle, o sistema adquirira a tolerância adequada.

Em relação ao tratamento que deve ser executado em função da análise realizado pelo sistema de controle esta depende do nível de controle considerado na hierarquia do sistema de controle [LEGENDRE, 2009]. Baseado na hierarquia apresentada nas arquiteturas de controle de DAVs, são definidos alguns níveis para a análise e o tratamento de falha para esse tipo de sistema, tais como: (a) Nível de Componentes, (b) Nível de Módulos, (c) Nível de Sistema e (d) Nível de Operação (do usuário).

As falhas de operação são as que ocorrem na interface entre o médico ou o paciente e o DAV. Essas falhas são discutidas amplamente na literatura [CAMP

SORRELI, 2007; HILL e REINHARTZ, 2006; PARK et al. 2009; LEGENDRE, 2009; ISO, 2007; YI, 2007]. Neste trabalho são abordadas as falhas dos componentes do sistema que se estendem aos níveis superiores (módulos e sistema), assim o diagnóstico considerado é aquele executado no nível de componentes e seu tratamento é realizado no nível apropriado segundo a estratégia para sua mitigação. A seguir são detalhados os níveis de análise e tratamento de falhas abordado neste trabalho:a) Nível de Componente: neste nível o sistema deve possuir uma estratégia que permita detectar as falhas de cada componente, se possível recuperar o elemento em falha de maneira automática ou através da intervenção de um módulo de controle apropriado. Para detectar uma falha deve-se especificar as características dos componentes que executaram a aquisição de dados das variáveis relevantes para reconhecer possíveis estados de falha. O diagnóstico de falhas é executado realizando o devido “raciocínio” para determinar as causas da falha e assim, tomar decisões ou medidas corretivas para recuperar o equipamento.b) Nível de Módulos: neste nível é considerada a interação que existe entre os módulos de um sistema. A falha deve ser tratada através de uma estratégia de controle que permita detectar as falhas de um módulo e, se possível recuperar o módulo em falha de maneira automática ou através da intervenção de outro módulo de controle apropriado. Alguns DAVs, por exemplo, possuem módulos de carregamento de bateria redundante (no caso de sistemas TET) que chaveia de forma automática a fonte de energia, o que permite a estes equipamentos o tratamento direto de algumas falhas. No entanto, existem outros módulos que não possuem redundância, como, por exemplo, os módulos de controle local ou supervisório que precisam ser substituídos caso aconteça alguma falha. Assim, por exemplo, para evitar a parada das operações de um módulo que não consiga sua auto recuperação, o tratamento deve ser executado por outro módulo que deve diagnosticar essa falha e tratá-la de forma que o sistema continue funcionando de forma segura. A verificação ou reorganização do controle no caso de uma falha pode permitir que o sistema continuasse desempenhando suas funções, ainda que com um desempenho menor.c) Nível de Sistema: neste nível considera-se o sistema de controle do DAV como um todo (DAV mais corpo humano). O estado de cada módulo considerado neste nível é do tipo “módulo operando normalmente” ou “módulo inoperante”. No caso de um “módulo inoperante” (com dispositivos em falha que não possam ser tratadas), o sistema deve ter a capacidade de identificar uma saída que garanta um estado seguro, mitigando a falha até que o módulo inoperante volte ao estado de operação normal. Neste trabalho propõem-se uma camada de segurança para diagnóstico e tratamento de falha denominada Sistema Instrumentado de Segurança Cardiovascular (SISC). Essa camada de controle tem a função de monitorar os módulos e atuar no sistema caso estes presentem falhas.

A finalidade desta proposta envolve o problema de falhas que estão direta e unicamente associadas aos recursos disponíveis ou falhas que ocorrem inicialmente nos dispositivos e que se “propagam” aos níveis superiores (módulos e sistema), diminuindo o desempenho do DAV. Assim, são inicialmente discutidos alguns tipos de falhas (e os respectivos tratamentos) no nível de dispositivo e posteriormente são consideradas as falhas nos níveis de módulos do sistema de controle do DAV. Estas falhas também devem ser consideradas e tratadas pelo SISC.

No nível de componentes consideram-se falhas nos diversos sensores e atuadores do sistema de controle do DAV como, por exemplo: rompimento em um circuito, descalibração de um sensor, falha em um sensor, falha no motor, etc. Para o nível de módulos e sistema, em alguns casos, não é possível à detecção de forma direta

da falha através de um simples sensor. Portanto torna-se necessário um raciocínio para ser detectada a falha. Para isso, foram utilizadas as redes Bayesianas e as redes de Petri que se mostraram técnicas efetivas para o desenvolvimento de sistemas considerando a detecção e tratamento de falhas e ainda possibilitaram a análise de propriedades do modelo o que é fundamental para o projeto de um sistema de controle seguro.

2.2 Métodos de recuperação de falhas

Em um sistema de controle seguro, quando uma falha ocorre, este deve ser capaz de identificar e corrigir a mesma. Para recuperação de falhas, em sistemas que usam a PN como ferramenta de modelagem e controle, basicamente existem quatro métodos aplicados com sucesso [LI; ZHOU; WU, 2008] que são consideradas nas soluções propostas neste trabalho, são eles: (a) método da entrada condicionada, (b) método de recuperação inversa, (c) método da rota alternativa e (d) método de recuperação direta. As redes de Petri que representam estes métodos estão representadas na Fig.1.

