PROGRAMA DE ENGENHARIA NUCLEAR COPPE UFRJ

PROGRAMA VI ENGENHARIA WüCLEAR - COTPE/UTRJ ltha do fundão - Centno de Tecnologia. - El. G S/206 CP. 6&5Q9 - CEP- 21944 - Zio de Jantlno - RJ - Bfiaòil

ANALISE DE SEGURANÇA DE SISTEMAS

POR ARVORES DE FALHAS

SÔNIA MARIA 0. GIBELLI, PAULO FERNANDO FERREIRA F. E MELO E LUIZ FERNANDO S. DE OLIVEIRA

JAN/82 l / F * r - C É > * P E . ~ - PEN-112 .

Í N D I C E

P á g i n a

INTRODUÇÃO 1 CONSTRUÇÃO DE ARVORES DE FALHAS 2

RESULTADOS QUALITATIVOS 10 111.1 - Cortes e Caminhos Mínimos 10

111.2 - Falhas de Modo Comum 15

AVALIAÇÃO QUANTITATIVA 17 IV. 1 - Função de Estrutura 17 IV.2 - Função de Probabilidade 25 IV. 3 - Aproximação do Evento Raro 28 IMPORTÂNCIA DE EVENTOS E CORTES MlNIMOS 30

V.l - Importância de Eventos 30 V. 2 - Importância de Cortes Mínimos 37

UM EXEMPLO ADICIONAL 39

.1.

1.

A metodologia da analise probabilística de segu-rança de sistemas surgiu nos últimos anos da década de 50, quan-do a indústria aeroespacial e as Forças Armadas norte-americanas fizeram sérias exigências aos engenheiros projetistas no sentido de que estes concebessem sistemas que possuíssem um alto grau de segurança desde os seus primeiros testes experimentais. Antes disto, modelos de a\-iões eram projetados, construídos, testados e modificados após testes sucessivos, muitos dos quais result a van. em acidentes e mortes. Contudo, com o desenvolvimento tecnológi_ co, surgiram projetos mais complexos e dispendiosos de aviões e mísseis, cujas sistemáticas de testes tornaram-se inadequadas e insuficientes, o que passou a exigir mudanças no método de avali ação de segurança. A partir de então, começaram a ter grande re levância os critérios de projeto baseados em técnicas analíticas, capazes de garantir um baixo índice de acidentes. O engenheiro de segurança de sistemas e o computador passaram, em parte, a subs-tituir o piloto de testes. A análise por árvores de falhas, é uma das técnicas adotadas para a avaliação probabilística da segurar] * ça de sistemas, consistindo em um procedimento sistemático que permite determinar os modos de falha dos componentes que podem causar a falha do sistema. Esta técnica foi idealizada em 1962 por H.A. ftatson, da Bell Telephone Laboratories, para ser utilizai

da em um estudo encomendado pela Força Aérea norte-americana (_s£ bre o sistema de controle de lançamento do míssil Minuteman). A través dos esforços de um grupo de pesquisadores da própria Bell, esta técnica foi desenvolvida e refinada. Esse mesmo grupo re-solveu, de forma satisfatória, o problema da determinação da pro babilidade de lançamento inadvertido de um míssil. Mais tarde, analistas da Boeing Company introduziram modificações de modo que

2- CONSTRUÇÃO DA ARVORE DE FALHAS

Una árvore de falhas é* um diagrama lógico deduti-vo que possui en seu topo um evento indesejado, específico e bem definido, denominado evento tope. Abaixo desse evento, segue-se uma estrutura lógica formada pelas combinações em serie e parale_ Io dos estados dos componentes do sistema que possam resultar na ocorrência desse evento pré-definido.

Em análises probabilísticas de segurança de reato res nucleares, o evento topo é geralmente definido como falha de um sistema, por exemplo:

"Falha do sistema de spray da contenção em forne-cer B-gUc. suficiente aos bocais de spray, dado que ocorreu um LOCA".

A definição precisa do evento topo é extremamente importante na analise de árvores de falhas e, antes da sua cons-trução, o analista deve adquirir um conhecimento detalhado do sistema. De fato, uma descrição minuciosa do sistema deve fazer parte da documentação necessária para a elaboração de uma análi-se adequada.

Os símbolos usados na construção de árvores de ía lhas são mostrados na Fig. 1.

Em geral , são necessários três passos para a rea-lização da análise de árvores de falhas de um sistema:

lç) conhecimento minucioso do sistema;

2Ç) construção e avaliação da árvore de falhas; 3Ç) análise dos resultados.

0 primeiro passo requer um conhecimento completo e detalhado do funcionamento, controle, operação e modos üe fa-lha do sistema, paralelamente às suas interfaces com outros

sis-temas e . f i n a l m e n t e , os procedimentos de t e s t e e manutenção. Como foi mencionado anteriormente, a árvore de fa lhas é c o n s t r u í d a us ando-se os símbolos da F i g . 1 . segundo um pro cesso dedutivo que t e n t a i d e n t i f i c a r todas as c a u s a s , começando com o evento topo e terminando em um e v e n t o b á s i c o ( c í r c u l o ou Icss^tgo) ao f i n a l de cada ramo.

Uma vez c o n s t r u í d a a á r v o r e de f a l h a s , a p r o b a b i lidade de o c o r r ê n c i a do evento topo pode s e r c a l c u l a d a s u b s t i -tuindo os dados de f a l h a s d i s p o n í v e i s para os eventos b á s i c o s nu ma expressão p r o b a b i l í s t i c a que traduz o i n t e r - r e i a c i o n a m e n t o l ó

gico dos eventos que compõem a á r v o r e . Como geralmente as á r v o res de falhas envolvem um grande número de p o r t õ e s l ó g i c o s e e -ventos b á s i c o s , são u t i l i z a d o s programas de computador p a r a o cálculo da p r o b a b i l i d a d e de o c o r r ê n c i a do evento t o p o .

A c o n s t r u ç ã o d e t a l h a d a de á r v o r e s de falhas , eir. ee r a i , leva a um grande número de e v e n t o s cujas c o n t r i b u i ç õ e s p a r a a p r o b a b i l i d a d e de f a l h a do s i s t e m a são i n s i g n i f i c a n t e s . E x i s t e .f c tanbém um grande número de eventos que envolvem componentes p a s s i v o s , t a i s como t r e c h o s de t u b u l a ç õ e s , f i a ç ã o , e t c . , que a p a r e -cem na árvore com a única f i n a l i d a d e de p r e s e r v a r o r i g o r da metodologia (exame d e t a l h a d o de cada componente). Por e s t e s m o t i -vos, as árvores de f a l h a s são r e d u z i d a s a n t e s de suas a v a l i a ç õ e s q u a n t i t a t i v a s , sendo eliminados a q u e l e s e v e n t o s c u j a s p r o b a b i l i -dades de o c o r r ê n c i a possam s e r c o n s i d e r a d a s d e s p r e z í v e i s em com-paração com as p r r b a b i l i d a d e s de o c o r r ê n c i a dos demais eventos da mesma á r v o r e .

A á r v o r e de f a l h a s do s i s t e m a de s p r a y da c o n t e n ção s i m p l i f i c a d o , cujo diagrama se e n c o n t r a na F i g . 2 , foi e s c o -lhida como exemplo de construção de á r v o r e s de f a l h a s , e s t a n d o a presentada na F i g . 3.

SÍMBOLO D E S C R I Ç Ã O

C retângulo identifica un evento cue resul-ta da combinação de eventos de falha atra-vés de portão lógico de entrada.

0 círculo descreve um avento de falha bási-co que não requer desenvolvimento posterior. A freqüência e os modos de falha de compo-nentes assim identificados são obtidos a par

tir de dados empíricos.

iO losango descreve um evento que e censide-\ irado básico em uma árvore de falhas. Á= pes | jsíveis causas de evento não são desenvolvi-i teas em detalne porque ou o evento e Ge

con-seqüências desprezíveis, ou as informações necessárias para tal desenvolvimento não e£ tão disponíveis.

Cs triângulos sao usados como símbolos dej

, ^ ,

j t r a n s i e r e n c i a . Urr.a l i n h a do v é r t i c e do t r i j 'ângulo i n d i c a uma t r a n s f e r ê n c i a do l u g a r in!

dicado no t r i â n g u l o para o ponto da á r v o r e ao q u a l o t r i a n g v ' o e s t á conectado; uma l i -nha p r o v e n i e n t e do meio do lado i n d i c a uma t r a n s f e r ê n c i a a p a r t i r do ponto na árvore ao q u a l o t r i â n g u l o e s t a conectado p a r a o pon-t o i n d i c a d o no mesmo.

