Trabalhos de Conclusão de Curso
Junho de 2012, São Paulo-SP, Brasil.
SISTEMA GERADOR DE FALHAS PARA DISPOSITIVOS DE
ASSISTÊNCIA VENTRICULAR
Leonardo Florentino de Jesus leonardofj@gmail.com
Orientador: Prof. Dr. Diolino Jose dos Santos Filho diolinos@usp.br
RESUMO
O uso de dispositivos de assistência ventricular pode salvar ou melhorar a qualidade de vida de
pacientes que sofram de insuficiência cardíaca. Para que o uso desse dispositivo seja seguro e não
ponha em risco a vida do paciente é preciso que exista um sistema de controle supervisório
inteligente voltado para a segurança do dispositivo, que seja capaz de diagnosticar possíveis falhas
no funcionamento do dispositivo e promover ações de alerta e tratamento.
Para o desenvolvimento de um sistema de controle adequado é necessário um estudo de modelos de
diagnóstico, tratamento e mitigação de falhas no dispositivo, que necessita de um histórico de
ocorrência de falhas no funcionamento do sistema.
Quando não existe um histórico de falhas no dispositivo, é possível usar um gerador de falhas para
criar um banco de dados de falhas que permita a análise de um histórico de ocorrência para um
estudo de relações causa-efeito.
A partir deste banco de dados gerado é possível utilizar-se o algoritmo K2 que funciona como uma
máquina de inferência capaz de gerar modelos causa-efeito representados em redes Bayesianas
correspondentes à composição de falhas inicialmente especificadas pelo estudo HAZOP.
Palavras-chave: Dispositivo de Assistência Ventricular, Redes de Petri, Gerador de Falhas, Análise
de Riscos.
1. Introdução
Dispositivos de Assistência Ventricular (DAV) são propulsores sanguíneos que substituem o trabalho mecânico do lado esquerdo e/ou direito do coração e auxiliam o bombeamento de sangue
em pacientes que apresentam insuficiência
cardíaca. A insuficiência cardíaca é uma condição na qual a quantidade de sangue que o coração é capaz de bombear é insuficiente para suprir as necessidades de oxigênio e nutrientes de todo
organismo. O DAV pode ser utilizado para a substituição do coração ou apenas para garantir o desempenho cardíaco necessário para propiciar condições favoráveis à recuperação do músculo cardíaco.
A Figura 1 representa uma implementação
de DAV do tipo bi-ventricular, em
desenvolvimento no InCor. As imagens A e B ilustram as dimensões do DAV comparado ao corpo humano.
Figura 1 – Exemplo de DAV, desenvolvido pelo InCor em 2005. Existe uma variedade de DAV em desenvolvimento e uso no mundo atualmente. Este projeto baseia-se em uma bomba centrífuga de sangue implantável, acoplada magneticamente a um motor de corrente contínua sem escovas, que está sendo desenvolvida no Instituto Dante Pazzanese de Cardiologia (IDPC).
Para que a implantação desse dispositivo seja segura ao paciente é importante que haja um sistema de controle voltado para a segurança do dispositivo, pois na ocorrência de uma falha o controle deve promover ações de regeneração do sistema ou gerar alerta e atuar para degenerar o sistema para um estado seguro.
Visando um sistema de controle que atenda requisitos de segurança e autonomia, planeja-se implantar modelos de diagnóstico de falhas no dispositivo, que serão criados a partir de um banco de dados gerados por um simulador de ocorrência de falhas no dispositivo.
2. Objetivo
O objetivo deste projeto é desenvolver um gerador de falhas para dispositivos de assistência ventricular, que seja capaz de simular a ocorrência de falhas durante o funcionamento do dispositivo e que permita a construção de um banco de dados para registrar o histórico destas ocorrências.
Esse banco de dados permitirá uma futura inferência de relações causa-efeito para gerar os modelos em redes Bayesianas, por meio do algoritmo K2, e assim implementar modelos de controle para o diagnóstico de falhas em DAV que
considera situações complexas envolvendo
composição de falhas.
Para a implementação do sistema gerador será feita a modelagem da ocorrência de falhas por meio de Redes de Petri. A análise das falhas, e suas ocorrências, serão feitas a partir do estudo HAZOP de falhas em DAV e com o auxílio de pesquisadores, médicos e engenheiros do Instituto Dante Pazzanese e da Escola Politécnica.