Figura 1 – Métodos de recuperação de falhas usando PN

Estas abordagens aplicadas de forma modular e estruturada possibilitam a manutenção das propriedades do modelo original. A análise qualitativa de uma PN inclui-se a análise de propriedades como: vivacidade, segurança, reiniciabilidade entre outras. Acrescentar sub-redes da forma descrita anteriormente, garante, em princípio, a conservação das propriedades da PN original. Neste trabalho é usado o software PIPE2 para analise das propriedades das PNs construídas para garantir o atendimento das “boas propriedades” para certificar o funcionamento seguro dos modelos de controle do sistema do DAV.

Portanto, baseando-se nos conceitos apresentados, é possível elaborar um projeto de sistema de controle seguro para DAVs, utilizando-se como base os conceitos e as ferramentas de modelagem e análise apresentadas. Assim, a seguir, apresenta-se um método para a obtenção do sistema de controle de forma estruturada com o intuito de alcançar uma solução segura para o controle de DAVs.

3. RESULTADOS E DISCUSSÃO

No caso de implantação total de um DAV, cuidados especiais são essenciais para manter um bom estado de saúde do paciente [FUKAMACHI et al. 1999; VURAL,

2008; ANDRADE et al., 2008; WILSON et al., 2009]. Uma das principais dificuldades nesses casos, reside no fato de ocorrência de falha no próprio DAV ou então no metabolismo do paciente que não são consideradas durante o projeto do dispositivo. Esse problema é complexo, dado que o metabolismo do indivíduo é um sistema não determinístico, o que dificulta o uso de técnicas formais de modelagem [ALAYDI, 2008; HAREWOOD, GROGAN e MCHUGH, 2010; CHANG, GAO e GU, 2011]. Considerando este cenário, dois aspectos foram abordados na concepção de um DAV:• Primeiro: o dispositivo deve apresentar um desempenho correto e preciso, caso contrário, o sistema pode apresentar alguma falha durante a operação e o resultado pode ser fatal [CANNON e ARMANI, 2007; ANDRADE et al., 2008]. Para isso, considera-se um sistema de controle modular integrado que permite o tratamento de falhas de forma autônoma, regenerando ou degenerando o sistema para evitar que riscos venham a ocorrer ao paciente.• Segundo: Alguns DAVs mantêm o fluxo sanguíneo constante, independentemente, das necessidades diárias do paciente [FONSECA et al., 2008], ou seja, eles ajudam na circulação sanguínea, mas, não reagem adequadamente às mudanças no comportamento do paciente [BOCK et al., 2008]. Se o paciente está descansando e necessita realizar uma atividade física, automaticamente, o seu coração muda de comportamento, bombeando mais sangue, porém, alguns DAVs, não se adaptam a mudança de estado do coração natural. Por isso, é necessário um sistema de controle integrado que permita a adaptação do sistema de forma autônoma para proporcionar maior conforto ao paciente.

Por isso, o DAV que não é tolerante a falhas e não apresenta comportamento dinâmico de acordo com a situação do paciente, se torna limitado e pode comprometer o sistema cardiovascular se apresentar um desempenho insatisfatório. Para tratar esse problema propõe-se a aplicação de uma abordagem mecatrônica à esta classe de dispositivos com base em técnicas avançadas de instrumentação, controle e automação. Estas técnicas permitem o tratamento de limitações das soluções atuais. Porém, como a implementação do projeto de um DAV é algo multidisciplinar e complexo propõe-se um método para especificar um sistema de controle de supervisão para um DAV que:• Possibilite a distribuição do controle em módulos e permita especificar a lógica para o controle de forma segura, modular e distribuída dentro das normas exigidas;• Permita especificar a lógica para o controle de velocidade da bomba de acordo com o comportamento dinâmico do paciente. Modelos regenerativos são usados na modelagem do sistema, e em função da diagnose e do estado dinâmico do paciente, o sistema deve agir para se adaptar a situação.• Permita especificar a lógica de segurança para tratar falhas no DAV que podem causar riscos ao paciente. Para isso, é proposta uma adaptação de uma técnica de análise de falhas (HAZOP) para fazer o levantamento de falhas críticas. São usadas as redes Bayesianas para modelar as funções de diagnóstico em função do estado do sistema e é feito um modelo de controle com base nas informações obtidas de um sistema de controle de diagnóstico e tratamento de falhas em tempo real usando Redes de Petri.• Permita verificar e validar o modelo matemático do sistema de controle de acordo com sua interação com um modelo matemático do sistema cardiovascular humano [ABDOLRAZAGHI, NAVIDBAKHSH e HASSANI, 2010; SALES, CAVALHEIRO e SANTOS FILHO, 2010].

Portanto, de acordo com as técnicas de modelagem abordadas, propõe-se um método para o desenvolvimento do Sistema de Controle de DAV conforme a Fig. 2.

Figura 2 – Método para projeto de sistema de controle supervisório aplicado a DAV

A sequência proposta, tem como objetivo organizar as atividades envolvidas para desenvolver o projeto de controle do sistema aplicado a um DAV. Assim, essas atividades são apresentadas a seguir:1) Definição de funções de controle: Nesta etapa define-se do grau de autonomia do sistema de controle do DAV. Documentos gerados: diagrama de processo, descritivo de funcionamento e tabela HAZOP. Para a elaboração desta tabela foram propostos os seguintes procedimentos que estão representados na Fig. 3.