0 p o r t ã o E descreve a operação lógica na qual a c o e x i s t ê n c i a de todos os eventos de e n t r a da é" n e c e s s á r i a p a r a p r o d u z i r o evento de

saída.

Fig. 1 - Símbolos b á s i c o s usados na c o n s t r u ç ã o de á r v o r e s de fr.lhas

.5. I

1

i SIM30L0

ft

i | D E S C R I Ç Ã O !

• 0 portão OU d e f i n e a s i t u a ç ã o na qual o even 1 •to de saída e x i s t i r á se UE OU nais dos even]

i t o s de entrada e x i s t i r . ! t l

i

l i _ »

í i

i i i

Fig. 1 (cont.) - Símbolos básicos utilizados na construção de árvores de falhas

C sister.s de spray da contenção simplificado, co-me nostra a Fig. 2, consiste er» dois trens, cada qual com 1001

de capacidade. Cada um destes trens é cor.posto por uma bomba, uma \-ãlvula operada a motor e bocais de spray. Além destes com-ponentes, o sistema de spray utiliia o tanque de água de recarga

(TAR), que é comum aos dois trens.

» i

Quando o sistema de spray é solicitado (devido s um aumento de pressão e temperatura na contenção), as válvulas são abertas através de ura sinal de controle e, em seguida, as bor. bas partem. A água proveniente do tanque é então succionada

pe-las bombas, passando pepe-las válvupe-las e finalmente borrifada na a_t mosfera da contenção, através dos bocais de spray.

Como foi citado anteriormente, cada trem possui 100% de capacidade de operação e, portanto, é necessário que ha-ja falha nos dois trens para que ocorra a falha do sistema.

0 evento topo foi definido como:

"Fluxo de água insuficiente através dos bocais de spray .

Para que ocorra t a l e v e n t o , deve haver fluxo insu f i c i e n t e a t r a v é s dos b o c a i s do trem A e do trem B, o que j u s t i f i

TANOUE DE ÁGUA DE RECARGA

o—&

CONTENÇÃO

O

ez vi BOCAL I

0

o—*

BI V2

O

BOCAL 2

. 7 .

ca a colocação de um portão £ abaixo do evento topo.

Como os dois t r e n s são i d ê n t i c o s , o desenvolvimen to do restante da árvore é o mesmo, tanto para o trem A como pa-ra o treiü B.

A falha de qualquer componente de um dado trem acaj r e t a a falha do mesmo, o que j u s t i f i c a o uso de um portão OU a-bíiixo do evento "Fluxo i n s u f i c i e n t e através do bocal de spray

(A ou B)".

0 desenvolvimento da subárvore IA (ou IB) f o i fe_i ta em duas e t a p a s . A Fig. 3 apresenta a árvore f i n a l , j á redui^ da. A Fig. 4 a p r e s e n t a a s u b á r v c r e IA (ou IB) i n i c i a l .

Reconendainos uir.a c o n s u l t a â Ref. 2 para naiores de-t a l h e s sobre o s i s de-t e m a .

u x o oe ASJA MSUFCCNTE ATRAVÉS 005 BOCAS DE SPUA?

í

1

! FUttC PiSUnCiEKTE ATRAVÉS DO BOCAL 1

A

1

• I I FJUXD B*iJrJCEKTE ATWAVES DO BOCAL t

A

A A

FLUXO MSUFCCNTE ATTUMdS DO BOCAL I

5

FAJií. I C BOCAL DE S » S « I ^ VÁLVULA V I FALHA EM &3AIR ^ . , FA.HA 0 * BOMB* 1 FALHA DO DMOUE

0

^

. 9 .

AA-FLUXO INSUFICIENTE ATRAVÉS DOS BOCAIS 0 0 TREM A

S

FALHA NO BOCAL DE SPRAY A

7

FLUXO INSUFICIENTE ATRAVÉS DA BOMBA I

5

V&yULA V I FALHA EM ABRIR FLUXO INSUFICIENTE ATRAVÉS DA BOMBA 1 < ! • ^

s

FALHA DA BOMBA I FALHA DO TANQUE

.10.

ò. RESULTADOS QUALITATIVOS

Pronta a árvore de falhas, a primeira tarefa ê" rea-lizar um estudo qualitativo da mesma. Como etapas desse estudo, iremos considerar:

- obtenção de cortes mínimos e caminhos mínimos;

- estudo de possíveis causas de falhas de modo comum.

Discutiremos estas etapas nas seções seguintes.

3.1 - Cortes Mínimos e Caminhos Mínimos

Um corte é" definido como um conjunto de eventos cu-ja ocorrência simultânea acarreta a ocorrência do evento princi-pal. Um corte é dito mínimo quanco é constituído pelo menor nú-mero possível de eventos cuja ocorrência simultânea acarreta a o

corrência do evento principal. Para esclarecer estas definições, consideremos o exemplo abaixo.

Exemplo:

s e n t a um evento b á s i c o ( i = 1, 2 , . . . ,5) .

Seja a árvore de f a l h a s da F i g . 5 , oride E. r e p r e

-Ei E i

I

i

u

E3 E4

- 1 1 .

O conjunto de e v e n t o s

Ki «= { E2, Es}

a c a r r e t a a o c o r r ê n c i a do evento p r i n c i p a l , T. Da mesma forma, o conjunto de e v e n t o s

K2 = { E , , E2. Es)

também acarreta a ocorrência do evento principal. Diremos, en-tão, que Ki e K2 são cortes para a arvore de falhas dada. Por ou tro lado, sabemos que, pela definiçio de portão OU, basta a ocor rência de qualquer um dos eventos básicos E^ (i = 1,2,5) ou do e-vento S para que se garanta a ocorrência do ee-vento principal. As sim, podemos dizer também que

K3 = {Ej}, K„ = {E2}, K5 = {S}, Ke = {E5}

são cortes para a árvore de falhas dada.

•a

Por outro lado, a ocorrência do evento S exige a ocorrência simultânea dos eventos básicos E3 e E* (pela defini-ção de pcrtio E) . Fica implícito então que se o avento Eá

ocor-rer sozinho, não implicará na ocorrência do evento T. Da mesma forma. Ei, ocorrendo sozinho não acarretará a ocorrência de T. No te que, o evento básico Ei, se ocorrer, acarretará imediatamente a ocorrência de T, não importando se ocorrem mais eventos ou não. Esta discussão nos permite escrever que, os cortes mínimos para a árvore de falhas dada são:

K, - {E,}, K2 = {E2}, K3 » ÍE3, E.,}, K„ - {E5}

Como pode s e r o b s e r v a d o , há n e s t e exemplo, um co£ t e mínimo com 2 e v e n t o s b á s i c o s e 3 c o r t e s mínimos com um evento b á s i c o cada um.

Um caminho é d e f i n i d o como um conjunto de e v e n t o s cuja o c o r r ê n c i a s i m u l t â n e a a c a r r e t a o funcionamento do s i s t e m a .

. I t . £ i m p o r t a n t e f r i s a r q u e a d i s c u s s ã o a g o r a l e v a e m c o n t a o f u n c i ^ n a m e n t o do s i s t e m a . U m c a m i n h o m í n i m o é u m c o n j u n t o m í n i m o d e £ v e n t o s c u j a o c o r r ê n c i a s i m u l t â n e a g a r a n t e o f u n c i o n a m e n t o do sis_ t e m a . A F i g . 6 m o s t r a um s i s t e m a c o n s t i t u í d o p o r 5 c o m p o n e n t e s . D e t e r m i n a r e m o s os c a m i n h o s e c a m i n h o s m í n i m o s d e s s e s i s t e m a p a r a i l u s t r a r m e l h o r o s c o n c e i t o s d i s c u t i d o s n e s t e p a r á g r a f o . s ab e r:

Fig. 6 - Obtenção de Caminhos e Caminhos Mínimos

Podemos dividir esse sistema em quatro blocos, a

. bloco 1 - componente 1, . bloco 2 - componente 2,

. bloco 3 - componentes 3 e 4, . bloco 4 - componente 5.

Vemos então que o sistema é constituído por 4 blocos em série. Para que o sistema funcione, ê necessário que esses 4 blocos fun cionem. 0 funcionamento do bloco 3 pode acontecer de três manei_ ras: ou funciona o componente 3, ou funciona o 4, ou funcionam am bos. Acsim, os caminhos para este sistema são:

P, = {1,2,3,5}, P, = {1,2,4,5} e P3= {1,2,3,4,5}

Como o bloco 3 possui três modos de funcionamento, e como em um desses modos os dois componentes devem funcionar concomitantemen te, vemos que o terceiro caminho não c mínimo. Assim, os únicos caminhos mínimos para este sistema são Pi e P2.