3. Metodologia
O desenvolvimento deste projeto foi executado em fases previamente planejadas:
a) A primeira fase foi o estudo dos conceitos necessários sobre DAV e técnicas de análise de risco assim como o estudo de técnicas para modelagem da ocorrência de falhas e de geradores de falhas.
b) Em seguida, na segunda fase foi realizado
o estudo do HAZOP do DAV,
desenvolvido por pesquisadores da Escola
Politécnica e do Instituto Dante
Pazzanese, para serem estabelecidas as relações de causa e efeito das falhas. c) A terceira fase do projeto foi o
desenvolvimento de um método para geração de modelos dinâmicos para representação da ocorrência de falhas a partir do estudo HAZOP.
d) A quarta etapa seguinte foi o
desenvolvimento de um gerador de falhas capaz de simular a ocorrência de falhas durante o funcionamento do dispositivo e gerar um histórico destas falhas.
e) Com o gerador pronto e capaz de gerar um banco de ocorrência de falhas, foi desenvolvida a última fase do projeto, ou seja, foi elaborado um método para aplicação do gerador de falhas para o desenvolvimento de sistemas de controle de DAV.
4. Estudo HAZOP
A análise do HAZOP (Hazard and Operability Analysis) é uma técnica estruturada para exame de sistemas e gerenciamento de riscos, definida pela norma IEC 61882.
O HAZOP é frequentemente utilizado como uma técnica para identificar os perigos potenciais de um sistema e identificar problemas de operabilidade que possam conduzir a resultados não conformes. Baseia-se em uma teoria que assume que eventos de risco são causados por desvios no projeto ou em sua operação desejada. A identificação de tais desvios é feita pela utilização de conjuntos de "palavras-guia" como uma lista sistemática de perspectivas de desvio.
A análise é feita identificando os elementos que compõe o sistema que se deseja estudar, e para cada elemento devem-se identificar as características que serão analisadas.
Para cada característica, deve-se analisar a possibilidade de desvios aplicando-se o conceito de palavras-guia. Palavras-guia são palavras que definem um tipo específico de desvio do comportamento esperado do elemento ou da característica do elemento que está sendo avaliado. As palavras-guia devem ser selecionadas da
maneira mais adequada para representar as características do sistema em análise.
A análise do HAZOP de falhas em DAV (CAVALHEIRO, 2011) utilizado nesse projeto divide o sistema em dezoito elementos, que são divididos em vinte e nove características no total.
Para definição dos desvios de cada característica dos elementos avaliados foram aplicadas as palavras-guia: SEM, MENOS, MAIS e REVERSO. As palavras-guia adotadas indicam as possibilidades de variação das características fora do comportamento esperado.
Na Tabela 1 a seguir se encontram os elementos do sistema contidos na analise do HAZOP do DAV desenvolvido pelo IDPC, juntamente com suas respectivas características.
Tabela 1. Características do HAZOP do DAV
Elemento Característica
1 Sangue
Pressão do sangue na entrada da Bomba
Pressão do sangue na saída da Bomba
Fluxo da bomba do DAV Temperatura
2 Rotor da Bomba Rotação Temperatura 3 Motor
Torque do motor Consumo de corrente Temperatura 4 Controle Supervisório Controle
Temperatura 5 Controle Local Controle
Temperatura 6 Coração
Batimento Cardíaco Fechamento da válvula A-V Abertura da válvula aórtica Abertura da válvula A-V 7 Corpo Fluxo para o Corpo 8 Bateria Carga da Bateria
9 Válvula de Bloqueio Corrente de alimentação da Válvula
10 Sensor de Pressão de
Entrada do DAV Funcionamento do Sensor 11 Sensor de Pressão de
Saída do DAV Funcionamento do Sensor 12 Sensor de Fluxo do
DAV Funcionamento do Sensor 13 Sensor de Temperatura de Sangue de saída da bomba Funcionamento do Sensor 14 Sensor de Temperatura de Sangue de saída do motor Funcionamento do Sensor 15 Sensor de Temperatura de Sangue de saída do Módulo de Controle Funcionamento do Sensor 16 Sensor de Velocidade da Bomba Funcionamento do Sensor 17 Sensor de Tensão da
Bateria Funcionamento do Sensor 18 Sensor de corrente Funcionamento do Sensor
4.1 Interpretação dos elementos do HAZOP
A partir do HAZOP desenvolvido por pesquisadores da Escola Politécnica e do IDPC foi
realizada uma interpretação da análise de risco para encontrar as relações entre os desvios das características e as causas destes desvios.