Figura 3 – Método para elaboração do HAZOPOnde: 1A) Definição das características do DAV basicamente divididas:

1) Definição das características físicas do DAV tais como: Tipo de assistência (DAVE, DAVD ou BiDAV); Implantáveis ou não; Pulsátil ou Rotativo; etc.

2) Definição das características de controle, atuação e sensoriamento. 1B) Definição dos documentos necessários para a definição das ações de controle:

1) Descritivo de funcionalidades do sistema onde deve ser definido se o sistema tem funções de adaptação, regeneração, degeneração, redundância, controle manual, dispositivo de monitoração, dentre outras funcionalidades que podem ser implementadas considerando a tecnologia disponível.

2) Diagrama de processo onde devem ser apresentados todos os sensores, atuadores e equipamentos da arquitetura de controle do sistema.

Para implementar o sistema de controle seguro para o DAV desenvolvido no IDPC, é proposta a arquitetura de controle de acordo com a Fig. 4 [CAVALHEIRO et al., 2010; CAVALHEIRO et al., 2011].

Figura 4 – Arquitetura de controle proposta

Considerando-se o DAV em estudo, destaca-se que este foi detalhado em: bomba, motor, válvula de segurança, sistema de controle e sensores. Por sua vez, o sistema de controle está segmentado em: sistema de controle local, sistema de controle supervisório e sistema de controle de segurança cardiovascular (SISC).

Seguindo o método proposto com base na arquitetura sugerida e os requisitos de projeto, são definidas as funções de controle através da equipe de médicos e engenheiros. Com isso, é possível definir a autonomia do sistema de controle do DAV.

Para a definição das funções de controle, gera-se uma lista de sensores e atuadores, na qual são definidos os instrumentos do DAV em função da tecnologia disponível para a atuação e sensoriamento das variáveis do sistema. O padrão de nomenclatura dos instrumentos segue a norma ISA S5.1 [ISA, 1992]. Esta lista está representada na Tabela 1.

Tabela 1 – Sensores e Atuadores do DAVNOME DESCRIÇÃO

PT1 Transmissor de Pressão de sangue do Ventrículo Esquerdo (entrada da bomba)

PT2 Transmissor de Pressão de sangue para Aorta (saída da bomba) FT1 Transmissor de Fluxo de sangue para o Corpo (saída da bomba) TT1 Transmissor de Temperatura do Sangue (saída da bomba) TT2 Transmissor de Temperatura do Motor TT3 Transmissor de Temperatura do Controle YT1 Transmissor de Batimentos Cardíacos do Coração (função de IT1) ST1 Transmissor de Velocidade da bomba (sensor Hall) ST2 Transmissor de Velocidade do Motor (função de IT1) WT1 Transmissor de Torque da Bomba (função de IT1 e ST1) IT1 Transmissor de Corrente do Motor ET1 Transmissor de Energia da Bateria M1 Motor da Bomba B1 Rotor da Bomba V1 Válvula de Bloqueio

Outro documento elaborado é o diagrama de processo e instrumentação do sistema. Para o sistema de controle proposto, foi elaborado o diagrama de processo e instrumentação, apresentado na Fig. 5, onde é representada a instrumentação (sensores e atuadores) utilizada para a automação do sistema e o local onde o DAV é inserido no sistema cardiovascular.

Figura 5 – Diagrama de Processo e Instrumentação do DAV

Neste diagrama estão representadas as vias por onde o sangue circula. Essas vias são constituídas por elementos do sistema cardiovascular (artérias, veias, arteríolas, vênulas e capilares) e por cânulas do DAV que o conectam ao sistema cardiovascular.

1C) Definição da equipe responsável pelo HAZOP é a etapa onde são definidos os membros da equipe multidisciplinar.

1D) Definição de palavras guias do HAZOP é feita seguindo os conceitos da norma IEC61882.

1E) Elaboração do HAZOP são definidos os elementos de análise do projeto. Segundo a norma IEC61882, um elemento constitui-se de uma parte que serve para identificar características essenciais do sistema. A escolha dos elementos pode depender da aplicação em particular, mas, os elementos podem incluir recursos tais como: o material envolvido, uma atividade realizada, um equipamento ou elemento utilizado, um material transportado ou transformado, etc. Devem ser considerados em um sentido geral e podem incluir dados, softwares, cálculos, etc. A seguir é apresentada na Tabela 2 os elementos do DAV em estudo.

Elemento Característica

1 Sangue Pressão

Fluxo

Temperatura

2 Rotor Rotação

Temperatura

3 Motor Rotação

Consumo de corrente

Torque

Temperatura

4 Controle Supervisório Funcionamento

Temperatura

5 Controle Local Funcionamento

Temperatura

6 Coração Batimento Cardíaco

Funcionamento da válvula A-V

Funcionamento da válvula Aórtica

7 Corpo Fluxo Sanguíneo 8 Bateria Funcionamento 9 Válvula de Bloqueio Funcionamento 10 PT1 Funcionamento 11 PT2 Funcionamento 12 FT1 Funcionamento 13 TT1 Funcionamento 14 TT2 Funcionamento 15 TT3 Funcionamento 16 ST1 Funcionamento 17 ET1 Funcionamento 18 IT1 Funcionamento 19 ST2 Funcionamento 20 WT1 Funcionamento 21 YT1 Funcionamento

Tabela 2 – Elementos e características consideradas na elaboração do HAZOP

Após a definição dos elementos a tabela HAZOP deve ser elaborada. Para o preenchimento da tabela HAZOP é proposto o seguinte algoritmo que formaliza a elaboração da tabela HAZOP e está representado na Fig. 6.