0 leitor pode observar que a árvore de falhas da Fig. 5 representa os modos de falha deste sistema.

Vejamos agora como obter os cortes mínimos a par-tir de ur.ia árvore de falhas. 0 método discutido anteriormente não é conveniente quando se considera árvores de falhas mais com plexas, constituídas por um número muito grande de portõese even-tos básicos.

Nosso objetivo, é escrever uma equação da forma

T = M,+M2 + ...+M,, (1)

onde os M- são eventos da forma

M, = E, .E. ....E. (2)

1 xi x2 1m

e T é o evento principal. Os símbolcs E;. indicam eventos basi-- * i cos. A equação para M^ indica um corte mínimo, desde que

M- £ M- ,

1

y

para qualquer par de inteiros i, j . Vemos portanto que a equa-( ção (1) fornece os cortes mínimos para uma árvore de falhas da-da.

Como um exemplo, vamos obter os cortes mínimos da árvore de falhas da Fig. 3, transcrita de uma maneira mais conve r.iente para a Fig. 7, onde os eventos básicos foram numerados de

1 a 7. Inicialmente, escrevemos T * A, • A2, Mas, Ai = Ex + E2 + Es + Ei, , A; = Ei * Et + E7 + E„

A,

A

n

A2

A

A A

©

Al.2

ft

H

©

O

' C r 13.T. * C ,

£;•£; •* t:'Z: * E ; * E T + E;»Ei 4Ei'E£

C: =•:::van.os que existem 10 cortes mir.imos , sendo 9 cor, 2 eventos básicos e UP. cor um evento básico semente. Ed temos cue a order, de um corte (ou também de um corte mínimo) é dada pe 1c número de eventos básicos que o constituem. Portanto, para a nossa árvore de falhas, há 9 ccrtes mínimos de segunda ordem e ur. certe mínimo de nrireira.

-.5 l a m a s aos C; - p m e n t e s represor.tacas em uma ar

::. usa -.-is básica pode resultar em falhas múltiplas. as quais p: den resultar na falha do sistema. For exemple, um operador de uma usina nuclear pode ter calibrado inadequadamente tedos cs .-::. sores, eu então uma ruptura de uir.a linha de vapor de um reate r a

a-rua leve- p r e s s u n -aca pose causar a faina oe toca a m s t r u - . m . a çãc er. ur. pair.il de controle. ralhas múltiplas que podem :u :".;.; causar a falha de sistema e cue se originar de uma causa ;;-„-são dencr.ir.adas falhas de rode cem. um.

Ac estudarmos uma árvore de falhas, não sabemos "a priori'' que falhas serãc falhas de modo comum. Contudo, pode nos indicar a suscetibili cade que essas falhas possuem de

ocor-rer devido a causas comuns. Sabemos que o evento principal oco_r re . i.e., a falha do sistema ocorre, se todos cs eventos básicos er ur certe mínimo ocorrem. íortar.tc. estamos interessados nas

ur ici -p-1'has cue poder, acarretar a ocorrência de todos os

e-ventos oasicos em um corte mínimo. uma causa que nao acarrete a ocorrência de todos cs eventos básicos em um corte mínimo, não

orrfr. r:a de evento principal.

ir, - c c

rnteris-r i a s ae c a u s a s cornteris-r.uns , que s a c a rnteris-r e a s rnteris-r e rnteris-r a i s cue pocernteris-r. a c a rnteris-r a c c c r r é r . c i a de t o d o s cs e v e n t o s b á s i c o s er ur. c o r t e r.ínir.c l i s t a a b a i x e e s p e c i f i c a al~un;£s cessas- c a t e r - o r i a s . : - j . _ d » - w i ^ _ c; . . " > ' = - - ";f f T l ^ ' i p n - p _{s t erivr:£:i;s} _ C • U _ : í i t . L*C u í l v

-n. n o s s a s a n a i o s e s . t e ~ o s cor.s: c i e r s c ; ccr:o catc-rc - , . : . . . ~ w c l l i - L — ilíd.

Suponhamos, ceno exe~p_c , que e-ocr.trarr.os [ r v : r í de f a l h a s o c o r t e r í n i n o c o r . s t i ; • ; ' : . : r e l o s e"

r: = -! v á l v u l a 2 a b e r t a p e l o o p e r a d o r }

Veircs que há una p a r t i c i p a r ã o e f e t i v a d: o p e r a d o r p a r a a occrre-r. c i a d e s s e s d o i s e v e n t o s . P o r t a r . t c . pooeir h a v e r f a l h a s des d e i s componentes d i t a d a s por uma c a u s a : : : u : e r.ais r á s i c a - a ação do operador, ou s e j a , a i n t e r a ç ã o do opera do-r o or. os c o r . p c n e n t e s .

Para f i n a l i z a r e s t a s e ç ã o , v a l e s a l i e n t a r que e x i ? tem programas de computador que fazem p e s q u i s a de c a u s a s cònuns, como, por exemplo o COMCANv .

4 . AVALIAÇÃO QUANTITATIVA

K e s t a s e ç ã o , d i s c u t i r e m o s os p r i n c i p a i s métodos de a v a l i a ç ã o q u a n t i t a t i v a de á r v o r e s de f a l h a s , q u a i s s e j a m , d e t e r -minação da p r o b a b i l i d a d e de o c o r r ê n c i a do e v e n t o t o p o eir: f u n ç ã o das p r o b a b i l i d a d e s de o c o r r ê n c i a dos e v e n t o s b á s i c o s , o u , a l t e r n a t i v a m e n t e , em função das p r o b a b i l i d a d e s de o c o r r ê n c i a dos c o r -t e s mínimos.

P a r a t a n t o , s ã o n e c e s s á r i o s a l g u n s c o n c e i t o s i n i -c i a i s , -como f u n ç ã o de e s t r u t u r a e função de p r o b a b i l i d a d e . Re-servamos p a r a a ú l t i m a s u b s e ç ã o o t ó p i c o " a p r o x i m a ç ã o do e v e n t o r a r o " , ce g r a n d e r e l e v â n c i a na a n a l i s e p r o b a b i l í s t i c a de s e g u r a n ça de r e a t o r e s n u c l e a r e s . 4 . 1 - Função de E s t r u t u r a 0 p r i n c i p a l o b j e t i v o da a n á l i s e p e r á r v o r e s de fa l h a s é o c á l c u l o da p r o b a b i l i d a d e de o c o r r ê n c i a do e v e n t o t o p o . P a r a t a n t o , e" n e c e s s á r i o que conheçamos os d a d o s de f a l h a dos e

wentos b á s i c o s e que t o d o s os modos de f a l h a do s i s t e m a em e s t u -do e s t e j a m i n c i u í d o s na á r v o r e .

0 p r i m e i r o p a s s o na a v a l i a ç ã o q u a n t i t a t i v a de uma á r v o r e de f a l h a s é a d e t e r m i n a ç ã o da s u a r e p r e s e n t a ç ã o e s t r u t u

-r a l em te-rmos dos e v e n t o s b á s i c e s ( f u n ç ã o de e s t -r u t u -r a ) . Como s e r á m o s t r a d o m a i s a d i a n t e , d e s t a r e p r e s e n t a ç ã o p u r a m e n t e e s t r u

t u r a l podemos o b t e r uma r e l a ç ã o e n t r e a s p r o b a b i l i d a d e s de o c o r r ê n c i a d<s e v e n t o s b á s i c o s e a do e v e n t o t o p o . Uma ve2 c o n h e c i dos os dados de f a l h a dos e v e n t o s b á s i c o s , podemos e n t ã o c a l c u -l a r a p r o b a b i -l i d a d e de o c o r r ê n c i a do e v e n t o t o p o .

P a r a r e a l i z a r m o s es.sa t a r e f a , p r e c i s a m o s i n t r o d u -z i r a r e p r e s e n t a ç ã o b o o l e a n a p a r a á r v o r e s de f a l h a s .

C o n s i d e r e m o s uma á r v o r e de f a l h a s de e v e n t o s bãsi_ c o s , COTT, o i - é s i n c e v e n t o a s s o c i a d o a uma v a r i á v e l b i n a r i a y . , de

tal modo q u e

j l , se o e v e n t o b á s i c o i o c o r r e ,

Vi = \ (3)

1

l » .

em caso contrario

Podemos também associar ao evento topo urca variá-vel de indicador binário Y (y) , de tal modo que

*(y)

-1, se o evento topo ocorre, 0, em caso contrário.

(4)

onde y = (>'i ,>"2 ,.. . ,yn) é o vetor indicador dos estados dos even tos básicos.