Para que fosse realizada a modelagem da ocorrência de falhas, as características foram adotadas como os sinais lidos do sistema, por estas serem monitoradas por sensores ou calculadas com base na combinação de sensores.
Sendo as características os sinais lidos do sistema, os desvios foram modelados como as possibilidades de variação de um sinal, fora do trecho esperado de funcionamento.
As causas de desvio foram adotadas como as falhas no funcionamento normal do sistema, porque no dispositivo real a ocorrência de uma falha implica em alterações nos sinais dos sensores que monitoram sistema.
No gerador de falhas, as variações nas características são usadas para gerar a ocorrência de uma falha, e a relação entre as características e as falhas será identificada e usada futuramente para gerar modelos de diagnóstico de falhas.
As falhas do HAZOP incluídas no gerador foram definidas em conjunto com pesquisadores do IDPC de acordo com as consequências que podem causar ao dispositivo e à vida do paciente. Foram selecionadas 65 falhas para serem modeladas, juntamente com as características do sistema que são utilizadas para identificá-las.
5. Modelagem das falhas
As Redes de Petri foram escolhidas como ferramenta para a modelagem do gerador devido a uma série de vantagens, como a facilidade para representar de modo natural a sincronização de processos, eventos concorrentes, causalidades, conflitos e outras características que podem estar presentes no sistema, além da identificação de estados e ações e a possibilidade da monitorização do sistema em tempo real. Para a construção das redes foi usado o software HPSim. Este foi escolhido devido a sua praticidade de criação das redes de forma grafica, por conter todas as opções necessárias para a modelagem do gerador, e pela capacidade de simulação e de gerar um histórico das simulações realizadas.
A base para o desenvolvimento do gerador de falhas foi um modelo simples de ocorrência de falha, em um sistema com apenas um sensor que indica uma falha. O processo se inicia com o sensor em estado normal, modelado como um lugar na rede de Petri contendo uma marcação.
Partindo do estado inicial, o sensor sai de sua faixa normal e entra em um estado de anormalidade. Esta mudança do estado normal para o estado de anormalidade no sensor é modelado como uma transição. Nesse modelo básico um sensor com leitura anormal indica uma falha no
funcionamento do sistema, sendo assim, a transição leva a um lugar que representa o estado de falha.
No sistema real de um DAV, depois de detectada uma falha, seria realizada alguma ação para corrigir o problema e levar o sistema novamente ao estado normal de funcionamento. Para simular essa ocorrência na rede de Petri, quando a marcação atinge o lugar “Falha”, esta passa em seguida por uma transição que representa o retorno ao estado normal. Este fechamento no ciclo permite que o gerador continue funcionando.
A grande maioria das falhas estudadas no HAZOP do DAV é indicada por um número maior de características, ou sensores, que quando ocorrem simultaneamente indicam que o sistema está sofrendo a respectiva falha (Figura 2).
Figura 2 - Modelo básico de gerador, com dois sensores indicando uma falha.
No sistema real de um DAV as falhas acontecem com certa frequência e a frequência com que os sensores saem do seu funcionamento normal é relacionada a esta frequência.
Para simular a frequência com que as características saem do estado de anormalidade, nesse modelo inicial foi adotada uma distribuição uniforme para a ocorrência de todas as variações, estimada juntamente com os pesquisadores do IDPC.
Partindo do modelo básico descrito anteriormente, foi criado um modelo onde a ocorrência de anormalidades em cada característica é representada por uma transição com tempo de disparo seguindo uma distribuição uniforme.
Quando uma característica sai da sua faixa de funcionamento esperada ela possui quatro possibilidades de desvio, definidos pelas palavras-guia. Esse acontecimento foi modelado na rede de Petri como um lugar com saída para quatro transições distintas, cada uma representando uma possibilidade de desvio do sinal. Quando uma marcação atingir o lugar citado, apenas uma das transições vai ser disparada. A escolha de qual transição será disparada é aleatória e neste modelo todas as transições têm chance igual de serem disparadas.
A combinação de desvios simultâneos determina a falha gerada por tais características, esse dado é registrado e todas as características cujo desvio indicou essa falha voltam ao estado de normalidade inicial.