Figura 6 – Algoritmo para preenchimento da tabela HAZOP

Na Tabela 3 é apresentada a tabela HAZOP proposta para projetos de DAV.

N° Elemento Característica Palavra Guia Desvio Possíveis Causas Consequências

Medidas de Segurança/ Manutenção

ComentáriosAções que devem ser tomadas

Ação alocada para:

Palavra Guia 1

Característica 1 do Elemento n + Palavra Guia 1 e sensor que detecta o Desvio

Falha n associada ao desvio

Consequência da Falha n

O que deve ser observado para evitar a falha n

Comentários sobre a falha n

Ação para tratar a falha n

Elemento responsável pelo tratamento da falha n

Palavra Guia m+1

Característica 1 do Elemento n + Palavra Guia m+1 e sensor que detecta o Desvio

Falha n+1 associada ao desvio

Consequência da Falha n+1

O que deve ser observado para evitar a falha n+1

Comentários sobre a falha n+1

Ação para tratar a falha n+1

Elemento responsável pelo tratamento da falha n+1

Palavra Guia 1

Característica n+1 do Elemento n + Palavra Guia 1 e sensor que detecta o Desvio







Palavra Guia m+1

Característica n+1 do Elemento n + Palavra Guia m+1 e sensor que detecta o Desvio







Palavra Guia 1

Característica 1 do Elemento n+1 + Palavra Guia 1 e sensor que detecta o







Palavra Guia m+1

Característica 1 do Elemento n+1 + Palavra Guia m+1 e sensor que detecta o







Palavra Guia 1

Característica n+1 do Elemento n+1 + Palavra Guia 1 e sensor que detecta o







Palavra Guia m+1

Característica n+1 do Elemento n+1 + Palavra Guia m+1 e sensor que detecta o







Característica 1 do Elemento

n+1

Característica n+1 do

Elemento n+1

n

n+1

Elemento n

Elemento n+1

Característica 1 do Elemento n

Característica n+1 do

Elemento n

Tabela 3 – Proposta de preenchimento da tabela HAZOP

Portanto, utilizando-se o método apresentado na Fig. 2 é possível obter de forma formal o HAZOP do DAV em estudo. Na Tabela 4 é apresentado um exemplo de preenchimento de parte da tabela HAZOP do DAV em estudo.

Elemento Característica Palavra Guia Desvio Possíveis Causas ConsequênciasMedidas de Segurança/ Manutenção

Comentários Ações que devem ser tomadas Ação alocada para:

Falta de alimentaçãoDAV não auxilia o

bombeamento de sangue -

Emitir Sinal de Alerta.Existe bateria redundante?Sim: Assume a bateria redundante.Não: Existe válvula de bloqueio?Sim: isolar e desligar o DAVNão: Sem ação.

SIS/Sistema de Alarme

Desacoplamento magnéticoPossibilidade de refluxo

através da Bomba -

Emitir Sinal de Alerta.Desligar e religar o DAV para reacoplar.Reacoplou?Sim: Manter válvula de bloqueio aberta.Não: Emitir sinal de alerta e:Existe válvula de bloqueio?Sim: Fechar válvula de bloqueio e voltar para o início desta ação.Não: Voltar ao início desta ação.


MenosRotação menor que a

esperada(SSL1)

Escorregamento Magnético - - - Emitir sinal de alerta SIS/Sistema de Alarme

MaisRotação maior que a

esperada(SSH1)

Não é possível - - - - -

ReversoRotação reversa

(SSN1) Desacoplamento magnéticoPossibilidade de refluxo

através da Bomba - -



Rotor da Bomba

Rotação

(ST1)

SemSem rotação

(SSLL1)

Tabela 4 – Exemplo de preenchimento da tabela HAZOP

Com as principais informações do projeto definidas é possível avançar para a próxima etapa do método proposto.

2) Modelagem da diagnose do paciente: criam-se os modelos das funções de diagnose do sistema usando as informações do HAZOP. Utilizou-se a Rede Bayesiana (BN) que é uma ferramenta matemática consagrada de aprendizagem capaz de diagnosticar a causa de uma falha. Neste sentido a BN pode ser criada a partir de uma matriz “causa x efeito” extraída do HAZOP. Assim, o processo de diagnóstico pode ser representado por uma sequência de eventos (causas x efeitos) ou mudanças de estado. Dessa forma pode ser usado a Rede de Petri (PN) para análise e validação. Adotando uma arquitetura modular, para cada um dos estados pode ser associado um algoritmo particular ou uma técnica de inteligência artificial (IA) específica para solucionar um dado problema onde

neste trabalho foi usada a BN. O módulo que representa a execução de diagnóstico, deve diagnosticar as causas de uma falha (ou apresentar uma lista com as possíveis causas) e, se for possível executar (ou sugerir) o tratamento para recuperar a falha. Dessa maneira, a PN e a BN são ferramentas que se complementam no âmbito de análise, diagnóstico e tratamento de falhas, além de serem ferramentas de fácil compreensão e interpretação, o que facilita a elaboração de um algoritmo de controle, fortalecendo assim a escolha dessas ferramentas como instrumentos de análise de falhas para sistemas de controle de DAVs. Na Fig.7 é apresentado um exemplo de uma BN de diagnóstico de falha obtida através do algoritmo proposto.