A função T(y) é conhecida como função de estrutu-ra da árvore de falhas.

Fará expressarmos a função de estrutura em termos das variáveis binárias dos eventos básicos, ou seja, y em função de y, fazemos uso de dois operadores: T. e a. (leia-se "ip"j . For' definição TI d e f . ~ = y J • y 2 * y a y „, f 5 - a "> i = i

>V

n i = l V . - 1 d e f . 1 - 7 7 fl-V.") = 1 -íl-V.-i ( ] - v - -)....ri-V 1 i = l (5-b) No caso de dois eventos básicos ligados a um portão E, como mostrado na Fig. S, para que ocorra o evento topo, é neces-sário que ocorram ambos os eventos básicos. Assim, a função de estrutura i dada por:

H'(y)=¥(y3 ,y2)=min (yi,y2)=iT y. = •/ i . y2 i=l a

n

V(~y) * y i . y *

ü

u

Figuro 8 : FunçSo de Estrutura Poro Umo Arvore Com Um Portõo £

e Dois Eventos Básicos.

cr

• y f y ) = y< - y2 • ••• • y*

n

Figura 9 : Função de Estrutura Poro Uma A'rvore Com Um PortSo £

Em geral, quando temos n eventos básicos (Fig. 9),

a função de estrutura para um portão E é dada por:

n

Y(y) = min(y,,y; y ) = T y. = y,.y2 y

n i = 1 a n

(•)

No caso de um portão OU e deis eventos básicos sob o mesmo, para que o evento topo ocorra, basta que um desses even tos básicos ocorra (fig. 10). A função de estrutura neste caso é dada por:

Y(?) *y(yi,y2) = max(y,,y2) = i y, (8) i=l 2 2 = 1 - TT (1-V-) = V l + >'2 - > ' : > ' 2 i = l 1 G e n e r a l i z a n d o , p a r a n e v e n t o s b á s i c o s , a função de e s t r u t u r a p a r a um p o r t ã o OU é dada por ( F i g . 1 1 ) : n ? ( y ) = m a x ( y ! , y2 y ) = l - JI y = ( 9 ) . , n i = l x = 1 - r (1 - y ) i = l a = >ri +}r2 + . . .+ y - 2 c o r' b d o i s a d o i s + T comb t r ê s a t r ê s + . . . + (-1)'1 v .v . . . . v Como, de um modo g e r a l , as á r v o r e s de f a l h a s s ã o combinações de p o r t õ e s l ó g i c o s E e OU, tomaremos como e x e m p l o a á r v o r e de f a l h a s da F i g . 7 . P a r a o b t e r m o s a função de e s t r u t u r a c o r r e s p o n d e n -t e à á r v o r e da F i g . 7, procedemos da s e g u i n -t e m a n e i r a : 1) D e f i n i m o s a função b i n a r i a Xj t a l que 1, s e o c o r r e r a s a í d a do p o r t ã o Gi , X • = ' 1 ! o , em c a s o c o n t r á r i o . ( ] 0 ) i

5

Y = - ^ r» s v« • *« - if» y t

u

o

Figura 10 : Função de Estruturo Poro Uma Árvore Com Um Portão OU com Duos Entradas.

In—H • W - f t » '

n

u

u

Z) Da "essa forma, definidos x para o portão G2.

3) Usando as d e f i n i ç õ e s acima e considerando d e Gj p o r t õ e s OU. o b t e e o s :

x * i y r - i - d - y O d - y a H i - y O d - y O (li-a)

1 i*i *

>: - Z y « i - ( i - y » ) d - y s ) d - y * ) d - y » ) (li-b)

4) Cono Gi e G2 estão relacionados com o evento

% tcpo através de um portio E , então:

Uy)

s

> .x

- i - d - y O d - y s H i - y . n i - y ? ) - d-rOd-yOO-yO d-yO

*d-ys) d-y2) (l-y,) f l-yo* d-ys) d-yi) d-y7) (12)

Para v a r i á v e i s b i n a r i a s .

v? » v. ,'13%:

facendo uso d e s t a propriedade de i d c n o o t ê n c i a na equação (12) che ganos â forma f i n a l da função de e s t r u t u r a correspondente â á r \ £ re de falhas da F i g . 7:

*(y) ' í Yi * Z y- - l y. (14)

i*l 2 i « 4 * i « l 1

0 procedimento modular usado p a r a chegarmos â e -cuação (34) t g e r a l e e x a t o , podendo s e r u t i l i z a d o paTa qualquer árvore de f a l h a s . Na p r á t i c a , pcrém, t a l procedimento mostra-se i n v i á v e l ?.ara á r v o r e s n u i t o complexas (com grande número de p o r -t õ e s lógicos e even-tos b á s i c r s ) , havendo n e c e s s i d a d e , p o r -t a n -t o , de ur.a r a n e i r a tr.ais s i m p l i f i c a d a p a r a obtermos a função de e s t r u t u r a . Ur.a d e s t a s maneiras é denominada r e p r e s e n t a ç ã o por c o r t e s

mínimos.

Uma árvore de falhas com r cortes mínimos, k i , 3 c2, . . . , k ,

pode s e r r e p r e s e n t a d a conforme a F i g . 1 2 , i s t o é , com o s s e u s r c o r t e s mínimos c o n e c t a d o s ao e v e n t o t o p o a t r a v é s de um portão OU, j á que a o c o r r ê n c i a de q u a l q u e r c o r t e mínimo i r p l i c a na o c o r r ê n -c i a do e\*ento t o p o . P o r o u t r o l a d o , os e v e n t o s b á s i -c o s d e n t r o de cada c o r t e mínimo e s t ã o l i g a d o s p o r ura p o r t ã o E , posto q u e , pa ra a o c o r r ê n c i a de um dado c o r t e mínimo é n e c e s s á r i a a o c o r r ê n -c i a de t o d o s os e v e n t o s b á s i -c o s que o -compõem. A F i g . 12 p e r m i t e e s c r e v e r a f u n ç ã o de e s t r u t u r a da á r v o r e como n n > 0 = L v y . (15) j = l i £ k .

-que é* a r e p r e s e n t a ç ã o da função de e s t r u t u r a através dos c o r t e s mi n i m o s .

S e g u i n d o r a c i o c í n i o a n á l o g o , podemos c h e g a r t a m -bém a chamada r e p r e s e n t a ç ã o da função de e s t r u t u r a a t r a v é s dos

caminhos mínimos da á r v o r e ^ ' . P a r a o exemplo da F i g . 7 , os c o r t e s mínimos s ã o (vej a a s e ç ã o 3.1) : Kj = í l , 5 ) , K2 = í l , 6 } , K3 - í l , 7 } , K, = { 2 , 5 } , Ks = í 2 , 6 } , K6 - { 2 , 7 } , K7 * { 3 , 5 } , K6 = { 3 , 6 } , K9 * Í 3 , 7 } ,

. 2 4 . •J

O

o

o

o o < z — w < H X W

ia

o

o

D

O

O

o

o

o E o O E o o •» o 1 «I

J

—

I

K1 0= Í4}.

A representação desta árvore em termos dos cortes mínimos será:

3*1 i

*'(y) = t .TI _ y. - 1 - (i-yiy5) (1-yiys) d-yiy?) d-yays)

«• r

J

- (i-yzye) (í-yay?) (1-y ay

5

) U-yaye)

.(i-y3y7)(i-yO (16)

4.2 - Função de P r o b a b i l i d a d e

Todas as p r o p r i e d a d e s das á r v o r e s de falhas d e s -c r i t a s a t é aqui são e s t r u t u r a i s , i s t o é", dependem uni-camente da e s t r u t u r a l ó g i c a das á r v o r e s , sem c o n s i d e r a r os a s p e c t o s p r o b a b ^ l í s t i c o s dos e v e n t o s . N e s t a s e ç ã o , i n t r o d u z i r e m o s e s t e s a s p e c -t o s , p o s s i b i l i -t a n -t o , d e s -t a forma, a a v a l i a ç ã o da probabilidade de o c o r r ê n c i a do e v e n t o t o p o .

Conforme mencionado na subseção a n t e r i o r , o e s t a -do -do evento b á s i c o i de uma á r v o r e pode s e r r e p r e s e n t a d o por uma v a r i á v e l b i n a r i a y- . A e s t a v a r i á v e l , podemos a s s o c i a r a s e g u i n t e d i s t r i b u i ç ã o de p r o b a b i l i d a d e :

p

í>i

=

1] ' V C17-a)

P & i - 0] = 1-q. = p . . (17-b) A d i s t r i b u i ç ã o acima afirma que qj é a p r o b a b i l i d a d e de o c o r r ê n

-c i a do evento i , ou s e j a , de uma -c e r t a f a l h a em um dado -componen t e . Calculando o v a l o r médio (média ou e x p e c t â n c i a ) da v a r i á v e l y. , obtemos:

ECyj) - 1 . P & N - 1 ] • O.Pfr.-O] - qi t (18) o que mostra que q^ c o r r e s p o n d e a média de y . .

