Slide 1

Influncia da Instrumentao e Sistemas de Controle Digitais Degradados no Desempenho dos Operadores de Reatores NuclearesMarco Antonio Bayout AlvarengaD.Sc. Engenharia Nuclear (COPPE/UFRJ)CNEN12 de agosto de 20141MOTIVAO DESTA PALESTRA I O sistema nervoso central de uma usina nuclear a ao combinada dos operadores na sala de controle junto com a instrumentao e os sistemas de controle Atravs desta ao combinada, podemos monitorar e ajustar o desempenho de todos os processos da usina nuclear para resguardar as barreiras de segurana que evitam a liberao de material radioativo, no caso de acidentes e falhas diversasInstrumentao e sistemas digitais, ao contrrio da tecnologia analgica, usam meios sofisticados de monitorao e controle, contm funes de diagnstico e predio, atravs de algoritmos de controle implementados em software 2MOTIVAO DESTA PALESTRA II A tecnologia digital permite a implementao atravs de programao de algoritmos sofisticados de controle tais como:Controle timoControle no-linearRedes neuronaisLgica difusaControle baseado em estadoControle adaptativoA tecnologia digital permite novas formas de automao com uma interao mais complexa entre seres humanos e as funes automticas de controle3MOTIVAO DESTA PALESTRA III A tecnologia analgica usava controles hardwired (p.e. interruptores, botes e manoplas) e monitores (p.e. telas de alarme, medidores, escalas lineares e luzes indicadoras) organizados em painis de controle; as aes dos operadores (em p) nestes painis so executadas a partir de procedimentos escritosA tecnologia digital usa estaes de trabalho nos quais os operadores esto sentados monitorando e controlando a usina atravs de indicadores mostrados em telas de computador, incluindo o uso de procedimentos computadorizados mostrados em tela4

SALA DE CONTROLE ANALGICA5

SALA DE CONTROLE DIGITAL6MOTIVAO DESTA PALESTRA IV As falhas ou degradao de um sistema digital podem induzir condies de operao anormais diferentes de um sistema analgicoAs falhas ou degradao de um sistema digital podem no ser percebidas imediatamente pois estes sistemas podem passar por diferentes estados intermedirios no perceptveis pelos operadores antes de atingir o seu estado final de falhaAo perceber finalmente a falha de um sistema digital os operadores tero que voltar aos sistemas de backup tradicionais baseados em hardwareDados experimentais com estes tipos de tarefas complexas esto sendo ainda levantadas

7SENSORESELETRNICA -AQUISIO DE DADOS E PROCESSAMENTO DE SINAISPROCESSADORES DE ENTRADA E SADAUNIDADES LGICAS E MDULOS DE PRIORIDADEATUADORESE DISPOSITIVOS FINAISCOMPONENTES DE UM SISTEMA DIGITAL I8SUBSISTEMA SENSORIALSUBSISTEMA DE MONITORAO DIAGNSTICO EPREDIOSUBSISTEMA DE AUTOMAO E CONTROLESUBSISTEMA DE COMUNICAOSUBSISTEMA DA INTERFACE HUMANO MQUINASISTEMA DE INTERFACE HUMANO MQUINA DE INSTRUMENTAO E CONTROLE9ERROS HUMANOSENTENDIMENTO DOS MECANISMOS ATRAVS DOS QUAIS A TECNOLOGIA DIGITAL PODE INDUZIR ERROS HUMANOSERROS DE OMISSO NO COMPLETAR A AO ESPERADA DE SEGURANA DENTRO DO TEMPO ESPERADOERROS DE COMISSO ERROS DE M INTERPRETAO DAS CONDIES DE OPERAO DISPARANDO AES ERRADAS

1011UNSAFE ACTSUNITENTIONED ACTIONSINTENTIONED ACTIONSSLIPSLAPSESMISTAKESVIOLATIONSATTENTIONAL FAILURESMEMORY FAILURESRULE BASED OR KNOWLEDGE BASED MISTAKES ROUTINE VIOLATIONS

EXCEPTIONAL VIOLATIONS

SABOTAGE

HUMAN ERROR TAXONOMY JAMES REASON (1990)TAREFAS PRIMRIAS DOS OPERADORESMONITORAR PARMETROS, RESPONDER AOS ALARMES, SEGUIR PROCEDIMENTOS, ALINHAR VLVULAS, PARTIR BOMBAS, ETC.ELEMENTOS COGNITIVOS COMUNS:

MONITORAO E DETECO SISTEMA DE ALARMEANLISE DA SITUAO MODELO MENTALPLANEJAMENTO DA RESPOSTAIMPLEMENTAO DA RESPOSTA

12C. D. WICKENS - 198413ATTENTION RESOURCESPERCEPTIONRESPONSE SELECTIONRESPONSE EXECUTION- ACTIONSDECISION MAKINGWORKING MEMORYLONG-TERM MEMORYSENSORY REGISTRATIONPERCEPTUAL ENCODINGCENTRAL PROCESSINGRESPONDING13RASMUSSENS SRK MODEL

14TAREFAS SECUNDRIAS DOS OPERADORESNAVEGAO PELAS TELAS DAS ESTAES DE TRABALHOACESSO S INFORMAES NAS TELASORGANIZAO DE PEDAOS DE INFORMAO NAS TELASGERENCIAMENTO DE INFORMAES DIVERSAS NAS TELAS

15TAREFAS SECUNDRIAS DOS OPERADORESTAREFAS SECUNDRIAS PODEM CRIAR SOBRECARGA DE TRABALHO E DESVIAR A ATENO DE TAREFAS PRINCIPAIS, TORNANDO-AS DIFCEIS DE COMPLETAR

I&C DEGRADADA PROVOCA AUMENTO DO GERENCIAMENTO DA INTERFACE, p.e. QUANDO AS INFORMAES ESTO CORROMPIDAS, FAZENDO COM QUE OS OPERADORES NAVEGUEM EM MONITORES ADICIONAIS

16DEGRADAO DOS SUBSISTEMAS SENSORIAIS E DE MONITORAODEGRADAES SENSORIAIS PODE FAZER COM QUE AS TELAS SEJAM DE DIFCIL COMPREENSO.

TELAS GRFICAS, ESPECIALMENTE AS QUE UTILIZAM RECURSOS EMERGENTES, PARECEM MAIS SUJEITOS EFEITOS DE DEGRADAO DO SENSOR DO QUE AS TELAS MAIS TRADICIONAIS

OS OPERADORES TM DIFICULDADE EM DISTINGUIR AS FALHAS DE PROCESSO DAS FALHAS DE SENSORES .17DEGRADAO DOS SUBSISTEMAS SENSORIAIS E DE MONITORAO A MELHORIA DA INSTRUMENTAO PODE AJUDAR OS OPERADORES A DISTINGUIR ENTRE PROBLEMAS DE SENSORES E PERTURBAES NO PROCESSO, APOIANDO COMPARAES COM PARMETROS DE DESEMPENHO RELACIONADOS

O DESEMPENHO DA TAREFA DOS OPERADORES PIORA MEDIDA QUE A MAGNITUDE DO RUDO DOS SENSORES AUMENTA

OPERADORES MUDAM SUAS ESTRATGIAS DE CONTROLE QUANDO O RUDO DO SENSOR AUMENTA18ESTRATGIAS PARA MINIMIZAR O IMPACTO DA DEGRADAO DOS SUBSISTEMAS SENSORIAIS E DE MONITORAOANALISAR O IMPACTO DE FALHAS DE I & C EM SIHSs

SISTEMAS DE SUPORTE PARA MONITORAMENTO DE I & C E DETECO DAS CONDIES DEGRADADAS

ASSEGURAR A QUALIDADE DA INFORMAO NO SIHSs

DISTINGUIR FONTES DE INFORMAO SENSORIADAS DIRETAMENTE DAQUELAS QUE SO DERIVADAS (INDIRETAS)19Condies daInstalao (CONTEXTO)Definio do CenrioProjetoOperao eManuteno daInstalao

Fatores de Forma deDesempenhoMecanismosde ErrosAesInsegurasEventos de Falhas HumanasDecises deGerncia deRiscoERRO HUMANOANLISE PROBABILSTICA DE SEGURANACONTEXTO INDUTOR DO ERROATHEANA (MTODO DE SEGUNDA GERAO)20DEGRADAO DOS SUBSISTEMAS DE CONTROLE/AUTOMAO E COMUNICAO IEXCESSO DE CONFIANA DOS OPERADORES NOS SISTEMAS DE CONTROLE/AUTOMAO EM FACE DA SOBRECARGA DE TRABALHO OPERADORES E SISTEMAS AUTOMTICOS DIVIDEM RESPONSABILIDADE EM TAREFAS INDEPENDENTES DIFICULDADE EM RECONHECER DEGRADAO