Figura 7 – Exemplo de uma Rede Bayesiana de diagnóstico de uma falha

Uma vez definido os modelos de diagnóstico em BN é necessário converte-los em PN para simulação, análise e validação dos modelos. Cada modelo em BN é convertido em uma PN interpretada. Para isso são realizadas as seguintes atividades:• Obtenção das relações causais entre as variáveis.• Consideração das relações lógicas entre os desvios detectados pelos sensores, as quais estão definidas em cada FCCS.• Relações dos efeitos (desvios detectados por sensores) para as causas (falhas críticas).• Construção da rede de forma que: seja permitida sua reinicialização e a consequente reinicialização do sistema de controle atendendo as “boas propriedades” de elaboração de um algoritmo;• Representação das variáveis físicas nos elementos da Rede para a implementação do conjunto de entradas e saídas do sistema de controle.

Os modelos em PN interpretada obtidos para a falha 10 (desacoplamento magnético) do DAV em estudo pode ser observado na Fig. 8 e na Tabela 5. Observa-se ainda que:• A Fig.8 está relacionada a Tabela 5 que descreve o significado dos elementos da rede.• A sintaxe utilizada no modelo em PN está de acordo com o simulador HPSim que é uma ferramenta computacional que pode ser utilizada para validação dos modelos.

Figura 8 – Modelo em PN interpretada do diagnóstico da falha 10

Elemento Descrição Lugar "SSLL1"

Desvio de velocidade no Bomba na faixa SEM, detectado pelo sensor ST1.

Lugar "SSN1"

Desvio de velocidade no Bomba na faixa REVERSO, detectado pelo sensor ST1.

Lugar "PSH1"

Desvio de pressão na entrada do DAV na faixa MAIS, detectado pelo sensor PT1.

Lugar "FSN1"

Desvio de vazão no DAV faixa REVERSO, detectado pelo sensor FT1.

Lugar "FDSL1"

Desvio de vazão diferencial entre Sístole e Diástole no DAV faixa MENOS, detectado pelo sensor FT1.

Lugar "YDSL1"

Desvio de Diferença de Amplitude do Batimento Cardíaco entre Sístole e Diástole faixa MENOS, detectado pelo sensor IT1.

Lugar "WSLL1"

Desvio de torque no Motor na faixa SEM, detectado pelo sensor IT1+ST1.

Lugar "WSN1"

Desvio de torque no Motor na faixa REVERSO, detectado pelo sensor IT1+ST1.

Lugar "Desabilita PT1"

Sinal de falha do sensor PT1, proveniente do tratamento da falha do respectivo sensor.

Lugar "Desabilita FT1"

Sinal de falha do sensor FT1, proveniente do tratamento da falha do respectivo sensor.

Lugar "Desabilita IT1"

Sinal de falha do sensor IT1, proveniente do tratamento da falha do respectivo sensor.

Lugar "Desabilita ST1"

Sinal de falha do sensor ST1, proveniente do tratamento da falha do respectivo sensor.

Lugar "Sem Falha10"

Modelo pronto para reinicializar em caso de ocorrência dos desvios correspondentes.

Lugar "Falha 10 Diagnosticada"

Falha 10 diagnosticada: Desacoplamento Magnético.

Tabela 5 – Elementos do modelo em PN interpretada do diagnóstico da falha 10.

Uma vez definido os modelos de diagnóstico de falhas é possível gerar os modelos de tratamento das falhas diagnosticadas que é a próxima etapa do método proposto.

3) Modelagem do tratamento de Falhas: para cada falha é necessário tomar uma ação de mitigação. Para isso é proposto a definição de uma Função de Controle Cardiovascular de Segurança (FCCS), que corresponde à descrição das ações de controle que devem ser executadas para degenerar ou regenerar o sistema para um estado seguro quando diagnosticada uma respectiva falha. A descrição de uma FCCS s pode ser feita em formato de tabela e deve conter dados necessários para a modelagem do diagnóstico e tratamento de falhas, os quais são retirados da tabela gerada pelo estudo HAZOP, considerando-se as ações de controle a serem tomadas que foram especificadas e o atuador(es) responsável(eis) pela sua execução.

Cada tabela que descreve uma FCCS deve conter: um identificador; a falha representada; as consequências da falha; os eventos inicializadores, que são a combinação de respostas dos sensores que indicam a ocorrência da falha; e a ação de controle de tratamento executada pelo SISC quando a falha for diagnosticada. Para a construção das FCCSs é proposto o seguinte procedimento:a) Selecionar a falha crítica;b) Buscar na tabela gerada pelo estudo de HAZOP todas as ocorrências dessa falha, ou seja, identificar todos os desvios associados a essa falha;c) Identificar os sensores que detectam esses desvios;d) Definir as relações lógicas do tipo “E” e “OU” entre as respostas dos sensores que caracterizam o diagnóstico da falha correspondente;e) Identificar as consequências da falha;f) Identificar a ação de tratamento do SISC.

Na Tabela 6 é apresentado um exemplo de preenchimento da tabela padrão de descrição das FCCSs do projeto do sistema de controle do DAV em estudo.