. 2 6 .

Analogamente, a função b i n a r i a ¥ ( y ) , indicadora do e s t a d o do evento t o p o , podemos a s s o c i a r a s e g u i n t e d i s t r i b u i ç ã o : P j > ( y ) - Q - Q ( q ) . ( 1 9 - a ) P [ y ( y j = 0] = 1 - Q(q) = P ( p ) , (19-b) onde (qi . q 2 . . • • . qn) , (Pl ,P2 ,- • • , Pn) e Q(q) é a função de p r o b a b i l i d a d e de o c o r r ê n c i a do evento t o p o , ou s e j a , a e x p r e s s ã o p r o b a b i l í s t i c a de f a l h a do s i s t e m a .

Tomando a média de ¥(y) temos:

E [ ¥ ( y ) ] = l . P | > ( q ) = l ] + O . P [ > ( y > Ó ]

- Q(q)- (20) Quando todos os eventos básicos são estatisticamente

independen-tes então:

Q(q) * E(>(y)D - *[E(yT! - * ( 5 ) , ( z u

o que s i g n i f i c a q u e , n e s t e c a s o , p a r a obtermos a função de proba b i l i d a d e de o c o r r ê n c i a do e v e n t o topo de uma á r v o r e , b a s t a s u b s -t i -t u i r m o s na função de e s -t r u -t u r a cada y. p e l o r e s p e c -t i v o q. . Con quanto e s t a s u b s t i t u i ç ã o s e j a i m e d i a t a , o p r o c e s s o exige que a

função de e s t r u t u r a V(y) e s t e j a e s c r i t a em s u a forma booleana e -x a t a , i s t o é , que não apareçam p o t ê n c i a s de y . . A eliminação des_ t a s p o t ê n c i a s t o r n a - s e t a r e f a i m p r a t i c á v e l p a r a á r v o r e s mais com p l e x a s (ou s e j a , com um número muito grande de eventos b á s i c o s e p o r t õ e s ) .

Uma ai t p r n a t i va r.nn*i«t<» na i i t i l i í a r ã r t da

r*»r»r*»-iua L U Í L t r s í i i l J l l I T

q

-. 2 7 -.

do os eventos b á s i c o s são e s t a t i s t i c a m e n t e independentes e cada um deles f i g u r a em apenas um c o r t e mínimo, i s t o é*. não há e v e n -t o s comuns e n -t r e d o i s c o r -t e s mínimos q u a i s q u e r , e n -t ã o : Q(q) = E p ( q ) ] = E ILm ir y . j=l i c k. * . 3 _ m - Ji ir E ( y . ) j - 1 i £ Kj = JI TI q; • (22) A equação (22) s i m p l i f i c a c o n s i d e r a v e l m e n t e o p r o c e s s o de o b t e n ção da p r o b a b i l i d a d e de o c o r r ê n c i a do e v e n t o t o p o , t o r n a n d o n e c e s s á r i a apenas a d e t e r m i n a ç ã o de t o d o s os c o r t e s mínimos da á r -v o r e , conforme e x p l i c a d o na seção a n t e r i o r . Como i l u s t r a ç ã o da t e o r i a a p r e s e n t a d a , s e r á f e i t o o c á l c u l o da p r o b a b i l i d a d e de o c o r r e . i c i a do evento topo da á r v o -re de falhas da F i g . 7. Usando a equação (22) , podemos e s c r e v e r

Q(q) = l-(l-qjq5)(l-qiq6)(l-qiq7)(l-q2q5) * •« • (l-q2qt) (l-q2q?) (1-qaqs) (l-qaqe) • U-qaqTMi-qO-Admitindo que - i . q, - q5 - 10 , -3 q2 = q6 • 10 , -w q3 - q7 • 2,0 x 10 , Obtemos q* - 10 , Q(q) = 2,0 x 10" -6

Observe que

min (q i .q: , qyJ < Qíq) < máx (q3 ,q2 , q^) ( 2 3)

4 . 3 - Aproximação do E v e n t o Raro

Conforme m o s t r a d o a n t e r i o r m e n t e , o procedimento ge r a l para a passagem da função de e s t r u t u r a a e x p r e s s ã o da p r o b a -b i l i d a d e de o c o r r ê n c i a do e v e n t o t o p o i m p l i c a na n e c e s s i d a d e do desenvolvimento da p r i m e i r a em uma soma onde t o d a s as p a r c e l a s e s tejam devidamente e x p l i c i t a d a s , p a r a que t o d a s as p o t ê n c i a s das v a r i á v e i s b i n ã r i a s sejam r e d u z i d a s , segundo a equação ( 1 3 ) .

A e x p l i c i t a ç ã o de t o d a s as p a r c e l a s da função de e s t r u t u r a de urr.a árvore- t o m ? . - s e p r a t i c a m e n t e i n v i á v e l quando es_ T 25 possuerr. p o r t õ e s OU c o n t e n d o ur> número g r a n d e de e v e n t o s b á s i c o s . p o i s , como foi m o s t r a d o na e q u a ç ã o ( 9 ) , a v a r i á v e l b i n a r i a i n d i c a d o r a ca s a í d a de um p o r t ã o OU c o n t e n d o n eventos é" dada p o r :

y i+y2 +. . . + y - £ comb, dois a dois

•»• Vcomb. t r ê s a t r ê s -•.. .+ ( - l )n~ yj.y2 y (?)

A e x p l i c i t ação de t o d a s as p a r c e l a s i n d i c a d a s n e s t a e x p r e s s ã o j á é* p o r si se um p r o c e s s o e n t e d i a n t e quando n é m a i o r que 5 , t o r -n a -n d o - s e r e a l m e -n t e i m p r a t i c á v e l qua-ndo se ter que m u l t i p l i c a r duas e x p r e s s õ e s como e s t a .

A e q u a ç ã o (Pj quando t r a n s f o r m a d a cr expressão V>T£_

b a b i l í s t i c a , f o r n e c e e x a t a m e n t e o mesmo número de p a r c e l a s , ou s e

Q(q) =q:+:.;; + . . .*an - 7comb, dois a dois + . . . (2 4)

Uma s i m p l i f i c a ç ã o c o n s i deravel d e s t e p r o b l e m a node SQT c o n s e e u i -da f a z e n c o - s e uso cia cna",a~a a p r o x i m a ç ã o cio e v e n t o r a r : - ' . a O/.Í.ÍJ

c o n s i s t e em tornar a p e n a s c?' t e r m o s de o r d e n mais b a i x a na e q u a -ção (9) d e s p r e z a n d o os t e r m o s de o r d e n s u p e r i o r . Assim, p a r a ur,

portão OU contendo n eventos b á s i c o s , escrevemos:

*(y) = IY±. (25)

i=l

que convertida em p r o b a b i l i d a d e fornece: n

Q(q) = I qr (26)

i=l

Esta aproximação è* tanto melhor quanto menores as probabilidades de ocorrência dos eventos b á s i c o s , fornecendo valores s a t i s f a t ó -r i o s pa-ra q. < 0 , 1 .

Em qualquer c i r c u n s t â n c i a , a aproximação do even-t o raro fornece sempre um v a l o r p a r a a p r o b a b i l i d a d e de f a l h a do sistema maior do que o exato sendo, p o r t a n t o , uma aproximação con-servar i r a .

5 . IMPORTÂNCIA DE EVENTOS E CORTES MÍNIMOS Após a c o n s t r u ç ã o e a v a l i a ç ã o da á r v o r e de f a l h a s , podemos o b t e r a i n d a m u i t a s i n f o r m a ç õ e s s o b r e o s i s t e m a em e s t u d o . P o r e x e m p l o , s e e f e t u a r m o s uma a n á l i s e de s e n s i b i l i d a d e em r e l a -ção a um e v e n t o b á s i c o e s p e c i f i c a d o , ou s e j a , v a r i a m o s a s u a prç> h a b i l i d a d e de o c o r r ê n c i a e o b s e r v a m o s a r e s p o s t a do s i s t e m a (em t e r m o s do e v e n t o t o p o , n a t u r a l m e n t e ) . Além d i s s o , podemos i d e n -t i f i c a r os " p o n -t o s f r a c o s " dos s i s -t e m a , a -t r a v é s de uma análise de i m p o r t â n c i a d o s e v e n t o s b á s i c o s e também d o s c o r t e s m í n i m o s .