SE A AUTOMAO FALHA INTEGRALMENTE, OS OPERADORES TERO QUE FAZER TUDO MANUALMENTE DESAFIADOR PORQUE ESTO EM AMBIENTE NO FAMILIAR

TRANSIES AUTOMATISMO PARA MANUAL EXIGEM ANLISE DA SITUAO NO-FAMILIAR EM AMBIENTE DE SOBRECARGA E ESTRESSE21DEGRADAO DOS SUBSISTEMAS DE CONTROLE/AUTOMAO E COMUNICAO IIOS PROCEDIMENTOS COMPUTADORIZADOS (PCs) POSSIBILITAM QUE A ATIVIDADE DE SEGUIMENTO DO PROCEDIMENTO OPERACIONAL POSSA SER FEITO POR UMA PESSOA AO INVS DE TRS COMO USUALMENTE SE FAZ

A TRANSIO DE CPs PARA PROCEDIMENTOS ESCRITOS PODE SER TRAUMTICA, POIS EXIGIR NOVAMENTE A INTERAO, COORDENAO E COMUNICAO ENTRE 3 PESSOAS, COM NOVAS RESPONSABILIDADES E TAREFAS

ERROS INVOLVENDO CONTROLE E AUTOMAO TENDE A SER MAIS CATASTRFICA PORQUE NORMALMENTE NO SE INFORMA NA INTERFACE HUMANO SISTEMA DETALHES SOBRE OS OBJETIVOS, ATIVIDADES EM CURSO E DESEMPENHO DOS SISTEMAS AUTOMTICOS DE CONTROLE

22DEGRADAO DOS SUBSISTEMAS DE CONTROLE/AUTOMAO E COMUNICAO IIIOS SISTEMAS DE CONTROLE E AUTOMAO SO INFLUENCIADOS TAMBM PELO SUBSISTEMA DE COMUNICAO , PRINCIPALMENTE PELOS ATRASOS NA TRANSMISSO DAS INFORMAES E SOBRECARGA NA QUANTIDADE DE INFORMAO A SER TRANSMITIDA

tempo de quando uma ao de controle executada na IHS at quando o sinal atinge o sistema de atuao - comunicao

o tempo que leva para que o sistema mude em resposta ao de controle - processo

tempo entre a alterao na resposta do sistema e a mudana no IHS (feedback - realimentao) - comunicao

23DEGRADAO DOS SUBSISTEMAS DE CONTROLE/AUTOMAO E COMUNICAO IVComo os atrasos aumentam h uma diminuio no controle de circuito fechado (controle com base em feedback) e uma mudana para estratgias de controle em malha aberta mais difcil (com base em previso) que cada vez mais desestabiliza o controle

Quando a estabilidade boa, as respostas do sistema e entradas de controle do operador so acoplados firmemente; uma vez que diminui, a resposta do sistema progressivamente se torna mais imprevisvel.

medida que o tempo entre a entrada do operador e resposta do sistema aumenta, o controle de circuito fechado torna-se mais instvel. Ou seja, existe uma queda no valor de feedback, como um meio para que os operadores possam regular as suas aes de controle. 24DEGRADAO DOS SUBSISTEMAS DE CONTROLE/AUTOMAO E COMUNICAO (EXEMPLO I)Um operador pode ter iniciado uma ao de controle para aumentar a velocidade da bomba para um valor especificado, mas tendo observado nenhuma mudana na velocidade por causa de um atraso de tempo, o operador pode voltar a tomar outra ao para aumentar a velocidade da bomba. As duas entradas de controle causam um aumento na velocidade da bomba para um valor muito maior do que o operador pretendia.

Consequentemente, o operador toma ento uma ao de controle para reduzir a velocidade, mas, novamente, devido a atrasos de tempo, nenhuma alterao observada; em seguida, o operador repete a mesma ao gerando uma maior diminuio na velocidade da bomba do que a desejada. O controle do operador da bomba tornou-se instvel.