FCCS Descrição Consequências Ação

PSH1 Pressão do sangue na entrada do DAV maior do que a esperada(PSH1)

FSN1 Fluxo com sentido contrário ao esperado(FSN1)

FDSL1 Diferença de Fluxo entre Sístole e Díastole Abaixo do Esperado

YDSL1 Diferença de Amplitude do Batimento Cardíaco entre Sístole e Díastole Abaixo do Esperado

SSLL1 Sem rotação(SSLL1)

SSN1 Rotação reversa(SSN1)

WSL1 Torque no motor menor que o esperado(WSL1)

WSN1 Torque no motor Reverso(WSN1)


Eventos Inicializadores

10Desacoplamento

magnéticoPossibilidade de refluxo

através da Bomba E

E

OU

Tabela 6 – Exemplo de preenchimento da FCCS 10 do DAV

Com as FCCSs definidas foram gerados modelos de tratamento para cada falha crítica utilizando os dados contidos na coluna “Ação” das FCCSs, que definem ações de controle que devem ser implementadas quando a respectiva falha é diagnosticada. O modelo de tratamento da falha 10 está representado na Fig. 9.

Figura 9 – Modelo em PN interpretada do tratamento da falha 10

Deve-se observar que para os modelos de tratamento onde o DAV é desligado, assim que o sistema atinge o estado “religar DAV”, espera-se que a transição de saída deste lugar seja temporizada para aguardar um período de atuação adequado no sentido de provocar o reacoplamento magnético. Se a falha persistir, o procedimento é repetido.

Após elaborar o modelo em PN das FCCS e interliga-los aos modelos de diagnóstico e coordenação pode-se fazer a verificação do algoritmo de controle usando o software PIPE2 que permite verificar as boas propriedades da rede gerada. Uma vez validada a rede é possível passar para a próxima etapa do método.

4) Programação de um algoritmo de controle: o Controlador Programável (CP) é um equipamento essencial para a implementação de sistemas de controle. Consequentemente, as normas que foram estabelecidas para este equipamento permitem a reutilização de módulos de software e permitem assegurar soluções de alta qualidade, especialmente para condições que requerem métodos seguros de verificação e validação. Assim, é necessário adotar seguinte procedimento: programa de controle de geração em linguagem de programação de acordo com IEC61131-3 [IEC, 2003], com base na conversão de modelos em PN [LEE, ZANDONG e LEE, 2004]. Uma vez obtido o algoritmo na linguagem de programação condizente com a norma pode ser executado o teste em bancada para a validação do algoritmo de controle in vitro que é a próxima etapa do método.

5) Validação in vitro para algoritmo de controle: o algoritmo de controle pode ser validados usando um modelo matemático que simule o sistema cardiovascular humano. Uma das formas é usar o equivalente elétrico, segundo Abdolrazaghi (2010) e Sales (2010) do modelo cardiovascular humano que pode usar parâmetros eletrônicos que são correlacionados à parâmetros mecânicos da seguinte forma: a tensão (volt) é análoga à pressão (mmHg), capacitância (mF) para o elasticidade (ml / Pa), resistência elétrica (kΩ) à resistência a passagem de sangue (1 Pa.s / ml), e indutância (µH) para inércia (1 Pa.s2/ml) [ABDOLRAZAGHI, NAVIDBAKHSH e HASSANI, 2010]. Os elementos de cada artéria são representados incluindo um ou dois resistores, um indutor e um capacitor. Usando essa técnica obteve-se o modelo do sistema cardiovascular utilizado para validação do controle que está representado na Fig. 10.

Figura 10 – Circuito eletrônico do sistema cardiovascular e DAV em estudo.

Esse modelo pôde ser usado para fazer a validação da arquitetura de controle do DAV em estudo, permitindo assim validar o controle do mesmo de acordo com o modelo matemático do sistema cardiovascular.

O próximo passo é a implementação do protótipo que pode ser validado por um simulador do sistema cardiovascular. Atualmente, o Instituto Dante Pazzanese de Cardiologia tem um simulador programável mecânico híbrido que realiza testes in vitro e é capaz de simular situações reais que podem ocorrer no comportamento do paciente [REED, REED e FRITZSON, 2004; FONSECA et al., 2011].

6) Validação in Vivo: a validação in vivo do algoritmo de controle é realizada após simulação usando os algoritmos matemáticos para representação computacional de

características fundamentais para a validação de um algoritmo de controle de um DAV e os testes em bancada do protótipo de controle do mesmo. Desta forma, o controle do DAV está pronto para testes in vivo em animais [ANDRADE et al., 1999].

A aplicação deste conjunto de procedimentos é a proposta de um método para projetos de sistema de supervisão e controle seguro de DAVs. Com esse método é possível criar um sistema de controle capaz de reagir à regeneração do sistema cardiovascular humano e pode melhorar a segurança e qualidade de vida para o paciente usuário deste tipo de dispositivo. Assim, considerando-se os procedimentos descritos, é possível definir um método que: (i) considere falhas críticas do estudo HAZOP para DAV, (ii) usa BN para o diagnóstico e decisão, (iii) define Funções de Controle Cardiovascular de Segurança (FCCS), utilizando RP e (iv) modelos de sistemas de controle de supervisão, considerando variáveis discretas e contínuas de DAV.