E-- f 7 8'")

x i s t e m v á r i a s m a n e i r a s de medirmos t a i s i m p o r t â n c i a sL * J. Linã

tar-nos-emos , na seção 5.1 a d i s c u t i r duas delas, a saber: impor; tãncia e s t r u t u r a l e importância de probabilidade. A primeira, me_ de a importância dos eventos básicos levando em conta a posição dos componentes do sistema em estudo; a segunda, além de conside_ rar a posição dos componentes do sistema, considera também as pro habilidades de ocorrência dos eventos básicos relacionados com esses componentes. Na seção 5.2, discutimos uma maneira de

cal-cular a importância dos cortes mínimos de uma árvore de falhas, avaliando a contribuição r e l a t i v a de cada corte mínimo para a fa»», lha do sistema.

A obtenção das importâncias dos eventos básicos e dos cortes mínimos de uma árvore de falhas fornece informações essenciais â análise de risco-benefício e também melhoramentos pa-ra os projetos de sistemas.

5.1 - Importância de Eventos Básicos

Através de um simples exame do sistema represent^ do na Fig. 2, concluímos, intuitivamente, que o tanque é o compo nente mais importante, uma vez que o seu funcionamento é essen-cial para o funcionamento do sistema (pois está ligado em série com o resto do sistema). Esta conclusão baseia-se unicamente na posição estrutural desse componente. Estas considerações consti^

tuem a base do conceito de importância e s t r u t u r a l de um componeii te.

Da mesma forma, podemos f a l a r em importância e s -t r u -t u r a l dos even-tos básicos de uma árvore de f a l h a s . Dada uma árvore de f a l h a s , definamos as v a r i á v e i s b i n a r i a s y^ e ¥(y) como

v. = <

1, se o evento básico i ocorre

0, em caso c o n t r á r i o (27)

Y(y) «•

1, se o evento topo ocorre

0, em caso contrário (28)

Tomando como exemplo a árvore de falhas da Fig. 13, podemos c o n s t r u i r a Tabela 1, da qual constam todos os possíveis estados dos eventos básicos e os conseqüentes estados do evento topo. Podemos observar que, mantendo constantes os estados dos eventos básicos 1 e 2 e variando o estado do evento básico 3, o estado do evento topo só varia no 2* caso. Assim, de 4 casos pos^%

s í v e i s , só um (o 2Ç) acarreta mudança de estado do evento topo.

Definimos a importância e s t r u t u r a l do evento básico 3, I„,(3), c£ mo

I¥(3) = _n9 de casos efetivos _ 1

n* de casos possíveis 4

= 0,25, (29) ou seja, em 251 dos casos em que o evento básico 3 mudar de estjs do, haverá também a mudança de estado do evento p r i n c i p a l .

Como i l u s t r a ç ã o , vamos c a l c u l a r a importância e s -t r u -t u r a l dos even-tos básicos da árvore de falhas cons-truída na seção 3. A função de e s t r u t u r a para essa árvore de falhas é (e-quação 14)

k«l K k=4 K k - l K

Para obtermos a importância estrutural do evento básico 1, deve-mos obter o número de casos efetivos para esse evento básico, ou, em outras palavras, os casos para os quais

nii.y) - no,,y) = 1 (30)

Na equação acima, definimos

i(ii.y) — m,y2,y3 yn) . (3i-a)

ídi.y) — y(0,y2,y3 yn) . (31-b)

A i n t e r p r e t a ç ã o de equação (30) ê* a s e g u i n t e :

1) Admita que o e v e n t o b á s i c o 1 o c o r r e u , i n d e p e n -d e n t e -dos e s t a -d o s -dos o u t r o s eventos b á s i c o s ; 2) Os outros eventos b á s i c o s , y v ( ^ ^ 1) podem se

e n c o n t r a r em 2 e s t a d o s d i f e r e n t e s . Admita um e s t a d o e s p e c i f i c a d o para cada um d e l e s ;

3) C a l c u l e y ( l , ,y) ;

4) Admita, agora, que o evento básico 1 não ocor-reu, independente dos estados dos outros compo_ nentes;

5) Calcule *(0i ,y) ;

6) C a l c u l e a d i f e r e n ç a entre os resultados dcs i t e n s 3 e 5;

7) Faça o que e s t á no item 2, ou s e j a , admita um novo e s t a d o p a r a cada um dos eventos b á s i c o s

yk( *

* D ;

8) Faça o i t e m 3; 9) Faça o item 5;

10) Faça o item 6.

Obviamente, este procedimento iterativo terminará quando o even-to básico em consideração for y . Bastará então somar o nç de

casos e f e t i v o s .

Figuro 13: Importância Estrutural de Eventos Básicos .

T a b e l a 1 - I m p o r t â n c i a e s t r u t u r a l do evento b á s i co 3 Caso 1* 2* 3 ' 4 9 y i 0 0 0 0 1 1 1 1 yi 0 0 1 1 0 0 1 1 ys 0 1 0 1 0 1 0 1 V(y) 0 0 0 1 1 1 1 1 y3 em r e l a ç ã o a I'fy) i n d i f e r e n t e e f e t i v o i n d i f e r e n t e i n d i f e r e n t e

Não é" d i f í c i l p e r c e b e r que o número de casos p o s -s í v e i -s é" 2 , onde n é" o número de e v e n t o -s b á -s i c o -s da á r v o r e de f a l h a s .

Voltando ao exemplo da árvore de falhas da seção

3, devemos obter inicialmente a expressão

n w ) - no,,y), (3i)

w i s t o e

nii.y) - no,,y) = * y

v

- * Yv (

52

)

k=2 K k=2 K E f á c i l c o n c l u i r e n t ã o que Iv( l ) = — = 0,109 * 64

Da mesma forma, chegamos a

I¥(2) = 1^(5) = If(S) = I¥(6) - If(7) = 0,109,

1.(4) = — = 0,234.

¥ 64

Os r e s u l t a d o s acima mostram que I¥(4D>I¥(l)-l4,(2)-Iv(3)-Iç(5D-Iv(6)-I¥C7)f

onde os símbolos " > " e "~" s i g n i f i c a m "mais i m p o r t a n t e que" e "da mesma i m p o r t â n c i a que". De uma maneira g e r a l , a i m p o r t â n c i a e s t r u t u r a l do e v e n t o b á s i c o k ê dada por n. (10 Iv0 0 - - -, (33) onde

* Uk. y ) — *(yi.V2 yk_1. 1 , yk + 1 yn) (34-a)

f ( Ok, y ) ^ *(y,.ys > ii- r0° W " - ' ynK ( 3 4"b )

K « 211"1 (55)

£ f á c i l p e r c e b e r que n„,(k) é o número de casos e f e t i v o s p a r a o e_ vento b á s i c o k . Da mesma forma, as r e l a ç õ e s (34) são uma g e n e r a l i z a ç ã o das r e l a ç õ e s (31) e N é o número de casos p o s s í v e i s .

0 exemplo a n a l i s a d o f o i muito s i m p l e s , j á que a i_ d e n t i f i c a ç ã o dos e v e n t o s e s t r u t u r a l m e n t e mais i m p o r t a n t e s é ime-d i a t a . Existem á r v o r e s ime-de f a l h a s , porém, q u e , por envolverem um número muito grande de eventos b á s i c o s , tornam extremamente d i f í

c i l um exame q u a l i t a t i v o dos e v e n t o s b á s i c o s estruturalmente mais i m p o r t a n t e s . Por exemplo, uma á r v o r e com 25 e v e n t o s b á s i c o s , a-p r e s e n t a 2" = 1,7 x 10 casos a-p o s s í v e i s !

Podemos formular um o u t r o c o n c e i t o de importância , levando em c o n t a não só a p o s i ç ã o de cada e v e n t o b á s i c o na á r v o re de falhas (que fornece a i m p o r t â n c i a e s t r u t u r a l d i s c u t i d a a n -t e r i o r m e n -t e ) como -também a p r o b a b i l i d a d e de o c o r r ê n c i a de cada e_ vento b á s i c o . Teremos então a i m p o r t â n c i a de p r o b a b i l i d a d e . A importância de p r o b a b i l i d a d e de um e v e n t o b á s i c o k , mede a proba_ b i l i d a d e de que o e v e n t o topo o c o r r a quando o evento b á s i c o k o

-c o r r e .