Quando tais atrasos desestabilizam o controle de circuito fechado, muitas vezes levam a mudar para uma estratgia de controle em malha aberta mais difcil; isto , o controle com base em previso, em vez de realimentao. uma abordagem cognitivamente mais exigente, baseada no conhecimento para controlar (Wickens, 1984).25DEGRADAO DOS SUBSISTEMAS DE CONTROLE/AUTOMAO E COMUNICAO (EXEMPLO II)Lorenzo (1990) deu o seguinte exemplo do efeito de feedback atrasado sobre o comportamento do operador em uma fbrica de produtos qumicos:

Um sistema de controle baseado em computador foi to sobrecarregado por um processo com grave distrbio que deixou de atualizar os terminais de vdeo. Sem saber que a informao apresentada era imprecisa, os operadores inadvertidamente posicionaram vlvulas em seus limites de totalmente abertas ou fechadas, enquanto esperavam pela exibio de alguma resposta nas telas dos terminais. As vlvulas mal-posicionados pioraram o distrbio, eventualmente causando um desligamento de emergncia da unidade quando algumas vlvulas de alvio atuaram.26ESTRATGIAS PARA MINIMIZAR O IMPACTO DA DEGRADAO DOS SUBSISTEMAS DE CONTROLE/AUTOMAO E COMUNICAO Ientender como e por que pode degradar ou falhar

entender as implicaes de tais degradaes para a IHS e no seu prprio desempenho

monitorar o desempenho do sistema de I & C de modo a detectar e reconhecer degradaes via sala de controle no SIHS

executar aes compensatrias/de recuperao, talvez com o uso de procedimentos

transio suave para sistemas de backup quando necessrio entender como os papis e responsabilidades dos membros da equipe de operao e do conceito de operaes so afetados1. Suporte no treinamento para deteco e gerncia de I&C degradados

27ESTRATGIAS PARA MINIMIZAR O IMPACTO DA DEGRADAO DOS SUBSISTEMAS DE CONTROLE/AUTOMAO E COMUNICAO IIPara compens-los, aos operadores so dadas telas preditivas que fornecem realimentao imediata aos operadores sobre o efeito de suas aes de controle no desempenho do sistema. As previses so baseadas em modelos que determinam que efeitos podem ocorrer. Telas preditivas exibem efetivamente questes de desempenho humano decorrentes de atrasos (Wu, Wang, & Wang, 2006; Xiong, Li, & Xie, 2006).2. SISTEMA DE SUPORTE PARA ATRASOS (TIME DELAYS)

28EXEMPLOS DE FALHAS DE SISTEMAS DIGITAIS IUm incidente envolveu um erro de software com dados corrompidos em uma usina nuclear coreana Uljin, Unidade 3. A falha envolveu um circuito integrado de aplicao especfica em um mdulo de interface de rede do sistema de controle de planta digital (DPCS). A falha fez com que vrios componentes de no segurana se comportarem de forma inesperada, por exemplo, bombas de partida e as vlvulas de reposicionamento, sem que houvesse um comando para isso.

Os operadores detectaram e reagiram situao, sem quaisquer consequncias negativas. O problema foi devido a um erro de software de causa comum, que foi corrigido. Alm disso, um alarme foi instalado na sala de controle principal para alertar os operadores de possveis falhas da rede, e um procedimento escrito para lidar com tais situaes29EXEMPLOS DE FALHAS DE SISTEMAS DIGITAIS IISinal de Injeo de Segurana Inadvertido com Falha no Restabelecimento

Aqui, a falha de um nico componente (diodo zener) dentro de placa lgica de um sistema de proteo causou um transiente incomum em que foram necessrias vrias aes manuais locais para rearmar o sinal invlido e fixar o equipamento de segurana. O dodo de Zener que falhou foi localizado no circuito associado com a iniciao automtica de um sistema de segurana. Na sala de controle principal, a equipe de operao estava ciente de que o sistema de segurana fora iniciado, e determinou que era um sinal falso (no vlido). No entanto, quando eles rearmaram o sinal de iniciao, os rels no restabeleceram tudo o que os operadores esperavam porque a tenso tinha sido degradada pelo diodo falhado. Na verdade, o sinal de iniciao para um trem de segurana de injeo no pode ser rearmado (estava "selado")

A falha do diodo degradou o subsistema de automao / controle e impediu que os operadores respondessem pela tomada de aes corretivas atravs de seus controles. Consequentemente, eles perderam o conhecimento da situao e da sua capacidade para corrigir a situao anormal.30EXEMPLOS DE FALHAS DE SISTEMAS DIGITAIS IIIComunicaes Ethernet Degradadas

A informao NRC 2007-15 (NRC, 2007) descreve um evento que envolve um sistema de comunicao Ethernet sobrecarregado ligado ao sistema de controle de uma bomba de recirculao. O sistema de comunicao colapsou por causa do trfego de dados em excesso.

Quando a degradao ocorreu, o sinal de demanda de controle de velocidade da bomba de recirculao caiu para zero e houve diminuio do fluxo da bomba, resultando em um desligamento da planta devido alta potncia, com condio de baixo fluxo.