4. CONCLUSÕES

Este trabalho propôs a aplicação de uma abordagem de controle de sistemas críticos e análise de risco para projetos de sistemas de controle de DAVs. Para tanto, apresenta-se uma sistemática que se adequada aos padrões de segurança exigidos para esses dispositivos atribuindo maior autonomia, segurança e confiabilidade ao sistema.

Para projetar o sistema de controle de um DAV, adota-se a tabela HAZOP como ferramenta de análise de risco, as BNs como ferramentas de aprendizagem, e as PNs interpretadas como uma ferramenta para a modelagem da parte correspondente ao controle destes sistemas, detalhando-se, inclusive, a modelagem de funções elementares de controle de forma modular.

Assim, através deste trabalho são descritos um conjunto de procedimentos que direcionam um projeto de sistemas de controle seguro para um DAV, considerando a abordagem de sistemas de controle híbrido e aspectos de adaptabilidade e segurança proporcionando autonomia aos DAVs de forma segura. Neste sentido, são analisadas várias atividades relativas a cada fase de projeto, propondo procedimentos e utilizando ferramentas apropriadas para que haja uma especificação adequada com relação à estrutura de sistemas de controle. Através destes procedimentos, busca-se introduzir técnicas propostas ao longo deste trabalho para projetar, efetivamente, sistemas de controle seguros e autônomos para DAVs, destacando-se as interfaces de forma global assim como o elemento humano e sua participação nas decisões durante todo o ciclo de vida do mesmo.

AGRADECIMENTOS

Agradecimento ao Instituto Dante Pazzanese de Cardiologia (IDPC) pelo local de trabalho, a Fundação de Amparo a Pesquisa do Estado de São Paulo (FAPESP) pelo apoio com bolsas de pesquisa para alunos de mestrado e doutorado.

REFERÊNCIAS

1. M. Abdolrazaghi, M. Navidbakhsh, K. Hassani, Mathematical Modelling and Electrical Analog Equivalent of the Human Cardiovascular System. Cardiovasc Eng, v. 10, p. 45–51, 2010.2. J.Y. Alaydi, Mathematical Modeling for Pump Controlled System of Hydraulic Drive Unit of Single Bucket Excavator Digging Mechanism. Jordan Journal of Mechanical and Industrial Engineering, v. 2, n. 3, p. 157-162, 2008. ISSN 1995-6665.3. A.J.P. Andrade, Projeto, Protótipo e Testes “In Vitro” e “In Vivo” de um Novo Modelo de Coração Artificial Total (TAH) por Princípio Eletro-Mecânico de Funcionamento. Tese de Doutorado, UNICAMP. Campinas,SP. 1998.