Consideremos uma á r v o r e de f a l h a s em que as p r o b a -b i l i d a d e s de o c o r r ê n c i a dos e v e n t o s -b á s i c o s sejam dadas p o r :

p

B ' k

= 1

]

= q

k '

k = 1

»

2

- - " »

n

<

3 6

)

e cuja p r o b a b i l i d a d e de o c o r r ê n c i a do e v e n t o p r i n c i p a l s e j a

onde q • ( q : . q; q ^ - ( 3 8 ) Por d e f i n i ç ã o , a i s p c rr a n c i ã de p r o b a b i l i d a d e do evento b á s i c o j . I Q ( J ) • * a t a x a de v a r i a ç ã o da p r o b a b i l i d a d e de o c o r r ê n c i a do e v e n t o t o p o e u r e l a ç ã o ã p r o b a b i l i d a d e de o c o r r ê n -c i a do e v e n t o b á s i -c o i , i . e . , A equação (59) pode a i n d a s e r e s c r i t a c o s o IQÜJ - Qdj-q) - QWyO), ( 4 0 ) onae Q d r q ) ^ Q í q1. q a . . - . ^j.1. i . qi* i % ) • ( 5 1"a )

Q ( 0

r

q ) ^ Q(q

If

q

2

« j - r

0

^ «tf . ( « " ^

A equação (40) n o s t r a a v a r i a ç ã o na p r o b a b i l i d a d e de o c o r r ê n c i a do e v e n t o t o p o quando s e s a n t é » o s v a l o r e s das p r o h a b i l i d a d e s de o c o r r ê n c i a des e v e n t o s b á s i c o s k « l , 2 , . . . , n ( k ^ j ) e se c o n s i d e r a a o c o r r ê n c i a do e v e n t o b á s i c o j , mantidas as o u -t r a s p r o b a b i l i d a d e s (dada p e l o -t e r ç o ) Q ( 0 . . q ) . F i c a c l a r o que, na r e a l i d a d e , a e q u a ç ã o (40) deve s e r e s c r i t a coco Q.'l4& - Q(0-,q) I ( j ) . —1 1 , (4 2 ) y 1 - 0

para f i c a r de a c o r d o com a d e f i n i ç ã o de d e r i v a d a p a r c i a l de una função de n v a r i á v e i s ,

Como i l u s t r a ç ã o , vamos c a l c u l a r a i m p o r t â n c i a de p r o b a b i l i d a d e dos e v e n t o s b á s i c o s da á r v o r e da s e ç ã o 3. Teremos e n t ã o I ( « - ± 2 ® = Í - E [ H ( q ) ] ^ 3 q i 3qi = * qj " * qj (43) j=2 j - 2 S u b s t i t u i n d o os v a l o r e s dos q. ( i # = 1 ) , da s e ç ã o 3 , encontramos IQ(1) = 1,3 x IO"3.

Procedendo da mesma forma, encontramos

IQ(2) = IQ(3) = IQ(5) = 1Q(6) = IQ(7) = 1,3 x IO-3

I (4) = 0,9999983,

ou s e i a , o e v e n t o b á s i c o 4 p o s s u i a maior p r o b a b i l i d a d e de provo car a o c o r r ê n c i a do e v e n t o t o p o . I s t o é" compreensível se l e v a mos em conta a p o s i ç ã o e s t r u t u r a l do componente do s i s t e m a r e l a

-cionado.

Após a d i s c u s s ã o d e s t e s d o i s c o n c e i t o s de impor-t â n c i a de e v e n impor-t o s b á s i c o s , f i c a c l a r o que o segundo é mais conve n i e n t e , por a p r e s e n t a r r e s u l t a d o s mais amplos e p o r e x i g i r menos

c á l c u l o s .

5.2 - I m p o r t â n c i a de Cortes Mínimos

Uma maneira de a v a l i a r m o s a i m p o r t â n c i a dos c o r -t e s mínimos de uma á r v o r e de f a l h a s , c o n s i s -t e na de-terminação da i n f l u ê n c i a r e l a t i v a ile cada c o r t e mínimo p a r a a o c o r r ê n c i a do e -vento topo^ . 0 p a s s o i n i c i a l , o b v i a m e n t e , é o b t e r os c o r t e s mi

. 3 í .

nimos para a á r v o r e de f a l h a s . Em s e g u i d a , devemos c a l c u l a r a p r o b a b i l i d a d e de o c o r r ê n c i a de cada c o r t e mínimo, que d e n o t a r e -mos por Q, , onde k. é o i - é s i m o c o r t e mínimo. E n t ã o , a

impor-Ki x

t â n c i a r e l a t i v a de cada c o r t e k. , I, , s e r a dada p o r ,

1 Ki

(441

sendo Q a p r o b a b i l i d a d e de f a l h a do s i s t e m a (ou s e j a , a probabi_ l i d a d e de o c o r r ê n c i a do evento topo) . A p r o b a b i l i d a d e de o c o r -r ê n c i a do e v e n t o t o p o é c a l c u l a d a em te-rmos das p -r o b a b i l i d a d e s de o c o r r ê n c i a dos c o r t e s mínimos, n i=l 1 ( 4 5 )

(n=número de c o r t e s mínimos). Na equação (45) foi empregada a aproximação do e v e n t o r a r o , d i s c u t i d a n a seção 4 . E s t a aproximei ção é r a z o á v e l , em v i s t a de p o s s u í r e m os termos ;om p r o d u t o s c r u

zados p r o b a b i l i d a d e s de o c o r r ê n c i a muito pequenas (menores que 0 , 1 ) . De f a t o , a p r o b a b i l i d a d e de f a l h a do s i s t e m a s e r i a dada por ( v a l o r e x a t o ) :

^ [£

X)

_{1=1 í i > ; i j}

J. \. - ,L \. \.

n

Kl K2 % _n

( 4 6 )

mas, como as p r o b a b i l i d a d e s de o c o r r ê n c i a dos e v e n t o s básicos que compõem t a i s c o r t e s são geralmente menores cue 10" (como nas a-p l i c a ç õ e s na a n ã l i c e a-p r o b a b i l í s t i c a de s e g u r a n ç a de r e a t o r e s

nu-c l e a r e s ) , vemos nu-c l a r a m e n t e que o abandono dos termos a p a r t i r do segundo na equação (46) não induz a um erro grande ( e s t e erro, ge r a l m e n t e , é menor que 10o) (6)

Na s e ç ã o s e g u i n t e , apresentamos um exemplo p r á t i -co de e c l e u l o de i m p o r t â n c i a r e l a t i v a de c o r t e s mínimos.

. 3 9 .

6 . UM EXEMPLO ADICIONAL

N e s t a s e ç ã o , d e s e n v o l v e m o s um e x e m p l o um pouco m a i s c o m p l i c a d o , o b j e t i v a n d o m o s t r a r de uma forma m a i s ampla a a p l i c a ção das t é c n i c a s d i s c u t i d a s . 0 s i s t e m a i l u s t r a d o n a F i g . 14 f o i p r o j e t a d o p a r a f o r n e c e r r e f r i g e r a n t e de e m e r g ê n c i a ao s i s t e m a p r i m á r i o de um re_ a t n - h i p o t é t i c o . No c a s o da o c o r r ê n c i a de um a c i d e n t e , o. s i s t e m a de p r o t e ç ã o e n v i a um s i n a l e l e t r ô n i c o de a t u a ç ã o as duas bombas i -d ê n t i c a s e ã s q u a t r o v á l v u l a s i -d ê n t i c a s . As bombas entram em fun_ c i o n a m e n t o , a s v á l v u l a s abrem e r e f r i g e r a n t e l i q u i d o é f o r n e c i d o ao s i s t e m a p r i m á r i o . As p r o b a b i l i d a d e s de f a l h a s e g u i n t e s s ã o s i g n i f i c a t i v a s : qj = 10 p r o b a b i l i d a d e do s i s t e m a de p r o t e -ç ã o não e n v i a r um s i n a l de a t u a -ç ã o ã s bombas e v á l v u l a s .

q2 = 2 , 0 x 1 0 p r o b a b i l i d a d e de uma bomba falhar em

f u n c i o n a r q u a n d o o s i n a l de a t u a ç ã o é r e c e b i d o . q3 = 10 p r o b a b i l i d a d e de uma v á l v u l a f a l h a r em a b r i r quando o s i n a l .de a t u a ç ã o é r e c e b i d o . qi, = 5 , 0 x 1 0 " p r o b a b i l i d a d e do r e s e r v a t ó r i o e s t a r v a z i o quando da o c o r r ê n c i a do a c i -d e n t e . Nossa p r i m e i r a t a r e f a é c o n s t r u i r uma á r v o r e de f a l h a s , no c a s o do s i s t e m a f a l h a r em f o r n e c e r q u a l q u e r q u a n t i d a -de -de r e f r i g e r a n t e , dada a o c o r r ê n c i a -de um a c i d e n t e .