Falhas espúrias são anormalidades
temporárias nas características do sistema, que podem ser causadas por fatores como ruídos na leitura dos sensores, interferências, alterações normais no corpo do paciente, entre outros. Essas anomalias não indicam uma falha real no dispositivo e por esse motivo o sistema de diagnóstico deve ser capaz de filtrar as falhas espúrias.
No modelo do gerador as falhas reais que só dependem do desvio de uma característica têm uma distribuição normal de ocorrência e as falhas espúrias são simuladas com o uso de uma transição temporizada com o valor de 10% da média de ocorrência das falhas reais.
O modelo padrão de uma característica em rede de Petri une os modelos básicos iniciais aos conceitos de probabilidade de ocorrência de falhas e aos filtros de falhas espúrias (Figura 3).
Figura 3 - Modelo completo de uma característica do sistema. O gerador completo é composto por todas as características estudadas, ligadas a todas as possibilidades de falha que indicam (Figura 4).
Figura 4 – Exemplo de várias características indicando uma
falha.
6. Simulação e resultados
Com o gerador finalizado, foi possível realizar a simulação da ocorrência de falhas no dispositivo.
A simulação da ocorrência de falhas gera um arquivo com o tempo, os passos e o estado de cada elemento da rede.
Após filtragem dos dados, temos uma tabela com a ativação de cada característica e cada falha.
Durante os testes foram gerados bancos com mais de um milhão de registros para compor o histórico de falhas.
7. Aplicação do gerador de falhas
O gerador de falhas que foi desenvolvido neste projeto será usado para criar os modelos para síntese do controlador (Figura 5).
Figura 5 – Sistemática proposta para aplicação do gerador de falhas.
Os bancos de dados de ocorrência de falhas serão usados para criação de redes Bayesianas, através do algoritmo K2. A partir das redes poderão então ser gerados novos modelos de causa-efeito mais próximos do comportamento real do dispositivo. Estes modelos permitirão uma nova análise do HAZOP e o processo será realizado novamente, de maneira iterativa.
Quando os modelos convergirem para o mais próximo possível do sistema real eles serão usados para a síntese do controlador.
8. Conclusões
Por meio do estudo da ocorrência de falhas em DAV é possível gerar modelos de diagnóstico de falhas e a partir deles desenvolver métodos de diagnóstico e controle mais seguros e inteligentes.
A existência de um sistema que seja capaz de identificar uma falha no momento, ou antes que ela ocorra, e promover a melhor solução, pode salvar a vida de um paciente.
Por sua vez, a observação das falhas durante o funcionamento do dispositivo é dificultada pelos riscos de implantação do dispositivo em pacientes humanos sem um sistema de segurança adequado.
Para que seja possível criar um sistema seguro é preciso adotar outras soluções para o estudo da ocorrência de falhas, como por exemplo, através de um gerador de falhas.
Referências
[1] MOREIRA, L. F. P. et al. Perspectivas da
evolução clínica de pacientes com
cardiomiopatia chagásica listados em prioridade para o transplante cardíaco; Rev Bras Cir
Cardiovasc vol.20 no.3, July/Sept. 2005.
[2] BOCK, E.G.P. . Projeto, Construção e Testes
de um Dispositivo de Assistência Ventricular: Bomba de Sangue Centrífuga Implantável; Tese
de Doutorado; Faculdade de Engenharia Mecânica da Universidade Estadual de Campinas; Campinas, SP, 2010.
[3] PACHLER, C., SANTOS FILHO, D.J., CAVALHEIRO, A.C.M., ANDRADE, A.J.P..
Diagnóstico e tratamento de falhas aplicados ao sistema de controle de um DAV. 19o Simpósio
Internacional de Iniciação Científica da
Universidade de São Paulo, 2011.
[4] IEC, International Eletrotechnical Comission,
HAZOP Studies-Application Guide, British
Standard, BSIEC 61882:2001.
[5] CAVALHEIRO, A.C.M., SANTOS FILHO, D.J., et alli, Controle Supervisório para
Gerenciamento e Diagnose de um Dispositivo de Assistência Ventricular, In: 6º Congresso Latino
Americano de Órgãos Artificiais e Biomateriais, 2010.
[6] SQUILLANTE JR, R.; SANTOS FILHO, D.J.; JUNQUEIRA,F.;MIYAGI, P.E. Desenvolvimento
de sistemas de controle para sistemas instrumentados de segurança. In: Anais do
9thIEEE/IAS International Conference on Industry Applications (INDUSCON), São Paulo, 2010.