4. A.J.P. Andrade et al., Mock circulatory system for the evaluation of left ventricular assist device, endoluminal prothesis and vascular disease. Artificial Organs, v. 32, p. 461-467, 2008.5. R. Bell, Introduction to IEC 61508. Proceedings of ACS Workshop on Tools and Standards, Sydney, Australia, 2005.6. E.G.P. Bock et al, New Centrifugal Blood Pump With Dual Impeller and Double Pivot Bearing System: Wear Evaluation in Bearing System, Performance Tests, and Preliminary Hemolysis Tests. Artificial Organs, v. 32, p. 329-333, 2008.7. A.H. Bruciapaglia et al. Enciclopédia de automática: controle e automação, Edgard Blücher, v. 3, 2007.8. D. Camp Sorrell, Clinical Dilemmas: Vascular Access Devices. Seminars in Oncology Nursing, v. 23, n. 3, p. 232-239, 2007. 9. C.P. Cannon, A.M. Armani, Preventive Cardiology: Insights Into the Prevention and Treatment of Cardiovascular Disease. 2. ed. Totowa, New Jersey: Humana Press, v. 1, 2007.10. A.C.M. Cavalheiro et al, Specification of Supervisory Control Systems for Ventricular Assist Devices. Artificial Organs Journal, v. 35, n. 5, p. 465-470, 2011c.11. A.C.M. Cavalheiro et al, Design of Supervisory Control System for Ventricular Assist Device. IFIP Advances in Iformation and Communication Technology, Lisboa, Portugal, p. 375-382, 2012.12. Y. Chang, B. Gao, K. Gu, A Model-Free Adaptive Control to a Blood Pump Based on Heart Rate. ASAIO Journal Adult Circulatory Support, p. 262-267, 2011.13. J.W.G. Fonseca et al, A New Technique to Control Brushless Motor for Blood Pump Application. Artificial Organs, v. 32, p. 355-359, 2008.14. J.W.G. Fonseca et al, Cardiovascular Simulator Improvement: Pressure Versus Volume Loop Assessment. Artificial Organs, v. 35, n. 5, p. 454–458, 2011.15. P.M. Frank, Principles of Model-Based Fault Detection, In: Proceedings of International Symposium on AI in Real-time Control, Delft, p. 363-370, 1992.16. K. Fukamachi et al, Preoperative risk factors for right ventricular failure after implantable left ventricular assist device insertion. Ann Thorac Surg, v. 68, n. 6, p. 2181-2184, 1999.17. F. Harewood, J. Grogan, P. Mchugh, A Multiscale Approach To Failure Assessment In Deployment For Cardiovascular Stents. Journal of Multiscale Modelling, v. 2, n. 1 & 2, p. 21, 2010.18. J.D. Hill, O. Reinhartz, Clinical outcomes in pediatric patients implanted with Thoratec Ventricular Assist Device. Ped Card Surg Ann, v. 9, n. 1, p. 115-122, 2006.17. IEC, IEC 60812 - Analysis techniques for system reliability — Procedures for failure mode and effectsanalysis (FMEA). IEC - International Electrotechnical Commission. [S.l.]. 2006.18. ISA, ANSI/ISA-S5.1-1984 Instrumentation Symbols and Identification. North Carolina. 1992.19. ISO, Medical devices — Application of risk management to medical devices - ISO14971. ISO - INTERNATIONAL STANDARD. [S.l.], p. 82. 2007.20. T. Kurtoglu, I.Y. Tumer, A Graph Based Fault Identification and Propagation Framework for Functional Design of Complex Systems. Journal of Mechanical Design. 2008 DOI: 10.1115/1.288518121. G.B. Lee, H. ZANDONG, J.S. LEE, Automatic generation of ladder diagram with control Petri net. Journal of Intelligent Manufacturing, v. 15, p. 245-252, 2004.22. D.E.A. Legendre, In Vitro Comparative Analysis Between In Series and In Parallel Cannulations for Ventricular Assist Device. ASAIO Journal, v. 55, n. 2, p. 172, 2009.23. Z. Li, M. ZHOU, Control of elementary and dependent siphons in Petri nets and their application, IEEE Transactions on Systems, Man and Cybernetics, Part A: Systems and Humans, vol 38, n. 1, pp. 133–148, 2008, ISSN 1083.4427.24. J.W. PARK et al, Estimation of Native Cardiac Output of Patients Under Ventricular Assist Device Support Using Frequency Analysis of Arterial Pressure Waveform. Artificial Organs - Fifth International Conference on Pediatric Mechanical Circulatory Support Systems and Pediatric Cardiopulmonary Perfusion - Abstracts, v. 33, n. 5, 2009.25. T.R. Reed, N.E. Reed, P. Fritzson, Heart sound analysis for symptom detection and computer-aided diagnosis. Simulation Modelling Practice and Theory, v. 12, p. 129-146, 2004. ISSN 1569-190.26. T.P. Sales, A.C.M. Cavalheiro, D.J. Santos Filho, Mathematical Modelling of The Human Cardiovascular System. 18° SIICUSP, São Paulo, SP, 2010.27. E. Villani, P.E. Miyagi, R. Valette, Modelling and Analysis of Hybrid Supervisory Systems: A Petri Net Approach. 1. ed. [S.l.]: Springer, v. 1, 2006.28. K.M. Vural, Ventricular assist device applications. Ankara, Turkey: AVES Yayincilik Ltd., 2008.29. S.R. Wilson et al, Ventricular Assist Devices: The Challenges of Outpatient Management. Journal of the American College of Cardiology, New York, New York, 2009.30. W. Yi, Physiological Control of Rotary Left Ventricular Assist Device. Proceedings of the 26th Chinese Control Conference, Zhangjiajie, Hunan, China, p. 469-474, 2007.

SAFETY CONTROL FOR VENTRICULAR ASSIST DEVICE

André C. M. Cavalheiro2, Diolino J. Santos Filho. 2, Aron J. P. Andrade1, Eduardo G. P.

Bock1, Jeison Fonseca1, Paulo E. Miyagi2, José R. Cardoso2

1 Department of Bioengineering, Institute Dante Pazzanese of Cardiology, São Paulo (SP), Brasil 2 Department of Mechatronic Engineering and Mechanical Systems, Polytechnic School of USP, São

Paulo (SP), Brasile-mail: [email protected]

Abstract. This paper proposes the development of a safe control system for a Ventricular Assist Device (VAD). For this we propose a new control architecture for DAV which considers the global interaction between VAD and the patient. This architecture considered: (i) verification of events based on the behavior of the patient, (ii) verification of events based on the behavior of the VAD and (iii) functions of diagnosis and management of fails in accordance with the global event occurrence system. Therefore, it is used for modeling the control system a tool that relies on the theory of Discrete Event Systems (DES). The term modeling can be applied to DES system where it is considered its evolution as a function of events, therefore usual to systems that have indeterminism with respect to time of occurrence of events, ie events could occur without a relationship with the time but where they have a causal relationship between them. This study used the method of hazard analysis and Operability (HAZOP) to perform failure analysis of system and set the control functions for a system to secure VAD control. The Bayesian Network (BN) was used to define the diagnostic models for the preparation of Functions of Fail Diagnoses (FFD). Each FFD is modeled using Petri nets (PN) for verification and validation of system properties. By modeling the functions of failure treatment, the PN is also applied. For each failure, is elaborated a Control Cardiovascular Function Secure (CCFS) based on PN. The junction of FFDs and CCFSs is used in the design of the Cardiovascular Safety Instrumented System (CSIS). This approach makes it possible to perform diagnosis and treatment of VADs systems failures as a whole, allowing the control system to degenerate or regenerate it reaches for a safe condition to the patient. In vitro tests using this method are being conducted at the Institute Dante Pazzanese of Cardiology.

Keywords: Safety System, VAD, Supervisory System, Modeling,Control.

mailto:[email protected]

Documents

· Web viewCONTROLE SEGURO PARA DISPOSITIVOS DE ASSINTÊNCIA VENTRICULAR André C. M. Cavalheiro2, Diolino J. Santos Filho. 2, Aron J. P. Andrade1, Eduardo G. P. Bock1, Jeison Fonseca1,