. 4 - : .

-a

BOMBA t

-o

BOMBA 2

-ex-VÁLVULA 1

HXh

VÁLVULA 2

{X3-VÁLVULA 3

-IX-VÁLVULA 4 TANQUE

Figuro 14 : O Sistema de Refrigerante de Emergência.

Como existem quatro caminhos possíveis de injeção, vemos que, sob o portão do evento topo, deverão existir quatro ra mos. Além disso esse portão deverá ser do tino "E" (Fig. 15-a). 0 passo seguinte è* desenvolver detalhadamence cada um desses ra-, mos (Fig. 15-b). Devemos notar que nesta figura mostramos so-mente o desenvolvimento de um dos ramos, pois os outros são sem£ lhantes.

CAMINHO DE INJEÇÃO

N*l «

~E

SISTEMA FALHA EM ENTREGAR QUALQUER QUANTIDADE DE REFRIGERANTE AO SISTEMA PRIMA'RIO

T7\

CAMINHO DE INJEÇÃO N * 2 *

S

CAMINHO DE INJEÇÃO N » 3 # ^ CAMINHO DE INJEÇÃO N » 4 # ^

•X- FALHA EM ENTREGAR OUALOUER OUANTIDADE DE REFRIGERANTE AO SISTEMA PRIMÁRIO .

( a ) início do desenvolvimento

A

CAMINHO DE INJEÇÃO N * l FALHA EM ENTREGAR QUALQUER

OUANTOADE DE REFRIGERANTE AO SISTEMA PRIMÁRIO VÍLVULA N? I NÃO ABRE

Q

VÁLVULA N ° l DEFEITUOSA

"U

ü

BOMBA N* I NÃO FARTE

ü

RESERVATÓRIO ESTÁ VftZO

XJ

SINAL DE ATUAÇÃO NÃO T GERADO

D"

BOMBA N* I DEFEITUOSA

D"

SINAL DE ATUAÇÃO NÃO T GERADO

ü"

( b ) desenvolvimento do romo I

Antes de p r o s s e g u i r na a n á l i s e , v a l e s a l i e n t a r que é p o s s í v e l a p r e s e n t a r a a r v o r e de f a l h a s de uma maneira mais sim p i e s (onde n i o aparecem e v e n t o s r e p e t i d o s - como o e v e n t o " s i n a l de atuação não é g e r a d o " , na F i g . 1 5 ) . U t i l i z a n d o t é c n i c a s que não serão d i s c u t i d a s aqui ^ , podemos a p r e s e n t a r a á r v o r e da ma-n e i r a mostrada ma-na F i g . 16.

Com o a u x í l i o do método d i s c u t i d o na seção 3 , e n -contramos os s e g u i n t e s c o r t e s mínimos p a r a a á r v o r e : lc, = { 1 , 5 , 6 , 7 } . k2 = { 1 , 5 , 8 } , k3 = { 2 , 6 , 7 } , k , = { 2 , 8 } , k5 = { 3 } , k6 = {*.}.

Existem 6 c o r t e s mínimos: 2 de p r i m e i r a ordem, um de segunda, 2 de t e r c e i r a e um de q u a r t a .

A função de e s t r u t u r a em termos dos c o r t e s m í n i -mos é:

ny)

= í *

y..

i - 1 j E K. J

Usando a aproximação do e v e n t o r a r o , podemos e s c r e v e r e n t ã o que

pjÈv.topoJ.E^)].^^ - j

i % i

<3.

SISTEMA FALHA EM ENTREGAR OUALOUER QUANTIDADE DE REFRIGERANTE AO SISTEMA PRIMÁRIO

u

RESERVATÓRIO ESTA'VAZIO SINAL DE ATUAÇÃO NÃO E* GERADO

ID (D

LINHA N* I FALHA EM FORNECER OUALOUER QUANTIDADE DE REFRIGERANTE AO SISTEMA PRIMA'RIO

Q

BOMBA N«l DEFEITUOSA VÁLVULAS DA LINHA H * l DEFEITUOSAS

z>

- n

VÁLVULA tfi I DEFEITUOSA

UNHAS FALHAM EM ENTREGAR QUALQUER QUANTIDADE DE REFRIGERANTE AO

SISTEMA PRIMÁRIO

•

LMHA N*2 FALHA EM FORNECER OUALOUER OUANTIDADE DE REFRIGERANTE AO SISTEMA PRIMÁRIO

u

BOMBA N « 2 DEFErrUOSA VÁLVULAS DA LINHA N*Z DEFEITUOSAS

cr TI

VÁLVULA N»2 DEFEITUOSA

cr ©

L VÁLVULA N*3 DEFEITUOSA VÁLVULA N»4 DEFEITUOSA

O

A aproximação empregada e v a l i d a em v i r t u d e das probabilidades de o c o r r ê n c i a dos e v e n t o s b á s i c o s serem t o d a s menores que 0 , 1 . Subs^ t i t u i n d o os v a l o r e s das p r o b a b i l i d a d e s de o c o r r ê n c i a dos e v e n t o s b á s i c o s f o r n e c i d a s no i n í c i o d e s t a s e ç ã o e n c o n t r a m o s :

P(£v.topq] = 9,15 x 10""

U t i l i z a n d o o p r o c e d i m e n t o da s e ç ã o 5 , obtemos as i m p o r t â n c i a s dos c o r t e s mínimos, a p r e s e n t a d a s na T a b e l a 2 .

Tabela 2 - Importâncias dos c o r t e s mínimos da ár-vore de f a l h a s da F i g . 16. C o r t e 1 2 5 4 5 6 Ordem 4? 3? 5? 2? 1? 1? I m p o r t â n c i a 0 , 1 0 9 0 , 2 1 9 0 , 2 1 9 0 , 4 3 7 5 , 5 x I O "3 1 , 1 x I O "2

Vemos que o c o r t e mais i m p o r t a n t e é" de 2a ordem (43,7% das vezes em que o s i s t e m a f a l h a r , f a - l o - ã a t r a v é s d e s t e c o r t e mínimo) . Observamos que os c o r t e s mínimos de 1? ordem pos_ suem i m p o r t â n c i a s d e s p r e z í v e i s em face dos d e m a i s .

REFERÊNCIAS

1 . HAASL, D . F . - Advanced C o n c e p t s i n F a u l t Tree Analysis, S y s t e m s S a f e t y Symposium, J u n e 8 - 9 , 1 9 6 5 , S e a t t l e : The Boeing Company.

2 . GIBELL1 , S.M. A n á l i s e P r o b a b i l i s t i ca da S e g u r a n ç a do S i s t e -ma de S p r a y da C o n t e n ç ã o de Angra I - COPPE/UFRJ, T e s e de Mes_ t r a d e . Rio de J a n e i r o , F e v e r e i r o de 1 9 8 1 .

5. BURDICK, G . R . , N . H . M a r s h a l l , J . R . Wilson-COMCAN- A Computer Program f o r Common Cause A n a l y s i s - A e r o j e t N u c l e a r Company, ANCR-1514, May 19 7 6 .

4 . BARLOW, R . E . , F . P r o s c h a n - S t a t i s t i c a l T h e o r v of R e l i a b i l i t y and L i f e T e s t i n g : P r o b a b i l i t y Models - H o l t , Rinehart u Winston, I n c . . New York , 19 7 5 .

5 . FUSSELL, J . , W. V e s e l y - A New M e t h o d o l o g y f o r O b t a i n i n g Cut S e t s f o r F a u l t T r e e s , T r a n s . Amer. N u c l . S o c , v o l . 1 5 , p . 2 6 2 ,

J u n e 1 9 7 2 . ,

6 . YESELY, W. , F . G o l d b e r g , N . R o b e r t s , D . H a a s l - F a u l t Tree Handbook, N u c l e a r R e g u l a t o r y Commission, NUREG 0 4 9 2 , W a s h i n g t o n , January

1 9 8 1 .

" . LAMBERT, H. - F a u l t T r e e s for Decision Making in Systems A n a l y s i s , UCRL - 51829 ( P h . D. T h e s i s - UC B e r k e l e y ) , O c t o b e r 1 9 7 5 .

8. LAMBERT, H. - M e a s u r e s o f I m p o r t a n c e o f E v e n t s and Cut Sets i n F a u l t T r e e s , SIAM, P h i l a d e l p h i a , 1 9 7 5 .

9 . OLIVEIRA, L . F . , M i l i d i ú , R.L. , F l e m i n g , P . V . Introdução ã T e o r i a da C o n f i a b i l i d a d e de S i s t e m a s COPPE/UFRJ, A P S 1 0 5 , S e -tembro 1 9 8 0 .