As duas unidades de freqncia varivel (VFDs) que regulam a velocidade das bombas de recirculao falharam o que implicou na necessidade de um desligamento manual. Os controladores da unidade de freqncia varivel (VFD), conectados rede do sistema de computador integrada da planta, falharam devido a excesso de trfego na rede.

O subsistema de comunicao degradado afetou os controles (controles de velocidade da bomba de recirculao) e subsistemas de informao IHS; assim, o subsistema IHS no deu aos operadores nenhuma indicao de que a Ethernet estava experimentando o trfego de dados pesado, e que podia estar degradada (ou seja, baixou a percepo da situao). A equipe tambm perdeu sua capacidade da implementao da resposta apropriada, porque eles no podiam controlar a velocidade e o fluxo da bomba de recirculao.

A ao corretiva do Licenciado incluiu a instalao de um dispositivo de rede, firewall, que limita as conexes e trfego para todos os dispositivos potencialmente sensveis da rede.31CRITRIOS EM NORMAS I NUREG-0711 Human Factors Engineering, Seo 4.4, diretriz 4, afirma que a Descrio de uma funo automtica deve incluir

objetivo da funo condies que indicam quando a funo necessria parmetros que indicam que a funo est disponvel parmetros que indicam que a funo est funcionando parmetros que indicam que a funo est atingindo o seu objetivo parmetros que indicam que a operao da funo pode ou deve ser encerrada Estas informaes devem estar disponveis aos operadores quando do monitoramento de funes automticas. 32CRITRIOS EM NORMAS II Duez e Jamieson (2006) sugeriu a apresentao de informaes em diferentes nveis de abstrao para incluir:

dados sobre o propsito da automao, ou seja, a funo para a qual foi projetado

dados sobre o processo da automao, isto , como atende o seu objetivo, por exemplo, os algoritmos usados

dados sobre o desempenho da automao, ou seja, os resultados do processo de automao

33HIERARQUIA DE FUNES NVEIS DE ABSTRAO 34PROPSITO FUNCIONAL PRODUO E SEGURANA FUNO ABSTRATA - ESTRUTURA CAUSAL COM FLUXOS DE ENERGIA, MASSA E INFORMAOFUNES GENERALIZADAS PROCESSOS GENRICOS OU PADRESFUNO FSICA PROCESSOS FSICOS DE COMPONENTES E SISTEMAS ELTRICOS, MECNICOS E QUMICOSFORMA FSICA O EQUIPAMENTO OU COMPONENTE EM SI COM AS SUAS CARACTESTICAS E ESPECIFICAES

O NVEL ACIMA CONTM AS RESTRIES E O PORQU (WHY); O NVEL ABAIXO OS MODOS (HOW) DO QUE ACONTECEU EM DETERMINADO NVEL (WHAT)

Da mesma forma, Lee and See (2004) sugeriram que o SIHS deve fornecer informaes que garantam a confiana adequada na automao, como a confiabilidade da automao

possibilitem a avaliao do operador dos recursos da automao sob diferentes situaes em que essas habilidades variam

mostram o desempenho passado da automao para o uso atual

forneam detalhes especficos sobre como a automao est funcionando, por exemplo, o processo e algoritmos de automao de forma clara e abrangente revelando resultados intermedirios para os operadoresCRITRIOS EM NORMAS III 35 A degradao de I & C digital ocorre regularmente, e previsivelmente aumenta em freqncia medida que mais sistemas so utilizados

degradaes ocorrem em todos os subsistemas de I & C

a deteriorao de I & Cs digitais pode ter consequncias importantes, ou seja, desligamentos do reator, e impactos nos sistemas de segurana

cerca de um tero dos eventos envolvendo IHS indicam a possibilidade da falha digital de I & C em reduzir a capacidade do operador para monitorar a planta e responder ao evento

impactos foram sentidos em reas-chave, incluindo a sala de controle principal, o centro de suporte tcnico e de emergncia e os centros locais de operaes

Os sistemas digitais tm alarmes para falhas do sistema, mas os alarmes podem no sinalizar todas as condies degradadas.CONCLUSES 36 Necessidade de estabelecer critrios de segurana especficos em Norma para sistemas digitais e seu impacto no desempenho humanoCONCLUSES 37

AGORA, LEMBRE-SE, ESTE LIGA O AR-CONDICIONADO E ESTE AQUI DESTRI O MUNDO!

O Mundo sem Fatores Humanos 38FIM39